Режимы шифрования. 
Системные и прикладные аспекты

Режимами шифрования называют алгоритмы обработки данных, построенные на основе базового режима ЕСВ. Криптографическая стойкость СБШ определяется в основном стойкостью базового режима. Однако особенности различных режимов шифрования позволяют использовать СБШ для решения различных криптографических задач.

ЕСВ (простая замена).

В режиме простой замены ключу k соответствует подстановка Ек степени 22″, в соответствии с которой каждый блок открытого текста заменяется блоком шифрованного текста. Режим ЕСВ имеет следующие свойства:

• 1) при замене и перестановке блоков шифрогекста блоки расшифровываются корректно;
• 2) шифрование на одном ключе одинаковых блоков открытого текста дает одинаковые блоки шифрогекста независимо от их положения в сообщении;
• 3) в силу хорошего перемешивания информации шифрующими подстановками, что является общим свойством известных блочных шифров, каждый из 2п битов выходного блока у искажается с вероятностью ½ при искажении одного лишь случайно выбранного бита входного блока х. Единичная ошибка в блоке х порождает в среднем п ошибок внутри 2я-битового шифрблока у. На другие шифрблоки сообщения ошибка не распространяется.

При искажении битов выходного блока у соответствующий блок х расшифруется некорректно, а остальные блоки сообщения расшифруются верно. Если бит шифротекста потерян или добавлен в сообщение, то весь последующий текст сдвигается и расшифровывается некорректно. Для локализации последствий сдвига требуется контролировать границы блоков.

Свойства 1 и 2 позволяют криптоаналитику, контролируя защищенную шифром в режиме ЕСВ линию связи, определять частоты появления отдельных блоков и сообщений. В определенных условиях нарушитель может генерировать ложные сообщения, не зная ни ключа, ни алгоритма шифрования, даже если сообщения содержат метки времени (кодовые комбинации, позволяющие подтвердить подлинность времени генерации, отправки, … сообщения). В силу этих недостатков режим ЕСВ не используют для шифрования длинных сообщений, шифруются лишь короткие сообщения вспомогательного характера: пароли, сеансовые ключи и т. п.

Длина большинства сообщений не кратна 2п. Поэтому при шифровании последнего неполного блока данных возникает задача корректного определения алгоритма шифрования. Эта проблема решается с помощью различных способов дополнения блоков текста.

Простейший способ — дополнение неполного ш-битового блока открытого текста строкой длины 2п — т — 8 битов, например нулевой строкой, и байтом, где указано число 2п — т, равное дефициту последнего блока в битах. После этого дополненный блок шифруется обычным образом. Если 2п — т < 8, то длина сообщения увеличивается на один блок.

Второй способ называется похищением (stealing) шифротекста. Обозначим через v^m и w^m отображения V_r —> V_m и V_r —> V_r__m соответственно, где 1 < т < г, реализующие в совокупности «рассечение» блока (х_х,…, x_r) е V,.

на две части: v^m(x_x…х,) = {х_х, …, х_т), w^m(x_x…х_г) = (х_х+т…х,). Пусть x_t

и y_t есть неполные m-битовые блоки открытого и шифрованного текстов, x_t__x и у₍__х суть предыдущие полные блоки. Тогда шифрование определено формулами у, — v^m(E_k(x_t__x)), y_t_, = E_k(x_t, w^m(E_k(x_t__x)). При расшифровании нужно вычислить блок (0 = E_k~¹(y_t__x), после чего определить х, = «'» (ш) и x_t__x = E_k-'(y_r

СВС (сцепление блоков шифротекста). Режим СВС блочного шифра описывается уравнениями шифрования у, = E_k(x_t ®y_t__x), t= 1, 2,…, где случайный вектор у₀ е V_2n, называемый вектором инициализации (начальным вектором, синхропосылкой), вырабатывается перед каждым сообщением. Вектор у₀ может передаваться в линию связи и в открытом, и в шифрованном виде (в частности, с помощью режима ЕСВ). Однако важно избегать повторения синхропосылки в разных сообщениях, шифруемых одинаковым ключом. Это затрудняет атаку на шифротекст, основанную на наличии стандартов в начале сообщения. В качестве синхропосылки используется некоторая строка случайных байтов либо метка времени.

На рис. 15.2 дана блок-схема зашифрования (в верхней части) и расшифрования (в нижней части) в режиме СВС.

Рис. 15.2. Зашифрование-расшифрование в режиме СВС.

Искажение одного бита в блоке x_t влечет за собой искажение в среднем половины битов во всех блоках шифротекста, начиная с y_t. Для расшифрования это несущественно, так как восстановленный текст содержит ту же единственную ошибку.

Искажение /-го бита в блоке y_t (такие искажения возможны из-за шумов в линиях связи или сбоев в устройствах хранения) влечет искажение около половины битов в блоке x_t и /-го бита в блоке x_t+_x. Следующие блоки расшифровываются корректно (самовосстанавливаются). В то же время режим СВС совершенно не устойчив к ошибкам синхронизации.

Дополнение блоков выполняют, как в режиме ЕСВ, а если требуется совпадение длин исходного сообщения и криптограммы, то при неполном /w-битовом блоке x_t открытого текста соответствующий блок у₍ шифротекста вычисляется по формуле y_t = x_t © v^m(E_k(y_t_j)).

Второй способ — это вариант похищения шифротекста. Пусть а есть (2п — т) —битовая строка из нулей и со = E_k(x_t__{ 0 y_t.₂) — Тогда шифрование происходит по формулам y_t = гя (со), y_t__{ = E_k((x_t, а) © со). При расшифровании сначала вычисляется блок данных со' = E_k y_{t t}) Ф (y_t> а), после чего определяется x_t = ^^w(co'), x_t__x = Е^(у_п w^m(со')) 0 y_t_₂•.

CFB (гаммирование с обратной связью по шифротексту). В некоторых ситуациях, когда требуется шифровать символы поступающего потока, не дожидаясь формирования целого блока данных, удобен режим CFB. Обозначим CFB-m режим шифрования, в котором блоки открытого и шифрованного текстов имеют длину т битов (т — параметр), 1 < т < 2п. Для сообщения, состоящего из байтов, удобно взять т = 8. Блочный шифр в режиме CFB-m моделируется моноключевым ш. а. ⁼ №? Т, К, 2, h_y f_m), где X = Y = V_w S = V_2n, z = s_x — нс зависящая от ключа k синхропосылка, для функций f_rn и h выполнено: у_{ = k, x_t) = v^{, n}(E_k(s_t)) 0 x_t, s_t+x = = h (s_ty ky x_t) = (w^m(s_t)y y_t)y t = 1, 2, … На рис. 15.3 показана схема зашифрования (в левой части) и расшифрования (в правой части) в режиме CFB-m. В обеих процедурах базовый режим используется только для шифрования (реализация подстановки Ef^x не требуется).

Рис. 153. Схема зашифрования-расшифрования в режиме СРВ-т.

Рекомендации по синхропосылке те же, что и в режиме СВС. Искажение одного бита в блоке х₍ влечет искажение одного бита в у_{ и в среднем половины битов во всех блоках шифротекста, начиная с у_м, но при расшифровании получается открытый текст с той же единственной ошибкой. Искажение г-го бита в блоке у, влечет искажение г-го бита в блоке х,. Затем ошибка поступает в регистр состояний и искажает в среднем половину битов в каждом из следующих / блоков, где [2п / т] < I < ]2п / т. В дальнейшем блоки расшифровываются корректно. Режим СРВ, как и ССПШ, самостоятельно восстанавливается после ошибок синхронизации.

ОРВ (гаммирование или внутренняя обратная связь). Блочный шифр в режиме гаммирования можно рассматривать как синхронный шифр гаммирования, обрабатывающий ш-битовые блоки открытого и шифрованного текста (обозначим режим ОРВ-те). Этот шифр моделируется моноключевым ш. а. Л$_рв = (X, 5, У, К, г, /г,/_т), где X = У = Р_ш, 5 = У_2п, 2 = — не зависящая от ключа к синхропосылка, для функций /", и /г верно у, = к, х,) = = 0^т(?^(5_г" © х_{, л>₊₁ = /г (х₍, к) = у^т{Е_к^))), г = 1, 2,… На рис. 15.4.

показана схема зашифрования (в левой части) и расшифрования (в правой части) в режиме ОРВ-т. В обеих процедурах базовый режим используется только для зашифрования.

Рис. 15.4. Схема зашифрования-расшифрования в режиме ОРВ-т.

При использовании режима ОРВ важно сохранять синхронизм. Для этого необходимо предусмотреть средство контроля над синхронизмом и средство восстановления синхронизма в случае его потери. Рекомендации по синхропосылке те же, что и в режимах СВС и СРВ-т.

В режиме ОРВ ошибки не распространяются, что является позитивным при передаче оцифрованных речевых сигналов или видеоизображений.

Использование ряда СБШ в режиме ОБВ ограничено из-за относительно коротких длин периодов генерируемой гаммы. Например, при случайном равновероятном выборе начального состояния я, длина периода гаммы, генерируемой ?)?5-алгоритмом в режиме ОРВ, с большой вероятностью не превышает 2³².

Рассмотрим другие режимы шифрования, их разработка стимулировалась стремлением устранить некоторые недостатки четырех основных режимов.

ВС-сцепление блоков. Режим ВС задан равенством

где у₀ — синхропосылка. Основной недостаток режима ВС в том, что единичная ошибка в шифротексте влечет некорректное расшифрование всех последующих блоков шифротекста.

РСВС-сцепление блоков шифротекста с распространением ошибки.

Режим РСВС, заданный равенствами у, = E_k(x_t ® y_t__x ® t = 1,2, использован в протоколе Kerberos 4 для реализации как шифрования, так и проверки целостности в ходе единого ряда вычислений. В режиме РСВС единичная ошибка в шифротексте влечет некорректное расшифрование всех последующих блоков шифротекста, что используется для проверки целостности сообщений. Однако если целостность проверяется лишь для завершающего отрезка текста, то можно не обнаружить перестановки пары шифрблоков в начале текста. Это свойство заставило разработчиков отказаться от данного режима в пользу СВС в следующей версии протокола Kerberos.

OFBNLF — нелинейная обратная связь по выходу. Режим OFBNLF наследует некоторые свойства режимов OFB и ЕСВ. Функционирование в режиме OFBNLF моделируется мультиключевым ш. а., ключ изменяется при шифровании каждого блока данных: у, = Е_к (х,) k,= E_k(k_t__f); ?=1,2,… Единичная ошибка в шифротексте распространяется только на один блок открытого текста, однако требуется поддержка синхронизма. Время обновления текущего значения ключа должно быть небольшим, чтобы не снижать скорость шифрования данных базовым алгоритмом.