Сеть Фейстела.

Требования к шифрам первого поколения.

Дифференциальный и линейный криптоанализ

В 70-е годы ХХ века, когда разрабатывались шифры «первого» поколения (DES, ГОСТ 28147-89 и др.) основной доминантой при проектирования шифров было обеспечение заданной криптостойкости при минимальных требованиях к сложности, а значит и к ресурсоемкости реализации.

Сбалансированная сеть Фейстеля – способ реализации итерированного блочного шифра.

Итерированный блочный шифр, имеющий архитектуру сеть Фейстеля, определяется следующим образом.

Блок открытого текста М разбивается на два подблока

Зашифрование

L₀ – левая половина блока М;

R₀ – правая половина блока М.

L_i = R_i-1

R_i = L_i-1 XOR f( R_i-1, K_i ) ( 5.3.2 )

i = 1,2, … , N_ц -1

Для последнего цикла

L _NR = L _Nц-1 XOR f( R _{NR -1}, k_NR )

R _NR = R _{NR -1} ( 5.3.3

С = L _NR || R _NR

где

f – произвольная (возможно необратимая) функция, часто называемая функцией шифрования;

С – криптограмма.

Расшифрование

LD₀ – левая половина криптограммы С;

RD₀ – правая половина криптограммы С.

LD_i = RD_i-1

RD_i = LD_i-1 XOR f( RD_i-1, K _NR+1-i ) ( 5.3.5 )

i = 1,2, … , NR -1

Для последнего цикла NR

LD_NR = LD _NR-1 XOR f( RD _{NR -1}, k₁ )

RD _NR = RD _{NR -1} ( 5.3.6 )

М = LD _NR || RD _NR ( 5.3.7 )

Свойства:

- Гарантируется обратимость преобразования независимо от вида функции шифрования, которая может быть даже небратимой.

- Преобразование последнего раунда по внешнему виду отличается от остальных.

- Обратное преобразование может быть реализовано на той же схеме, что и прямое преобразование при инверсном порядке использования элементов расширенного ключа.

- В каждом цикле преобразуется только половина входного блока, а вторая половина без изменения копируется, но только меняет положение.

2.8. Блочный шифр ГОСТ 28147-89.