Экологически чистый шифр

(Октябрь 2000)

Государственным криптостандартом США будет алгоритм из Бельгии. Отчего же так приятно это слышать? (Финальная – четвертая – часть эпоса о конкурсе AES. Ранее было тут: ч.1, ч.2, ч.3)

rijndael-aes

Вот и завершился «конкурс AES» — объявленное в январе 1997 года международное состязание по выбору шифра для нового криптостандарта США на замену DES. Практически все люди, либо непосредственно принимавшие участие в AES-процессе, либо наблюдавшие за ним со стороны, отмечают воистину беспрецедентный характер этого мероприятия.

Поражала и небывалая открытость организаторов, Национального института стандартов и технологий (НИСТ) США, и постоянная готовность к тесному сотрудничеству с мировым криптографическим сообществом. И непременный юмор, сопровождавший AES-конкурс буквально на всех организационных мероприятиях.

Нельзя не вспомнить, как летом 1998 года Майлз Смид, один из главных в НИСТ инициаторов всего этого процесса, открывал первый раунд конкурса на новый криптостандарт. В своей речи он представил аудитории следующий «Общий алгоритм перехода от DES к AES»:

1. Убедить руководство НИСТ в том, что DES уже недостаточно безопасен;
2. Убедить руководство НИСТ в том, что «тройной DES» недостаточно хорош, чтобы стать AES;
3. Призвать лучших криптографов мира предложить свои алгоритмы;
4. Призвать лучших криптографов мира проанализировать эти алгоритмы;
5. Избежать ареста за нарушение экспортных законов;
6. Молиться о консенсусе;
7. Если же все это дело не пройдет, то приравнять AES = DES.

На дворе ныне осень 2000 года. С удовлетворением можно констатировать, что затея НИСТ удалась на славу. Никто не арестован, консенсус достигнут, все шесть этапов прошли успешно и вполне достойный преемник для DES найден. Название, правда, у бельгийского шифра-победителя странноватое – Rijndael, но и это, так сказать, «киргуду» – шутка веселых фламандских парней.

О названии

Как же правильно произносить столь «спотыкучий» набор букв? Пару лет назад на веб-странице Винсента Рэймена, одного из двух авторов криптоалгоритма, говорилось по данному поводу следующее:

Да, действительно похоже, что это – главная проблема с нашим шифром. Если вы из Фландрии, Нидерландов, Южной Африки, Индонезии или Суринама, то никаких проблем с чтением у вас не будет. Остальным же людям гласные следует произносить примерно так: «ij» как «ai» в английском слове AIRPORT, а «ae» как «a» в английском FAR. Ну, а согласные как обычно…

Таким образом, опираясь на усредненное англо-американское произношение можно сделать вывод, что название шифра следует читать как «рэйндал».

По мере успешного продвижения криптоалгоритма в финал конкурса AES и соответствующего роста популярности его авторов, им пришлось давать более развернутые объяснения относительно названия. Сейчас на веб-странице Рэймена можно найти такие строки в «Rijndael ЧаВО» (ответы на часто задаваемые вопросы):

  • Как это призносить? — Можете произносить это как «Рэйн Дал», «Рэйн Дол», «Райн Дал». Мы не привередливы. Пока вы не делаете из этого что-нибудь типа «Риджн Дил».
  • Почему вы выбрали такое название? — Потому что мы оба по горло сыты тем, как люди уродуют произношение наших фамилий «Daemen» and «Rijmen». (В этом ответе два сообщения.)
  • Не могли бы вы дать другое название? — Голландский – чудесный язык. В настоящее время мы обсуждаем такие варианты названия как «Herfstvrucht», «Angstschreeuw» и «Koeieuier».
Об авторах

Как уже можно было понять, Йоан Дамен и Винсент Рэймен люди довольно веселые. И молодые. В 1997 году, когда создавался Rijndael, Рэймену было 27, а Дамену – 32 года. Но оба этих «юноши» к тому времени уже защитили докторские диссертации по криптографии в Лувенском университете.

Благодаря лаборатории COSIC («Компьютерная безопасность и промышленная криптография») и работающим в ней людям, университет в небольшом бельгийском городе Лувен стал одним из наиболее авторитетных в Западной Европе исследовательских центров по защите информации. Оба создателя Rijndael — выпускники этого университета.

В 1995 году Дамен защитил здесь чрезвычайно солидную диссертационную работу «Стратегии разработки шифров и хеш-функций на основе линейного и дифференциального криптоанализа», теоретические положения которой положены в основу всех последующих алгоритмов, созданных этим автором.

После защиты Дамен ушел работать, как у нас выражаются, «в банковские структуры», и ныне занимает солидный пост в Proton World International, успешной брюссельской компании, занимающейся смарт-картами и защитой банкинга. Однако за все прошедшие годы он не терял связи с альма матер, время от времени участвуя в разработках COSIC, в частности, в сотрудничестве с Рэйменом.

Таких людей как Винсент Рэймен принято называть «крупный специалист по блочным шифрам». Защищенная им в 1997 году диссертация так и называлась «Криптоанализ и разработка интерационных блочных шифров», а множество успешных исследовательских работ и статей сделали Рэймена одним из наиболее известных в мире бельгийских криптографов (наряду с Даменом, конечно) в области симметричных шифрсистем.

Мировая слава, похоже никак не повлияла на склонности и пристрастия молодого доктора-криптографа. Продолжая работать в COSIC и преподавая алгебру в университете, Рэймен по-прежнему сохраняет характерно-радикалистский дух хакера-линуксоида.

Если вы соберетесь зайти на его веб-сайт, а единственный браузер на вашей машине – Internet Explorer, то увы: единственное, что вы обнаружите по адресу http://www.esat.kuleuven.ac.be/~rijmen – это картинку «Виндов» со стеклами, выбитыми бульниками, и строгую надпись-предупреждение «Error 404: Wrong Browser» (ошибка: браузер не тот).

А еще Рэймен вместе со своим приятелем датчанином Ларсом Кнудсеном, таким же прикольщиком и профессором Бергенского университета, Норвегия, ведут собственный онлайновый «Журнал Кривдологии» (http://www.ii.uib.no/~larsr/crap.html).

Вообще-то журнал называется «Journal of Craptology» (Crap – чушь, вздор) и пародирует название чрезвычайно серьезного академического издания «Журнал криптологии» (Journal of Cryptology), но вполне адекватный перевод для этого каламбура найти не так просто. «Журнал Кривдологии» можно назвать криптографическим аналогом известных сборников «Физики шутят», а поскольку ученые – народ вообще веселый, то статьи там можно найти весьма занятные. Правда, чтобы въехать в такой юмор, надо хоть что-то смыслить в криптографии.

О шифре

Было бы странно завершить статью, не сказав ни слова о самом шифре Rijndael. Практически все специалисты признают, что в НИСТ сделали чрезвычайно удачный выбор.

Все пять шифров-финалистов отличаются высочайшей криптографической стойкостью и приличной скоростью в работе, но далеко не все имеют столь элегантную, компактную, простую и «прозрачную» структуру. Здесь совершенно не место вдаваться в технические подробности, но достаточно сказать, что именно на подобных алгоритмах следует учиться тому, как надо делать шифы.

Для примера можно напомнить, что другой классический шифр – знаменитый DES – на протяжении полутора десятков лет был для академических криптографов своего рода «черным ящиком», несмотря на открытое описание. Очень долго было совершенно непонятно, откуда в шифре взялись все эти странные таблицы подстановок и по каким, собственно, критериям они выбирались.

По настоянию Агентства национальной безопасности США фирме IBM, разработавшей DES, было запрещено давать какие-либо комментарии относительно теоретических основ стойкости шифра. И лишь на рубеже 80-90-х годов с появлением работ израильских криптографов Бихама и Шамира, создавших метод дифференциального криптоанализа, стало ясно, «откуда растут ноги» выдающейся стойкости DES.

С Rijndael все не так. За прошедшие десятилетия развития открытой криптографии наработан весьма прочный фундамент теории конструирования блочных шифров.

Пользуясь этим инструментарием, на примере Rijndael наглядно будут демонстрировать, каким образом гарантируется стойкость криптоалгоритма ко всем известным видам атак. А также то, как достигается универсальное быстродействие на разнообразных вычислительных платформах от 8-битных процессоров смарт-карт до 32- и 64-битных процессоров рабочих станций и серверов.

Конечно, есть у шифра и свои недостатки. Но кто их лишен? Главное то, что создан Rijndael компетентнейшими людьми, с момента рождения запущен в свободное обращение, за два с лишним года протестирован самыми авторитетными криптографами планеты (включая АНБ США, имевшее «право вето») и, наконец, выбран руководством НИСТ в качестве победителя конкурса AES. Воистину мировой стандарт.

Конечно же, раздавались и голоса, что негоже де первой державе мира выбирать в качестве национального стандарта шифрования алгоритм из какой-то там крошечной Бельгии. Но прислушиваться к этим голосам никто не стал. До чего же все-таки приятно, когда в государственных органах стандартизации сидят такие умные и достойные люди.

# # #