Threefish
| Threefish | |
| Создатель: |
Группа специалистов во главе с Брюсом Шнайером |
|---|---|
| Создан: |
2008 г. |
| Опубликован: |
2008 г. |
| Размер ключа: |
256/512/1024 бит |
| Размер блока: |
256/512/1024 бит |
| Число раундов: |
72 (80 при ключе 1024 бит) |
| Тип: | |
Threefish — в криптографии симметричный блочный криптоалгоритм, разработанный группой специалистов во главе с автором Blowfish и Twofish, американским криптографом Брюсом Шнайером в 2008 году для использования в хэш-функции Skein и в качестве универсальной замены существующим блочным шифрам. Основными принципами разработки шифра были: минимальное использование памяти, необходимая для использования в хэш-функции устойчивость к атакам, простота реализации и оптимизация под 64-разрядные процессоры.
Содержание
Структура алгоритма
Threefish имеет очень простую структуру и может быть использован для замены алгоритмов блочного шифрования, будучи быстрым и гибким шифром, работающим в произвольном режиме шифрования. Threefish S-блоки не использует, основан на комбинации инструкций исключающего или, сложения и циклического сдвига.
Как и AES, шифр реализован в виде подстановочно-перестановочной сети на обратимых операциях, не являясь шифром сети Фейстеля.
Алгоритм предусматривает использование tweak-значения, своего рода вектора инициализации, позволяя изменять таким образом значение выхода, без изменения ключа, что имеет положительный эффект как для реализации новых режимов шифрования, так и на криптостойкости алгоритма.
Как результат мнения авторов, что несколько сложных раундов зачастую хуже применения большого числа простых раундов, алгоритм имеет нетрадиционно большое число раундов — 72 или 80 при ключе 1024 бит, однако, по заявлению создателей, его скоростные характеристики опережают AES примерно в два раза. Стоит заметить, что по причине 64-битной структуры шифра, данное заявление имеет место лишь на 64-разрядной архитектуре. Поэтому Threefish, как и Skein[1], основанный на нём, на 32-разрядных процессорах показывает значительно худшие результаты, чем на «родном» оборудовании.
Ядром шифра является простая функция «MIX», преобразующая два 64-битных беззнаковых числа, в процессе которой происходит сложение, циклический сдвиг (ROL/ROR), и сложение по модулю 2 (XOR).
Определения
Threefish[2] является блочным алгоритмом симметричного шифрования с дополнительным параметром настройки (tweak-значение). Размер блока данных, с которым работает алгоритм — 256, 512 или 1024 бит. Длина ключа равна выбранному размеру блока. Размер tweak-значения для любого из размеров блока — 128 бит.
Определим функцию шифрования <math> E(K, T, P)</math>, где:
- <math>K</math> — ключ шифрования, строка длиной 32, 64, или 128 байт (256, 512, или 1024 бит).
- <math>T</math> — tweak-значение, строка длиной 16 байт (128 бит).
- <math>P</math> — открытый текст для шифрования, строка длиной равной размеру блока.
Для обработки блока данные представляются в виде массива 64-битных слов (целых чисел от <math>0</math> до <math> 2^{64} - 1</math>). Определим <math>N_w</math> как число 64-битных слов в ключе (и в блоке), тогда:
- Ключ шифрования <math>K \Rightarrow (k_0, k_1, \dots, k_{N_w-1})</math>
- Tweak-значение <math>T \Rightarrow (t_0, t_1)</math>
- Открытый текст <math>P \Rightarrow (p_0, p_1, \dots, p_{N_w-1})</math>
Количество раундов, <math>N_r</math> для алгоритма Threefish определяется следующим образом:
| Длина ключа/блока | <math>N_w</math> | <math>N_r</math> |
|---|---|---|
| 256 бит | 4 | 72 |
| 512 бит | 8 | 72 |
| 1024 бит | 16 | 80 |
Расписание ключей
Алгоритм использует <math>\frac{N_r}{4} + 1</math> раундовых ключей. Дополним основной ключ и tweak-значение двумя 64-битными словами:
- <math> k_{N_w} = C_{240} \oplus k_0 \oplus k_1 \oplus \dots \oplus k_{N_w-1}</math>, где <math>C_{240} = \text{0x1bd11bdaa9fc1a22}</math>
- <math> t_2 = t_0 \oplus t_1</math>
Определим подключ <math>s</math> как <math>(k_{s,0}, k_{s,1}, \dots, k_{s,N_w-1})</math>.
Все операции сложения выполняются по модулю <math>2^{64}</math>.
<math> k_{s, i} = \begin{cases} k_{(s+i) \bmod (N_w + 1)} & i = 0, \dots, N_w - 4 \\ k_{(s+i) \bmod (N_w + 1)} + t_{s \bmod 3} & i = N_w - 3 \\ k_{(s+i) \bmod (N_w + 1)} + t_{(s + 1) \bmod 3} & i = N_w - 2 \\ k_{(s+i) \bmod (N_w + 1)} + s & i = N_w - 1 \end{cases} </math>
Функция MIX
Нелинейная функция смешивания и перестановки <math>\text{MIX}_{d,j}</math> принимает на вход два аргумента <math>(x_0, x_1)</math> и возвращает
<math>(y_0, y_1)</math>:
- <math>y_0 = (x_0 + x_1) \mod 2^{64}</math>
- <math>y_1 = (x_1 \lll R_{(d \bmod 8), j}) \oplus y_0</math>
Где <math>\lll</math> — оператор побитового циклического сдвига влево, а константа <math>R_{d,j}</math> определяется из таблицы:
| <math>N_w</math> | 4 | 8 | 16 | |||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| <math>_d \setminus ^j</math> | 0 | 1 | 0 | 1 | 2 | 3 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 0 | 14 | 16 | 46 | 36 | 19 | 37 | 24 | 13 | 8 | 47 | 8 | 17 | 22 | 37 |
| 1 | 52 | 57 | 33 | 27 | 14 | 42 | 38 | 19 | 10 | 55 | 49 | 18 | 23 | 52 |
| 2 | 23 | 40 | 17 | 49 | 36 | 39 | 33 | 4 | 51 | 13 | 34 | 41 | 59 | 17 |
| 3 | 5 | 37 | 44 | 9 | 54 | 56 | 5 | 20 | 48 | 41 | 47 | 28 | 16 | 25 |
| 4 | 25 | 33 | 39 | 30 | 34 | 24 | 41 | 9 | 37 | 31 | 12 | 47 | 44 | 30 |
| 5 | 46 | 12 | 13 | 50 | 10 | 17 | 16 | 34 | 56 | 51 | 4 | 53 | 42 | 41 |
| 6 | 58 | 22 | 25 | 29 | 39 | 43 | 31 | 44 | 47 | 46 | 19 | 42 | 44 | 25 |
| 7 | 32 | 32 | 8 | 35 | 56 | 22 | 9 | 48 | 35 | 52 | 23 | 31 | 37 | 20 |
Шифрование
Обозначим <math>V_{d,i}, i = 0,1,\dots,N_{w-1}</math> внутреннее состояние алгоритма
для раунда <math>d = 0,1,\dots,N_r-1</math>.
Начальное внутреннее состояние <math>V_{0,i} \Rightarrow (p_0,p_1,\dots,N_w-1)</math>.
Каждый раунд состоит из нескольких этапов. На первом этапе раунда к внутреннему состоянию добавляется раундовый ключ <math>k_{s,i}</math> как указанно ниже:
- <math> e_{d, i} = (V_{d,i} + k_{d/4,i}) \mod 2^{64}</math>, если <math>d \mod 4 = 0</math>
- <math> e_{d, i} = V_{d,i}</math>, если <math>d \mod 4 \ne 0</math>
На следующем этапе раунда используется нелинейная функция <math>\text{MIX}_{d,j}</math>:
- <math>(f_{d,2j}, f_{d,2j+1}) = \text{MIX}_{d,j} (e_{d,2j}, e_{d,2j+1})</math>, для <math>j = 0,1,\dots, \frac{N_w}{2}-1</math>
Следующее внутреннее состояние определяется как:
- <math>V_{d+1,i} = f_{d,p(i)}</math> , для <math>i = 0,1,\dots, N_w-1</math>
Функция перестановки 64-битных слов <math>p(i)</math> определена в таблице ниже:
| <math>_{N_w} \setminus ^i</math> | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 4 | 0 | 3 | 2 | 1 | ||||||||||||
| 8 | 2 | 1 | 4 | 7 | 6 | 5 | 0 | 3 | ||||||||
| 16 | 0 | 9 | 2 | 13 | 6 | 11 | 4 | 15 | 10 | 7 | 12 | 3 | 14 | 5 | 8 | 1 |
После выполнения всех раундов выходом алгоритма является шифротекст <math>c_i</math>:
- <math>c_i \Rightarrow (V_{N_r, i} + k_{N_r/4, i}) \mod 2^{64}</math> , для <math>i = 0,1,\dots,N_w-1</math>
Дешифрование
Для алгоритма Threefish процедура дешифрования обратна процедуре шифрования. Раундовые ключи используются в обратном порядке, и каждый раунд состоит из обратных операций. Вместо функции <math> \text{MIX}_{d,j}</math> используется функция <math>\text{deMIX}_{d,j}</math>, которая выполняет операции вычитания по модулю <math>2^{64}</math> и побитовый циклический сдвиг вправо. Этапы каждого раунда дешифрования также выполняются в обратном порядке.
Безопасность
По заявлению авторов, алгоритм имеет более высокий уровень безопасности, чем AES. Существует атака на 25 из 72 раундов Threefish, в то время как для AES — на 6 из 10. Threefish имеет показатель фактора безопасности 2,9, в свою очередь, AES - всего 1,7[3]
Для достижения полной диффузии шифру Threefish-256 достаточно 9 раундов, Threefish-512 — 10 раундов и Threefish-1024 — 11 раундов. Исходя из этого, 72 и 80 раундов, соответственно, в среднем, обеспечат лучшие результаты, чем существующие шифры.[4]
В то же время алгоритм имеет гораздо более простую структуру и функцию преобразования, однако выполнение 72-80 раундов, по мнению исследователей, обеспечивает необходимую стойкость. Применяемый размер ключа от 256 до 1024 бит сводит на нет возможность полного перебора паролей при так называемой атаке грубой силой (brute force attack) на современном оборудовании.
Ссылки
- [www.schneier.com/skein.html Официальная страница Skein и Threefish (англ.)]
- [www.pgpru.com/novosti/2008/heshfunkcijaskeiniblochnyjjshifrthreefish Информация по шифру Threefish]
- [cartman-cipher.narod.ru/mirror/threefish512.zip Исходный код алгоритма Threefish-512 на языках C и Delphi]
- [www.schneier.com/skein.pdf Официальная спецификация алгоритмов Skein и Threefish (англ.)]
См. также
Skein — хэш-функция, основанная на Threefish
Примечания
- ↑ Skein опережает в два раза SHA-512 и входит в пятерку наиболее быстрых хэш-функций -кандидатов SHA-3 на 64-битной архитектуре
- ↑ [www.schneier.com/skein.pdf Официальная спецификация алгоритмов Skein и Threefish (англ.)]
- ↑ [www.schneier.com/blog/archives/2008/10/the_skein_hash.html Информация по шифру в статье «The Skein Hash Function»]
- ↑ [www.schneier.com/skein1.1.pdf The Skein Hash Function Family (англ.)]
| ||||||||||||||||||
