«Облегчённые» шифры

From CryptoWiki
Jump to: navigation, search

«Облегчённая» криптография – раздел криптографии, имеющий своей целью разработку алгоритмов для применения в устройствах, которые не способны обеспечить большинство существующих шифров достаточными ресурсами (память, электропитание, размеры) для функционирования.

Contents

Области применения «облегчённой» криптографии

Большинство современных алгоритмов защиты информации и, в частности, шифрования, рассчитаны на применение в ЭВМ в составе программных комплексов без учета оптимизации на аппаратном уровне обеспечения. Этот факт делает невозможным применение большинства существующих криптографических алгоритмов в устройствах с ограниченной вычислительной мощностью, малым объемом и малым энергопотреблением. Методы криптографической защиты данных в системах с низкой стоимостью стали основой «легковесной» криптографии.

Особую актуальность «легковесная» криптография приобретает в свете развития идеи «интернета вещей», который представляет собой беспроводную самоконфигурирующуюся сеть между объектами различного класса, примерами которых могут являться бытовые приборы, транспортные средства, интеллектуальные датчики и метки радиочастотной идентификации (RFID).

Зачастую, разработчики легковесных алгоритмов вынуждены выбирать между тремя, подчас взаимоисключающими, требованиями к алгоритмам: безопасностью, стоимостью и производительностью. На практике не составляет труда оптимизировать любые две из трех целей разработки: безопасность и стоимость, безопасность и производительность или стоимость и производительность, однако очень трудно оптимизировать все три цели разработки одновременно. В связи с этим существует достаточно много реализаций легковесных алгоритмов криптографии: как программных, так и аппаратных. У них разные, а иногда и противоположные характеристики.

Вернуться к оглавлению

Ключевые аспекты «облегчённой» криптографии

Стандартными подходами к решению проблемы создания эффективных методов и средств «легковесной» криптографии являются:

  • использование классических криптографических алгоритмов, если это возможно;
  • модификация классических алгоритмов с адаптацией к аппаратным особенностям и ограничениям систем с низкой стоимостью;
  • разработка новых специализированных решений в методологическом, алгоритмическом и программно-аппаратном плане;

Каждый из этих подходов имеет свои недостатки. До сих пор большинство решений в этой области знания относится к третьему подходу, и показывают неплохие результаты. При этом, однако, следует помнить, что при адаптации криптографического алгоритма к особенностям аппаратного базиса в условиях ограниченности ресурсов, могут возникать нежелательные последствия. Они могут выражаться в появлении дополнительных слабостей алгоритма или в ослаблении их общей стойкости.

Прежде чем говорить о примерах реализации схем «легковесной» криптографии, мы должны сформулировать критерии поиска таких криптографических алгоритмов.

Основные критерии к «облегчённым» шифрам

Во-первых, это вечный поиск баланса между надежностью, производительностью и ценой.

Mrd lighweight1.jpg
Рисунок 1 — Схема взаимодействия надежности, производительности и цены [14]

Для блочных шифров размер ключа определяет соотношение надежность/стоимость, число раундов шифрования – надежность/производительность, а особенности аппаратной конструкции – производительность/цена. Как правило, любые две из трех целей разработки могут быть легко достигнуты, в то время как удовлетворение всех трех требований – крайне сложная задача. Например, можно обеспечить приемлемое соотношение между надежностью и производительностью, однако для реализации подобного алгоритма потребуется большая площадь на схеме, что приводит к повышению стоимости. С другой стороны, можно создать надежную и дешевую систему, но с ограниченной производительностью.

Во-вторых, это занимаемая площадь микросхемы.

В-третьих, важно энергопотребление схемы и, соответственно, вид самой схемы (пассивная или активная), в зависимости от которой будут накладываться дополнительные требования на схему.

Чем же «облегчённые» алгоритмы шифрования отличаются от универсальных? Вот основные подходы, позволяющие криптографам создать нетребовательные к ресурсам и при этом относительно стойкие алгоритмы шифрования:

  • уменьшение (до разумных пределов) размеров основных параметров алгоритма: блока шифруемых данных, ключа шифрования и внутреннего состояния алгоритма;
  • попытки компенсации вынужденной потери стойкости алгоритмов за счет проектирования на основе хорошо изученных, широко применяемых операций, осуществляющих элементарные линейные/нелинейные преобразования. Такие операции можно представить как детали некоего конструктора, из которых криптографы «собирают» алгоритм, обладающий нужными качествами;
  • уменьшение размеров данных, используемых в конкретных операциях. Например, в алгоритмах шифрования часто применяются таблицы замен; чтобы хранить таблицу, заменяющую 8-битовые фрагменты данных, необходимо 256 байт, но такую таблицу можно составить из комбинации двух 4-битовых таблиц, требующих всего 32 байта в сумме (данный подход выбрали авторы алгоритма Curupira);
  • использование «дешевых» с точки зрения ресурсоемкости, но эффективных преобразований, таких как управляемые битовые перестановки (в которых выбирается конкретный вариант перестановки в зависимости от значения управляющего бита; этим битом может быть, например, определенный бит ключа), сдвиговые регистры и пр.;
  • применение преобразований, в отношении которых возможны варианты реализации в зависимости от ресурсов конкретного шифратора (например, уменьшение требований к памяти, но в ущерб скорости шифрования, или наоборот).

Следует отметить, что «облегчённые» алгоритмы шифрования создаются либо для систем с низким или средним уровнем безопасности, либо для систем, где будет учтена специфика используемых алгоритмов и будет найдено решение, позволяющее сделать реализацию алгоритма максимально безопасной для его уровня стойкости.

Одним из основных понятий, использующихся при рассмотрении «легковесных» алгоритмов криптографии, является GE — Gate equivalent (эквивалентный логический элемент). Эта величина представляет собой единицу измерения, которая позволяет определить производственную сложность технологии независимо от сложности цифровых электронных схем.

Для текущей CMOS технологии эквивалентным логическим элементом является НЕ-И с двумя входами. В таблице 1 представлены краткие сведения по сложности реализации различных логических элементов.

Таблица 1 — GE-требования к площади стандартных логических элементов[14]
Элемент Технологический процесс, нм Площадь, нм^2 GE
НЕ
0,18
6,451
0,67
НЕ-И
0,18
9,677
1
НЕ-ИЛИ
0,18
9,677
1
И
0,18
12,902
1,33
ИЛИ
0,18
12,902
2,33
Мультиплексор
0,18
22,579
2,67
Сложение по модулю 2
0,18
25,805
4,67
Сложение по модулю 3
0,18
45,158
5,33

Таким образом, при разработке алгоритма, претендующего на легковесность, необходимо соблюдать ограничение на количество эквивалентных логических элементов, с использованием которых может быть осуществлена аппаратная реализация алгоритма. Изначально считалось, что максимальной границей будет считаться 2000-3000 GE, однако на данный момент, с развитием «легковесной» криптографии, данный порог был снижен до 1000 GE.

Оговорив требования к реализации схем на основе «легковесной» криптографии, можно перейти к описанию самих алгоритмов. Как и во всех случаях, существуют алгоритмы, которые принято считать за эталон. В криптографии таким алгоритмом является AES. Стандартом является алгоритм 1997 года, чья пропускная способность доходит до 70 Гбит/сек (2004). Однако, данное решение совершенно не подходит для «легковесной» криптографии, так как аппаратная реализация потребует более 250 000 GE. В то же время существует более компактная реализация AES, датированная 2006 годом, её показатель составляет 3100-3400 GE. К сожалению, при современных требованиях к «легковесной» криптографии данный показатель также является превышением всех допустимых норм.

Таким образом, основным критерием поиска «легковесных» алгоритмов является соответствие требованию к аппаратной реализации алгоритма. Стоит заметить, что на данный момент порог в 1000 GE удалось преодолеть лишь небольшому количеству алгоритмов, часть из которых будет рассмотрена в следующих статьях по «облегчённым» блочным и «облегчённым» поточным шифрам

Определение преимуществ и недостатков «облегчённых» шифров

Поскольку «легковесные» алгоритмы разрабатываются под конкретные требования, то из них напрямую следуют все преимущества и недостатки данного семейства алгоритмов. При этом главным преимуществом является крайне низкие требования как к ресурсам, так и к энергопотреблению, что делает «легковесные» алгоритмы крайне быстрыми в работе и «неприхотливыми» к среде, в которой будет осуществляется их работа. Кроме того, это делает «легковесные» алгоритмы крайне дешевыми во внедрении и использовании.

Однако, поскольку «легковесные» алгоритмы предназначены для обработки малого объема информации, они не обладают высокой пропускной способностью. Сам факт наличия ограничения в 1000 GE говорит о том, что «облегченные» шифры, в первую очередь, нацелены не на программную, а на аппаратную реализацию, а поскольку для реализации, к примеру, большего количества s-боксов в алгоритмах блочного шифрования,или использования ключей большой длины, требуется больше GE, то перед разработчиками «легковесных» алгоритмов встает довольно непростая задача.

Кроме того, данные ограничения делают весьма трудной задачу оптимизации уже существующих алгоритмов под требования «легковесной» криптографии, поскольку многие из них сильно потеряют в стойкости, будучи ограничены в вычислительных ресурсах. Это сильно задерживает процесс разработки «легковесных» алгоритмов, хотя и существует стандарт по облегченному шифрованию серии ISO/IEC 29192. Более того, все чаще проводятся успешные атаки на фаворитов среди имеющихся алгоритмов легковесной криптографии. Всё это делает применение легковесных алгоритмов на практике довольно узкоспециализированной и сложной задачей.

Ниже представлены статьи, в которых описываются реализации «легковесных» алгоритмов, основанных на блочном и поточном шифровании.

«Облегчённые» блочные шифры

В данной статье описываются «легковесные» алгоритмы, основанные на блочном шифровании, а именно :

  • Present;
  • ГОСТ 28147-89;
  • Clefia;
  • Katan.

«Облегчённые» поточные шифры

Говоря про поточные алгоритмы, можно сказать что они хороши для шифрования больших объемов данных. Все эти алгоритмы требуют период инициализации, где происходит выработка внутреннего состояния вхолостую (шифрования не происходит). Если требуется шифрование огромного количества данных, то время инициализации ничтожно мало. Однако, например, в радиочастотных метках размер трафика настолько мал, что время инициализации будет превосходить время шифрования, может быть даже в несколько раз. И, по всей видимости, в будущем при разработке «легковесных» алгоритмов предпочтение будет отдаваться блочным алгоритмам.

В данной статье описываются «легковесные» алгоритмы, основанные на поточном шифровании, а именно :

  • Grain v1;
  • Trivium;
  • Bean;
  • Hummingbird.

Практические применения «облегчённых» шифров, особенности их реализации

Как было показано выше, область применения «легковесных» алгоритмов криптографии ограничена преимуществами и недостатками данного семейства алгоритмов. Практика показала, что одной из областей, в которой «легковесные» алгоритмы получили огромную популярность, являются системы доступа. Это можно объяснить двумя факторами:

  • во-первых, простотой реализации самой технологии применительно к СКУД (достаточно использовать идентификаторы read-only (только для чтения) с небольшой - в три или четыре байта - длиной кода);
  • во-вторых, удобством по сравнению с любыми другими типами идентификаторов: контактных, с магнитной полосой, Wiegand.

А поскольку, по данным IdTechEx, в 2015 году будет изготовлено 2 миллиарда активных RFID-меток и около триллиона пассивных, остро встает вопрос о защите RFID-меток, для чего и могут использоваться алгоритмы «легковесной» криптографии. Отдельно стоит отметить перспективность использования «легковесных» алгоритмов при беспроводном взаимодействии между бытовыми приборами, транспортными средствами, пожарными и охранными извещателями.

Описание RFID-систем

RFID-системы являются одним из наиболее быстро развивающихся направлений в сфере компьютеризации небольших устройств. RFID(англ. Radio Frequency IDentification, радиочастотная идентификация) – это метод автоматической идентификации объектов, в котором посредством радиосигналов считываются или записываются данные, хранящиеся в так называемых RFID-метках.Любая RFID-система состоит из считывающего устройства и RFID-метки (иногда также применяется термин RFID-тег).Большинство RFID-меток состоит из двух частей: интегральной схемы для хранения и обработки информации и антенны для приёма и передачи сигнала. По типу источника питания RFID-метки делятся на следующие категории:

  • пассивные;
  • активные;
  • полупассивные.

Пассивные RFID-метки не имеют встроенного источника энергии. Электрический ток, индуцированный в антенне электромагнитным сигналом от считывателя, обеспечивает достаточную мощность для функционирования кремниевого чипа, размещённого в метке, и передачи ответного сигнала. Активные RFID-метки обладают собственным источником питания и не зависят от энергии считывателя, вследствие чего они читаются на дальнем расстоянии, имеют большие размеры и могут быть оснащены дополнительной электроникой. Однако, такие метки наиболее дороги, а у батарей ограничено время работы.

Полупассивные RFID-метки, также называемые полуактивными, очень похожи на пассивные метки, но оснащены батареей, которая обеспечивает чип энергопитанием. На текущий момент RFID-технологии используются в самых разнообразных сферах: от сельского хозяйства до транспорта.

По мнению генерального директора государственной корпорации «Роснано» Россия, возможно, перейдет на чипы для банковских карт с интерактивной радиосвязью RFID, с помощью которых в ближайшие годы в мире должна произойти революция в розничной торговле. В подтверждение этого, можно привести факт того, что ГК «Роснано» и IT-компания «Систематика» создают предприятие по разработке меток радиочастотной идентификации. Инвестиции в проект составят 690 млн руб., выручка предприятия к 2015 году должна достигнуть 800 млн руб.

На основании вышеперечисленного можно сделать вывод, что данные технологии в скором времени станут повсеместно распространенными. Однако не стоит забывать о проблемах безопасности. Особенно остро этот вопрос стоит при применении RFID-технологий в военной или финансовой сферах. Из-за жестких ценовых ограничений, система защиты должна быть не только надежной и производительной, но и дешевой в реализации.

Проблемы безопасности RFID-меток

Основной проблемой в обеспечении безопасности RFID-меток, является сохранение конфиденциальности информации, записанной в метки. Это вызвано тем, что технология RFID позволяет считать информацию с расстояния нескольких метров. Всвязи с этим,правозащитники часто выступают против массового распространения RFID-меток, обосновывая это возможностью вторжения в частную жизнь. Возможен следующий сценарий несанкционированного использования RFID-метки: злоумышленник, используя считывающее устройство, способен считать идентификаторы жертвы и использовать полученную информацию против неё (получить несанкционированный доступ к базе данных и получить информацию о перемещениях или совершенных покупках). Иначе говоря, технология RFID-меток помимо множества преимуществ имеет и ряд недостатков, непозволяющих повсеместному их внедрению.

Шифрование в пассивных радиометках представляет особый случай даже среди устройств с крайне ограниченными вычислительными ресурсами. Пассивные радиометки не имеют собственного источника питания, поэтому они активируются при помощи наведенного сигнала считывателем. Таким образом, шифрование в чипах должно быть наименее ресурсоемким - радиометка должна до затухания наведенного сигнала успеть зашифровать данные и передать свой ответ обратно считывателю. Из-за серьезных ограничений на внутренние вычислительные ресурсы RFID-меток становится невозможно использовать существующие криптографические алгоритмы, что создает актуальность разработки «легковесных» алгоритмов, соответствующих данным ограничениям.

Использование в промышленных целях

Малые требования к вычислительной мощности и низкое энергопотребление при сравнительно высокой стойкости — данное сочетание позволяет обеспечить конфиденциальность информации не только при работе с персональными данными, хранящимися на RFID-метке, но и при беспроводном взаимодействии между различными устройствами, содержащими в себе информацию, компрометация которой нежелательна. Всеобщая компьютеризация приводит к тому, что большинство вещей, окружающих нас, получает доступ к беспроводным сетям, вплоть до бытовых приборов, при этом, в связи с экономическими издержками, редкий изготовитель беспокоится о безопасности передаваемой ими информации. Применение «легковесных» алгоритмов если и не закроет угрозу полностью, то, как минимум, уменьшит вероятность её реализации.

Один из способов защиты транспортных средств — установка автомобильной сигнализации, опирается на технологию аутентификации через незащищённый канал, тогда как диалоговые коды, особенно у дешевых моделей, передаются в открытом виде. Применение «легковесных» алгоритмов позволит повысить надежность защиты при минимальных затратах ресурсов и электропотребления.

Большое распространение получили беспроводные пожарные и охранные извещатели. Они удобны в монтаже и эксплуатации, обладают гибкими настройками, в том числе, возможностями динамической маршрутизации. Однако при получении злоумышленником доступа к системе управления извещателями, он имеет возможность создать ложные срабатывания или вовсе отключить защиту, что остро ставит вопрос о защите передаваемой информации в таких системах. В качестве одного из вариантов решения данной проблемы могут выступить легковесные алгоритмы.

Глоссарий

Библиографический указатель

Перейти к списку литературы по разделу «Облегчённые» шифры.

Вернуться к оглавлению

Кузнецов Н.П.

Махмутов Р.Д.

2015 г.