Международный алгоритм шифрования данных - International Data Encryption Algorithm

ИДЕЯ
	Раунд шифрования IDEA
Общий
Дизайнеров	Сюэцзя Лай и Джеймс Мэсси
Происходит от	PES
Преемники	MMB, СЕТКА, Акеларре, ; ИДЕЯ NXT (ЛИСА)
Деталь шифра
Ключевые размеры	128 бит
Размеры блоков	64 бит
Структура	Схема Лая – Мэсси
Раундов	8.5
Лучшая публика криптоанализ
	Ключ может быть восстановлен с вычислительной сложностью 2126.1 используя узкий биклики. Эта атака вычислительно быстрее, чем полная атака грубой силой, хотя по состоянию на 2013 год она не является вычислительно возможной.

В криптография, то Международный алгоритм шифрования данных (ИДЕЯ), первоначально назывался Улучшенный предлагаемый стандарт шифрования (IPES), это симметричный ключ блочный шифр разработано Джеймс Мэсси из ETH Цюрих и Сюэцзя Лай и впервые был описан в 1991 году. Алгоритм был задуман как замена Стандарт шифрования данных (DES). IDEA - это небольшая переработка более ранней шифр Предлагаемый стандарт шифрования (PES).

Шифр был разработан в рамках исследовательского контракта с Фондом Хаслера, который стал частью Ascom-Tech AG. Шифр был запатентован в ряде стран, но был свободно доступен для некоммерческого использования. Название «ИДЕЯ» также является товарный знак. Последний патенты срок действия истек в 2012 году, и теперь IDEA не имеет патентов и, следовательно, полностью бесплатна для любого использования.^[2]^[3]

IDEA использовалась в Довольно хорошая конфиденциальность (PGP) v2.0 и был включен после исходного шифра, использованного в v1.0, BassOmatic, оказался небезопасным.^[4] IDEA - это необязательный алгоритм в OpenPGP стандарт.

Операция

IDEA работает на 64-битной блоки используя 128-битный ключ и состоит из серии из 8 одинаковых преобразований (a круглый, см. иллюстрацию) и выходное преобразование ( полукруглый). Процессы шифрования и дешифрования аналогичны. Безопасность IDEA во многом обеспечивается за счет чередования операций из разных группы — модульный сложение и умножение, а также побитовое Исключающее ИЛИ (XOR) - которые в некотором смысле алгебраически «несовместимы». Более подробно, эти операторы, которые все имеют дело с 16-битными величинами, следующие:

Побитовое XOR (исключающее ИЛИ) (обозначено синим плюсом в кружке ⊕).
Сложение по модулю 2¹⁶ (обозначен плюсом в зеленой рамке ⊞).
Умножение по модулю 2¹⁶ + 1, где нулевое слово (0x0000) во входных данных интерпретируется как 2¹⁶, и 2¹⁶ в выводе интерпретируется как слово со всеми нулями (0x0000) (обозначается красной точкой в кружке ⊙).

После 8 раундов наступает последний «полукруг», выходное преобразование, показанное ниже (замена двух средних значений отменяет обмен в конце последнего раунда, так что нет никакого чистого обмена):

Структура

Общая структура IDEA следует Схема Лая – Мэсси. XOR используется как для вычитания, так и для сложения. IDEA использует зависимую от ключа полукруглую функцию. Для работы с 16-битными словами (что означает 4 входа вместо 2 для 64-битного размера блока), IDEA использует схему Лая-Месси дважды параллельно, при этом две параллельные циклические функции переплетаются друг с другом. Для обеспечения достаточного распространения два субблока меняются местами после каждого раунда.

Ключевой график

В каждом раунде используется 6 16-битных подключей, а в полукруге - 4, всего 52 для 8,5 раундов. Первые 8 подключей извлекаются непосредственно из ключа, причем K1 из первого раунда является младшими 16 битами; следующие группы из 8 ключей создаются путем поворота основного ключа влево на 25 бит между каждой группой из 8. Это означает, что он поворачивается менее одного раза за раунд, в среднем, всего 6 оборотов.

Расшифровка

Расшифровка работает как шифрование, но порядок ключей раунда инвертируется, а подключи для нечетных раундов инвертируются. Например, значения подключей K1 – K4 заменяются на значения, обратные K49 – K52 для соответствующей групповой операции, K5 и K6 каждой группы должны быть заменены на K47 и K48 для дешифрования.

Безопасность

Дизайнеры проанализировали IDEA, чтобы сравнить ее силу с дифференциальный криптоанализ и пришел к выводу, что он невосприимчив при определенных предположениях. Не удалось линейный или алгебраической слабости. По состоянию на 2007 год^{[Обновить]}, лучшая атака, примененная ко всем ключам, может взломать IDEA, сокращенную до 6 раундов (полный шифр IDEA использует 8,5 раундов).^[5] Обратите внимание, что "перерыв" - это любая атака, требующая менее 2¹²⁸ операции; 6-раундовая атака требует 2⁶⁴ известные открытые тексты и 2^126.8 операции.

Брюс Шнайер В 1996 году высоко оценил IDEA, написав: «На мой взгляд, это лучший и наиболее безопасный алгоритм блокировки, доступный для общественности в настоящее время». (Прикладная криптография, 2-е изд.) Однако к 1999 году он больше не рекомендовал IDEA из-за доступности более быстрых алгоритмов, некоторого прогресса в ее криптоанализе и проблемы патентов.^[6]

В 2011 году полная 8,5-раундовая IDEA была взломана с помощью атаки «встречай посередине».^[7] Независимо в 2012 году полная 8,5-раундовая IDEA была взломана с использованием узконаправленнойатака бикликов, с уменьшением криптографической стойкости примерно на 2 бита, аналогично эффекту предыдущей атаки bicliques на AES; однако на практике эта атака не угрожает безопасности IDEA.^[8]

Слабые ключи

Очень простое расписание ключей делает IDEA подчиненным классу слабые ключи; некоторые ключи, содержащие большое количество 0 бит, создают слабое шифрование.^[9] На практике это не вызывает особого беспокойства, так как они достаточно редки, и в них нет необходимости явно избегать при генерации ключей случайным образом. Было предложено простое исправление: выполнение операции XOR для каждого подключа с 16-разрядной константой, например 0x0DAE.^[9]^[10]

Более крупные классы слабых ключей были обнаружены в 2002 году.^[11]

Это по-прежнему с ничтожно малой вероятностью может быть проблемой для случайно выбранного ключа, и некоторые проблемы решаются с помощью константы XOR, предложенной ранее, но в статье нет уверенности, все ли из них. Может потребоваться более полная переработка ключевого расписания IDEA.^[11]

Доступность

Заявка на патент IDEA была впервые подана в Швейцария (CH A 1690/90) 18 мая 1990 г. тогда была подана международная заявка на патент под Договор о патентной кооперации 16 мая 1991 г. В конечном итоге были получены патенты в г. Австрия, Франция, Германия, Италия, то Нидерланды, Испания, Швеция, Швейцария, то объединенное Королевство, (Запись в Европейском патентном реестре для Европейский патент № 0482154, поданной 16 мая 1991 г., выданной 22 июня 1994 г. и истекшей 16 мая 2011 г.), Соединенные Штаты (Патент США 5214703 (выдан 25 мая 1993 г. и истек 7 января 2012 г.) и Япония (JP 3225440) (срок действия истек 16 мая 2011 г.).^[12]

MediaCrypt AG теперь предлагает преемника IDEA и фокусируется на своем новом шифре (официальный выпуск в мае 2005 г.) ИДЕЯ NXT, который ранее назывался FOX.

Литература

Хусейн Демирджи, Эркан Тюре, Али Айдын Сельчук, Новая встреча в центре атаки на блочный шифр IDEA, 10-й ежегодный семинар по Избранные области криптографии, 2004.
Сюэцзя Лай и Джеймс Л. Мэсси, Предложение по новому стандарту блочного шифрования, ЕВРОКРИПТ 1990, стр. 389–404.
Сюэцзя Лай, Джеймс Л. Мэсси и С. Мерфи, Марковские шифры и дифференциальный криптоанализ, Достижения в криптологии - Eurocrypt '91, Springer-Verlag (1992), стр. 17–38.

внешняя ссылка

[1] "Narrow-Bicliques: криптоанализ полной идеи" (PDF). www.cs.bris.ac.uk.

[2] "Espacenet - Bibliografische Daten" (на немецком). Worldwide.espacenet.com. Получено 2013-06-15.

[3] "Espacenet - Bibliografische Daten" (на немецком). Worldwide.espacenet.com. Получено 2013-06-15.

[4] Гарфинкель, Симсон (1 декабря 1994 г.), PGP: Довольно хорошая конфиденциальность, O'Reilly Media, стр. 101–102, ISBN 978-1-56592-098-9.

[idea-cryptanalysis-5] Бихам, Э.; Дункельман, О .; Келлер, Н. «Новая атака на 6-раундовую IDEA». Springer-Verlag.

[6] "Slashdot: ответы на вопросы гуру криптографии Брюса Шнайера". slashdot.org. Получено 2010-08-15.

[7] Бихам, Эли; Дункельман, Орр; Келлер, Натан; Шамир, Ади (2011-08-22). «Новые атаки на IDEA с использованием как минимум 6 раундов». Журнал криптологии. 28 (2): 209–239. Дои:10.1007 / s00145-013-9162-9. ISSN 0933-2790.

[idea-narrow-bicliques-8] Ховратович, Дмитрий; Леурент, Гаэтан; Рехбергер, Кристиан (2012). Narrow-Bicliques: криптоанализ полной идеи. Достижения в криптологии - EUROCRYPT 2012. Конспект лекций по информатике. 7237. С. 392–410. Дои:10.1007/978-3-642-29011-4_24. ISBN 978-3-642-29010-7.

[weak-9] а ^б Дэмен, Джоан; Говертс, Рене; Вандевалле, Джоос (1993), "Слабые ключи для IDEA", Достижения в криптологии, Труды CRYPTO 93: 224–231, CiteSeerX 10.1.1.51.9466

[10] Накахара, Хорхе-младший; Пренил, Барт; Вандевалле, Джус (2002), Примечание о слабых ключах PES, IDEA и некоторых расширенных вариантах, CiteSeerX 10.1.1.20.1681

[weak2-11] а ^б Бирюков Алексей; Накахара, Хорхе-младший; Пренил, Барт; Вандевалле, Джус, «Новые слабые ключевые классы IDEA» (PDF), Информационная и коммуникационная безопасность, 4-я Международная конференция, ICICS 2002, Конспект лекций по информатике 2513: 315–326, В то время как проблема слабых ключей нуля или единицы в IDEA может быть исправлена путем XOR фиксированной константы для всех ключей (одна такая константа может быть 0DAE_Икс как предложено в [4]) проблема с запуском одного может все еще оставаться и потребует полного изменения ключевого расписания IDEA.

[12] «Выпущен GnuPG 1.4.13». Вернер Кох. Получено 2013-10-06.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]