Патенты и лицензии
Криптоанализ LOKI91
9,
1, 25, 17,
2, 26, 18, 10,
И,
28, 20, 12,
4,
32,
24,
16,
8,
31,
23, 15,
7,
20,
22,
14,
6,
29, 21, 13,
5,
28,
20,
12,
4,
27,
19,
И,
3,
26, 18, 10,
2,
25,
17,
9,
48-битовый результат делится на четыре 12-битовых блока, для каждого из которых выполняется следующая подстановка с использованием S-блока: берется каждый 12-битовый вход, по 2 крайних левых и крайних пр а-вых бита используются для получения номера г, в 8 центральных бит образуют номер с. Результатом S-блока -О - является следующее значение:
0(г,с) = (с + ((г* 17) © Oxff) & Oxff)31 mod Pr
Pr приведено в Табл. 13-2.
Табл. 13-2.
Pr
г: | 1, | 2, | з, | 4, | 5, | 6, | 7, | 8, | 9, | 10, | И, | 12, | 13, | 14, | 15, | |
Pr- | 375, | 279, | 391, | 395, | 397, | 415, | 419, | 425, | 433, | 445, | 451, | 463, | 471, | 477, | 487, |
Затем четыре 8-битовых результата снова объединяются, образуя 32-битовое число, которое подвергается операции перестановки, описанной в Табл. 13-3. Наконец для получения новой левой половины выполняется XOR правой половины с прежней левой половиной, а левая половина становится новой правой половиной. П о-сле 16 этапов для получения окончательного шифротекста снова выполняется XOR блока и ключа.
Табл. 13-3. Перестановка с помощью P-блока
32, 24^ \6, 8^ Ъ\, 23, \5, Т, 30^ 22^ 14, 6, 29, ТА, \Ъ, ^
28, 20, 12, 4, 27, 19, И, 3, 26, 18, 10, 2, 25, 17, 9, 1
Подключи из ключа выделяются достаточно прямолинейно. 64-битовый ключ разбивается на левую и пр а-вую половины. На каждом этапе подключом является левая половина. Далее она циклически сдвигается влево на 12 или 13 битов, затем после каждых двух этапов левая и правая половины меняются местами. Как и в DES для шифрования и дешифрирования используется один и тот же алгоритм с некоторыми изменениями в испол ь-зовании подключей.
Кнудсен предпринял попытку криптоанализа LOKI91 [854, 858], но нашел, что этот алгоритм устойчив к дифференциальному криптоанализу. Однако ему удалось обнаружить, что вскрытие со связанными ключами для выбранных открытых текстов уменьшает сложность вскрытия грубой силой почти вчетверо. Это вскрытие использует слабость использования ключа и может быть также применено, если алгоритм используется в кач е-стве однонаправленной хэш-функции (см. раздел 18.11).
Другое вскрытие со связанными ключами может вскрыть LOKI91 с помощью 2 32 выбранных открытых текстов для выбранных ключей или с помощью 248 известных открытых текстов для выбранных ключей [158]. Это вскрытие не зависит от числа этапов алгоритма. (В той же работе Бихам вскрывает LOKI89, используя кри п-тоанализ со связанными ключами, с помощью 217 выбранных открытых текстов для выбранных ключей или с помощью 233 известных открытых текстов для выбранных ключей.) Несложно повысить устойчивость LOKI91 к вскрытию такого типа, усложнив схему использования ключа.
LOKI не запатентован. Кто угодно может реализовать алгоритм и использовать его. Исходный код, прив е-денный в этой книге, написан в Университете Нового Южного Уэльса. При желании использовать эту реализ а-цию (или другие реализации, которые на несколько порядков быстрее) в коммерческом продукте обращайтесь к Директору CITRAD, Факультет компьютерных наук, Университетский колледж, Университет Нового Южного Уэльса, Академия австралийских вооруженных сил, Канберра, Австралия (Director CITRAD, Department of Computer Science, University College, UNSW, Australian Defense Force Academy, Canberra ACT 2600, Australia; FAX: +61 6 268 8581.