Skipjack

skipjack
Skaber	National Security Agency (USA)
Oprettet	1980'erne
offentliggjort	1998 (afklassificeret)
Nøglestørrelse	80 bit
Blokstørrelse	64 bit
Antal runder	32
Type	Feistel netværk

Skipjack er en blokchiffer udviklet af US National Security Agency som en del af Capstone -projektet . Efter udvikling blev oplysninger om chifferen klassificeret. Det var oprindeligt beregnet til at blive brugt i Clipper-chippen til at beskytte lydinformation transmitteret over offentlige telefonnetværk samt mobile og trådløse netværk. Algoritmen blev senere afklassificeret [1] .

Historie

Skipjack var et af initiativerne foreslået af Capstone -projektet . Projektet blev ledet af National Security Agency (NSA) og National Institute of Standards and Technology (NIST), finansieret af den amerikanske regering. Den officielle startdato for initiativet er 1993. Krypteringsalgoritmen blev udviklet i 1980, og dens første implementering blev modtaget i 1987. Chifferen var beregnet til at blive brugt i Clipper-chippen indlejret i det beskyttede udstyr. Samtidig blev Skipjack kun brugt til at kryptere meddelelser, og nøgledeponering [2] for muligheden for efterfølgende brug af autoriserede organer - det mest diskuterede aspekt af brugen af en chiffer - blev opnået gennem en separat mekanisme kaldet Law Enforcement Adgangsfelt [1] .

I første omgang blev projektet klassificeret og blev derfor udsat for stor kritik. Adskillige akademiske forskere blev tilkaldt for at øge offentlighedens tillid og påskønnelse af algoritmen. På grund af manglen på tid til uafhængig grundig forskning koncentrerede eksperterne sig om at studere beskrivelsen af algoritmeudviklings- og evalueringsprocessen leveret af NSA. Ud over dette gennemførte de en række små tests i løbet af en måned. I den foreløbige rapport om deres arbejde (den endelige rapport blev ikke fulgt) er tre konklusioner angivet [3] :

I betragtning af, at omkostningerne til computerkraft halveres hver 18. måned, vil det ikke tage 36 år, før omkostningerne ved at knække Skipjack med brute force svarer til omkostningerne ved at knække DES i dag.
Risikoen for at bryde chifferen med hurtigere metoder, herunder differentiel kryptoanalyse , er ubetydelig. Algoritmen har ingen svage nøgler og ingen komplementaritetsegenskab [ К 1] .
Skipjacks modstand mod kryptoanalyse afhænger ikke af hemmeligholdelsen af selve algoritmen.

Chifferen blev frigivet til offentligheden den 24. juni 1998. I august 2016 vedtog NIST nye principper for brugen af kryptografiske standarder , hvor de trak certificeringen af Skipjack-algoritmen tilbage til regeringsformål [5] .

Beskrivelse

Skipjack bruger en 80-bit nøgle til at kryptere/dekryptere 64-bit datablokke. Dette er et ubalanceret Feistel-netværk med 32 runder [6] .

Kryptering

Teksten er opdelt i 4 ord á 2 bytes hver. De indledende data er ord for hvilke , hvor er rundens ordenstal. Først køres 8 runder efter regel A, derefter efter regel B. Dette gentages to gange, hvilket i alt giver 32 runder. $w_{i}$ $k = 0$ $k$

Her og nedenfor er operationen en binær operation af bitvis (bitvis til tal og ) modulo 2 addition . $x\oplus y$ $x$ $y$

Regel A

{\displaystyle w_{1}^{k+1}=G^{k}(w_{1}^{k})\oplus w_{4}^{k}\oplus counter^{k))

w_{2}^{k+1}=G^{k}(w_{1}^{k})

{\displaystyle w_{3}^{k+1}=w_{2}^{k))

{\displaystyle w_{4}^{k+1}=w_{3}^{k))

Regel B

{\displaystyle w_{1}^{k+1}=w_{4}^{k))

w_{2}^{k+1}=G^{k}(w_{1}^{k})

{\displaystyle w_{3}^{k+1}=w_{1}^{k}\oplus w_{2}^{k}\oplus counter^{k))

{\displaystyle w_{4}^{k+1}=w_{3}^{k))

Efter afslutningen af algoritmen vil chifferteksten være ordene . $w_{i}^{32},\ 1\leqslant i\leqslant 4$

Dekryptering

De indledende data er ord for hvilke . Først laves der 8 omgange efter regel B , derefter efter regel A. Gentaget to gange. $k=32$ $^{-1}$ $^{-1}$

Regel A

^{-1}

w_{1}^{k-1}=[G^{k-1}]^{-1}(w_{2}^{k})

{\displaystyle w_{2}^{k-1}=w_{3}^{k))

{\displaystyle w_{3}^{k-1}=w_{4}^{k))

{\displaystyle w_{4}^{k-1}=w_{1}^{k}\oplus w_{2}^{k}\oplus counter^{k-1))

Regel B

^{-1}

w_{1}^{k-1}=[G^{k-1}]^{-1}(w_{2}^{k})

w_{2}^{k-1}=[G^{k-1}]^{-1}(w_{2}^{k})\oplus w_{3}^{k}\oplus tæller^{k-1}

{\displaystyle w_{3}^{k-1}=w_{4}^{k))

{\displaystyle w_{4}^{k-1}=w_{1}^{k))

Efter afslutningen af algoritmen vil ordene være i almindelig tekst . $w_{i}^{0},\ 1\leqslant i\leqslant 4$

Permutationsblok G

Permutationsblokken virker på et 16-bit nummer og er et fire-niveau Feistel netværk. En funktion,der virker på et antal på 8 bit, er en substitutionsblok , som kaldes en tabel i algoritmespecifikationen. Matematisk kan blokkens handlingbeskrives som følger: $G$ $F$ $F$ $G$

$G^{k}(w)=g_{5}\|g_{6}$ hvor: ${\displaystyle w=g_{1}\|g_{2))$ ${\displaystyle g_{i}=F(g_{i-1}\oplus cv_{4k+i-3})\oplus g_{i-2))$ $cv_{4k+i-3}$ er nøglebyten $(4k+i-3)$ $k$ - rundens serienummer $x\|y$ - driften af sammenkædning (kombinering af) bytes

$[G^{k}]^{-1}(w)=g_{1}\|g_{2}$ hvor: ${\displaystyle w=g_{5}\|g_{6))$ ${\displaystyle g_{i-2}=F(g_{i-1}\oplus cv_{4k+i-3})\oplus g_{i))$

F

-bord

	x0	x1	x2	x3	x4	x5	x6	x7	x8	x9	xA	xB	xC	xD	xE	xF
0x	a3	d7	09	83	f8	48	f6	f4	b3	21	femten	78	99	b1	af	f9
1x	e7	2d	4d	8a	ce	4c	ca	2e	52	95	d9	1e	4e	38	44	28
2x	0a	df	02	a0	17	f1	60	68	12	b7	7a	c3	e9	fa	3d	53
3x	96	84	6b	ba	f2	63	9a	19	7c	ae	e5	f5	f7	16	6a	a2
4x	39	b6	7b	0f	c1	93	81	1b	ee	b4	1a	ea	d0	91	2f	b8
5x	55	b9	da	85	3f	41	bf	e0	5a	58	80	5f	66	0b	d8	90
6x	35	d5	c0	a7	33	06	65	69	45	00	94	56	6d	98	9b	76
7x	97	fc	b2	c2	b0	fe	db	tyve	e1	eb	d6	e4	dd	47	4a	1d
8x	42	udg	9e	6e	49	3c	cd	43	27	d2	07	d4	de	c7	67	atten
9x	89	cb	tredive	1f	8d	c6	8f	aa	c8	74	dc	c9	5d	5c	31	a4
Økse	70	88	61	2c	9f	0d	2b	87	halvtreds	82	54	64	26	7d	03	40
bx	34	4b	1c	73	d1	c4	fd	3b	cc	fb	7f	ab	e6	3e	5b	a5
Cx	annonce	04	23	9c	fjorten	51	22	f0	29	79	71	7e	ff	8c	0e	e2
Dx	0c	ef	f.Kr	72	75	6f	37	a1	ec	d3	8e	62	8b	86	ti	e8
Eks	08	77	elleve	være	92	4f	24	c5	32	36	9d	jfr	f3	a6	bb	ac
fx	5e	6c	a9	13	57	25	b5	e3	bd	a8	3a	01	05	59	2a	46

Krypteringsanalyse

Eli Biham og Adi Shamir udførte et kryptografisk angreb mod 16 ud af 32 runder inden for en dag efter afklassificeringen af algoritmen. Sammen med Alex Biryukov , ved hjælp af den umulige differentielle kryptoanalyse , løste de 31 af 32 af dens runder på få måneder [7] . Senere blev der publiceret artikler, der angreb 28 runder af en chiffer ved hjælp af trunkerede differentialer [8] .

I 2002 udgav Rafael Phan en artikel, der analyserede mulige angreb i hele 32 runder [9] . Senere, i 2009, udtalte en artikel også medforfattet af Phan, at der på det tidspunkt ikke var noget angreb på den fulde Skipjack-chifferalgoritme [10] .

Kommentarer

↑ Der er en egenskab for nøglekomplementaritet: hvis , så , hvor: - kryptering af klartekstblokken ved DES-algoritmen , - modtaget chiffertekst, - bitvis komplement til . [fire] $E_{K}(M)=C$ $E_{\overline {K}}({\overline {M}})={\overline {C}}$ $E_{K}(M)$ $M$ $C$ $\overline{x}$ $x$

Noter

↑ 1 2 Pressemeddelelse fra Det Hvide Hus Udskrift af Project Capstone (eng.) (link utilgængeligt) . Det Hvide Hus Pressetjeneste (1993). Hentet 29. november 2016. Arkiveret fra originalen 7. august 2011.
↑ Nøgledeponering . Ordliste over vilkår for informationssikkerhed . www.glossary.ib-bank.ru. Dato for adgang: 16. november 2016. Arkiveret fra originalen 16. november 2016. (ubestemt)
↑ E. F. Brickell; DE Denning , ST Kent, DP Maher , W. Tuchman. Skipjack anmeldelse. delårsrapport. (engelsk) (utilgængeligt link) (1993). Arkiveret fra originalen den 8. juni 2011.
↑ Panasenko S.P. Krypteringsalgoritmer. Særlig opslagsbog - St. Petersborg. : BHV-SPb , 2009. - S. 170. - 576 s. — ISBN 978-5-9775-0319-8
↑ Retningslinje for brug af kryptografiske standarder i den føderale regering : Kryptografiske mekanismer . NIST (2016). Hentet 29. november 2016. Arkiveret fra originalen 23. november 2016.
↑ Skipjack- og KEA-algoritmespecifikationer (eng.) (link ikke tilgængeligt) . NIST (1998). Hentet 29. november 2016. Arkiveret fra originalen 21. oktober 2011.
↑ Biham E. , Biryukov A. , Shamir A. Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials // Fremskridt inden for kryptologi — EUROCRYPT '99 : International konference om teori og anvendelse af kryptografiske teknikker Prag, Tjekkiet, 2. maj 6, 1999 Proceedings / J. Stern - Berlin , Heidelberg : Springer Science + Business Media , 1999. - S. 12-23. — ISBN 978-3-540-65889-4 — doi:10.1007/3-540-48910-X_2
↑ Knudsen L. R. , Robshaw M. , Wagner D. A. Truncated Differentials and Skipjack // Advances in Cryptology - CRYPTO' 99 : 19th Annual International Cryptology Conference Santa Barbara, Californien, USA, 15.–19. august, 1999 Wiener Proceedings / Spring Berlin M. Heidelberg , 1999. - S. 165-180. — ISBN 978-3-540-66347-8 — doi:10.1007/3-540-48405-1_11
↑ Chung-Wei Phan R. Krypteringsanalyse af fuld Skipjack-blokchiffer // Elektron . Lett. - IEEE , 2002. - Vol. 38, Iss. 2. - S. 69-71. — ISSN 0013-5194 ; 1350-911X - doi:10.1049/EL:20020051
↑ "et angreb på hele 32-runders Skipjack forbliver uhåndgribeligt indtil nu" - Kim J. , Raphael C.-W. Phan Advanced Differential-Style Cryptanalysis of the NSA's Skipjack Block Cipher (engelsk) // Cryptologia - USA : Taylor & Francis , 2009. - Vol. 33. - S. 246-270. — ISSN 0161-1194 ; 1558-1586 - doi:10.1080/01611190802653228

Links

Schneier B. Kapitel 13. Andre blokcifre // Anvendt kryptografi. Protokoller, algoritmer, kildekode i C-sprog = Applied Cryptography. Protocols, Algoritms and Source Code in C. - M. : Triumph, 2002. - 816 s. - 3000 eksemplarer. - ISBN 5-89392-055-4 .
Eli Biham ; Alex Biryukov , Adi Shamir , E. Richardson, O. Dunkelman. Indledende observationer om Skipjack (engelsk) (1998). Dato for adgang: 29. november 2016.
Bruce Schneier . Afklassificering af skipjack . Crypto Gram nyhedsbrev (1998). Dato for adgang: 29. november 2016.

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NyDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher