Псевдокод алгоритму дешифрування тексту, зашифрованого алгоритмом Rijndael

InvCipher (byte in [4*Nb], byte out [4*Nb], word w [Nb*(Nr+1)])

begin

byte state [4, Nb]

state = in

AddRoundKey (state, w [Nr*Nb, (Nr+1)*Nb-1])

for round = Nr -1 step -1 downto 1

InvShiftRows (state)

InvSubBytes (state)

AddRoundKey (state, w [round*Nb, (round + 1)*Nb – 1])

InvMixColumns (state)

end for

InvShiftRows (state)

InvSubBytes (state)

AddRoundKey (state, w [0, Nb – 1])

out = state

end

 

Режим ECB

ECB – Electronic Code Book – електронна кодова книга, являє собою найпростіший стандартний спосіб використання блочного шифру, але він слабо захищений від атак з вилученнями та вставками. Крім того, помилка, зроблена в одному біті шифротексту, впливає на увесь блок у розшифрованому тексті. Дані m, що треба зашифрувати, поділяються на блоки довжиною n бітів:m₁, m₂, …., m_q.

Останній блок доповнюється до довжини n. До блоків застосовується функція кодування, значенням якої є зашифрований блок.C_i = E_k(m_i).Дешифрування є оберненням функції шифрування m_i = D_k(C_i), де D_k = E_k^-1.

З режимом ECB пов’язана низка проблем. Перша виникає внаслідок того, що однакові блоки мають однакові шифри. (m_i = m_j Þ C_i = C_j). Це дійсно проблема, оскільки часто шаблонні початок та кінець повідомлення збігаються.

Друга проблема пов’язана з тим, що вилучення з повідомлення деякого блока не залишає слідів, і особа, що атакує, може викривити інформацію.Третя проблема пов’язана зі вставкою зловмисником блоків у чуже повідомлення.Таким атакам можна протидіяти, додаючи у повідомлення контрольні суми декількох блоків відкритого тексту або використовуючи режим, у якому до кожного блоку шифротексту додається «контекстний ідентифікатор».

Режим CBC

CBC (Cipher Block Chaining - зчеплення шифрованих блоків) - найбільш поширений спосіб експлуатації блочного шифру, оскільки призначений для запобігання втратам в результаті атаки з вилученнями та вставками. Помилковий біт шифротексту не тільки перетворює помилковий блок, у якому міститься, але і псує біт у наступному блоці відкритого тексту, що можна легко визначити і сприймати як сигнал про атаку.У режимі CBC формування коду поточного блоку здійснюється з урахуванням шифру попереднього блоку. При цьому виникає зчеплення блоків, що знайшло свій відбиток у назві режиму. Кодування блоків відбувається згідно з виразами C₁ = E_k (m₁ Å IV), C_i = E_k (m_i Å C_i-1), i > 1.

У обчисленні шифру першого блоку використовується початкове значення IV (вектор ініціації), яке можна розглядати як елемент функції шифрування. Режим забезпечує нерівність шифрованих блоків при однакових відкритих текстах цих блоків. На практиці цю величину передають у відкритому вигляді як частину повідомлення.

Розшифровування здійснюється у відповідності з наступними виразами m₁ = D_k (C₁) Å IV, m_i = D_k (C_i) Å C_i-1, i > 1.

 

Режим OFB

OFB (Output FeedBack – зворотний зв’язок за виходом). При цьому методі блочний шифр фактично перетворюється у потоковий. Помилковий біт у шифротексті дає тільки один помилковий біт у розшифрованому тексті. В поданому режимі довжина блоку s вибирається з фіксованого діапазону: 1 £ s £ n, де n – кількість бітів вектору ініціації IV. За допомогою блочного шифру створюється потік ключів довжиною s бітів. Рекомендується брати s = n, оскільки при цьому очікувана довжина періоду потоку ключів досягає максимального значення. Процес шифрування можна описати наступними співвідношеннями

O₀ IV,

O_i E_k(O_i-1),

C_i P_i Å MSB_s(O_i),

де MSB_s(O_i) – старші (ліві) s бітів числа O_i.

Відповідна схема шифрування, показана на рис. 2.7.

Спочатку змінній O₀ присвоюється початкове значення IV. Потім, при i = 1, 2, …, q виконуються перетворення: O_i = E_k (O_i-1), e_i = s розташованих ліворуч бітів блоку O_i,

C_i = m_i Å e_i.

 

Режим CFB

CFB (Cipher FeedBack – зворотний зв’язок за шифром). Подібно до попереднього способу цей метод перетворює блочний шифр у потоковий. Помилка у зашифрованому тексті впливає як на власний блок, так і на наступний у відкритому тексті.

Режим CFB відрізняється від попереднього тим, що кожний наступний аргумент функції шифрування утворюється шифротекстом (рис. 2.9). Послідовність операцій при цьому має наступний вигляд.

O₀ IV, C₀ e

O₁ E_k(IV)

O_i E_k(LSB_n-s(O_i-1) || C_i-1), i ³ 2

C_i m_i Å MSB_s(O_i),

де LSB_n-s(O_i) – молодші (праві) n-s бітів числа O_i, символом «||» позначено операцію конкатенації, e - пустий рядок.

Схема шифрування CFB показана на рис. 2.9, а дешифрування – на 2.10.

 

Режим CTR

CTR (Counter – лічильник). Цей метод передбачає шифрування поточного стану лічильника і застосування порозрядного XOR до отриманого шифру і поточного сегменту відкритого тексту.

C_tr0 IV,

C_tri C_tri-1 + 1,

C_i m_i Å E_k(C_tri).

Дешифрування відбувається згідно з виразом

m_i C_i Å E_k(C_tri).

Оскільки у поданому методі зворотний зв’язок не використовується, алгоритми шифрування і дешифрування можуть виконуватися паралельно.

Контроль дійсності повідомлень за допомогою блочного шифру

Блочні шифри можуть не тільки забезпечувати конфіденційність повідомлень, але і контролювати цілісність даних. Припустимо сторони, що обмінюються секретною інформацією, хочуть бути впевнені в тому, що інформація не була викривлена при передаванні.

Вони можуть скористатися спільним секретним ключем і алгоритмом з ключем (наприклад, блочним шифром) для генерації контрольного значення, що відсилається разом з даними. Такі значення називають кодами автентичності повідомлень (Message Authentication Codes – MAC):

MAC = F (k, m),

де F – контрольна функція, k – секретний ключ, m – повідомлення. Існує декілька типів MAC, але найбільш розповсюджена – це CBC-MAC. Цей код узагальнює режим CBC блочного шифрування. Процедура отримання MAC виглядає наступним чином.Спочатку дані доповнюються так, щоб їх можна було розбити на серію n-бітових блоків. Отримані блоки шифруються блочним шифром в режимі CBC. Останній блок після необов’язкової процедури, що відкидає молодші n – m біти, утворює m-бітовий код автентичності MAC. Таким чином, якщо m₁, …, m_q - n-бітові блоки відкритого тексту, то обчислення MAC можна описати наступним чином:l₁ = E_k(m₁), l₂ = E(l₁ Å m₂), …, l_i = E(l_i-1 Å m_i), …, l_q = E(l_q-1 Å m_q).Якщо використовується m-бітовий MAC, і m < n, то MAC = F(l_q), де F – функція, що відкидає молодші біти свого аргументу. У випадку m = n, MAC = l_q.

Міжнародні стандарти пропонують три способи доповнення відкритого тексту до отримання довжини кратної довжині блоку.Всі додаткові символи – нулі. Цей метод має недолік, що полягає у неможливості виявлення додавання, переміщення або вилучення нулів, якщо невідома довжина оригінального повідомлення.В кінці доданої послідовності нулів вставляється одна одиниця, що є міткою кінця повідомлення.Крім доданих нулів, в кінці повідомлення додається спеціальний блок, що містить інформацію про довжину відкритого тексту.Стандарти пропонують два можливих необов’язкових заключних кроки, розроблених для ускладнення здійснення зловмисником атак методом повного перебору:вибрати ключ k₁ і обчислити l_q = E(k, D(k₁, l_q));вибрати ключ k₂ і обчислити l_q = E(k₂, l_q).

Інший спосіб встановлення автентичності оснований на криптографічних хеш-функціях. При цьому секретний ключ приєднується до повідомлення, і все разом подається на вхід хеш-функції. На виході хеш-функції отримують MAC.

 

Потокові шифри

При шифруванні великого об’єму даних (аудіо, відео) у реальному часі потрібні більш швидкі алгоритми, ніж блочні. В цих випадках застосовують потокові шифри, що схожі на одноразовий шифр-блокнот. Суть потокового шифрування полягає у додаванні за модулем 2 бітів потоку ключів до бітів повідомлення. Однак, замість фіксованого потоку ключів, який застосовувався у ранніх потокових шифрах і був секретним ключем, у сучасних системах потік ключів генерується з основного ключа за допомогою однозначно визначених детермінованих алгоритмів.

Під впливом секретного ключа на виході генератора ключового потоку утворюється послідовність бітів, зовні схожа на випадкову. Ця послідовність однозначно визначається ключем. Тому на передавальному та приймальному боці ідентичні послідовності.Кожний біт створеної послідовності додається за модулем 2 до поточного біту повідомлення c_i = k_i + m_i, m_i = c_i + k_i.

Припустимо зловмисник отримав два шифротексти С_k, С_l. Якщо ці шифротексти утворені за допомогою одного ключа K, то зловмисник може отримати суму за модулем 2 відповідних відкритих текстів С_k Å С_l = M_k Å K Å M_l Å K = M_k Å M_l. Таким чином, у зловмисника виникає можливість отримати деяку інформацію, використовуючи шифровані тексти. Це небажано, і тому ключ змінюють або після його застосування для деякого повідомлення, або після застосування впродовж сеансу зв’язку (декілька повідомлень в обох напрямках).Щоб надати шифру необхідну стійкість, генератор ключового потоку виробляє послідовність бітів з певними властивостями.Ключовий потік повинен мати великий період. Оскільки ключовий потік утворюється в результаті детермінованого процесу з основного (секретного) ключа, знайдеться таке число n, що k_i = k_i+n для усіх значень i. Число n називається періодом послідовності.

Ключовий потік повинен мати псевдовипадкові властивості. Інакше кажучи, генератор послідовності повинен пройти певну кількість статистичних тестів на випадковість.

Алгоритм генерації ключового потоку повинен мати лінійну складність (бути нескладним).І, нарешті, головна властивість – поновлення послідовності при відомій початковій частині повинно бути нездійснимим в обчислювальному відношенні. В ідеалі, навіть якщо відомий перший мільярд бітів ключової послідовності, ймовірність угадати наступний біт неповинна перебільшувати 1 / 2.