E2 (шифр)

E2
Создатель	NTT
Опубликован	1998
Размер ключа	128 (192, 256) бит
Размер блока	128 бит
Число раундов	12
Тип	Ячейка Фейстеля

E2 (англ. Efficient Encryption — эффективное шифрование) — в криптографии семейство симметричных блочных криптоалгоритмов на основе ячейки Фейстеля. E2 использует блок размером 128 бит и ключи длиной 128, 192, 256 бит. Создан в компании NTT (Nippon Telegraph and Telephone) в 1998 году и был представлен на AES конкурсе. Наследником данного шифра является шифр Camellia, который также является результатом творчества компании NTT (Nippon Telegraph and Telephone).

Шифр E2, созданный компанией NTT, был представлен на конкурсе AES вместе с другими четырнадцатью шифрами. E2 прошел тест на криптостойкость успешно. Стойкость шифра E2 не повлияла на его быстродействие. E2 занял одну из лидирующих позиций как в соревновании на скорость шифрования/расшифрования, так и в быстроте формирования ключей. В частности, реализация шифра E2 (компилятор Borland) показала скорость шифрования/расшифрования 26 Мбит/сек. Впрочем, скорость свыше 25 Мбит/сек была показана и пятью другими лидерами. Несмотря на то, что показатели шифра менялись в зависимости от компилятора, платформы и логики, общая тенденция оставалась неизменной. Большинство авторов, писавших о конкурсе AES, утверждают, что E2 наряду с некоторыми другими шифрами успешно прошел первый круг. Однако E2 не попал в финал в пятерку лучших шифров. НИСТ было отмечено, что несмотря на хорошие показатели скорости и отсутствие уязвимостей, требования к энергонезависимой памяти слишком высоки (аналогично пострадал и CAST-256). ^[1]

^[2]

Работу алгоритма шифрования можно разделить на три основные части: IT-функция, или преобразователь начальных данных (англ. initial transformation (IT)), ячейка Фейстеля на базе F-функции, повторяющаяся 12 раз, и FT-функция, или преобразователь конечных данных (англ. finale transformation (FT)). Блок алгоритма, отвечающий за планировку ключей (англ. key sheduling part), до начала шифрования из секретного ключа К создает шестнадцать подключей {k1,..k16}, каждый из которых является 128-разрядным битовым вектором (элементом поля Галуа(2^128)). Первое преобразование открытого текста M производится с помощью IT-функции и двух сгенерированных ключей под номерами 13 и 14(${\displaystyle k_{13}}$ и ${\displaystyle k_{14}}$)

M‘=IT(M,${\displaystyle k_{13}}$,${\displaystyle k_{14}}$)

M` разбивается на два блока ${\displaystyle L_{0}}$ и ${\displaystyle R_{0}}$ равной длины, каждый из элементов ${\displaystyle L_{0}}$ и ${\displaystyle R_{0}}$ является битовым вектором размерностью 64 бита. Затем выполняются 12 циклов преобразований в ячейке Фейстеля, в которой правый блок на текущей итерации цикла ${\displaystyle R_{r}}$ определяется сложением по модулю два левой части предыдущей итерации цикла ${\displaystyle R_{r-1}}$ и результата функции F, аргументами которой являются правая часть предыдущей итерации ${\displaystyle R_{r-1}}$ и ключ ${\displaystyle k_{r}}$, а левому блоку на r шаге цикла присваивается значение правого блока на r-1 шаге. Цикл повторяется 12 раз, то есть r изменяется от 1 до 12

${\displaystyle R_{r}}$ = ${\displaystyle L_{r-1}}$${\displaystyle \oplus F(R_{r-1},k_{r})}$

${\displaystyle L_{r}}$ = ${\displaystyle R_{r-1}}$.

Финальный этап шифрования — выполнение FT-функции. Результат FT-функции, аргументами которой являются конкатенация правой ${\displaystyle R_{12}}$ и левой ${\displaystyle L_{12}}$ частей на выходе 12 итерации ячейки Фейстеля и ключи ${\displaystyle k_{1},k_{2}}$:

${\displaystyle C=FT(C}$`${\displaystyle ,k_{16},k_{15})}$

Расшифрование происходит по схеме, аналогичной шифрованию. Работу алгоритма расшифрования, можно разделить на три основные части: IT-функция (начальное преобразование — англ. initial information (IT)), 12 циклов ячейки Фейстеля с F-функцией и в конце FT-функция (англ. finale transformation (FT)). Блок алгоритма, отвечающий за планировку ключей (англ. key scheduling), из секретного ключа непосредственно перед шифрованием генерирует 16 подключей {${\displaystyle k_{1},k_{2},\dots ,k_{16}}$}, которые являются битовыми векторами размерностью 128 (элементом поля Галуа GF(2^128)). На первом этапе происходит выполнение IT-функции, аргументами которой являются криптограмма С и два подключа ${\displaystyle {k_{15},k_{16}}}$

${\displaystyle C}$`${\displaystyle =IT(C,k_{16},k_{15})}$

Результат IT-функции C` разбивается на 2 равные части по 64 бита(половина блока): правую и левую (${\displaystyle R_{12},L_{12}}$). Далее выполняются 12 циклов ячейки Фейстеля на базе F-Функции (${\displaystyle r}$ меняется от 12 до 1).

${\displaystyle L_{r-1}=R_{r}\oplus F(L_{r},k_{r})}$

${\displaystyle R_{r-1}=L_{r}}$

По завершении последнего цикла ячейки Фейстеля осуществляется конкатенация половинок блока (${\displaystyle L_{0},R_{0}}$). И в конце — финальное преобразование: выполняется FT-функция, аргументами которой являются результат конкатенации ${\displaystyle M}$` и два ключа ${\displaystyle k_{13},k_{14}}$. Результатом выполнения FT-функции является открытый текст ${\displaystyle M}$.

${\displaystyle M=FT(M,k_{13},k_{14})}$

На основе секретного ключа ${\displaystyle K=(K_{1},K_{2},K_{3},K_{4})}$ (${\displaystyle K_{i}}$ {${\displaystyle i=1;2;3;4}$} имеет размерность половины блока, то есть 64 бита и является аргументом для функций шифрования и расшифрования) генерируются подключи ${\displaystyle ki}$ {i=1;2…16} (битовые вектора размерности 128) с помощью G-функции и S-функции. Процедура генерации ключей остается почти неизменной, если длина секретного ключа равна 128, 192 или 256 бит. Если заданная длина 128 бит, в качестве значений ${\displaystyle K_{3},K_{4}}$ выбираются константы следующим образом: ${\displaystyle K_{3}=S(S(S(v_{-1})))}$ , ${\displaystyle K_{4}=S(S(S(S(v_{-1}))))}$. Если длина ключа 192 бита, значение ключа — ${\displaystyle K_{4}=S(S(S(S(v_{-1}))))}$, где S() — S-функция.

${\displaystyle F\colon H\times H^{2}\to H}$

${\displaystyle (X,(K^{(1)},K^{(2)}))\to Y=BRL(S(PS(X\oplus K^{(1)}))\oplus K^{(2)}))}$

BRS(),S(),P() — соответственно BRS-функция, S-функция, P-функция; X,Y — слова двоичного алфавита размерностью 64 бита (половина блока); ${\displaystyle K^{(1)},K^{(2)}}$ — ключи размерностью 128 бит каждый. H — пространство размерности 64 бита.

Суть F-функции — преобразование слов бинарного алфавита размерности 64 бита при заданном ключе размерности 128 бит. Результат преобразования — слово бинарного алфавита размерности 64 бита.

IT-функция или преобразователь начальных данных:

${\displaystyle IT\colon H^{2}\times H^{2}\times H^{2}\to H}$

${\displaystyle (X,A,B)\to Y=BP((X\oplus A)\otimes B)}$

H — пространство слов бинарного алфавита размерности 64 бит; X,A,B — бинарные слова размерности 128 бит; BP() — BP-функция; ${\displaystyle \otimes }$ — бинарная операция.

FT-функция или преобразователь конечных данных:

${\displaystyle FT\colon H^{2}\times H^{2}\times H^{2}\to H}$

${\displaystyle (X,A,B)\to Y=BP^{-1}((XdeB)\oplus A)}$.

H — пространство слов бинарного алфавита размерности 64 бит; X,A,B — бинарные слова размерности 128 бит; ${\displaystyle BP^{-1}}$() — функция, обратная BP-функции; ${\displaystyle de}$ — бинарная операция de.

FT-функция — это функция, обратная IT-функции:

${\displaystyle X=FT(IT(X,A,B),A,B)}$.

BRL-функция(англ. byte rotate left function), или циклический сдвиг влево, — составляющая часть F-функции:

${\displaystyle BRL\colon H\to H}$

${\displaystyle (b1,b2,b3,\dots b8)\to (b2,b3,\dots b8,b1)}$

${\displaystyle b_{i}}$ {${\displaystyle i=1\dots 8}$} — бинарное слово размерности 8 бит(байт) или, иными словами, элемент поля Галуа ${\displaystyle GF(2)^{8}}$.

S-функция — часть F-функции, которая определяется s-box:

${\displaystyle S\colon H\to H}$

${\displaystyle (x_{1},x_{2},\dots x_{8})\to (s(x_{1}),s(x_{2}),\dots s(x_{8}))}$.

S-box, использующийся в S-функции, определяется следующим образом:

${\displaystyle s:B\to B}$

${\displaystyle x\to Affine(Power(x,127),97,255)}$,

где ${\displaystyle Power(x,e)=x^{e}inGF(2^{8})}$

${\displaystyle Affine(y,a,b)=a*y+b(mod2^{8}Z)}$

Не возбраняется при расчетах пользоваться таблицами c уже вычисленными значениями s(x). То есть ${\displaystyle s(0)=225,s(1)=66,\dots ,s(16)=204,\dots ,s(255)=42.}$

Таблица вычисленных значений s-box:

225	66	62	129	78	23	158	253	180	63	44	218	49	30	224	65
204	243	130	125	124	18	142	187	228	88	21	213	111	233	76	75
53	123	90	154	144	69	188	248	121	214	27	136	2	171	207	100
9	12	240	1	164	176	246	147	67	99	134	220	17	165	131	139
201	208	25	149	106	161	92	36	110	80	33	128	47	231	83	15
145	34	4	237	166	72	73	103	236	247	192	57	206	242	45	190
93	28	227	135	7	13	122	244	251	50	245	140	219	143	37	150
168	234	205	51	101	84	6	141	137	10	94	217	22	14	113	108
11	255	96	210	46	211	200	85	194	35	183	116	226	155	223	119
43	185	60	98	19	229	148	52	177	39	132	159	215	81	0	97
173	133	115	3	8	64	239	104	254	151	31	222	175	102	232	184
174	189	179	235	198	107	71	169	216	167	114	238	29	126	170	182
117	203	212	48	105	32	127	55	91	157	120	163	241	118	250	5
61	58	68	87	59	202	199	138	24	70	156	191	186	56	86	26
146	77	38	41	162	152	16	153	112	160	197	40	193	109	20	172
249	95	79	196	195	209	252	221	178	89	230	181	54	82	74	42

P-функция — составляющая часть F-функции

${\displaystyle P\colon H\to H}$

${\displaystyle {\begin{pmatrix}z_{1}\\\vdots \\z_{8}\end{pmatrix}}\to {\begin{pmatrix}z_{1}^{|}\\\vdots \\z_{8}^{|}\end{pmatrix}}=P{\begin{pmatrix}z_{1}\\\vdots \\z_{8}\end{pmatrix}}}$

P — матрица преобразования описывающая P-функцию

${\displaystyle P={\begin{pmatrix}0&1&1&1&1&1&1&0\\1&0&1&1&0&1&1&1\\1&1&0&1&1&0&1&1\\1&1&1&0&1&1&0&1\\1&1&0&1&1&1&0&0\\1&1&1&0&0&1&1&0\\0&1&1&1&0&0&1&1\\1&0&1&1&1&0&0&1\end{pmatrix}}}$

G — функция осуществляет следующее отображение:

${\displaystyle G\colon H^{4}\times H\to H^{4}\times (\!H^{4}\times H)}$

${\displaystyle (\!(\!X_{1},X_{2},X_{3},X_{4})\!,U_{0})\to (\!(\!U_{1},U_{2},U_{3},U_{4}\!),(\!(\!Y_{1},Y_{2},Y_{3},Y_{4}),V\!)\!)}$ , где

${\displaystyle Y_{i}=\!f(X_{i})(i=\!1,2,3,4)}$

${\displaystyle U_{i}=\!f(U_{i-1})\oplus Y_{i}(i=\!1,2,3,4)}$

${\displaystyle V=\!U_{4}}$

${\displaystyle f()}$ — f-функция.

f-функция необходима для вычисления G-функции. f-функция определяется следующим образом:

${\displaystyle f\colon H\to H}$

${\displaystyle X\to P(S(X))}$ , где

P() — P-функция, S() — S-функция.

Бинарный оператор de определяется следующим образом:

${\displaystyle Y=\!XdeB(X,Y,B\in H^{2})}$ , где

${\displaystyle (y_{1},y_{2},y_{3},y_{4})=Y(y_{i}\in W,i=1,2,3,4)}$

${\displaystyle (b_{1},b_{2},b_{3},b_{4})=B(b_{i}\in W,i=1,2,3,4)}$

${\displaystyle x_{i}=\!y_{i}(b_{i}\lor 1)mod2^{32}Z(i=1,2,3,4)}$

${\displaystyle X=(x_{1},x_{2},x_{3},x_{4})}$

${\displaystyle \lor 1}$ — логическое побитовое сложение (логическое «или») с 1 в кольце ${\displaystyle 2^{32}Z}$.

BP- функция, или функция перестановки байтов (англ. byte permutation), является частью IT-функции и FT — функции. Она определяется следующим образом:

${\displaystyle BP:W^{4}\to W^{4}}$

${\displaystyle (x_{1},x_{2},x_{3},x_{4})\to (y_{1},y_{2},y_{3},y_{4})}$ ,где

${\displaystyle (x_{i}^{(1)},x_{i}^{(2)},x_{i}^{(3)},x_{i}^{(4)})=\!x_{i}(x_{i}^{j}\in B{i=1,2,3,4;j=1,2,3,4})}$

${\displaystyle y_{i}=(x_{i}^{(1)},x_{i+1}^{(2)},x_{i+2}^{(3)},x_{i+3}^{(4)})(i=1,2,3,4)}$

${\displaystyle Y=(y_{1},y_{2},y_{3},y_{4})}$.

Обратное к BP — преобразованию, или BP^{-1}, вычисляется следующим образом:

${\displaystyle BP^{-1}:W^{4}\to W^{4}}$

${\displaystyle (y_{1},y_{2},y_{3},y_{4})\to (x_{1},x_{2},x_{3},x_{4})}$ ,где

${\displaystyle (y_{i}^{(1)},y_{i}^{(2)},y_{i}^{(3)},y_{i}^{(4)})=\!y_{i}(y_{i}^{j}\in B{i=1,2,3,4;j=1,2,3,4})}$

${\displaystyle x_{i}=(y_{i}^{(1)},y_{i+1}^{(2)},y_{i+2}^{(3)},y_{i+3}^{(4)})(i=1,2,3,4)}$

${\displaystyle Y=(y_{1},y_{2},y_{3},y_{4})}$.

Сотрудниками компании Information Technology R&D Center Mitsubishi Electric Corporation Мицуру Мацуи (Mitsuru Matsui) и Тосио Токита (Toshio Tokita) была обнаружена нестойкость шифра к дифференциальному криптоанализу.^[3] Несмотря на это шифр (использующий 12 циклов шифрования) остается стойким с практической точки зрения. Хотя Мицуру Мацуи и Тосио Токита удалось показать, что уровень безопасность шифра E2 с меньшим числом циклов шифрования существенно ниже того, что заявлено разработчиками.

Высокие требования к энергонезависимой памяти.

• Camellia
• Блочный шифр
• Ячейка Фейстеля
• AES (конкурс)

• Официальный сайт компании Nippon Telegraph and Telephone
• Сайт The National Institute of Standards and Technology