Алгоритм SPEED

SPEED
SPEED
Создатель	Чжэн Юлян
Создан	1997 год
Опубликован	1997 год
Размер ключа	48-256 бит (кратное 16)
Размер блока	64, 128 или 256 бит
Число раундов	≥ 32 (кратное 4)
Тип	Сеть Фейстеля

SPEED (Secure Package for Encrypting Electronic Data) — это алгоритм блочного симметричного шифрования, разработанный австралийским криптографом Чжэн Юляном^[англ.], работавшим в университете Монаша. Основные параметры: раунд, длина блока и длина ключа являются переменными, в этом алгоритм похож на более известный аналог RC5.

Описание

Шифрование по алгоритму SPEED состоит из двух этапов. Процедура расширения ключа и непосредственно шифрование. Для дешифрования выполняется сначала процедура расширения ключа, а затем операции, обратные процедуре шифрования.

Параметры

Так как алгоритм SPEED имеет переменные параметры, то для спецификации алгоритма с конкретными параметрами принято указывать (W,L,R)^[1], где:

W — это размер блока шифруемых данных, который может принимать значения: 64, 128 и 256 бит соответственно.

L — это размер ключа, который принимает значение L диапазоне от 48 до 256 бит, которое кратно 16.

R — это количество раундов преобразований. Количество преобразований при этом должно быть не менее 32 и кратно 4.

Шифрование

SPEED, применяя ключ К длиной L бит, преобразует открытый текст M из W бит в зашифрованный С той же длины.

Криптографический ключ K, представляющий собой строку из L бит, сначала расширяется с помощью функции планирования ключей на четыре ключа K1, K2, K3 и К4. Каждый из этих ключей состоит из R цикловых ключей, где указано количество раундов в каждом проходе.

Открытый текст M представляется как 8 строк, ${\tfrac {W}{8}}$ бит каждый. Эти 8 строк обрабатываются в фазах P1, P2, P3 и P4 последовательно. Каждая фаза называется проходом и включает в себя ключи К1, К2, К3, К4 соответственно . На выходе мы получим зашифрованный текст С из открытого М.

Все 4 фазы внутреннего прохода P1, P2, P3, P4 работают одинаково, хотя в каждом проходе используется отдельный подключ К1, К2, К3, К4, а также разные нелинейные функции для побитовых логических операций. Ниже на рисунке представлены эти функции^[1]:

Фаза 1(P₁): F₁(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₆X₃ $\oplus$ X₅X₁ $\oplus$ X₄X₂ $\oplus$ X₁X₀ $\oplus$ X₀

Фаза 2(P₂): F₂(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₆X₄X₀ $\oplus$ X₄X₃X₀ $\oplus$ X₅X₂ $\oplus$ X₄X₃ $\oplus$ X₄X₁ $\oplus$ X₃X₀ $\oplus$ X₁

Фаза 3(P₃): F₃(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₅X₄X₀ $\oplus$ X₆X₄ $\oplus$ X₅X₂ $\oplus$ X₃X₀ $\oplus$ X₁X₀ $\oplus$ X₃

Фаза 4(P₄): F₄(X₆,X₅,X₄,X₃,X₂,X₁,X₀) = X₆X₄X₂X₀ $\oplus$ X₆X₅ $\oplus$ X₄X₃ $\oplus$ X₃X₂ $\oplus$ X₁X₀ $\oplus$ X₂

Расширение ключа

Ключ шифрования/дешифрования K для SPEED представляет собой двоичную строку из L бит, где L является целым числом от 48 до 256 и делится на 16. Функция планирования ключей состоит в том, чтобы «расширять» ключ K на R фрагментов циклового ключа, необходимых для R раундов обработки.

Порядок расширения ключа

Основной блок данных в планировании ключей — это двухбайтовые данные. Таким образом, ${\tfrac {L}{8}}$ байтный ключ сначала переводится во внутренние ${\tfrac {L}{16}}$ двухбайтовые блоки данных kb₀,kb₁, …, kb_{${\tfrac {L}{16}}$ -1}.

Также в процессе расширения ключа принимают переменные S₀, S₁, S₂. Их размер составляет также 2 байта. Их начальное значение равняется константам Q₀, Q₁, Q₂ соответственно, значение которых прямо зависит от размера ключа шифрования. Значения Q₀, Q₁, Q₂ получают из констант дробной части числа ${\sqrt {15}}$ . Первые три константы из дробной части используются для случая L = 48, следующие три для L = 64 и так далее. Таким образом, в общей сложности 42 константы требуются для 14 различных длин ключей. Эти константы показаны ниже в шестнадцатеричной форме.

DF7B	D629	E9DB	362F	5DO0	F20F	C3D1
IFD2	589B	4312	91EB	718E	BF2A	IETD
B257	77A6	1654	6B2A	0D98	A9D3	668F
19BE	F855	6D98	022D	E4E2	D017	EA2F
7572	C3B5	1086	480C	3AA6	9CAO	98F7
DOE4	253C	C901	55F3	9BF4	F659	D76C

Алгоритм планирования ключей расширяет наш массив до kb_last-1, где last = ${\tfrac {R}{2}}$ при W = 64, last = R при W = 128, last = 2R при W = 256.

Дальнейший процесс расширения можно представить в виде нескольких шагов^[1]:

На переменные S₀, S₁, S₂ действует функция G, которая представляется собой побитовую операцию G(S₂, S₁, S₀) = S₂,S₁ $\oplus$ S₁,S₀ $\oplus$ S₀,S₂ (Здесь S_iS_j побитовое И, а S_i $\oplus$ S_j битовый XOR). Мы получаем T = G (S₀,S₁, S₂)
Полученный результат поворачивает вправо на 5 бит.
Далее T = T + S2 + kb[j] (mod 2¹⁶), где i=j (mod ${\tfrac {L}{16}}$ ).
Происходит сдвиг переменных S₀, S₁, S₂ и новое значение T становится значением переменной S₀: kb[i]=T S₂=S₁ S₁=S₀ S₀=T
Этот шаг переводит last двухбайтовые данные kb₀, kb₁, …, kb_last-1 в R цикловых ключей, каждый из которых состоит из ${\tfrac {W}{8}}$ бит. Перевод поддерживает порядок двухбайтовых данных.

Полезные свойства

Побитовая нелинейная логическая операция используется в каждом раунде. Чтобы усилить шифр против дифференциальной атаки на выходе операции применяется циклический сдвиг, зависящий от данных. Использование максимально нелинейной булевой функции в побитовой булевой операции помогло бы предотвратить линейную атаку^[2].

Дешифрование

В качестве шифра с закрытым ключом SPEED использует один и тот же ключ как для шифрования, так и для дешифрования. Чтобы расшифровать зашифрованный текст C с помощью ключа K, происходит весь процесс работы алгоритма в обратном порядке, за исключением планирования ключей, который остается неизменным. Другими словами внутренние операции каждого P_i, где i = 1, 2, 3, 4, будут проводиться в обратном порядке^[1].

Преимущества и недостатки

Простой и компактный в реализации: при реализации алгоритма на языке программирования C его объём занимает всего около 3 килобайт.
Алгоритм подвержен различным криптоатакам: дифференциальный криптоанализ и атака на связанные ключи.

Повышения криптоустойчивости можно добиться, увеличивая количество раундов, но это негативно влияет на производительность. Быстродействие алгоритма значительно падает, и становится в несколько раз меньше быстродействия аналогичного криптоустойчивого алгоритма RC5^[3].

Примечания

↑ ¹ ² ³ ⁴ First International Conference, FC '97, Anguilla, British West Indies, February 24-28, 1997. Proceedings p.71-89
↑ SEBERRY,J., ZHANG,X. M., AND ZHENG,Y. Nonlinearity and propagation characteristics of balanced boolean functions. Information and Computation 119, 1 (1995)
↑ Cryptanalysis of SPEED by Chris Hall , John Kelsey, Vincent Rijmen, Bruce Schneier, David Wagner

Ссылки

First International Conference, FC '97, Anguilla, British West Indies, February 24-28, 1997. Proceedings p.71-89
Cryptanalysis of SPEED by Chris Hall , John Kelsey , Vincent Rijmen , Bruce Schneier , David Wagner
SEBERRY,J., ZHANG,X. M., AND ZHENG,Y. Nonlinearity and propagation characteristics of balanced boolean functions. Information and Computation 119, 1 (1995).

[multiple-1] ¹ ² ³ ⁴ First International Conference, FC '97, Anguilla, British West Indies, February 24-28, 1997. Proceedings p.71-89

[2] SEBERRY,J., ZHANG,X. M., AND ZHENG,Y. Nonlinearity and propagation characteristics of balanced boolean functions. Information and Computation 119, 1 (1995)

[3] Cryptanalysis of SPEED by Chris Hall , John Kelsey, Vincent Rijmen, Bruce Schneier, David Wagner

[1]

[2]

[3]

Симметричные криптосистемы
Потоковые шифры	A3 A5 A8 Decim F-FCSR Grain HC-256 KCipher-2 MICKEY MUGI PIKE Phelix RC4 Rabbit SEAL SNOW SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Сеть Фейстеля	ГОСТ 28147-89 (Магма) Blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Cobra DEAL DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 SEED Simon Sinople Skipjack SM4 Speck TEA XTEA XXTEA Raiden RTEA Triple DES Twofish
SP-сеть	Кузнечик 3-WAY ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing BassOmatic BelT CRYPTON Diamond2 Grand Cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer Present Rainbow SAFER SHARK SQUARE Serpent Threefish
Другие	FROG NUSH REDOC SC2000 SHACAL CS-Cipher