IDE

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 7. oktober 2016; checks kræver 29 redigeringer .

IDEA, International Data Encryption Algorithm

Skaber	Ascom
Oprettet	1991
offentliggjort	1991
Nøglestørrelse	128 bit
Blokstørrelse	64 bit
Antal runder	8.5
Type	Feistel netværksmodifikation [1]

IDEA ( engelsk International Data Encryption Algorithm , international data encryption algorithm ) er en symmetrisk blokdatakrypteringsalgoritme patenteret af det schweiziske firma Ascom . Kendt for at blive brugt i PGP -krypteringssoftwarepakken . I november 2000 blev IDEA præsenteret som kandidat til NESSIE-projektet under Europa - Kommissionens IST-program ( Information Societies Technology , offentlige informationsteknologier).

Historie

Den første version af algoritmen blev udviklet i 1990 af Lai Xuejia ( Xuejia Lai ) og James Massey ( James Massey ) fra det schweiziske institut ETH Zürich (under kontrakt med Hasler Foundation , som senere fusionerede med Ascom-Tech AG) som erstatning for DES ( Eng. Data Encryption Standard , datakrypteringsstandard) og kaldte det PES ( Eng. Proposed Encryption Standard , den foreslåede krypteringsstandard). Derefter, efter offentliggørelsen af Bihams og Shamirs arbejde om den differentielle kryptoanalyse af PES, blev algoritmen forbedret for at forbedre kryptografisk styrke og blev navngivet IPES ( engelsk Improved Proposed Encryption Standard , forbedret foreslået krypteringsstandard). Et år senere blev det omdøbt til IDEA ( International Data Encryption Algorythm ) .

Beskrivelse

Da IDEA bruger en 128-bit nøgle og en 64-bit blokstørrelse , er klarteksten opdelt i blokke på 64 bit. Hvis en sådan partition ikke er mulig, polstres den sidste blok på forskellige måder med en bestemt sekvens af bit. For at undgå lækage af information om hver enkelt blok, bruges forskellige krypteringstilstande . Hver original ukrypteret 64 - bit blok er opdelt i fire underblokke på 16 bit hver, da alle algebraiske operationer, der bruges i krypteringsprocessen, udføres på 16-bit tal. IDEA bruger den samme algoritme til kryptering og dekryptering.

Den grundlæggende innovation i algoritmen er brugen af operationer fra forskellige algebraiske grupper , nemlig:

modulo tilføjelse $2^{16}$
modulo multiplikation $2^{{16}}+1$
bitvis eksklusiv ELLER ( XOR ).

Disse tre operationer er uforenelige i den forstand, at:

ikke to af dem opfylder fordelingsloven, dvs. $a*(b+c)\ \neq \ (a*b)+(a*c)$
ikke to af dem opfylder associeringsloven, dvs. $a+(b\oplus c)\ \neq \ (a+b)\oplus c$

Brugen af disse tre operationer gør IDEA sværere at kryptoanalysere end DES , som udelukkende er baseret på XOR -operationen , og eliminerer også brugen af S-bokse og erstatningstabeller. IDEA er en modifikation af Feistel-netværket .

Nøglegenerering

Fra 128-bit nøglen genereres seks 16-bit undernøgler for hver af de otte krypteringsrunder , og fire 16-bit undernøgler genereres til outputtransformationen. I alt kræves 52 = 8 x 6 + 4 forskellige undernøgler på hver 16 bit. Processen til at generere tooghalvtreds 16-bit nøgler er som følger:

Først opdeles 128-bit nøglen i otte 16-bit blokke. Disse vil være de første otte undernøgler på hver 16 bit − $(K_{1}^{{(1)}}K_{2}^{{(1)}}K_{3}^{{(1)}}K_{4}^{{(1)}}K_ {5}^{{(1)}}K_{6}^{{(1)}}K_{1}^{{(2)}}K_{2}^{{(2)}})$
Denne 128-bit nøgle roteres derefter til venstre med 25 positioner, hvorefter den nye 128-bit blok igen opdeles i otte 16-bit blokke. Dette er de næste otte undernøgler på hver 16 bit - $(K_{3}^{{(2)}}K_{4}^{{(2)}}K_{5}^{{(2)}}K_{6}^{{(2)}}K_ {1}^{{(3)}}K_{2}^{{(3)}}K_{3}^{{(3)}}K_{4}^{{(3)}})$
Rotations- og blokeringsproceduren fortsætter, indtil alle 52 16-bit undernøgler er blevet genereret.

Undernøgletabel for hver runde

Rundt tal	stik i
en	$K_{1}^{{(1)}}K_{2}^{{(1)}}K_{3}^{{(1)}}K_{4}^{{(1)}}K_{ 5}^{{(1)}}K_{6}^{{(1)}}$
2	$K_{1}^{{(2)}}K_{2}^{{(2)}}K_{3}^{{(2)}}K_{4}^{{(2)}}K_{ 5}^{{(2)}}K_{6}^{{(2)}}$
3	$K_{1}^{{(3)}}K_{2}^{{(3)}}K_{3}^{{(3)}}K_{4}^{{(3)}}K_{ 5}^{{(3)}}K_{6}^{{(3)}}$
fire	$K_{1}^{{(4)}}K_{2}^{{(4)}}K_{3}^{{(4)}}K_{4}^{{(4)}}K_{ 5}^{{(4)}}K_{6}^{{(4)}}$
5	$K_{1}^{{(5)}}K_{2}^{{(5)}}K_{3}^{{(5)}}K_{4}^{{(5)}}K_{ 5}^{{(5)}}K_{6}^{{(5)}}$
6	$K_{1}^{{(6)}}K_{2}^{{(6)}}K_{3}^{{(6)}}K_{4}^{{(6)}}K_{ 5}^{{(6)}}K_{6}^{{(6)}}$
7	$K_{1}^{{(7)}}K_{2}^{{(7)}}K_{3}^{{(7)}}K_{4}^{{(7)}}K_{ 5}^{{(7)}}K_{6}^{{(7)}}$
otte	$K_{1}^{{(8)}}K_{2}^{{(8)}}K_{3}^{{(8)}}K_{4}^{{(8)}}K_{ 5}^{{(8)}}K_{6}^{{(8)}}$
output transformation	$K_{1}^{{(9)}}K_{2}^{{(9)}}K_{3}^{{(9)}}K_{4}^{{(9)}}$

Kryptering

Strukturen af IDEA-algoritmen er vist i figuren. Krypteringsprocessen består af otte identiske runder af kryptering og en outputtransformation. Den originale klartekst er opdelt i blokke på 64 bit. Hver sådan blok er opdelt i fire underblokke på 16 bit hver. På figuren er disse underblokke betegnet , , , . Hver runde bruger sine egne undernøgler i henhold til undernøgletabellen. Følgende handlinger udføres på 16-bit undernøgler og underblokke i almindelig tekst: $D_{1}$ $D_{2}$ $D_{3}$ $D_{4}$

modulo multiplikation = 65537, og i stedet for nul, $2^{{16}}+1$ $2^{16}$
modulo tilføjelse $2^{16}$
bitvis XOR

I slutningen af hver krypteringsrunde er der fire 16-bit underblokke, som derefter bruges som input underblokke til den næste krypteringsrunde. Outputtransformationen er en forkortet runde, nemlig de fire 16-bit underblokke i outputtet fra den ottende runde og de fire tilsvarende underblokke udsættes for operationerne:

modulo multiplikation $2^{{16}}+1$
modulo tilføjelse $2^{16}$

Efter at have udført outputtransformationen er sammenkædningen af underblokkene , , og chifferteksten. Derefter tages den næste 64-bit blok af almindelig tekst, og krypteringsalgoritmen gentages. Dette fortsætter, indtil alle 64-bit blokke af den originale tekst er krypteret. $D_{1}'$ $D_{2}'$ $D_{3}'$ $D_{4}'$

Matematisk beskrivelse

En 64-bit bloktekst er opdelt i fire lige store 16-bit underblokke. $(D_{1}^{{(0)}},D_{2}^{{(0)}},D_{3}^{{(0)}},D_{4}^{{(0) }})$
For hver runde beregnes: $(i=1...8)$

$A^{{(i)}}\ =\ D_{1}^{{(i-1)}}*K_{1}^{{(i)}}$
$B^{{(i)}}\ =\ D_{2}^{{(i-1)}}+K_{2}^{{(i)}}$
$C^{{(i)}}\ =\ D_{3}^{{(i-1)}}+K_{3}^{{(i)}}$
$D^{{(i)}}\ =\ D_{4}^{{(i-1)}}*K_{4}^{{(i)}}$
$E^{{(i)}}\ =\ A^{{(i)}}\oplus C^{{(i)}}$
$F^{{(i)}}\ =\ B^{{(i)}}\oplus D^{{(i)}}$

$D_{1}^{{(i)}}\ =\ A^{{(i)}}\oplus ((F^{{(i)}}+E^{{(i)}}*K_{ 5}^{{(i)}})*K_{6}^{{(i)}})$
$D_{2}^{{(i)}}\ =\ C^{{(i)}}\oplus ((F^{{(i)}}+E^{{(i)}}*K_{ 5}^{{(i)}})*K_{6}^{{(i)}})$
$D_{3}^{{(i)}}\ =\ B^{{(i)}}\oplus (E^{{(i)}}*K_{5}^{{(i)}}+ (F^{{(i)}}+E^{{(i)}}*K_{5}^{{(i)}})*K_{6}^{{(i)}})$
$D_{4}^{{(i)}}\ =\ D^{{(i)}}\oplus (E^{{(i)}}*K_{5}^{{(i)}}+ (F^{{(i)}}+E^{{(i)}}*K_{5}^{{(i)}})*K_{6}^{{(i)}})$
Resultatet af udførelsen af otte runder vil være de følgende fire underblokke $(D_{1}^{{(8)}},D_{2}^{{(8)}},D_{3}^{{(8)}},D_{4}^{{(8) }})$

En outputtransformation udføres : $(i=9)$

$D_{1}^{{(9)}}\ =\ D_{1}^{{(8)}}*K_{1}^{{(9)}}$
$D_{2}^{{(9)}}\ =\ D_{3}^{{(8)}}+K_{2}^{{(9)}}$
$D_{3}^{{(9)}}\ =\ D_{2}^{{(8)}}+K_{3}^{{(9)}}$
$D_{4}^{{(9)}}\ =\ D_{4}^{{(8)}}*K_{4}^{{(9)}}$
Resultatet af at udføre outputtransformationen er chifferteksten $(D_{1}^{{(9)}},D_{2}^{{(9)}},D_{3}^{{(9)}},D_{4}^{{(9) }})$

Afskrift

Beregningsmetoden, der bruges til at dekryptere en tekst, er i det væsentlige den samme som den, der bruges til at kryptere den. Den eneste forskel er, at forskellige undernøgler bruges til dekryptering. Under dekrypteringsprocessen skal undernøglerne bruges i omvendt rækkefølge. Den første og fjerde undernøgle af den i-te runde af dekryptering opnås fra den første og fjerde undernøgle af den (10-i) runde af kryptering ved multiplikativ inversion. For 1. og 9. runde opnås den anden og tredje dekrypteringsundernøgle fra den anden og tredje undernøgle i 9. og 1. krypteringsrunde ved additiv inversion. For runde 2 til 8 opnås den anden og tredje dekrypteringsundernøgle fra den tredje og anden undernøgle af krypteringsrunde 8 til 2 ved additiv inversion. De sidste to undernøgler i den i-te dekrypteringsrunde er lig med de sidste to undernøgler i den (9-i) krypteringsrunde. Den multiplikative inversion af undernøglen K er angivet med 1/K og . Da er et primtal , har hvert ikke-nul heltal K en unik multiplikativ invers modulo . Den additive inversion af K-undernøglen er angivet med -K og . $(1/K)*K=1\ mod\ (2^{{16}}+1)$ $2^{{16}}+1$ $2^{{16}}+1$ $-K+K=0\ mod\ (2^{{16}})$

Undernøgletabel for hver runde

Rundt tal	stik i
en	$1/K_{1}^{{(9)}}\ -K_{2}^{{(9)}}\ -K_{3}^{{(9)}}\ 1/K_{4}^ {{(9)}}\ K_{5}^{{(8)}}\ K_{6}^{{(8)}}$
2	$1/K_{1}^{{(8)}}\ -K_{3}^{{(8)}}\ -K_{2}^{{(8)}}\ 1/K_{4}^ {{(8)}}\ K_{5}^{{(7)}}\ K_{6}^{{(7)}}$
3	$1/K_{1}^{{(7)}}\ -K_{3}^{{(7)}}\ -K_{2}^{{(7)}}\ 1/K_{4}^ {{(7)}}\ K_{5}^{{(6)}}\ K_{6}^{{(6)}}$
fire	$1/K_{1}^{{(6)}}\ -K_{3}^{{(6)}}\ -K_{2}^{{(6)}}\ 1/K_{4}^ {{(6)}}\ K_{5}^{{(5)}}\ K_{6}^{{(5)}}$
5	$1/K_{1}^{{(5)}}\ -K_{3}^{{(5)}}\ -K_{2}^{{(5)}}\ 1/K_{4}^ {{(5)}}\ K_{5}^{{(4)}}\ K_{6}^{{(4)}}$
6	$1/K_{1}^{{(4)}}\ -K_{3}^{{(4)}}\ -K_{2}^{{(4)}}\ 1/K_{4}^ {{(4)}}\ K_{5}^{{(3)}}\ K_{6}^{{(3)}}$
7	$1/K_{1}^{{(3)}}\ -K_{3}^{{(3)}}\ -K_{2}^{{(3)}}\ 1/K_{4}^ {{(3)}}\ K_{5}^{{(2)}}\ K_{6}^{{(2)}}$
otte	$1/K_{1}^{{(2)}}\ -K_{3}^{{(2)}}\ -K_{2}^{{(2)}}\ 1/K_{4}^ {{(2)}}\ K_{5}^{{(1)}}\ K_{6}^{{(1)}}$
output transformation	$1/K_{1}^{{(1)}}\ -K_{2}^{{(1)}}\ -K_{3}^{{(1)}}\ 1/K_{4}^ {{(en)}}$

Eksempel

For nemheds skyld er tallene præsenteret i hexadecimal form.

Krypteringseksempel

Vi bruger K = (0001,0002,0003,0004,0005,0006,0007,0008) som en 128-bit nøgle , og M = (0000,0001,0002,0003) som en 64-bit almindelig tekst

Tabel over undernøgler og underblokke for hver runde

Rund	Runde nøgler						Datablokværdier
Rund	$K_{1}^{{(i)}}$	$K_{2}^{{(i)}}$	$K_{3}^{{(i)}}$	$K_{4}^{{(i)}}$	$K_{5}^{{(i)}}$	$K_{6}^{{(i)}}$	$D_{1}^{{(i)}}$	$D_{2}^{{(i)}}$	$D_{3}^{{(i)}}$	$D_{4}^{{(i)}}$
—	—	—	—	—	—	—	0000	0001	0002	0003
en	0001	0002	0003	0004	0005	0006	00f0	00f5	010a	0105
2	0007	0008	0400	0600	0800	0a00	222f	21b5	f45e	e959
3	0c00	0e00	1000	0200	0010	0014	0f86	39be	8ee8	1173
fire	0018	001c	0020	0004	0008	000c	57df	ac58	c65b	ba4d
5	2800	3000	3800	4000	0800	1000	8e81	ba9c	f77f	3a4a
6	1800	2000	0070	0080	0010	0020	6942	9409	e21b	1c64
7	0030	0040	0050	0060	0000	2000	99d0	c7f6	5331	620e
otte	4000	6000	8000	a000	c000	e001	0a24	0098	ec6b	4925
9	0080	00c0	0100	0140	-	-	11fb	ed2b	0198	6de5

Dekrypteringseksempel

Som en 128-bit nøgle bruger vi K = (0001,0002,0003,0004,0005,0006,0007,0008), og som en 64-bit chiffertekst C = (11fb, ed2b, 0198, 6de5)

Tabel over undernøgler og underblokke for hver runde

Rund	Runde nøgler						Datablokværdier
Rund	$K_{1}^{{'(i)}}$	$K_{2}^{{'(i)}}$	$K_{3}^{{'(i)}}$	$K_{4}^{{'(i)}}$	$K_{5}^{{'(i)}}$	$K_{6}^{{'(i)}}$	$D_{1}^{{(i)}}$	$D_{2}^{{(i)}}$	$D_{3}^{{(i)}}$	$D_{4}^{{(i)}}$
en	fe01	ff40	ff00	659a	c000	e001	d98d	d331	27f6	82b8
2	fffd	8000	a000	cccc	0000	2000	bc4d	e26b	9449	a576
3	a556	ffb0	ffc0	52ab	0010	0020	0aa4	f7ef	da9c	24e3
fire	554b	ff90	e000	fe01	0800	1000	ca 46	fe5b	dc58	116d
5	332d	c800	d000	fffd	0008	000c	748f	8f08	39 da	45cc
6	4aab	ffe0	ffe4	c001	0010	0014	3266	045e	2fb5	b02e
7	aa96	f000	f200	ff81	0800	0a00	0690	050a	00fd	1dfa
otte	4925	fc00	fff8	552b	0005	0006	0000	0005	0003	000c
9	0001	fffe	fffd	c001	-	-	0000	0001	0002	0003

Krypteringstilstande

IDEA er en blokkrypteringsalgoritme, der fungerer med 64-bit blokke. Hvis størrelsen på den krypterede tekst ikke matcher denne faste størrelse, udfyldes blokken til 64.

Algoritmen bruges i en af følgende krypteringstilstande [ISO 1] :

Elektronisk kodebog ( ECB ) tilstand
Cipher Block Chaining ( CBC ) tilstand
Cipher Feedback ( CFB ) tilstand
Output Feedback Mode ( OFB )

Algoritmen kan også bruges til at beregne

Beskedgodkendelseskode (MAC ) [ ISO 2 ] [ISO 3]
hash- værdier [ISO 4]
nøglefordeling [ISO 5]

Hardwareimplementering

Hardwareimplementering har følgende fordele i forhold til software:

en betydelig stigning i krypteringshastigheden på grund af brugen af parallelitet i udførelsen af operationer
lavere strømforbrug

Den første implementering af IDEA-algoritmen på et integreret kredsløb ( Very Large Scale Integration ) blev udviklet og verificeret af Lai, Massey og Murphy i 1992 ved hjælp af en 1,5 µm proces og CMOS [IS 1] teknologi . Krypteringshastigheden på denne enhed var 44 Mb/s.

I 1994 blev VINCI -enheden udviklet af Kariger, Bonnenberg, Zimmerman et al . Krypteringshastigheden for denne implementering af IDEA var 177 Mb/s ved en clockfrekvens på 25 MHz , en fremstillingsproces på 1,2 mikron. Det var den første halvlederenhed, der allerede kunne bruges til realtidskryptering i højhastighedsnetværksprotokoller såsom ATM ( Asynchronous Transfer Mode , en asynkron dataoverførselsmetode) eller FDDI ( Fiber Distributed Data Interface , en distribueret fiberdatagrænseflade) . Hastigheden på 177 Mb/s blev opnået ved brug af en ret sofistikeret pipeline- behandlingsplan og fire konventionelle modulo-multiplikatorer . Enheden bruger også to ensrettede højhastigheds 16-bit dataporte. Disse porte giver en konstant belastning af krypteringsblokke [IS 2] [IS 3] . $2^{{16}}+1$

Allerede næste år præsenterede Voltaire et al. en enhed med en krypteringshastighed på 355 Mb/s. Denne hastighed blev opnået takket være implementeringen af en runde kryptering på en 0,8 mikron proces ved hjælp af CMOS teknologi . Arkitekturen af denne enhed inkluderer en parallel selvtest baseret på et modulo 3 fejlhåndteringssystem, der giver dig mulighed for at bestemme de fejl, der opstår i en eller flere bits i IDEA-datastien, hvilket gør det muligt pålideligt at forhindre korruption af krypteret eller dekrypterede data [IS 4] .

Den højeste krypteringshastighed på 424 Mb/s i 1998 på et enkelt integreret kredsløb blev opnået af en gruppe ingeniører ledet af Salomao fra Federal University of Rio de Janeiro COPPE på en 0,7 mikron proces ved en frekvens på 53 MHz. Arkitekturen af denne implementering bruger både rumlig og tidsmæssig parallelisme, der er tilgængelig i IDEA-algoritmen [IS 5] .

Samme år blev IDEA af Menser et al. implementeret på fire XC4020XL-enheder. Krypteringshastigheden på 4 x XC4020XL er 528 Mbps [IS 6] .

I 1999 blev to kommercielle implementeringer af IDEA præsenteret af Ascom. Den første kaldes IDEACrypt Kernel og opnår hastigheder på 720 Mbps ved hjælp af 0,25 µm teknologi [IS 7] . Den anden hedder IDEACrypt Coprocessor, baseret på IDEACrypt Kernel og opnår en krypteringshastighed på 300 Mb/s [IS 8] .

I 2000 frigav ingeniører fra det kinesiske universitet i Hong Kong, Liong et al., krypteringsenheder baseret på Xilinx FPGA'er : Virtex XCV300-6 og XCV1000-6 [IS 9] . Krypteringshastigheden på Virtex XCV300-6 når 500 Mb/s ved 125 MHz, og den forventede ydeevne for XCV1000-6 er 2,35 Gb/s, hvilket gør denne enhed velegnet til kryptering i højhastighedsnetværk. Høj krypteringshastighed blev opnået ved hjælp af en bit-sekventiel arkitektur til at udføre modulo multiplikationsoperationen . Resultaterne af eksperimenter med forskellige enheder er opsummeret i tabellen: $2^{{16}}+1$

Enhedsspecifikationer

Enhed (XCV)	300-6	600-6	1000-6
skalerbarhed	1x	2x	4x
antal afsnit	2801	5602	11204
brug af afsnit	91,18 %	81,05 %	91,18 %
klokfrekvens (MHz)	125,0	136,6	147,1
krypteringer pr. sekund (x ) $10^{6}$	7,813	17.075	36.775
krypteringshastighed (Mb/s)	500,0	1092,8	2353,6
latenstid (µs)	7.384	6.757	6,275

Lidt senere foreslog de samme udviklere en enhed baseret på Xilinx Virtex XCV300-6 FPGA baseret på en bit-parallel arkitektur. Når den implementeres ved hjælp af den bit-parallelle arkitektur ved 82 MHz, er XCV300-6-krypteringshastigheden 1166 Mb/s, mens der med den bit-serielle arkitektur blev opnået 600 Mb/s ved 150 MHz. XCV300-6 med begge arkitekturer er skalerbar. Ved at bruge den bitparallelle arkitektur er den estimerede krypteringshastighed for XCV1000-6 5,25 Gb/s [IS 10] .

Også i 2000 udviklede Goldstein et al. en PipeRench FPGA -enhed ved hjælp af en 0,25 µm fremstillingsproces med en krypteringshastighed på 1013 Mbps [IS 11] .

Udvikling af hardwareimplementeringer af IDEA

År	Implementering	Krypteringshastighed (Mb/s)	Forfatterne
1998	software	23,53	Limpaa
2000	software [1]	44	Limpaa
1992	ASIC 1,5 µm CMOS	44	Bonnenberg og andre.
1994	ASIC 1,2 µm CMOS	177	Curiger, Zimmermann m.fl.
1995	ASIC 0,8 µm CMOS	355	Wolter og andre
1998	ASIC 0,7 µm CMOS	424	Salomao og andre.
1998	4 x XC4020XL	528	Mencer og andre.
1999	ASIC 0,25 µm CMOS	720	Ascom
2000	Xilinx Virtex XCV300-6	1166	Leong og andre.
2000	ASIC 0,25 µm CMOS	1013	Goldstein og andre.

I 2002 blev et arbejde offentliggjort om implementeringen af IDEA på FPGA'er fra det samme firma Xilinx fra Virtex-E-familien. XCV1000E-6BG560 ved 105,9 MHz opnår en krypteringshastighed på 6,78 Gb/s. [2]

FPGA - baserede implementeringer er et godt valg, når det kommer til højtydende kryptografi. Blandt applikationerne er VPN ( engelsk Virtual Private Networks , virtuelt privat netværk), kommunikation via satellit samt hardwareacceleratorer til kryptering af enorme filer eller hele harddiske .

Sikkerhed

IDEA-algoritmen dukkede op som et resultat af mindre ændringer af PES-algoritmen. Figuren viser strukturerne af begge algoritmer, og det er tydeligt, at der ikke er så mange ændringer:

subblok multiplikation med anden runde undernøgle erstattet af addition $D_{2}$
subblokaddition med fjerde runde undernøgle erstattet med multiplikation $D_{4}$
ændret skift af underblokke i slutningen af runden

En af de mest berømte kryptologer i verden, Bruce Schneier , bemærkede i sin bog "Applied Cryptography": "... det er utroligt, hvordan så små ændringer kan føre til så store forskelle."

I samme bog fra 1996 sagde Bruce Schneier om IDEA: "Jeg tror, det er den bedste og mest robuste blokalgoritme, der er offentliggjort til dato."

IDEA-algoritmen bruger 64-bit blokke. Bloklængden skal være tilstrækkelig til at skjule den oprindelige meddelelses statistiske karakteristika. Men med en stigning i blokstørrelsen øges kompleksiteten ved at implementere en kryptografisk algoritme eksponentielt. IDEA-algoritmen bruger en 128-bit nøgle. Nøglens længde skal være stor nok til at forhindre iteration over nøglen. For at åbne en 128-bit nøgle ved brute-force-søgning, forudsat at den åbne tekst og den tilsvarende chiffertekst er kendt, kræves krypteringer (i størrelsesordenen ). Med denne nøglelængde anses IDEA for at være ret sikker. IDEAs høje kryptografiske styrke er også leveret af følgende egenskaber: $2^{128}$ $10^{{38}}$

obfuscation - kryptering afhænger af nøglen på en kompleks og forvirrende måde
spredning - hver bit af klarteksten påvirker hver bit af chifferteksten

Lai Xuejia ( Xuejia Lai ) og James Massey ( James Massey ) udførte en grundig analyse af IDEA for at afklare dens kryptografiske modstand mod differentiel kryptoanalyse . For at gøre dette introducerede de konceptet med en Markov-chiffer og demonstrerede, at modstand mod differentiel kryptoanalyse kan modelleres og kvantificeres [sikkerhed 1] . Der var ingen lineære eller algebraiske svagheder i IDEA. Bihams forsøg på angreb med linked-key kryptoanalyse var også mislykket [styrke 2] .

Der er vellykkede angreb gældende for IDEA med færre runder (fuld IDEA har 8,5 runder). Et angreb anses for at være vellykket, hvis det kræver færre operationer at bryde chifferen end med en fuld opregning af nøglerne. Willi Meiers angrebsmetode viste sig kun at være mere effektiv end brute force angreb for IDEA med 2 runder [hårdhed 3] . Mød-i-midten- metoden åbnede IDEA med 4,5 runder. Dette kræver kendskab til alle blokke fra kodeordbogen og kompleksiteten af analysen er operationer [hårdhed 4] . Det bedste angreb for 2007 gælder for alle nøgler og kan knække IDEA med 6 runder [Fortitude 5] . $2^{64}$ $2^{112}$

Svage taster

Der er store klasser af svage nøgler . De er svage i den forstand, at der er procedurer, der giver dig mulighed for at afgøre, om nøglen tilhører en given klasse, og så selve nøglen. Følgende er kendt i øjeblikket:

$2^{{23}}+2^{{35}}+2^{{51}}$ nøgler svage til differentiel kryptoanalyse . Klassemedlemskab kan beregnes i operationer ved hjælp af matchet almindelig tekst. Forfatterne til dette angreb foreslog en ændring af IDEA-algoritmen. Denne modifikation består i at erstatte undernøglerne med de tilsvarende , hvor r er nummeret på krypteringsrunden. Den nøjagtige værdi af a er ikke kritisk. For eksempel, når (i hexadecimal notation ) disse svage nøgler er udelukket [styrke 6] . $2^{{51}}$ $2^{12}$ $K_{i}^{{(r)}}$ $K_{i}^{{'(r)}}\ =a\oplus K_{i}^{{(r)}}$ $a\ =\ 0dae$

$2^{{63}}$ nøgler svage til lineær differentiel kryptoanalyse [styrke 7] . Medlemskab i denne klasse bestemmes ved hjælp af en test på de tilhørende nøgler.

$2^{{53}}+2^{{56}}+2^{{64}}$ Svage nøgler blev fundet ved hjælp af boomerangangrebsmetoden foreslået af David Wagner [styrke 8 ] . Testen for at tilhøre denne klasse udføres i operationer og vil kræve hukommelsesceller [hårdhed 9] . $2^{16}$ $2^{16}$

Eksistensen af så store klasser af svage nøgler påvirker ikke den praktiske kryptografiske styrke af IDEA-algoritmen, da det samlede antal af alle mulige nøgler er . $2^{128}$

Sammenligning med nogle blokalgoritmer

DES , Blowfish og GOST 28147-89 er udvalgt til sammenligning med IDEA . Valget af DES skyldes, at IDEA er designet som erstatning. Blowfish er valgt, fordi den er hurtig og blev opfundet af den kendte kryptolog Bruce Schneier. Også valgt til sammenligning er GOST 28147-89 , en blokchiffer udviklet i USSR . Som det kan ses af tabellen, er IDEA-nøglestørrelsen større end DES, men mindre end GOST 28147-89 og Blowfish. Krypteringshastigheden for IDEA på Intel486SX /33MHz er 2 gange højere end DES, højere end GOST 28147-89, men næsten 2 gange mindre end Blowfish.

Parameter tabel

Algoritme	Nøglestørrelse, bit	Blok længde, bit	Antal runder	Krypteringshastighed ved Intel486SX /33MHz (KB/s)	Grundlæggende operationer
DES	56	64	16	35	Substitution, permutation, bitvis XOR
IDE	128	64	otte	70	Modulo multiplikation, modulo addition , bitvis XOR $2^{{16}}+1$ $2^{16}$
blæsefisk	32-448	64	16	135	Modulo addition , substitution, bitvis XOR $2^{32}$
GOST 28147-89	256	64	32	53	Modulo addition , substitution, bitvis XOR, cirkulært skift $2^{32}$

Nedenfor er en tabel, der sammenligner hastigheder i softwareimplementering på Pentium , Pentium MMX , Pentium II , Pentium III processorer . Betegnelsen 4-vejs IDEA betyder, at 4 krypterings- eller dekrypteringsoperationer udføres parallelt. For at gøre dette bruges algoritmen i parallelle krypteringstilstande. Helger Limpaa implementerede 4-vejs IDEA i elektronisk kodebogs chiffertilstand ( CBC4 ) og tællertilstand (CTR4). Således blev en krypterings-/dekrypteringshastighed på 260-275 Mbps opnået ved brug af CBC4 ved 500 MHz Pentium III og ved anvendelse af CTR4 ved 450 MHz Pentium III . I ovenstående tabel er hastighederne skaleret til en hypotetisk 3200 MHz maskine.

Hastighedssammenligningstabel

Blok chiffer	Blok længde, bit	Antal cyklusser	Krypteringshastighed, MB/s	Forfatter	CPU
Firkant	128	192	254,4	Limpaa	Pentium II
RC6	128	219	222,8	Limpaa	Pentium II , Pentium III
4-vejs IDÉ	4x64	440	222,0	Limpaa	Pentium III
Rijndael	128	226	216,0	Limpaa	Pentium II , Pentium III
Firkant	128	244	200,0	Bosselaers	Pentium
4-vejs IDÉ	4x64	543	180,0	Limpaa	Pentium MMX
SC2000	128	270	180,8	Limpaa	Pentium II , Pentium III , gcc (ingen asm )
4-vejs IDÉ	4x64	554	176,4	Limpaa	AMD Athlon
To fisk	128	277	176,4	Aoki, Limpaa	Pentium II , Pentium III
Rijndael	128	300	162,8	Gladman	Pentium III
Camellia	128	302	161,6	Aoki	Pentium II , Pentium III
MARS	128	306	160,0	Limpaa	Pentium II , Pentium III
blæsefisk	64	158	154,4	Bosselaers	Pentium
RC5-32/16	64	199	122,8	Bosselaers	Pentium
CAST5	64	220	110,8	Bosselaers	Pentium
DES	64	340	72,0	Bosselaers	Pentium
IDE	64	358	68,0	Limpaa	Pentium MMX
SIKRERE (S)K-128	64	418	58,4	Bosselaers	Pentium
HAJ	64	585	41,6	Bosselaers	Pentium
IDE	64	590	41,2	Bosselaers	Pentium
3DES	64	158	154,4	Bosselaers	Pentium

Fordele og ulemper ved IDEA

Fordele

I softwareimplementering på Intel486SX sammenlignet med DES er IDEA dobbelt så hurtigt, hvilket er en markant stigning i hastigheden, IDEA har en nøglelængde på 128 bit, sammenlignet med 56 bit for DES, hvilket er en god forbedring mod brute force. Sandsynligheden for at bruge svage taster er meget lille og beløber sig til . IDEA er hurtigere end GOST 28147-89-algoritmen (i softwareimplementering på Intel486SX ). Brug af IDEA i parallelle krypteringstilstande på Pentium III- og Pentium MMX-processorer giver dig mulighed for at få høje hastigheder. Sammenlignet med AES-finalisterne er 4-vejs IDEA kun lidt langsommere end Pentium II RC6 og Rijndael , men hurtigere end Twofish og MARS . På Pentium III er 4-vejs IDEA endnu hurtigere end RC6 og Rijndael . Fordelen er også god viden og modstand mod velkendte metoder til kryptoanalyse. $1/2^{{64}}$

Ulemper

IDEA er betydeligt langsommere, næsten to gange langsommere end Blowfish (i softwareimplementering på Intel486SX ). IDEA giver ikke mulighed for at øge nøglelængden.

Sammenligning med nogle blokcifre i PGP-implementeringen

Sammenligningstabel over hovedparametrene for blokcifre i PGP -implementeringen [2]

Algoritme	Nøgle, lidt	Blok, lidt	Noter
Triple-DES	168	64	Feistel netværk ; har et mellemrum med semi-svage og svage taster.
AES ( Rijndael )	256	128	Baseret på data array tabel operationer; accepteret som stat standard i USA; har høj kryptografisk styrke.
CAST6	128	64	Feistel netværk ; har ingen svage nøgler; modstandsdygtig over for kryptoanalyse.
IDE	128	64	Baseret på at blande operationer fra forskellige algebraiske grupper; har et svagt nøglerum; ikke alle værker om kryptoanalyse er blevet offentliggjort.
To fisk	256	128	Feistel netværk ; hurtig ved kryptering, langsom nøgleopsætning; det er relativt komplekst, hvilket gør analyse vanskelig; har en stor sikkerhedsmargin.
blæsefisk	max 448	64	Feistel netværk ; hurtig ved kryptering, langsom nøgleopsætning; forholdsvis enkel; har et lille rum med svage taster; har en stor sikkerhedsmargin.

Anvender IDEA

Tidligere var algoritmen patenteret i mange lande, og selve navnet "IDEA" var et registreret varemærke. Det sidste patent forbundet med algoritmen udløb dog i 2012, og nu kan selve algoritmen frit bruges til ethvert formål. I 2005 introducerede MediaCrypt AG (IDEA's licenshaver) officielt den nye IDEA NXT -chiffer (oprindeligt kaldet FOX) for at erstatte IDEA. Typiske applikationer til IDEA:

kryptering af lyd- og videodata til kabel-tv , videokonferencer , fjernundervisning , VoIP
beskyttelse af kommercielle og finansielle oplysninger , der afspejler markedsudsving
kommunikationslinjer via modem , router eller ATM -linje, GSM - teknologi
smartkort
offentlig pakke med fortrolig e- mail version PGP v2.0 [3] og (valgfrit) i OpenPGP

Registrering af IDEA-algoritmen i standarderne

ISO 9979/0002 : ISO register over kryptografiske algoritmer - ISO registrering af kryptografiske algoritmer
UN / EDIFACT ( engelske United Nations / Electronic Data Interchange For Administration, Commerce and Transport - UN / Electronic Data Interchange for administration, commerce and transport): EDIFACT Security Implementation Guidelines - sikkerhedsanbefalinger
ITU-T-anbefaling H.233: Fortrolighedssystem for audiovisuelle tjenester - Anbefaling H.233: Fortrolighedssystem for audiovisuelle tjenester
IETF ( Internet Engineering Task Force ) RFC 3058 : Brug af IDEA Encryption Algorithm i CMS
TBSS: Telematic Base Security Services - grundlæggende sikkerhed for fjerndatabehandlingstjeneste
OpenSSL er en open source kryptografisk pakke til håndtering af SSL / TLS
WAP ( Wireless Application Protocol ) WTLS ( Wireless Transport Layer Security )
NESSIE ( eng. New European Schemes for Signature, Integrity, and Encryption - new European projects on digital signatur, integrity and encryption)

Kilder

Xuejia Lai og James Massey. Forslag til en ny blokkrypteringsstandard, EUROCRYPT 1990. - Springer-Verlag, 1991. - S. 389-404. — ISBN 3-540-53587-X .
Xuejia Lai og James Massey. Markov ciphers and differential cryptanalysis = Markov ciphers and differential cryptanalysis, Advances in Cryptology, EUROCRYPT 1991. - Springer-Verlag, 1992. - S. 17-38. — ISBN 3540546200 .
Menezes A. J. , Oorschot P. v. , Vanstone S. A. Handbook of Applied Cryptography (engelsk) - CRC Press , 1996. - 816 s. — ( Diskret matematik og dens anvendelser ) — ISBN 978-0-8493-8523-0
Schneier B. Anvendt kryptografi. Protokoller, algoritmer, kildekode i C-sprog = Applied Cryptography. Protocols, Algoritms and Source Code in C. - M. : Triumph, 2002. - 816 s. - 3000 eksemplarer. - ISBN 5-89392-055-4 .
Huseyin Demirci, Erkan Türe, Ali Aydin Selçuk. Et nyt møde i midten angreb på IDEA Block Cipher: Proceedings of Conf. / 10. årlige workshop om udvalgte områder i kryptografi, 2003.
Helger Limpaa. IDÉ: En chiffer til multimediearkitekturer? = IDÉ: En chiffer til multimediearkitekturer? I Stafford Tavares og Henk Meijer, redaktører, Selected Areas in Cryptography '98, bind 1556 af Lecture Notes in Computer Science - Springer-Verlag, 17.-18. august 1998. - S. 248-263.

Noter

↑ Menezes, Oorschot, Vanstone, 1996 , s. 263.
↑ En sammenlignende gennemgang af PGP-algoritmer . Hentet 10. november 2008. Arkiveret fra originalen 13. maj 2012. (Russisk)
↑ S. Garfinkel. Pretty Good Privacy = PGP: Pretty Good Privacy. - 1. december 1994. - 430 s. — ISBN 978-1565920989 .

Sikkerhed

↑ X. Lai. On the Design and Security of Block Ciphers, ETH Series in Information Processing // Lecture Notes in Computer Science = Lecture Notes in Computer Science. - Berlin / Heidelberg: Springer-Verlag, 10. april 2006 - S. 213-222. — ISBN 978-3-540-62031-0 .
↑ E. Biham, personlig kommunikation, 1993
↑ W. Meier, HTL. Brugg Windisch, Schweiz. Om sikkerheden af IDEA Block Cipher // Workshop om teori og anvendelse af kryptografiske teknikker om fremskridt i Сryptologi EUROCRYPT '93-procedurer. - Secaucus, NJ, USA: Springer-Verlag New York, Inc., 1994. - S. 371-385. — ISBN 3-540-57600-2 .
↑ Biham E. , Biryukov A. , Shamir A. Miss in the Middle Attacks on IDEA and Khufu // Fast Software Encryption : 6th International Workshop , FSE'99 Rome, Italy, March 24–26, 1999 Proceedings / L. R. Knudsen - Berlin , Heidelberg , New York, NY , London [etc.] : Springer Berlin Heidelberg , 1999. - S. 124-138. - ( Lecture Notes in Computer Science ; Vol. 1636) - ISBN 978-3-540-66226-6 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-48519-8_10
↑ E. Biham, O. Dunkelman, N. Keller. Et nyt angreb på 6-Runds IDÉ // Forelæsningsnotater i datalogi = Forelæsningsnotater i datalogi. - Berlin / Heidelberg: Springer-Verlag, 18. august 2007 - S. 211-224. — ISBN 978-3-540-74617-1 .
↑ J. Daemen, R. Govaerts og J. Vandewalle. Weak Keys for IDEA // Forelæsningsnotater om teorien om computersystemer; Kommissionens arbejde ved den 13. årlige internationale konference om kryptologi EUROCRYPT 1993 = Lecture Notes In Computer Science; Proceedings fra den 13. årlige internationale kryptologikonference om fremskridt inden for kryptologi. - London, Storbritannien: Springer-Verlag, 1993. - S. 224-231. — ISBN 3-540-57766-1 .
↑ P. Hawkes. Differential-lineær svage nøgleklasser af IDEA // Forelæsningsnotater i datalogi = Forelæsningsnotater i datalogi. - Berlin / Heidelberg: Springer-Verlag, 28. juli 2006 - S. 112-126. — ISBN 978-3-540-64518-4 .
↑ D. Wagner. Boomerangangrebet // Forelæsningsnotater om teorien om computersystemer; Panelarbejde ved det 6. internationale seminar om hurtig softwarekryptering = Lecture Notes In Computer Science; Proceedings of the 6th International Workshop on Fast Software Encryption. - London, Storbritannien: Springer-Verlag, 1999. - S. 156-170. — ISBN 3-540-66226-X .
↑ A. Biryukov, J. Nakahara Jr, B. Preneel, J. Vandewalle. New Weak-Key Classes of IDEA // Forelæsningsnotater om teorien om computersystemer; Kommissionens arbejde ved den fjerde internationale konference om informations- og kommunikationssikkerhed = Lecture Notes In Computer Science; Proceedings fra den 4. internationale konference om informations- og kommunikationssikkerhed. - London, Storbritannien: Springer-Verlag, 2002. - S. 315-326. — ISBN 3-540-00164-6 . Arkiveret 28. september 2011 på Wayback Machine

Hardwareimplementering

↑ H. Bonnenberg, A. Curiger, N. Felber, H. Kaeslin og X. Lai. VLSI-implementering af en ny blokchiffer // Proceedings of the IEEE International Conference on Computer Design: VLSI in Computer and Processors. - Washington, DC, USA: IEEE Computer Society, 1991. - S. 510-513. — ISBN 0-8186-2270-9 .
↑ A. Curiger, H. Bonnenberg, R. Zimmerman, N. Felber, H. Kaeslin og W. Fichtner. VINCI: VLSI-implementering af den nye hemmelige nøgle-blokcifre IDEA // Proceedings of the IEEE Custom Integrated Circuits Conference. - San Diego, CA, USA: IEEE Computer Society, 9.-12. maj 1993. - S. 15.5.1-15.5.4. - ISBN 0-7803-0826-3 .
↑ R. Zimmermann, A. Curiger, H. Bonnenberg, H. Kaeslin, N. Felber og W. Fichtner. En 177 Mb/sek VLSI implementering af den internationale datakrypteringsalgoritme // IEEE Journal of Solid-State Circuits. - marts 1994. - T. 29 . - S. 303-307 .
↑ S. Wolter, H. Matz, A. Schubert og R. Laur. Om VLSI-implementeringen af den internationale datakrypteringsalgoritme IDEA // Proceedings of the IEEE International Symposium on Circuits and Systems. - Seattle, Washington, USA: IEEE Computer Society, 30. april-3. maj 1995. - S. 397-400. - ISBN 0-7803-2570-2 .
↑ SLC Salomao, VC Alves og EMC Filho. HiPCrypto: En højtydende VLSI kryptografisk chip // Proceedings of the Eleventh Annual IEEE ASIC Conference . - Rochester, NY, USA: IEEE Computer Society, 13.-16. september 1998. - S. 7-11. - ISBN 0-7803-4980-6 .
↑ O. Mencer, M. Morf og M. J. Flynn. Hardwaresoftware tri-design af kryptering til mobile kommunikationsenheder // Proceedings of the IEEE International Conference on Acoustics, Speech and Signal Processing. - Seattle, Washington, USA: IEEE Computer Society, 12.-15. maj 1998. - S. 3045-3048. - ISBN 0-7803-4428-6 .
↑ Ascom, IDEACrypt Kernel Data Sheet, 1999.
↑ Ascom, IDEACrypt Coprocessor Data Sheet, 1999.
↑ MP Leong, OYH Cheung, KH Tsoi og PHW Leong. En bit-seriel implementering af den internationale datakrypteringsalgoritme IDEA // Proceedings of the 2000 IEEE Symposium on Field-Programmable Custom Computing Machines. - Seattle, Washington, USA: IEEE Computer Society, 2000. - S. 122-131. — ISBN 0-7695-0871-5 .
↑ OYH Cheung, KH Tsoi, PHW Leong og MP Leong. Afvejninger i parallelle og serielle implementeringer af den internationale datakrypteringsalgoritme IDEA // Kryptografisk hardware og indlejrede systemer 2001 = CHES 2001: kryptografisk hardware og indlejrede systemer. - INIST-CNRS, Cote INIST : 16343, 35400009702003.0270: Springer, Berlin, ALLEMAGNE ETATS-UNIS (2001) (Monographie), 2001. - S. 333-347. — ISBN 3-540-42521-7 .
↑ SC Goldstein, H. Schmit, M. Budiu, M. Moe og RR Taylor. Piperench: En genkendelig arkitektur og compiler // Computer. - april 2000. - T. 33 , nr. 4 . - S. 70-77 .

Standarder

↑ ISO 10116: Informationsbehandling — Driftsmåder for en n-bit blokchifferalgoritme.
↑ ISO 9797: Datakryptografiske teknikker — Dataintegritetsmekanisme ved hjælp af en kryptografisk kontrolfunktion, der anvender en blokchifferalgoritme.
↑ ISO 9798-2: Informationsteknologi - Sikkerhedsteknikker - Entitetsgodkendelsesmekanismer - Del 2: Entitetsgodkendelse ved hjælp af symmetriske teknikker.
↑ ISO 10118-2: Informationsteknologi - Sikkerhedsteknikker - Hash-funktioner - Del 2: Hash-funktioner ved hjælp af en n-bit blokchifferalgoritme.
↑ ISO 11770-2: Informationsteknologi - Sikkerhedsteknikker - Nøglestyring - Del 2: Nøglestyringsmekanismer ved hjælp af symmetriske teknikker.

Links

Hardware syntese af IDEA kryptoalgoritme

Implementeringer

IDEA i 448 bytes på 80x86 (engelsk) . - implementering af IDEA i programmeringssproget Assembler . Hentet 6. november 2008. Arkiveret fra originalen 28. januar 2012.

Russere

Ofte stillede spørgsmål om symmetriske chiffer (link ikke tilgængeligt) . - baseret på materialerne fra fido7.ru.crypt-konferencen. Hentet 6. november 2008. Arkiveret fra originalen 22. august 2011. (Russisk)
Symmetriske blokcifre . — Analyse af pålideligheden af blokcifre i implementeringen af PGP. Hentet: 6. november 2008. (Russisk)

Udenlandsk

RSA FAQ om blokcifre . Hentet 6. november 2008. Arkiveret fra originalen 19. oktober 2004.
SCAN-indgang for IDEA . Hentet 6. november 2008. Arkiveret fra originalen 28. januar 2012.
IDEA Applet (tysk) . Hentet 6. november 2008. Arkiveret fra originalen 1. februar 2012.
Erläuterung und Schaubild zum Verfahren (tysk) . Hentet 6. november 2008. Arkiveret fra originalen 28. januar 2012.

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NyDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher