uk SAFER

SAFER
Розробники	Джеймс Мессі
Уперше оприлюднений	1993 рік
Деталі шифру
Розмір ключа	64 (128, 192, 256) біт
Розмір блоку	64 (40, 128) біт
Раундів	6-16
Тип	Мережа замін-перестановок

SÁFER (англ. Secure And Fast Encryption Routine — безпечна і швидка процедура шифрування) — в криптографії сімейство симетричних блокових криптоалгоритмів на основі мережі замін-перестановок. Основний внесок в розробку алгоритмів вніс Джеймс Мессі. Перший варіант шифру був створений і опублікований в 1993 році. Хоча алгоритми SAFER не отримали статусу стандартів в США або ЄС, вони знайшли дуже широке застосування. Зокрема, SAFER+ використовується як основа протоколу аутентифікації в Bluetooth. Однак, в самому алгоритмі шифрування в Bluetooth цей алгоритм не використовується^[1].

Незважаючи на те, що в назві алгоритму фігурує слово «fast» (швидкий), за сучасними мірками алгоритми сімейства SAFER є досить повільними.

З точки зору криптостійкости навіть найперша версія алгоритму SAFER K-64 є абсолютно стійкою до диференціального криптоаналізу. Останній алгоритм сімейства — SAFER++, будучи значно модифікованим з урахуванням безлічі атак, здійснених на більш ранні версії алгоритму, став ще більш стійким. В даний час ніяких реально здійсненних атак на алгоритм, не знайдено^[1].

З огляду на те, наскільки далеко просунулися алгоритми SAFER за час свого існування — від SAFER K-64 до SAFER++, можна припустити, що на цьому розвиток цих алгоритмів не закінчений^[2].

SAFER K-64

Алгоритм шифрування

Довжина блоку, що шифрується, і довжина ключа дорівнюють 64 бітам. Алгоритм є ітеративним блоковим шифром, тобто одна й та сама функція шифрування послідовно застосовується до вхідного блоку кілька разів, при цьому на кожному етапі використовуються різні ключі. У кожному раунді шифрування та дешифрування беруть участь два 64-бітових ключа.

Схему шифрування одного раунду алгоритму подано на схемі. Блок даних подається у вигляді 8-байтового масиву (байти нумеруються зліва направо від 1 до 8). Алгоритм є мережею замін-перестановок, у кожному раунді якої виконуються такі перетворення:

На дані накладається 8-байтний фрагмент розширеного ключа $K_{2i-1}$ , де $i$ — номер поточного раунду. Раунди нумеруються починаючи з 1. Байти ключа № 1, 4, 5 та 8 накладаються на аналогічні байти даних за допомогою побітової логічної операції «або» (XOR); для накладення решти байтів (№ 2, 3, 6 та 7) ключа використовується операція додавання за модулем 256.
Байти даних № 1, 4, 5 і 8 обробляються наступною операцією (у схемі позначена як Е): $y=45^{x}{\mbox{ mod }}257$ , де $x$ — вхідне значення, а $y$ — вихідне значення цієї операції. Причому якщо $y=256$ (що відбувається за умови $x=128$ ), то його значення обнуляється: $y=0$ . Інші байти даних (№ 2, 3, 6 та 7) обробляються наступною операцією (у схемі позначена як L): $y=log_{45}{\mbox{ mod }}256$ , причому якщо $x=0$ , то значення $y=128$ .
Друге накладення ключа виконується аналогічно до першого (проте з використанням іншого фрагмента розширеного ключа, а саме $K_{2i}$ ), але з інверсним застосуванням операцій: байти, що в першому накладенні ключа опрацьовувалися операцією XOR, тут опрацьовуються додаванням за модулем 256, і навпаки.
Три рівні перетворень PHT (Pseudo Hadamard Transform, псевдоадамарове перетворення); операція РНТ виконує нескладне перетворення двох вхідних байтів даних ( $x_{1}$ та $x_{2}$ ), даючи в результаті два вихідні байти $y_{1}$ та $y_{2}$ , і визначається таким чином:
$y_{1}=(2x_{1}+x_{2}){\mbox{ mod }}256$

$y_{2}=(x_{1}+x_{2}){\mbox{ mod }}256$

Перестановка байтів даних
Між рівнями перетворень РНТ виконується перестановка байтів даних за таким законом: Це означає, що байт №1 залишається на своєму місці, вхідне значення байта №2 стає вихідним значенням байта №4, вхідне значення байта №3 стає вихідним значенням байта №2, тощо.

Автор алгоритму рекомендує виконувати 6 раундів описаних вище перетворень (раунди позначаються як $R$ ), але допускає збільшення кількості раундів до десяти. Після виконання $R$ раундів алгоритму застосовується вихідне перетворення, повністю аналогічне описаній вище операції першого накладення ключа; у цьому випадку застосовується останній із фрагментів розширеного ключа $K_{2i+1}$ . Слід врахувати, що залежно від вимог до реалізації алгоритму описані вище операції Е та L можуть бути реалізовані напряму або у вигляді таблиць замін.^[2]

Примітки

↑ ^а ^б Mukherjee S., Ganguly D., Naskar S. A New Generation Cryptographic Technique // IJCTE — Singapore: 2009. — Vol. 1, Iss. 2. — P. 284–287. — ISSN 1793-8201
d:Track:Q27056229 d:Track:Q27056223 d:Track:Q27056247 d:Track:Q27056227 d:Track:Q27056238 d:Track:Q334
↑ ^а ^б Панасенко, С. П. (2009). Алгоритмы шифрования. Специальный справочник. СПб.: БХВ-Петербург. с. 576. ISBN 978-5-9775-0319-8.

Це незавершена стаття про алгоритми.
Ви можете допомогти проєкту, виправивши або дописавши її.

Це незавершена стаття з криптографії.
Ви можете допомогти проєкту, виправивши або дописавши її.

[source-q27056247-1] а ^б Mukherjee S., Ganguly D., Naskar S. A New Generation Cryptographic Technique // IJCTE — Singapore: 2009. — Vol. 1, Iss. 2. — P. 284–287. — ISSN 1793-8201
d:Track:Q27056229 d:Track:Q27056223 d:Track:Q27056247 d:Track:Q27056227 d:Track:Q27056238 d:Track:Q334

[:0-2] а ^б Панасенко, С. П. (2009). Алгоритмы шифрования. Специальный справочник. СПб.: БХВ-Петербург. с. 576. ISBN 978-5-9775-0319-8.

[1]

[2]