Безопасность шифров, основанных на однонаправленных хэш-функциях
Хотя эти конструкции и могут быть безопасными, они зависят от используемой однонаправленной хэш-функции. Хорошая однонаправленная хэш-функция не обязательно дает безопасный алгоритм шифрования. Существуют различные криптографические требования. Например, линейный криптоанализ бесполезен против однонаправленных хэш-функциях, но действенен против алгоритмов шифрования. Однонаправленная хэш-функция, такая как SHA, может обладать определенными линейными характеристиками, которые, не влияя на ее безопасность как однонаправленной хэш-функции, могут сделать небезопасным ее использование в таком алгоритме шифрования, как MDC. Мне неизвестно ни о каких результатах криптоанализа использования ко н-кретной однонаправленной хэш-функции в качестве блочного шифра. Прежде чем использовать их дождитесь проведения подобного анализа.
 |  | ||||||||
 |  | ||||||||
 | |||||||||
|
| Выходно значение |
Блок сообщения
у Выходное значение
Ключ
Хэш-функция
Открытый_ текст
Г
-е-
> Шифротекст
(а) Хэш-функция (b) Хэш-функция как блочный шифр в режимеCFB
Рис. 14-5. Шифр краткого содержания сообщения (MDC).
14.12 Выбор блочного алгоритма
Это очень трудное решение. DES почти наверняка небезопасен при использовании против правительств в е-ликих держав, если только вы не шифруете одним ключом очень малые порции данных. Возможно этот алг о-ритм пока неплох против кого-нибудь другого, но вскоре и это изменится. Машины для вскрытия ключа DES грубой силой скоро станут по карману всем организациям.
Предложенные Бихамом зависимые от ключа S-блоки DES будут безопасны в течение по крайней мере н е-скольких лет, может быть за исключением использования против самых хорошо обеспеченных противников. Если необходимая безопасность должна быть обеспечена на десятилетия, или вы опасаетесь криптоаналитич е-ских усилий правительств великих держав, воспользуйтесь тройным DES с тремя независимыми ключами.
| о- |
| е- |
Небеполезны и другие алгоритмы. Мне нравится Blowfish, потому что он быстр, и потому что я его прид у-мал. Неплохо выглядит 3-WAY, возможно все в порядке и с ГОСТом. Проблема посоветовать что-нибудь с стоит в том, что NSA почти наверняка обладает набором эффективных криптоаналитических приемов, которые до сих пор засекречены, и я не знаю, какие алгоритмы могут быть вскрыты. В Табл. 14.3 для сравнения прив дены временные соотношения для некоторых алгоритмов.
Мой любимый алгоритм - IDEA. Его 128-битовый ключ в сочетании с устойчивостью к общеизвестным средствам криптоанализа - вот источники моего теплого и нежного чувства к этому алгоритму. Этот алгоритм анализировался различными группами, и никаких серьезных замечаний не было опубликовано. В отсутствие необычайных криптоаналитических прорывов я сегодня ставлю на IDEA.
Табл. 14-3. Скорости шифрования для некоторых блочных шифров Hai486SX/33 МГц
Алгоритм
Blowfish (12 этапов)
Скорость шифрования (Кбайт/с)
Алгоритм
MDC (с MD4)
Скорость шифрования (Кбайт/с)
| Blowfish (16 этапов) | MDC (c MD5) | ||
| Blowfish (20 этапов) | MDC (c SHA) | ||
| DES | NewDES | ||
| FEAL-8 | REDOC II | ||
| FEAL-16 | REDOC III | ||
| FEAL-32 | RC5-32/8 | ||
| ГОСТ | RC5-32/12 | ||
| IDEA | RC5-32/16 | ||
| Khufu (16 этапов) | RC5-32/20 | ||
| Khufu (24 этапов) | SAFER (6 этапов) | ||
| Khufu (32 этапов) | SAFER (8 этапов) | ||
| Luby-Rackoff (cMD4) | SAFER (10 этапов) | ||
| Luby-Rackoff (cMD5) | SAFER (12 этапов) | ||
| Luby-Rackoff (cSHA) | 3-Way | ||
| Lucifer | Тройной DES |