New Data Seal

New Data Seal (NDS)
New Data Seal (NDS)
Создатель	[IBM]
Создан	1975 год
Размер ключа	2048 бит
Размер блока	128 бит
Число раундов	16
Тип	сеть Фейстеля

New Data Seal (NDS) — блочный шифр, основанный на алгоритме Люцифера, который позже стал стандартом DES. Шифр был разработан в компании IBM в 1975 году. Для шифрования NDS использует делит входные (незашифрованные) данные на блоки по 128 бит и использует очень длинный ключ размером 2048 бит. Структура шифра точно такая же, как и у DES: cеть Фейстеля с 16 раундами.

Принцип работы Править

Шифр NDS является достаточно простым в частности из-за того, что в каждом раунде сети Фейстеля в его основе используется один и тот же ключ.

Ключ представляет собой отображение: $\text{[math]}$ $\text{[math]}$ $k:\{0,1\}^{8}\rightarrow \{0,1\}^{8},$ то есть размерность пространства таких ключей $\text{[math]}$ $\text{[math]}$ $(2^{8})^{2^{8}}=2^{2048},$ что более чем достаточно для предотвращения перебора ключей.
Система использует 2 заранее известных (не динамичных) S-блока: S 0 , S 1 , { 0 , 1 } 4 → { 0 , 1 } 4 , ключевое расписание состоит из одного ключа k . Блок открытого текста делится на 2 подблока m i размером 64 бита каждый. Для того, чтобы посчитать f k ( m i ) :
1. $\text{[math]}$ $\text{[math]}$ $m_{i}$ разбивается на восемь 8-битных частей. За $\text{[math]}$ $\text{[math]}$ $m_{i}^{*}$ обозначим байт, образованный первым битом каждого байта в $\text{[math]}$ $\text{[math]}$ $m_{i}$
2. каждая часть $\text{[math]}$ $\text{[math]}$ $m_{i}$ разбивается на два 4-битных ниббла
3. к левому нибблу применяется $\text{[math]}$ $\text{[math]}$ $S_{0},$ к правому — $\text{[math]}$ $\text{[math]}$ $S_{1}$
4. в случае, если $\text{[math]}$ $\text{[math]}$ $j$ -ый бит $\text{[math]}$ $\text{[math]}$ $k(m_{i}^{*})$ равен 1, поменяются местами нибблы $\text{[math]}$ $\text{[math]}$ $j$ -ой части после $\text{[math]}$ $\text{[math]}$ $S_{0}S_{1}$ преобразования
5. к 64-битному результату (после объединения всех частей) применяется заранее известная перестановка. Она позволяет защитить шифр от взлома и анализа как системы более простых независимых подшифров.

Алгоритм взлома Править

Использование одного и того же ключа в каждом раунде является слабым местом данного шифра и используется в атаке на основе подобранного открытого текста. С ее помощью можно полностью восстановить ключ шифрования: обозначим за $\text{[math]}$ $\text{[math]}$ $T_{k}$ преобразование, соответствующее одному раунду NDS, то есть $\text{[math]}$ $\text{[math]}$ $T_{k}(m_{i-1},m_{i})=(m_{i},m_{i-1}\oplus f_{k}(m_{i})).$ Далее, $\text{[math]}$ $\text{[math]}$ $F=T^{16}$ будет обозначать все 16 раундов. Заметим, что $\text{[math]}$ $\text{[math]}$ $F$ и $\text{[math]}$ $\text{[math]}$ $T$ коммутируют: $\text{[math]}$ $\text{[math]}$ $FT(m)=T^{16}T(m)=TT^{16}(m)=TF(m).$ В соответствии с принципом Керкгоффса мы знаем все об алгоритме шифрования, кроме ключа $\text{[math]}$ $\text{[math]}$ $k(q),\;q\in \{0,1\}^{8}.$ Тогда если мы будем знать $\text{[math]}$ $\text{[math]}$ $k(q)$ для каждого возможного $\text{[math]}$ $\text{[math]}$ $q,$ ключ будет считаться взломанным.

Процедура атаки следующая:

Подобрать сообщение $\text{[math]}$ $\text{[math]}$ $m=(m_{0},m_{1}),$ так, чтобы $\text{[math]}$ $\text{[math]}$ $m_{1}^{*}=q.$
Взломщик получает зашифрованное сообщение $\text{[math]}$ $\text{[math]}$ $(m_{16},m_{17})=F(m),$ соответствующее открытому тексту $\text{[math]}$ $\text{[math]}$ $m .$
Пусть $\text{[math]}$ $\text{[math]}$ ${\tilde {k}}$ — один из возможных 8-битных ключей (всего $\text{[math]}$ $\text{[math]}$ $2^{8}$ комбинаций). И пусть $\text{[math]}$ $\text{[math]}$ ${\tilde {T}}=T_{\tilde {k}}(m)$ есть результат после работы от 1 раунда с ключом $\text{[math]}$ $\text{[math]}$ ${\tilde {k}}$ .
Если $\text{[math]}$ $\text{[math]}$ ${\tilde {k}}=k(q),$ то $\text{[math]}$ $\text{[math]}$ ${\tilde {T}}=T(m)$ и $\text{[math]}$ $\text{[math]}$ $F({\tilde {T}})=FT(m)=TF(m)=T(m_{16},m_{17})=(m_{17},?).$ Следовательно левая половина $\text{[math]}$ $\text{[math]}$ $F({\tilde {T}})$ согласована с правой половиной $\text{[math]}$ $\text{[math]}$ $F(m)=(m_{16},m_{17}).$
Взломщик получает зашифрованное сообщение $\text{[math]}$ $\text{[math]}$ $F({\tilde {T}}),$ соответствующее заранее выбранному тексту $\text{[math]}$ $\text{[math]}$ ${\tilde {T}}.$ Если правая половина $\text{[math]}$ $\text{[math]}$ $F(m)$ соответствует левой половине $\text{[math]}$ $\text{[math]}$ $F({\tilde {T}}),$ то можно считать $\text{[math]}$ $\text{[math]}$ ${\tilde {k}}$ допустимым значением для $\text{[math]}$ $\text{[math]}$ $k(q).$ В худшем случае нужно будет перебрать $\text{[math]}$ $\text{[math]}$ $2^{8}=256$ комбинаций $\text{[math]}$ $\text{[math]}$ ${\tilde {k}}$ для нахождения нужного значения.
Повторяем процедуру для каждого $\text{[math]}$ $\text{[math]}$ $q\in \{0,1\}^{8},$ получая значение ключа $\text{[math]}$ $\text{[math]}$ $k$ с помощью $\text{[math]}$ $\text{[math]}$ $2^{8}(2^{8}+1)=65792$ заранее выбранных открытых текстов.

Атаки на шифр Править

В 1977 Эдна Гроссман и Брайант Такермен впервые продемонстрировали атаку на NDS с помощью сдвиговой атаки^[1]^[2]. Этот метод использует не более 4096 подобранных открытых текстов. В их лучшем испытании они смогли восстановить ключ только с 556 подобранными открытыми текстами.

Примечания Править

↑ E. K. Grossman, Thomas J. Watson IBM Research Center Research Division, B. Tuckerman. Analysis of a Feistel-like Cipher Weakened by Having No Rotating Key. — IBM Thomas J. Watson Research Division, 1977. — 33 с.
↑ Henry Beker, Fred Piper. Cipher Systems: The Protection of Communications. — John Wiley & Sons, 1982. — С. 263–267. — ISBN 0-471-89192-4.

[1] E. K. Grossman, Thomas J. Watson IBM Research Center Research Division, B. Tuckerman. Analysis of a Feistel-like Cipher Weakened by Having No Rotating Key. — IBM Thomas J. Watson Research Division, 1977. — 33 с.

[2] Henry Beker, Fred Piper. Cipher Systems: The Protection of Communications. — John Wiley & Sons, 1982. — С. 263–267. — ISBN 0-471-89192-4.

[1]

[2]