 Сфера защиты информации и криптография, как одно из ее главных направлений, приобретает все большее и боль-значение в современном обществе. Но эта сфера обладает одной очень важной особенностью, резко выделяющей ее из общей массы прикладных направлений ИТ. Дело в том, что качество предлагаемых решений здесь оценить значительно сложнее, чем в других направлениях. Действительно, если качество алгоритма сжатия данных измеряется непосредственно, то для оценки стойкости шифра нужно выполнить огромный объем работы без какой-либо гарантии адекватности результата. До того момента, когда индустрия отчетливо осознала этот факт, было совершено очень большое количество ошибок. Так, например, была выпущена масса программных продуктов, предлагающих шифрование в качестве основной или вспомогательной функции, в которых использовались нестойкие шифры, созданные "на коленке". Это способно нанести и в действительности наносит пользователям таких средств весьма ощутимый ущерб, в том числе и экономический, так как создает иллюзию защищености в то время, когда реальной защиты нет. В настоящее время ИТ-индустрии необходим механизм, гарантирующий качество предлагаемых в области криптозащиты решений. В полном объеме данная задача может быть решена лишь в рамках государственного подхода - путем принятия соответствующих стандартов. Есть и еще один фактор, делающий неизбежным вмешательство государства в эту сферу: открытая, или гражданская, криптография еще сравнительно молода, а специальные государственные структуры обладают в области защиты информации несравненно большим опытом, причем значительная часть знаний, которыми они владеют, до сих пор остается засекреченной. Именно поэтому действующие государственные стандарты в области криптографии разрабатываются или целиком спецслужбами, как в России, или при таком участии спецслужб, когда за ними остается решающая роль, как, например, в США. Таким образом, роль стандартов в области криптозащиты - это не столько обеспечение совместимости решений от разных производителей, сколько определенная гарантия качества решений, заверенных государством. Эволюция создания блочных шифровНыне действующий в России стандарт шифрования, ГОСТ 28147-89 [1], был принят в 1989 году.
Однако ряд фактов свидетельствуют о том, что разработан он был как минимум на десять лет раньше. По своей архитектуре ГОСТ 28147-89 достаточно близок к прежнему стандарту шифрования США - DES (Data Encryption Standard), который был разработан примерно в то же самое время и действовал в период с 1977 по 2001 год. В 1970-е годы основной доминантой при проектировании шифров, в том числе ГОСТа и DES, было обеспечение приемлемой стойкости при жестких требованиях к сложности реализации, т. е. минимизации необходимых для реализации ресурсов. Это было обусловлено ограничениями электронных компонентов вычислительных систем, разработанных к тому времени. Важнейшими отличиями ГОСТа от DES были более простая функция шифрования и гораздо больший размер ключа. В функции шифрования DES использовались битовые перестановки общего вида и замены 6 на 4 бита, в ГОСТе вместо битовых перестановок применен циклический сдвиг 32-битового элемента данных, а замена осуществляется в группах по 4 бита. И как следствие, раунд ГОСТа имеет худшие показатели нелинейности и рассеивания по сравнению с раундом DES. По этой причине число раундов в ГОСТе вдвое больше по сравнению с DES -32 против 16. Вместе с использованием операции сложения по модулю 232, подразумевающей относительно сложную схему переноса двоичных разрядов, все это приводит к тому, что аппаратная реализация ГОСТа несколько сложнее и значительно медленнее при использовании той же самой элементной базы. С программной же реализацией дело обстоит с "точностью до наоборот": несмотря на вдвое большее число раундов, программная реализация отечественного стандарта минимум вдвое быстрее действует на любых марках ЭВМ, так как битовые перестановки общего вида, которыми изобилует DES, крайне неэффективно реализуются абсолютно на всех неспециализированных процессорах. Указанные особенности позволяют заключить, что DES оптимизировался разработчиками для аппаратной реализации, а ГОСТ - для программной на 32-битовых машинах. Второе отличие ГОСТа от DES - гораздо больший размер ключа, 256 бит против 56. Размер ключа DES был искусственно ограничен АНБ США. Именно малый размер ключа и привел к тому, что во второй половине 1990-х годов DES-шифровки неоднократно взламывались распределенной вычислительной средой, организованной на базе сети Интернет, и специально созданным для этой цели устройством. В конечном итоге это послужило причиной отказа от стандарта DES и принятия нового стандарта шифрования в США. Размер же ключа ГОСТа находится на вполне современном уровне, - ключ размером 128-256 бит в настоящее время считается вполне безопасным и довольно практичным для одноключевых блочных шифров. Однако за время, прошедшее с момента разработки DES и ГОСТа, подходы к конструированию блочных шифров претерпели некоторые изменения.
|