автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Методология синтеза алгоритмов защиты информации в компьютерных системах на основе управляемых подстановочно-перестановочных сетей

На правах рукописи

Молдовян Александр Андреевич

МЕТОДОЛОГИЯ СИНТЕЗА АЛГОРИТМОВ ЗАЩИТЫ ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ НА ОСНОВЕ УПРАВЛЯЕМЫХ ПОДСТАНОВОЧНО-ПЕРЕСТАНОВОЧНЫХ СЕТЕЙ

Специальность: 05.13.19 - Методы и системы защиты информации,

информационная безопасность

Автореферат

диссертации на соискание

( ученой степени доктора технических наук

>

I

I I

Санкт-Петербург 2005

Работа выполнена в Научном филиале СЦПС «Спектр» Федерального государственного унитарного предприятия «Научно-исследовательский институт «Вектор»»

Официальные оппоненты:

доктор физико-математических наук, профессор Грушо Александр Александрович

доктор технических наук, профессор Макаров Валерий Федорович

доктор технических наук, профессор Певзнер Леонид Давидович

Ведущая организация: Санкт-Петербургский институт информатики и автоматизации Российской академии наук

Защита состоится 16 июня 2005 года в 15 час. 00 мин. на заседании диссертационного совета Д 212.128.02 при Московском государственном горном университете по адресу: 117935, Москва, М-49, Ленинский пр., 6.

С диссертацией можно ознакомиться в библиотеке Московского государственного горного университета.

Автореферат разослан апреля 2005 года

Ученый секретарь диссертационного совета Д 212.128.02 к.т.н., доцент

Адигамов А.Э.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность проблемы. Возрастающая зависимость национальной безопасности России от состояния информационной безопасности обуславливает необходимость совершенствования методов и средств защиты информации (СЗИ) от несанкционированного доступа (НСД). Существующий уровень СЗИ не учитывает технологических аспектов применения криптографических преобразований, которые диктуют требования увеличения производительности и снижения стоимости устройств шифрования, не в полной мере соответствует требованиям информационной экономики и находится в противоречии с объективной потребностью современного общества в массовом использовании экономически целесообразных высокоскоростных СЗИ.

Данное противоречие обусловливает существование научной проблемы по разработке теоретических и прикладных подходов и методов построения СЗИ, обеспечивающих требуемый уровень защиты информации в условиях возможных несанкционированных воздействий при одновременном достижении приемлемого уровня экономических затрат на их реализацию. Существующая научная проблема обусловила выбор темы данного исследования.

Целью диссертационного исследования является разработка теоретических положений и практических рекомендаций по построению СЗИ в компьютерных системах с использованием новых подходов и методов синтеза алгоритмов защиты информации на основе управляемых подстановочно-перестановочных сетей, обеспечивающих повышение эффективности СЗИ. Предпосылками для достижения указанной цели в результате разработки методологии синтеза алгоритмов защиты информации на основе управляемых подстановочно-перестановочных сетей (УППС) являются предварительная их апробация как операций, зависящих от секретного ключа, и показанная эффективность механизмов преобразования, управляемых преобразуемыми данными, как криптографических примитивов. Основным содержанием подхода, развиваемого в диссертационном исследовании, является объединение указанных двух предпосылок, т. е. использование УППС для осуществления операций, зависящих от преобразуемых данных.

Прикладные аспекты поставленной цели связаны с повышением эффективности СЗИ за счет совершенствования используемых в СЗИ алгоритмов блочного шифрования путем разработки, исследования и применения новых криптографических алгоритмов на основе УППС для обеспечения достаточно широких возможностей оптимизации относительно следующих показателей: 1) стойкости преобразования, 2) производительности, 3) стоимости реализации.

Объект исследования - средства защиты информации в компьютерных и

телекоммуникационных системах.

Предмет исследования - блочные алгоритмы криптографических преобразований, основанные на управляемых операциях и ориентированные на аппаратную реализацию.

Цель исследования достигается решением научной проблемы разработки и исследования методов и алгоритмов защиты информации в компьютерных системах на основе УППС.

С учетом поставленной цели сформулированы научные задачи, решение которых обеспечит повышения эффективности защиты информации, циркулирующей в компьютерных и телекоммуникационных системах:

1. Обоснование системы показателей оценки защищенности специализированной автоматизированной системы и их декомпозиция.

2. Разработка методологии построения управляемых подстановочно-перестановочных сетей, ориентированных на применения в качестве криптографических примитивов, ориентированных на аппаратную реализацию.

3. Разработка критериев отбора управляемых элементов (УЭ) как типовых узлов УППС и классификация практически значимых типов УЭ.

4. Синтез новых типов управляемых операций - переключаемых операций, применение которых позволяет устранить ряд недостатков присущих известным шифрам с простым расписанием ключа.

5. Исследование основных свойств УЭ и УППС на их основе.

6. Доказательство принципиальной реализуемости переключаемых УППС различных порядков.

7. Разработка методов минимизации схемотехнической сложности реализации переключаемых УППС.

8. Разработка способов устранения слабых ключей и гомогенности шифрующего итеративного преобразования в криптосхемах с простым расписанием использования ключа.

9. Разработка новых типов криптосхем, учитывающих специфику применения УППС в качестве операций, зависящих от преобразуемых данных.

10. Синтез и исследование скоростных блочных шифров на основе УППС различных типов.

В результате решения перечисленных выше задач были получены следующие новые научные результаты:

1. Разработаны методы синтеза итеративных блочных шифров, отличающийся использованием операций, зависящих от преобразуемых данных и реализуемых с помощью УППС.

2. Разработана методология синтеза управляемых операций на основе управляемых элементов F2/1, F^ и F3/|.

3. Выполнена классификация нелинейных управляемых элементов типа Рг/i) F2/2 и F3/1.

4. Разработана методология устранения предпосылок возникновения слабых ключей и гомогенности шифрующего преобразования в итеративных шифрах et рростьгм раОЛИсанйем ключа, отличающаяся применением переключаемых опефдМШ: * * '

,, *v 4

5. Разработан класс переключаемых операций на основе зеркально-симметричных УППС, обеспечивающие низкую сложность аппаратной реализации.

6. Разработаны конструктивные схемы УППС порядков Л = 2,4,...,я/4, п, основанных на УЭ ¥2п-

7. Разработаны конструктивные схемы переключаемых УППС порядков Л = 2,4,..., и/4, и, основанных на УЭ Р^.

8. Разработан способ построения переключаемых операций, отличающийся использованием УЭ, реализующих попарно взаимно обратные модификации.

9. Разработаны криптосхемы, сочетающие элементы сети Фейстеля и подстановочно-перестановочных сетей, отличающиеся использованием управляемых операций.

10. Разработаны итеративные шифры с высоким показателем эффективности «производительность/стоимость» и исследована их стойкость к основным видам атак.

11. Разработан способ построения итеративных алгоритмов с одинаковым расписанием ключа в режиме зашифрования и расшифрования, отличающийся использованием переключаемых операций. Практическая ценность полученных результатов состоит в разработке

нового подхода к повышению эффективности блочных шифров, что обеспечивает снижение стоимости СЗИ и способствует решению задачи расширения масштабов их применения для защиты информационных ресурсов.

Достоверность полученных результатов опирается на математические доказательства, анализ стойкости предложенных алгоритмов криптографического преобразования, сопоставление с известными результатами в данной предметной области, а также на широкое обсуждение в открытой печати и на всероссийских и международных конференциях. Научные положения, выносимые на защиту:

1. Новый класс криптографических примитивов - управляемых операционных подстановок, реализуемых с помощью УППС с малой размерностью УЭ, являющийся основой для синтеза блочных шифров, обладающих сравнительно высокой эффективностью.

2. Методология синтеза блочных шифров на основе УППС с заданными алгебраическими и вероятностными свойствами, отличающаяся использованием УППС для выполнения операций преобразования, зависящих от преобразуемых данных.

3. Способы синтеза переключаемых управляемых операций на основе УППС различной топологии.

4. Переключаемые управляемые операции, являющиеся криптографическим примитивом, обеспечивающим решение задачи построения шифров с простым расписанием использования ключа свободных от гомогенности шифрующих преобразований и от слабых ключей, включая построение итеративных шифров, не требующих обращения расписания ключа.

5. Алгоритмы высокоскоростного защитного преобразования данных, отличающиеся использованием управляемых подстановочных операций и переключаемых управляемых операций, обладающие сравнительно высоким значением интегральной оценки эффективности. Публикации. По результатам исследования опубликовано более 100 научных трудов, среди которых 3 монографии, 5 учебных пособий, 48 статей в научно-технических журналах и сборниках «Автоматика и телемеханика», «Вопросы защиты информации», «Известия вузов. Приборостроение», «Безопасность информационных технологий» и др., более 60 докладов и тезисов. Получено 32 патента на изобретения.

Апробация работы. Результаты исследования апробированы на более чем 30 конференциях, в т.ч.: Санкт-Петербургских международных «Региональная информатика» в 1994, 1995, 1996, 1998, 2000, 2002 и 2004 гг.; Санкт-Петербургских межрегиональных «Информационная безопасность регионов России» в 1999, 2001 и 2003 гг., всеармейских научно-практических «Инновационная деятельность в Вооруженных Силах РФ» в 2001, 2002, 2003 и 2004 гг., республиканских научно-технических «Методы и технические средства обеспечения информационной безопасности» в 1996 и 1997гг., всероссийских научно-методических «Телематика» в 1997 и 1999 гг., международных «Проблемы управления безопасностью сложных систем» в 1998 и 1999гг., «Mathematical Methods, Models and Architectures for Computer Networks Security (MMM-ACNS)» в 2001 и 2003 гг., «The 12th IEEE Mediterranean Electrotechnical Conference - MELECON 2004» в 2004 г. (Dubrovnik, Croat), Computing Communications and Control Technologies CCCT 2004 (Texas, USA).

Реализация и внедрение результатов исследований. Основные результаты диссертации реализованы в НИОКР «Бастион», «Герб», «Защита», а также используются при подготовке специалистов в области защиты информации в учебном процессе СПГЭТУ, СПГУИТМО, ГУВК.

Объем диссертации. Диссертация изложена на 360 страницах, включает 104 рисунка, 68 таблиц, состоит из введения, 6 разделов с выводами по ним, заключения, списка литературы из 125 наименований и приложения.

2. ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении обоснована актуальность решаемой научной проблемы, кратко изложены результаты анализа работ в области разработки и применения криптографических методов в СЗИ, сформулированы цель исследования и основные требования к разрабатываемым методам и алгоритмам, определены научная новизна и практическая значимость работы, представлена краткая аннотация диссертации по разделам и сформулированы положения, выносимые на защиту.

Первый раздел содержит анализ современного состояния и практики использования алгоритмов шифрования в средствах защиты информации.

Рассмотрены проблемы защиты информации от несанкционированного доступа (НСД) в компьютерных системах и выделены задачи, решаемые с помощью криптографических преобразований. Раскрывается технологическая роль шифрования в современных системах СЗИ от НСД. Формулируются требования к шифрам, используемым для решения различных типов задач защиты от НСД.

Показано, что в современных компьютерных системах актуальным является осуществление криптографических преобразований со скоростями от 1 до 10 Гбит/с и более. Такая производительность может быть обеспечена при аппаратной реализации алгоритмов шифрования. Ввиду расширяющихся масштабов применения механизмов шифрования актуальным является снижение стоимости аппаратных средств криптографической защиты. В мобильных информационных сетях важной практической задачей является также снижение энергопотребления. Уменьшение числа активных элементов в схемах, реализующих алгоритмы шифрования, дает принципиальную возможность снижения стоимости и энергопотребления, однако такой подход противоречит требованию высокого уровня криптостойкости и высокой производительности. Достижение высокой криптостойкости обеспечивается в настоящее время применением относительно сложных процедур шифрования, включающих большое число раундов преобразования. Наиболее высокая производительность достигается в конвейерной архитектуре за счет увеличения схемотехнической сложности реализации.

Выявленное противоречие между существующим состоянием разработанных методов и средств защиты компьютерных систем с одной стороны и практической потребностью повышения защищенности высокоскоростного информационного обмена при ограничениях на стоимость СЗИ с другой стороны, обусловлено использованием методов блочных криптографических преобразований, которые не соответствуют технологическим требованиям обеспечения высокой скорости шифрования при снижении энергопотребления и упрощения аппаратной реализации СЗИ.

Для разрешения этого противоречия поставлена задача разработки методологии синтеза блочных шифров на основе управляемых подстановочно-перестановочных сетей (УППС), используемых в качестве операций преобразования, зависящих от преобразуемых данных. Такое применение УППС является новым и существенно развивает направление прикладной криптографии, связанное с применением управляемых битовых перестановок и механизма выборки подключей в зависимости от преобразуемых данных.

Сформулированы научные задачи, направленные на достижение поставленной цели диссертационного исследования.

Во втором разделе - обоснована система количественных показателей защищенности информационного обмена в компьютерных системах,

произведена их декомпозиция на частные показатели, характеризующие стойкость криптографического преобразования и рассмотрен математический аппарат исследования булевых функций для оценки качества криптографических примитивов.

Показано, что эффективность защиты информации в компьютерных системах должна оцениваться по влиянию СЗИ на внешний целевой показатель функционирования данной системы в условиях, когда нарушитель пытается преодолеть установленные уровни защиты. Отличительной особенностью построения СЗИ компьютерных систем является высокая степень неопределенности появления источников и способов реализации информационных воздействий противника.

В общем виде целевой эффект применения СЗИ в составе компьютерной системы может быть задан функционалом:

IV = агёшах (Гя «<*д), рСпз, С, Упр, Я) (1)

где рд (гд вероятность своевременной доставки сообщения в условиях

информационных воздействий различного типа, рст - показатель эффективности воздействия СПЗ нарушителя, С - реальная пропускная способность системы обработки информации, Кпр- скорость криптографического преобразования информации (прямого и обратного), /? -требуемые ресурсы на реализацию СЗИ.

В свою очередь эффективность СПЗ нарушителя можно определить как

Рст = РрРнв+0-Рр) р'ю, (2)

где рР - вероятность разведки нарушителем параметров СЗИ и смысла информации за заданное время, рив - вероятность успешного применения противником информационных воздействий различного типа при разведанных параметрах СЗИ, р'ив - вероятность успешного применения противником информационных воздействий различного типа при неразведанных параметрах СЗИ. Показатель рр - является количественной характеристикой скрытности СЗИ. Для него должно выполняться условие конфиденциальности: рр < т.е. вероятности преодоления криптоаналитиком структурной и информационной скрытности должны быть меньше допустимых.

Определение рр применительно к блочным шифрам, или хотя бы его грубая оценка, является самостоятельной сложной задачей и зависит от вида проводимого криптоанализа (например, дифференциального или линейного). В целях упрощения оценки качества алгоритмов шифрования, следует осуществлять декомпозицию обобщенного показателя стойкости на ряд упрощенных показателей, характеризующих как отдельные примитивы, входящие в состав алгоритма шифрования, так и весь алгоритм в целом. При этом следует выбирать такие показатели, оценивание которых не представляет существенной вычислительной сложности. Оптимизация примитивов, реализующих алгоритм, в соответствии с выбранными частными показателями, позволит разработать алгоритм, удовлетворяющий заданным требованиям по

стойкости.

При такой постановке задачи максимизация целевого функционала сводится к максимизации скорости прямого и обратного криптографического преобразования информации в условиях заданных ограничений на параметр

информационной скрытности р и другие параметры, входящие в обобщенный функционал.

Произведена декомпозиция показателя информационной скрытности на частные показатели, характеризующие стойкость криптографического преобразования. При этом осуществлено представление криптографических преобразований через свойства булевых функций, от которых зависит безопасность симметричных блочных алгоритмов шифрования в целом.

Разработаны критерии оценки криптографических свойств подстановочных преобразований, заданных в виде векторной булевой функции (ВБФ) ¥=ср (.X): СР(2)"- 0^2)", <р(Х)= Ц(Х),/2(Х),.. .,/„(*)},

МХ): 6^(2)" -* СЯ2).

Стойкость симметричных блочных алгоритмов шифрования зависит от свойств булевых функций (БФ), реализующих различные криптографические примитивы. В качестве основного аппарата анализа БФ использовалось преобразование Уолша-Адамара (ПУА) функции / (X), X ,

А "

относительно вектора а ЕОР(2)": [[/а(/)]-Нл [£(/)], где Н„ - матрица Адамара размерности 2" х2", [£(/)] - вектор сопряженной таблицы истинности БФ/(X),

л

[£/«(/)] - вектор из 2" действительных значений. Данное преобразование позволяет непосредственно оценить такие показатели качества БФ, как сбалансированность, нелинейность, корреляционная иммунность. Кроме того, с помощью ПУА можно получить оценки автокорреляционных свойств БФ и показателей распространения изменений.

Необходимыми условиями исключения прямых статистических атак на примитивы криптоалгоритма являются:

- сбалансированность компонентных БФ, реализующих преобразование, что

А

эквивалентно условию иа(/) - о, где а = (0,..., 0);

- регулярность преобразования ¥=<р (X) : в?^-* ОР(2)т при я а т, для которой требуется сбалансированность любых линейных комбинаций компонентных БФ, реализующих векторную БФ <р(Х)={/]{Х),/2(Х), ... ,

т)-

Обобщением данных условий является требование корреляционной иммунности (КИ) БФ. При этом БФ /(X) удовлетворяет показателю корреляционной иммунности порядка к, 1 « к « и, если значение компонентов

л

спектра УА иа(/)шО VаЕ ОР(2)"11 жн>*(а) ик. Достижение максимума показателя КИ БФ является достаточно сильным требованием, поэтому введено

альтернативное понятие корреляционно-эффективных БФ, для которых С/а(/)-0 на большей половине векторов а ЕОР(2)" 11 £ и»/ (а) & к.

При синтезе БФ, обеспечивающих высокую стойкость к разностному, линейному и корреляционному криптоанализу большое значение имеет автокорреляционная функция (АКФ) БФ/(.X) относительно вектора р еОР(2)":

2 }{Х)}(Х<йр). (3)

х£вР( г)"

На основе АКФ формируются понятия критерия распространения (КР) изменений и его частного случая - критерия строгого лавинного эффекта (КСЛЭ). Их основная сущность заключается в оценивание вероятности изменения значения БФ в зависимости от изменения части бит аргументов этих функций. Булева функция/(X), X€:СР(2)" удовлетворяет КР степени и порядка клп-\, если для любой функции, полученной из БФ /(X) фиксацией любых ее к переменных, АКФ = 0 на всех векторах

Р еСР(2)" 11 л и>/(р)а I. КСЛЭ эквивалентен КР при / = 1.

Главным показателем стойкости алгоритма шифрования к линейному криптоанализу служит нелинейность компонентных БФ, которая показывает степень удаленности БФ от множества аффинных или линейных БФ:

МЦО=2"-5-1 шах |1/а</)|- (4)

2аеСР(2)

Для векторной БФ (р(Х) (Я)) = ^^т»п <р)- Достичь

максимальной нелинейности для векторной БФ сложно, поэтому используется понятие средней нелинейности векторной БФ <р (X), которое определяется из выражения:

МЦ^Л)-^- У (р). (5)

2" сеа-Щ" ,с*0

Обобщая изложенные результаты, в работе сформулированы необходимые требования к подстановочным преобразованиям и к формирующим его компонентным БФ, которые должны использоваться при синтезе блочных шифров:

1. Регулярность отображения К=<р (X): ОР(2)"-» ОР(2)я при п а т, т.е. сбалансированность всех компонентных БФ и их любых линейных комбинаций.

2. Высокая алгебраическая степень с/е^) компонентных булевых функций.

3. Соответствие БФ показателям корреляционной иммунности.

4. Соответствие БФ КСЛЭ и КР из множества $\С(к), РС(к)/1, т.е. низкие автокорреляционные показатели.

5. Высокая нелинейность МЦГ) компонентных БФ.

6. Высокая нелинейность NL(ç)(X)) или средняя нелинейность NL(<p(^)) векторного подстановочного преобразования.

В третьем разделе обоснован подход к синтезу блочных шифров на основе операций, зависящих от преобразуемых данных. Показано, что в рамках данного подхода управляемые перестановки обеспечивают построение скоростных аппаратных шифров без использования дополнительных нелинейных операций, несмотря на то, что типовые перестановочные сети являются линейным криптографическим примитивом даже при их использовании для выполнения переменных перестановок. Дана критика управляемых перестановок и обоснован переход к У1111С на основе управляемых элементов минимального размера. Сформулированы критерии отбора нелинейных УЭ, осуществлена полная классификация УЭ минимального размера и произведена характеристика их свойств, а также свойств УППС на их основе.

Показано, что одним из перспективных подходов к синтезу скоростных блочных шифров является применение управляемых операций. При этом под управляемой операцией понимается некоторое преобразование Y= Y GGF(2)", осуществляемое над операндом J^EGF^)" под управлением вектора V £GF(2)m. Известными алгоритмами такого рода являются итеративные блочные шифры DES, RC6, MARS, SPECTR-H64 и др. В ряде работ используют операции управляемых перестановок (УП) битов входного вектора. Однако УП присущи следующие недостатки, которые потенциально могут бьггь использованы при проведении дифференциального и линейного криптоанализа: вес Хэмминга преобразованного вектора не изменяется; линейная комбинация всех компонентных булевых функций является линейной функцией.

В работе предложены подходы к синтезу криптографических примитивов - УППС различной топологии и размерности, зависящих от секретного ключа и преобразуемых данных. Сформулированы требования к преобразованию, выполняемому УППС и к реализующим его координатным булевым функциям: г • регулярность преобразования выполняемого УППС

Y=F„lm (.X; V) : GF(2) -» GF(2)", где X, Y GGF(2)", V GGF(2f ;

• биективность преобразования Y=F^m(X, V) относительно X при ь фиксированном значении V;

• высокая алгебраическая степень нелинейности deg(f) компонентных БФ;

• соответствие БФ показателям корреляционной иммунности;

• соответствие БФ критерию строгого лавинного эффекта и критерию распространения, т.е. низкие автокорреляционные показатели;

• высокая нелинейность NL(/") компонентных БФ;

• высокая средняя нелинейность преобразования Y=¥„/m (X, У) ;

• большое количество различных модификаций подстановочных операций, реализуемых УППС;

• небольшая вычислительная сложность аппаратно-программной реализации

УППС и высокая скорость преобразования данных.

Разработаны УППС на основе управляемых элементов (УЭ) минимального размера Р^, осуществляющих отображение вида вР(2)3-» ОР(2)2 на основе двух БФ: у,=/(х|, х2, V),= 1,2, где у, 6СР(2), хи х2 ЕСР(2)-значения входных бит, V £СР(2)-значение управляющего бита.

Сформулированы следующие основные критерии отбора УЭ:

1. Булевы функции у\ =/^{хих2, V) и у2 =МХ\, х2, у) должны иметь максимальную нелинейность.

2. Модификации элементарных преобразований, формируемых УЭ Р^^г/ь а именно, Р(0)2/1 и Р^'гл, должны быть различными и представлять собой элементарное биективное преобразование вида ОР(2)2-» ОР(2)2.

3. Каждая из двух модификаций УЭ Р^гл должна быть инволюцией.

Найден полный набор УЭ, удовлетворяющих заданным критериям. При построении УЭ Ущ из всего множества образующих БФ

х2,*э)}=22 =256, где п = 3, а х3 интерпретируется как управляющий бит V, выбирались только сбалансированные БФ. Количество таких функций

#{/"(дет) | (#/"(дг)=0) = (#/■ (х)=1)} = ^1 ^ =70. Из полученного подмножества

сбалансированных функций выбраны БФ с максимальной нелинейностью ЫЦГ«)=2: #{/(*) | (#/(*)=0) = (#/(*)=1), МЬ(/Ч*))=2}=24.

В качестве дополнительного критерия проектирования УЭ использовалось требование: все линейные комбинации БФ на выходе г 2/1 должны иметь нелинейность не ниже, чем минимальная нелинейность одной из координатных БФ. Получено подмножество из БФ (табл. 1), определенные совокупности которых (табл.2) реализуют блоки Ргл, удовлетворяющие всем указанным требованиям.

____ Таблица 1

№ Таблица истинности Алгебраическая нормальная форма

1 00011110

2 00101101 х2х3 ©X] ®х2

3 00110110 Х\Х3 ®х2

4 00111001 Х1Х3 ®х, ®х2

5 01001011 Х2Хз ®Х\ ©дг3

6 01100011 Х1Х3 ®Х2 ®Хъ

7 10000111 Х2Х3 ®Х, ®Х2 ®х3 ® 1

8 10010011 х,х3 ©х, ®х2 ©Хз © 1

к

Таблица 2

МХ\,Х2, Хз) /2(Х], х2, х3)

Х2Хъ ®х, Х&З ®Х1 ®х2 х2хг ®Х1 ©х3 Х2ХЪ ®х] ®х2 ®х3 ® 1 *2*э ©XI ®Х2 Х&з ©дс, Х2Х3 ®Х1 ©Х3 х2х3 ©X] ©х2 ©х3 ©1 х,х3 ©х, ®х2 Х1Х3 ©х2 х,х3 ©X! ®хг Х1Х3 ©х2 Х1Х3 ©Х2 ©Хз Х1Х3 ©XI ©х2 ©Хз © 1 Х1Х3 ©XI ©х2 ©Хз © 1 Х1Х3 ©Х2 ©Хз

Путем комбинирования УЭ Р2/1 построены УППС задающие

отображение вида СР(2)"+,Я-» СР(2)", где и = 2* - число входных (выходных) бит, т~кп!2 - число управляющих бит. УППС Р„/т формализуется в виде суперпозиции к подстановочных слоев и к-1 фиксированных перестановок:

= ст, - Р," о2 ° Р2 ° ..." Р*-1 ° от», где Оу - 7-й слой ^ блоков Р^,, Р) - у'-й слой фиксированных перестановок.

Предложен способ реализации УППС, при котором каждый слой фиксированных перестановок обеспечивает соединение входов и выходов двух

, где

? у,1+1 " ?

А-1} - номер слоя подстановки, / = 2« -

слоев подстановок в соответствии с правилом:

(¿ + 1 + 2у+1)тос1п,У £{0,1,

номер выходного (входного) разряда подстановки, в е{0, 1,..., (л-2)/2}. Подобная структура фиксированных перестановок обеспечивает влияние каждого входного бита на каждый выходной и обеспечивает зависимость любого выходного бита от всех входных, а также части управляющих бит.

Получены следующие свойства УППС ¥„/т и реализующих их БФ:

1. V/: СР(2)Ц— вр(2), ¿Е{0,1,...,и-1}, Ф„ - множество всех координатных БФ реализующих Рп/т, количество аргументов функции определяется выражением ц = 2и-1 = 2*+1-1.

2. Преобразование Г=¥п/т(Х,У):ОН2Тт-^С?(2)'', где Х,УЕ:С?(2)И, V ЕйР(2)т, является биективным относительно Xпри фиксированном V.

3. Верхняя граница нелинейности УППС ¥щт оценивается выражением

4. V/ £¥„ алгебраическая степень Ас1е^) (наибольшее количество сомножителей в алгебраической нормальной форме) определяется выражением А8=*+1.

5. V/ ЕЧ'п максимальное значение компонентов спектра Уолша-Адамара:

л 22"-1 „,

max | Ua

(ft)\ m±--2 Откуда значение нелинейности V/ S Ч>„ :

n

NL(/D=2"-1-- max \Uaii)\ = (п-Щ2"*2.

2CIGGF(2f

6. V/ G Ч*„ количество нулевых компонентов спектра У А (параметр корреляционной иммунности): #{£/(/;.)_0} -г2*' "'-^З2"+l).

7. V/ G4*„ автокорреляционная функция (показатель распространения) Гр (/,) - \ ^ MX) Ux ® Р) = 0 на 2"-1 векторах /3 eGF(2)".

^ XeOF(2)H

В четвертом разделе обоснован выбор УЭ ¥212 и Р3/Ь сформулированы критерии отбора и исследованы их нелинейные и дифференциальные свойства. На основе выполненных исследований осуществлена классификация указанных УЭ. Предложены топологии УППС на основе элементов ¥2а и Р3/1 и рассмотрены особенности синтеза блочных шифров, связанные с исследованными типами УЭ.

Разработаны и исследованы УППС на основе различных классов управляемых элементов: и Р3/1. Целесообразность перехода к УЭ ¥ц2 и Р3/1 связана с аппаратной реализацией на основе программируемых логических матриц, в которых типовые логические блоки позволяют реализовать произвольную БФ от четырех переменных. При реализации УЭ типа ¥у\ используются две ячейки, каждая из которых реализует ту или иную БФ от трех переменных. Следовательно, ресурс ячейки используется только на 50%. Переход к УЭ типа ¥212 или Р3/, обеспечивает полное использование потенциала ячеек. Поэтому при соответствующем выборе УЭ типа ¥2/2 или Р3/1 можно обеспечить значительно повышение криптографических показателей синтезируемой УППС. Использование трехбитового входа данных в УЭ Р3/1 позволяет осуществлять управление не только данными, но и непосредственно ключом. В этом случае возможно осуществление нелинейного преобразования при фиксировании управляющего подблока.

Полное перечисление, классификация и характеристика УЭ ¥212 и ¥у\, является чрезмерно громоздким процессом. Поэтому в целях его упрощения по аналогии с УЭ Р2л сформулированы критерии выбора УЭ вида ¥у2, ¥щ-

1. Каждый из двух (трех) выходов блока ¥га (Р3л) должен представлять собой нелинейную БФ от четырех переменных, имеющую максимально возможное значение нелинейности.

2. Каждая из элементарных модификаций блока ¥212 (Р3/0 должна осуществлять биективное преобразование 6Р(2)2 вР(2)2 (вР(2)3 -» ОР(2)3).

3. Каждая из модификаций УЭ Р(к) должна быть инволюцией.

4. Все линейные комбинации компонентных БФ, должны иметь значение нелинейности не ниже, чем нелинейность компонентных БФ.

Произведена классификация основных типов УЭ F^ по нелинейным и дифференциальным свойствам. Сбалансированные БФ от четырех переменных имеют значения нелинейности NL(0 G {0,2, 4} (см. табл. 3).

Таблица 3

Значение нелинейности БФ тг) 6 5 4 3 2 1 0

Кол-во БФ 896 14336 28000 17920 3840 512 32

Кол-во сбалансированных БФ 0 0 10920 0 1920 0 30

Результаты исследования нелинейных свойств элементарных УЭ вида Ргд, осуществляющих биективное преобразование, представлены в табл. 4. Здесь обозначение типа блока, например, 4-2-2 означает, что одна из трех БФ (включая линейную комбинацию первых двух) имеет нелинейность = 4, а две другие БФ имеют нелинейность ЫЬ^) = 2.

Таблица 4

Тип УЭ (значения нелинейностей) 4-4-4 4-4-2 4-2-2 4-4-0 2-2-2 2-2-0 0-0-0

Общее кол-во биективных УЭ 126720 110592 64512 8064 12288 9216 384

Кол-во УЭ - инволюций 2208 2304 3264 792 384 960 88

Наряду с нелинейностью другим показателем качества криптографического примитива являются его дифференциальные характеристики. Полученные результаты показывают (табл. 5), что все множество УЭ по своим дифференциальным свойствам делится на пять подмножеств: А, В, С, Б, Е из которых подмножества А, В, О выделяются меньшей предсказуемостью значения выходной разности, что делает их более предпочтительными при синтезе УППС. В то же время подмножества А, В, И, Е включают все 2208 УЭ, БФ которых имеют максимальную нелинейность.

Таблица 5

/ к А В С Б Е

0 1 0 0 0 0 0 0

1 1 0 3/4 5/8 7/8 1/2 1

2 1 0 1/4 3/8 1/8 1/2 0

0 2 0 0 0 0 0 0

1 2 0 1/2 3/4 1/4 1 0

2 2 0 1/2 1/4 3/4 0 1

Путем комбинирования базовых УЭ Т2П синтезированы УППС осуществляющие отображения вида например,

СР(2)32-» ОР(2)*, ОР(2)80-» ОР(2)16, СР(2)Ш -» ОР(2)32. Сохраняя топологию построения УППС на основе УЭ и заменяя последний на УЭ ¥У2 получим конкретный тип УППС.

В работе определены основные свойства однородных блоков УППС ¥„/„ слоистого типа, построенных на основе элементарных биективных УЭ Р2/2:

• Для любого блока УППС ¥„!„, состоящего из к подстановочных слоев, где к = 1о%2п, управляющий вектор должен иметь разрядность т = кп.

• Преобразование У=¥„1т(Х, V): СР(2Г'И— ОР(2)я, где X, У еОР(2)л, У £ОР(2)м будет биективным относительно X при фиксированных значениях управляющего вектора V и регулярным относительно множества входных и управляющих векторов;

• Если / £ Ч'л, где - множество всех БФ, реализующих конкретный вид

УППС, то для любого /=1,2.....п количество аргументов // БФ /

определяется выражением ц = 3 • 2* - 2 = Зи - 2.

• Если £¥„, то при однородной структуре УППС алгебраическая степень нелинейности БФ определяется выражениями

^ёШ = к + 1, при deg() = 2 для обоих выходов УЭ,

= 2А + 1, при с!е§( /Г"2) = 3 для обоих выходов УЭ,

где deg( f 2,2) - алгебраическая степень функций, реализующих блок Т2а-Если БФ, описывающие выходы УЭ имеют различную степень, то к+ 1 аваебС/Т) «2к+ 1.

• Верхняя фаница нелинейности БФ, реализующих УППС ¥„,т>

Зп-2

определяется выражением МЦРп/т) £ 23л_3 -2 2 -2. Аналогично произведена классификация УЭ ¥ъп по нелинейным и дифференциальным свойствам. Результаты исследования нелинейных свойств элементарных УЭ вида Рзл, осуществляющих преобразование - инволюцию, показали, что существует 400 линейных УЭ, образующие БФ которых, а также все их линейные комбинации имеют нелинейность МЬ(/)=0 и 131712 максимально нелинейных УЭ, у которых образующие БФ и их линейные

комбинации имеют нелинейность Для остальных 451584 инволюций,

нелинейность образующих БФ N1^ €Е {0, 2, 4}, < = 1, 2,..., 7.

Спектр УА максимально нелинейных БФ, реализующих блок Р3/ь по своей структуре не отличается от спектра УА максимально нелинейных БФ, реализующих блок ¥212- Следовательно, можно сделать вывод о корреляционной эффективности БФ, реализующих УЭ Р3/|, выполняющие преобразование - инволюцию.

Исследованы дифференциальные свойства УЭ ¥ух. В отличие от множества УЭ и тем более ¥гп, множество УЭ Р3/| по своим

дифференциальным свойствам содержит гораздо большее количество подмножеств, среди которых ряд подмножеств выделяются большей неопределенностью значений выходных разностей, что делает их более предпочтительными для применения в УППС, осуществляющих преобразование векторов большой размерности.

Путем комбинирования только УЭ Рзл или с УЭ ¥ц\, ¥2п

синтезированы УППС ¥„/т : 0¥(2У*т -* СР(2)Я. При этом разрядность входного вектора может быть как кратна так и не кратна двум. При использовании только УЭ Р3/1 в основу топологии построения УППС положен принцип коммутации УЭ, принадлежащих двум соседним слоям УППС, "каждый с каждым". Однородные блоки УППС ¥„/„ каскадного типа, имеющие подобную топологию обладают следующими свойствами:

• Любая УППС ¥„/„, состоящая из к подстановочных слоев, где к = \о&п, управляется т = -у разрядным вектором.

• При использовании биективной модели УЭ Р3/, в каждом узле УППС ¥п/т преобразование У=¥пт(Х, V): ОР(2)", где X, У £0Р(2)", V еСР(2)я будет биективным относительно X при фиксированных значениях управляющего вектора V и регулярным относительно множества входных и управляющих векторов;

• Если /, бЧ'п, где Щ, - множество всех БФ, реализующих конкретный вид УППС, то для любого /=1,2, ...,п количество аргументов ¡л БФ

> „ Зл-1

определяется выражением ц = и + у _ =-.

Аз' 2

¡-х-3

• Если /, £ 'Н,, то алгебраическая степень нелинейности БФ (Зе£(/^) определяется выражениями

с1е£(/) = 2* + 1, при /Р)") = 2 для всех выходов УЭ,

3к

deg(^) =2* + —-—, при с1е£( ) = 3 для всех выходов УЭ,

где deg(fFvl) - алгебраическая степень нелинейности функций, реализующих блок Е3/1. В случае если БФ, описывающие выходы УЭ, имеют различную алгебраическую степень нелинейности получим:

2к+ 1 * 2*

Верхняя фаница нелинейности БФ, реализующих УППС ¥п/т определяется

зи-5

следующими выражениями: ЫЦР"л/т) £

-(я-1) 22 -2 4 _2

2, п Зя-5 , при 22" -2 4

Зя-1

четном и нечетном соответственно.

Рассмотрены особенности развития лавинного эффекта в однородных УППС ¥п/т. Например, для ряда УЭ Р3/| производящие функции вероятностей

имеют вид: (р*'" (г) = — т + 4 г + Зг2), 4>г" (г) = ~(1 + 2г + г2). На основании

24 4

этого итеративно получены производящие функции вероятностей появления

разностей с различным весом Хэмминга (г) на выходе УППС ¥„/„, для случая я = 27, т = 27. Соответствующие им дискретные распределения вероятностей /^/(Ду) / ус/(Дх) = 1, *е/(Ду) = 0) показаны на рис. 1 (варианты 1 и 2 соответственно). Все остальные типы УЭ Р3/1 имеют распределения вероятностей, находящиеся между этими двумя вариантами. Следовательно, указанные УЭ характеризуют наихудший и наилучший варианты построения УППС большой размерности с точки зрения разностных свойств.

0,40 0,35 0,30 0,25 0.20 0,15 0,10 0,05 0

1 3 5 7 9 11 13 15 17 19 21 23 25 27 Рис.1

В пятом разделе разработана методология построения УППС различного порядка, выявлены проблемы, связанные с использованием простого расписания ключа в итеративных блочных шифрах, сформулировано понятие переключаемых управляемых операций и обосновано их применение в качестве криптографических примитивов. Рассмотрены способы построения

иЛ(Ау)

переключаемых управляемых операций, включая синтез переключаемых операций различного порядка.

Показано, что свойства управляемых операций, построенных на основе УППС зависят от следующих факторов:

• свойств управляемых элементов, используемых для построения сети;

• однородности сети;

• топологии сети, описывающей связи управляемых элементов между собой

и с управляющим входом;

• размеров информационного и управляющего входа операционного блока.

С целью оценки распространения влияния входных битов понятие порядка перестановочной сети обобщено на случай УППС, основанных на УЭ типа и

Введено понятие симметричных топологий УППС и определены отличия этого понятия для случаев использования различных механизмов задания свойства переключаемости (которое может быть также названо свойством обращаемости). Например, при использовании механизма обращаемости за счет инвертирования управляющих битов операционные блоки строятся с использованием УЭ, множество элементарных модификаций которых разбивается на пары взаимно обратных модификаций, а под симметричными (или зеркально симметричными) УППС понимаются следующие.

Симметричной называется УППС, для которой при всех / = 1, 2,..., $ - 1 выполняются следующие соотношения: Ь, = Ьм+1 и л, = (л5_,)"1.

При построении переключаемых УППС порядков А = 1, 2,..., и/4, п доказана следующая теорема:

Теорема 1. Для порядков И = 1,2, ..., п/4, п и п - 2к, где к-натуральное число, УППС, построенные по рекурсивной схеме третьего типа с использованием типового УЭ Р2/и являющегося инволюцией, реализуют множество модификаций управляемой операции Р„/т, которое разбивается на пары взаимно обратных модификаций.

На основе примитивов подобного типа возможно построение таких криптосхем преобразования, в которых усиливается параллелизм вычислений и одновременно с преобразованием подблоков данных возможно преобразование раундовых подключен. Последнее является предпосылкой для применения простого расписания использования ключа (ПРИК), которое заключается в том, что в качестве раундовых ключей используются фрагменты секретного ключа (подключи) или некоторые их комбинации.

Применение ПРИК обеспечивает существенную дополнительную экономию используемых схемотехнических ресурсов при аппаратной реализации шифров и повышение производительности устройств шифрования при частой смене ключей, что является важным для многих сетевых приложений.

Для устранения слабых ключей в итеративных блочных шифрах, использующих ПРИК, предлагаются следующие подходы:

1. Применение различных процедур преобразования для выполнения зашифрования и расшифрования. Недостатком этого подхода является то, что при аппаратной реализации он фактически требует реализации двух алгоритмов.

2. Включение в раундовое преобразование констант, значения которых зависят от номера раунда и режима шифрования. Этот способ позволяет устранить как слабые ключи, так и одинаковость всех раундов шифрования. Недостатком является то, что в каждый раунд требуется включать, по крайне мере, по одной дополнительной операции.

3. Применение переключаемых операций, управляемых битом, задающим прямую или обратную очередность использования раундовых ключей. Этот подход требует минимальных дополнительных затрат схемотехнических ресурсов и устраняет необходимость переключения значений констант в каждом раунде при изменении режима шифрования.

Сравнение перечисленных выше подходов к построению шифров с ПРИК показывает, что наибольший интерес представляет использование переключаемых управляемых операций. Задача состоит в разработке переключаемых операций, которые удовлетворяют следующим требованиям:

• невысокая сложность схемотехнической реализации,

• эффективность при использовании в качестве криптографического примитива,

• высокое быстродействие.

Свойство переключаемости операции по своей сути является специальным вариантом реализации свойства управляемости. При этом для любого заданного фиксированного значения управляющего вектора будет реализована прямая модификация при зашифровании (е = 0) и соответствующая ей обратная при расшифровании (е= 1). В общем случае переключаемую операцию можно определить следующим образом.

Пусть где е £{0,1}, - некоторая зависящая от е операция,

содержащая две модификации = и = Р\, где Р'г-. Тогда операция называется переключаемой операцией.

Если две модификации переключаемой операции представляют собой пару взаимно обратных управляемых операций уг'(0) =и /г'") = Тогда F'<e) называется переключаемой управляемой операцией Р(У,е).

В качестве основных конструктивных схем использованы три варианта рекурсивного построения переключаемых УППС на основе УЭ Ргл (или ^ж), представленные на рис. 2. Первый (а) и второй (б) варианты обеспечивают построение взаимно обратных управляемых операций на основе УППС первого порядка, а третий (в) - синтез УППС максимального порядка.

Рис. 2. Первый (а), второй (б) и третий (в) варианты рекурсивного построения УППС

На одном шаге из двух блоков ¥„/т и двух активных каскадов Ь„, включающих п элементов Р2/ь формируется блок Ргп/гт+гп (рис. 2в). При этом удваивается как размер входа УППС, так и его порядок. На первом шаге построения используются два управляемых элемента ¥у\ и два активных каскада типа Ь2. Поскольку элементы ¥ц\ имеют максимальный порядок, то каждый шаг рекурсии приводит к синтезу УППС максимального порядка с удвоенным размером входа.

Минимальное число активных каскадов, необходимое для реализации УППС первого порядка, составляет 5т1П = 1о%2п. Осуществляя шаг рекурсии третьего типа при использовании двух блоков ¥п/т первого порядка, получаем блок ¥ъ)Пт +2п второго порядка с числом слоев ят1П -2 + 1о= 1 + 1о£22и, где 2п есть размер синтезированного блока второго порядка, т. е. для данного размера входа минимально необходимое число активных каскадов для реализации УППС второго порядка на единицу превосходит значение для УППС первого порядка.

Если исходный блок ¥'„/„ имеет порядок Л, шаг рекурсии третьего типа обеспечивает построение блока Фъпт+ъг порядка 2И. Для данных значений п и А & я/4 значение л составляет л = 1ое,лй.

тш тщ

Используя механизмы рекурсивного построения УППС, реализованы УППС ¥„/т порядков 1, 2,4,..., и/4, п. Для всех значений порядков легко строятся блоки Р-1^, реализующие соответствующие обратные или переключаемые управляемые операции.

Рассмотрена реализация переключаемых управляемых операций (ПУО), в которых механизм обращения выполняемой управляемой операции основан на том, что УППС построена с использованием управляемых элементов ¥гп, Р2/2 или ¥зп, модификации которых являются попарно взаимно обратными.

Подобные управляемые элементы могут быть обращены путем инвертирования управляющих битов. В случае элемента это возможно, если каждая из двух пар модификаций, соответствующих паре управляющих векторов (00) и (11) и паре (01) и (10), включает две взаимно обратные модификации.

Способ обращения УППС на основе инвертирования всех управляющих битов также требует использования симметричной топологии УППС и симметричного распределения управляющих битов. Данный способ применим только в случае, когда не более половины управляющих битов являются независимыми (на управляющий вход двух управляемых элементов, расположенных в зеркально симметричных позициях, должен подаваться один и тот же бит).

Одной из важных целей применения ПУО является устранение гомогенности итеративного шифрования при использовании ключа сравнительно малого размера в случае ПРИК. Для этой цели при наличии одной переключаемой операции в процедуре одного раунда шифрования в последовательных раундах можно установить различные значения бита режима операции таким образом, чтобы они образовали непериодическую последовательность нулевых и единичных значений. Более эффективным вариантом является использование нескольких ПУО в одном раунде. Это позволит обеспечить более существенное различие в процедурах соседних раундов. Повторяемость раундов шифрования имеет место, только когда повторятся биты на переключающем входе всех ПУО.

Реализация ПУО с расширенным диапазоном переключаемое™ основывается также на скачкообразных изменениях распределения управляющих битов по элементарным управляемым подстановочным блокам ¥у\ в некоторой фиксированной топологии. Тип УППС определяется топологией взаимных связей УЭ и распределением управляющих битов. Выше были рассмотрены ПУО с двухвариантным распределением, задаваемым одним переключающим битом е. Обобщая понятие переключаемых операций, были предложены подходы к построению ПУО с многовариантным распределением управляющих битов, задаваемом некоторым переключающим вектором Е=(е ,,е2.....ег).

Даже при экономичном типе реализации ПУО обеспечивается достаточно большой диапазон переключаемости. На практике достаточно использовать векторы Е длиной до 6 битов (г = 6), что обеспечит получение 32 различных пар взаимно обратных управляемых операций, реализуемых с помощью одного ПУО при фиксированном управляющем векторе V. Это означает, что каждый бит вектора Е будет управлять многими элементарными переключателями в блоках переключения Р или Р*^.

При практическом построении ПУО следует структурировать управляемые элементы таким образом, чтобы они формировали в исходной УППС ¥п/т пары активных каскадов или пары некоторых внутренних УППС, которые переключаются одним из битов вектора Е. Это упрощает проектирование и анализ ПУО с расширенным диапазоном переключаемости. Обоснование

УГТПС является одновременно и обоснованием ПУО как криптографического примитива.

Рассмотренные свойства переключаемости позволяют предложить следующие три варианта механизмов устранения повторов раундовых преобразований, не связанных с длиной ключа:

1. Использование смешанного итеративного преобразования, включающего комбинацию из зашифровывающих (е = 0) и расшифровывающих (е= 1) раундов. Такое преобразование может быть представлено в виде последовательности значений е, например, 0,0,1,0,1,1,0,0,1,0 (10 раундов зашифрования) и 1, 1,0,1,0,0,1,1,0,1 (расшифрование).

2. Использоание специального варианта переключаемых операций, которые могут быть названы расширенными переключаемыми операциями. Эти операции представляют собой некоторые зависимые от параметра Е операции где Е - некоторый ¿-битовый вектор (к а 2), зависящий от е и от номера раунда шифрования, причем для всех V модификации и

являются взаимно обратными при Е ®Е'= {1}*.

3. Разработка раундового преобразования, содержащего несколько ПУО, управляемых независимыми переключающими битами е\,. ., ек, каждому из которых присваивается значение, зависящее от номера раунда.

В шестом разделе разработаны обобщенные схемы алгоритмов, реализующих итеративные блочные шифры на основе УППС и переключаемых У1111С, синтезирован ряд шифров, произведено оценивание их стойкости и эффективности аппаратной реализации на различных платформах.

Одной из особенностей разработки блочных шифров на основе управляемых операций является то, что при выполнении одной операции используются все биты преобразуемого подблока данных, причем характер их использования зависит от того, к какому подблоку данных они относятся, а именно, к управляющему или преобразуемому. Структура раундового преобразования может быть рассмотрена как усовершенствованная криптосхема Фейстеля, где вводится преобразование правого подблока данных с помощью УППС типа ¥п/т, выполняемого одновременно с вычислением раундовой функции по левому подблоку. В этом случае мы имеем преобразование:

Я - ®

где "*- " обозначает операцию присваивания, Ли Ь- левый и правый подблоки данных, Р - раундовая функция, V - управляющий вектор, формируемый в зависимости от левого подблока. Достоинством модернизированной криптосхемы является усиление параллелизма шифрующих преобразований. Для сохранения возможности расшифрования блока шифртекста с использованием одного и того же алгоритма, после наложения значения раундовой функции на преобразованный правый подблок выполняется операция Обе операции ¥п/т и Vх„¡т выполняются в зависимости от левого подблока данных. Полный раунд преобразования имеет следующий вид:

Р(1) (Я); Я - (Г'Г'и{К).

Рассматриваемая криптосхема представляет общий интерес при проектировании шифров на основе переменных операций. Она была использована как прототип для разработки других криптосхем, обеспечивающих более эффективное применение операций, зависящих от входного блока данных, в частности переключаемых управляемых операций. Эффективность применения новых криптосхем была апробирована на примере использования перестановочных сетей как частного случая У1111С, построенных на основе линейных УЭ (переключающих элементах Р2/1). Показано, что разработанные алгоритмы с использованием управляемых перестановок обеспечивают повышение эффективности аппаратной реализации по сравнению с известными шифрами и оставляют резерв для дальнейшей оптимизации путем перехода к применению УППС на основе УЭ, обладающих высоким значением нелинейности и лучшими дифференциальными характеристиками по сравнению с Р2/1.

Использование двух взаимно обратных управляемых операций, выполняемых над одним и тем же подблоком данных в пределах одного раунда шифрования требует реализации механизмов, устраняющих частичное гашение вклада в лавинный эффект этой пары операций. В качестве одного из таких механизмов использована суперпозиция Рт„,т • П*'' • (Р~\/т){У), которая фактически является операцией, управляемой вектором V и выполняющей переменные перестановки, обладающие цикловой структурой перестановки П*е). Для реализации только перестановок, имеющих цикловую структуру перестановки П^', на блоки Р„/т и Р'1^ подается одно и то же управляющее значение V. Возможность осуществления зашифрования и расшифрования с помощью одного и того же алгоритма обеспечивается тем, что обе операции С одинаковы, а для обращаемой фиксированной перестановки выполняется

условие (П^4)"'.

АМА(2)

I 1

ii

• л/т

у (»¿I

-о

!_1

п(е|

у! 3.4)

о

/ ■>

96

Рис. 3. Общий вид процедуры Cryptic переключаемой операцией

32

В рассмотренной схеме имеется следующая особенность. Каждая из двух одинаковых в-операций осуществляет «смешивание» левого подблока данных с разными парами подключей. Из приводимого ниже описания структуры этой операции следует, что изменение /-го бита I приводит к детерминированному изменению ¿-го бита и вероятностному изменению нескольких следующих за ним битов на выходе операции С. При непосредственном сложении выходных значений двух операций в лавинный эффект ослабляется. Использование операции перестановки (в частном случае - циклического сдвига на число битов, превышающее значение с1), выполняемой над выходным значением одной из операций С, позволяет устранить подобное гашение лавинного эффекта. С этой целью можно использовать одноцикловую перестановку П«, соответствующую циклическому сдвигу, например, на 17 битов (вправо при е=0 и влево при е=1). В криптосхеме на рис. 3 гашение лавинного эффекта устраняется за счет выполнения фиксированной перестановочной операции над правым подблоком данных после выполнения одной операции С и до выполнения второй. Таким образом, используемая фиксированная перестановка в правой ветви криптосхемы играет двоякую роль. Она согласует требуемым образом две одинаковые операции в и обеспечивает оптимизацию механизма формирования управляющих векторов для БУП.

Тем не менее, с механизмом, представленным на рис. 3 и включающим две одинаковые операции С, связана еще одна важная особенность, заключающаяся в том, что и в первой и во второй С-операциях каждый бит левого подблока данных влияет на выходные биты, принадлежащие одним и тем же разрядам. Эти разряды разносятся примененной фиксированной битовой перестановкой в правой ветви, однако вероятности порождения активных битов разности в идентичных разрядах обеих операций в являются зависимыми, поскольку ключи являются фиксированными элементами. Эта особенность приводит к некоторому повышению вероятности прохождения по схеме шифрования разностей с малым весом. Для устранения этого может быть использовано выполнение операции фиксированной перестановочной инволюции I над левым подблоком данных. Использование такой операции также реализует и вторую цель - совершенствование механизма формирования управляющих векторов.

Перестановочная инволюция I выбирается с учетом структуры операции в. Для такой операции С естественно выбрать такую перестановочную инволюцию, которая для всех / переставит биты левого подблока /,. |, /, - 2,1 - э на расстояние не менее чем четыре шага от переставленного бита /,. Этот критерий обеспечит зависимость пары выходных битов верхней и нижней операций С, принадлежащих одноименному заданному разряду, например у-му, от семи различных битов левого подблока для максимального числа различных значений Для случая 32-битовых подблоков данных такому условию удовлетворяет, например, следующая перестановка:

I = (1,17К2,21)(3,25Х4,29)(5,18Х6Д2)(7,26Х8,30)(9,19) (10,23)(1и7)(12,31X13,20X14,24)(15,28Х16,32).

Если в левой ветви криптосхемы использовать вместо инволюции I перестановку общего вида, то для обеспечения возможности использования одного и того же алгоритма для выполнения зашифрования и расшифрования потребуется применить операционный блок, реализующий обращаемую фиксированную перестановку, аналогичную перестановке В свою очередь в правой ветви вместо обращаемой перестановки П^1 можно использовать соответствующую перестановочную инволюцию Г, отличную от I. Отметим, что использование фиксированных перестановок в левой и правой ветвях криптосхемы требует их согласования.

Для реализации преобразования всего блока данных в рамках одного раунда с сохранением достаточно высокого параллелизма вычислений была разработана криптосхема, показанная на рис. 4.

В основу данной схемы положены следующие идеи:

• используются две одинаковые операции преобразования, зависящие от левого подблока;

• одна из операций вычисляется одновременно с преобразованием левого подблока данных, а вторая - с преобразованием правого подблока данных чем достигается уровень параллелизма, равный 2;

• для обеспечения универсальности криптосхемы левый подблок преобразуется с помощью операции, являющейся инволюцией или переключаемой управляемой операции; с той же целью управляющий вектор, используемый при выполнении управляемой операции над правым подблоком данных, формируется по исходному значению левого подблока при зашифровании и по преобразованному значению левого подблока при расшифровании.

кг

¿1

т/

► Б

п/щ

<?г

■/» и,

^■п/т

е-

* уРг*

п/1

V ^—

И,

п/т

♦О

Эп/щ

т Ц—. И

•о

Рис. 4. Структура раундового шифрования с преобразованием обоих подблоков данных при сохранении высокого параллелизма вычислений

В данной криптосхеме имеются две пары операций 8п/т и Н„/„. Операции первой пары выполняются над левым подблоком данных (8лЛ„) и подключом <7, (Кл/т), а операции второй пары - над правым подблоком данных {&„/„) и подключом Т, (Я^и). При этом блоки расширения построены таким образом, что ни один бит левого подблока данных не влияет дважды ни на какой бит преобразуемого двоичного вектора (подключа или подблока данных). Операции, зависящие от левого подблока данных, задают нелинейное преобразование, а операция, выполняемая над левым подблоком, является линейной, если операция бл/щ построена с использованием управляемых элементов типа Ргл (при использовании управляемых элементов с размером Рзл и более данная операция становится также нелинейной). Операция в„/„ обеспечивает хороший лавинный эффект, а три нелинейные операции обеспечивают высокую нелинейность раундового преобразования (алгебраическая степень нелинейности равна 7).

Для обеспечения свойства универсальности такой криптосхемы требуется наложить определенные ограничения на используемые управляемые операции. Возможны два типа таких операций:

• управляемые инволюции;

• переключаемые управляемые операции общего типа.

Управляемые инволюции на основе УППС строятся на основе последовательной (рис. 5а) и параллельной (рис. 56) схемам. Достоинство первой схемы состоит в том, что задается преобразование входного вектора как единого целого, однако требуется выполнение двух взаимно обратных управляемых операций ¥^т и Достоинство второй состоит в

параллелизме выполняемых операций, уменьшающий вносимое время задержки. В первом случае формируется блок ¥„пт, а во втором - блок ¥2„/т. Несмотря на отличие по принципу задания инволюций, при установленном числе активных слоев в результирующем блоке обе схемы обеспечивают примерно одинаковые конструктивные возможности при синтезе шифров.

6)

Х=(Х,Д2)

V

"п/т

' п'

X, 'п-п/2 х2, - п-п'/2

я п/т Рл/т

п/т

Г

Рис. 5. Последовательная (а) и параллельная (б) схема построения блока управляемых инволюций, реализуемых на основе УППС

На основе синтезированных УППС и ПУО разработан ряд 64- и 128-битовых шифров. Произведен анализ их стойкости и статистическое тестирование. Наиболее эффективной атакой является дифференциальный анализ, причем даже по отношению к алгоритмам на основе управляемых перестановок, являющихся линейным примитивом.

Подробно рассмотрен дифференциальный анализ на основе изучения различных разностей, имеющих вес от 1 до 6. Несмотря на то, что наблюдается закономерность существенного уменьшения вероятности с ростом веса разности, для полного завершения дифференциального анализа требуется выполнение обобщенного теоретического исследования, позволяющего получить формальное доказательство того, что не существует характеристик с вероятностью, превышающей некоторое заданное значение. В общем случае такая задача представляется достаточно трудоемкой даже для малого числа раундов. Эмпирический анализ имеет значение как один из этапов анализа стойкости.

Для восьми и десяти раундов шифра Cobra-H128 получены следующие вероятности прохождения разностей единичного веса: Р(8) = Р*{2) ■» 1.82 -2"76 и Р(\0) = Р 5(2) = 1.05 -2"94.

Учитывая, что для случайного преобразования на выходе формируется однобитовая разность (О, Д f) с вероятностью Р = 32 -2' =2~ > Р(8) > Я(10), можно сделать заключение, что шифр COBRA-H64 является стойким к дифференциальному криптоанализу, поскольку он неотличим от случайного преобразования с использованием характеристик с наибольшей вероятностью.

Шифр COBRA-H128 сходен по своей структуре с алгоритмом COBRA-Н64 поэтому его криптоанализ проводился по той же схеме. В таблице 6 представлены результаты теоретических оценок по дифференциальному анализу шифров COBRA-H128 и COBRA-H64. Управляемые перестановки являются линейным криптографическим примитивом, поэтому они использованы совместно с нелинейной операцией G-типа. Для более полной демонстрации эффективности применения переменных перестановок был разработан шифр DDP-64, использующий только операции перестановок и поразрядное суммирование по модулю два.

На основании полученных данных можно сделать вывод, что рассмотренные шифры неотличимы от случайного преобразования с помощью атак, которые могут быть реализованы в условиях практической эксплуатации систем защиты информации, и могут быть применены для решения разнообразных задач по защите от несанкционированного доступа к информации. Однако при рассмотрении некоторых специальных гипотетических атак их стойкость может быть различной. Из таких атак можно указать атаку на основе одновременного модифицирования ключа и входных текстов. Эта атака может оказаться весьма эффективной ввиду очень простого расписания использования секретного ключа. В этой связи наиболее уязвимыми могут оказаться шифры, в которых используется зависимость операций преобразования от ключа. К данной атаке потенциально уязвимым

шифр COBRA-H128. В то же время более простая структура преобразований в COBRA-H64 обеспечивает более высокую стойкость к упомянутой атаке.

Ниже рассмотрены другие схемы шифров на основе управляемых операций, которые свободны от использования ключа при выборе текущей модификации управляемой операции, что снимает предпосылки к данной гипотетической атаке. Предложены 64- и 128-битовые блочные шифры Eagle-64 и Eagle-128, построенные с использованием новой криптосхемы, комбинирующей фиксированные подстановочно-перестановочные сети (1111С) с УППС и обеспечивающей повышение отношения производительности к аппаратным затратам.

В шифре Eagle-128 применена криптосхема, комбинирующая УППС с фиксированными ППС. УППС представлены операциями Г64/Э84 и г 32,32, построенными на основе УЭ F2/2 (блок F32/32 представляет собой один активный каскад, содержащий 16 элементов F2/2). Элемент F2/2 описывается булевыми функциями у\,у2 и уз ~у\ +у2 с алгебраической степенью, равной 3. При этом значение их нелинейности равно 4.

Общая схема шифрования и раундовое преобразование (процедура Crypt) шифра Eagle-128 представлены на рис. 6. Две взаимно обратные фиксированные ППС используются в правой ветви криптосхемы.

а)

I

Crypt

Crypt

Т^-

*............

Crypt

Конечное преобразование (FT)

64

т

Рис. 6. Итеративная структура Eagle-128 (а) и процедура Crypt (б)

Особенностью Eagle-128 является то, что в каждом раунде используется один и тот же 64-битовый подключ для наложения на правый и левый подблоки данных. Это упрощает аппаратную реализацию шифра. Процедура Crypt не является инволюцией, хотя, если исключить операции наложения подключей, то оставшаяся часть раундового преобразования будет являться инволюцией. Для обеспечения полной симметрии процедуры шифрования в Eagle-128 используется конечное преобразование, благодаря которому процедуры расшифрования полностью совпадают с процедурами зашифрования, за исключением изменения расписания использования ключа. Конечное преобразование представляет собой наложение на подблоки данных соответствующих подключей.

Алгоритм преобразования в соответствии с EagIe-128 представляется следующим образом:

1. Рогу = 1 to 9 do: {(¿, R) *- Crypt<£) (L, R, Qj); (L, R) - (L, R)}.

2. (L, R) *- Cryptw(£, R, Q\o).

3. (L,R)~-(L ©ßn, R ©ßn).

Ha основе блоков операции F32/96 и 32/96 был разработан шифр Eagle-64 с 64-битовым блоком, схема построения которого аналогичная Eagle-128. Эффективность аппаратной реализации этих двух шифров в приборах программируемой логики связана с тем, что в нем используются управляемые подстановочные операции, построенные на основе УЭ, максимально использующих ресурсы стандартных логических блоков, являющихся типовыми элементами программируемых логических СБИС. При одинаковых используемых ресурсах с элементами Р2/1 и УЭ типа F2/2 обладают более высокой алгебраической степенью и более высоким значением нелинейности. Дополнительно к этому в Eagle-64 и Eagle-128 используется усовершенствованная криптосхема, комбинирующая элементы ППС и схемы Фейстеля и обеспечивающая преобразование обоих подблоков данных в одном раунде шифрования.

Исследование стойкости к различным атакам показало, что наиболее эффективным методом криптоанализа является дифференциальный. Восемь раундов EagIe-128 и шесть раундов Eagle-64 являются достаточными для того, чтобы нейтрализовать атаки на основе дифференциального и линейного анализов (см. табл. 6).

Таблица 6

Шифр г Характеристика P{rf

Разность Вероятность P(2)

COBRA-H64 10 (<Uf) -1.13-2-'9 -г"94

COBRA-H64 8 OUf) -1.13-2-19

COBRA-H128 12 OUf) -29 »1.125-2 » L

COBRA-H128 10 (0,Af) »1.125 -2'29 -144 » 2

DDP-64 10 (Af,0) —1.37-2-'7 -1.2-2"83

Eagle-H64 8 (4,°) <2'25 <2-.oo

Eagle-H64 6 (¿2.0) <2"25 < 2~75

Eag!e-H128 10 (Д2.О) -г"38 -190 m 2

Eagle-H128 8 (A',,0) »2 38 «-I5Z m 2

* вклад характеристики в вероятность прохождения разности через г раундов

Алгоритмы Eagle являются более эффективным для реализации в программируемой логике по сравнению с большинством известных блочных

шифров (см. табл. 7, дающую сравнение по двум показателям: "Производительность/Стоимость" и "Производительность/(Стоимость • Частота)").

Таблица 7

Шифр Длина блока данных Число раундов N #CLBs* Частота, МГц Скорость, Мбит/с (МЬрв) Показатель эффективности

Mbps/ #CLBs Mbps/ (#CLBs ГГц)

Eagle-128 128 10 1 781 92 1177 1,51 16,4

Cobra-H128 128 12 1 2364 86 917 0,39 4,5

Rijndael 128 10 1 2358 22 259 0,11 5,0

Serpent 128 32 7964 13,9 444 0,056 4,0

RC6 128 20 1 2638 13,8 88,5 0,034 2,4

Twofish 128 16 1 2666 13 104 0,039 3,0

Cobra-H64 64 10 1 615 82 525 0,85 10,4

DDP-64 64 10 1 615 85 544 0,88 10,4

Eagle-64 64 8 1 305 142 1050 3,44 24,2

DDO-64 64 8 1 350 130 924 2,64 20,3

SDDO-64 64 8 1 345 117 858 2,48 21,2

DES 64 16 ? 189 176 626 3,21 18,2

3-DES 64 3 х 16 ? 604 165 587 0,94 5,7

IDEA 64 8 1 2878 150 600 0,28 1,87

* число типовых логических блоков

Эффективность разработанной методологии синтеза была также продемонстрирована разработкой 64-битовых шифров ОЕЮ-64 и 5000-64, в которых единственным нелинейным конструктивным узлом являются У1111С 1^16/64 и Р"'16/64 на основе элементов типа Схемы преобразования блока

данных в обоих шифрах аналогичны. Отличие состоит в том, что в 8000-64 вместо каждой из операций Р^и и V1 в правой ветви криптосхемы используется переключаемая операция Р*"'^/«-

3. ЗАКЛЮЧЕНИЕ И ВЫВОДЫ ПО РАБОТЕ

В ходе проведения диссертационных исследований, формулировки и решения поставленной в работе научной проблемы были получены следующие основные научные и практические результаты.

1. Показано, что криптографические методы являются универсальными методами защиты информации от различных информационных воздействий нарушителя. Определены требования, предъявляемые к алгоритмам криптографического преобразования информации. Исследована проблема повышения защищенности высокоскоростного информационного обмена в распределенных компьютерных системах на основе разработки научно-методологического аппарата по синтезу методов и алгоритмов криптографического преобразования информации в условиях применения нарушителями систем преодоления защиты.

2. Обоснованы и разработаны обобщенные и частные показатели защищенности информации. Проведена формализация задачи синтеза блочных криптографических конструкций на основе математических свойств управляемых операций. Разработаны алгоритмы на основе свойств управляемых операций, повышающие стойкость преобразования к известным методам криптоанализа. Предложены частные показатели эффективности такого рода криптографических конструкций.

3. Показано, что использование в целях построения криптографических конструкций управляемых операций позволяет получить выигрыш в скорости преобразования информации более чем на 30% по сравнению с существующими алгоритмами, при сравнимых оценках стойкости к различным методам анализа.

4. Предложен новый класс нелинейных преобразований, реализуемых как управляемые подстановочно-перестановочные сети над двоичным п-мерным (и=32 +256) пространством. Частные модели управляемых подстановочно-перестановочных сетей характеризуются невысокой схемотехнической сложностью реализации и большим количеством модификаций. Разработана методология синтеза управляемых операций на основе управляемых элементов и Р3л и выполнена классификация нелинейных управляемых элементов типа Р2/1, Р2/2 и ¥3/1. На основе аппарата булевых функций рассмотрены основные свойства базовых защитных примитивов. Выбраны классы обратимых УППС, проанализированы математические и вероятностные свойства УППС, сформулированы условия их оптимизации и получены оценки сложности реализации управляемых подстановочных операций.

5. Разработан способ построения итеративных блочных шифров, отличающийся использованием операций, зависящих от преобразуемых данных и реализуемых с помощью управляемых подстановочно-перестановочных сетей.

6. Расширено понятие управляемых операций. Разработаны способы устранения предпосылок возникновения слабых ключей и гомогенности шифрующего преобразования в итеративных шифра с простым расписанием ключа, отличающаяся применением переключаемых управляемых операций.

7. Разработаны подходы к синтезу переключаемых операций на основе зеркально-симметричных У1111С, обеспечивающие низкую сложность аппаратной реализации. Разработаны конструктивные схемы УППС и переключаемых УППС порядков А = 2,4,...,«/4, я, основанных на УЭ ¥т-Разработан способ построения переключаемых операций, отличающийся использованием УЭ, реализующих попарно взаимно обратные модификации.

8. Разработана методология синтеза высокоскоростных блочных алгоритмов шифрования данных на основе применения концепции управляемых операций, обеспечивающих необходимую стойкость, высокое быстродействие и невысокую сложность при аппаратной и в ряде случаев программной реализации алгоритмов. В рамках данной методологии синтезированы криптосхемы сочетающие элементы сети Фейстеля и подстановочно-перестановочных сетей, отличающиеся использованием управляемых операций. Разработаны итеративные шифры с высоким показателем эффективности «производительность/стоимость» и исследована их стойкость к основным видам атак. Разработаны итеративные алгоритмы с одинаковым расписанием ключа в режиме зашифрования и расшифрования, отличающийся использованием переключаемых операций. Развиты аналитические методы и практические решения по повышению стойкости синтезированных алгоритмов на основе

а УППС к статистическим и дифференциальным методам криптоанализа.

9. Даны методические рекомендации по применению разработанных методов в различных протоколах информационного обмена. Предложены

} технические решения, обеспечивающие аппаратно-программную

реализацию разработанных алгоритмов на основе использования универсальных процессоров и программируемых логических интегральных схем, которые, в отличие от существующих, позволяют существенно (более чем на 30 %) повысить скорость преобразования данных.

нк. национальная

библиотека СЯетавуаг

4. ОСНОВНЫЕ ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ

1. Молдовян Н. А., Молдовян А. А., Еремеев М. А. Криптография: от примитивов к синтезу алгоритмов - СПб, БХВ-Петербург, 2004. - 446с.

2. Молдовян A.A. Молдовян H.A., Гуц Н.Д., Изотов Б.В. Криптография: скоростные шифры - СПб, БХВ-Петербург, 2002. - 493с.

3. Молдовян A.A. Молдовян H.A., Советов Б.Я. Криптография. СПб, Изд. «Лань», 2000. - 224с.

4. Молдовян A.A. Криптография для защиты компьютерной информации

(4.1) // Интеграл. М. 2004, №4 (18), С.42-43.

5. Молдовян A.A. Криптография для защиты компьютерной информации

(4.2) // Интеграл. М. 2004, №5 (19), С.60-61.

6. Молдовян A.A. Актуальные технологии шифрования в информационных системах //Труды Всеармейской науч.-практич. конф. «Инновационная деятельность в Вооруженных Силах РФ», СПб.: ВАС, 2004. С.28-31

7. Молдовян A.A. Новый способ синтеза переключаемых управляемых операционных блоков//Вопросы защиты информации. 2003. №3. С. 3845.

8. Молдовян A.A. Способ итеративного шифрования блоков дискретных данных // Патент №2186466 РФ, МПК 7 H 04 L 9/08, H 04К 1/06, Опубл.27.07.2002. Изобретения. Заявки и патенты. Бюл. № 21.

9. Молдовян A.A. Инновационные технологии шифрования: перспективы развития и коммерциализации // Труды Всеармейской науч.-практич. конф. «Инновационная деятельность в Вооруженных Силах РФ» СПб.: ВУС, 2002. С.172-178.

10. Молдовян A.A. Патентование изобретений и информационная безопасность России // Межрегиональная конф. «Информационная безопасность регионов России ИБРР». Сб. матер., СПб. 2001. С. 21

11. Moldovyan A.A. Fast Block Cipher Based on controlled permutations // Computer Science Jornal of Moldova. 2000. Vol.8. №3. P.270-283.

12. Молдовян A.A. Построение скоростного программного алгоритма поточного типа на базе псевдовероятностной выборки подключей // Вопросы защиты информации. 2000. № 3. С.53-56.

13. Молдовян A.A. Подход к созданию средств защиты информации массового применения //Управление защитой информации. Минск, 1998. Том 2, №1. С.26-27.

14. Молдовян A.A. Некоторые вопросы защиты программной среды ПЭВМ //Безопасность информационных технологий. М., МИФИ 1995. №2. С. 2228.

15. Молдовян A.A. Организация комплексной защиты ПЭВМ от несанкционированнотт! доступа // В сб.: Информатика. Сер. Проблемы ^ьНУЙи^ельно^ лхникч и информатизации. М. 1992, вып.3-4, С.64-69.

■ »«»im

! * Si ЭГ *-'

16. Молдовян A.A. Тотальная защита информации на основе скоростных шифров // IX Санкт-Петербургская междун. конф. «Региональная информатика». Сб. матер., СПб. 2004. С. 143.

17. Молдовян A.A. О расширении стандартов шифрования // Междун. науч.-практ. конф. «Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики». Сб. матер., ч.З. СПб университет МВД России. 1999, с.133-134.

18. Молдовян A.A. Проблемы создания универсальных средств защиты информации // Всероссийская научно-практич. конф. «Актуальные проблемы безопасности информационного пространства», Сб. матер., СПб. 1999. С.11-13.

19. Молдовян A.A. К вопросу сертификации и использования зарубежных средств защиты информации// Межведомсгв. семинар «Проблемы безопасности прог-рамммного обеспечения зарубежного производства», Сб.матер.СПб.1997. с.35-36.

20. Молдовян A.A. Комбинированные криптосхемы на базе библиотеки процедур шифрования // V Санкт-Петербургская междун. конф. «¡Региональная информатика». (РИ-96): Сб.матер. Ч.1.-СП6., 1996. с.110-111.

21. Еремеев М.А., Молдовян A.A., Молдовян H.A. Синтез, свойства и особенности применения управляемых элементов с трехбитовым входом // Вопросы защиты информации. 2004. №1. C.2-1S.

22. Еремеев М.А., Молдовян A.A., Молдовян H.A. Шифры на основе управляемых операций: комбинирование сетей различного типа // Вопросы защиты информации. 2004. №3.

23. Еремеев М.А., Молдовян A.A., Молдовян H.A. Разработка и исследование подстановочно-перестановочных сетей для блочных алгоритмов шифрования на основе одного класса управляемых элементов Р3/1 // Вопросы защиты информации. 2003. №4. - С. 14-21.

24. Молдовян A.A., Еремеев М.А., Молдовян H.A., Морозова Е.В. Полная классификация и свойства нелинейных управляемых элементов минимального размера и синтез криптографических примитивов // Вопросы защиты информации. 2003. -№3. - С.15-27.

25. Изотов Б.В., Молдовян A.A., Молдовян H.A. Блочные шифры COBRA-H64 и COBRA-H128 // Вопросы защиты информации. 2003. № 3. С. 8-14.

26. Молдовян A.A. , Молдовян H.A., Морозова Е.В. Скоростные аппаратные шифры с простым расписанием использования ключа // Вопросы защиты информации. 2003. № 1. С. 12-22.

27. Изотов Б. В., Молдовян А. А. Методы повышения криптостойкости блочных шифров с простым расписанием раундовых ключей // Вопросы защиты информации. М., ВИМИ, 2003, № 2, с.9-18.

28. Изотов Б. В., Молдовян А. А. Перспективы создания шифраторов на основе управляемых криптографических примитивов // Изв. вузов. Приборостроение. 2003. №7. С. 73-79.

29. Гуц Н.Д., Молдовян A.A., Морозова Е.В.Шифраторы на основе переключаемых операций // Изв. вузов. Приборостроение. 2003. №7. С. 7986.

30. Еремеев М.А., Молдовян H.A., Молдовян A.A. Аппаратные средства шифрования на основе управляемых операционных подстановок // Изв. вузов. Приборостроение. 2003. № 3. С. 13-19.

31. Гуц Н.Д., Изотов Б.В., Молдовян A.A., Молдовян H.A. Концепция управляемых преобразований и алгоритмы защиты данных на технологическом уровне // Наукоемкие технологии. М., 2003, №8, Т.4, с.39-47.

32. Еремеев М.А., Молдовян H.A., Молдовян A.A. Защитные преобразования информации в АСУ на основе нового примитива // Автоматика и телемеханика. М., 2002. № 12, С. 35-47.

33. Гуц Н.Д., Молдовян A.A. Молдовян H.A. Построение слоистых блоков управляемых перестановок различного порядка // Вопросы защиты информации. 2002. №4. С. 19-25.

34. Гуц Н.Д., Молдовян A.A. Молдовян H.A., Терехов A.A. Линейный криптоанализ векторной функции от двух переменных специального вида II Вопросы защиты информации. 2002. № 3. С. 2-12.

35. Еремеев М.А., Коркишко Т.А., Молдовян A.A., Молдовяну П.А. Аппаратная поддержка программных шифров на базе управляемых перестановок. // Вопросы защиты информации. 2002. №2. С.26-37.

36. Гуц Н.Д., Еремеев М.А., Молдовян A.A. Алгоритм формирования расширенного ключа на основе блоков управляемых перестановок // Вопросы защиты информации. 2001. №3. С.41-46.

37. Молдовян A.A., Молдовян H.A., Попов П.В. Блочные криптосхемы на основе взаимно обратных управляемых операций // Вопросы защиты информации. 2001. №2. С.38-43.

38. Изотов Б.В., Молдовян A.A., Молдовян H.A. Скоростные методы защиты информации в АСУ на базе управляемых операций // Автоматика и телемеханика. М., 2001. № 6. С.168-184.

39. Молдовян A.A., Молдовян H.A. Метод скоростного преобразования для защиты информации в АСУ // Автоматика и телемеханика. М., 2000. № 4. С.151-165.

40. Молдовян A.A., Молдовян H.A. Гибкие алгоритмы защиты информации в АСУ // Автоматика и телемеханика. М., 1998 № 8. С.166-175.

41. Гуц Н.Д., Изотов Б.В., Молдовян A.A., Молдовян H.A. Проектирование двухместных управляемых операций для скоростных гибких криптосистем //Безопасность информационных технологий. М.МИФИ. 2001. № 2. С.14-23.

42. Гуц Н.Д., Изотов Б.В., Молдовян A.A., Молдовян H.A. Скоростные аппаратные шифры на основе новых криптографических примитивов // Труды юбилейной конф. «Прогрессивные направления развития

радиоэлектронных комплексов и систем». М., ЦНИИРЭС, 2001, Т.2, С.44-49.

43. Белкин Т.Г., Гуц Н.Д., Молдовян A.A., Молдовян H.A. Линейный криптоанализ и управляемые перестановки // Безопасность информационных технологий. М. МИФИ. 2000. №2. С.70-80.

44. Белкин Т.Г., Гуц Н.Д., Молдовян A.A., Молдовян H.A. Способ скоростного шифрования на базе управляемых операций // Управляющие системы и машины. Киев. 1999. № 6. С.79-87.

45. Молдовян A.A., Молдовян H.A., Алексеев JI.E. Перспективы разработки скоростных шифров на основе управляемых перестановок // Вопросы защиты информации. М., 1999. №1. С. 41-47.

46. Гуц Н.Д., Молдовян A.A., Молдовян H.A. Построение управляемых блоков перестановок с заданными свойствами // Вопросы защиты информации. М., 1999. №4. С.39-49.

47. Белкин Т.Г., Молдовян A.A., Молдовян H.A. Новый скоростной способ блочного шифрования // Сб. науч. трудов. Комплексная защита информации. Минск, 1999. Вып.2. С.121-128.

48. Молдовян A.A., Молдовян H.A. Скоростные шифры на базе нового криптографического примитива // Безопасность информационных технологий. М. МИФИ. 1999. №1. С.82-88.

49. Гуц Н.Д., Молдовян A.A., Молдовян H.A., Попов П.В. Подход к построению гибких аппаратных шифров на базе управляемых операций нескольких типов//В кн. ИПУ РАН, М. Изд. центр РГГУ, 1999. С.252-253.

50. Молдовян A.A., Советов Б.Я. Перспективные шифры для защиты информации в автоматизированных системах реального времени // Информационные технологии в технических и организационных системах, Изв.ГЭТУ. СПб, 1997. Вып.514. С.3-10.

51. Молдовян A.A., Святашов П.Г. Скоростные шифры для защиты информации в автоматизированных системах // Шестая Всерос. науч.-практ. конф. «Актуальные проблемы защиты и безопасности», Сб. тр., 2-4 апреля 2003г. СПб. С.321-323.

52. Молдовян A.A., Молдовян H.A., Попов П.В. Способ итеративного шифрования блоков цифровых данных // Патент № 2199826 РФ, МПК 7 Н 04 L 9/08, Н 04 К 1/06, Опубл.27.02.2003. Бюл. № 6.

53. Гуц Н.Д., Изотов Б.В., Молдовян A.A. Молдовян H.A. Итеративный способ блочного шифрования // Патент №2204212, РФ, МПК 7 Н 04 L 9/16, Опубл. 10.05.2003. Бюл. № 13.

54. Молдовян A.A. Молдовян H.A. Способ итеративного блочного шифрования двоичных данных // Патент № 2206961 РФ, МПК 7 Н 04 L 9/16,0публ.20.06.2003. Бюл. № 17.

55. Еремеев М.А., Молдовян H.A., Молдовян A.A. Способ криптографического преобразования блоков цифровых данных // Патент № 2211541, МПК 7 Н 04 L 9/00, Опубл. 27.08.2003. Бюл. № 24.

56. Молдовян H.A., Молдовян A.A. Способ блочного итеративного шифрования двоичных данных // Патент № 2212108, МПК 7 Н 04 L 9/16, Н 04 К 1/06, Опубл. 10.09.2003. Бюл. № 25.

57. Алексеев JI.E., Изотов Б.В., Молдовян A.A. Молдовян H.A. Способ блочного итеративного шифрования цифровых данных // Патент № 2184423 РФ, МПК 7 Н 04 L 9/16, 0публ.27.06.2002. Бюл. № 18.

58. Молдовян A.A. Молдовян H.A. Способ криптографического преобразования L-битовых входных блоков цифровых данных в L-битовые выходные блоки // Патент № 2188513, МПК 7 Н 04 L 9/16, Опубл. 27.08.2002. Бюл. № 24.

59. Moldovyan A.A., Moldovyan N.A., Summerville D.H., Zima V.M. Protected Internet, Intranet, & Virtual Private Networks. Wayne, A-LIST publishing, 2003, 350 pp.

60. Moldovyan A.A., Moldovyan N.A. A Cipher Based on Data-Dependent Permutations // Journal of Cryptology. IACR. 2002. Vol.15, № 1. P. 61-72.

61. Moldovyan A.A., Moldovyan N.A. Software Encryption Algorithms for Transparent Protection Technology// Cryptologia. 1998. V. XXII. №1. P.56-68.

62. A.A. Moldovyan, N.A. Moldovyan, and N. Sklavos, «Minimum Size Primitives for Efficient VLSI Implementation of DDO-Based Ciphers» Proc. of the 12th IEEE Mediterranean Electrotechnical Conference - MELECON 2004. May 1215, Dubrovnik, Croat. P.807-810.

63. Moldovyan N.A., Moldovyan A.A., Eremeev M.A., Summerville D.H. Wireless Networks Security and Cipher Design Based on Data-Dependent Operations: Classification of the FPGA Suitable Controlled Elements // Proc. of the Computing Communications and Control Technologies CCCT2004, August 1417,2004, Texas, USA. P.123-128.

64. Sklavos N., Koufopavlou O., Moldovyan A.A. Encryption and Data Dependent Permutations: Implementation Cost and Performance Evaluation // Mathematical Methods, Models and Architectures for Computer Networks Security (MMM-ACNS 2003). Int. Workshop Proc., September, 2003, St. Petersburg, Russia. Springer-Verlag, Berlin, Heidelberg, 2003. LNCS, vol. 2776. P.337-348.

65. Goots N.D., Izotov B.V., Moldovyan A.A., Moldovyan N.A. Fast Ciphers for Cheap Hardware: Differential Analysis of Spectr-H64 // Mathematical Methods, Models and Architectures for Computer Networks Security (MMM-ACNS 2003). Int. Workshop Proc., September, 2003, St. Petersburg, Russia / SpringerVerlag, Berlin, Heidelberg, 2003. LNCS, vol. 2776. P.449-452.

66. Goots N.D., Moldovyan A.A., Moldovyan N.A. Fast Encryption Algorithm SPECTR-H64 // Mathematical Methods, Models and Architectures for Computer Networks Security. International Workshop Proceedings, May 21-23, 2001, St. Petersburg, Russia / Springer-Verlag LNCS. 2001. V.2052. P.275-286.

67. Izotov B.V., Moldovyan A.A., Moldovyan N.A. Control Operations as a Cryptographic Primitive // Mathematical Methods, Models and Architectures for Computer Networks Security. International Workshop Proceedings, May 21-23, 2001, St. Petersburg, Russia, Springer-Verlag LNCS. 2001. V.2052. P.230-241.

68. Moldovyan A.A., Moldovyan N.A., Sovetov B.Ya. Software-oriented ciphers for computer communication protection // 4th Intern. Conf. «Applications of computer systems» Proc. Polland, Szczecin, November 13-14,1997. P.443-450.

69. Moldovyan A.A., Moldovyan N.A., Zaikin O.I. Undetermined Software-Oriented Ciphers Based on Data-Dependent Subkey Selection // Int.Conf. Computer's Methods in Control Systems CMCS'97. December 11-12, 1997. Szczecin, Poland. Proc. P.157-164.

70. Moldovyan A.A., Moldovyan N.A. Fast Software Encryption Systems for Secure and Private Communication // 12th International Conf. on Computer Communication. Seoul, Korea August 21-24,1995. Proc., Vol. 1, pp. 415-420.

71. Moldovyan A.A., Moldovyan N.A., Andronati N.R., Rogozhin Yu.V. Software-Oriented Approach to Computer Processing Protection II European Simulation meeting: Simulation Tools and Applications. Gyor, Hungary, August 28-30, 1995. Proc. P.143-149.

72. Moldovyan A.A., Moldovyan N.A. Postopek kriptografske pretvorbe binamich podatkovnih blokov. Patent № 20349, República Slovenija, MPK 6 H04L 9/00. Dat28.02.2001. Bilt.2001/1.

73. Moldovyan A.A., Moldovyan N.A., Savlukov N.V. Postopek blokovnega sifriranja zaupnih podatkov. Patent № 20498, República Slovenija, MPK 6 H04L 9/00. Dat.31.08.2001. Bilt.2001/4.

Подписано к печати 25.04.2005 года Объем: 2 печ. л. Зак. 120

Типография ВАС

!

4

?

рНБ Русский фонд

2006-4 14059

Г

Обозначения.

Сокращения.

Введение.

Глава 1. Анализ информационной безопасности компьютерных систем и криптографических методов- преобразования информации

1.1 Шифрование как механизм защиты информации.

1.2 Защита информации на технологическом, уровне.

1.3 Алгоритмы шифрования в средствах компьютерной безопасности

1.4 Управляемые; операции: в: практике: синтеза;блочных шифров».

1.5 Особенности аппаратной реализации блочных алгоритмов шифрования.

1.5.1 Архитектура реализации:.

Ъ.5'2 Управляемые операции и отображения.

1.5.3 Расписание использования ключа.

Постановка! задачи диссертационногошсследованиж.

Глава 2. Системный анализ методов криптографической защиты информационного обмена в: компьютерных системах

2.] Обоснование системы количественных показателей защищенности информационного обмена ^компьютерных, системах:.52'

2.2 Декомпозицияпоказателяинформационнойскрытностиначастныепоказатели, характеризующие: стойкость криптографического преобразования?.

2.2. ] Представление криптографических преобразований через свойства булевыхфункций;;.5Т

2.2\2~. Сбалансированность булевых: функций .60'

2123'- Корреляционные- свойства БФ?.6-1F

22.4 Свойства распространения изменений: для Б'Фн,.

2.2.5 Свойства нелинейности булевых функций.

Выводы по главе 2.

Глава 3. Подстановочно-перестановочные сети с минимальным управляемым элементом.

3.1 Управляемые битовые перестановки как криптографический примитив.

3.2 Блочный шифр на основе переменных перестановок.

3.3 Расширение класса управляемых операций с использованием элементарных управляемых инволюций.

3.4 Полная классификация нелинейных элементов F2/1.

3.5 Синтез управляемых операционных подстановок на основе элементов F2/i.

3.5.1 Принципы построения управляемых операционных подстановок.

3.5.2 Исследование основных свойств и оптимизация УОП.

3.5.3 Вероятностные характеристики УОП.

3.5.4 Оценка схемотехнической сложности реализации УОП.

Выводы к главе 3.

Глава 4. Классы управляемых элементов F2/2 и F3/1.

4.1 Варианты представления и критерии отбора управляемых элементов F2/2.

4.2 Классификация основных типов УЭ F2/2 по нелинейным и дифференциальным свойствам.

4.3 Методы построения управляемых операций.

4.4 Класс управляемых элементов F3/1.

4.4.1 Представление и синтез управляемых элементов F3/1.

4.4.2 Классификация УЭ F3/1 по нелинейным и дифференциальным свойствам.

4.4.3 Синтез управляемых операционных блоков.

4.4.4 Особенности использования элементов F3/1 в синтезе блочных шифров.

4.4.5 Сравнительная характеристика УЭ F2/2 и F3/1.

Выводы к главе 4.

Глава 5. Переключаемые управляемые операции - новый примитив.

5.1 Построение управляемых подстановочно-перестановочных сетей различного • порядка.

5.2 Проблемы построения блочных шифров с простым расписанием использования ключа.

5.3 Понятие переключаемой; операции.

5.4 Управляемые операционные подстановки как класс попарно взаимно-обратных модификаций.

5.5 Переключаемые управляемые операционные подстановки с симметричной тополошческошструктуройу. 218"

5.6: Переключаемые УППС различных порядков;.

5.7 Упрощение апнаратнойфеализации ПУ0П.

5.8 Переключаемые УППС с управляемыми элементами, включающими попарно взаимно-обратные модификации.

5;8Н Переключаемые УППС на основе элементовшша:р2/1.

5:8:2- Переключаемые УППС на: основе элементов<типа ¥ш:.

5s.8i3: Переключаемые УОП на основе:элементовтииа F3/1.

5.9' Расширение* свойства переклюнаемости;У©Hi.,.

Выводыжрлаве 5:.

Глава 6. Синтез шифров на основе УППС. t 6.1 Криптосхемы и шифры на основе управляемых и переключаемых операций

6.1.1 Варианты реализации шифров на основе переменных перестановок. 253'

6; 1.2: Особенности применения двух однотипных операций G.

6:1.3 Другие механизмы согласования управляющих векторов.

6.1.4 Криптосхемы, сочетающие преобразование обоих подблоков с высоким уровнем^ параллелизма:. 266я

Ш Кринтосхема$©©ВШгШ64':. 272:

6:211 Общажсхемашифрованияг. 272:

6\2".2. Формирование расписанияшепользованияжлюча.

6.2.3 Переменные перестановки.

6:2.4 Переключаемая перестановка же>.

6.23 Фиксированная перестановка 1.

6:2.6 Нелинейная операция G.

6.3 Блочный шифр COBRA-H128.

6.4 Анализ стойкости и статистическое тестирование шифров на основе управляемых и переключаемых операций.

6.4.1 Анализ стойкости шифра DDP-64 к дифференциальному и линейному криптоанализу.

6.4.2 Интегральные оценки статистических свойств шифров на основе УППС.

6.4.3 Дифференциальный криптоанализ шифра COBRA-H64.

6.4.4 Дифференциальный криптоанализ шифра COBRA-H128.

6.4.5 Оценка аппаратной реализации шифра DDP-64. w 6.5 Шифры на основе комбинирования сетей различного типа.

6.5.1 Шифр Eagle-128^.

6.5.2 Шифр Eagle-64.

6.6 Шифр на основе примитивов одного типа.

6.6.1 Структура алгоритма DDO-64.

6.6:2 Шифр на основе переключаемых УППС.

6.6;3 Результаты реализации в программируемых СБИС.

Выводы к главе 6.

Актуальность темы настоящего диссертационного исследования связана с непрерывным возрастанием роли криптографических преобразований как одного из базовых механизмов обеспечения информационной безопасности в современных компьютерных и телекоммуникационных системах. Массовый характер применения автоматизированных систем; в общественной деятельности и обострение- проблемы защиты государственного информационного ресурса обусловило острую практическую потребность широкомасштабного внедрения средств защиты информации. Адекватное решение: данной проблемы связано с учетом технологических аспектов применения криптографических преобразований, которые диктуют требования увеличения производительности шифров для реализации защиты в масштабе времени близком к реальному и снижению стоимости реализации устройств шифрования. В качестве одного из перспективных подходов к решению задачи синтеза эффективных блочных шифров известно применение перестановок, зависящих от преобразуемых данных. Недавно в рамках данного подхода были предложены частные типы управляемых операций, построенных по аналогии с управляемыми перестановками. Однако, несмотря на установленный ряд преимуществ по сравнению с управляемыми; перестановками, использование нового типа операций, синтезируемых на основе управляемых подстановочно-перестановочных сетей, требует дальнейшего развития, обобщения и детального исследования их свойств.

Проблемная ситуация (противоречие). Широкое использование методов преобразования информации с целью ее защиты обусловило многообразие их технических применений в СЗИ и в связи с этим породило необходимость: 1) снижения стоимости средств шифрования, 2) повышения скорости преобразования информации, 3) обеспечения стойкости к существующим и новым видам атак. Таким образом, выявлено противоречие между существующим состоянием разработанных методов и средств защиты с одной стороны, и практической потребностью повышения защищенности высокоскоростного информационного обмена в условиях различных уровней неопределенности о типах и степени опасности информационных атак, с другой стороны, при ограничениях на стоимость средств защиты.

Целью диссертационного исследования является разработка теоретических положений и практических рекомендаций по построению СЗИ в компьютерных системах с: использованием новых подходов и методов синтеза: алгоритмов защиты информации' на основе управляемых подстановочно-перестановочных сетей, обеспечивающих: повышение эффективности СЗИ. Предпосылками для достижения указанной- цели- в результате разработки методологии синтеза алгоритмов защиты информации на основе управляемых подстановочно-перестановочных сетей (УППС) являются предварительная их апробация как операций, зависящих от секретного ключа, и показанная эффективность механизмов преобразования, управляемых преобразуемыми данными, как криптографических примитивов. Основным содержанием подхода, развиваемого в диссертационном исследовании, является объединение указанных двух предпосылок, т. е. использование УППС для осуществления операций, зависящих от преобразуемых данных.

Прикладные аспекты поставленной цели связаны с повышением эффективности СЗИ за счет совершенствования используемых в СЗИ алгоритмов блочного шифрования путем разработки, исследования и применения новых криптографических алгоритмов на основе УППС для обеспечения достаточно широких возможностей оптимизации относительно следующих показателей: 1) стойкости преобразования, 2) производительности, 3) стоимости реализации.

Объект исследования - средства защиты информации в компьютерных и телекоммуникационных системах.

Предмет исследования - блочные алгоритмы криптографических преобразований, основанные на управляемых операциях и ориентированные на аппаратную реализацию.

Цель исследования достигается решением научной проблемы разработки и исследования методов и алгоритмов защиты информации в компьютерных системах на основе УППС.

Для достижения поставленной цели используется: ранее предложенный;: подход к построению блочных шифров на основе управляемых битовых перестановок. Дальнейшее развитие этого подхода: состоит в построении новых классов, управляемых операций, свободных от некоторых недостатков управляемых перестановок. Применение управляемых: операций в качестве базовых криптографических примитивов в синтезе блочных алгоритмов шифрования обеспечивает достаточно» широкие возможности, оптимизации относительно следующих показателей: 1) стойкость преобразования, 2) производительность, 3) стоимость реализации.

С учетом*; поставленной цели сформулированы научные: задачи;, решение: которых обеспечит повышения эффективности защиты информации, циркулирующей в компьютерных и телекоммуникационных системах:

1. Обоснование системы показателей оценки защищенности специализированной автоматизированной системы и их декомпозиция.

2. Разработка методологии построения управляемых подстановочно-перестановочных сетей, ориентированных на применения в качестве криптографических примитивов, ориентированных на аппаратную реализацию.

3. Разработка критериев отбора управляемых элементов (УЭ) как типовых узлов УППС и классификация практически значимых типов УЭ.

4. Синтез новых типов управляемых операций - переключаемых операций, применение которых позволяет устранить ряд недостатков присущих известным шифрам с простым расписанием ключа.

5. Исследование основных свойств УЭ и УППС на их основе.

6. Доказательство принципиальной реализуемости переключаемых УППС различных порядков.

7. Разработка методов минимизации схемотехнической сложности реализации переключаемых УППС.

8. Разработка способов устранения слабых ключей и гомогенности шифрующего итеративного преобразования в криптосхемах с простым расписанием использования ключа.

9. Разработка новых типов криптосхем, учитывающих специфику применения УППС в качестве операций, зависящих от преобразуемых данных.

10. Синтез и исследование скоростных блочных шифров на основе УППС различных типов,

В результате решения перечисленных выше задач были получены следующие новые научные результаты:

1. Разработаны методы синтеза итеративных блочных шифров, отличающийся использованием! операций, зависящих от преобразуемых данных и реализуемых с помощью УПГГС.

2. Разработана методология синтеза управляемых операций на основе:; управляемых элементов Г2/ь F2/2; и F3/1.

3. Выполнена; классификация нелинейных; управляемых? элементов типа: F2/1, F2/2 и F3/1.

4. Разработана методология устранения предпосылок возникновения слабых ключей и гомогенности шифрующего преобразования в итеративных шифрах с простым расписанием ключа, отличающаяся применением переключаемых операций.

5. Разработан класс переключаемых операций на основе зеркально-симметричных УППС, обеспечивающие низкую сложность аппаратной реализации.

6. Разработаны конструктивные схемы УППС порядков h = 2,4,.,n/4,n, основанных на УЭ F2/i

7. Разработаны конструктивные схемы переключаемых УППС порядков h = 2, 4, ., п/4, п, основанных на УЭ F2/i

8. Разработан способ построения переключаемых операций, отличающийся использованием УЭ, реализующих попарно взаимно обратные модификации.

9. Разработаны криптосхемы, сочетающие элементы сети Фейстеля и подстановочно-перестановочных сетей, отличающиеся использованием управляемых операций.

10. Разработаны итеративные шифры с высоким показателем эффективности «производительность/стоимость» и исследована их стойкость к основным видам атак.

11. Разработан способ построения итеративных алгоритмов с одинаковым расписанием ключа в режиме; зашифрования и расшифрования, отличающийся использованием переключаемых операций. Практическая ценность полученных результатов состоит в разработке нового подхода к повышению эффективности блочных шифров, что обеспечивает снижение: стоимости СЗИ и способствует решению задачи» расширения масштабов их применения для защиты информационных ресурсов.

Достоверность полученных результатов; опирается наг математические: доказательства, анализ: стойкости8 предложенных; алгоритмов; криптографического преобразования, сопоставление с известными; результатами в данной предметной области, а также на широкое обсуждение в открытой печати и на всероссийских и международных конференциях. Научные положения, выносимые на защиту:

1. Новый класс криптографических примитивов - управляемых операционных подстановок, реализуемых с помощью УППС с малой размерностью УЭ, являющийся основой для синтеза блочных шифров, обладающих сравнительно высокой эффективностью.

2. Методология синтеза блочных шифров на основе УППС с заданными алгебраическими и вероятностными свойствами, отличающаяся использованием УППС для выполнения операций преобразования, зависящих от преобразуемых данных.

3. Способы синтеза переключаемых управляемых операций на основе УППС различной топологии.

4. Переключаемые управляемые операции, являющиеся криптографическим примитивом, обеспечивающим решение задачи построения шифров с простым расписанием использования ключа свободных от гомогенности шифрующих преобразований и от слабых ключей, включая построение итеративных шифров; не требующих обращения расписания ключа.

5. Алгоритмы высокоскоростного защитного преобразования данных, отличающиеся использованием управляемых подстановочных операций и переключаемых управляемых операций, обладающие сравнительно высоким значением интегральной оценки эффективности.

Апробация научных положений. Результаты исследования апробированы на более чем 30 конференциях, в т.ч.: Санкт-Петербургских международных «Региональная!информатика» в 1994, 1995, 1996, 1998, 2000, 2002 и 2004 гг.; Санкт-Петербургских межрегиональных «Информационная безопасность, регионов России» в 1999; 200® и 2003 гг., всеармейских научно-практических «Инновационная деятельность в Вооруженных Силах РФ» в 2001, 2002, 2003 и 2004 гг., республиканских научно-технических «Методы и технические средства обеспечения информационной безопасности» в 1996 и 1997гг., всероссийских научно-методических «Телематика» в 1997 и 1999 гг., международных «Проблемы управления безопасностью сложных систем» в 1998 и 1999гг., «Mathematical Methods, Models and Architectures for Computer Networks Security (MMM-ACNS)» в 2001 и 2003 гг., «The 12th IEEE Mediterranean Electrotechnical Conference - MELECON 2004» в 2004 г. (Dubrovnik, Croat), Computing Communications and Control Technologies CCCT 2004 (Texas, USA). По результатам исследования опубликовано более 100 научных трудов, среди которых 3 монографии, 5 учебных пособий, 48 статей в научно-технических журналах и сборниках «Автоматика и телемеханика», «Вопросы защиты информации», «Известия вузов. Приборостроение», «Безопасность информационных технологий» и др., более 60 докладов и тезисов. Получено 32 патента на изобретения.

Реализаг^ия а внедрение результатов исследований. Результаты и положения диссертационной работы могут быть использованы в научно-исследовательских и проектно-конструкторских организациях, специализирующихся в области; информационной безопасности, для совершенствования разрабатываемых средств защиты- информации и в ВУЗах при подготовке специалистов в области защиты информации и компьютерной безопасности. Основные результаты диссертации; реализованы в НИОКР «Бастион», «Герб», «Защита», а также используются при подготовке специалистов в области защиты информации в учебном процессе СПГЭТУ, СПГУИТМО, ГУВК.

Объем диссертации. Диссертация; изложена- на 360 страницах, включает 104 рисунка, 68 таблиц, состоит из введения, 6 глав с выводами по ним, заключения, списка литературы из 125 наименований и приложения.

Выводы к главе 6

1. Разработаны криптосхемы, комбинирующие схему Фейстеля с перестановочными сетями и УППС, и шифры на их основе.

2. Разработаны криптосхемы, сочетающие УППС с подстановочно-перестановочными сетями обычного типа.

3. Синтезирован ряд шифров на основе разработанных примитивов и оценены их основные дифференциальные характеристики и сложность аппаратной реализации на различных платформах.

4. Выполнено статистическое тестирование разработанных шифров и показано, что их свойства удовлетворяют стандартным тестам.

1. Андреев Н.Н. О некоторых направлениях; исследований: в области защиты информации: // Международная» конференция ? "Безопасность информации". Москва, 14-18 апреля 1997. Сборник материалов. М. 1997. С. 94-97.

2. Белкин Т.Г., Гуц Н.Д., Молдовян А.А., Молдовян И.А. Линейный криптоанализ и управляемые перестановки. // Безопасность информационных технологий. М. МИФИ. 2000. № 2. с. 70 -80.

3. Бодров А.В., Молдовян Н.А., Молдовяну П.А. Перспективные программные шифры на основе управляемых перестановок // Вопросы защиты информации. 2002. № 1. с. 44 - 50.

4. Бодров А.В., Молдовян Н.А., Терехов А. Оптимизация механизма управления перестановки в скоростных шифрах // Вопросы защиты информации. 2002. № 1.-с. 51 -58.

5. Вентцель Е.С. Теория вероятностей: Учебник для вузов 6-е изд. стер. - М.: Высшая, школа., 1999. - 576 с.

6. Винокуров А. 10. Режимы шифрования в классических блочных шифрах // Безопасность информационных технологий. 2000. № 4. с. 59 - 71.

7. Винокуров А. Ю., Применко Э. А. Анализ тенденций подходов к синтезу современных блочных шифров // Безопасность информационных технологий. 2001 г.;№2. -с. 5-14.

8. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. — М.: Изд-во стандартов, 1989. -20 с.

9. Гуц Н.Д., Изотов Б.В., Молдовян А.А., Молдовян Н.А. Проектирование двухместных управляемых операций для скоростных гибких криптосистем // Безопасность информационных технологий. М. МИФИ. 2001. № 2. с. 14 -23.

10. Гуц Н.Д., Молдовян А.А., Молдовян Н.А. Построение слоистых блоков управляемых перестановок различного порядка // Вопросы защиты информации. 2002. № 4. с. 19- 25.

11. Гуц Н.Д., Молдовян А.А., Молдовян Н.А. Построение управляемых блоков перестановок с заданными свойствами // Вопросы защиты, информации.1999. №4.-с. 39-49.

12. Гуц Н.Д., Молдовян А.А., Молдовян Н.А. Гибкие аппаратио-ориентированные шифры на базе; управляемых* сумматоров // Вопросы; защиты информации. 2000. № 1. — с. 8 15.

13. Гуц Н.Д., Еремеев М.А., Молдовян А.А. Алгоритм формирования расширенного ключа иа основе блоков управляемых перестановок // Вопросы защиты информации. 2001. № 3. с. 41 - 46.

14. Гуц Н.Д., Изотов Б.В., Молдовян А.А., Молдовян Н.А. Криптография: скоростные шифры // СПб, БХВ- Петербург. 2002. 495 с.

15. Гуц Н.Д., Изотов Б.В., Молдовян Н.А. Управляемые перестановки с симметричной структурой в блочных шифрах // Вопросы защиты информации.2000. № 4, -с. 57 65.

16. Гуц Н.Д., Молдовян Н.А. Рекурсивная модель построения блоков перестановок удвоенного порядка // Вопросы защиты информации, М. В ИМИ. 2003. № 2. -с. 2-8.

17. Денисов О.В. Асимптотическая формула для числа корреляционно-иммунных порядка к булевых функций // Дискретная математика. 1991. Т.З. 2.-с. 25-46.

18. Еремеев М.А. Управляемые операционные подстановки: синтез, свойства и применение // Безопасность информационных технологий, Москва, МИФИ. 2002. №2.-с. 17-26.

19. Еремеев М.А., Коркишко Т.А., Мельник А.А., Молдовян А.А., Молдовяну П.А. Аппаратная поддержка программных шифров иа базе управляемых перестановок // Вопросы защиты информации. 2002. № 2. — с. 26 37.

20. Еремеев М.А., Молдовян А.А., Молдовян Н.А. Защитные преобразования информации в АСУ на основе нового примитива // Автоматика и телемеханика. 2002. 12. с. 35 - 47.

21. Еремеев М.А., Молдовян А.А., Молдовян Н.А. О реализации шифров на основе управляемых операционных подстановок // Приборостроение. Известия ВУЗов. СПб. 2003. № 3. с. 13 - 19.

22. Еремеев М.А., Молдовян Н.А. Синтез аппаратно-ориентированных управляемых подстановок над векторами большой длины // Вопросы защиты информации, Москва. 2001. № 4. с. 46 - 52.

23. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. М: Кудиц-Образ, 2001. - 368 с.

24. Изотов Б.В., Молдовян А.А., Молдовян Н.А. Скоростные методы защиты информации в АСУ на базе управляемых операций // Автоматика и телемеханика. 2001. № 6. -с. 168- 184.

25. Интеллектуальные системы для управления связью / Под редакцией Н.И. Буренина. СПб.: ВАС, 1996. -150 с.

26. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях.- М.: КУДИЦ-ОБРАЗ, 2001.-368 с.

27. Крамер Г. Математические методы статистики. —М.: Изд-во «Мир». 1975.— 648 с.

28. Кузнецов Ю.В., Шкарин С.А. Коды Рида-Маллера (обзор публикаций) // Математические вопросы кибернетики. М.: Наука. 6. 1996. с. 5 - 50.

29. Ланкастер Г1. Теория матриц: Пер. с англ. М.: Наука, 1982. - 272 с.

30. Лопатин В.Н. Правовые проблемы защиты единого информационного пространства страны. Информация и государство // Вопросы защиты информации. 2001. № 2. С. 8-19.

31. Логачев О.В., Сальников А.А., Ященко В.В. Бент-функции на конечной абе-левой группе // Дискретная математика. 1997. Т.9.4. с. 3 -20.

32. Логачев О.В., Сальников А.А., Ященко В.В. Криптографические свойства дискретных функций // Материалы конференции «Московский университет и развитие криптографии в России». М.: МЦНМО. 2003. с. 174 - 199.

33. Логачев О.В., Сальников А.А., Ященко В.В. Невырожденная нормальная форма булевых функций // Доклады Академии наук. 2000. Т.373. 2. с. 164167.

34. Логачев О В Сальников А.А., Ященко В.В. Некоторые характеристики «нелинейности» групповых отображений // Дискретный анализ и исследование операций. Серий 1. 2001. Т.8. 1. с. 40- 54.

35. Мелы-шк А.А., Молдовян Н.А., Гуц Н.Д., Изотов Б.В., Коркишко Т.А. Реализация скоростного шифра на базе управляемых перестановок // Вопросы защиты информации. 2001. № 2. с. 44 - 53.

36. Минаева Е.В. Современные подходы к конструированию оптимальных алгоритмов генерации расширенного ключа в итеративных блочных шифрах // Безопасность информационных технологий. 2000. № 2. с. 24 - 26.

37. Молдовян А.А., Молдовян Н.А. Гибкие алгоритмы защиты информации в АСУ'// Автоматика и телемеханика, 1998. № 8. с. 166 - 174.

38. Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. СПб., Лань, 2000.-218 с.

39. Научные проблемы национальной безопасности Российской Федерации. Вып.З: К 10-летию образования Совета Безопасности Российской Федерации. -М: МАИК «Наука/Интерпериодика», 2002. С.277-281

40. Николаев Ю.И. Проектирование защищенных информационных технологий. -СПб.:Изд.-во СПБГТУ, 1997. -352 с.

41. Помехоустойчивость и эффективность систем передачи информации/ А.Г. Зюко, А.И. Фалько, И.П. Панфилов, B.JI. Банкет, П.В. Иващенко; Под ред. А.Г. Зюко. -М: Радио и связь, 1985. -272 с.

42. Рунеев А.Ю. Организация космической связи. Методология и математические модели оценки эффективности. -СП.:ВАС, 1992.

43. Сачков В.Н. Современные проблемы криптографии // Сб. трудов Межрегиональной конф. "Информационная безопасность регионов России (ИБРР-99)". СПб, 2000. С.85 88

44. Советов Б.А. Яковлев С А. Построение сетей интегрального обслуживания. -Л.: Машиностроение. Ленингр. отделение, 1990. -332 с.

45. Столлингс В Криптография и защита сетей: принципы и практика., 2-е изд. : Пер. с англ. Изд. Дом «Вильяме», 2001. - 672с.: ил.

46. Харин Ю.С., Берник В.И., Матвеев Г. В. Математические основы криптоло-гии. -Минск БГУ 1999 -319 с.

47. Ящеико В.В. О двух характеристиках нелинейности булевых отображений // Дискретный анализ и исследование операций, серий 1. 1998. Т. 5. 2. с. 90 -96.

48. Ящеико В.В. О критерии распространения для булевых функций и о бент-функциях // Проблемы передачи информации. 1997. Т. 33. 1. с. 75 - 86.

49. Ященко В.В. Свойства булевых функций, сводимые к свойствам их координатных функций // Вестник МГУ, серия «Математика». 1997. 4. с. 11 - 13.

50. Benes V.E. Mathematical Theory of Connecting Networks and Telephone Traffic // New York.: Academic Press, 1965. - 319 p.

51. Benes V.E. Algebraic and Topological Properties of Connecting Networks // Bell Systems Technical Journal. 1962. Vol. 41. pp. 1249- 1274.

52. Benes V.E. On Rearrangeble Three-Stage Connecting Networks // Bell Systems Technical Journal. 1962. Vol. 41. pp. 1481 1492.

53. Biham E. and Shamir A. Differencial Cryptanalysis of the Data Encryption Stan-dart // Springer-Verlag, Berlin, Heidelberg, New York, 1993:

54. Biham E., Shamir A. Differencial Fault Analysis of Secret Key Cryptosystems //

55. Advances in Cryptology CRYPTO'97, Springer-Verlag LNCS, 1997. Vol. 1294, pp. 513 -525.

56. Biryukov A., Wagner D. Advanced Slide Attacks // Advances in Cryptology -Proceeding EUROCRYPT'2000. LNCS. Vol.1807. Springer Verlag, 2000. pp. 589-606.

57. Biryukov A., Wagner D. Slide Attacks // Proceedings of the 6th International Workshop, Fast Software Encryption FSE '99. Lecture Notes in Computer Science, vol. 1636, Springer-Verlag, Berlin: 1999, pp. 245-259.

58. Carlet C. A Larger Class of Cryptographic Boolean Functions via a Study of the Maiorana-McFarland Construction. Advances in Cryptology CRYPTO 2002 Proceedings.LNCS. Springer Verlag. 2002, Vol. 2442. pp. 549 - 564.

59. Ch. Lee, D.Hong, Sun. Lee, San. Lee, S. Yang, J. Lim. A chosen plaintext linear attack on block cipher CIKS-1. Springer-Verlag LNCS, Vol. 2513, pp. 456- 468.

60. Clos C., A study of nonblocking switching networks // Bell System Technical J., 1953, vol. 32, pp.406-424.

61. Chabaud F., Vaudenay S. Links Between Digfferential and Linear Cryptanalysis // Advances in Cryptology: Proc. of EUROCRYPT'94. Springer-Verlag LNCS, 1995. Vol. 950, pp. 356-365.

62. Chor В., Goldreich O., Hastard J., Friedman J., Rudich S., Smolensky R. The Bit Extraction Problem or t-Resilient Functions // IEEE Sypposium on Foundations of• Computer Science, 1985, Vol. 26, pp. 396 407.

63. Cheung O.Y.H, Tsoi K.H., Leong P.H.W., and Leong M.P., Tradeoffs in Parallel and Serial Implementations of the International Data Encryption Algorithm, proceedings of CHES 2001, LNCS 2162, Springer-Verlag, 2001, pp. 333 337.

64. C. Clos, A study of nonblocking switching networks // Bell System Technical J., 1953, vol. 32, pp.406-424.

65. Daeman J., Rijmen V. AES Proposal: Rijndael // First AES Conference, August, 1998 (http://csrc.nist.gov/encryption/aes/aes).

66. Feistel II. Cryptography and Computer Privacy // Scientific American, 1973, Vol. 228, no. 5. pp. 15-23.

67. Forre R. The Strict Avalanche Criterion: Spectral Properties of Boolean Functions and an Extended Definition // Advances in Cryptology CRYPTO'88 Proceedings. LNCS. Springer Verlag. 1989. pp. 450-468.

68. Goots N.D., Moldovyan A.A., Moldovyan N.A. Fast encryption algorithm SPECTR-II64 // Proceedings of the International workshop, Methods, Models, and Architectures for Network Security / LNCS. Springer-Verlag. 200:1. Vol >052. pp. 275-286.

69. Goots N.D., Moldovyan A.A., Moldovyan N A :<Variable Bit Permutations: Linear Characteristics and Pure VBP-Based Cipher», Computer Science Journal of Moldova , 2004, Vol. 12.

70. Ко Y. , Hong S., Lee W., Lee S., Kang J.-S. Related Key Differential Attacks on 27 round of XTE and Full-round GOST. Proceedings of the 11th International

71. Workshop, Fast Software Encryption FSE '2004, Lect. Notes Comput. Sci. Berlin: Springer-Verlag.

72. Kam J.B., Davida G.I. Structured Design of Substitution-Permutation Encryption Networks. // IEEE Transactions on Computers. 1979. Vol. 28, No. 10. pp. 747753.

73. Kaps J. and Paar Chr., «Fast DES Implementations for FPGAs and its Application to a Universal Key-Search Machine», proceedings of 5th Annual Workshop on Selected Areas in Cryptography (SAC '98), August 17 18, Ontario, Canada.

74. SO.Kasuya Т., Ichikawa Т., Matsui M., Hardvware Evaluation of the AES Finalists, 3 rd AES Confer. Proc. April 13-14, 2000. New York, NY, USA (http :/www. nist.gov/aes)

75. Kelsey J., Schneier В., Wagner D., Related-Key Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES, Advances in Cryptology CRYPTO'96 Proceedings. LNCS 1109. Springer Verlag. 1996. pp. 237 - 251.

76. Kocher P., Jaffe J., Jun B. Introduction to Differential Power Analysis and Related Attacks (http://www.ciyptography.com/dpa/technical/index.html);

77. Koufopavlou O., Sklavos N. and Kitsos P., Cryptography in Wireless Protocols: Hardware and Software Implementations, proceedings of IEEE International Symposium on Circuits & Systems (ISCAS'03), Thailand, May 25 28, 2003.

78. Kurosawa K., Satoh T. Design of SAC/PC(1) of Order к Boolean Functions and Three Other Cryptographic Criteria // Advances in Cryptology — EUROCRYPT'97 Proceedings. LNCS. Springer Verlag. 1998. pp. 434 449.

79. К wan M. The Design of the ICE Encryption Algorithm // Proceedings of the 4th International Workshop, Fast Software Encryption FSE '1997 / Lect. Notes Comput. Sci. Berlin: Springer-Verlag. 1997, Vol. 1267. pp. 69- 82.

80. Matsui M., Linear cryptoanalysis method for DES cipher. Advances in Cryptol-ogy-Proc. Eurocrypt'93, Springer Verlag, 1994. pp. 386 397.

81. Menezes A. J., Vanstone S.A. Handbook of Applied Cryptography. CRC Press,1996.-780 p.

82. Moldovyan N.A., Goots N.D., Moldovyanu P.A., Summerville D.H. Fast DDP-based ciphers: from hardware to software // 46lh IEEE Midwest Symposium on Circuite and Systems. Cairo, Egypt, December 27-30, 2003.

83. Moldovyan A.A., Moldovyan N.A. Flexible Block Cipher with Provably In-equivalent Cryptalgorithm Modifications II Cryptologia, 1998, Vol. XXII. No. 2. pp. 134- 140.

84. Moldovyan A.A., Moldovyan N.A. A cipher based on data-dependent permutations // Journal of Cryptology. 2002. Vol. 15. pp. 61 72.

85. Moldovyan A.A., Moldovyan N.A. Fast Software Encryption Systems for Secure and Private Communication // 12th International Conf. on Computer Communication. Seoul, Korea August 21-24, 1995. Proceedings, Vol. 1, pp. 415-420.

86. Moldovyan A.A., Moldovyan N.A. Software Encryption Algorithms for Transparent Protection Technology // Cryptologia, January, 1998, Vol.XXII. No. 1. pp. 56-68.

87. Moldovyan A.A., Moldovyan N.A., Moldovyanu P.A. Effective Software-Oriented Cryptosystem in Complex PC Security Software // Computer Science Journal of Moldova, 1994, Vol. 2, No. 3, pp. 269 282.

88. Moldovyan A.A., Moldovyan N.A., Sovetov B.Ya. Software-Oriented Ciphers for Computer Communication Protection // Int.Conf. Applications of Computer Systems. ACS'97 Proceedings. November 13-14, 1997. Szczecin, Poland, pp. 443-450.

89. Moldovyan N.A. Provably Indeterminate 128-bit Cipher // Computer Science Journal of Moldova, 1997, Vol. 5 , No. 2(14), pp. 185- 197.

90. Nyberg K. On the Construction of Highly Nonlinear Permutations // Advances in cryptology EUROCRYPT'92 Proceedings. LNCS. Springer Verlag. 1993. pp. 55 - 64.

91. Nyberg K. S-Boxes and Round Functions with Controllable Linearity and Differential Uniformity // Fast Software Encryption. Second international workshop proceedings. LNCS 1008. Springer Verlag. 1994. pp. Ill 130.

92. Parker S. Notes on Shuffle/Exchange-Type Switching Networks // IEEE Transactions on Computers. 1980. Vol. C-29. No. 5, pp. 213-222.

93. Pieprzyk J., ITardjono Th., Seberry J. Fundamentals of Computer Security. Springer-Verlag. Berlin, 2003. 677 p.

94. Portz M. A. On the Use of the Interconnection Networks in Cryptography // Advanced in Cryptology -EUROCRYPT'91 // Lecture Notes in Computer Science. Springer-Verlag, 1991, Vol. 547, pp. 302-315.

95. Portz M. A. Generalized Description of DES-based and Benes-based Permutation generators // Advanced in Cryptology AUSCRYPT'92 // Lecture Notes in Computer Science. Springer-Verlag, 1992, Vol. 718, pp. 397 - 409.

96. Prennel В., Van Leekwijk W., Wan Linden L., Govaerts R., Vandewalle J. Propagation characteristics of boolean functions // Advances in Cryptology -EUROCRYPT'90 Proceedings, LNCS 473, 1991. pp. 161 173.

97. Schneier B. Description of a New Variable-Length Key, 64-Bit Block Cipher (Blowfish) // Fast Software Encryption. First International Workshop proceedings / Lect. Notes Сотр. Sci., Vol. 809. Springer Verlag. 1994. pp. 191 204.

98. Schneier В., Applied Cryptography: Protocols, Algorithms, and Source Code (Second Edition) New York.: John Wiley & Sons. 1996. - 758 p.

99. Seberry J., Zhang X-M., Zheng Y. Nonlinearly Balanced Boolean Functions and Their Propogation Chracteristics // Advances in Cryptology — CRYPTO'93 Proceedings. LNCS. Springer Verlag. 1994. pp. 49- 60.

100. Seberry J., Zhang X-M., Zheng Y. Relations Among Nonlinearity Criteria // Advances in Cryptology EUROCRYPT'94 Proceedings. LNCS. Springer Verlag. 1995. pp. 376-388.

101. Shannon С. E. Communication Theory of Secrecy Systems, Bell Systems Technical Journal, Vol. 28, 1949, P.656 715.

102. Sklavos N. and Koufopavlou O. «Architectures and VLSI Implementations of the AES-Proposal Rijndael», IEEE Transactions on Computers, Vol. 51, Issue 12, 2002, pp. 1454-1459.

103. Sklavos N., Moldovyan A. A., and Koufopavlou O. Encryption and Data Dependent Permutations: Implementation Cost and Performance Evaluation. Workshop МММ-ANCS'2003 Proc // LNCS, Springer-Verlag, Berlin, 2003, Vol. 2776, pp. 343-354.

104. Sklavos N., Moldovyan N.A., Koufopavlou O., «High Speed Networking Security: Design and Implementation of Two New DDP-Based Ciphers», Mobile Networks and Applications, 2005, vol. 10, pp. 219-231.

105. Staffelbach O., Meier W. Nonlinearity Criteria for Cryptographic Functions // Advances in Cryptology EUROCRYPT'89 Proceedings. LNCS. Springer Ver-lag. 1990. pp. 549 - 562.

106. Stinson D.R. Cryptography. Theory and Practice.- New York. CRC Press LLC, 1995.-434 p.

107. Van Rompay В., Knudsen L., Rijmen V. Differential cryptanalysis of the ICE encryption algorithm // Proceedings of the 6th International Workshop, «Fast Software Encryption FSE'98». LNCS, Springer-Verlag, Vol. 1372, 1998, pp. 270-283.

108. Waksman A. A Permutation Network // Journal of the ACM. 1968. Vol. 15. No. l,pp. 159- 163.

109. Xiao G.Z., Masser J.L. A Spectral characterization of correlation-immune combining functions // IEEE Trans. Inform. Theory. 1988. No. 34. pp. 569 571.