Это не официальный сайт wikipedia.org 01.01.2023

SEAL (криптографический алгоритм) — Википедия

SEAL (криптографический алгоритм)

SEAL (англ. Software-optimized Encryption Algorithm, программно-оптимизированный алгоритм шифрования) — симметричный поточный алгоритм шифрования данных, оптимизированный для программной реализации.

Схема алгоритма SEAL

Разработан в IBM Филом Рогэвеем[en] (англ. Phil Rogaway) и Доном Копперсмитом (англ. Don Coppersmith) в 1993 году. Алгоритм оптимизирован и рекомендован для 32-битных процессоров. Для работы ему требуется кэш-память на несколько килобайт и восемь 32-битовых регистров. Скорость шифрования — примерно 4 машинных такта на байт текста. Для кодирования и декодирования используется 160-битный ключ. Чтобы избежать нежелательной потери скорости по причине медленных операций обработки ключа, SEAL предварительно выполняет с ним несколько преобразований, получая в результате три таблицы определённого размера. Непосредственно для шифрования и расшифрования текста вместо самого ключа используются эти таблицы.

Алгоритм считается очень надёжным, очень быстрым[1] и защищён патентом США № 5454039[2] с декабря 1993 года.

ИсторияПравить

В 1991 году Ральф Меркл (англ. Ralph C. Merkle) описал рентабельность программно-ориентированных шифров. По его мнению, наиболее эффективными из них были Khufu, FEAL и RC4. Однако постоянно увеличивающиеся потребности клиентов в надежной криптографии требовали поиска новых и доработки старых решений.

Летом 1992 года началась разработка первой версии нового программно-оптимизированного алгоритма SEAL 1.0. Разработчики взяли основные идеи и принцип работы из блочного шифра Ральфа Меркла (англ. Ralph C. Merkle) Khufu, который показался им самым совершенным на тот момент. Они решили добиться лучших характеристик проекта (в основном скорости), сузив круг аппаратуры, на которой возможна его реализация. Выбор был сделан в пользу 32-битных машин минимум с восемью регистрами общего назначения и кэшем не менее 8 Кбайт. В марте 1993 года было принято решение создать блочный шифр, но структура из семейства псевдослучайных функций, разработанная к октябрю того же года, работала быстрее, что склонило разработчиков в к поточному шифрованию.

Эта структура состояла из четырёх регистров, каждый из которых изменял своего «соседа» в зависимости от таблицы, полученной из ключа. После некоторого количества таких модификаций значения регистров добавляются в ключевую последовательность, которая растет с каждой итерацией до тех пор, пока не достигнет определённой длины.

При разработке почти все внимание уделялось внутреннему циклу алгоритма, так как процедура инициализации регистров и метод генерации таблиц из ключа оказывали незначительное влияние на его защищенность. В окончательном виде проект SEAL 1.0 появился только в декабре 1993 года.

В 1996 году Хелен Хандшух и Henri Gilbert (англ.) описали атаки на упрощенную версию SEAL 1.0 и на сам SEAL 1.0. Им потребовалось 2 30   текстов, каждый длиной в четыре 32-битных слова, чтобы найти зависимость псевдослучайной функции от ключа. В результате, в следующих версиях алгоритма SEAL 3.0 и SEAL 2.0 были сделаны некоторые доработки и изменения. Например, в версии 1.0 каждая итерация с ключевой последовательностью завершалась модификацией только двух регистров, а в версии 3.0 — модифицировались все четыре. Ещё SEAL 3.0 и SEAL 2.0 использовали для генерации таблиц алгоритм SHA-1 (англ. Secure Hash Algorithm-1) вместо первоначального SHA, что сделало их более устойчивыми к криптоанализу.

ОписаниеПравить

При описании алгоритма используются следующие операции и обозначения:

Создание таблиц шифрования из ключаПравить

Чтобы избежать потери скорости шифрования на медленных операциях алгоритм использует три таблицы: R, S и T. Эти таблицы вычисляются с помощью процедуры из алгоритма SHA-1 и зависят только от ключа. Заполнение данных таблиц можно описать с помощью функции G, которая из 160-битной строки a   и 32-битного числа i   возвращает 160-битное значение G a ( i )  .

Введем следующие функции и переменные в зависимости от индекса t  :

  • для 0 t 19   установим K t = 0x 5 a 827999   и f t ( B , C , D ) = ( B & C ) ( B & D ) ;  
  • для 20 t 39   установим K t = 0x 6 e d 9 e b a 1   и f t ( B , C , D ) = B C D ;  
  • для 40 t 59   установим K t = 0x 8 f 1 b b c d c   и f t ( B , C , D ) = ( B & C ) ( B & D ) ( C & D ) ;  
  • для 60 t 79   установим K t = 0x c a 62 c 1 d 6   и f t ( B , C , D ) = B C D .  

Затем 160-битная строка a   разбивается на пять 32-битных слов так, что a = H 0 H 1 H 2 H 3 H 4 .  

Также создается шестнадцать 32-битных слов W 0 = i ,     W 1 = W 2 = . . . = W 15 = 0 32 .  

Затем выполняются финальные вычисления:

  1. For   t = 16   to   79   do   W t = ( W t 3 W t 8 W t 14 W t 16 ) 1 ;  
  2. A = H 0 ;   B = H 1 ;   C = H 2 ;   D = H 3 ;   E = H 4 ;  
  3. For   t = 0   to   79   do  
    TEMP = A 5 + f t ( B , C , D ) + E + W t + K t ;  
    E = D ;   D = C ;   C = B 30 ;   B = A ;   A = T E M P ;  
  4. H 0 = H 0 + A ;   H 1 = H 1 + B ;   H 2 = H 2 + C ;   H 3 = H 3 + D ; H 4 = H 4 + E ;  
  5. G a ( i ) = H 0 H 1 H 2 H 3 H 4 .  

Введем функцию Γ a ( i ) = H i   m o d   5 i   где H 0 5 j H 1 5 j + 1 H 2 5 j + 2 H 3 5 j + 3 H 4 5 j + 4 = G a ( j )   для j = b i / 5 c .  

Тогда таблицы:

T [ i ] = Γ a ( i ) ,     0 i < 512 ;  

S [ j ] = Γ a ( 0x 1000 + j ) ,     0 j < 256 ;  

R [ k ] = Γ a ( 0x 2000 + k ) ,     0 k < 256.  

Далее ключ a   в алгоритме не используется.

Инициализация служебных регистровПравить

Перед генерацией псевдослучайной функции нужно подготовить четыре 32-битовых служебных регистра ( A  , B  , C   и D  ) и четыре 32-битовых слова ( n 1  , n 2  , n 3   и n 4  ). Их значения определяются из таблиц R   и T  , 32-битового числа n   и некоторого числа l   в следующей процедуре.

procedure   Initialize   ( n , l , A , B , C , D , n 1 , n 2 , n 3 , n 4 )  

A n R [ 4 l ] ;  
B ( n 8 ) R [ 4 l + 1 ] ;  
C ( n 16 ) R [ 4 l + 2 ] ;  
D ( n 24 ) R [ 4 l + 3 ] ;  

for   j 1   to   2   do  

P A & 0x 7 f c ;     B B + T [ P / 4 ] ;     A A 9 ;  
P B & 0x 7 f c ;     C C + T [ P / 4 ] ;     B B 9 ;  
P C & 0x 7 f c ;     D D + T [ P / 4 ] ;     C C 9 ;  
P D & 0x 7 f c ;     A A + T [ P / 4 ] ;     D D 9 ;  

( n 1 , n 2 , n 3 , n 4 ) ( D , B , A , C ) ;  

P A & 0x 7 f c ;     B B + T [ P / 4 ] ;     A A 9 ;  
P B & 0x 7 f c ;     C C + T [ P / 4 ] ;     B B 9 ;  
P C & 0x 7 f c ;     D D + T [ P / 4 ] ;     C C 9 ;  
P D & 0x 7 f c ;     A A + T [ P / 4 ] ;     D D 9 ;  

Создание псевдослучайной функцииПравить

Для шифрования текста необходимо создать псевдослучайную функцию.

function   SEAL   ( a , n , L )  

y = 0 L ;  

for   l 0   to     do  

       Initialize   ( n , l , A , B , C , D , n 1 , n 2 , n 3 , n 4 ) ;  

       for   i 1   to   64   do  

             P A & 0x 7 f c ;     B B + T [ P / 4 ] ;     A A 9 ;     B B A ;  

             Q B & 0x 7 f c ;     C C T [ Q / 4 ] ;     B B 9 ;     C C + B ;  

             P ( P + C ) & 0x 7 f c ;     D D + T [ P / 4 ] ;     C C 9 ;     D D C ;  

             Q ( Q + D ) & 0x 7 f c ;     A A T [ Q / 4 ] ;     D D 9 ;     A A + D ;  

             P ( P + A ) & 0x 7 f c ;     B B T [ P / 4 ] ;     A A 9 ;  

             Q ( Q + B ) & 0x 7 f c ;     C C + T [ Q / 4 ] ;     B B 9 ;  

             P ( P + C ) & 0x 7 f c ;     D D T [ P / 4 ] ;     C C 9 ;  

             Q ( Q + D ) & 0x 7 f c ;     A A + T [ Q / 4 ] ;     D D 9 ;  

             y y     B + S [ 4 i 4 ]     C S [ 4 i 3 ]     D + S [ 4 i 2 ]     A S [ 4 i 1 ] ;  

             if   | y | L   then   return     y 0 y 1 . . . y L 1 ;  

             if   o d d ( i )   then   ( A , B , C , D ) ( A + n 1 , B + n 2 , C n 1 , D n 2 ) ;  

                                 else   ( A , B , C , D ) ( A + n 3 , B + n 4 , C n 3 , D n 4 ) ;  

Процесс шифрования состоит из большого числа итераций, каждая из которых завершается генерацией псевдослучайной функции. Количество пройденных итераций показывает счетчик l. Все они подразделяются на несколько этапов с похожими операциями. На каждом этапе старшие 9 битов одного из регистров (A, B, C или D) используются в качестве указателя, по которому из таблицы T выбирается значение. Это значение складывается арифметически или поразрядно по модулю 2 (XOR) со следующим регистром (снова один из A, B, C или D). Затем первый выбранный регистр преобразуется циклическим сдвигом вправо на 9 позиций. Далее либо значение второго регистра модифицируется сложением или XORом с содержимым первого (уже сдвинутым) и выполняется переход к следующему этапу, либо этот переход выполняется сразу. После 8 таких этапов значения A, B, C и D складываются (арифметически или XORом) с определёнными словами из таблицы S и добавляются в ключевую последовательность y. Завершающий этап итерации заключается в прибавлении к регистрам дополнительных 32-битных значений (n1, n2 или n3, n4). Причем выбор конкретного значения зависит от четности номера данной итерации.

Свойства и практическое применениеПравить

При разработке этого алгоритма главное внимание отводилось следующим свойствам и идеям:

  • использование большой (примерно 2 Kбайта) таблицы T, получаемой из большого 160-битного ключа;
  • чередование арифметических операций (сложение и побитовый XOR);
  • использование внутреннего состояния системы, которое явно не проявляется в потоке данных (значения n1, n2, n3 и n4, которые изменяют регистры в конце каждой итерации);
  • использование отличных друг от друга операций в зависимости от этапа итерации и её номера.

Для шифрования и расшифрования каждого байта текста шифр SEAL требует около четырёх машинных тактов. Он работает со скоростью примерно 58 Мбит/с на 32-битном процессоре с тактовой частотой 50 МГц и является одним из самых быстрых шифров.

ПримечанияПравить

  1. P.Rogaway, D.Coppersmith. A Software-Optimized Encryption Algorithm. — 1998.
  2. U.S. Patent 5 454 039 «Software-efficient pseudorandom function and the use thereof for encryption»

ИсточникиПравить

СсылкиПравить