Перша версія алгоритму була розроблена спільно з Джеймсом Мессі в 1990 році на заміну DES (англ.Data Encryption Standard — стандарт шифрування даних) і названа PES (англ. Proposed Encryption Standard — запропонований стандарт шифрування). Після публікації робіт Біхама і Шаміра з диференціального криптоаналізу PES, алгоритм був поліпшений з точки зору криптостійкості і названий IPES (англ. Improved Proposed Encryption Standard — запропонований поліпшений стандарт шифрування). У 1991 році IPES був перейменований в IDEA (англ.International Data Encryption Algorythm — міжнародний алгоритм шифрування даних).
Теорія марківських шифрів. Оцінка криптостійкості
Для з'ясування криптостійкості алгоритму IDEA Лай Сюецзя і Джеймс Мессі провели аналіз з кількісною оцінкою криптостійкості. Для цього було введено поняття марківського шифру. Ні лінійних, ні алгебраїчних слабкостей в алгоритмі виявлено не було.
Апаратна реалізація
Вперше алгоритм IDEA був реалізований на інтегральній схемі в 1992 році з використанням технологічного процесу 1,5 мкм і технології КМОП[1]. Швидкість шифрування становила 44 Мб/сек.
Перевірка на криптостійкість
Одна з перших спроб розкриття алгоритму, проведена Біхамом (Biham) за допомогою криптоаналізу з пов'язаними ключами, не привела до успіху[2]. Повний алгоритм IDEA має 8.5 раундів. Якщо розкриття вдається при меншій кількості операцій, ніж при повному переборі ключів, то атака вважається успішною. Перша така атака була проведена методом розкриття Віллі Майєра (Willi Meier) для IDEA з 2 раундами[3]. Друге успішне розкриття було проведено методом «зустріч посередині» для IDEA з 4.5 раундами. Для цього було потрібно знання всіх 264 блоків із словника кодів і складність аналізу становить 2112 операцій[4]. Найкраща атака була застосована в 2007 році і може зламати алгоритм з 6-ма раундами[5].
Криптоаналіз ряду криптографічних геш-функцій.
М. Абдалла (M. Abdalla), М. Беллар (M. Bellare) і П. Рогевей (P. Rogaway) запропонували різновид гіпотези Діффі-Гелмана (Diffie-Hellman assumption). Вони рекомендували використовувати односторонню геш-функцію, однак Лай, спільно з Лу Сяньхуеєм (Xianhui Lu), зазначив, що якщо геш-функція одностороння, то можлива реалізація успішної атаки[6].
Лай Сюецзя разом з Ван Сяоюнем (Xiaoyun Wang) представили нову атаку на MD4, яка може бути успішною з імовірністю від 2−6 до 2−2 і складність знаходження такої колізії не перевищує 28 геш-операцій MD4. Також вони встановили, що такі атаки безпосередньо застосовні до RIPEMD[en], які мають дві паралельні копії MD4 і складність такої атаки становить близько 218RIPEMD[en] геш-операцій[7].
Наступником алгоритму MD4 став алгоритм MD5, який розробив професор Рональд Рівест із Массачусетського технологічного інституту в 1991 році для заміни менш надійного попередника. Проте, вже 1 березня 2004 року почався безпосередній злом MD5. Це був проект MD5CRK, що запустила компанія англ.CertainKey Cryptosystems з метою пошуку двох повідомлень з ідентичними геш-кодами. Проект завершився 24 серпня 2004 року. Чотири незалежних дослідника — Ван Сяоюн, Фен Денгуо, Лай Сюецзя і Юй Хунбо виявили уразливість алгоритму, що дозволяє знайти колізії аналітичним методом за короткий час. За допомогою цього методу можна всього лише за годину виявити колізії на кластері IBM p690[8].
Аналіз гібридних схем шифрування
Спільно з Лу Сяньхуеєм (Xianhui Lu), Лай запропонував поняття безпеки, назване слабкою стійкістю до зашифрованого тексту (indistinguishability under weak adaptive chosen ciphertext security IND-WCCA), для гібридних схем шифрування. Незважаючи на те, що стійкість до зашифрованого тексту (indistinguishability under adaptive chosen ciphertext security IND-CCA) більш стійка до атак, вони показали, що можна побудувати гібридну схему шифрування, використовуючи механізм інкапсуляції ключа (Key Encapsulation Mechanism[en] KEM) шляхом зашифрованого тексту IND-CCA, а механізм інкапсуляції даних (Data Encapsulation Mechanism DEM) шляхом відкритого тексту INP-CPA. Ця гібридна схема дуже гнучка, більшість потокових і блокових шифрів може бути використано як механізм інкапсуляції даних DEM[9].
• У 1984 році ступінь магістра з математики в університеті Сидянь (Xidian University[en]], тоді відомому як Північно-Західний Інститут телекомунікаційних технологій.
• У 1982 р. він познайомився з Джеймсом Мессі, який перебував з візитом в університеті, щоб прочитати лекції з криптографії. Лай був перекладачем на цих лекціях. Пізніше він став одним з докторантів Мессі у Швейцарській вищій технічній школі Цюріха (англ. Swiss Federal Institute of Technology Zurich), де він отримав докторський ступінь у 1992 році[10],[11].
Досвід роботи
Робота науковця була зосереджена в криптографії і в інфраструтурі відкритих ключів (англ.Public key infrastructure) протягом останніх 20 років, особливо в сфері розробки й аналізі практичних криптосистем (у тому числі блочних шифрів та потокових шифрів), диференціального криптоаналізу блочних шифрів.
У 1994 році він приєднався до провідної швейцарської компанії із захисту інформації R3 Security Engineering, яка в 1997 році була придбана Entrust Technologies Inc.
З 2001 року він - старший консультант і технічний директор швейцарської компанії SWIS Group.
Брав участь у розробці алгоритмів для єврочипів у кредитних картах, що використовуються європейськими банками.
Був редактором трьох ISO IT-стандартів безпеки.
Брав участь в оцінці, аналізі та поліпшення кількох шифрів для ряду міжнародних компаній і організацій, а також брав участь в європейських проектах: KRISIS, ICE-CAR і PKI Challenge.
Є почесним професором Вищої школи університету науки і техніки Китаю, радником Південно-Західного університету Цзяотун і директором китайського товариства криптографії.
Є викладачем Шанхайського університету Цзяотун з крипто-інжинірингу (англ.Crypto Engineering), дискретної математики і стандартного захисту інформаційних технологій (англ.IT-security Standart)
Бібліографія
1. A Synthetic Indifferentiability Analysis of Some Block-Cipher-Based Hash Functions (2009) Zheng Gong, Xuejia Lai, Kefei Chen
2. On the hash function of ODH assumption (2008) Xianhui Lu, Xuejia Lai, Dake He, Guomin Li
3. MAC-free variant of KD04 (2008) Xianhui Lu, Xuejia Lai, Dake He
4. Commenced Publication in 1973 Founding and Former Series Editors: (2008) Gerhard Goos, Juris Hartmanis, Jan Van Leeuwen, Editorial Board, David Hutchison, Takeo Kanade, Jon M. Kleinberg, Friedemann Mattern, John C. Mitchell, C. Pandu Rangan, Bernhard Steffen, Demetri Terzopoulos, Doug Tygar, Moshe Y. Vardi, Gerhard Weikum, Xuejia Lai
5. A Synthetic Indifferentiability Analysis of Some Block-Cipher-based Hash Functions (2008) Zheng Gong, Xuejia Lai, Kefei Chen
6. On the hash function of ODH (2008) Xianhui Lu, Xuejia Lai, Dake He, Guomin Li
13. Cryptologic Research Attacks on Fast Double Block Length Hash Functions (1996) Lars R. Knudsen, Kardinaal Mercierlaan, Xuejia Lai, Bart Preneel, Kardinaal Mercierlaan
14. New Attacks on all Double Block Length Hash Functions of Hash Rate 1, including the Parallel-DM (1995) Lars R. Knudsen, Xuejia Lai
15. New Types of Cryptanalytic Attacks Using Related Keys (1994) Eli Biham, M. E. Hellman, R. Merkle, L. Washington, W. Diffie, S. Pohlig, Xuejia Lai, James L. Massey, Sean Murphy
16. Attacks on Double Block Length Hash Functions (1993) Xuejia Lai, Lars R. Knudsen
17. Hash Functions Based on Block Ciphers (1993) Xuejia Lai, James L. Massey
18. On the design and security of block ciphers [microform] / (1992) Xuejia Lai
19. On the design and security of block ciphers (1992) Xuejia Lai
20. A proposal for a new block encryption standard (1991) Xuejia Lai, James L. Massey
21. Markov Ciphers and Differential Криптоаналіз (1991) Xuejia Lai, James L. Massey, Sean Murphy
22. A Proposal for a New Block Encryption Standard (1991) Xuejia Lai, James L. Massey
23. Markov Ciphers and Differential Криптоаналіз (1991) Xuejia Lai, James L. Massey, Sean Murphy
24. Abstract Markov Ciphers and (1991) Xuejia Lai, James L. Massey, Sean Murphy
Примітки
↑VLSI implementation of a new block (1991) H. Bonnenberg, A. Curiger, N. Felber, H. Kaeslin, X. Lai
Miss in the Middle Attacks on IDEA and Khufu // Fast Software Encryption: 6th International Workshop, FSE'99 Rome, Italy, March 24-26, 1999 Proceedings
↑A New Attack on 6-Round IDEA (2007) E. Biham, O. Dunkelman, N. Keller
↑On the hash function of ODH assumption (2008) Xianhui Lu, Xuejia Lai, Dake He, Guomin Li
↑Cryptanalysis of the hash functions MD4 and RIPEMD (2005) Xiaoyun Wang, Xuejia Lai, Dengguo Feng, Hui Chen, Xiuyuan Yu
↑[1] [Архівовано 2 вересня 2011 у Wayback Machine.] Official Site of Department of Computer Science & Engineering of Shanghai Jiao Tong University
↑アーカイブされたコピー. Архів оригіналу за 20 січня 2009. Процитовано 13 жовтня 2008. Official Site of Cryptography and Information Security Lab of Shanghai Jiao Tong University