Основные тенденции развития открытой криптографии

       

Основные тенденции развития открытой криптографии


ОСНОВНЫЕ ТЕНДЕНЦИИ РАЗВИТИЯ ОТКРЫТОЙ КРИПТОГРАФИИ
Настоящий обзор написан группой специалистов по заказу редакции cryptography.ru и представляет собой ретроспективный взгляд на развитие открытой криптографии за последние несколько лет. Авторы не стремились дать исчерпывающе полный обзор результатов и методов открытой криптографии, поэтому в нем отсутствуют формулировки точных математических результатов. Основная цель состояла в том, чтобы попытаться обрисовать место криптографии в современной науке и технике, проанализировать основные движущие мотивы и внутреннюю логику развития открытой криптографии. Сделанные в обзоре акценты на отдельные направления криптографических исследований отражают субъективные интересы авторов и не являются следствием существующего соотношения по числу публикаций между различными направлениями.

Современный этап развития открытой криптографии насчитывает уже более четверти века. До середины 70-х годов XX века в научно-технической литературе работ, посвященных криптографическим методам защиты информации, было крайне мало (пример такой работы см. [G39]; классическим обзором по истории криптографии считается книга Д.Кана, [Кан, Kahn67]). Научные основы криптографии были заложены в конце 40-х годов XX века трудами Клода Шеннона, [Ш48, Sh49]. Новейшую историю открытой криптографии принято отсчитывать с 1976 года, когда Уитвелд Диффи и Мартин Хеллман выступили на национальной компьютерной конференции со своей работой "Новые направления в криптографии". В том же году эта работа была опубликована в журнальном варианте [DH76]. К числу отцов-основателей открытой криптографии относят также и Ральфа Меркля, который независимо от У.Диффи и М.Хеллмана пришел к тем же конструкциям, однако он опубликовал свои результаты только в 1978 году [Mer78]. В конце XX века приоритет открытия У.Диффи и Д.Хеллмана пытались независимо оспорить спецслужбы США и Великобритании. В статье энциклопедии "Британника" бывший директор Агентства национальной безопасности США Симмонс заявляет, что "двухключевая криптография была известна в АНБ за 10 лет до публикации У.Диффи и М.Хеллмана". На официальном сайте правительственной штаб-квартиры по связи Великобритании также была размещена информация, оспаривающая приоритет Диффи и Хеллмана, со ссылками на засекреченные до недавнего времени работы сотрудников английской спецслужбы.

Математическая (теоретико-сложностная) криптография

Пионерская работа У.Диффи и М.Хеллмана во многом определила предмет открытой криптографии. Если в трудах К.Шеннона был развит (и фактически полностью исчерпан) теоретико-информационный подход к оценке стойкости криптографических систем, то работа У.Диффи и М.Хеллмана дала толчок для развития теоретико-сложностному подходу в криптографии. Неформально говоря, при теоретико-информационном подходе к обоснованию стойкости криптосистемы требуется показать, что противник не имеет даже теоретической возможности для получения защищаемой информации.

При теоретико-сложностном подходе криптосистема считается стойкой, если любой алгоритм, который может использовать противник, требует выполнения недопустимо большого объема вычислений, либо срабатывает с пренебрежимо малой вероятностью. При таком подходе возникает ряд принципиальных вопросов, требующих математически строгой формализации.

Во-первых, математическая теория сложности имеет дело с массовыми задачами, т.е. рассматривает потенциально бесконечное семейство однотипных задач, параметризованных некоторой величиной, стремящейся к бесконечности. Любая же криптографическая система -- это объект, параметры которого являются фиксированными (или лежат в некотором заданном интервале). Поэтому, прежде всего, встает проблема построения адекватной математической модели для криптографической системы.

Во-вторых, поскольку современная криптография предлагает большой набор механизмов обеспечения информационной безопасности (от "классического" шифрования до алгоритмов хэширования, схем аутентификации, цифровой подписи и других криптографических протоколов), то требуется сформулировать, какую именно задачу будет решать противник и какой информацией он при этом располагает.

И, в-третьих, следует сформулировать, что считать недопустимо большим объемом вычислений и пренебрежимо малой вероятностью. При этом важно уточнить модель вычислений, в которой работает противник. Здесь хочется отметить новое интересное направление исследований, связанное с привлечением модели квантовых вычислений.

При наличии указанных определений, задача обоснования стойкости криптографической системы сводится к получению нижних оценок сложности для конкретных задач. Основная проблема состоит в том, что на современном этапе развития теории сложности мы не умеем получать "хороших" нижних оценок сложности. Магистральное направление исследований по математической криптографии состоит в получении такого рода оценок при некоторых недоказанных предположениях. Основные усилия специалистов направлены на поиск наиболее "слабых" предположений указанного типа.

В теоретико-сложностной области исследований по криптографии в последнее время появилась еще одна проблематика, формально к криптографии не относящаяся. Это тематика связана с моделями стеганографических методов защиты информации, а также с примыкающими проблемами -- "цифровых отпечатков пальцев" и "цифровых водяных знаков".

Несмотря на то, что точная статистика отсутствует, можно смело утверждать, что с теоретико-сложностным направлением так или иначе связано не менее половины работ в общем объеме научных публикаций по криптографической тематике. Более того, существует (на наш взгляд, несколько максималистское) мнение, что этим направлением собственно математическая криптография и исчерпывается. В России работ по этому направлению фактически не ведется. Частично отслеживать развитие исследований в данной области удается усилиями лаборатории МГУ по математическим проблемам криптографии, [Я98, АВСЯ].

Теория чисел в криптографии

Одна из главных заслуг У.Диффи и М.Хеллмана состоит в том, что они предложили конкретную конструкцию так называемого "открытого распределения ключей". Стойкость предложенного ими варианта опиралась на сложность вычисления индекса числа по простому модулю (т.е. на сложность решения задачи дискретного логарифмирования; хотя до сих пор не доказано, что стойкость схемы У.Диффи и М.Хеллмана не меньше, чем сложность дискретного логарифмирования). Вскоре после работы У.Диффи и М.Хеллмана коллектив авторов, в составе Р.Ривеста, А.Шамира и Л.Адлемана предложил схему открытого шифрования, стойкость которой была основана на сложности разложения числа на простые множители. Собственно, эти две задачи и являются основой для еще одного крупнейшего направления исследований в открытой криптографии. Чуть позже была предложена схема открытого распределения ключей с использованием операции в группе точек эллиптической кривой. Приведем список основных теоретико-числовых задач, интенсивные исследования которых стимулируются криптографией:

  • найти индекс числа по простому модулю (решить задачу дискретного логарифмирования);
  • разложить данное число на простые множители (задача факторизации);
  • проверить заданное число на простоту;
  • построить простое число из заданного интервала;
  • предложить быстрые алгоритмы для модульной арифметики;
  • вычислить порядок группы точек заданной эллиптической кривой;
  • построить эллиптическую кривую, группа точек которой имеет заданный порядок;
  • найти "дискретный логарифм" в группе точек заданной эллиптической кривой.
Хотя теория чисел и является одним из древнейших разделов математики, именно перечисленные выше криптографические задачи стимулировали в последние десятилетия ее развитие. Анализ современного состояния исследований в этом направлении требует отдельного обзора. Однако, на наш взгляд можно отметить следующие тенденции в развитии исследований по данному направлению. В течение ряда последних лет принципиально новых идей в задаче дискретного логарифмирования и факторизации не появляется. Все последние исследования сосредоточены в рамках "классической" концепции метода "прообразов": уравнение, требующее решения, "вкладывается" в больший математический объект. При этом удается построить линейную систему уравнений, множество неизвестных которой содержит и искомые параметры (см. методы линейного решета, квадратичного решета, решета числового поля). "Борьба" ведется вокруг вопросов эффективности реализации алгоритмов на конкретной вычислительной базе. Все чаще и чаще теоретические исследования переходят в плоскость практической реализации алгоритмов.

Алгоритмическая криптография

Остановимся подробнее на "традиционной" криптографии. Это третье крупное направление исследований в открытой криптографии. Иногда для такой криптографии используют термин "криптография с симметричным (секретным) ключом". Мы используем термин "алгоритмическая" криптография, поскольку, по сути, речь идет об анализе и синтезе алгоритмов с фиксированными параметрами. Фактически это является разделом дискретной математики, в западной терминологии называемым "Computer Science" (в России этот раздел дискретной математики находится в зачаточном состоянии, поэтому для него нет устоявшегося русского эквивалента названия).

Основным движущим мотивом развития данного направления в открытой криптографии являются потребности "гражданской" криптографии. Началом развития современного этапа в исследованиях по алгоритмической криптографии стало принятие в США в 1977 году в качестве Федерального стандарта DES-алгоритма, который de facto оставался до недавнего времени стандартом криптографической защиты данных для негосударственных применений во всем мире. Симптоматично практически точное совпадение по времени принятия DES-алгоритма в качестве стандарта с публикацией У.Диффи и М.Хеллмана; по-видимому, это объясняется тем, что конец 70-х годов -- этот тот рубеж, когда компьютеры стали превращаться из прибора лабораторного в прибор бытовой. Серьезным толчком для дальнейшего развития исследований в данном направлении послужил впервые проведенный публично в США конкурс на новый криптографический стандарт (AES - Advanced Encryption Standard).

Криптографические алгоритмы с симметричным ключом разбиваются на два крупных класса - блочные алгоритмы шифрования (итерационного типа) и поточные алгоритмы шифрования. Наиболее удачная формулировка различия между этими схемами принадлежит, по-видимому, швейцарскому криптографу Райнеру Рюппелю [Rup92]: "Блочные шифры реализуют одно постоянное преобразование над большими блоками открытого текста; поточные шифры реализуют меняющиеся во времени преобразования отдельных знаков открытого текста".

В публикациях по этим двум направлениям известный в открытом мире криптограф Брюс Шнейер отмечает следующее отличие: работы, посвященные блочным шифрам, как правило, рассматривают конкретные схемы (с конкретными параметрами, а в ряде случаев даже -- и с конкретными названиями), в то время как работы по поточным шифрам достаточно часто относятся к обобщенным или типовым схемам шифрования (из этого правила, как из любого другого, конечно имеются исключения).

Блочные криптографические алгоритмы

В открытой криптографии подавляющее большинство работ, посвященных криптографическому анализу блочных шифров, связано с методами дифференциального и линейного анализа или с их модификациями.

Исторически первым из двух упомянутых был разработанный в 1990 году израильскими математиками Э.Бихамом и А.Шамиром метод дифференциального криптоанализа. Д.Копперсмит утверждает[ Cop92], что этот метод был известен команде разработчиков DES алгоритма еще в начале 70-х годов. Но в то время этот метод был засекречен. Справедливости ради, необходимо отметить, что идея, близкая к методу дифференциального анализа, была опубликована до работы Э.Бихама и А.Шамира в 1990 году С.Мерфи [Mur90]. Работы по данному направлению для каждого анализируемого шифра сводятся к построению набора алгоритмических приемов поиска дифференциальных характеристик для части итераций, имеющих повышенную вероятность. Введем несколько математических обозначений, которые помогут нам перечислить появившиеся в печати работы по развитию этого метода. Пусть

<


(1)
при случайном равновероятном выборе
, где
 -- операция покоординатного суммирования двоичных векторов одинаковой размерности.

Метод дифференциального анализа развивался в следующих направлениях.


  1. Вскоре после изобретения метода дифференциального анализа было отмечено, что изучать соотношение (1) можно и для случая, когда операция покоординатного суммирования
    заменяется на операцию суммирования по модулю
    , [Ber92].


  • В 1993 году израильские математики И.Бен-Аройа и Э.Бихам [BeBi93] предложили искать дифференциальные характеристики, считая, что ключ принимает не все возможные значения, а лишь значения из некоторого подмножества. Этот метод получил название метода условных дифференциалов.

  • В 1994 году датский математик Ларс Кнудсен [Kn94] предложил строить по аналогии с обычным дифференциальным методом криптоанализа метод усеченных дифференциалов. Фактически Кнудсен предлагает "следить" в равенстве (1) лишь за частью (специально выбираемой) бит векторов
    и
    .

  • В 1994 году швейцарский криптограф Х.Лаи [Lai94] (см. также [Kn94]) показал, что для построения метода криптографического анализа вместо пар
    $ (L,d)$ (Gif 37x28, 322 байт)
    , где
     -- некоторое (собственное) подпространство
    , а
    . При этом вероятностью дифференциальной характеристики такого вида называют вероятность выполнения следующего равенства



  • В 1998 году Э.Бихам, А.Бирюков и А.Шамир (их результаты опубликованы на год позже в [BiBi99]) заметили, что для построения метода криптографического анализа можно использовать с равным успехом дифференциалы имеющие не повышенную, а пониженную вероятность, а еще лучше -- нулевую вероятность появления (невозможные дифференциалы). Именно этим методом была обнаружена слабость в криптографическом алгоритме Skipjack -- первом и пока единственным алгоритме, авторство которого официально признано Агентством Национальной Безопасности США (считается, что к разработке DES-алгоритма АНБ США отношения не имеет).



  • Основная задача при "классическом" варианте дифференциального метода криптографического анализа заключается в поиске дифференциальных характеристик, имеющих "большие" вероятности выполнения равенства (1<). Для шифров итерационного типа чаще всего построить дифференциальную характеристику, имеющую гарантировано большую вероятность, не удается. В 1999 году Д.Вагнер [Wag99] предложил следующую идею того, как можно использовать "хорошие" дифференциальные характеристики, полученные только для малой части итераций шифра. Пусть отображение
    $ F=F_2circ F_1$ (Gif 77x26, 337 байт)
    ;
    ,
    известны "хорошие" дифференциальные характеристики
    $ F_1(x)oplus<br><br></div>
F_1(xoplus a)=b$ (Gif 138x28, 641 байт) и
    равны
    и
    соответственно. Тогда, если выполнено неравенство
    , то для криптографического анализа становится эффективнее использовать характеристики, состоящие из 4 пар вариантов открытого и шифрованного текстов
    ,
    ,
    ,
    , таких, что
    ,
    ,
    . Этот метод автор назвал методом бумеранга.


  • Идея метода линеаризации была предложена японскими специалистами М.Матцуи и А.Ямагиши [MY92] в 1992 году. Как известно, суть метода сводится к итеративной процедуре поиска линейного статистического аналога, реализуемого блочным шифром, имеющего достаточно большое преобладание. Более точно, пусть блочный шифр (или часть его итераций без первого и/или последнего раунда) реализует отображение
    ,
    , для которых вероятность выполнения соотношения





    равна
    при случайном выборе
    (здесь, запись
    оценивается объем материала, на котором удастся отбраковать ложные варианты ключей.

    В 1994 году американцы Бертон Калиски и Матью Робшау [KR94] предложили вместо одного набора векторов
    ,
    использовать несколько таких наборов
    ,
    ,


    Метод линеаризации был обобщен в 1997 году криптографами из Цюриха Карло Харпесом и Джеймсом Месси, [HaMa97]. Суть метода в прежних обозначениях сводится к поиску разбиения пространства
    и подмножества
    , для которых строится некоторая эмпирическая метрика, позволяющая отличить распределение образов
    по блокам разбиения
    при случайном выборе аргумента
    из подмножества
    . Имеются библиографические ссылки на варианты этого метода, датируемые 1994 годом [MPWW94, Ha94], однако, эти работы нам недоступны. Этот метод называют методом разбиений.

    В 1994 году [LaMa94] криптографы из Стэнфордского университета Сьюзан Лэнгфорд и Мартин Хеллман используя идеи как дифференциального анализа, так и линейного предложили новый метод линейно-дифференциального криптоанализа. Суть метода сводится поиску такого вектора
    , что для булевой функции


    Еще одно обобщение метода линеаризации было предложено Л.Кнудсеном и М.Робшау в 1996 году [KnRo96]. Авторы метода нелинейного приближения заметили, что для отбраковки опробуемых ключей первой и/или последней итераций можно использовать не только линейные соотношения на входных и выходных битах промежуточных шифртекстов.



    В 1997 году в работе [JK97] Т.Джекобсен и Л.Кнудсен предложили с помощью интерполяционной формулы Лагранжа сводить задачу определения ключа алгоритма блочного шифрования к нахождению корня нелинейного уравнения от одной переменной в конечном поле (интерполяционная атака). Сложность такого метода определяется степенью многочлена и числом ненулевых мономов в нем. Развивая эту идею, Т.Джекобсен в 1999 году [Ja99] предлагает рассматривать многочлены "приближающие" шифрпреобразование лишь с некоторой вероятностью, но при этом имеющими низкую степень нелинейности. Метод нахождения ключей при таком подходе опирается на алгоритмы декодирования кодов Рида -- Соломона за границей корректирующей способности кода. Вопросы минимизации степени интерполирующего многочлена за счет выбора подходящего примитивного многочлена для задания поля и за счет применения невырожденного линейного преобразования на входе и выходе изучены А.Иоссефом и Г.Гонгом в работе [YG00].

    Отдельный класс криптоаналитических методов основан на использовании особенностей построения "ключевых разверток" для шифров итерационного типа (обзор ранних работ по этому направлению см. в [KSW96]). В открытой криптографии метод согласования (meet-in-the middle) для случая, когда множество бит ключа, от которых зависят первые и последние итерации шифра, не пересекаются, фактически является фольклорным (достаточно сложно установить его первоисточник). Постоянно появляются работы, посвященные поиску новых классов "слабых" и "полу-слабых" ключей для различных алгоритмов шифрования. Дифференциальный метод криптографического анализа "породил" метод "связанных ключей" (related key cryptanalysis) [Bih93]. Этот метод рассматривает задачу определения ключа шифрования при условии, что аналитик имеет возможность наблюдать серии пар открытый-шифрованный текст, полученные не на одном ключе, а на нескольких различных ключах, причем известно как эти различные ключи связаны между собой.



    В 1999 году эмигрантом из России Алексом Бирюковым и известным американским криптографом Дэвидом Вагнером был предложен новый вид атаки на блочные шифры, эффективность которой не зависит от числа итераций [BiWa99, BiWa00]. Рассмотренный метод криптоанализа получил название "скользящей атаки" (Slide Attacks). Предложенный ими метод основан на том, что некоторые шифры являются композицией нескольких одинаковых (не однотипных, а в точности одинаковых! -- за счет особенностей ключевой развертки) преобразований.

    Основные тенденции в синтезе алгоритмов блочного шифрования нашли свое отражение в проведенном конкурсе на новый алгоритм шифрования США. Анализ представленных схем показывает, что все они построены по каноническим принципам К.Шеннона как SP-сети (чередование нелинейных замен в подвекторах шифруемого блока с последующей перестановкой бит между подвекторами), но с увеличенной до 128 бит длиной шифруемого блока. В некоторых алгоритмах авторы отказываются от простой перестановки бит между подвекторами и рассматривают линейные преобразования более общего вида. Остается популярным и подход к построению блочных шифров по схеме Фейстеля, т.е. в виде регистра сдвига на малом числе ячеек с нелинейной обратной связью. Основные достижения в этом направлении связаны с интересными алгоритмическими приемами, позволяющими добиться эффективной реализации схем на вычислительных платформах различного типа.

    Криптографические алгоритмы гаммирования

    В открытых работах, посвященных криптографическим исследованиям поточных шифров можно выделить следующие особенности, по сравнению с работами, посвященными блочным шифрам.


    1. Подавляющее число работ, посвященных блочным шифрам, ориентирована на анализ и синтез DES-подобных алгоритмов. Для поточных шифров нет такого "центра притяжения". Синтезные решения и методы "взлома" поточных шифров отличаются значительным разнообразием.
    2. Для блочных шифров нет "канонической" теории их синтеза и анализа. Для поточных шифров сформировалась такая "каноническая" теория построения методов "взлома", а также "канонический" набор требований, которым должны удовлетворять "хорошие" схемы. В идейном плане методы взлома поточных шифров сводятся к одному из следующих двух подходов:




      • использование статистических связей (корреляционные атаки);
      • линеаризация (сведение задачи поиска ключа к решению системы линейных уравнений).
      • Соответственно, от стойких поточных схем требуется:


        • большие периоды выходных последовательностей;
        • хорошие статистические свойства выходных последовательностей (см. "постулаты Соломона Голомба" [Gol67]);
        • нелинейность (точнее, высокая линейная сложность) выходных последовательностей.


      • Значительная часть предлагаемых поточных схем состоит из унифицированных узлов и блоков, напоминая тем самым выставку поделок из детского конструктора. Основными деталями этого "криптографического конструктора" являются:


        • регистры сдвига (на битах или двоичных векторах определенной размерности) с обратной связью (обычно линейной),
        • дискретные (главным образом, булевы) функции усложнения,
        • запоминающие устройства,
        • узлы, реализующие неравномерное движение.
        • Регистры сдвига обеспечивают большой период и хорошие статистические свойства последовательностей, в то время как остальные детали "конструктора" используются для внесения элементов нелинейности в законы функционирования поточной схемы.
        • Исследования поточных схем протекают более динамично. В то время как исследования DES-алгоритма до недавнего времени шли без видимых продвижений, область поточного шифрования испытала множество "взлетов и падений", ряд схем, вначале казавшихся стойкими, "рухнул" при последующем исследовании.
        • Вопросам исследования поточных шифров уделяется больше внимания в европейских криптографических центрах, в то время как в США больший "крен" делается в сторону блочных шифров.
        Криптографические исследования поточных шифров явились источником ряда задач для фундаментальных направлений дискретной математики. Отметим некоторые из них.


        1. Задачи анализа свойств регистров сдвига с линейной обратной связью стимулировали исследования линейных рекуррентных последовательностей над полями и кольцами. Для анализа свойств этих последовательностей разработан мощный алгебраический аппарат.
        2. Задачи поиска статистических связей между входом и выходом узла, реализующего дискретную (булеву) функцию, и построение функций с заданными свойствами (корреляционно-иммунные функции, бент-функции и др.). Исследования, посвященные анализу свойств новой поточной схемы, довольно часто проходят одни и те же стадии. Вначале исследователи пытаются изучить свойства схемы алгебраическими и комбинаторными методами. Если это не помогает, то пытаются применить разнообразные методы теории кодирования. Затем предпринимаются попытки анализировать задачу поиска ключа методами математической статистики (теория проверки гипотез).
        Из исследований криптографических алгоритмов с симметричным ключом выделилось отдельное направление, которое занимается исследованием криптографических свойств отображений конечных множеств (как правило, конечномерных пространств над полем из двух элементов) и построением отображений "хороших" с криптографической точки зрения. При этом к криптографическим свойствам относят все те свойства отображений, которые "сыграли" решающую роль при построении конкретных методов анализа.

        В криптографической литературе рассматриваются постановки задач, связанные с реалиями эксплуатации шифрсредств. Так осенью 1996 года Эли Бихам и Ади Шамир обнародовали через INTERNET новую криптографическую атаку, названную "методом дифференциальных искажений" ("Differential Fault Analysis" или DFA). С одной стороны DFA-методы воплотили в себе известные к тому времени идеи Бонэ, Демилло и Липтона, применивших впервые искажение вычислений для вскрытия систем с открытым ключом, с другой стороны, эти методы явились развитием метода дифференциального анализа. Суть нового метода состоит в том, что при искажении вычислений в процессе зашифрования шифрующее устройство может выдать данные, сравнение которых с неискаженными данными облегчает восстановление секретных параметров устройства. Кроме этого метода известна публикация, посвященная вскрытию ключей криптографического алгоритма по времени его работы.

        Криптографические исследования функций хеширования в значительной степени сводятся к описанию конкретных подходов к построению коллизий для конкретных схем. В публикациях по криптографии встречается ряд работ, которые не вписываются в приведенные выше направления исследований. Сюда мы относим работы посвященные анализу и синтезу различных режимов использования "традиционных" криптографических алгоритмов; работы, посвященные криптографическим схемам на нетрадиционных платформах.

        Таким образом, развитие современной открытой криптографии с одной стороны обусловлено потребностями "гражданской" криптографии, а с другой стороны она является источником задач для фундаментальной математики. На сегодняшний день открытая криптография является уже достаточно развитой наукой, составляет заметную конкуренцию для спецслужб, в компетенцию которых входят вопросы информационной безопасности. Подтверждением этого тезиса являются, во-первых, претензии спецслужб на приоритеты ряда изобретений открытой криптографии, а во-вторых, факт обнаружения слабостей в алгоритме АНБ именно открытыми криптографами. Таким образом, по некоторым направлениям открытая криптография не уступает своей засекреченной сестре. К сожалению, мы вынуждены констатировать, что Россия в открытой криптографии фактически не представлена. Существующие публикации российских специалистов носят либо обзорный характер (см. [АВСЯ], [Я98]), либо откровенно преследуют цель рекламной поддержки разработок некоторых коммерческих фирм.

        Литература

        [АВСЯ] Анохин М.И., Варновский Н.П., Сидельников В.М., Ященко В.В. "Криптография в банковском деле", М., МИФИ, 1997.

        [ГПТ] Грушо А.А., Применко Э.А., Тимонина Е.Е., "Анализ и синтез криптоалгоритмов. Курс лекций", Йошкар-Ола, изд. МФ МОСУ, 2000.

        [Кан] Кан Д., "Взломщики кодов", М., Центрполиграф, 2000.

        [Чм2001] Чмора А.Л., "Современная прикладная криптография", М., "Гелиос АФВ", 2001.

        [Ш48] Шеннон К., "Работы по теории информации и кибернетике", М., Иностранная литература, 1963.

        [Я98] Под ред. В.В. Ященко, "Введение в криптографию", М., МЦНМО -- ЧеРо, 1998.

        [BeBi93] Ben-Aroya I., Biham E., "Differential Cryptanalysis of Lucifer", CRYPTO"93, Springer, 187-199.

        [Ber92] Berson T.A., "Differential Cryptanalysis Mod with Applications to MD5", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer, 71-80.

        [ [Bih93] Biham E., "New Type of Cryptoanalytic Attacks Using Related Keys", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 398-409.

        [ [BiBi99] Biham E., Biryukov A., Shamir A., "Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials", EUROCRYPT"99.

        [ [BiWa99] Biryukov A., Wagner D., "Slide Attacks", Proccedings of FSE`99, Lecture Notes in Computer Science, v. 950, Springer, 1999, 245-259.

        [ [BiWa00] Biryukov A., Wagner D., "Advanced Slide Attacks", EUROCRYPT"2000, proccedings, Lecture Notes in Computer Science, Springer, 2000, 589-606.

        [ [Cop92] Coppersmith D., "The data encryption standard (DES) and its strength against attacks", Technical Report RC 18613 (81421), IBM Research Division, December 1992.

        [ [DH76] Diffie W., Hellman M.E., "New Directions in Cryptography", IEEE Transactions on Information Theory, v. IT-22, no. 6, November 1976, 644-654.

        [ [G39] Gaines H.F., "Cryptanalysis: A Study of Ciphers and their Solutions", Dover Publications, 1939.

        [ [Gol67] Golomb S.W., "Shift Register Sequences", Holden-Day, San Francisco, 1967.

        [ [Ha94] Harpes C., "Success probability of partitioning cryptanalysis", Proceedings of the EIDMA Winter Meeting on Coding Theory, Information Theory and Cryptology. December 1994.

        [ [HaMa97] Harpes C., Massey J.L., "Partitioning Cryptanalysis", Proceedings of Fast Software Encryption Workshop"97, 13-27.

        [ [JK97] Jakobsen T., Knudsen L., "The Interpolation Attack on Block Cipher", Lecture Notes in Computer Science 1267, Fast Software Encryption"97, Springer, 1997, 28-40.

        [ [Ja99] Jakobsen T., "Cryptanalysis of Block Ciphers with Probabilistic Non-linear Relations of Low Degree", Lecture Notes in Computer Science, v. 1462, CRYPTO"99, Springer, 1999, 213-222.

        [Kahn67] Kahn D., "The Codebreakers: The Story of Secret Writing", MacMillam Publishing Co., New York, 1967.

        [KR94] Kaliski B.S., Robshaw M.J.B., "Linear cryptanalysis using multiple approximations", CRYPTO"94, Lecture Notes in Computer Science, v. 950, Springer, 1995, 26-39.

        [KSW96] Kelsey J., Schneier B., Wagner D., "Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES", CRYPTO"96, Springer, 237-251.

        [Kn94] Knudsen L., "Truncated and Higher Order Differentials", Fast Software Encryption, Second International Workshop, Belgium, December, 1994, Springer, 196-211.

        [KnRo96] Knudsen L.R., Robshaw M.J.B., "Non-Linear Approximation in Linear Cryptanalysis", EUROCRYPT"96, 224-236.

        [Lai94] Lai X., "Higher Order Derivatives and Differential Cryptanalysis", Communications and Cryptography, Kluwer Academic Publishers, 1994, 227-233.

        [LaMa94] Langford S.K., Hellman M.E., "Differential-Linear Cryptanalysis", CRYPTO"94, Springer, 17-25.

        [MY92] Matsui M., Yamagishi A., "A new method for known plaintext attack of FEAL cipher", EUROCRYPT"92, Lecture Notes in Computer Science, v. 658, Springer-Verlag, Berlin, 1992, 81-91.

        [Mat93] Matsui M., "Linear cryptanalysis method for DES cipher", EUROCRYPT"93, Lecture Notes in Computer Science, v. 765, Springer, 1994, 386-397.

        [Mer78] Merkle R.C., "Secure Communication Over Insecure Channels", Communications of the ACM, v. 21, no. 4, 1978, 294-299.

        [Mur90] Murphy S., "The cryptanalysis of FEAL-4 with 20 chosen plaintexts", Journal of Cryptology, 1990, v. 3, No. 2, 145-154.

        [MPWW94] Murphy S., Piper F., Walker M., Wild P., "Likelihood estimation for block cipher keys", unpublished, May 1994.

        [Rup92] in G.L. Simmons (ed.)., "Contemporary Cryptology, The Science of Information Integrity", IEEE, New York, 1992.

        [Sh49] Shannon C.E., "Communication theory of secrecy systems", Bell System Technical Journal, v. 28, 1949, 656-715.

        [Wag99] Wagner D., "The Boomerang Attack", proceedings of Fast Software Encryption"99, Springer Verlag, Lecture Notes in Computer Science, v. 1636, 1999, 156-170.

        [YG00] Youssef A.M., Gong G., "On the Interpolation Attacks on Block Ciphers", Techical Report, Center for Applied Cryptographic Research, University of Waterloo, Canada, 2000.

        Источник: сайт Cryptography.Ru


        Содержание раздела