автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.19, диссертация на тему:Новые примитивы и синтез шифров с простым расписанием ключа

На правахрукописи

МОРОЗОВА Елена Владимировна

НОВЫЕ ПРИМИТИВЫ И СИНТЕЗ ШИФРОВ С ПРОСТЫМ РАСПИСАНИЕМ КЛЮЧА

Специальность 05.13.19. - Методы и системы защиты информации, информационная безопасность

АВТОРЕФЕРАТ диссертации на соискание ученой степени кандидата технических наук

Санкт-Петербург 2004

Работа выполнена в Научном филиале Федерального государственного унитарного предприятия «НИИ «Вектор» - Специализированном центре программных систем «Спектр»

Научный руководитель:

кандидат технических наук, доцент Молдовян Александр Андреевич

Официальные оппоненты:

доктор технических наук, профессор Яковлев Виктор Алексеевич

кандидат технических наук, доцент Зима Владимир Михайлович

Ведущая организация:

Санкт-Петербургский институт информатики и автоматизации Российской академии наук

Защита состоится 1 июля 2004 г. в 15 часов на заседании

диссертационного совета Д 212.229.22 в ГОУ ВПО «Санкт-Петербургский государственный политехнический университет» по адресу: 194064, Россия, Санкт - Петербург, Тихорецкий пр., 21, к. 301.

С диссертацией можно ознакомиться в фундаментальной библиотеке ГОУ ВПО «Санкт-Петербургский государственный политехнический университет».

Автореферат разослан мая 2004 г.

Ученый секретарь диссертационного совета Д 212.229.22

доктор технических наук.

ж

о---7 Шашихин В.Н.

ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ

Актуальность

В настоящее время основными задачами криптографии являются обеспечение конфиденциальности, подлинности и анонимности. Традиционная задача защиты информации от несанкционированного доступа решается с помощью зашифрования данных таким образом, что расшифрование возможно только при знании секретного ключа.

Для обеспечения скоростного шифрования в автоматизированных системах и последующего произвольного доступа к зашифрованной информации обычно применяются блочные шифры. Несмотря на появление большого числа новых шифров, требования к ним с момента создания и утверждения в качестве государственного стандарта шифрования США DES не изменились: это быстродействие (в том числе в режиме частой смены ключа), стойкость к известным видам криптоанализа, экономичность программной и аппаратной реализации.

Традиционно используемым способом увеличения быстродействия блочных шифров и экономичности их программной и аппаратной реализации является применение так называемого простого расписания ключа (ПРК). При таком подходе раундовые подключи получаются из секретного ключа с помощью некоторой выборки. Использование ПРК дает возможность избежать траты времени и ресурсов на предварительные преобразования ключа. Однако при этом весьма вероятно наличие так называемых «слабых» и «полуслабых» ключей. Под слабым ключом понимается такой ключ, при использовании которого шифр реализует инволюцию. Под полуслабыми ключами понимается такая пара ключей, что зашифрование некоторого текста сначала по одному из ключей, а затем по второму, даст в результате исходный текст. Кроме того, в последние годы были разработаны специализированные атаки на итеративные шифры с простым расписанием ключа, так называемые «слайд-атаки». Они основаны на периодичности повторов использования раундовых ключей, ведущей к повторению одних и тех же раундовых преобразований (однородность преобразований). Особенно такие атаки опасны для шифров с небольшим размером секретного ключа.

Все эти потенциальные уязвимости привели к тому, что в настоящее время в качестве универсального противодействия вместо ПРК используется так называемая стойкая процедура генерации расширенного ключа (СПГРК). Суть ее заключается в выполнении над секретным ключом некоторых сложных предварительных преобразований для получения раун-довых подключей. Полученные таким образом раундовые подключи можно рассматривать

как независимые равновероятно распределенные

В то же время, существенным плюсом ПРК по сравнению с СПГРК, является скорость формирования раундовых подключей, что особенно важно в условиях частой смены секретного ключа. Также ПРК намного экономичнее в плане аппаратной реализации по сравнению с СПГРК. Кроме того, известны метод противодействия слабым и полуслабым ключам и метод противодействия слайд-атакам. В первом случае для зашифрования и расшифрования используются различные алгоритмы, а во втором - избегают однородности раундовых преобразований. Все это дает возможность говорить о необходимости создания нового подхода, который позволил бы избавиться от указанных слабостей шифра с ПРК некоторым алгоритмическим способом, не ведущем к значительному удорожанию реализации криптоалгоритма и снижению его быстродействия.

Для решения проблем, связанных с синтезом блочных шифров с ПРК, в данной работе разрабатывается и исследуется новый криптографический примитив - переключаемые управляемые операции, зависящие от преобразуемых данных.

Целью настоящей работы является обеспечение стойкости блочных шифров с ПРК к слайд-атакам и устранение слабых и полуслабых ключей на основе разработки способа построения блочных шифров с ПРК.

Объектом диссертационного исследования являются системы зашиты информации в компьютерных и телекоммуникационных системах от несанкционированного доступа на основе блочных алгоритмов преобразования данных.

Предметом исследования являются способы предотвращения появления слабых и полуслабых ключей, а также методы повышения стойкости к слайд-атакам блочных шифров с простым расписанием ключа.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Разработать способ построения нового криптографического примитива, обеспечивающего устранение слабых и полуслабых ключей.

2. Разработать способ построения нового криптографического примитива, обеспечивающего стойкость к слайд-атакам.

3. На основе разработанных криптографических примитивов синтезировать блочный шифр, свободный от таких уязвимостей шифров с простым расписанием ключа как слабые и полуслабые ключи и возможность проведения слайд-атак.

4. Разработать подход к автоматизированному исследованию блочных шифров, обеспечивающий проведение статистического тестирования синтезируемых блочных шифров на основе новых примитивов.

Используемые методы. В диссертационной работе используются методы дискретной математики, математической статистики, теории вероятностей, линейной алгебры, криптоло-гии.

Достоверность полученных результатов опирается на статистические эксперименты, практические разработки, сопоставление с известными результатами по анализу управляемых операций и шифров с их использованием, а также на широкое обсуждение в открытой печати и на всероссийских конференциях.

Научная новизна

1. Предложен новый тип криптографических примитивов, обеспечивающий устранение слабых и полуслабых ключей при применении простого расписания ключа в блочных шифрах. Данный примитив, получивший название «переключаемые управляемые операции», реализует взаимно обратные преобразования в зависимости от дополнительного (переключающего) бита. В качестве модификации данного примитива разработаны расширенные переключаемые управляемые операции.

2. Предложены способы повышения стойкости блочного шифра с простым расписанием ключа к слайд-атакам за счет использования в одном раунде различных переключаемых управляемых операций или расширенных переключаемых управляемых операций.

3. На основе переключаемых управляемых операций разработаны новые блочные шифры с простым расписанием ключа, являющиеся стойкими к слайд-атакам и свободными от слабых и полуслабых ключей.

4 Разработан подход к автоматизации работ по синтезу и статистическому тестированию блочных шифров.

Практическая ценность полученных результатов состоит в разработке способа синтеза блочных шифров с ПРК, обладающих стойкостью к слайд-атакам и возникновению слабых и полуслабых ключей, и создании автоматизированной системы проектирования и исследования блочных шифров. Данная система позволяет вводить криптоалгоритм в виде графических схем и выполнять над ним различные тесты с целью получения статистических характеристик созданного блочного шифра. Тесты, реализованные в системе, соответствуют рекомендациям NESSIE по оцениванию статистических характеристик блочных шифров. Все статистические характеристики, приводимые в тексте диссертации, получены с помощью данной автоматизированной системы.

Помимо своего прямого назначения, данная система проектирования и исследования блочных шифров может быть использована в учебном процессе для лабораторного практикума по дисциплинам «Информационная безопасность и защита информации» и «Криптографические методы защиты информации».

Реализация результатов. Автоматизированная система оценки блочных шифров внедрена в НФ ФГУП НИИ «Вектор» - Специализированном центре программных систем «Спектр», где используется для разработки блочных шифров и новых примитивов, и в Санкт-Петербургском государственном университете водных коммуникаций (СПГУВК), где используется для организации учебного процесса.

Апробация работы. Научные положения обсуждались на следующих конференциях: VIII Санкт-Петербургская Международная Конференция «Региональная информатика -2002», (Санкт-Петербург, 26-28 ноября 2002г), Всеармейская научно-практическая конференция «Инновационная деятельность в Вооруженных силах Российской Федерации» (Санкт-Петербург, 28-29 ноября 2002 г и 25-26 декабря 2003 г), V Международная научно-практическая конференция «Информационная безопасность» (Таганрог, 3-7 июня 2003 г) и были опубликованы в ряде статей в журналах «Вопросы защиты информации» и «Известия ВУЗов. Приборостроение»

Научные положения, выносимые на защиту:

1. Использование переключаемых управляемых операций позволяет предотвратить слабые ключи в блочных шифрах с простым расписанием ключа

2. Использование в одном раунде различных переключаемых управляемых операций или расширенных переключаемых управляемых операций повышает стойкость блочных шифров с простым расписанием ключа к слайд-атакам на основе выбранного ключа

3. Предложенный подход к проведению автоматизированных испытаний позволяет выполнять исследования блочного шифра непосредственно разработчику криптоалгоритма.

Публикации. Основной материал опубликован в 11 печатных работах, среди которых 4 статьи.

Структура работы. Диссертация состоит из введения, 4 глав с выводами по каждой из них, заключения, списка литературы и приложения. Она изложена на 127 страницах и включает 36 рисунков, 14 таблиц и список литературы из 87 наименований, 3 страницы приложений.

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

Во введении показана актуальность темы диссертации, определены цели и задачи проведенных исследований, отражена научная новизна и практическая значимость полученных результатов.

В первой главе рассматривается роль криптографии в области защиты информации и основные задачи, решаемые современной криптографией.

б

Также в первой главе рассматриваются некоторые существующие на сегодняшний день криптографические примитивы. Например, таким примитивом является так называемый «элементарный переключатель», обозначаемый как Рм. Этот элемент выполняет управляемую перестановку двух входных битов Х\ и хг в зависимости от значения управляющего бита v. Выходными битами будут yi =xi яуг-xi при v= 1 или yi =xi и уг =хг при v = 0. В виде булевых функций это может быть записано так:

yi=f\(.X^l,v)=XxV®XiV@X\-, yi=fl(X\j2,V)rX\V®Xil&X2.

На основе элементарных переключателей можно создавать блоки управляемых перестановок (БУП) Р„/„. Такие блоки используются при синтезе блочных аппаратно-ориентированных шифров с ПРК, как, например, Spectr-H64 и его модификации. Показана структура симметричных БУП, в которых для получения обратного преобразования достаточно подать управляющий вектор в обратном порядке.

Кроме того, в первой главе рассматриваются достоинства и недостатки ПРК и СПГРК, а также проводится анализ существующих способов избавления от слабых и полуслабых ключей при использовании ПРК, среди которых можно выделить следующие:

1. Увеличение размерности раундового ключа, причем желательно, чтобы в каждом раундо-вом ключе использовались все биты секретного ключа. Недостатком данного подхода является сложность разработки расписания ключей, учитывающего возможные уязвимости.

2. Использование вместо ПРК СПГРК. Недостатком данного подхода является уменьшение скорости шифрования и увеличение стоимости аппаратной реализации.

3. Использование псевдослучайных констант для изменения раундовых ключей. Недостатком данного подхода является необходимость наличия генератора псевдослучайных последовательностей.

4. Использование различных алгоритмов зашифрования и расшифрования. Недостатком данного подхода этого способа является увеличение стоимости аппаратной реализации криптоалгоритма.

Также рассматривается уязвимость итеративных шифров с ПРК к разработанным в 2000 году слайд-атакам (Slide attacks), основанным на периодичности повторов использования раундовых ключей, что ведет к повторению одних и тех же раундовых преобразований. Наиболее известными способами противостояния слайд-атакам, основанным на слабостях ключевой системы, являются:

1. Неоднородность раундовых преобразований. Недостатком данного подхода является увеличение стоимости аппаратной реализации.

2. Использование СПГРК вместо ПРК (для некоторых разновидностей слайд-атак).

Делается вывод о том, что, учитывая экономические и скоростные преимущества ПРК над СПГРК, необходимо разработать способы преодоления указанных уязвимостей без существенного ухудшения данных характеристик.

Во второй главе описываются различные топологии разработанного нового примитива - переключаемых управляемых операций. Переключаемой управляемой операцией (ПУО) будем называть операцию удовлетворяющую условию: при

е-0 &у,еХХ) = ^(.Х) и при е=1 ^(Х) = ^(Х))'1, где ее{0,1}. Таким образом, переключаемая управляемая операция состоит из двух взаимно обратных управляемых операций, причем выбор между этими операциями производится в зависимости от значения некоторого дополнительного (переключающего) бита.

Переключаемые управляемые операции могут строиться как на основе уже известных топологий, так и на основе новых разработок. Так, на основе БУП с симметричной топологией были построены переключаемые управляемые операционные блоки (УОБ), один из которых показан на рис. 1. В этом случае УОБ Рзг/9б является блоком с симметричной топологией, т.е. для получения обратного блока Г'з2/яб достаточно подать на входу^авляющий вектор в обратном порядке. Показанный на рис. 1 БУП выполняет зависимую от бита переключения е перестановку управляющих векторов, и при е=0 результирующий управляющий вектор будет что создает переключение между прямым и обратным блоком

. Структура переключаемого УОБ Р'^'п/яб (б) и БУП Ром I

Однако в общем случае УОБ не является блоком с симметричной топологией. Для этого случая была разработана показанная на рис. 2 схема построения переключаемых УОБ.

Данная схема включает в себя некоторые обратимые управляемые блоки Управляющие вектора блоков и обратных им блоков Г1, и Г'2 формируются с помо-

щью блоков управляемых перестановок в зависимости от значений переключающих битов е\ и ег.

В качестве доказательства правильной работы разработанной схемы в режиме зашифрования и в режиме расшифрования можно привести следующие рассуждения: при зашифровании результат преобразований можно представить как

ГК^НУИРЛ-^РЛ-у (л-,)Р, „■¡•Тг^),

где А'], Хг - это левая и правая части входного век йрУрЗа - левая и правая части выходного вектора У, V*], у'и, w'2 - управляющие вектора соответствующих УОБ, получившиеся из исходных управляющих векторов путем применения к ним блоков управляемых перестановок с управляющими битами е\ и ег- Обозначим теперь з У, результат расшифрования данной схемой полученного зашифрованного вектора и посмотрим, получится ли при подаче в качестве входного вектора шифртекста исходный текст

Тогда при расшифровании имеем:

Также предлагается способ построения произвольной переключаемой фиксированной операцию п(е\ Данный способ показан на рис. 3, где и ии'1 - соответственно, прямая и обратная фиксированные операции с входным вектором. В качестве фиксированной операции может выступать, например, фиксированная перестановка. Возможность изменить прямую фиксированную операцию на обратную обеспечена использованием однослойного БУП Правый (левый) входной л-битовый вектор блокВ^оединяется с выходным вектором прямой (обратной) фиксированной операции я (я"1). Левый выходной вектор блока является выходом фиксированной операции Таким образом, получаем

Рис. 3 Переключаемое фиксированное преобразование

Для решения задачи создания криптографического примитива, обеспечивающего стойкость блочного шифра с ПРК к слайд-атакам, была разработана модификация переключаемых управляемых операций, содержащая в себе несколько взаимно обратных управляемых операций различного типа, получившая название расширенной переключаемой управляемой операции. Расширенными переключаемыми управляемыми операциями называются некоторые зависимые от параметра операции где вектор зависящий от (бита переключения) и от номера раунда шифрования, причем для всех модификации цК^ и являются взаимно обратными при Е®Е = {1}*. Таким образом, Тё^^ содержит пар взаимно обратных модификаций управляемой операции что позволяет легко построить уникальных раундовых преобразований для каждого раундового ключа.

Расширенные переключаемые управляемые операции можно сконструировать путем некоторой доработки схемы построения показанных выше переключаемых управляемых операций. Пример построения расширенной переключаемой управляемой операции для случая, когда к — 4, показан на рис. 4, где I — инволюция.

Рис. 4 Расширенная переключаемая операция В данном случае каждый блок управляемых операций Р/ и соответствующий ему обратный блок в качестве управляющих векторов имеют векторы, полученные с помощью одного из четырех БУП, в зависимости от значения соответствующего переклю-

ю

чающего бита е/. В общем случае все Г( могут быть различны. При к= 4 можно построить 24= 16 раундовых преобразований для каждого раундового ключа.

Делается вывод о том, что использование разработанных переключаемых управляемых операций обеспечивает существенное различие алгоритмов зашифрования и расшифрования, что устраняет слабые и полуслабые ключи при использовании ПРК. При применении нескольких различных переключаемых управляемых операций в одном раунде или использовании расширенных переключаемых управляемых операций устраняется однородность ра-ундовых преобразований, что обеспечивает стойкость итеративных блочных шифров с ПРК к слайд-атакам. Преимущество применения расширенных переключаемых управляемых операций заключается том, что они позволяют решить проблему стойкости к слайд-атакам с минимальными дополнительными затратами схемотехнических ресурсов.

Кроме того, во второй главе предлагается использовать в переключаемых УОБ элементарные блоки так называемого $-ТИПа, выделенные в ходе проведения классификации элементарных управляемых блоков с двухбитовыми входом и выходом и с однобитовым управляющим входом. Проведенные исследования показали, что управляемые элементы (УЭ) в-типа являются более предпочтительными по сравнению с УЭ как по дифференциальным характеристикам, так и по свойствам нелинейности. Все полученные в диссертации результаты, касающиеся переключаемых управляемых блоков и разработанных на их основе шифров, получены в результате исследования переключаемых управляемых блоков, построенных на УЭ Пример общего вида и возможной реализации при по-

казан на рис. 5.

[ конкретная]

В третьей главе в качестве иллюстрации эффективности применения переключаемых управляемых операций описываются разработанные шифры, построенные на следующих принципах:

1. Криптосистема должна быть итеративным 64-битовым шифром с 128-битовым секретным ключом.

2. Процедуры зашифрования и расшифрования должны выполняться с помощью одного и того же алгоритма путем смены расписания ключей.

3. Шифр должен обеспечивать высокую производительность в случае частой смены ключей, поэтому предварительное преобразование ключа не должно производиться.

4. Шифр должен использовать переключаемые управляемые операции в качестве основного криптографического примитива.

Было разработано два шифра, удовлетворяющих этим требованиям, которые получили названия PUO-1 и PUO-2 («переключаемые управляемые операции»). Кроме того, для подтверждения предположения о преимуществе переключаемых управляемых операций, построенных на основе УЭ S-ТИПЗ, над переключаемыми управляемыми операциями, построенными на основе УЭ Рг/ь был создан шифр под названием PVP-64, основанный на переключаемых управляемых перестановках. Проведенные исследования показали, что наилучшие статистические характеристики имеет шифр PUO-2, в котором в наибольшей степени используются переключаемые управляемые операционный блоки (УОБ) на основе УЭ S-типа.

На рис. 6 представлен общий вид схемы шифрования PUO-2 и схема процедуры в которой используются преобразования, основанные на переключаемых управляемых операциях.

Рис. 6 Общая схема шифрования (а) и один раунд шифра PUO-2 (б) Пунктирными стрелками обозначены управляющие данные. Значения переключающих бит в|, ег> е3> ®4. служащие для модификации соответствующих переключаемых управляемых блоков И Р'е', являются фиксированными для каждого раунда для режимов зашифрования и расшифрования, а смена этих режимов происходит с помощью переключающего бита е. Переключаемые БУП Рзг/9б'''' (' = 2, 4) построены на основе УЭ Рг/ь а переключаемые УОБ Бзглб''1' (/=1,3) - на основе УЭ в-типа. Е И Е' - процедуры расширения управляющего вектора.

Подобный способ построения шифра с ПРК устраняет возможность возникновения слабых и полуслабых ключей, т.к. использование переключаемых управляемых операций

делает алгоритмы зашифрования и расшифрования различными. Стойкость к слайд-атаке обеспечивается с помощью неоднородности раундовых преобразований, получающейся за счет использования различных переключаемых управляемых операций в одном раунде.

Для проведения исследований построенных криптоалгоритмов была разработана автоматизированная система проектирования и исследования блочных шифров, позволяющая вводить криптоалгоритмы в виде графических схем и выполнять над ними различные статистические тесты. Данная система описывается в четвертой главе.

Полученные с помощью этой системы результаты статистических испытаний шифра PUO-2 показаны в табл. 1 (исследовались среднее количество выходных бит, изменяющихся при изменении одного входного бита степень полноты преобразования степень лавинного эффекта степень соответствия строгому лавинному эффекту и эти результаты свидетельствуют, что построенный шифр не уступает финалистам AES по статистическим характеристикам и приобретает хорошие рассеивающие свойства уже после четырех раундов.

Таблица 1

Результаты статистического тестирования шифра Р1ГО-2

Кол-во раундов 4 4 <1,а Кол-во исп.

1 11,1287703 0,3984375 0,3477741 0,2827340 10000

2 26,3817437 0,8674316 0,8243386 0,8172683 10000

3 31,8613859 1 0,9952156 0,9886782 10000

4 32,002225 1 0,9990066 0,9922031 10000

5 32,003209 1 0.9989076 0,9920704 10000

б 31,998534 1 0,9989453 0,9923051 10000

7 31,995075 1 0,9988811 0,9918571 10000

8 32,007470 1 0,9989309 0,9919306 10000

Для анализа стойкости шифра PUO-2 к дифференциальному криптоанализу рассматривается формирование двухраундовой дифференциальной характеристики показанное на рис. 7. Здесь Д*о - результат сложения по модулю 2 (разность) двух входных левых подблоков данных, с весом Хэмминга равным 0, Д*) - разность двух входных правых подблоков данных с весом Хэмминга равным \,р(2) - вероятность двухраундовой характеристики.

В данной криптосхеме формирование дифференциальной характеристики включает следующие события. В первом раунде активный бит правого подблока данных проходит операцию 5'е'з2/9б с вероятностью 2"*. После перестановки подблоков данных активный бит попадает в левую ветвь, которую он проходит без порождения новых активных битов с вероятностью 2"6. При этом он дважды воздействует через управляющий вход на операции Р^32/9б* Вероятность того, что каждая из этих операций не порождает активных битов, равна 2'3. Тогда вероятность двухраундовой характеристики равна

р(2)* 2~6-2~6-2~*-2'3-2'1 = Г24.

Двухраундовая характеристка вносит основной вклад в вероятность прохождения однобитовой разности через полное число раундов шифра PUO-2. Используя значение р(2), можно вычислить дифференциальную характеристику для восьми раундов:

Сравнение вероятности р(8) с вероятностью рассматриваемой характеристики для случайного преобразования показывает, что шифр PUO-2 неотличим от случайного преобразования с помощью дифференциального анализа, т.е. является стойким к данной атаке.

Сравнительно малое число раундов в PUO-2 обеспечивается тем, что, как отмечено на рис. 7, переключаемые управляемые блоки 8^'з2/96» построенные на основе управляемых эле-

14

ментов обладают лучшими дифференциальными характеристиками по сравнению с

переключаемыми управляемыми блоками построенными на основе элементарного

переключателя

В таблице 2 показаны оценки схемотехнической реализации для РиО-2 в сравнении с финалистами ЛЕ8 и 3ЭЕ8.

Таблица 2

Оценка схемотехнической реализации шифра РиО-2

Шифр Кол-во вентилей Критический путь, т

расп.ключа зашифр. предвыч. зашифр.

РШ-2 500 22 300 - 112

ЗБЕБ 23 000 120 000 - 220

Щ]п<1ае1 94 000 520000 83 95

ЯСб 900 000 740 000 3 000 880

230 000 200 000 23 470

Очевидно, что наиболее экономичным в плане аппаратной реализации является Р1Ю-2 (требует всего 22300+500 вентилей), и, хотя самая быстрая реализация соответствует 128-битовому шифру Щ)'п<1ае1 (производительность г « 1.35 бит/т), Р1Ю-2 (г »0.57 бит/т) быстрее, чем ЯСб (г « 0.15 бит/т), Тпр1е-ОЕ5 (г * 0.29 бит/т) и ТЧуойвЬ (г я 0.27 бит/т).

Таким образом, можно сделать вывод о многообразии вариантов криптосхем, применяемых при разработке новых итеративных блочных шифров с использованием переключаемых управляемых операций в качестве основного криптографического примитива.

В четвертой главе описывается созданная для проверки статистических характеристик разработанных примитивов и шифров автоматизированная система проектирования и исследования блочных шифров. Данная система ориентирована на пользователя, хорошо знакомого с криптографией, но не имеющего опыта в программировании, и позволяет таким пользователям проводить эксперименты с криптоалгоритмами, представленными в графическом виде. Цель разработки данной системы - предоставить возможность специалистам в области разработки криптоалгоритмов самостоятельного (без посредников) проведения экспериментов по исследованию разрабатываемых ими криптоалгоритмов от момента создания схемы криптоалгоритма до момента получения ее характеристик. Таким образом, представляемая система решает следующие задачи:

1. Поддержка построения схемы криптоалгоритма (т.е. ввод криптоалгоритма в графическом редакторе в виде блок-схемы)

2. Проведение испытаний над построенной схемой криптоалгоритма (можно проводить как числовые вычисления, так и статистические эксперименты, соответствующие рекомендациям NESSIE по исследованию статистических свойств криптоалгоритмов).

В соответствии со стоящими перед системой задачами, в ее составе находятся графический редактор, подсистема синтаксического контроля, подсистема вычислений и подсистема обработки результатов. Графический редактор позволяет вводить криптоалгоритмы в виде графических схем. Подсистема синтаксического контроля анализирует правильность построений в графическом редакторе, причем осуществляется контроль трех типов: 1. Синтаксические проверки допустимости графических построений в рамках используемого графического языка.

2 Синтаксические проверки правильности настроек компонентов создаваемой схемы криптоалгоритма.

3. Синтаксические проверки правильности алгоритмических построений.

Проводя такие проверки, подсистема синтаксического контроля тем самым обеспечивает однозначность перевода графического представления в аналитическое. Если подсистема синтаксического контроля не выявила ошибок, то пользователь может приступать к тестированию созданного криптоалгоритма.

Таким образом, использование данной системы подразумевает выполнение разработчиком следующих этапов:

1. Создание криптоалгоритма на бумаге, желательно в виде блок-схемы, чтобы правильно оценить ее размеры при последующем вводе.

2. Перенос созданной криптосхемы с помощью средств, предоставляемых графическим редактором системы, в компьютер.

3. Задание параметров испытаний. При этом осуществляется настройка двух видов:

а) Настройка параметров шифра. При этом указывается, какие данные являются ключами, какие данные необходимо задать вручную, какие нужно фиксировать на все время вычислений, откуда брать значения входных данных (они могут задаваться вручную, с помощью генератора случайных чисел или браться из готового файла).

б) Настройка параметров вычислений. В системе имеется реализованный набор статистических тестов для блочных шифров, соответствующий рекомендациям NESSIE, несколько тестов, использовавшихся на конкурсе AES, а также возможность проводить численные вычисления. Для некоторых тестов указывается необходимое количество испытаний.

4 Анализ результатов. Система записывает результаты с пояснениями в текстовый файл,

который можно посмотреть в любом текстовом редакторе.

16

5. В случае неудовлетворенности пользователя полученными результатами, он легко может внести изменения в свой криптоалгоритм и провести повторные исследования.

Таким образом, данная система позволяет автоматизировать большинство технических этапов разработки и тестирования криптоалгоритмов, причем в связи с использованием графического языка и простотой настроек все эти этапы могут быть выполнены непосредственно разработчиком криптоалгоритма.

В четвертой главе также приводится пример работы системы при построении и исследовании шифра PUO-2.

ЗАКЛЮЧЕНИЕ

В ходе диссертационных исследований были получены следующие результаты:

1. Предложен новый криптографический примитив, получивший название «переключаемые управляемые операции», использование которого в блочных шифрах с простым расписанием ключа позволяет избежать появления слабых и полуслабых ключей, и разработаны различные способы его построения.

2. Разработан способ построения модификации переключаемых управляемых операций, получивший название «расширенных переключаемых управляемых операций».

3. Предложены способы устранения однородности раундовых преобразований, заключающиеся в использовании в одном раунде различных переключаемых управляемых операций или в использовании расширенных переключаемых управляемых операций, что обеспечивает стойкость к слайд-атакам итеративных блочных шифры с простым расписанием ключа.

4. На основе разработанных переключаемых управляемых операций синтезированы блочные алгоритмы с простым расписанием ключа, стойкие к слайд-атаке, свободные от слабых и полуслабых ключей и соответствующие современным требованиям статистического тестирования.

5. Создана автоматизированная система проектирования и исследования блочных шифров.

Публикации по теме диссертации

1. Морозова Е.В. Использование системы визуального моделирования криптоалгоритмов в учебных целях // Труды всеармейской научно-практической конференции «Инновационная деятельность в Вооруженных силах Российской Федерации». 25-26 декабря 2003 года, Санкт-Петербург. - СПб.: ВУС, 2003. - С.115-117.

2. Морозова Е.В. Варианты построения переключаемых управляемых операций // Труды всеармейской научно-практической конференции «Инновационная деятельность в Воо-

руженных силах Российской Федерации». 28-29 ноября 2002 года, Санкт-Петербург. -СПб.: ВУС, 2002. - С. 110-113.

3. Морозова Е.В. Управляемые операции в шифрах с простым расписанием использования ключа // Материалы VIII Санкт-Петербургской Международной Конференции «Региональная информатика - 2002» («РИ - 2002»), Санкт-Петербург, 26-28 ноября 2002г. 4.1. -СПб, 2002.-С.123-124.

4. Молдовян А.А., Еремеев М.А., Молдовян Н.А., Морозова Е.В. Полная классификация и свойства нелинейных управляемых элементов минимального размера и синтез криптографических примитивов // Вопросы защиты информации. - 2003. - №3. - С.15-27.

5. Гуц Н.Д, Молдовян А.А., Морозова Е.В. Шифраторы на основе переключаемых операций // Известия вузов. Приборостроение. - 2003. - Т.46, № 7. - С.79-82.

6. Молдовян Н.А., Молдовян А.А., Морозова Е.В. Скоростные шифры с простым расписанием использования ключа // Вопросы защиты информации. - 2003. -№1. - С.12-22.

7. Молдовян Н.А., Морозова Е.В. Шифр с переменными перестановками в роли основного криптографического примитива // Вопросы защиты информации. - 2002. - №4. - С.8-18.

8. Бодров А.В., Гуц Н.Д., Молдовян А.А., Морозова Е.В. Графический редактор системы визуального моделирования криптоалгоритмов // Известия ТРТУ. Тематический выпуск. Материалы V Международной научно-практической конференции «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2003. - №4. - С.255-259.

9. Бодров А.В., Гуц Н.Д., Морозова Е.В. Подсистема символьной математики в системе визуального моделирования криптоалгоритмов // Известия ТРТУ. Тематический выпуск. Материалы V Международной научно-практической конференции «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2003. - №4. - С.268-271.

10. Молдовян У.А., Морозова Е.В. Способ криптографического преобразования данных // Труды всеармейской научно-практической конференции «Инновационная деятельность в Вооруженных силах Российской Федерации». 28-29 ноября 2002 года, Санкт-Петербург. -СПб.:ВУС,2002.-С.91-95.

11. Бодров А.В., Гуц Н.Д., Морозова Е.В. Система визуального моделирования блочных шифров // Сборник трудов научно-практической конференции «Информационная безопасность». - Таганрог: Изд-во ТРТУ, 2002. - С.43-45.

Лицензия ЛР № 020593 от 7.08.97

Подписано в печать £6. Of. ¿001 Объем в пл. < О Тираж 100 экз._Заказ № ¿/У

Отпечатано с готового оригинал-макета, предоставленного автором, в типографии Издательства СПбГПУ 195251, Санкт-Петербург, Политехническая ул., 29.

Отпечатано на ризографе RN-2000 FP Поставщик оборудования — фирма "Р-ПРИНТ" Телефон: (812) 110-65-09 Факс: (812)315-23-04

OA-13576

ВВЕДЕНИЕ.

ГЛАВА 1. ЗАЩИТА ИНФОРМАЦИИ НА ОСНОВЕ БЛОЧНЫХ ШИФРОВ.

1.1. Защита информации и криптографические механизмы ее обеспечения.

1.2. Принципы построения блочных шифров.

1.3. Управляемые операции как примитив синтеза блочных шифров

1.4. Проблемы синтеза блочных шифров с простым расписанием ключа.

Выводы.

ГЛАВА 2. ПЕРЕКЛЮЧАЕМЫЕ УПРАВЛЯЕМЫЕ ОПЕРАЦИИ.

2.1. Классификация элементарных управляемых элементов.

2.1.1. Элементарные управляемые элементы S-muna.

2.2. Переключаемые управляемые блоки с симметричной топологией

2.3. Переключаемые управляемые блоки различного порядка.

2.4. Переключаемые фиксированные операции.

2.5. Расширенные переключаемые управляемые блоки.

Выводы.

ГЛАВА 3. СИНТЕЗ БЛОЧНЫХ ШИФРОВ С ПРОСТЫМ РАСПИСАНИЕМ КЛЮЧА.

3.1. Автоматизация проектирования и исследования блочных шифров

3.2. Шифр, основанный на переключаемых управляемых перестановках (PVP-64).

3.2.1. Описание PVP-64.

3.2.2. Анализ стойкости PVP-64.

3.2.3. Оценка аппаратной реализации.

3.3. Криптосистемы, основанные на переключаемых управляемых операциях (PUO-1 и PUO-2).

3.3.1. Описание шифров PUO-1 и PUO-2.

3.3.2. Статистические свойства шифров PUO-1 и PUO-2.

3.3.3. Анализ дифференциальных характеристик шифров PUO-1 и PUO

3.3.4. Оценка стоимости аппаратной реализации шифров PUO-1 и PUO

3.4. Сравнение шифров PVP-64 с PUO-1 и PUO-2.

Выводы.

ГЛАВА 4. АВТОМАТИЗИРОВАННАЯ СИСТЕМА ПРОЕКТИРОВАНИЯ И ИССЛЕДОВАНИЯ БЛОЧНЫХ ШИФРОВ.

4.1. Назначение и возможности.

4.2. Структура системы.

4.3. Технология работы в системе.юз

4.4. Пример работы в системе.

Выводы.

В настоящее время, когда электронные информационные технологии нашли чрезвычайно широкое применение, проблема защиты информации приобрела массовый характер, и все большее число пользователей (физических и юридических лиц) желают иметь гарантии сохранности своих секретов и коммерческих интересов. Это можно сделать только применяя современные средства защиты информации от несанкционированного доступа (НСД). На сегодняшний день получило признание положение, согласно которому надежные системы защиты от НСД представляют собой гармоничное единство системных, аппаратных, программно-технических и криптографических механизмов. Криптография является одним из основных средств, применяемых для решения базовых задач построения защищенных информационных технологий - обеспечения конфиденциальности, целостности и подлинности, анонимности и юридической значимости электронных сообщений и документов - при сохранении высокой производительности автоматизированных систем обработки информации и высокой доступности, предоставленных легальным пользователям информационных и других компонентов информационно-вычислительной системы.

Традиционная задача защиты информации от несанкционированного доступа решается с помощью зашифрования данных таким образом, что расшифрование возможно только при знании секретного ключа.

Для обеспечения скоростного шифрования в автоматизированных системах и последующего произвольного доступа к зашифрованной информации обычно применяются блочные шифры. Несмотря на появление большого числа новых шифров, требования к ним с момента создания и утверждения в качестве государственного стандарта шифрования США DES не изменились: это быстродействие (в том числе в режиме частой смены ключа), стойкость к известным видам криптоанализа, экономичность программной и аппаратной реализации.

Традиционно используемым способом увеличения быстродействия блочных шифров и экономичности их программной и аппаратной реализации является использование так называемого простого расписания ключа (ПРК). При таком подходе раундовые подключи получаются из секретного ключа с помощью некоторой выборки. Использование ПРК дает возможность избежать траты времени и ресурсов на предварительные преобразования ключа. Однако при этом весьма вероятно наличие так называемых «слабых» и «полуслабых» ключей. Под слабым ключом понимается такой ключ, при использовании которого шифр реализует инволюцию. Под полуслабыми ключами понимается такая пара ключей, что зашифрование некоторого текста сначала по одному из ключей, а затем по второму, даст в результате исходный текст. Кроме того, в последние годы были разработаны специализированные атаки на итерационные шифры с простым расписанием ключа, так называемые «слайд-атаки». Они основаны на периодичности повторов использования раундовых ключей, ведущей к повторению одних и тех же раундовых преобразований (однородность преобразований). Особенно такие атаки опасны для шифров с небольшим размером секретного ключа.

Все эти потенциальные уязвимости привели к тому, что в настоящее время в качестве универсального противодействия вместо ПРК используется так называемая стойкая процедура генерации расширенного ключа (СПГРК). Суть ее заключается в выполнении над секретным ключом некоторых сложных предварительных преобразований для получения раундовых подключей. Полученные таким образом раундовые подключи можно рассматривать как независимые равновероятно распределенные случайные величины.

В то же время, существенным плюсом ПРК по сравнению с СПГРК, является скорость формирования раундовых подключей, что особенно Шажно в условиях частой смены секретного ключа. Следует отметить, что проблема длительности предварительных преобразований ключа имеет важное значение, например, в требованиях NESSIE и NIST указано, что это время не должно превышать времени выполнения трех раундов шифрования данных (при том, что среднее количество раундов у современного шифра от 10 до 16). Важность требования к длительности предварительного преобразования ключа подтверждается еще и тем, что победитель конкурса AES блочный шифр Rijndael имеет наилучшие по сравнению с другими кандидатами характеристики в этом плане. Также ПРК намного экономичнее в плане аппаратной реализации по сравнению с СПГРК. Кроме того, известны метод противодействия слабым и полуслабым ключам и метод противодействия слайд-атакам. В первом случае для зашифрования и расшифрования используются различные алгоритмы, а во втором - избегают однородности раундовых преобразований. Все это дает возможность говорить о необходимости создания нового подхода, который позволил бы избавиться от указанных слабостей шифра с ПРК некоторым алгоритмическим способом, не ведущем к значительному удорожанию реализации и снижению быстродействия криптоалгоритма.

Для решения проблем, связанных с разработкой блочных шифров с ПРК, в данной работе разрабатывается и исследуется новый криптографический примитив - переключаемые управляемые операции, зависящие от преобразуемых данных.

Объектом диссертационного исследования являются системы защиты информации в компьютерных и телекоммуникационных системах от несанкционированного доступа на основе блочных алгоритмов преобразования данных.

Предметом исследования являются способы предотвращения появления слабых и полуслабых ключей, а также методы обеспечения стойкости к слайд-атакам блочных шифров с простым расписанием ключа.

Целью настоящей работы является обеспечение стойкости блочных шифров с ПРК к слайд-атакам и устранение слабых и полуслабых ключей на основе разработки способа построения блочных шифров с ПРК.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Разработать способ построения нового криптографического примитива, обеспечивающего устранение слабых и полуслабых ключей.

2. Разработать способ построения нового криптографического примитива, обеспечивающего стойкость к слайд-атакам.

3. На основе разработанных криптографических примитивов синтезировать блочный шифр, свободный от таких уязвимостей шифров с простым расписанием ключа как слабые и полуслабые ключи и возможность проведения слайд-атак.

4. Разработать подход к автоматизированному исследованию блочных шифров, обеспечивающий проведение статистического тестирования синтезируемых блочных шифров на основе новых примитивов.

В диссертационной работе используются методы дискретной математики, математической статистики, теории вероятностей, линейной алгебры, криптологии.

Достоверность полученных результатов опирается на статистические эксперименты, практические разработки, сопоставление с известными результатами по анализу управляемых операций и шифров с их использованием, а также на широкое обсуждение в открытой печати и на всероссийских конференциях.

Научная новизна

1. Предложен новый тип криптографических примитивов, обеспечивающий устранение слабых и полуслабых ключей при применении простого расписания ключа в блочных шифрах. Данный примитив, получивший название «переключаемые управляемые операции» реализует взаимно обратные преобразования в зависимости от дополнительного (переключающего) бита. В качестве модификации данного примитива разработаны расширенные переключаемые управляемые операции.

2. Предложены способы повышения стойкости блочного шифра с простым расписанием ключа к слайд-атакам за счет использования в одном раунде различных переключаемых управляемых операций или расширенных переключаемых управляемых операций.

3. На основе переключаемых управляемых операций разработаны новые блочные шифры с простым расписанием ключа, являющиеся стойкими к слайд-атакам и свободными от слабых и полуслабых ключей.

4. Разработан подход к автоматизации работ по синтезу и статистическому тестированию блочных шифров.

Практическая ценность полученных результатов состоит в разработке способа синтеза скоростных блочных шифров с ПРК, обладающих стойкостью к слайд-атакам и возникновению слабых и полуслабых ключей, и создании автоматизированной системы проектирования и исследования блочных шифров. Данная система позволяет вводить криптоалгоритм в виде графических схем и выполнять над ним различные тесты с целью получению статистических характеристик созданного блочного шифра. Тесты, реализованные в системе, соответствуют рекомендациям NESSIE по оцениванию статистических характеристик блочных шифров. Все статистические характеристики, приводимые в тексте диссертации, получены с помощью данной автоматизированной системы.

Помимо своего прямого назначения, данная система проектирования и исследования блочных шифров может быть использована в учебном процессе для лабораторного практикума по дисциплинам «Информационная безопасность и защита информации» и «Криптографические методы защиты информации».

Реализация результатов. Автоматизированная система оценки блочных шифров внедрена в ФГУП «НИИ «Вектор» - научном филиале Специализированный центр программных систем «Спектр», где используется для разработки блочных шифров и новых примитивов, и в Санкт-Петербургском государственном университете водных коммуникаций (СПГУВК), где используется для организации учебного процесса.

Апробация работы. Научные положения обсуждались на следующих конференциях: VIII Санкт-Петербургская Международная Конференция «Региональная информатика - 2002», (Санкт-Петербург, 26-28 ноября 2002 г.), Всеармейская научно-практическая конференция «Инновационная деятельность в Вооруженных силах Российской Федерации» (Санкт-Петербург, 28-29 ноября 2002 г. и 25-26 декабря 2003 г.), V Международная научно-практическая конференция «Информационная безопасность» (Таганрог, 3-7 июня 2003 г.) и были опубликованы в ряде статей в журналах «Вопросы защиты информации» и «Известия ВУЗов. Приборостроение»

Научные положения, выносимые на защиту:

1. Использование переключаемых управляемых операций позволяет предотвратить слабые ключи в блочных алгоритмах шифрования с простым расписанием ключа

2. Использование в одном раунде различных переключаемых управляемых операций или расширенных переключаемых управляемых операций повышает стойкость блочных алгоритмов шифрования с простым расписанием ключа к слайд-атакам на основе выбранного ключа

3. Предложенный подход к проведению автоматизированных испытаний позволяет выполнять исследования блочного шифра непосредственно разработчику криптоалгоритма.

Публикации. Основной материал опубликован в 11 печатных работах, среди которых 4 статьи.

Структура работы. Диссертация состоит из введения, 4 глав с выводами по каждой из них, заключения, списка литературы и приложения. Она изложена на 127 страницах машинописного текста, включает 36 рисунков, 14 таблиц и список литературы из 87 наименований, 3 страницы приложений.

Основные результаты диссертационного исследования были опубликованы в следующих работах:

1. Морозова Е.В. Использование системы визуального моделирования криптоалгоритмов в учебных целях // Труды всеармейской научно-практической конференции «Инновационная деятельность в

Вооруженных силах Российской Федерации». 25-26 декабря 2003 года, Санкт-Петербург. - СПб.: ВУС, 2003. - С. 115-117.

2. Морозова Е.В. Варианты построения переключаемых управляемых операций // Труды всеармейской научно-практической конференции «Инновационная деятельность в Вооруженных силах Российской Федерации». 28-29 ноября 2002 г, Санкт-Петербург. - СПб.: ВУС, 2002. -С.110-113.

3. Морозова Е.В. Управляемые операции в шифрах с простым расписанием использования ключа // Материалы VIII Санкт-Петербургской Международной Конференции «Региональная информатика - 2002» («РИ - 2002»), Санкт-Петербург, 26-28 ноября 2002 г. 4.1. - СПб, 2002. - С.123-124.

4. Молдовян А.А., Еремеев М.А., Молдовян Н.А., Морозова Е.В. Полная классификация и свойства нелинейных управляемых элементов минимального размера и синтез криптографических примитивов // Вопросы защиты информации. - 2003. - № 3. - С.15-27.

5. Гуц Н.Д., Молдовян А.А., Морозова Е.В. Шифраторы на основе переключаемых операций//Известия вузов. Приборостроение. - 2003. -Т.46, № 7. - С.79-82.

6. Молдовян Н.А., Молдовян А.А., Морозова Е.В. Скоростные шифры с простым расписанием использования ключа // Вопросы защиты информации. - 2003. - № 1. - С.12-22.

7. Молдовян Н.А., Морозова Е.В. Шифр с переменными перестановками в роли основного криптографического примитива // Вопросы защиты информации. - 2002. - № 4. - С.8-18.

8. Бодров А.В., Гуц Н.Д., Молдовян А.А., Морозова Е.В. Графический редактор системы визуального моделирования криптоалгоритмов // Известия ТРТУ. Тематический выпуск. Материалы V Международной научно-практической конференции «Информационная безопасность». -Таганрог: Изд-во ТРТУ, 2003. - № 4. - С.255-259.

9. Бодров А.В., Гуц Н.Д., Морозова Е.В. Подсистема символьной математики в системе визуального моделирования криптоалгоритмов // Известия ТРТУ. Тематический выпуск. Материалы V Международной научно-практической конференции «Информационная безопасность». -Таганрог: Изд-во ТРТУ, 2003. - № 4. - С.268-271.

Ю.Молдовян У. А., Морозова Е.В. Способ криптографического преобразования данных // Труды всеармейской научно-практической конференции «Инновационная деятельность в Вооруженных силах Российской Федерации». 28-29 ноября 2002 года, Санкт-Петербург. -СПб.: ВУС, 2002. - С.91-95.

П.Бодров А.В., Гуц Н.Д., Морозова Е.В. Система визуального моделирования блочных шифров // Сборник трудов научно-практической конференции «Информационная безопасность». Таганрог: Изд-во ТРТУ, 2002. - С.43-45.

ЗАКЛЮЧЕНИЕ

В ходе диссертационных исследований были получены следующие результаты:

1. Предложен новый криптографический примитив, получивший название «переключаемые управляемые операции», использование которого в блочных шифрах с простым расписанием ключа позволяет избежать появления слабых и полуслабых ключей, и разработаны различные способы его построения.

2. Разработан способ построения модификации переключаемых управляемых операций, получивший название «расширенных переключаемых управляемых операций».

3. Предложены способы устранения однородности раундовых преобразований, заключающиеся в использовании в одном раунде различных переключаемых управляемых операций или в использовании расширенных переключаемых управляемых операций, что обеспечивает стойкость к слайд-атакам итеративных блочных шифры с простым расписанием ключа.

4. На основе разработанных переключаемых управляемых операций синтезированы блочные алгоритмы с простым расписанием ключа, стойкие к слайд-атаке, свободные от слабых и полуслабых ключей и соответствующие современным требованиям статистического тестирования.

5. Создана автоматизированная система проектирования и исследования блочных шифров.

1. Алексеев J1.E, Молдовян А.А., Молдовян Н.А. Алгоритмы защиты информации в СЗИ НСД "СПЕКТР-Z" // Вопросы защиты информации. -2000.-№3.-С.63-68.

2. Баричев С.Г., Гончаров В.В., Серов Р. Е. Основы современной криптографии: Учебный курс для ВУЗов. М.: Горячая линия-Телеком, 2001.- 120 с.

3. Белкин Т.Г., Гуц Н.Д., Молдовян А.А., Молдовян Н.А. Способ скоростного шифрования на базе управляемых операций // УСиМ. -1999. №6. - С.78-87.

4. Бодров А.В., Молдовян Н.А., Молдовяну П.А. Перспективные программные шифры на основе управляемых перестановок // Вопросы защиты информации. М., 2002. - № 1. - С.44-50.

5. Бодров А.В., Молдовян Н.А., Терехов А.А., Оптимизация механизма управления перестановками в скоростных шифрах // Вопросы защиты информации. М., 2002. - № 1. - С.51-58.

6. Винокуров А. Архитектура блочных шифров // http://www.enlight.ru/

7. Винокуров А. Новые подходы в построении блочных шифров с секретным ключом // http://www.enlight.ru/

8. Винокуров А., Применко Э. Сравнение стандарта шифрования РФ и нового стандарта шифрования США // http://www.enlight.ru/crypto/frame.htm.

9. Гуц Н.Д., Изотов Б.В., Молдовян А.А., Молдовян Н.А. Проектирование двухместных управляемых операций для скоростных гибких криптосистем // Безопасность информационных технологий. М., 2001. - № 2. - С. 14-23.

10. Ю.Гуц Н.Д., Изотов Б.В., Молдовян Н.А. Управляемые перестановки с симметричной структурой в блочных шифрах // Вопросы защиты информации. -М., 2000. № 4. - С.57-65.

11. П.Гуц Н.Д., Молдовян А.А., Молдовян Н.А. Гибкие аппаратно-ориентированные шифры на базе управляемых сумматоров // Вопросы р защиты информации. 2000. - № 1. - С.8-15.

12. Гуц Н.Д., Молдовян А.А., Молдовян Н.А. Обоснование полноцикловых перестановок битов переноса в управляемых сумматорах гибких шифров // Вопросы защиты информации. 2000. - № 2. - С.23-28.

13. Гуц Н.Д., Молдовян А.А., Молдовян Н.А. Построение управляемых блоков перестановок с заданными свойствами // Вопросы защиты информации. 1999. - № 4. - С.39-49.

14. Еремеев М.А., Молдовян А. А., Молдовян Н.А. Защитные преобразования информации в АСУ на основе нового примитива // Автоматика и телемеханика. 2002. - № 12. - С.9-17.

15. Еремеев М.А., Молдовян Н.А. Синтез аппаратно-ориентированных управляемых подстановок над векторами большой длины // Вопросы защиты информации. 2001. - № 4. - С.46-51.

16. Иванов М.А. Криптографические методы защиты информации в ^ компьютерных системах и сетях. М.: КУДИЦ-ОБРАЗ, 2001. - 368 с.

17. Изотов Б.В., Молдовян А.А. Блочные шифры СоЬга-Н64 и СоЬга-Н128 // Вопросы защиты информации. 2003. - № 3. - С.8-14.

18. Изотов Б.В., Молдовян А.А. Методы повышения криптостойкости блочных шифров с простым расписанием раундовых ключей // Вопросы защиты информации. 2003. - № 2. - С.9-18.

19. Изотов Б.В., Молдовян А.А., Молдовян Н.А. Скоростные методы защиты информации в АСУ на базе управляемых операций // Автоматика и телемеханика. 2001. - № 6. - С. 168-184.

20. Криптография: скоростные шифры / Гуц Н.Д., Изотов Б.В., Молдовян А.А., Молдовян Н.А. СПб.: БХВ-Санкт-Петербург, 2002. - 470 С.

21. Л 21.Математические и компьютерные основы криптологии: Учеб. пособие /

22. Харин Ю.С., Берник В.И., Матвеев Г.В., Агиевич С.В. Мн.: Новое знание, 2003. - 382 с.

23. Минаева Е.В. Современные подходы к конструированию оптимальных алгоритмов генерации расширенного ключа в итеративных блочных шифрах // Безопасность информационных технологий. 2000. - № 2. -С.24-26.

24. Молдовян А.А., Молдовян Н.А. Метод скоростного преобразования для защиты информации в АСУ // Автоматика и телемеханика. 2000. - № 4.- С.151-165.

25. Молдовян А.А., Молдовян Н.А. Доказуемо недетерминированные программные шифры // Безопасность информационных технологий. — 1997. -№ 1.-С.26-31.

26. Молдовян А. А., Молдовян Н.А. Программные хэш-функции с псевдослучайной выборкой // Вопросы защиты информации. 2001.- № 1. - С.38-42.

27. Молдовян А.А., Молдовян Н.А. Программные шифры: криптостойкость и имитостойкость // Безопасность информационных технологий. 1996.- № 2. С. 18-26.

28. Молдовян А.А., Молдовян Н.А. Скоростные шифры на базе нового криптографического примитива // Безопасность информационных технологий. 1999. - № 1. - С.82-88.

29. Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография: Учебники для вузов. СПб.: Изд. "Лань", 2001. - 224 с.

30. Молдовяну П.А. Типы архитектур команды управляемой перестановки // Вопросы защиты информации. 2003. - № 3. - С.46-49.

31. ЗО.Основы криптографии: Учебное пособие / Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. М.: Гелиос АРВ, 2002. - 480 с.

32. Реализация скоростного шифра на основе управляемых перестановок / Мельник А.А., Молдовян Н. А., Гуц Н. Д., Изотов Б.В., Коркишко Т.А. // Вопросы защиты информации. 2001. - № 2. - С.44-53.

33. Реализация скоростных аппаратных шифров на базе управляемых перестановок / Мельник А.А., Коркишко Т.А., Молдовян Н.А., Гуц Н.Д.

34. Труды VII Санкт-Петербургской Международной конференции «Региональная информатика-2000», Санкт-Петербург, 5-8 декабря 2000 г. СПб.: СПОИСУ, 2001. - С.226-227.

35. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. М.: Радио и связь, 2001. - 376 с.

36. Ростовцев А. Г., Маховенко Е. Б. Введение в криптографию с открытым ключом. СПб. : НПО «Мир и семья», 2001. - 354 с.

37. Ростовцев А. Г., Маховенко Е. Б. Введение в теорию итерированных шифров. СПб.: НПО «Мир и семья». - 2003. - 300 с.

38. Ростовцев А.Г. Решеточный криптоанализ // Безопасность информационных технологий. 1997. - № 3. - С.53-55.

39. Скляров Д.В. Искусство защиты и взлома информации. СПб.: БХВ-Петербург, 2004. - 288 с.

40. Скоростной алгоритм шифрования SPECTR-H64 / Гуц Н.Д., Изотов Б.В., Молдовян А.А., Молдовян Н.А. // Безопасность информационных технологий. 2000. - № 4. - С.37-50.

41. Столлингс В. Криптография и защита сетей: принципы и практика: Пер. с англ. М.: Издательский дом «Вильяме». - 2001 .-672 с.

42. Столлингс В. Основы защиты сетей. Приложения и стандарты: Пер. с англ. М.: Издательский дом «Вильяме», 2002 - 432 с.

43. Шеннон К.Э. Работы по теории информатики и кибернетике. М.: Иностранная литература, 1963,- 456 с.

44. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Издательство ТРИУМФ, 2002. -816 с.

45. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. -СПб.: Питер, 2003. 368 с.

46. Ященко В.В. Введение в криптографию.-М.: МЦНМО, 2000.-288 с.45 .A chosen plaintext linear attack on block cipher CIKS-1 / Changhoon Lee et al. // LNCS. Vol. 2513. - P.456-468.

47. Bassham III Lawrence E. The Advanced Encryption Standard Algorithm Validation Suite (AESAVS) // http://csrc.nist.gov/cryptval/aes/AESAVS.pdf.

48. Benes V.E. Mathematical Theory of Connecting Networks and Telephone Traffic New York.: Academic Press, 1965. - 319 p.

49. Bibliowicz A., Cohen P., Biham E. A system of assisting analysis of some block ciphers //https://www.cosic.esat.kuleuven.ac.be/nessie/reports/phase2/definition.pdf

50. Biham E., Anderson R., Knudsen L. Serpent: A new block cipher proposal. // Fast Software Encryption (FSE'98), LNCS. Springer Verlag. - Vol. 1372. -P.222-238.

51. Biryukov A., Wagner D. Advanced Slide Attacks // Advances in Cryptology Eurocrypt'2000, LNCS. - Springer-Verlag. - 2000. - Vol. 1807. - P.589-606.

52. Biryukov A., Wagner D. Slide Attacks // Proceedings of the 6th International Workshop «Fast Software Encryption» (FSE '99), LNCS. Springer-Verlag. -1999. - Vol. 1636. - P. 245-259.

53. Braziler Y. The statistical evaluation of the NESSIE submission Misty // https:www.cosic.esat.kuleuven.ac.be/nessie/reports/phasel/mistyreport.pdf

54. Camellia. 128-bit block cipher suitable for multiple platforms / Aoki K., Ichikawa Т., Kanda M., Matsui M., et al 2001. https://www.cosic.esat.kuleuven.ac.be/nessie/updatedPhase2Specs/camellia/ camellia-v2.pdf

55. Ciet M., Piret G., Quisquater J.-J. Related-Key and Slide Attacks: Analysis, Connections, and Improvements Extended Abstract // http://www.dice.ucl.ac.be/crypto/

56. Clos C. A study of nonblocking switching networks // Bell System Technical J. 1953. - Vol. 32. - P.406-424.

57. Comments by the NESSIE Project on the AES Finalists / Preneel В., Bosselaers A., Rijmen V., Van Rompay В., et al. // http://www.nist.gav/aes

58. Dichtl M. List of general NESSIE test tools. Public report, NESSIE.-https://www.cosic.esat.kuleuven.ac.be/nessie/deliverables/ D3NessieListTools.pdf

59. Fast Ciphers for Cheap Hardware: Differential Analysis of SPECTR-H64. / Izotov B.V., Goots N.D., Moldovyan A.A., Moldovyan N.A. // International Workshop MMM-ANCS'2003 Proceedings, LNCS. Springer-Verlag, Berlin, 2003. - Vol. 2776. - P.449-452.

60. Feistel H. Cryptography and Computer privacy // Scientific American. -1973. Vol.228. - № 5. - P. 15-23.

61. Izotov B.V. Cryptographic primitives based on cellular transformations // Computer Science Journal of Moldova. 2003. - Vol. 11, № 3. - P.269-291.

62. Kelsey J., Schneier В., Wagner D. Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES // Advances in Cryptology -EUROCRYPT '94 Proceeding. Springer-Verlag. - 1995. - P.196-211.

63. Knudsen L.R. Block Ciphers Analysis, Design and Applications // http://www.daimi.au.dk/PB/485/PB-485.pdf

64. Knudsen L.R. Contemporary block ciphers // Lectures on Data Security. Modern cryptology in theory and practice. Springer-Verlag. - 1999. - CNCS Tutotrial 1561. - P.105-126.

65. Knudsen L.R. The number of rounds in block ciphers. // Internal report, NESSIE. https://www.cosic.esat.kuleuven.ac.be/nessie/reports/phase 1/ uibwp3-003.pdf

66. Knudsen L.R., Raddum H. Recommendation to NIST for the AES. Internal report, NESSIE, 2000. https://www.cosic.esat.kuleuven.ac.be/nessie/reports/ uibwp3-005.pdf

67. MARS a Candidate Cipher for AES / Burwick C., Coppersmith D., D'Avingnon E., Gennaro R., et al. // http://www.nist.gov/aes

68. Menezes A. J., van Oorschot P.C., Vanstone S.A. Handbook of Applied Cryptography. CRC Press, 1996. - 780 p.

69. Moldovyan A. A., Moldovyan N. A. Software encryption algorithms for transparent protection technology // Cryptologia, January 1998. Vol. XXII, № 1. - P. 56-68.

70. Moldovyan A.A. Fast block ciphers based on controlled permutations // Computer Science Journal of Moldova. 2000. - Vol. 8, № 3. - P.270-283.

71. Moldovyan A.A., Moldovyan N.A. A cipher based on data-dependent permutations // Journal of Cryptology. 2002. - Vol. 15, № 1. - P.61-72.

72. Moldovyan N.A. Fast DDP-Based Ciphers: Design and Differential Analysis of Cobra-H64 // Computer Science Journal of Moldova. 2003. - Vol. 11, № 3. - P.292-315.

73. Moldovyan N.A., Moldovyan A.A. Flexible block ciphers with provably inequivalent cryptalgorithm modifications // Cryptologia. 1998. - Vol. XXII, № 2. - P. 134-140.

74. Moldovyan N.A., Summerville D.H. Fast software-oriented hash function based on data-dependent lookup operations //Computer Science Journal of Moldova. 2003. - Vol. 11, № 1. - P.73-87.

75. Murphy S. The power of NIST's Statistical Testing of AES candidates // http://csrc.nist.gov/CryptoToolkit/aes/round2/conf3/papers/09-smurphy.pdf

76. NESSIE security report. Preneel В., Biryukov A., Oswald E., Van Rompay В., et al. I I http://cryptonessie.org/.

77. Portz M., A generalized description of DES-based and Benes-based Permutation generators // LNCS. Springer-Verlag. - 1992. - Vol.718. -P.397-409.

78. Preliminary report on the NESSIE submissions: Anubis, Camellia, Khazad, IDEA, Misty 1, Nimbus and Q / Biham E., Dunkelman O., Furman V., Мог Т. // https://www.cosic.esat.kuleuven.ac.be/nessie/reports/tecwp301 lb.pdf.

79. Raddum H. The statistical evaluation of the NESSIE submission Khazad // https://www.cosic.esat.kuleuven.ac.be/nessie/reports/phasel/ khazadreport.pdf

80. Report on the development of the Advanced Encryption Standard (AES) / Nechvatal J., Barker E., Bassham L., Burv W., et al. // http ://csrc .nist.gov/encryption/ aes/round2/r2report.pdf

81. Rivest R.L. The RC5 Encryption Algorithm // Proceedings of the 2nd International Workshop, Fast Software Encryption (FSE-94), LNCS. -Springer-Verlag. 1995. - Vol. 1008. - P.86-96.

82. Serf P. The degree of completeness, of avalanche effect and of strict avalanche criterion for MARS, RC6, Rijndael, Serpent, and Twofish with reduced number of rounds //https://www.cosic.esat.kuleuven.ac.be/nessie/reports/ sagwp3-003 .pdf

83. The RC6 Block Cipher / Rivest R.L., Robshaw M.J.B., Sidney R., Yin Y.L. // http://theory.lcs.mit.edu/~rivest/rc6.pdf

84. Waksman A.A. Permutation Network // Journal of the ACM. 1968. -Vol.15, №1.-P.159-163.