А.Винокуров. Серия "Энциклопедия блочных шифров".
Официальная история стандарта шифрования США началась в 1972-ом году с того, что национальное бюро стандартов (НБС) США выдвинуло программу разработки системы стандартов по защите от несанкционированного доступа данных, хранящихся и обрабатываемых на электронно-вычислительных машинах (ЭВМ). Это направление было признано одной из самых приоритетных областей, остро нуждающейся в регламентирующих документах. Выполнение программы было возложено на Институт Информатики и Вычислительной Техники (ИИВТ), являвшийся одним из ведущих подразделений НБС в областях, связанных с компьютерной техникой.
Разработка любого стандарта должна начинаться с планирования его места в ряду взаимосвязанных нормативных документов, с выбора его уровня. Это очень важно, так как стандарты могут принадлежать весьма широкому спектру – от общих стандартов, устанавливающих, как следует из их названия, лишь общие подходы к решению задачи, до стандартов реализации, регламентирующих все до мелочей и часто не оставляющих никакой свободы маневра в их использовании. DES изначально разрабатывался как стандарт функциональной совместимости, предусматривающий спецификацию стандартизируемой функции достаточно конкретно для того, чтобы избежать возможных нестыковок, и вместе с тем без излишних деталей, которые ограничили бы способы его физической реализации.
Начало семидесятых годов двадцатого столетия было тем временем, когда ЭВМ переставали быть дорогими экзотическими игрушками, их все чаще можно было встретить в небольших фирмах и исследовательских лабораториях, – именно в те годы компьютеры получили действительно массовое распространение. Это привело к тому, что проблема защиты данных, хранимых и обрабатываемых на них, осознавалась все большим числом специалистов. Многие крупные корпорации, не говоря уже о государственных службах, проводили собственные исследования в данной области. Одним из самых известных исследовательских центров такого рода в те времена являлась научная лаборатория фирмы IBM, возглавляемая доктором Хорстом Файстелем. Проводимая в ней исследовательская работа привела к созданию практической системы шифрования, получившей название "Люцифер", и к разработке архитектурных принципов, позволяющих создавать эффективные и надежные шифры, хорошо подходящие для реализации на компьютерных устройствах. Архитектура шифров, базирующаяся на этих принципах, позже получила название "сеть Файстеля" по имени своего создателя. Доктор Файстель в своей известной работе "Криптография и компьютерная безопасность" изложил новый подход к созданию стойких шифров для компьютерного применения.
В рамках выработки серии нормативных документов по защите данных ЭВМ от несанкционированного доступа ИИВТ выделил ряд направлений работы. Одним из важнейших направлений была признана разработка стандартного алгоритма шифрования. Деятельность по разработке и утверждению стандарта началась в мае 1973 года, когда НБС опубликовало в Федеральном Реестре США обращение с призывом к учреждениям и фирмам США предлагать свои алгоритмы шифрования в качестве кандидатов на место стандарта. Однако откликов с конкретными предложениями не последовало, так как в то время вся деятельность по разработке новых шифров была сосредоточена в закрытых ведомственных центрах, находящихся под эгидой спецслужб.
Год спустя, в августе 1974 года, национальное бюро стандартов повторило свое обращение. Именно в ответ на него фирма IBM передала НБС алгоритм шифрования, разработанный в ее исследовательской лаборатории, возглавляемой доктором У.Тачменом. Фирма IBM согласилась предоставить всем заинтересованным сторонам неисключительные права на предложенный ею алгоритм, что позволило бы им производить и продавать реализующие его изделия без лицензионных отчислений фирме. Сразу после этого НБС обратилось в Агентство Национальной Безопасности (АНБ) США с просьбой провести исследование алгоритма и дать заключение о его соответствии требованиям, предъявляемым к стандарту шифрования. Именно во взаимодействии трех указанных сторон (IBM, НБС и АНБ) и родился стандарт шифрования DES.
В марте 1975 года, спустя неполных два года после публикации в Федеральном Реестре своего первого обращения, НБС там же полностью опубликовало предложенный фирмой IBM алгоритм шифрования, а вслед за ним – просьбу ко всем заинтересованным сторонам высказывать свои замечания. Так началось "всенародное обсуждение" стандарта.
Первые критические замечания в адрес предложенного алгоритма появились практически сразу после его публикации. Одними из наиболее суровых критиков пока еще не утвержденного стандарта были М.Хеллман и У.Диффи, год спустя прославившие себя изобретением асимметричной криптографии. М.Хеллман писал: "Уит Диффи и я озабочены тем, что предлагаемый стандарт данных, хотя, вероятно и обеспечивает защиту от коммерческих посягательств, в то же время может оказаться крайне уязвимым при действиях разведывательной организации". Основным объектом критики была слишком малая длина ключа – всего 56 бит. По оценкам М.Хеллмана, стоимость устройства для взлома шифра путем полного перебора ключей, содержащего миллион узлов, способных опробовать миллион ключей в секунду, не должна превышать $20,000,000. Такая сумма уже в то время была вполне по силам разведывательной службе крупного государства. С тех пор эта сумма уменьшилась на несколько порядков благодаря бурному развитию микроэлектроники.
Другим направлением критики предложенного стандарта было отсутствие в открытой печати критериев проектирования отдельных его решений, главным образом это относилось к узлам замены или S-блокам, как они названы в стандарте. Скептики отмечали, что поскольку критерии выбора узлов замены не были опубликованы, они (узлы) могли быть сконструированы специальным образом, чтобы те, кто обладает этими секретными знаниями, могли подвергнуть шифр криптоанализу.
Тем не менее, несмотря на критику, стандарт был принят и вступил в действие с момента его опубликования 15 января 1977 года. Позже М.Хеллман инициировал сенатское расследование обстоятельств разработки и утверждения стандарта, так как считал, что его принятие наносит ущерб национальной безопасности США. Это расследование закончилось ничем, однако, в его ходе вскрылись интересные факты. Оказалось, что в первоначально предложенном фирмой IBM варианте шифра длина ключа была большей, и именно АНБ настояло на ее уменьшении до 56 бит. Это дает серьезную почву для подозрений, что АНБ обладает возможностью читать зашифрованные с помощью DES сообщения.
Впрочем, интенсивные исследования шифра не обнаружили очевидных слабостей в нем, а выбранная длина ключа в то время была достаточной и взлом алгоритма "грубой силой", т.е. перебором по всему ключевому пространству, был за гранью экономической целесообразности, так как требовал бы чрезвычайно высоких затрат. Не следует забывать и то, что стандарт определяет алгоритм шифрования несекретных данных – в совокупности с предыдущим это оправдывает отсутствие запаса прочности в нем. Исследователи отметили, что существующей длины ключа будет вполне достаточно еще 10-15 лет, и в этом они не ошиблись. На всякий случай было решено пересматривать стандарт каждые пять лет.
Такие пересмотры были выполнены в 1983, 1988 и 1993 годах, тогда стандарт был оставлен без изменений. Однако вскоре слабость шифра стала очевидной, и для увеличения стойкости специалисты рекомендовали при его использовании выполнять шифрование два или три раза с различными ключами. В 1998 году, когда всем стало окончательно ясно, что стандарт шифрования должен быть заменен, Национальный Институт Стандартов США (НИСТ), правопреемник прежнего НБС, объявил конкурс на новый стандарт шифрования, заранее получивший название усовершенствованного стандарта шифрования – Advanced Encryption Standard (AES). Этот конкурс закончился в первых числах октября 2000 года выбором нового стандарта, которому, впрочем, еще предстоит процедура официального утверждения. Так что в ближайшее время история DES как официального стандарта закончится.
[Список алгоритмов] [Основные характеристики] [Структура алгоритма] [Битовые перестановки] [Функция шифрования] [Узлы замен] [Ключевые элементы] [Историческая справка]
[Начало осмотра] [Что нового] [Статьи] [Выпуски в "Байтах"] [Что скачать] [Криптоалгоритмы] [Глоссарий] [Ссылки] [Гостевая книга] [Форум] [Напиши мне]
Подготовлено 24.02.01. (c) 2001 Андрей Винокуров.
