Проверка и сертификация оборудования DES

Частью стандарта DES является проверка NIST реализаций DES. Эта проверка подтверждает, что реализ а-ция соответствует стандарту. До 1994 года NIST проверял только аппаратные и программно-аппаратные реал и-зации - пока стандарт запрещал программные реализации. На март 1995 года 73 различных реализации были признаны соответствующими стандарту.

NIST также разработал программу сертификации устройств проверки подлинности на соответствие ANSI Х9.9 и FIPS ИЗ. На март 1995 года было сертифицировано 33 различных продукта. Казначейство использует свою собственную дополнительную процедуру сертификации. У NIST также есть программа проверки аппар а-туры на соответствие ANSI X9.17 для управления ключами при оптовой торговле [1151], На март 1995 года было сертифицировано четыре продукта.

В стандарте DES было оговорено, что он будет пересматриваться каждые пять лет. В 1983 DES был повто р-но сертифицирован без всяких проблем. 6 марта 1987 года в Federal Register NBS попросило прокомментир о-вать предложение на следующие пять лет. NBS предложило на обсуждение следующие три альтернативы [1480, 1481]: вновь подтвердить стандарт на следующие пять лет, отказаться от стандарта или пересмотреть примен и-мость стандарта.

NBS и NSA пересмотрели стандарт. В этот раз NSA было задействовано в большей степени. Благодаря по д-писанной Рейганом директиве NSDD-145 NSA получило право вето по отношению к деятельности NBS в обла с-ти криптографии. Первоначально NSA объявило, что оно не сертифицирует стандарт повторно. Проблема была не в том, что DES действительно был взломан, и даже не в том, что он, может быть, был взломан. По видим о-му, предполагалось, что он вот-вот будет взломан.

Само по себе NSA предложило Программу коммерческой подписи COMSEC (Commercial COMSEC Endorsement Program, CCEP), которая по сути представляла собой набор алгоритмов для замены DES [85]. Эти разработанные NSA алгоритмы не были опубликованы и были доступны только в виде защищенных от взлома СБИС (см. раздел 25.1).

Это предложение не было принято. Было отмечено, что DES широко используется в бизнесе (особенно в ф и-нансах), и что приемлемой альтернативы не существует. Отказ от стандарта оставил бы многие организации без защиты данных. После длительных споров DES был вновь утвержден в качестве правительственного стандарта США до 1992 года [1141]. NBS решило, что DES никогда больше не будет сертифицирован снова [1480].

Никогда не говори "никогда". В 1992 году альтернативы алгоритму DES все еще не было. NBS, называемый теперь NIST, снова в Federal Register предложило пр окомментировать DES [540]:

Цель этого предложения состоит в том, чтобы объявить о предстоящем оценивании адекватности стандарта задаче защ и-ты компьютерных данных на современном уровне. Промышленности и широкой публике предлагаются три следующих вар и-анта решения для FIPS 46-1. Комментарии должны содержать стоимость (последствия) и преимущества этих вариа нтов:

—Повторно принять стандарт на следующие пять (5) лет. Национальный институт стандартов и технологии продолжит

сертификацию аппаратуры, реализующей стандарт. FIPS 46-1 будет и дальше оставаться единственным признанным м е-

тодом защиты несекретных компьютерных данных.

—Отказаться от стандарта. Национальный институт стандартов и технологии больше не будет поддерживать стандарт.


Организации могут продолжать использовать существующую аппаратуру, реализующую стандарт. Заменяя DES, NIST издаст другие стандарты.

—Пересмотреть положения стандарта о применимости и/или провести ревизию реализации. Такая ревизия должна включать изменения стандарта, позволяющие использовать как аппаратные, так программные и реализации DES, и с-пользовать DES итеративно в определенных приложениях, использовать альтернативные алгоритмы, признанные и зар е-гистрированные NIST.

Срок принятия предложений истек 10 декабря 1992 года. Согласно Рэймонду Каммеру (Raymond Kammer), в то время директору NIST [812]:

В прошлом году NIST формально предложило присылать комментарии по поводу повторной сертификации DES. Ра с-смотрев присланные предложения и другие технические источники, я собираюсь рекомендовать министру торговли, чтобы он повторно сертифицировал DES еще на пять лет. Я также собираюсь предложить министру, чтобы, объявляя о повторной сертификации, мы сформулировали наши намерения рассмотреть в течение этих пяти лет возможные альтернативы. Делая подобное заявление, мы надеемся дать людям возможность высказаться по поводу предстоящих технологических изменений. В то же время, нам нужно учитывать большое количество систем, использующих этот одобренный ста ндарт.

Несмотря на то, что Управление оценки технологий ссылалось на слова работавшего в NIST Денниса Бра н-стида (Dennis Branstead) от том, что полезное время жизни DES закончится в конце 90-х [1191], алгоритм был сертифицирован повторно на следующие пять лет [1150]. Наконец было разрешено сертифицировать и пр о-граммные реализации DES. Хотелось бы знать, что случится в 1998 году?

12.2 Описание DES

DES представляет собой блочный шифр, он шифрует данные 64-битовыми блоками. С одного конца алг о-ритма вводится 64-битовый блок открытого текста, а с другого конца выходит 64-битовый блок шифротекста. DES является симметричным алгоритмом: для шифрования и дешифрирования используются одинаковые алг о-ритм и ключ (за исключением небольших различий в использовании ключа).

Длина ключа равна 56 битам. (Ключ обычно представляется 64-битовым числом, но каждый восьмой бит используется для проверки четности и игнорируется. Биты четности являются наименьшими значащими битами байтов ключа.) Ключ, который может быть любым 56-битовым числом, можно изменить в любой момент вр е-мени. Ряд чисел считаются слабыми ключами, но их можно легко избежать. Безопасность полностью определ я-ется ключом.

На простейшем уровне алгоритм не представляет ничего большего, чем комбинация двух основных методов шифрования: смещения и диффузии. Фундаментальным строительным блоком DES является применение к те к-сту единичной комбинации этих методов (подстановка, а за ней - перестановка), зависящей от ключа. Такой блок называется этапом. DES состоит из 16 этапов, одинаковая комбинация методов применяется к открытому тексту 16 раз (см. 11-й).



 


 



Kie

 


Рис. 12-1. DES.

Алгоритм использует только стандартную арифметику 64-битовых чисел и логические операции, поэтому он легко реализовывался в аппаратуре второй половины 70-х. Изобилие повторений в алгоритме делает его ид е-альным для реализации в специализированной микросхеме. Первоначальные программные реализации были довольно неуклюжи, но сегодняшние программы намного лучше.

Схема алгоритма

DES работает с 64-битовым блоком открытого текста. После первоначальной перестановки блок разбивается на правую и левую половины длиной по 32 бита. Затем выполняется 16 этапов одинаковых действий, называ е-мых функцией f, в которых данные объединяются с ключом. После шестнадцатого этапа правая и левая полов и-ны объединяются и алгоритм завершается заключительной перестановкой (обратной по отношению к первой а-чальной).

На каждом этапе (см. 10-й) биты ключа сдвигаются, и затем из 56 битов ключа выбираются 48 битов. Пр а-вая половина данных увеличивается до 48 битов с помощью перестановки с расширением, объединяется п о-средством XOR с 48 битами смещенного и переставленного ключа, проходит через 8 S-блоков, образуя 32 н о-вых бита, и переставляется снова. Эти четыре операции и выполняются функцией f. Затем результат функции f объединяется с левой половиной с помощью другого XOR. В итоге этих действий появляется новая правая п о-ловина, а старая правая половина становится новой левой. Эти действия повторяются 16 раз, образуя 16 этапов DES.



Ri-1

Перестановка с расширением

Li


Подстановка в s-блоке

Перестановка в р.блоке

-0

R;


Ключ