ANING

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 7 oktober 2016; kontroller kräver 29 redigeringar .

IDEA, Internationell datakrypteringsalgoritm

Skapare	Ascom
Skapad	1991
publiceras	1991
Nyckelstorlek	128 bitar
Block storlek	64 bitar
Antal omgångar	8.5
Sorts	Feistel nätverksmodifiering [1]

IDEA ( engelsk International Data Encryption Algorithm , internationell datakrypteringsalgoritm ) är en symmetrisk blockdatakrypteringsalgoritm patenterad av det schweiziska företaget Ascom . Känd för att användas i PGP -krypteringspaketet . I november 2000 presenterades IDEA som en kandidat för NESSIE-projektet inom Europeiska kommissionens IST- program ( Information Societies Technology , offentlig informationsteknik).

Historik

Den första versionen av algoritmen utvecklades 1990 av Lai Xuejia ( Xuejia Lai ) och James Massey ( James Massey ) från det schweiziska institutet ETH Zürich (under kontrakt med Hasler Foundation , som senare slogs samman med Ascom-Tech AG) som en ersättare för DES ( Eng. Data Encryption Standard , datakrypteringsstandard) och kallade det PES ( Eng. Proposed Encryption Standard , den föreslagna krypteringsstandarden). Sedan, efter publiceringen av Bihams och Shamirs arbete om differentiell kryptoanalys av PES, förbättrades algoritmen för att förbättra kryptografisk styrka och fick namnet IPES ( Engelska Improved Proposed Encryption Standard , förbättrad föreslagen krypteringsstandard). Ett år senare döptes det om till IDEA ( International Data Encryption Algorythm ) .

Beskrivning

Eftersom IDEA använder en 128-bitars nyckel och en 64-bitars blockstorlek delas klartexten upp i block om 64 bitar. Om en sådan partition inte är möjlig, utfylls det sista blocket på olika sätt med en viss sekvens av bitar. För att undvika läckage av information om varje enskilt block används olika krypteringslägen . Varje original okrypterat 64 -bitars block är uppdelat i fyra underblock om 16 bitar vardera, eftersom alla algebraiska operationer som används i krypteringsprocessen utförs på 16-bitars nummer. IDEA använder samma algoritm för kryptering och dekryptering.

Den grundläggande innovationen i algoritmen är användningen av operationer från olika algebraiska grupper , nämligen:

modulo tillägg $2^{16}$
modulo multiplikation $2^{{16}}+1$
bitvis exklusiv ELLER ( XOR ).

Dessa tre operationer är oförenliga i den meningen att:

inte två av dem uppfyller fördelningslagen, dvs. $a*(b+c)\ \neq \ (a*b)+(a*c)$
inte två av dem uppfyller den associativa lagen, dvs. $a+(b\oplus c)\ \neq \ (a+b)\oplus c$

Användningen av dessa tre operationer gör IDEA svårare att kryptoanalysera än DES , som enbart baseras på XOR -operationen , och eliminerar även användningen av S-boxar och ersättningstabeller. IDEA är en modifiering av Feistel-nätverket .

Nyckelgenerering

Från 128- bitarsnyckeln genereras sex 16-bitars undernycklar för var och en av de åtta krypteringsrundorna , och fyra 16-bitars undernycklar genereras för utdatatransformationen. Totalt kommer 52 = 8 x 6 + 4 olika undernycklar på 16 bitar att krävas. Processen för att generera femtiotvå 16-bitarsnycklar är som följer:

Först delas 128-bitarsnyckeln upp i åtta 16-bitarsblock. Dessa kommer att vara de första åtta undernycklarna på 16 bitar vardera − $(K_{1}^{{(1)}}K_{2}^{{(1)}}K_{3}^{{(1)}}K_{4}^{{(1)}}K_ {5}^{{(1)}}K_{6}^{{(1)}}K_{1}^{{(2)}}K_{2}^{{(2)}})$
Denna 128-bitarsnyckel roteras sedan åt vänster med 25 positioner, varefter det nya 128-bitarsblocket återigen delas upp i åtta 16-bitarsblock. Dessa är de nästa åtta undernycklarna med 16 bitar vardera - $(K_{3}^{{(2)}}K_{4}^{{(2)}}K_{5}^{{(2)}}K_{6}^{{(2)}}K_ {1}^{{(3)}}K_{2}^{{(3)}}K_{3}^{{(3)}}K_{4}^{{(3)}})$
Rotations- och blockeringsproceduren fortsätter tills alla 52 16-bitars undernycklar har genererats.

Undernyckeltabell för varje omgång

Runt nummer	ansluta
ett	$K_{1}^{{(1)}}K_{2}^{{(1)}}K_{3}^{{(1)}}K_{4}^{{(1)}}K_{ 5}^{{(1)}}K_{6}^{{(1)}}$
2	$K_{1}^{{(2)}}K_{2}^{{(2)}}K_{3}^{{(2)}}K_{4}^{{(2)}}K_{ 5}^{{(2)}}K_{6}^{{(2)}}$
3	$K_{1}^{{(3)}}K_{2}^{{(3)}}K_{3}^{{(3)}}K_{4}^{{(3)}}K_{ 5}^{{(3)}}K_{6}^{{(3)}}$
fyra	$K_{1}^{{(4)}}K_{2}^{{(4)}}K_{3}^{{(4)}}K_{4}^{{(4)}}K_{ 5}^{{(4)}}K_{6}^{{(4)}}$
5	$K_{1}^{{(5)}}K_{2}^{{(5)}}K_{3}^{{(5)}}K_{4}^{{(5)}}K_{ 5}^{{(5)}}K_{6}^{{(5)}}$
6	$K_{1}^{{(6)}}K_{2}^{{(6)}}K_{3}^{{(6)}}K_{4}^{{(6)}}K_{ 5}^{{(6)}}K_{6}^{{(6)}}$
7	$K_{1}^{{(7)}}K_{2}^{{(7)}}K_{3}^{{(7)}}K_{4}^{{(7)}}K_{ 5}^{{(7)}}K_{6}^{{(7)}}$
åtta	$K_{1}^{{(8)}}K_{2}^{{(8)}}K_{3}^{{(8)}}K_{4}^{{(8)}}K_{ 5}^{{(8)}}K_{6}^{{(8)}}$
output transformation	$K_{1}^{{(9)}}K_{2}^{{(9)}}K_{3}^{{(9)}}K_{4}^{{(9)}}$

Kryptering

Strukturen för IDEA-algoritmen visas i figuren. Krypteringsprocessen består av åtta identiska omgångar av kryptering och en utdatatransformation. Den ursprungliga klartexten är uppdelad i block om 64 bitar. Varje sådant block är uppdelat i fyra subblock om 16 bitar vardera. I figuren är dessa underblock betecknade , , , . Varje omgång använder sina egna undernycklar enligt undernyckeltabellen. Följande operationer utförs på 16-bitars undernycklar och underblock i klartext: $D_{1}$ $D_{2}$ $D_{3}$ $D_{4}$

modulo multiplikation = 65537, och istället för noll, $2^{{16}}+1$ $2^{16}$
modulo tillägg $2^{16}$
bitvis XOR

I slutet av varje krypteringsrunda finns det fyra 16-bitars underblock, som sedan används som inmatningsunderblock för nästa krypteringsrunda. Utgångstransformationen är en förkortad runda, nämligen de fyra 16-bitars underblocken i utgången av den åttonde omgången och de fyra motsvarande underblocken utsätts för operationerna:

modulo multiplikation $2^{{16}}+1$
modulo tillägg $2^{16}$

Efter att ha utfört utdatatransformationen är sammanlänkningen av underblocken , , och chiffertexten. Sedan tas nästa 64-bitars block med vanlig text och krypteringsalgoritmen upprepas. Detta fortsätter tills alla 64-bitarsblock i originaltexten är krypterade. $D_{1}'$ $D_{2}'$ $D_{3}'$ $D_{4}'$

Matematisk beskrivning

Ett 64-bitars klartextblock är uppdelat i fyra lika stora 16-bitars underblock. $(D_{1}^{{(0)}},D_{2}^{{(0)}},D_{3}^{{(0)}},D_{4}^{{(0) }})$
För varje omgång beräknas: $(i=1...8)$

$A^{{(i)}}\ =\ D_{1}^{{(i-1)}}*K_{1}^{{(i)}}$
$B^{{(i)}}\ =\ D_{2}^{{(i-1)}}+K_{2}^{{(i)}}$
$C^{{(i)}}\ =\ D_{3}^{{(i-1)}}+K_{3}^{{(i)}}$
$D^{{(i)}}\ =\ D_{4}^{{(i-1)}}*K_{4}^{{(i)}}$
$E^{{(i)}}\ =\ A^{{(i)}}\oplus C^{{(i)}}$
$F^{{(i)}}\ =\ B^{{(i)}}\oplus D^{{(i)}}$

$D_{1}^{{(i)}}\ =\ A^{{(i)}}\oplus ((F^{{(i)}}+E^{{(i)}}*K_{ 5}^{{(i)}})*K_{6}^{{(i)}})$
$D_{2}^{{(i)}}\ =\ C^{{(i)}}\oplus ((F^{{(i)}}+E^{{(i)}}*K_{ 5}^{{(i)}})*K_{6}^{{(i)}})$
$D_{3}^{{(i)}}\ =\ B^{{(i)}}\oplus (E^{{(i)}}*K_{5}^{{(i)}}+ (F^{{(i)}}+E^{{(i)}}*K_{5}^{{(i)}})*K_{6}^{{(i)}})$
$D_{4}^{{(i)}}\ =\ D^{{(i)}}\oplus (E^{{(i)}}*K_{5}^{{(i)}}+ (F^{{(i)}}+E^{{(i)}}*K_{5}^{{(i)}})*K_{6}^{{(i)}})$
Resultatet av utförandet av åtta omgångar kommer att vara följande fyra underblock $(D_{1}^{{(8)}},D_{2}^{{(8)}},D_{3}^{{(8)}},D_{4}^{{(8) }})$

En utgångstransformation utförs : $(i=9)$

$D_{1}^{{(9)}}\ =\ D_{1}^{{(8)}}*K_{1}^{{(9)}}$
$D_{2}^{{(9)}}\ =\ D_{3}^{{(8)}}+K_{2}^{{(9)}}$
$D_{3}^{{(9)}}\ =\ D_{2}^{{(8)}}+K_{3}^{{(9)}}$
$D_{4}^{{(9)}}\ =\ D_{4}^{{(8)}}*K_{4}^{{(9)}}$
Resultatet av att utföra utdatatransformationen är chiffertexten $(D_{1}^{{(9)}},D_{2}^{{(9)}},D_{3}^{{(9)}},D_{4}^{{(9) }})$

Avskrift

Beräkningsmetoden som används för att dekryptera en text är i huvudsak densamma som den som används för att kryptera den. Den enda skillnaden är att olika undernycklar används för dekryptering. Under dekrypteringsprocessen måste undernycklarna användas i omvänd ordning. De första och fjärde undernycklarna i den i:te dekrypteringsrundan erhålls från de första och fjärde undernycklarna av den (10:e) krypteringsrundan genom multiplikativ inversion. För den 1:a och 9:e omgången erhålls de andra och tredje dekrypteringsundernycklarna från de andra och tredje undernycklarna i den 9:e och 1:a krypteringsrundan genom additiv inversion. För omgångarna 2 till 8 erhålls de andra och tredje dekrypteringsundernycklarna från de tredje och andra undernycklarna i krypteringsrundorna 8 till 2 genom additiv inversion. De två sista undernycklarna i den i:e dekrypteringsrundan är lika med de två sista undernycklarna i den (9:e) krypteringsrundan. Den multiplikativa inversionen av undernyckeln K betecknas med 1/K och . Eftersom det är ett primtal har varje heltal som inte är noll en unik multiplikativ invers modulo . Den additiva inversionen av K-undernyckeln betecknas med -K och . $(1/K)*K=1\ mod\ (2^{{16}}+1)$ $2^{{16}}+1$ $2^{{16}}+1$ $-K+K=0\ mod\ (2^{{16}})$

Undernyckeltabell för varje omgång

Runt nummer	ansluta
ett	$1/K_{1}^{{(9)}}\ -K_{2}^{{(9)}}\ -K_{3}^{{(9)}}\ 1/K_{4}^ {{(9)}}\ K_{5}^{{(8)}}\ K_{6}^{{(8)}}$
2	$1/K_{1}^{{(8)}}\ -K_{3}^{{(8)}}\ -K_{2}^{{(8)}}\ 1/K_{4}^ {{(8)}}\ K_{5}^{{(7)}}\ K_{6}^{{(7)}}$
3	$1/K_{1}^{{(7)}}\ -K_{3}^{{(7)}}\ -K_{2}^{{(7)}}\ 1/K_{4}^ {{(7)}}\ K_{5}^{{(6)}}\ K_{6}^{{(6)}}$
fyra	$1/K_{1}^{{(6)}}\ -K_{3}^{{(6)}}\ -K_{2}^{{(6)}}\ 1/K_{4}^ {{(6)}}\ K_{5}^{{(5)}}\ K_{6}^{{(5)}}$
5	$1/K_{1}^{{(5)}}\ -K_{3}^{{(5)}}\ -K_{2}^{{(5)}}\ 1/K_{4}^ {{(5)}}\ K_{5}^{{(4)}}\ K_{6}^{{(4)}}$
6	$1/K_{1}^{{(4)}}\ -K_{3}^{{(4)}}\ -K_{2}^{{(4)}}\ 1/K_{4}^ {{(4)}}\ K_{5}^{{(3)}}\ K_{6}^{{(3)}}$
7	$1/K_{1}^{{(3)}}\ -K_{3}^{{(3)}}\ -K_{2}^{{(3)}}\ 1/K_{4}^ {{(3)}}\ K_{5}^{{(2)}}\ K_{6}^{{(2)}}$
åtta	$1/K_{1}^{{(2)}}\ -K_{3}^{{(2)}}\ -K_{2}^{{(2)}}\ 1/K_{4}^ {{(2)}}\ K_{5}^{{(1)}}\ K_{6}^{{(1)}}$
output transformation	$1/K_{1}^{{(1)}}\ -K_{2}^{{(1)}}\ -K_{3}^{{(1)}}\ 1/K_{4}^ {{(ett)}}$

Exempel

För enkelhetens skull presenteras siffrorna i hexadecimal form.

Krypteringsexempel

Vi använder K = (0001,0002,0003,0004,0005,0006,0007,0008) som en 128-bitars nyckel och M = (0000,0001,0002,0003) som en 64-bitars klartext

Tabell över undernycklar och underblock för varje omgång

Runda	Runda nycklar						Datablockvärden
Runda	$K_{1}^{{(i)}}$	$K_{2}^{{(i)}}$	$K_{3}^{{(i)}}$	$K_{4}^{{(i)}}$	$K_{5}^{{(i)}}$	$K_{6}^{{(i)}}$	$D_{1}^{{(i)}}$	$D_{2}^{{(i)}}$	$D_{3}^{{(i)}}$	$D_{4}^{{(i)}}$
—	—	—	—	—	—	—	0000	0001	0002	0003
ett	0001	0002	0003	0004	0005	0006	00f0	00f5	010a	0105
2	0007	0008	0400	0600	0800	0a00	222f	21b5	f45e	e959
3	0c00	0e00	1000	0200	0010	0014	0f86	39be	8ee8	1173
fyra	0018	001c	0020	0004	0008	000c	57df	ac58	c65b	ba4d
5	2800	3000	3800	4000	0800	1000	8e81	ba9c	f77f	3a4a
6	1800	2000	0070	0080	0010	0020	6942	9409	e21b	1c64
7	0030	0040	0050	0060	0000	2000	99d0	c7f6	5331	620e
åtta	4000	6000	8000	tusen tusen	c000	e001	0a24	0098	ec6b	4925
9	0080	00c0	0100	0140	-	-	11fb	ed2b	0198	6de5

Dekrypteringsexempel

Som en 128-bitars nyckel använder vi K = (0001,0002,0003,0004,0005,0006,0007,0008), och som en 64-bitars chiffertext C = (11fb, ed2b, 0198, 6de5)

Tabell över undernycklar och underblock för varje omgång

Runda	Runda nycklar						Datablockvärden
Runda	$K_{1}^{{'(i)}}$	$K_{2}^{{'(i)}}$	$K_{3}^{{'(i)}}$	$K_{4}^{{'(i)}}$	$K_{5}^{{'(i)}}$	$K_{6}^{{'(i)}}$	$D_{1}^{{(i)}}$	$D_{2}^{{(i)}}$	$D_{3}^{{(i)}}$	$D_{4}^{{(i)}}$
ett	fe01	ff40	ff00	659a	c000	e001	d98d	d331	27f6	82b8
2	fffd	8000	tusen tusen	cccc	0000	2000	bc4d	e26b	9449	a576
3	a556	ffb0	ffc0	52ab	0010	0020	0aa4	f7ef	da9c	24e3
fyra	554b	ff90	e000	fe01	0800	1000	ca 46	fe5b	dc58	116d
5	332d	c800	d000	fffd	0008	000c	748f	8f08	39da	45cc
6	4aab	ffe0	ffe4	c001	0010	0014	3266	045e	2fb5	b02e
7	aa96	f000	f200	ff81	0800	0a00	0690	050a	00fd	1dfa
åtta	4925	fc00	fff8	552b	0005	0006	0000	0005	0003	000c
9	0001	fffe	fffd	c001	-	-	0000	0001	0002	0003

Krypteringslägen

IDEA är en blockkrypteringsalgoritm som fungerar med 64-bitars block. Om storleken på den krypterade texten inte stämmer överens med denna fasta storlek, fylls blocket till 64.

Algoritmen används i ett av följande krypteringslägen [ISO 1] :

Elektronisk kodbok ( ECB ) läge
Cipher Block Chaining ( CBC ) läge
Chifferåterkopplingsläge ( CFB ) .
Output Feedback Mode ( OFB )

Algoritmen kan också användas för att beräkna

Meddelandeautentiseringskod ( MAC ) [ ISO 2] [ ISO 3]
hashvärden [ ISO 4]
nyckeldistribution [ISO 5]

Hårdvaruimplementering

Hårdvaruimplementering har följande fördelar jämfört med programvara:

en betydande ökning av krypteringshastigheten på grund av användningen av parallellitet vid utförande av operationer
lägre strömförbrukning

Den första implementeringen av IDEA-algoritmen på en integrerad krets ( Very Large Scale Integration ) utvecklades och verifierades av Lai, Massey och Murphy 1992 med en 1,5 µm-process och CMOS [IS 1] -teknik . Krypteringshastigheten för denna enhet var 44 Mb/s.

1994 utvecklades VINCI- enheten av Kariger, Bonnenberg, Zimmerman et al . Krypteringshastigheten för denna implementering av IDEA var 177 Mb/s vid en klockfrekvens på 25 MHz , en tillverkningsprocess på 1,2 mikron. Det var den första halvledarenheten som redan kunde användas för realtidskryptering i höghastighetsnätverksprotokoll som ATM ( Asynchronous Transfer Mode , en asynkron dataöverföringsmetod) eller FDDI ( Fiber Distributed Data Interface , ett distribuerat fiberdatagränssnitt) . Hastigheten på 177 Mb/s uppnåddes genom användningen av ett ganska sofistikerat pipelinebearbetningsschema och fyra konventionella modulo-multiplikatorer . Enheten använder också två enkelriktade höghastighets 16-bitars dataportar. Dessa portar ger en konstant belastning av krypteringsblock [IS 2] [IS 3] . $2^{{16}}+1$

Redan nästa år presenterade Voltaire et al. en enhet med en krypteringshastighet på 355 Mb/s. Denna hastighet uppnåddes tack vare implementeringen av en omgång kryptering på en 0,8 mikron process med CMOS -teknik . Arkitekturen för den här enheten inkluderar ett parallellt självtest baserat på ett modulo 3 felhanteringssystem som låter dig bestämma de fel som uppstår i en eller flera bitar i IDEA-datavägen, vilket gör det möjligt att på ett tillförlitligt sätt förhindra korruption av krypterade eller dekrypterad data [IS 4] .

Den högsta krypteringshastigheten på 424 Mb/s 1998 på en enda integrerad krets uppnåddes av en grupp ingenjörer ledda av Salomao från Federal University of Rio de Janeiro COPPE på en 0,7 mikron process med en frekvens på 53 MHz. Arkitekturen för denna implementering använder både rumslig och tidsmässig parallellism som är tillgänglig i IDEA-algoritmen [IS 5] .

Samma år implementerades IDEA av Menser et al på fyra XC4020XL-enheter. Krypteringshastigheten för 4 x XC4020XL är 528 Mbps [IS 6] .

1999 presenterades två kommersiella implementeringar av IDEA av Ascom. Den första kallas IDEACrypt Kernel och uppnår hastigheter på 720 Mbps med hjälp av 0,25 µm-teknologi [IS 7] . Den andra kallas IDEACrypt Coprocessor, baserad på IDEACrypt Kernel och uppnår en krypteringshastighet på 300 Mb/s [IS 8] .

År 2000 släppte ingenjörer från det kinesiska universitetet i Hong Kong, Liong et al., krypteringsenheter baserade på Xilinx FPGA :er: Virtex XCV300-6 och XCV1000-6 [IS 9] . Krypteringshastigheten för Virtex XCV300-6 når 500 Mb/s vid 125 MHz, och den förväntade prestandan för XCV1000-6 är 2,35 Gb/s, vilket gör denna enhet lämplig för kryptering i höghastighetsnätverk. Hög krypteringshastighet uppnåddes med hjälp av en bitsekventiell arkitektur för att utföra modulo multiplikationsoperationen . Resultaten av experiment med olika enheter sammanfattas i tabellen: $2^{{16}}+1$

Enhetsspecifikationer

Enhet (XCV)	300-6	600-6	1000-6
skalbarhet	1x	2x	4x
antal avsnitt	2801	5602	11204
användning av sektioner	91,18 %	81,05 %	91,18 %
klockfrekvens (MHz)	125,0	136,6	147,1
krypteringar per sekund (x ) $10^{6}$	7,813	17.075	36,775
krypteringshastighet (Mb/s)	500,0	1092,8	2353,6
latens (µs)	7,384	6,757	6,275

Lite senare föreslog samma utvecklare en enhet baserad på Xilinx Virtex XCV300-6 FPGA baserad på en bitparallell arkitektur. När den implementeras med den bitparallella arkitekturen vid 82 MHz, är XCV300-6-krypteringshastigheten 1166 Mb/s, medan med den bitseriella arkitekturen uppnåddes 600 Mb/s vid 150 MHz. XCV300-6 med båda arkitekturerna är skalbar. Med den bitparallella arkitekturen är den uppskattade krypteringshastigheten för XCV1000-6 5,25 Gb/s [IS 10] .

Även år 2000 utvecklade Goldstein et al. en PipeRench FPGA -enhet med en 0,25 µm tillverkningsprocess med en krypteringshastighet på 1013 Mbps [IS 11] .

Utveckling av hårdvaruimplementationer av IDEA

År	Genomförande	Krypteringshastighet (Mb/s)	Författarna
1998	programvara	23.53	Limpaa
2000	programvara [1]	44	Limpaa
1992	ASIC 1,5 µm CMOS	44	Bonnenberg och andra.
1994	ASIC 1,2 µm CMOS	177	Curiger, Zimmermann och andra.
1995	ASIC 0,8 µm CMOS	355	Wolter och andra
1998	ASIC 0,7 µm CMOS	424	Salomao och andra.
1998	4 x XC4020XL	528	Mencer och andra.
1999	ASIC 0,25 µm CMOS	720	Ascom
2000	Xilinx Virtex XCV300-6	1166	Leong och andra.
2000	ASIC 0,25 µm CMOS	1013	Goldstein och andra.

År 2002 publicerades ett arbete om implementeringen av IDEA på FPGA från samma företag Xilinx i Virtex-E-familjen. XCV1000E-6BG560 vid 105,9 MHz uppnår en krypteringshastighet på 6,78 Gb/s. [2]

FPGA - baserade implementeringar är ett bra val när det kommer till högpresterande kryptografi. Bland applikationerna finns VPN ( engelska Virtual Private Networks , virtuellt privat nätverk), kommunikation via satellit, samt hårdvaruacceleratorer för att kryptera enorma filer eller hela hårddiskar .

Säkerhet

IDEA-algoritmen dök upp som ett resultat av mindre modifieringar av PES-algoritmen. Figuren visar strukturerna för båda algoritmerna, och det är tydligt att det inte finns så många förändringar:

subblock multiplikation med andra omgångens undernyckel ersatt av addition $D_{2}$
subblockaddition med fjärde omgångens undernyckel ersatt med multiplikation $D_{4}$
ändrat skift av delblock i slutet av omgången

En av de mest kända kryptologerna i världen, Bruce Schneier , noterade i sin bok "Applied Cryptography": "... det är otroligt hur så små förändringar kan leda till så stora skillnader."

I samma bok från 1996 sa Bruce Schneier om IDEA: "Jag tror att det är den bästa och mest robusta blockalgoritmen som publicerats hittills."

IDEA-algoritmen använder 64-bitars block. Blocklängden måste vara tillräcklig för att dölja det ursprungliga meddelandets statistiska egenskaper. Men med en ökning av blockstorleken ökar komplexiteten i att implementera en kryptografisk algoritm exponentiellt. IDEA-algoritmen använder en 128-bitars nyckel. Längden på nyckeln måste vara tillräckligt stor för att förhindra iteration över nyckeln. För att öppna en 128-bitars nyckel med brute-force-sökning, förutsatt att den öppna texten och motsvarande chiffertext är kända, krävs krypteringar (i storleksordningen ). Med denna nyckellängd anses IDEA vara ganska säker. Den höga kryptografiska styrkan hos IDEA tillhandahålls också av följande egenskaper: $2^{128}$ $10^{{38}}$

obfuscation - kryptering beror på nyckeln på ett komplext och förvirrande sätt
spridning - varje bit av klartexten påverkar varje bit av chiffertexten

Lai Xuejia ( Xuejia Lai ) och James Massey ( James Massey ) genomförde en grundlig analys av IDEA för att klargöra dess kryptografiska motstånd mot differentiell kryptoanalys . För att göra detta introducerade de konceptet med ett Markov-chiffer och visade att motstånd mot differentiell kryptoanalys kan modelleras och kvantifieras [säkerhet 1] . Det fanns inga linjära eller algebraiska svagheter i IDEA. Bihams försök till attack med länkad nyckelkrypteringsanalys misslyckades också [styrka 2] .

Det finns framgångsrika attacker som är tillämpliga på IDEA med färre rundor (full IDEA har 8,5 omgångar). En attack anses vara framgångsrik om den kräver färre operationer för att bryta chiffret än med en fullständig uppräkning av nycklarna. Willi Meiers attackmetod visade sig vara mer effektiv än brute force attack endast för IDEA med 2 omgångar [hårdhet 3] . Möt-i-mitt- metoden öppnade IDEA med 4,5 omgångar. Detta kräver kunskap om alla block från kodordboken och komplexiteten i analysen är operationer [hårdhet 4] . Den bästa attacken för 2007 gäller alla nycklar och kan knäcka IDEA med 6 omgångar [Fortitude 5] . $2^{64}$ $2^{112}$

Svaga tangenter

Det finns stora klasser av svaga nycklar . De är svaga i den meningen att det finns procedurer som låter dig avgöra om nyckeln tillhör en given klass, och sedan själva nyckeln. Följande är för närvarande kända:

$2^{{23}}+2^{{35}}+2^{{51}}$ nycklar svaga för differentiell kryptoanalys . Klassmedlemskap kan beräknas i operationer med matchad klartext. Författarna till denna attack föreslog en modifiering av IDEA-algoritmen. Denna modifiering består i att ersätta undernycklarna med motsvarande , där r är numret på krypteringsrundan. Det exakta värdet av a är inte kritiskt. Till exempel när (i hexadecimal notation ) dessa svaga nycklar exkluderas [styrka 6] . $2^{{51}}$ $2^{12}$ $K_{i}^{{(r)}}$ $K_{i}^{{'(r)}}\ =a\oplus K_{i}^{{(r)}}$ $a\ =\ 0dae$

$2^{{63}}$ nycklar svaga till linjär differentiell kryptoanalys [styrka 7] . Medlemskap i denna klass bestäms med hjälp av ett test på tillhörande nycklar.

$2^{{53}}+2^{{56}}+2^{{64}}$ Svaga nycklar hittades med hjälp av bumerangattackmetoden som föreslagits av David Wagner [styrka 8 ] . Testet för att tillhöra denna klass utförs i operationer och kommer att kräva minnesceller [hårdhet 9] . $2^{16}$ $2^{16}$

Förekomsten av så stora klasser av svaga nycklar påverkar inte den praktiska kryptografiska styrkan hos IDEA-algoritmen, eftersom det totala antalet av alla möjliga nycklar är . $2^{128}$

Jämförelse med vissa blockalgoritmer

DES , Blowfish och GOST 28147-89 är utvalda för jämförelse med IDEA . Valet av DES beror på att IDEA designades som dess ersättare. Blowfish är vald för att den är snabb och myntades av den kända kryptologen Bruce Schneier. Också vald för jämförelse är GOST 28147-89 , ett blockchiffer utvecklat i Sovjetunionen . Som framgår av tabellen är IDEA-nyckelstorleken större än den för DES, men mindre än den för GOST 28147-89 och Blowfish. Krypteringshastigheten för IDEA på Intel486SX /33MHz är 2 gånger högre än den för DES, högre än den för GOST 28147-89, men nästan 2 gånger mindre än den för Blowfish.

Parametertabell

Algoritm	Nyckelstorlek, bit	Blocklängd, bit	Antal omgångar	Krypteringshastighet vid Intel486SX /33MHz (KB/s)	Grundläggande operationer
DES	56	64	16	35	Substitution, permutation, bitvis XOR
ANING	128	64	åtta	70	Modulo multiplikation, modulo addition , bitvis XOR $2^{{16}}+1$ $2^{16}$
blåsfisk	32-448	64	16	135	Modulo addition , substitution, bitvis XOR $2^{32}$
GOST 28147-89	256	64	32	53	Modulo addition , substitution, bitvis XOR, cirkulär skiftning $2^{32}$

Nedan finns en tabell som jämför hastigheter i mjukvaruimplementering på Pentium , Pentium MMX , Pentium II , Pentium III-processorer . Beteckningen 4-way IDEA innebär att 4 krypterings- eller dekrypteringsoperationer utförs parallellt. För att göra detta används algoritmen i parallella krypteringslägen. Helger Limpaa implementerade 4-vägs IDEA i elektronisk kodbokschifferläge ( CBC4 ) och räknarläge (CTR4). Således uppnåddes en krypterings-/dekrypteringshastighet på 260-275 Mbps med användning av CBC4 vid 500 MHz Pentium III och med användning av CTR4 vid 450 MHz Pentium III . I tabellen ovan är hastigheterna skalade till en hypotetisk 3200 MHz-maskin.

Hastighetsjämförelsetabell

Blockchiffer	Blocklängd, bit	Antal cykler	Krypteringshastighet, MB/s	Författare	CPU
Fyrkant	128	192	254,4	Limpaa	Pentium II
RC6	128	219	222,8	Limpaa	Pentium II , Pentium III
4-vägs IDÉ	4x64	440	222,0	Limpaa	Pentium III
Rijndael	128	226	216,0	Limpaa	Pentium II , Pentium III
Fyrkant	128	244	200,0	Bosselaers	Pentium
4-vägs IDÉ	4x64	543	180,0	Limpaa	Pentium MMX
SC2000	128	270	180,8	Limpaa	Pentium II , Pentium III , gcc (ingen asm )
4-vägs IDÉ	4x64	554	176,4	Limpaa	AMD Athlon
Tvåfisk	128	277	176,4	Aoki, Limpaa	Pentium II , Pentium III
Rijndael	128	300	162,8	Gladman	Pentium III
Kamelia	128	302	161,6	Aoki	Pentium II , Pentium III
MARS	128	306	160,0	Limpaa	Pentium II , Pentium III
blåsfisk	64	158	154,4	Bosselaers	Pentium
RC5-32/16	64	199	122,8	Bosselaers	Pentium
CAST5	64	220	110,8	Bosselaers	Pentium
DES	64	340	72,0	Bosselaers	Pentium
ANING	64	358	68,0	Limpaa	Pentium MMX
SÄKRARE (S)K-128	64	418	58,4	Bosselaers	Pentium
HAJ	64	585	41,6	Bosselaers	Pentium
ANING	64	590	41.2	Bosselaers	Pentium
3DES	64	158	154,4	Bosselaers	Pentium

Fördelar och nackdelar med IDEA

Fördelar

I mjukvaruimplementering på Intel486SX jämfört med DES är IDEA dubbelt så snabb, vilket är en signifikant ökning i hastighet, IDEA har en nyckellängd på 128 bitar, jämfört med 56 bitar för DES, vilket är en bra förbättring mot brute force. Sannolikheten att använda svaga nycklar är mycket liten och uppgår till . IDEA är snabbare än GOST 28147-89-algoritmen (i mjukvaruimplementering på Intel486SX ). Genom att använda IDEA i parallella krypteringslägen på Pentium III- och Pentium MMX-processorer kan du få höga hastigheter. Jämfört med AES-finalisterna är 4-vägs IDEA bara något långsammare än Pentium II RC6 och Rijndael , men snabbare än Twofish och MARS . På Pentium III är 4-vägs IDEA ännu snabbare än RC6 och Rijndael . Fördelen är också god kunskap och motståndskraft mot välkända metoder för kryptoanalys. $1/2^{{64}}$

Nackdelar

IDEA är betydligt långsammare, nästan två gånger långsammare än Blowfish (i mjukvaruimplementering på Intel486SX ). IDEA ger inte möjlighet att öka nyckellängden.

Jämförelse med några blockchiffer i PGP-implementeringen

Jämförelsetabell över huvudparametrarna för blockchiffer i PGP- implementeringen [2]

Algoritm	Nyckel, lite	Blockera, lite	Anteckningar
Trippel-DES	168	64	Feistel nätverk ; har ett utrymme med halvsvaga och svaga tangenter.
AES ( Rijndael )	256	128	Baserat på datamatristabelloperationer; accepteras som stat standard i USA; har hög kryptografisk styrka.
CAST6	128	64	Feistel nätverk ; har inga svaga nycklar; resistent mot kryptoanalys.
ANING	128	64	Baserat på att blanda operationer från olika algebraiska grupper; har ett svagt nyckelutrymme; inte alla verk om kryptoanalys har publicerats.
Tvåfisk	256	128	Feistel nätverk ; snabb vid kryptering, långsam nyckelinställning; den är relativt komplex, vilket gör analysen svår; har stor säkerhetsmarginal.
blåsfisk	max 448	64	Feistel nätverk ; snabb vid kryptering, långsam nyckelinställning; jämförelsevis enkel; har ett litet utrymme med svaga nycklar; har stor säkerhetsmarginal.

Använder IDEA

Tidigare var algoritmen patenterad i många länder, och själva namnet "IDEA" var ett registrerat varumärke. Det sista patentet associerat med algoritmen gick dock ut 2012, och nu kan själva algoritmen användas fritt för alla ändamål. 2005 introducerade MediaCrypt AG (IDEA:s licensinnehavare) officiellt det nya IDEA NXT- chifferet (ursprungligen kallat FOX) för att ersätta IDEA. Typiska tillämpningar för IDEA:

kryptering av ljud- och videodata för kabel-tv , videokonferenser , distansundervisning , VoIP
skydd av kommersiell och finansiell information som återspeglar marknadsfluktuationer
kommunikationslinjer via modem , router eller ATM- linje, GSM - teknik
smarta kort
offentligt paket med konfidentiell e -postversion PGP v2.0 [3] och (valfritt) i OpenPGP

Registrering av IDEA-algoritmen i standarderna

ISO 9979/0002 : ISO Register of Cryptographic Algorithms - ISO - registrering av kryptografiska algoritmer
UN / EDIFACT ( engelska United Nations / Electronic Data Interchange For Administration, Commerce and Transport - UN / electronic data interchange for administration, commerce and transport): EDIFACT Security Implementation Guidelines - säkerhetsrekommendationer
ITU-T Rekommendation H.233: Konfidentialitetssystem för audiovisuella tjänster - Rekommendation H.233: Konfidentialitetssystem för audiovisuella tjänster
IETF ( Internet Engineering Task Force ) RFC 3058 : Använda IDEA Encryption Algorithm i CMS
TBSS: Telematic Base Security Services - grundläggande säkerhet för fjärrdatabehandlingstjänst
OpenSSL är ett kryptografiskt paket med öppen källkod för att hantera SSL / TLS
WAP ( Wireless Application Protocol ) WTLS ( Wireless Transport Layer Security )
NESSIE ( eng. New European Schemes for Signature, Integrity and Encryption - nya europeiska projekt om digital signatur, integritet och kryptering)

Källor

Xuejia Lai och James Massey. Förslag till en ny blockkrypteringsstandard, EUROCRYPT 1990. - Springer-Verlag, 1991. - P. 389-404. — ISBN 3-540-53587-X .
Xuejia Lai och James Massey. Markov-chiffer och differentiell kryptoanalys = Markov-chiffer och differentiell kryptoanalys, Advances in Cryptology, EUROCRYPT 1991. - Springer-Verlag, 1992. - S. 17-38. — ISBN 3540546200 .
Menezes A. J. , Oorschot P. v. , Vanstone S. A. Handbook of Applied Cryptography (engelska) - CRC Press , 1996. - 816 sid. — ( Diskret matematik och dess tillämpningar ) — ISBN 978-0-8493-8523-0
Schneier B. Tillämpad kryptografi. Protokoll, algoritmer, källkod i C-språk = Applied Cryptography. Protocols, Algoritms and Source Code in C. - M. : Triumph, 2002. - 816 sid. - 3000 exemplar. - ISBN 5-89392-055-4 .
Huseyin Demirci, Erkan Türe, Ali Aydin Selçuk. Ett nytt möte i mitten Attack på IDEA Block Chiffer : Proceedings of Conf. / 10:e årliga workshopen om utvalda områden inom kryptografi, 2003.
Helger Limpaa. IDÉ: Ett chiffer för multimediaarkitekturer? = IDÉ: Ett chiffer för multimediaarkitekturer? I Stafford Tavares och Henk Meijer, redaktörer, Selected Areas in Cryptography '98, volym 1556 av Lecture Notes in Computer Science - Springer-Verlag, 17-18 augusti 1998. - S. 248-263.

Anteckningar

↑ Menezes, Oorschot, Vanstone, 1996 , s. 263.
↑ En jämförande recension av PGP-algoritmer . Hämtad 10 november 2008. Arkiverad från originalet 13 maj 2012. (ryska)
↑ S. Garfinkel. Pretty Good Privacy = PGP: Pretty Good Privacy. - 1 december 1994. - 430 sid. — ISBN 978-1565920989 .

Säkerhet

↑ X. Lai. On the Design and Security of Block Chiphers, ETH Series in Information Processing // Lecture Notes in Computer Science = Lecture Notes in Computer Science. - Berlin / Heidelberg: Springer-Verlag, 10 april 2006 - S. 213-222. — ISBN 978-3-540-62031-0 .
↑ E. Biham, personlig kommunikation, 1993
↑ W. Meier, HTL. Brugg Windisch, Schweiz. Om säkerheten för IDEA Block Chiffer // Workshop om teori och tillämpning av kryptografiska tekniker om framsteg inom kryptologi EUROCRYPT '93 Proceedings. - Secaucus, NJ, USA: Springer-Verlag New York, Inc., 1994. - P. 371-385. — ISBN 3-540-57600-2 .
↑ Biham E. , Biryukov A. , Shamir A. Miss in the Middle Attacks on IDEA and Khufu // Fast Software Encryption : 6th International Workshop , FSE'99 Rom, Italien, 24–26 mars 1999 Proceedings / L. R. Knudsen - Berlin , Heidelberg , New York, NY , London [etc.] : Springer Berlin Heidelberg , 1999. - P. 124-138. - ( Lecture Notes in Computer Science ; Vol. 1636) - ISBN 978-3-540-66226-6 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-48519-8_10
↑ E. Biham, O. Dunkelman, N. Keller. A New Attack on 6-round IDEA // Lecture Notes in Computer Science = Lecture Notes In Computer Science. - Berlin / Heidelberg: Springer-Verlag, 18 augusti 2007 - S. 211-224. — ISBN 978-3-540-74617-1 .
↑ J. Daemen, R. Govaerts och J. Vandewalle. Weak Keys for IDEA // Föreläsningsanteckningar om teorin om datorsystem; Kommissionens arbete vid den 13:e årliga internationella konferensen om kryptologi EUROCRYPT 1993 = Lecture Notes In Computer Science; Handlingar från den 13:e årliga internationella kryptologikonferensen om framsteg inom kryptologi. - London, Storbritannien: Springer-Verlag, 1993. - P. 224-231. — ISBN 3-540-57766-1 .
↑ P. Hawkes. Differentiell-linjära svaga nyckelklasser av IDEA // Föreläsningsanteckningar i datavetenskap = Föreläsningsanteckningar i datavetenskap. - Berlin / Heidelberg: Springer-Verlag, 28 juli 2006 - S. 112-126. — ISBN 978-3-540-64518-4 .
↑ D. Wagner. The Boomerang Attack // Föreläsningsanteckningar om teorin om datorsystem; Panelarbete vid 6:e internationella seminariet om snabb mjukvarukryptering = Lecture Notes In Computer Science; Proceedings of the 6th International Workshop on Fast Software Encryption. - London, Storbritannien: Springer-Verlag, 1999. - S. 156-170. — ISBN 3-540-66226-X .
↑ A. Biryukov, J. Nakahara Jr, B. Preneel, J. Vandewalle. New Weak-Key Classes of IDEA // Föreläsningsanteckningar om teorin om datorsystem; Kommissionsarbete vid den fjärde internationella konferensen om informations- och kommunikationssäkerhet = Lecture Notes In Computer Science; Proceedings of the 4th International Conference on Information and Communications Security. - London, Storbritannien: Springer-Verlag, 2002. - P. 315-326. — ISBN 3-540-00164-6 . Arkiverad 28 september 2011 på Wayback Machine

Hårdvaruimplementering

↑ H. Bonnenberg, A. Curiger, N. Felber, H. Kaeslin och X. Lai. VLSI-implementering av ett nytt blockchiffer // Proceedings of the IEEE International Conference on Computer Design: VLSI in Computer and Processors. - Washington, DC, USA: IEEE Computer Society, 1991. - P. 510-513. — ISBN 0-8186-2270-9 .
↑ A. Curiger, H. Bonnenberg, R. Zimmerman, N. Felber, H. Kaeslin och W. Fichtner. VINCI: VLSI-implementering av det nya hemliga nyckelblockchifferet IDEA // Proceedings of the IEEE Custom Integrated Circuits Conference. - San Diego, CA, USA: IEEE Computer Society, 9-12 maj 1993. - P. 15.5.1-15.5.4. - ISBN 0-7803-0826-3 .
↑ R. Zimmermann, A. Curiger, H. Bonnenberg, H. Kaeslin, N. Felber och W. Fichtner. En 177 Mb/sek VLSI-implementering av den internationella datakrypteringsalgoritmen // IEEE Journal of Solid-State Circuits. - Mars 1994. - T. 29 . - S. 303-307 .
↑ S. Wolter, H. Matz, A. Schubert och R. Laur. Om VLSI-implementeringen av den internationella datakrypteringsalgoritmen IDEA // Proceedings of the IEEE International Symposium on Circuits and Systems. - Seattle, Washington, USA: IEEE Computer Society, 30 apr-3 maj 1995. - S. 397-400. - ISBN 0-7803-2570-2 .
↑ SLC Salomao, VC Alves och EMC Filho. HiPCrypto: Ett högpresterande VLSI-krypteringschip // Proceedings of the Eleventh Annual IEEE ASIC Conference . - Rochester, NY, USA: IEEE Computer Society, 13-16 september 1998. - S. 7-11. - ISBN 0-7803-4980-6 .
↑ O. Mencer, M. Morf och M. J. Flynn. Hårdvaruprogram tri-design av kryptering för mobila kommunikationsenheter // Proceedings of the IEEE International Conference on Acoustics, Speech and Signal Processing. - Seattle, Washington, USA: IEEE Computer Society, 12-15 maj 1998. - P. 3045-3048. - ISBN 0-7803-4428-6 .
↑ Ascom, IDEACrypt Kernel Data Sheet, 1999.
↑ Ascom, IDEACrypt Coprocessor Data Sheet, 1999.
↑ MP Leong, OYH Cheung, KH Tsoi och PHW Leong. En bit-seriell implementering av den internationella datakrypteringsalgoritmen IDEA // Proceedings of the 2000 IEEE Symposium on Field-Programmable Custom Computing Machines. - Seattle, Washington, USA: IEEE Computer Society, 2000. - S. 122-131. — ISBN 0-7695-0871-5 .
↑ OYH Cheung, KH Tsoi, PHW Leong och MP Leong. Avvägningar i parallella och seriella implementeringar av den internationella datakrypteringsalgoritmen IDEA // Kryptografisk hårdvara och inbyggda system 2001 = CHES 2001: kryptografisk hårdvara och inbyggda system. - INIST-CNRS, Cote INIST : 16343, 35400009702003.0270: Springer, Berlin, ALLEMAGNE ETATS-UNIS (2001) (Monographie), 2001. - S. 333-347. — ISBN 3-540-42521-7 .
↑ SC Goldstein, H. Schmit, M. Budiu, M. Moe och RR Taylor. Piperench: En återskapande arkitektur och kompilator // Dator. - April 2000. - T. 33 , nr 4 . - S. 70-77 .

Standarder

↑ ISO 10116: Informationsbehandling — Driftsätt för en n-bitars blockchifferalgoritm.
↑ ISO 9797: Datakrypteringstekniker — Dataintegritetsmekanism som använder en kryptografisk kontrollfunktion som använder en blockchifferalgoritm.
↑ ISO 9798-2: Informationsteknologi - Säkerhetstekniker - Entitetsautentiseringsmekanismer - Del 2: Entitetsautentisering med symmetriska tekniker.
↑ ISO 10118-2: Informationsteknologi - Säkerhetstekniker - Hash-funktioner - Del 2: Hash-funktioner som använder en n-bitars blockchifferalgoritm.
↑ ISO 11770-2: Informationsteknologi - Säkerhetstekniker - Nyckelhantering - Del 2: Nyckelhanteringsmekanismer som använder symmetriska tekniker.

Länkar

Hårdvarusyntes av IDEA-kryptoalgoritm

Implementeringar

IDEA i 448 byte av 80x86 (engelska) . - implementering av IDEA i programmeringsspråket Assembler . Hämtad 6 november 2008. Arkiverad från originalet 28 januari 2012.

Ryssar

Vanliga frågor om symmetriska chiffer (länk ej tillgänglig) . - baserat på materialet från fido7.ru.crypt-konferensen. Hämtad 6 november 2008. Arkiverad från originalet 22 augusti 2011. (ryska)
Symmetriska blockchiffer . — Analys av tillförlitligheten hos blockchiffer vid implementering av PGP. Hämtad: 6 november 2008. (ryska)

Utländsk

RSA FAQ om blockchiffer . Hämtad 6 november 2008. Arkiverad från originalet 19 oktober 2004.
SCAN-post för IDEA . Hämtad 6 november 2008. Arkiverad från originalet 28 januari 2012.
IDEA Applet (tyska) . Hämtad 6 november 2008. Arkiverad från originalet 1 februari 2012.
Erläuterung und Schaubild zum Verfahren (tyska) . Hämtad 6 november 2008. Arkiverad från originalet 28 januari 2012.

Symmetriska kryptosystem
Streama chiffer	A3 A5 A8 Decim F-FCSR Spannmål HC-256 KCipher-2 MICKEY MUGI GÄDDA Phelix RC4 Kanin TÄTA SNÖ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel nätverk	GOST 28147-89 (Magma) blåsfisk Kamelia CAST-128 CAST-256 CIFERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra HANDLA DES DESX DFC E2 ENRUPT FEAL HPC ANING KASUMI Khafre Khufu LOKI97 MacGuffin MARS MASKA DIMMIG1 Ny DES NDS RC5 RC6 UTSÄDE Simon Sinople skipjack SM4 Fläck TE XTEA XXTEA Raiden RTEA Trippel DES Tvåfisk
SP nätverk	gräshoppa 3 sätt ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bälte CRYPTON Diamant2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna djävulen närvarande Regnbåge SÄKRARE HAJ FYRKANT Orm tre fiskar
Övrig	GRODA NUSH REDOC SC2000 SHACAL CS-Chiffer