SAFER

Шаблон:Картка блочного шифру SÁFER (Шаблон:Lang-en — безпечна і швидка процедура шифрування) — в криптографії сімейство симетричних блокових криптоалгоритмів на основі мережі замін-перестановок. Основний внесок в розробку алгоритмів вніс Джеймс Мессі. Перший варіант шифру був створений і опублікований в 1993 році. Хоча алгоритми SAFER не отримали статусу стандартів в США або ЄС, вони знайшли дуже широке застосування. Зокрема, SAFER+ використовується як основа протоколу аутентифікації в Bluetooth. Однак, в самому алгоритмі шифрування в Bluetooth цей алгоритм не використовується^[1].

Незважаючи на те, що в назві алгоритму фігурує слово «fast» (швидкий), за сучасними мірками алгоритми сімейства SAFER є досить повільними.

З точки зору криптостійкости навіть найперша версія алгоритму SAFER K-64 є абсолютно стійкою до диференціального криптоаналізу. Останній алгоритм сімейства — SAFER++, будучи значно модифікованим з урахуванням безлічі атак, здійснених на більш ранні версії алгоритму, став ще більш стійким. В даний час ніяких реально здійсненних атак на алгоритм, не знайдено^[1].

З огляду на те, наскільки далеко просунулися алгоритми SAFER за час свого існування — від SAFER K-64 до SAFER++, можна припустити, що на цьому розвиток цих алгоритмів не закінчений^[2].

Довжина блоку, що шифрується, і довжина ключа дорівнюють 64 бітам. Алгоритм є ітеративним блоковим шифром, тобто одна й та сама функція шифрування послідовно застосовується до вхідного блоку кілька разів, при цьому на кожному етапі використовуються різні ключі. У кожному раунді шифрування та дешифрування беруть участь два 64-бітових ключа.

Схему шифрування одного раунду алгоритму подано на схемі. Блок даних подається у вигляді 8-байтового масиву (байти нумеруються зліва направо від 1 до 8). Алгоритм є мережею замін-перестановок, у кожному раунді якої виконуються наступні операції:

1. На дані накладається 8-байтний фрагмент розширеного ключа ${\displaystyle K_{2i-1}}$, де ${\displaystyle i}$ — номер поточного раунду. Раунди нумеруються починаючи з 1. Байти ключа № 1, 4, 5 та 8 накладаються на аналогічні байти даних за допомогою побітової логічної операції «або» (XOR); для накладення решти байтів (№ 2, 3, 6 та 7) ключа використовується операція додавання за модулем 256.
2. Байти даних № 1, 4, 5 і 8 обробляються наступною операцією (у схемі позначена як Е): ${\displaystyle y=45^x\text{ mod }257}$, де ${\displaystyle x}$ — вхідне значення, а ${\displaystyle y}$ — вихідне значення цієї операції. Причому якщо ${\displaystyle y=256}$ (що відбувається за умови ${\displaystyle x=128}$), то його значення обнуляється: ${\displaystyle y=0}$. Інші байти даних (№ 2, 3, 6 та 7) обробляються наступною операцією (у схемі позначена як L): ${\displaystyle y=lo{g}_{45}\text{ mod }256}$, причому якщо ${\displaystyle x=0}$, то значення ${\displaystyle y=128}$.
3. Друге накладення ключа виконується аналогічно до першого (проте з використанням іншого фрагмента розширеного ключа, а саме ${\displaystyle K_{2i}}$), але з інверсним застосуванням операцій: байти, що в першому накладенні ключа опрацьовувалися операцією XOR, тут опрацьовуються додаванням за модулем 256, і навпаки.
4. Три рівні перетворень PHT (Pseudo Hadamard Transform, псевдоадамарове перетворення); операція РНТ виконує нескладне перетворення двох вхідних байтів даних (${\displaystyle x_1}$ та ${\displaystyle x_2}$), даючи в результаті два вихідні байти ${\displaystyle y_1}$ та ${\displaystyle y_2}$. Визначаються вони наступним чином: ${\displaystyle y_1=(2x_1+x_2)\text{ mod }256}$ та ${\displaystyle y_2=(x_1+x_2)\text{ mod }256}$. Між рівнями перетворень РНТ виконується перестановка байтів даних позначена на схемі.

   

   Байт №1 залишається на своєму місці, вхідне значення байта №2 стає вихідним значенням байта №4, вхідне значення байта №3 стає вихідним значенням байта №2, тощо.

Автор алгоритму рекомендує виконувати 6 раундів описаних вище перетворень (раунди позначаються як ${\displaystyle R}$), але допускає збільшення кількості раундів до 10. Після виконання ${\displaystyle R}$ раундів алгоритму застосовується вихідне перетворення, повністю аналогічне описаній вище операції першого накладення ключа; у цьому випадку застосовується останній із фрагментів розширеного ключа ${\displaystyle K_{2R+1}}$. Слід врахувати, що залежно від вимог до реалізації алгоритму описані вище операції Е та L можуть бути реалізовані напряму або у вигляді таблиць замін.^[2]

Перетворення РНТ у сукупності також можуть бути замінені множенням байтового масиву даних на матрицю М (у кінцевому полі GF(256)).^[2]

При розшифровуванні шифротекст насамперед піддається вхідному перетворенню за участю фрагмента розширеного ключа ${\displaystyle K_{2R+1}}$, що інверсно вихідному перетворенню при зашифровуванні: даних № 1, 4, 5 і 8 обробляються операцією XOR;

інші байти обробляються операцією віднімання:

, де

– вихідний байт;

– вхідний байт;

– відповідний байт фрагмента ключа, що накладається.

Після цього виконується R раундів розшифровування, у кожному з яких виконуються наступні дії:

1. Три рівні зворотного псевдоадамарового перетворення IPНТ (Inverse РНТ), яке визначається таким чином: ${\displaystyle y_1=(x_1-x_2)\text{ mod }256}$ та ${\displaystyle y_2=(-x_1+2x_2)\text{ mod }256}$. Між рівнями перетворень ІРНТ виконується перестановка байтів наведена на рисунку, яка зворотна перестановці, що використовувалася при зашифровуванні.

   

2. Зворотне друге накладення ключа: на дані накладається 8-байтний фрагмент розширеного ключа ${\displaystyle K_{2R+2-2i}}$. Байти ключа № 2, 3, 6 і 7 накладаються на аналогічні байти даних за допомогою операції XOR; для накладення інших байтів ключа використовується описана вище операція віднімання.
3. Зворотне нелінійне перетворення: байти даних № 1, 4, 5 і 8 обробляються операцією L; інші байти обробляються операцією E.
4. Зворотне перше накладення ключа, повністю аналогічне описаному вище вхідному перетворенню; тут використовується фрагмент розширеного ключа ${\displaystyle K_{2R+1-2i}}$

Як видно, при розшифровуванні відбувається виконання зворотних операцій у зворотному порядку. Перетворення ІРНТ також може бути замінено множенням на матрицю ${\displaystyle M^{-1}}$ (аналогічно описаному вище для РНТ).

Шаблон:Reflist

Шаблон:Блочні алгоритми шифрування Шаблон:Перекласти Шаблон:Алгоритм-доробити Шаблон:Криптографія-доробити