New Data Seal (NDS)
Создатель	[IBM]
Создан	1975 год
Размер ключа	2048 бит
Размер блока	128 бит
Число раундов	16
Тип	сеть Фейстеля

New Data Seal (NDS) — блочный шифр, основанный на алгоритме Люцифера, который позже стал стандартом DES. Шифр был разработан в компании IBM в 1975 году. Для шифрования NDS использует делит входные (незашифрованные) данные на блоки по 128 бит и использует очень длинный ключ размером 2048 бит. Структура шифра точно такая же, как и у DES: cеть Фейстеля с 16 раундами.

Принцип работы

Шифр NDS является достаточно простым в частности из-за того, что в каждом раунде сети Фейстеля в его основе используется один и тот же ключ.

Ключ представляет собой отображение: $k:\{0,1\}^{8}\rightarrow \{0,1\}^{8},$ то есть размерность пространства таких ключей $(2^{8})^{2^{8))=2^{2048},$ что более чем достаточно для предотвращения перебора ключей.
Система использует 2 заранее известных (не динамичных) S-блока: $S_{0},S_{1},\{0,1\}^{4}\rightarrow \{0,1\}^{4},$ $S_{0},S_{1},\{0,1\}^{4}\rightarrow \{0,1\}^{4},$ ключевое расписание состоит из одного ключа $k.$ $k.$ Блок открытого текста делится на 2 подблока ${\displaystyle m_{i))$ ${\displaystyle m_{i))$ размером 64 бита каждый. Для того, чтобы посчитать $f_{k}(m_{i}):$ $f_{k}(m_{i}):$
1. ${\displaystyle m_{i))$ разбивается на восемь 8-битных частей. За ${\displaystyle m_{i}^{*))$ обозначим байт, образованный первым битом каждого байта в ${\displaystyle m_{i))$
2. каждая часть ${\displaystyle m_{i))$ разбивается на два 4-битных ниббла
3. к левому нибблу применяется $S_{0},$ к правому — ${\displaystyle S_{1))$
4. в случае, если $j$ -ый бит $k(m_{i}^{*})$ равен 1, поменяются местами нибблы $j$ -ой части после ${\displaystyle S_{0}S_{1))$ преобразования
5. к 64-битному результату (после объединения всех частей) применяется заранее известная перестановка. Она позволяет защитить шифр от взлома и анализа как системы более простых независимых подшифров.

Алгоритм взлома

Использование одного и того же ключа в каждом раунде является слабым местом данного шифра и используется в атаке на основе подобранного открытого текста. С ее помощью можно полностью восстановить ключ шифрования: обозначим за ${\displaystyle T_{k))$ преобразование, соответствующее одному раунду NDS, то есть $T_{k}(m_{i-1},m_{i})=(m_{i},m_{i-1}\oplus f_{k}(m_{i})).$ Далее, ${\displaystyle F=T^{16))$ будет обозначать все 16 раундов. Заметим, что $F$ и $T$ коммутируют: $FT(m)=T^{16}T(m)=TT^{16}(m)=TF(m).$ В соответствии с принципом Керкгоффса мы знаем все об алгоритме шифрования, кроме ключа $k(q),\;q\in \{0,1\}^{8}.$ Тогда если мы будем знать $k(q)$ для каждого возможного $q,$ ключ будет считаться взломанным.

Процедура атаки следующая:

Подобрать сообщение $m=(m_{0},m_{1}),$ так, чтобы $m_{1}^{*}=q.$
Взломщик получает зашифрованное сообщение $(m_{16},m_{17})=F(m),$ соответствующее открытому тексту $m.$
Пусть ${\tilde {k))$ — один из возможных 8-битных ключей (всего ${\displaystyle 2^{8))$ комбинаций). И пусть ${\tilde {T))=T_{\tilde {k))(m)$ есть результат после работы от 1 раунда с ключом ${\tilde {k))$ .
Если ${\tilde {k))=k(q),$ то ${\tilde {T))=T(m)$ и $F({\tilde {T)))=FT(m)=TF(m)=T(m_{16},m_{17})=(m_{17},?).$ Следовательно левая половина $F({\tilde {T)))$ согласована с правой половиной $F(m)=(m_{16},m_{17}).$
Взломщик получает зашифрованное сообщение $F({\tilde {T))),$ соответствующее заранее выбранному тексту ${\tilde {T)).$ Если правая половина $F(m)$ соответствует левой половине $F({\tilde {T))),$ то можно считать ${\tilde {k))$ допустимым значением для $k(q).$ В худшем случае нужно будет перебрать $2^{8}=256$ комбинаций ${\tilde {k))$ для нахождения нужного значения.
Повторяем процедуру для каждого $q\in \{0,1\}^{8},$ получая значение ключа $k$ с помощью $2^{8}(2^{8}+1)=65792$ заранее выбранных открытых текстов.

Атаки на шифр

В 1977 Эдна Гроссман и Брайант Такермен впервые продемонстрировали атаку на NDS с помощью сдвиговой атаки^[1]^[2]. Этот метод использует не более 4096 подобранных открытых текстов. В их лучшем испытании они смогли восстановить ключ только с 556 подобранными открытыми текстами.

Примечания

↑ E. K. Grossman, Thomas J. Watson IBM Research Center Research Division, B. Tuckerman. Analysis of a Feistel-like Cipher Weakened by Having No Rotating Key. — IBM Thomas J. Watson Research Division, 1977. — 33 с.
↑ Henry Beker, Fred Piper. Cipher Systems: The Protection of Communications. — John Wiley & Sons, 1982. — С. 263–267. — ISBN 0-471-89192-4.

Симметричные криптосистемы
Потоковые шифры	A3 A5 A8 Decim F-FCSR Grain HC-256 KCipher-2 MICKEY MUGI PIKE Phelix RC4 Rabbit SEAL SNOW SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Сеть Фейстеля	ГОСТ 28147-89 (Магма) Blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Cobra DEAL DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 SEED Simon Sinople Skipjack SM4 Speck TEA XTEA XXTEA Raiden RTEA Triple DES Twofish
SP-сеть	Кузнечик 3-WAY ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing BassOmatic BelT CRYPTON Diamond2 Grand Cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer Present Rainbow SAFER SHARK SQUARE Serpent Threefish
Другие	FROG NUSH REDOC SC2000 SHACAL CS-Cipher

Категории