SlideShare une entreprise Scribd logo
1  sur  48
Télécharger pour lire hors ligne
Криптографічний захист інформації
Алгоритм симетричного
блокового перетворення
Р.В.Олійников; І.Д.Горбенко; О.В.Казимиров;
В.І.Руженцев; О.О.Кузнєцов; Ю.І.Горбенко;
В.І.Долгов; О.В.Дирда; А.І.Пушкарьов;
Р.І.Мордвинов; Д.С.Кайдалов
Київ 2015
НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ
ДСТУ 7624:2014
Інформаційні технології
http://slideshare.net/oliynykov
ОСНОВНІ ВЛАСТИВОСТІ
Зміст (І)
Основні алгоритми симетричного блокового
шифрування, що використовуються в Україні станом
на 2015 р., та їхні властивості
Заміни ГОСТ 28147-89 у країнах СНД
Основні компоненти національного стандарту України
ДСТУ 7624:2014
Блоковий шифр «Калина»: вимоги, конструкція, огляд
властивостей компонентів
Криптографічна стійкість алгоритму «Калина»
Порівняння швидкодії блокового шифра “Калина” із
іншими алгоритмами
Зміст (ІІ)
Стандартні режими роботи відповідно до
ISO/IEC 10116
Нові режими роботи: призначення та
властивості
Позначення і приклади для перевірки
Довідковий додаток до стандарту: вимоги до
реалізації
Перспективи розвитку блокових перетворень
в умовах постійного вдосконалення
криптоаналітичних комплексів
Висновки
Основні алгоритми симетричного
блокового шифрування, що
використовуються в Україні станом на
2015 р.
ДСТУ ГОСТ 28147:2009
AES (у складі операційних систем загального
призначення)
RC4 та ін. (іноземні реалізації засобів захисту
Web-з’єднань відповідно до протоколів
SSL/TLS)
Triple DES (Національний банк України,
іноземні реалізації засобів захисту мережевого
трафіку IPsec)
ДСТУ 7624:2014 (“Калина”)
ДСТУ ГОСТ 28147:2009
Переваги
відомий шифр, який добре досліджений міжнародною
спільнотою більш ніж 20 років
прийнятний рівень швидкодій (32-бітові платформи), достатньо
зручний для апаратної реалізації, в т.ч. для малоресурсної
(lightweight) криптографії
вузли заміни (S-блоки) із гарними властивостями забезпечують
практичну стійкість шифра
Недоліки
наявність теоретичних атак із складністю, значно меншою
повного перебора ключів
великі класи слабких ключів
використання вузлів заміни спеціального виду дозволяє
зменшити рівень стійкості до реалізації практичних атак
(виключно на основі шифртекстів) з використанням одного
персонального комп’ютера
швидкодія на сучасних системах суттєво нижча порівняно із
іншими блоковими шифрами
ГОСТ 28147-89 виведений із дії у Білорусі (застосування дозволено тільки у режимі сумісності); у
новому стандарті шифрування РФ використовується як додатковий 64-бітовий шифр; відмовлено
у включенні цього шифру до міжнародного стандарту ISO/IEC 18033-3
Advanced Encryption
Standard (AES)
Переваги
найбільш досліджений в світі (відкриті публікації) криптографічний алгоритм
забезпечує високу практичну стійкість, включений до набору Suite-B АНБ
США, дозволений для захисту ІзОД уряду США
ефективний для реалізації на 32-бітових платформах
наявність низки апаратних акселераторів (включаючи старші моделі
процесорів загального призначення)
Недоліки
відомі теоретичні атаки із складністю, меншою, ніж повний перебір
не може в повній мірі використати можливості 64-бітових платформ
деяка моральна застарілість (розроблений у 1997 р.): у конкурсі NIST SHA-
3 перевага віддана рішенням із архітектурою, що значно відрізняється від
AES
відсутність довіри до іноземних апаратних реалізацій AES (в т.ч. набору
інструкцій AES-NI процесорів х86 і х86_64) на основі даних Е.Сноудена
світові лідери ІТ-індустрії почали поступово відмовляться від AES:
наприклад, компанія Google у 2014 році впровадила на заміну алгоритм
ChaCha20 для захисту каналів зв’язку мобільних пристроїв на базі
операційної системи Android
Triple DES (3DES, TDEA)
Переваги
відомий шифр, який добре досліджений міжнародною
спільнотою більш ніж 30 років
забезпечує припустиму практичну стійкість (2112)
поширений у банківських системах, що імпортовані або
орієнтовані на застарілі стандарти
Недоліки
практична стійкість значно нижче теоретичної
наявність класів слабких ключів
швидкодія на сучасних системах суттєво нижча навіть
порівняно із ДСТУ ГОСТ 2814:2009 і іншими блоковими
шифрами
Заміни ГОСТ 28147-89 у
країнах СНД
СТБ 34.101.31-2011 (Білорусь)
блок 128 біт, ключ 128, 192 або 256 біт
8 циклів, які складаються з комбінації ланцюга Фейстеля та схеми Лей-Мессі
один S-блок (8-біт-в-8) із гарними властивостями
відсутність схеми розгортання ключів
невідомі практичні атаки, ефективніші повного перебору
швидший ніж ГОСТ 28147-89, але повільніший, ніж AES
“Кузнечик” (“Коник”, РФ)
блок 128 біт, ключ 256 біт
9 циклів AES-подібного перетворення
один S-блок (8-біт-в-8), нециркулянтна матриця лінійного перетворення:
16х16 над полем GF(28)
схема розгортання ключів на базі циклового перетворення і ланцюга
Фейстеля (конструкція CS-cipher)
однаковий S-блок із новою функцією ґешування “Стрибог” (ГОСТ Р 34.11-
2012), але різні матриці лінійного перетворення (ускладнена реалізація
систем криптографічного захисту)
великий розмір таблиць для оптимальної програмної реалізації
швидкодія нижча за AES
Національний стандарт
України ДСТУ 7624:2014
симетричний блоковий шифр “Калина” (декілька
варіантів розміру блоку і довжини ключа)
режими роботи блокового шифру
додаток: нелінійні таблиці заміни (S-блоки)
додаток: алгоритм доповнення повідомлення для
режимів роботи, що вимагають довжину, кратну
розміру блоку
додаток: приклади для перевірки, включаючи
повідомлення із довжиною, не кратною розміру
блоку і байту
додаток: вимоги до реалізації
Вимоги до блокового шифру «Калина»
високий рівень криптографічної стійкості із достатнім
запасом на випадок появи нових атак протягом
тривалого часу
висока швидкодія програмної реалізації на сучасних
та перспективних платформах
компактність програмної і програмно-апаратної
реалізації, можливість ефективної інтеграції
декількох алгоритмів в одному засобі
криптографічного захисту
прозорість проектування, консервативний підхід
щодо забезпечення стійкості
вища (або порівняна) ефективність щодо найкращих
світових рішень
Комбінації довжини ключа і
розміру блоку шифру „Калина”
512512
256, 512256
128, 256128
ДовжинаДовжинаДовжинаДовжина ключаключаключаключаРозмірРозмірРозмірРозмір блокублокублокублоку
“Калина”:
функція зашифрування
K0
SubBytes
ShiftRows
MixColumns
Kvt -1 разів
Kt
SubBytes
ShiftRows
MixColumns
( ) )(
1
1
)(
)()(
,
0K
l
t
v
lll
K
l
lll
K
l
K
kl
v
t
T
ηπτψκ
πτψη
ooooo
oooo






′
′=
∏
−
=
Ефективна програмна реалізація перетворення використовує один таблиць передобчислень (AES
потребує два набору), виконавши оптимізацію для зашифрування, що дозволяє досягти вищої
швидкодії як при зашифруванні, так і розшифруванні для більшості режимів (CTR, CFB, CMAC, OFB,
GCM, GMAC, CCM).
Додаткове підвищення швидкодії та
компактності реалізації в залежності
від режиму роботи шифра
обробляються виключно невеликі обсяги даних
(менш кілобайта),
режим суттєво повільніший за інші
ніконфіденційність і
цілісність
KW10
призначений для прозорого шифрування носіїв
інформації. як правило, реалізований на ПК, де
немає обмежень в додаткової пам’яті для таблиць
розшифрування (кілобайти). крім того, швидкість
опрацювання запитів до носія, як правило, значно
повільніше шифрування
ніконфіденційністьXTS9
основний режим для забезпечення
цілісності і конфіденційності
такцілісність і
конфіденційність
CCM8
основний режим захисту інформації, що
передається відкритими мережами, в т.ч.
Інтернет
такконфіденційність і
цілісність (GCM), тільки
цілісність (GMAC)
GCM,
GMAC
7
такконфіденційністьOFB6
режим не рекомендований до застосування
(введений із міркувань сумісності із
міжнародними стандартами)
ніконфіденційністьCBC5
базовий режим для КАПтакцілісністьCMAC4
такконфіденційністьCFB3
основний режим для шифруваннятакконфіденційністьCTR2
є основою для інших і окремо не застосовуєтьсяніконфіденційністьECB1
КоментарПідв. швид. і комп.Послуга безпекиПозн.№
“Калина”: кількість циклів
шифрування
18––512 (Nb = 8)
1814–256 (Nb = 4)
–1410128 (Nb = 2)
512
(Nk = 8)
256
(Nk = 4)
128
(Nk = 2)
Ключ
Блок
“Калина”: нелінійні таблиці заміни
4 різних S-блоки (“байт-в-байт”), що не є CCZ-
еквівалентними, із наступними характеристиками:
S-блок AES: перевизначена система 2-ї степені, нелінійність: 112, ДК: 4
Найкращій показник нелінійності для S-блоків, що можуть бути описані
системою виключно 3-го степеня (краще, ніж в Сrypton, Safer+, Skipjack,
SNOW, Twofish, Whirlpool, СS, Anubis, “Стрибог/Кузнечик”, СТБ, та ін.)
4486Мінімальна довжина циклу
4644Кількість циклів
3 (441 рівняння)Степінь перевизначеної
системи
24Макс. значення табл. лін.
апроксим. (ЛК)
8Макс. значення табл.
розпод. різниць (ДК)
7Мінімальна алгебраїчна
степінь булевої функції
104Мінімальне значення
нелінійн. булевої функції
4321
Номер S-блоку
Характеристика
Калина: зсув рядків для
різних значень розміру блоку
ShiftRows
a
e
d
b
g
f
h
c
a
d
b
c
e
g
f
h
ShiftRows
a
e
d
b
g
f
h
c
a
b
d
c
e
f
g
h
ShiftRows
a
b
c
d
e
f
g
h
a
e
d
b
g
f
h
c
Лінійне перетворення “Калини”: множення на
МДВ-матрицу 8х8 над полем GF(28);
кількість активних S-блоків залежно від 64-
бітових процесорних інструкцій для
блоку 128 біт (ліворуч) і 256 біт (праворуч)
0
20
40
60
80
100
120
32 64 96 128
Required instructions
NumberofactiveS-boxes
МДР64
МДР32
45
90
135
180
25
50
75
100
0
20
40
60
80
100
120
140
160
180
200
64 128 192 256
Required instructions
NumberofactiveS-boxes
МДР64
МДР32
Підвищення розміру матриці до 8х8
дає суттєві переваги для
криптографічних властивостей, і є
ефективним на сучасних 64-бітових
платформах
Блоковий шифр “Калина”:
циклове перетворення
чотири різних S-блоки із різних класів еквівалентності, із
алгебраічними властивостями, кращими ніж у AES, та
нелінійністью вищою, ніж у СТБ 34.101.31-2011 та
“Стрибог”/”Кузнечик” (найкраще відоме у світі співвідношення
для захисту від різних атак)
можливість використання у якості довгосторокового
ключа для спеціальних застосувань блокового
перетворення
один набір таблиць передобчислень, оптимізований для
швидкодіючої реалізації як зашифрування, так і формування
циклових ключів (для зашифрування і розшифрування більшість
режимів роботи алгоритму вимагають виключно зашифрування
режиму простої заміни, ECB)
ефективність реалізації систем криптографічного захисту:
основні елементи спільні для національних стандартів
ґешування і шифрування (блокового перетворення)
Функція зашифрування
алгоритму “Калина”
прозора конструкція, консервативний підхід до
проектування, використання відомої стратегії “широкого
сліду” (wide trail design strategy), посилення попереднім
та прикінцевим модульним (264) забілюванням
наявність запасу стійкості на випадок появи нових
атак протягом тривалого часу
новий набір S- блоків, які не можуть бути описані
перевизначеною системою 2- гостепеня (додатковий
захист від алгебраїчних атак)
оріентація на 64- бітові платформи (додавання за
модулем 264, МДВ- матриця розміром 8x8)
у більшості режимів роботи як для зашифрування, так і
розшифрування повідомлень використовується лише
пряме перетворення
ефективна програмна і програмно- апаратна реалізація
Вимоги до схеми формування
циклових ключів алгоритму “Калина”
нелінійна залежність кожного біта кожного циклового ключа від
кожного біта ключа шифрування
циклові ключі суттєво відрізняються і мають складну нелінійну
залежність
захист від відомих криптоаналітичних атак, що орієнтовані на
схему розгортання ключів
відсутність слабких ключів, при яких погіршуються
криптографічні властивості або знижується стійкість
перетворення
висока обчислювальна складність відновлення ключа
шифрування по одному або декільком цикловим ключам, що є
доступними для криптоаналитика (додатковий захист від атак на
реалізацію)
обчислювальна складність формування всіх циклових ключів не
перевищує складності зашифрування 2,5 блоків
можливість формування циклових ключів у довільному порядку
(однакова обчислювальна і просторова складність для
зашифрування і розшифрування)
простота програмної і програмно-апаратної реалізації
Схема формування циклових
ключів алгоритму “Калина”
K
SubBytes
ShiftRows
MixColumns
K
K
SubBytes
ShiftRows
MixColumns
Nb+Nk+1(const)
SubBytes
ShiftRows
MixColumns
Kt
Kt+tmvi
SubBytes
ShiftRows
MixColumns
SubBytes
ShiftRows
MixColumns
K
k2i
Kt+tmvi
Kt+tmvi
)32(212 +⋅<<<=+ bii Nkk
tmv0=0x01000100…0100
tmvi+2= tmvi << 1
Всі операції (за виключенням зсувів)
взяті із функції зашифрування
Зсуви ефективно реалізуються
операціями доступу до пам’яті (RAM)
)()(
)()(
αω
α
ηπτψκπ
τψηπτψ
K
llll
K
ll
ll
K
llll
K
oooooo
oooooo
′′
′=Θ
( )
( ) ( ))()(
)(),,(
σσ
σσ
ϕϕ
ϕ
ηπτψκ
πτψη
K
llll
K
l
lll
K
l
iKK
ii
i
ooooo
oooo
′
′=Ξ
Властивості схеми формування
циклових ключів алгоритму “Калина”
відповідність заданим вимогам
всі операції взяті із функції зашифрування
циклові ключі можуть бути сформовані як для зашифрування,
так і розшифрування, з однаковою обчислювальною
складністю
ефективні засоби руйнування внутрішньої симетрії циклового
перетворення
мінімальна кількість констант, їхня прозорість
обчислювальна складність формування всіх циклових ключів
не перевищує складності зашифрування 2,5 блоків
неін’єктивна залежність циклових ключів від ключа
шифрування (додаткова стійкість до до низки методів
криптографічного аналізу, спрямованого, в тому числі, і на
апаратну або програмну реалізацію перетворення, без
можливості зниження складності атак переборного типу)
Криптографічна стійкість блокового
шифру “Калина”, блок 128 бітів
212045Бумеранг
26626256Нездійсн. дифер.
233+429756Інтегральний
34Усіч. диференц.
252,835Лінійний
25545Диференційний
Пам’ять,
байтів
Обчисл.
складність,
екв. оп.
шифрув.
Макс.
кілкість
циклів
Показники атак
Найменша
кількість циклів,
для якої шифр є
стійким
Метод
криптоаналізу
Криптографічна стійкість блокового
шифру “Калина”, блок 256 бітів
222056Бумеранг
26626156Нездійсн. дифер.
264+5214567Інтегральний
34Усіч. диференц.
2220,857Лінійний
223067Диференційний
Пам’ять,
байтів
Обчисл.
складність,
екв. оп.
шифрув.
Макс.
кілкість
циклів
Показники атак
Найменша
кількість циклів,
для якої шифр є
стійким
Метод
криптоаналізу
Криптографічна стійкість блокового
шифру “Калина”, блок 512 бітів
234067Бумеранг
26626056Нездійсн. дифер.
264+5213767Інтегральний
34Усіч. диференц.
2470,479Лінійний
249089Диференційний
Пам’ять,
байтів
Обчисл.
складність,
екв. оп.
шифрув.
Макс.
кілкість
циклів
Показники атак
Найменша
кількість циклів,
для якої шифр є
стійким
Метод
криптоаналізу
Криптографічна стійкість
блокового шифру “Калина”
Стійкість забезпечується (наявність запасу):
128-битовий блок: 6 раундів (із 10 або 14,
залежно від довжини ключа)
256-битовий блок: 7 раундів (із 14 або 18,
залежно від довжини ключа)
512-битовий блок: 9 раундів (із 18)
Порівняння швидкодії блокового шифра
“Калина” із іншими алгоритмами
(Linux, найкраща оптимізація компілятора)
ОС: Linux 64 bit, компілятор gcc version 4.9.2 (Ubuntu 4.9.2-0ubuntu1~12.04, 30-Oct-2014)
Швидкодія оптимізованих версій,
процесор Intel Core i5-4670 CPU @ 3.40GHz
0
500
1000
1500
2000
2500
3000
Kalyna-128/128
Kalyna-128/256
Kalyna-256/256
Kalyna-256/512
Kalyna-512/512
AE
S-128
AE
S-256
G
O
ST28147-89
BelTKuznyechik
Швидкодія,Мбіт/с
https://github.com/Roman-Oliynykov/ciphers-speed/
Порівняння швидкодії блокового шифра
“Калина” із іншими алгоритмами
(Linux, найкраща оптимізація компілятора)
1081.08Kuznyechik10
1055.92STB 34.101.31-2011(BelT)9
639.18GOST 28147-898
1993.53AES-2567
2525.89AES-1286
1386.46Kalyna-512/5125
1560.89Kalyna-256/5124
2017.97Kalyna-256/2563
1779.52Kalyna-128/2562
2611.77Kalyna-128/1281
Швидкодія,
Мбіт/с
Блоковий шифр№ з/п
Порівняння швидкодії блокового шифра
“Калина” із іншими алгоритмами
(iMac13.2, найкраща оптимізація компілятора)
Швидкодія оптимізованих версій,
iMac13,2; процесор Intel Core i7 CPU @ 3.40GHz
0
200
400
600
800
1000
1200
1400
1600
1800
2000
Kalyna-128/128
Kalyna-128/256
Kalyna-256/256
Kalyna-256/512
Kalyna-512/512
AES-128
AES-256
G
O
ST28147-89
BelTKuznyechik
Швидкодія,Мбіт/с
https://github.com/Roman-Oliynykov/ciphers-speed/
Порівняння швидкодії блокового шифра
“Калина” із іншими алгоритмами
(iMac13.2, найкраща оптимізація компілятора)
1158.67Kuznyechik10
936.657STB 34.101.31-2011(BelT)9
569.475GOST 28147-898
1189.04AES-2567
1645.97AES-1286
1177.91Kalyna-512/5125
1023.76Kalyna-256/5124
1315.4Kalyna-256/2563
1236.32Kalyna-128/2562
1788.88Kalyna-128/1281
Швидкодія, Мбіт/сБлоковий шифр№ з/п
Стандартні режими роботи
блокового шифра: ISO/IEC 10116
Electronic codebook (ECB)
Cipher block chaining (CBC)
Cipher feedback (CFB)
Output feedback (OFB)
Counter (CTR)
Недоліки стандартних
режимів
ECB: можливість компрометації повідомлення
при наявності однакових блоків відкритого тексту
CBC: вимоги до випадковості сінхропосилки,
можливість компрометації повідомлення в
специфічних умовах (які присутні в протоколах
SSL/TLS); перешифрування є неефективним
CFB: обов’язковий потрібен додатковий контроль
цілісності повідомлення (модифікація
шифртексту призводить до спрямованої
модифікації відкритого тексту); перешифрування
є неефективним
Недоліки стандартних
режимів
OFB: обов’язковий потрібен додатковий контроль
цілісності повідомлення (модифікація
шифртексту призводить до спрямованої
модифікації відкритого тексту); перешифрування
є неефективним
CTR: найбільш зручний режим забезпечення
конфіденційності, але обов’язковий потрібен
додатковий контроль цілісності повідомлення
(модифікація шифртексту призводить до
спрямованої модифікації відкритого тексту), що
накладає обмеження на застосування при
прозорому шифруванні носіїв інформації
Режими роботи, визначені в
стандарті
Режими роботи, визначені в
стандарті
1-3,5,6: стандартні, відповідно до технічного
завдання та ISO/IEC 10116:2006
4: контроль цілісності (вдосконалений алгоритм)
режими 1-4 по призначенню і основними
властивостям співпадають із тими, що визначені
ДСТУ ГОСТ 28147:2009
7-10: додаткові режими, потрібні для сучасних
засобів криптографічного захисту (шифрування
ІР-трафіку, носіїв інформації, ключових даних
малого обсягу та ін.)
CMAC: вироблення
імітовставки
посилений варіант режиму виробки коду
автентифікації повідомлення, що дозволяє
захиститись від атаки збільшення довжини
повідомлення (за рахунок доповнення
останнього блоку)
час виробки імітовставки дорівнює часу
зашифрування повідомлення
модифікований (зручний для розробників)
варіант рекомендацій NIST
подібний режим є в СТБ 34.101.31-2011
(орієнтований на 32-бітові процесори)
GCM, GMAC: вибіркове гамування із
прискореним виробленням імітовставки
одночасне забезпечення конфіденційності та цілісності (і найвищій
рівень швидкодії в цих вимогах)
захист мережевого трафіку при реалізації протоколів IPsec та ін.
додаткові заходи захисту проти DoS атак (“відмова в
обслуговуванні”)
є аналогічні режими NIST та СТБ 34.101.31-2011 (модифікації у
національному стандарті спрямовані на більш зручну реалізацію)
можливість використання нових інструкцій процесорів загального
призначення для прискореного обчислення імітовставки
особливості режиму враховані при розробці національного
стандарту
ймовірність генерування т.з. “слабкого” ключа автентифікації
(Markku Saarinen, “GCM, GHASH and Weak Key”, 2011 р.) для
довжин повідомлень (кількості блоків), визначеним Додатком Г,
практично дорівнює ймовірності угадування зловмисником
ключа блокого шифра;
складність пошуку т.з. “еквівалентних” ключів автентифікації на
багато порядків вища, ніж складність традиційних колізійних
атак (також врахованих Додатком Г стандарту)
CCM: вироблення
імітовставки і гамування
одночасне забезпечення конфіденційності
та цілісності, заміна застосуванню двох
режимів CMAC та CTR
модифікований (зручний для розробників)
варіант рекомендацій NIST, який
використовується для захисту трафіку WiFi
та WiMax
XTS: індексована заміна
прозоре шифрування інформації, що
зберегається на носіях із блоковим доступом
(диски та ін.)
є ефективним, коли неможливе забезпечення
цілісності кожного блоку на носії (не дозволяє
спрямовану модифікацію відкритого тексту через
шифрований)
швидкодія така ж, як і в CTR (але
розшифрування трохи повільніше зашифрування
із-за максимальної оптимізації швидкодії інших
режимів)
модифікований (зручний для розробників)
варіант рекомендацій NIST та стандарту IEEE
KW: захист ключових даних
дозволяє захищати блоки даних (особові
ключі асиметричних систем і т.ін.) без
використання синхропосилки
забезпечує конфіденційність та цілісність
швидкодія нижча, ніж у інших режимів
відповідно до необхідності забезпечення
залежності всіх блоків шифртексту від
кожного блоку повідомлення (і навпаки)
Позначення параметрів
перетворення і режимів роботи
Калина-l/k-режим-параметри режиму
l –розмір блоку шифра
k - довжина ключа
Калина-256/512-CCM-32,128
розмір блоку 256 біт
довжина ключа 512 біт
режимі вироблення імітовставки і гамування
довжина конфіденційної (та відкритої) частини
повідомлення завжди менша 232 байтів
довжина імітовставки 128 біт
короткий запис, який однозначно визначає перетворення і всі його
параметри
Використання позначень параметрів
перетворення і режимів роботи
кожен з режимів роботи визначає рекомендовані значення параметрів
задача розробника технічного завдання
вібір параметрів перетворення
розмір блоку (128 біт - наприклад)
довжина ключа
персональні дані: 128 біт (приклад)
інформація, що є власністю держави: 256 біт (приклад)
вибір режиму роботи
електронний документ з ЦП: CTR (приклад)
мережевий трафік: GCM (приклад)
захищений диск: XTS (приклад)
взяти набір рекомендованих значень інших параметрів режиму
(які можуть бути змінені при необхідности забезпечення
сумісності із існуючими системами та ін.)
у разі необхідності розробник може обрати інші обґрунтовані
комбінації параметрів, і така реалізація також буде відповідати
національному стандарту
Приклади для перевірки
деталізована інформація для розробника
формат little endian (процесори x86, x86_64, ARM
та ін.)
прості вхідні послідовності (00 01 02 …), які не
потребують перенабору з паперового примірнику
стандарту
значення для кожної операції при зашифруванні,
розшифруванні і формуванні циклових ключів
для всіх комбінацій розміру блоку і довжини
ключа
режими роботи: приклади із повідомленнями, чия
довжина не є кратною розміру блоку і, для деяких
режимів, байту (бітова довжина)
Додаток (довідковий):
вимоги до реалізації
перелік загальних вимог щодо захисту від витоку
побічними каналами (залежність часу
шифрування, довжини повідомлення і ін. від
конфіденційних параметрів)
обмеження на сумарну довжину повідомлень, що
захищаються з використанням одного ключа
вимоги щодо синхропосилки
захист від повторного прийому повідомлення
Рекомендації розробнику засобу КЗІ, який може не бути фахівцем у галузі
криптоаналізу симетричних перетворень
Обмеження на сумарну довжину
повідомлень, що захищаються з
використанням одного ключа
Розрахунок зроблений на основі ймовірності успіху криптоаналітика 10-9
(рекомендації NIST: обмеження обчислюються для ймовірністі 10-6 або 10-2;
доповіді щодо перспективного шифру РФ: ймовірність 1/2)
Необхідність враховувати властивості
всієї системи при розробці засобів КЗІ:
приклади атак 2013-2014 рр.
режими роботи шифру
атака BEAST (режим CBC в протоколах SSL/TLS)
атаки на реалізацію
атаки CRIME/BREACH
вразливість heartbleed в OpenSSL
часові (timing) атаки: промахи кешу процесора
виток побічними каналами
вразливості програмного забезпечення (buffer and heap
overflows, etc.)
безпека протоколів вищого рівня (наприклад,
генерації ключа шифрування, DUAL_EC_DRBG з
NIST SP 800-90A)
Вдосконалення
криптоаналітичних комплексів
травень 2013 р.: запуск криптоаналітичного
комплексу АНБ із запланованим обсягом
пристроїв зберігання у мільярди терабайт
(офіційна інформація)
наявність на споживчому ринку засобів (пошук
BitCoin-монет електронних грошей на базі
криптографічних властивостей SHA-256), що
побудовані з використанням ASIC мікросхем із
швидкодією 51 Тбіт/с (аналог 25 тис. (!)
процесорних ядер загального призначення)
вартістю 4 тис. дол. США
можливо, в таких умовах Калина-256/256 і Калина-256/512 стануть
основними через декілька років
Новий національний стандарт
симетричного блокового
перетворення забезпечує
високий і надвисокий рівень стійкості із запасом на
випадок появи нових атак та вдосконалення
криптоаналітичних комплексів протягом тривалого часу
високу швидкодію програмної реалізації на сучасних та
перспективних платформах
вищу або порівняну ефективність щодо найкращих
світових рішень
наявність режимів роботи, необхідних для ефективної
реалізації сучасних засобів криптографічного захисту
можливість ефективної інтеграції двох національних
алгоритмів в одному засобі криптографічного захисту
зручність реалізації для розробників засобів
криптографічного захисту

Contenu connexe

Tendances

Software Engineering Unit 1
Software Engineering Unit 1Software Engineering Unit 1
Software Engineering Unit 1Abhimanyu Mishra
 
Software Engineering (Testing techniques)
Software Engineering (Testing techniques)Software Engineering (Testing techniques)
Software Engineering (Testing techniques)ShudipPal
 
Project Planning in Software Engineering
Project Planning in Software EngineeringProject Planning in Software Engineering
Project Planning in Software EngineeringFáber D. Giraldo
 
Responsibilities of a Software Project Manager
Responsibilities of a Software Project Manager Responsibilities of a Software Project Manager
Responsibilities of a Software Project Manager Santhia RK
 
Тема: Машини і механізми. Швейна машина / Зінченко О.Г.
Тема: Машини і механізми. Швейна машина / Зінченко О.Г.Тема: Машини і механізми. Швейна машина / Зінченко О.Г.
Тема: Машини і механізми. Швейна машина / Зінченко О.Г.Яна Іванова
 
კომპიუტერის აგებულება
კომპიუტერის აგებულებაკომპიუტერის აგებულება
კომპიუტერის აგებულებაmaiko maiko
 
Стек протоколів IPsec
Стек протоколів IPsecСтек протоколів IPsec
Стек протоколів IPsecShevchenko Andriy
 
WORKFLOW OF THE PROCESS IN SPM
 WORKFLOW OF THE PROCESS IN SPM WORKFLOW OF THE PROCESS IN SPM
WORKFLOW OF THE PROCESS IN SPMgarishma bhatia
 
Що за страшний звір - наукова стаття, і як перестати його боятися
Що за страшний звір - наукова стаття, і як перестати його боятисяЩо за страшний звір - наукова стаття, і як перестати його боятися
Що за страшний звір - наукова стаття, і як перестати його боятисяНаукова бібліотека КНУКіМ
 
9 труд гусєва_пособ_дев_2009_укр
9 труд гусєва_пособ_дев_2009_укр9 труд гусєва_пособ_дев_2009_укр
9 труд гусєва_пособ_дев_2009_укрAira_Roo
 
Технологія виготовлення виробів інтер’єрного призначення 8 клас
Технологія виготовлення виробів інтер’єрного призначення 8 класТехнологія виготовлення виробів інтер’єрного призначення 8 клас
Технологія виготовлення виробів інтер’єрного призначення 8 класPRESLAVA1972
 
Quality Management in Software Engineering SE24
Quality Management in Software Engineering SE24Quality Management in Software Engineering SE24
Quality Management in Software Engineering SE24koolkampus
 
урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.
урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.
урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.School5uman
 
Презентація до 24 уроку в 6 класі
Презентація до 24 уроку в 6 класіПрезентація до 24 уроку в 6 класі
Презентація до 24 уроку в 6 класіЮлія Артюх
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMInternet Security Auditors
 
Software Engineering - chp3- design
Software Engineering - chp3- designSoftware Engineering - chp3- design
Software Engineering - chp3- designLilia Sfaxi
 
Software engineering process
Software engineering processSoftware engineering process
Software engineering processKanchanPatil34
 

Tendances (20)

Software Engineering Unit 1
Software Engineering Unit 1Software Engineering Unit 1
Software Engineering Unit 1
 
Software Engineering
Software EngineeringSoftware Engineering
Software Engineering
 
Software Engineering (Testing techniques)
Software Engineering (Testing techniques)Software Engineering (Testing techniques)
Software Engineering (Testing techniques)
 
Project Planning in Software Engineering
Project Planning in Software EngineeringProject Planning in Software Engineering
Project Planning in Software Engineering
 
Responsibilities of a Software Project Manager
Responsibilities of a Software Project Manager Responsibilities of a Software Project Manager
Responsibilities of a Software Project Manager
 
Тема: Машини і механізми. Швейна машина / Зінченко О.Г.
Тема: Машини і механізми. Швейна машина / Зінченко О.Г.Тема: Машини і механізми. Швейна машина / Зінченко О.Г.
Тема: Машини і механізми. Швейна машина / Зінченко О.Г.
 
კომპიუტერის აგებულება
კომპიუტერის აგებულებაკომპიუტერის აგებულება
კომპიუტერის აგებულება
 
Стек протоколів IPsec
Стек протоколів IPsecСтек протоколів IPsec
Стек протоколів IPsec
 
WORKFLOW OF THE PROCESS IN SPM
 WORKFLOW OF THE PROCESS IN SPM WORKFLOW OF THE PROCESS IN SPM
WORKFLOW OF THE PROCESS IN SPM
 
Що за страшний звір - наукова стаття, і як перестати його боятися
Що за страшний звір - наукова стаття, і як перестати його боятисяЩо за страшний звір - наукова стаття, і як перестати його боятися
Що за страшний звір - наукова стаття, і як перестати його боятися
 
9 труд гусєва_пособ_дев_2009_укр
9 труд гусєва_пособ_дев_2009_укр9 труд гусєва_пособ_дев_2009_укр
9 труд гусєва_пособ_дев_2009_укр
 
9 клас урок 17
9 клас урок 179 клас урок 17
9 клас урок 17
 
Технологія виготовлення виробів інтер’єрного призначення 8 клас
Технологія виготовлення виробів інтер’єрного призначення 8 класТехнологія виготовлення виробів інтер’єрного призначення 8 клас
Технологія виготовлення виробів інтер’єрного призначення 8 клас
 
Quality Management in Software Engineering SE24
Quality Management in Software Engineering SE24Quality Management in Software Engineering SE24
Quality Management in Software Engineering SE24
 
урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.
урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.
урок 14. мультимедіа. об'єкти мультимедіа. галузі використання мультимедіа.
 
Презентація до 24 уроку в 6 класі
Презентація до 24 уроку в 6 класіПрезентація до 24 уроку в 6 класі
Презентація до 24 уроку в 6 класі
 
Desarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMMDesarrollo de software seguro: una visión con OpenSAMM
Desarrollo de software seguro: una visión con OpenSAMM
 
Risk Management
Risk ManagementRisk Management
Risk Management
 
Software Engineering - chp3- design
Software Engineering - chp3- designSoftware Engineering - chp3- design
Software Engineering - chp3- design
 
Software engineering process
Software engineering processSoftware engineering process
Software engineering process
 

En vedette

Kalyna block cipher presentation in English
Kalyna block cipher presentation in EnglishKalyna block cipher presentation in English
Kalyna block cipher presentation in EnglishRoman Oliynykov
 
AES effecitve software implementation
AES effecitve software implementationAES effecitve software implementation
AES effecitve software implementationRoman Oliynykov
 
Cryptocurrency with central bank regulations: the RSCoin framework
Cryptocurrency with central bank regulations: the RSCoin frameworkCryptocurrency with central bank regulations: the RSCoin framework
Cryptocurrency with central bank regulations: the RSCoin frameworkRoman Oliynykov
 
Next generation block ciphers
Next generation block ciphersNext generation block ciphers
Next generation block ciphersRoman Oliynykov
 
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Buffer overflow and other software vulnerabilities: theory and practice of pr...Buffer overflow and other software vulnerabilities: theory and practice of pr...
Buffer overflow and other software vulnerabilities: theory and practice of pr...Roman Oliynykov
 
"Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,...
"Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,..."Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,...
"Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,...Edge AI and Vision Alliance
 
High throughput implementations of cryptography algorithms on GPU and FPGA
High throughput implementations of cryptography  algorithms on GPU and FPGAHigh throughput implementations of cryptography  algorithms on GPU and FPGA
High throughput implementations of cryptography algorithms on GPU and FPGAnitin3940
 
Advanced Encryption Standard (AES)
Advanced Encryption Standard (AES)Advanced Encryption Standard (AES)
Advanced Encryption Standard (AES)Amir Masinaei
 
UVM Update: Register Package
UVM Update: Register PackageUVM Update: Register Package
UVM Update: Register PackageDVClub
 
Implementation of aes and blowfish algorithm
Implementation of aes and blowfish algorithmImplementation of aes and blowfish algorithm
Implementation of aes and blowfish algorithmeSAT Publishing House
 
10 Event Technology Trends to Watch in 2016
10 Event Technology Trends to Watch in 201610 Event Technology Trends to Watch in 2016
10 Event Technology Trends to Watch in 2016Eventbrite UK
 
Block Ciphers Modes of Operation
Block Ciphers Modes of OperationBlock Ciphers Modes of Operation
Block Ciphers Modes of OperationRoman Oliynykov
 

En vedette (17)

Kalyna block cipher presentation in English
Kalyna block cipher presentation in EnglishKalyna block cipher presentation in English
Kalyna block cipher presentation in English
 
AES effecitve software implementation
AES effecitve software implementationAES effecitve software implementation
AES effecitve software implementation
 
Cryptocurrency with central bank regulations: the RSCoin framework
Cryptocurrency with central bank regulations: the RSCoin frameworkCryptocurrency with central bank regulations: the RSCoin framework
Cryptocurrency with central bank regulations: the RSCoin framework
 
Kupyna
KupynaKupyna
Kupyna
 
Next generation block ciphers
Next generation block ciphersNext generation block ciphers
Next generation block ciphers
 
Software Security
Software SecuritySoftware Security
Software Security
 
Buffer overflow and other software vulnerabilities: theory and practice of pr...
Buffer overflow and other software vulnerabilities: theory and practice of pr...Buffer overflow and other software vulnerabilities: theory and practice of pr...
Buffer overflow and other software vulnerabilities: theory and practice of pr...
 
"Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,...
"Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,..."Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,...
"Lessons Learned from Bringing Mobile and Embedded Vision Products to Market,...
 
High throughput implementations of cryptography algorithms on GPU and FPGA
High throughput implementations of cryptography  algorithms on GPU and FPGAHigh throughput implementations of cryptography  algorithms on GPU and FPGA
High throughput implementations of cryptography algorithms on GPU and FPGA
 
Advanced Encryption Standard (AES)
Advanced Encryption Standard (AES)Advanced Encryption Standard (AES)
Advanced Encryption Standard (AES)
 
Software security
Software securitySoftware security
Software security
 
UVM Update: Register Package
UVM Update: Register PackageUVM Update: Register Package
UVM Update: Register Package
 
Aes
AesAes
Aes
 
Implementation of aes and blowfish algorithm
Implementation of aes and blowfish algorithmImplementation of aes and blowfish algorithm
Implementation of aes and blowfish algorithm
 
Classical Encryption
Classical EncryptionClassical Encryption
Classical Encryption
 
10 Event Technology Trends to Watch in 2016
10 Event Technology Trends to Watch in 201610 Event Technology Trends to Watch in 2016
10 Event Technology Trends to Watch in 2016
 
Block Ciphers Modes of Operation
Block Ciphers Modes of OperationBlock Ciphers Modes of Operation
Block Ciphers Modes of Operation
 

Similaire à Kalyna

Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded Systemitconnect2016
 
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...SSCoding Group
 
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...SSCoding Group
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk Fwdays
 
Урок 09 - Підсумковий урок з тем «Кодування даних. Апаратно-програмне забез...
Урок 09 -  Підсумковий урок з тем «Кодування даних. Апаратно-програмнезабез...Урок 09 -  Підсумковий урок з тем «Кодування даних. Апаратно-програмнезабез...
Урок 09 - Підсумковий урок з тем «Кодування даних. Апаратно-програмне забез...Misha Kokhanych
 
Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)garasym
 
Computers and Computing Works lecture №5
Computers and Computing Works lecture №5Computers and Computing Works lecture №5
Computers and Computing Works lecture №5Lesia Sobolevska
 
Q-Face-Pro-OEM-Module_UKR.pdf
Q-Face-Pro-OEM-Module_UKR.pdfQ-Face-Pro-OEM-Module_UKR.pdf
Q-Face-Pro-OEM-Module_UKR.pdfPavloZholtykov1
 
л16 уя 2012
л16  уя 2012л16  уя 2012
л16 уя 2012STUYAKMMT
 
Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131Пупена Александр
 
Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...
Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...
Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...Volodymyr Mudryk
 
Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0uisgslide
 
Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...
Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...
Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...Volodymyr Mudryk
 
Lec15 архiтектура та проектування компонентних систем
Lec15 архiтектура та проектування компонентних системLec15 архiтектура та проектування компонентних систем
Lec15 архiтектура та проектування компонентних системcit-cit
 
Computers and Computing Works lecture №8
Computers and Computing Works lecture №8Computers and Computing Works lecture №8
Computers and Computing Works lecture №8Lesia Sobolevska
 
інновації та перспективи чнту 2015
інновації та перспективи чнту 2015інновації та перспективи чнту 2015
інновації та перспективи чнту 2015is1003
 
Rublyov a
Rublyov aRublyov a
Rublyov agarasym
 
Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...Пупена Александр
 

Similaire à Kalyna (20)

Изучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded SystemИзучение интерфейсов операционных систем с помощью Embedded System
Изучение интерфейсов операционных систем с помощью Embedded System
 
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
 
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
Розробка концепції багаторівневої селективної обробки даних для багатомашинно...
 
Solodkyi.obd
Solodkyi.obdSolodkyi.obd
Solodkyi.obd
 
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk "Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
"Vulnerabilities Analysis: Corporate DevSec Practices", Sergii Kulyk
 
Урок 09 - Підсумковий урок з тем «Кодування даних. Апаратно-програмне забез...
Урок 09 -  Підсумковий урок з тем «Кодування даних. Апаратно-програмнезабез...Урок 09 -  Підсумковий урок з тем «Кодування даних. Апаратно-програмнезабез...
Урок 09 - Підсумковий урок з тем «Кодування даних. Апаратно-програмне забез...
 
Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)Lopit i.i. (10.04.2012)
Lopit i.i. (10.04.2012)
 
Computers and Computing Works lecture №5
Computers and Computing Works lecture №5Computers and Computing Works lecture №5
Computers and Computing Works lecture №5
 
Q-Face-Pro-OEM-Module_UKR.pdf
Q-Face-Pro-OEM-Module_UKR.pdfQ-Face-Pro-OEM-Module_UKR.pdf
Q-Face-Pro-OEM-Module_UKR.pdf
 
л16 уя 2012
л16  уя 2012л16  уя 2012
л16 уя 2012
 
л16 уя 2012
л16  уя 2012л16  уя 2012
л16 уя 2012
 
Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131Програмовані логічні контролери стандарту МЕК 61131
Програмовані логічні контролери стандарту МЕК 61131
 
Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...
Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...
Аналіз високопродуктивних комп`ютерних комплексів на основі сучасних технолог...
 
Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0Стандарт верифікації безпеки веб-додатків ASVS 3.0
Стандарт верифікації безпеки веб-додатків ASVS 3.0
 
Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...
Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...
Aналіз технологій мультичіпової обробки даних на GPU для організації масивно ...
 
Lec15 архiтектура та проектування компонентних систем
Lec15 архiтектура та проектування компонентних системLec15 архiтектура та проектування компонентних систем
Lec15 архiтектура та проектування компонентних систем
 
Computers and Computing Works lecture №8
Computers and Computing Works lecture №8Computers and Computing Works lecture №8
Computers and Computing Works lecture №8
 
інновації та перспективи чнту 2015
інновації та перспективи чнту 2015інновації та перспективи чнту 2015
інновації та перспективи чнту 2015
 
Rublyov a
Rublyov aRublyov a
Rublyov a
 
Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...Концепція розробки програмного забезпечення для програмованих логічних контро...
Концепція розробки програмного забезпечення для програмованих логічних контро...
 

Kalyna

  • 1. Криптографічний захист інформації Алгоритм симетричного блокового перетворення Р.В.Олійников; І.Д.Горбенко; О.В.Казимиров; В.І.Руженцев; О.О.Кузнєцов; Ю.І.Горбенко; В.І.Долгов; О.В.Дирда; А.І.Пушкарьов; Р.І.Мордвинов; Д.С.Кайдалов Київ 2015 НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ ДСТУ 7624:2014 Інформаційні технології http://slideshare.net/oliynykov ОСНОВНІ ВЛАСТИВОСТІ
  • 2. Зміст (І) Основні алгоритми симетричного блокового шифрування, що використовуються в Україні станом на 2015 р., та їхні властивості Заміни ГОСТ 28147-89 у країнах СНД Основні компоненти національного стандарту України ДСТУ 7624:2014 Блоковий шифр «Калина»: вимоги, конструкція, огляд властивостей компонентів Криптографічна стійкість алгоритму «Калина» Порівняння швидкодії блокового шифра “Калина” із іншими алгоритмами
  • 3. Зміст (ІІ) Стандартні режими роботи відповідно до ISO/IEC 10116 Нові режими роботи: призначення та властивості Позначення і приклади для перевірки Довідковий додаток до стандарту: вимоги до реалізації Перспективи розвитку блокових перетворень в умовах постійного вдосконалення криптоаналітичних комплексів Висновки
  • 4. Основні алгоритми симетричного блокового шифрування, що використовуються в Україні станом на 2015 р. ДСТУ ГОСТ 28147:2009 AES (у складі операційних систем загального призначення) RC4 та ін. (іноземні реалізації засобів захисту Web-з’єднань відповідно до протоколів SSL/TLS) Triple DES (Національний банк України, іноземні реалізації засобів захисту мережевого трафіку IPsec) ДСТУ 7624:2014 (“Калина”)
  • 5. ДСТУ ГОСТ 28147:2009 Переваги відомий шифр, який добре досліджений міжнародною спільнотою більш ніж 20 років прийнятний рівень швидкодій (32-бітові платформи), достатньо зручний для апаратної реалізації, в т.ч. для малоресурсної (lightweight) криптографії вузли заміни (S-блоки) із гарними властивостями забезпечують практичну стійкість шифра Недоліки наявність теоретичних атак із складністю, значно меншою повного перебора ключів великі класи слабких ключів використання вузлів заміни спеціального виду дозволяє зменшити рівень стійкості до реалізації практичних атак (виключно на основі шифртекстів) з використанням одного персонального комп’ютера швидкодія на сучасних системах суттєво нижча порівняно із іншими блоковими шифрами ГОСТ 28147-89 виведений із дії у Білорусі (застосування дозволено тільки у режимі сумісності); у новому стандарті шифрування РФ використовується як додатковий 64-бітовий шифр; відмовлено у включенні цього шифру до міжнародного стандарту ISO/IEC 18033-3
  • 6. Advanced Encryption Standard (AES) Переваги найбільш досліджений в світі (відкриті публікації) криптографічний алгоритм забезпечує високу практичну стійкість, включений до набору Suite-B АНБ США, дозволений для захисту ІзОД уряду США ефективний для реалізації на 32-бітових платформах наявність низки апаратних акселераторів (включаючи старші моделі процесорів загального призначення) Недоліки відомі теоретичні атаки із складністю, меншою, ніж повний перебір не може в повній мірі використати можливості 64-бітових платформ деяка моральна застарілість (розроблений у 1997 р.): у конкурсі NIST SHA- 3 перевага віддана рішенням із архітектурою, що значно відрізняється від AES відсутність довіри до іноземних апаратних реалізацій AES (в т.ч. набору інструкцій AES-NI процесорів х86 і х86_64) на основі даних Е.Сноудена світові лідери ІТ-індустрії почали поступово відмовляться від AES: наприклад, компанія Google у 2014 році впровадила на заміну алгоритм ChaCha20 для захисту каналів зв’язку мобільних пристроїв на базі операційної системи Android
  • 7. Triple DES (3DES, TDEA) Переваги відомий шифр, який добре досліджений міжнародною спільнотою більш ніж 30 років забезпечує припустиму практичну стійкість (2112) поширений у банківських системах, що імпортовані або орієнтовані на застарілі стандарти Недоліки практична стійкість значно нижче теоретичної наявність класів слабких ключів швидкодія на сучасних системах суттєво нижча навіть порівняно із ДСТУ ГОСТ 2814:2009 і іншими блоковими шифрами
  • 8. Заміни ГОСТ 28147-89 у країнах СНД СТБ 34.101.31-2011 (Білорусь) блок 128 біт, ключ 128, 192 або 256 біт 8 циклів, які складаються з комбінації ланцюга Фейстеля та схеми Лей-Мессі один S-блок (8-біт-в-8) із гарними властивостями відсутність схеми розгортання ключів невідомі практичні атаки, ефективніші повного перебору швидший ніж ГОСТ 28147-89, але повільніший, ніж AES “Кузнечик” (“Коник”, РФ) блок 128 біт, ключ 256 біт 9 циклів AES-подібного перетворення один S-блок (8-біт-в-8), нециркулянтна матриця лінійного перетворення: 16х16 над полем GF(28) схема розгортання ключів на базі циклового перетворення і ланцюга Фейстеля (конструкція CS-cipher) однаковий S-блок із новою функцією ґешування “Стрибог” (ГОСТ Р 34.11- 2012), але різні матриці лінійного перетворення (ускладнена реалізація систем криптографічного захисту) великий розмір таблиць для оптимальної програмної реалізації швидкодія нижча за AES
  • 9. Національний стандарт України ДСТУ 7624:2014 симетричний блоковий шифр “Калина” (декілька варіантів розміру блоку і довжини ключа) режими роботи блокового шифру додаток: нелінійні таблиці заміни (S-блоки) додаток: алгоритм доповнення повідомлення для режимів роботи, що вимагають довжину, кратну розміру блоку додаток: приклади для перевірки, включаючи повідомлення із довжиною, не кратною розміру блоку і байту додаток: вимоги до реалізації
  • 10. Вимоги до блокового шифру «Калина» високий рівень криптографічної стійкості із достатнім запасом на випадок появи нових атак протягом тривалого часу висока швидкодія програмної реалізації на сучасних та перспективних платформах компактність програмної і програмно-апаратної реалізації, можливість ефективної інтеграції декількох алгоритмів в одному засобі криптографічного захисту прозорість проектування, консервативний підхід щодо забезпечення стійкості вища (або порівняна) ефективність щодо найкращих світових рішень
  • 11. Комбінації довжини ключа і розміру блоку шифру „Калина” 512512 256, 512256 128, 256128 ДовжинаДовжинаДовжинаДовжина ключаключаключаключаРозмірРозмірРозмірРозмір блокублокублокублоку
  • 12. “Калина”: функція зашифрування K0 SubBytes ShiftRows MixColumns Kvt -1 разів Kt SubBytes ShiftRows MixColumns ( ) )( 1 1 )( )()( , 0K l t v lll K l lll K l K kl v t T ηπτψκ πτψη ooooo oooo       ′ ′= ∏ − = Ефективна програмна реалізація перетворення використовує один таблиць передобчислень (AES потребує два набору), виконавши оптимізацію для зашифрування, що дозволяє досягти вищої швидкодії як при зашифруванні, так і розшифруванні для більшості режимів (CTR, CFB, CMAC, OFB, GCM, GMAC, CCM).
  • 13. Додаткове підвищення швидкодії та компактності реалізації в залежності від режиму роботи шифра обробляються виключно невеликі обсяги даних (менш кілобайта), режим суттєво повільніший за інші ніконфіденційність і цілісність KW10 призначений для прозорого шифрування носіїв інформації. як правило, реалізований на ПК, де немає обмежень в додаткової пам’яті для таблиць розшифрування (кілобайти). крім того, швидкість опрацювання запитів до носія, як правило, значно повільніше шифрування ніконфіденційністьXTS9 основний режим для забезпечення цілісності і конфіденційності такцілісність і конфіденційність CCM8 основний режим захисту інформації, що передається відкритими мережами, в т.ч. Інтернет такконфіденційність і цілісність (GCM), тільки цілісність (GMAC) GCM, GMAC 7 такконфіденційністьOFB6 режим не рекомендований до застосування (введений із міркувань сумісності із міжнародними стандартами) ніконфіденційністьCBC5 базовий режим для КАПтакцілісністьCMAC4 такконфіденційністьCFB3 основний режим для шифруваннятакконфіденційністьCTR2 є основою для інших і окремо не застосовуєтьсяніконфіденційністьECB1 КоментарПідв. швид. і комп.Послуга безпекиПозн.№
  • 14. “Калина”: кількість циклів шифрування 18––512 (Nb = 8) 1814–256 (Nb = 4) –1410128 (Nb = 2) 512 (Nk = 8) 256 (Nk = 4) 128 (Nk = 2) Ключ Блок
  • 15. “Калина”: нелінійні таблиці заміни 4 різних S-блоки (“байт-в-байт”), що не є CCZ- еквівалентними, із наступними характеристиками: S-блок AES: перевизначена система 2-ї степені, нелінійність: 112, ДК: 4 Найкращій показник нелінійності для S-блоків, що можуть бути описані системою виключно 3-го степеня (краще, ніж в Сrypton, Safer+, Skipjack, SNOW, Twofish, Whirlpool, СS, Anubis, “Стрибог/Кузнечик”, СТБ, та ін.) 4486Мінімальна довжина циклу 4644Кількість циклів 3 (441 рівняння)Степінь перевизначеної системи 24Макс. значення табл. лін. апроксим. (ЛК) 8Макс. значення табл. розпод. різниць (ДК) 7Мінімальна алгебраїчна степінь булевої функції 104Мінімальне значення нелінійн. булевої функції 4321 Номер S-блоку Характеристика
  • 16. Калина: зсув рядків для різних значень розміру блоку ShiftRows a e d b g f h c a d b c e g f h ShiftRows a e d b g f h c a b d c e f g h ShiftRows a b c d e f g h a e d b g f h c
  • 17. Лінійне перетворення “Калини”: множення на МДВ-матрицу 8х8 над полем GF(28); кількість активних S-блоків залежно від 64- бітових процесорних інструкцій для блоку 128 біт (ліворуч) і 256 біт (праворуч) 0 20 40 60 80 100 120 32 64 96 128 Required instructions NumberofactiveS-boxes МДР64 МДР32 45 90 135 180 25 50 75 100 0 20 40 60 80 100 120 140 160 180 200 64 128 192 256 Required instructions NumberofactiveS-boxes МДР64 МДР32 Підвищення розміру матриці до 8х8 дає суттєві переваги для криптографічних властивостей, і є ефективним на сучасних 64-бітових платформах
  • 18. Блоковий шифр “Калина”: циклове перетворення чотири різних S-блоки із різних класів еквівалентності, із алгебраічними властивостями, кращими ніж у AES, та нелінійністью вищою, ніж у СТБ 34.101.31-2011 та “Стрибог”/”Кузнечик” (найкраще відоме у світі співвідношення для захисту від різних атак) можливість використання у якості довгосторокового ключа для спеціальних застосувань блокового перетворення один набір таблиць передобчислень, оптимізований для швидкодіючої реалізації як зашифрування, так і формування циклових ключів (для зашифрування і розшифрування більшість режимів роботи алгоритму вимагають виключно зашифрування режиму простої заміни, ECB) ефективність реалізації систем криптографічного захисту: основні елементи спільні для національних стандартів ґешування і шифрування (блокового перетворення)
  • 19. Функція зашифрування алгоритму “Калина” прозора конструкція, консервативний підхід до проектування, використання відомої стратегії “широкого сліду” (wide trail design strategy), посилення попереднім та прикінцевим модульним (264) забілюванням наявність запасу стійкості на випадок появи нових атак протягом тривалого часу новий набір S- блоків, які не можуть бути описані перевизначеною системою 2- гостепеня (додатковий захист від алгебраїчних атак) оріентація на 64- бітові платформи (додавання за модулем 264, МДВ- матриця розміром 8x8) у більшості режимів роботи як для зашифрування, так і розшифрування повідомлень використовується лише пряме перетворення ефективна програмна і програмно- апаратна реалізація
  • 20. Вимоги до схеми формування циклових ключів алгоритму “Калина” нелінійна залежність кожного біта кожного циклового ключа від кожного біта ключа шифрування циклові ключі суттєво відрізняються і мають складну нелінійну залежність захист від відомих криптоаналітичних атак, що орієнтовані на схему розгортання ключів відсутність слабких ключів, при яких погіршуються криптографічні властивості або знижується стійкість перетворення висока обчислювальна складність відновлення ключа шифрування по одному або декільком цикловим ключам, що є доступними для криптоаналитика (додатковий захист від атак на реалізацію) обчислювальна складність формування всіх циклових ключів не перевищує складності зашифрування 2,5 блоків можливість формування циклових ключів у довільному порядку (однакова обчислювальна і просторова складність для зашифрування і розшифрування) простота програмної і програмно-апаратної реалізації
  • 21. Схема формування циклових ключів алгоритму “Калина” K SubBytes ShiftRows MixColumns K K SubBytes ShiftRows MixColumns Nb+Nk+1(const) SubBytes ShiftRows MixColumns Kt Kt+tmvi SubBytes ShiftRows MixColumns SubBytes ShiftRows MixColumns K k2i Kt+tmvi Kt+tmvi )32(212 +⋅<<<=+ bii Nkk tmv0=0x01000100…0100 tmvi+2= tmvi << 1 Всі операції (за виключенням зсувів) взяті із функції зашифрування Зсуви ефективно реалізуються операціями доступу до пам’яті (RAM) )()( )()( αω α ηπτψκπ τψηπτψ K llll K ll ll K llll K oooooo oooooo ′′ ′=Θ ( ) ( ) ( ))()( )(),,( σσ σσ ϕϕ ϕ ηπτψκ πτψη K llll K l lll K l iKK ii i ooooo oooo ′ ′=Ξ
  • 22. Властивості схеми формування циклових ключів алгоритму “Калина” відповідність заданим вимогам всі операції взяті із функції зашифрування циклові ключі можуть бути сформовані як для зашифрування, так і розшифрування, з однаковою обчислювальною складністю ефективні засоби руйнування внутрішньої симетрії циклового перетворення мінімальна кількість констант, їхня прозорість обчислювальна складність формування всіх циклових ключів не перевищує складності зашифрування 2,5 блоків неін’єктивна залежність циклових ключів від ключа шифрування (додаткова стійкість до до низки методів криптографічного аналізу, спрямованого, в тому числі, і на апаратну або програмну реалізацію перетворення, без можливості зниження складності атак переборного типу)
  • 23. Криптографічна стійкість блокового шифру “Калина”, блок 128 бітів 212045Бумеранг 26626256Нездійсн. дифер. 233+429756Інтегральний 34Усіч. диференц. 252,835Лінійний 25545Диференційний Пам’ять, байтів Обчисл. складність, екв. оп. шифрув. Макс. кілкість циклів Показники атак Найменша кількість циклів, для якої шифр є стійким Метод криптоаналізу
  • 24. Криптографічна стійкість блокового шифру “Калина”, блок 256 бітів 222056Бумеранг 26626156Нездійсн. дифер. 264+5214567Інтегральний 34Усіч. диференц. 2220,857Лінійний 223067Диференційний Пам’ять, байтів Обчисл. складність, екв. оп. шифрув. Макс. кілкість циклів Показники атак Найменша кількість циклів, для якої шифр є стійким Метод криптоаналізу
  • 25. Криптографічна стійкість блокового шифру “Калина”, блок 512 бітів 234067Бумеранг 26626056Нездійсн. дифер. 264+5213767Інтегральний 34Усіч. диференц. 2470,479Лінійний 249089Диференційний Пам’ять, байтів Обчисл. складність, екв. оп. шифрув. Макс. кілкість циклів Показники атак Найменша кількість циклів, для якої шифр є стійким Метод криптоаналізу
  • 26. Криптографічна стійкість блокового шифру “Калина” Стійкість забезпечується (наявність запасу): 128-битовий блок: 6 раундів (із 10 або 14, залежно від довжини ключа) 256-битовий блок: 7 раундів (із 14 або 18, залежно від довжини ключа) 512-битовий блок: 9 раундів (із 18)
  • 27. Порівняння швидкодії блокового шифра “Калина” із іншими алгоритмами (Linux, найкраща оптимізація компілятора) ОС: Linux 64 bit, компілятор gcc version 4.9.2 (Ubuntu 4.9.2-0ubuntu1~12.04, 30-Oct-2014) Швидкодія оптимізованих версій, процесор Intel Core i5-4670 CPU @ 3.40GHz 0 500 1000 1500 2000 2500 3000 Kalyna-128/128 Kalyna-128/256 Kalyna-256/256 Kalyna-256/512 Kalyna-512/512 AE S-128 AE S-256 G O ST28147-89 BelTKuznyechik Швидкодія,Мбіт/с https://github.com/Roman-Oliynykov/ciphers-speed/
  • 28. Порівняння швидкодії блокового шифра “Калина” із іншими алгоритмами (Linux, найкраща оптимізація компілятора) 1081.08Kuznyechik10 1055.92STB 34.101.31-2011(BelT)9 639.18GOST 28147-898 1993.53AES-2567 2525.89AES-1286 1386.46Kalyna-512/5125 1560.89Kalyna-256/5124 2017.97Kalyna-256/2563 1779.52Kalyna-128/2562 2611.77Kalyna-128/1281 Швидкодія, Мбіт/с Блоковий шифр№ з/п
  • 29. Порівняння швидкодії блокового шифра “Калина” із іншими алгоритмами (iMac13.2, найкраща оптимізація компілятора) Швидкодія оптимізованих версій, iMac13,2; процесор Intel Core i7 CPU @ 3.40GHz 0 200 400 600 800 1000 1200 1400 1600 1800 2000 Kalyna-128/128 Kalyna-128/256 Kalyna-256/256 Kalyna-256/512 Kalyna-512/512 AES-128 AES-256 G O ST28147-89 BelTKuznyechik Швидкодія,Мбіт/с https://github.com/Roman-Oliynykov/ciphers-speed/
  • 30. Порівняння швидкодії блокового шифра “Калина” із іншими алгоритмами (iMac13.2, найкраща оптимізація компілятора) 1158.67Kuznyechik10 936.657STB 34.101.31-2011(BelT)9 569.475GOST 28147-898 1189.04AES-2567 1645.97AES-1286 1177.91Kalyna-512/5125 1023.76Kalyna-256/5124 1315.4Kalyna-256/2563 1236.32Kalyna-128/2562 1788.88Kalyna-128/1281 Швидкодія, Мбіт/сБлоковий шифр№ з/п
  • 31. Стандартні режими роботи блокового шифра: ISO/IEC 10116 Electronic codebook (ECB) Cipher block chaining (CBC) Cipher feedback (CFB) Output feedback (OFB) Counter (CTR)
  • 32. Недоліки стандартних режимів ECB: можливість компрометації повідомлення при наявності однакових блоків відкритого тексту CBC: вимоги до випадковості сінхропосилки, можливість компрометації повідомлення в специфічних умовах (які присутні в протоколах SSL/TLS); перешифрування є неефективним CFB: обов’язковий потрібен додатковий контроль цілісності повідомлення (модифікація шифртексту призводить до спрямованої модифікації відкритого тексту); перешифрування є неефективним
  • 33. Недоліки стандартних режимів OFB: обов’язковий потрібен додатковий контроль цілісності повідомлення (модифікація шифртексту призводить до спрямованої модифікації відкритого тексту); перешифрування є неефективним CTR: найбільш зручний режим забезпечення конфіденційності, але обов’язковий потрібен додатковий контроль цілісності повідомлення (модифікація шифртексту призводить до спрямованої модифікації відкритого тексту), що накладає обмеження на застосування при прозорому шифруванні носіїв інформації
  • 35. Режими роботи, визначені в стандарті 1-3,5,6: стандартні, відповідно до технічного завдання та ISO/IEC 10116:2006 4: контроль цілісності (вдосконалений алгоритм) режими 1-4 по призначенню і основними властивостям співпадають із тими, що визначені ДСТУ ГОСТ 28147:2009 7-10: додаткові режими, потрібні для сучасних засобів криптографічного захисту (шифрування ІР-трафіку, носіїв інформації, ключових даних малого обсягу та ін.)
  • 36. CMAC: вироблення імітовставки посилений варіант режиму виробки коду автентифікації повідомлення, що дозволяє захиститись від атаки збільшення довжини повідомлення (за рахунок доповнення останнього блоку) час виробки імітовставки дорівнює часу зашифрування повідомлення модифікований (зручний для розробників) варіант рекомендацій NIST подібний режим є в СТБ 34.101.31-2011 (орієнтований на 32-бітові процесори)
  • 37. GCM, GMAC: вибіркове гамування із прискореним виробленням імітовставки одночасне забезпечення конфіденційності та цілісності (і найвищій рівень швидкодії в цих вимогах) захист мережевого трафіку при реалізації протоколів IPsec та ін. додаткові заходи захисту проти DoS атак (“відмова в обслуговуванні”) є аналогічні режими NIST та СТБ 34.101.31-2011 (модифікації у національному стандарті спрямовані на більш зручну реалізацію) можливість використання нових інструкцій процесорів загального призначення для прискореного обчислення імітовставки особливості режиму враховані при розробці національного стандарту ймовірність генерування т.з. “слабкого” ключа автентифікації (Markku Saarinen, “GCM, GHASH and Weak Key”, 2011 р.) для довжин повідомлень (кількості блоків), визначеним Додатком Г, практично дорівнює ймовірності угадування зловмисником ключа блокого шифра; складність пошуку т.з. “еквівалентних” ключів автентифікації на багато порядків вища, ніж складність традиційних колізійних атак (також врахованих Додатком Г стандарту)
  • 38. CCM: вироблення імітовставки і гамування одночасне забезпечення конфіденційності та цілісності, заміна застосуванню двох режимів CMAC та CTR модифікований (зручний для розробників) варіант рекомендацій NIST, який використовується для захисту трафіку WiFi та WiMax
  • 39. XTS: індексована заміна прозоре шифрування інформації, що зберегається на носіях із блоковим доступом (диски та ін.) є ефективним, коли неможливе забезпечення цілісності кожного блоку на носії (не дозволяє спрямовану модифікацію відкритого тексту через шифрований) швидкодія така ж, як і в CTR (але розшифрування трохи повільніше зашифрування із-за максимальної оптимізації швидкодії інших режимів) модифікований (зручний для розробників) варіант рекомендацій NIST та стандарту IEEE
  • 40. KW: захист ключових даних дозволяє захищати блоки даних (особові ключі асиметричних систем і т.ін.) без використання синхропосилки забезпечує конфіденційність та цілісність швидкодія нижча, ніж у інших режимів відповідно до необхідності забезпечення залежності всіх блоків шифртексту від кожного блоку повідомлення (і навпаки)
  • 41. Позначення параметрів перетворення і режимів роботи Калина-l/k-режим-параметри режиму l –розмір блоку шифра k - довжина ключа Калина-256/512-CCM-32,128 розмір блоку 256 біт довжина ключа 512 біт режимі вироблення імітовставки і гамування довжина конфіденційної (та відкритої) частини повідомлення завжди менша 232 байтів довжина імітовставки 128 біт короткий запис, який однозначно визначає перетворення і всі його параметри
  • 42. Використання позначень параметрів перетворення і режимів роботи кожен з режимів роботи визначає рекомендовані значення параметрів задача розробника технічного завдання вібір параметрів перетворення розмір блоку (128 біт - наприклад) довжина ключа персональні дані: 128 біт (приклад) інформація, що є власністю держави: 256 біт (приклад) вибір режиму роботи електронний документ з ЦП: CTR (приклад) мережевий трафік: GCM (приклад) захищений диск: XTS (приклад) взяти набір рекомендованих значень інших параметрів режиму (які можуть бути змінені при необхідности забезпечення сумісності із існуючими системами та ін.) у разі необхідності розробник може обрати інші обґрунтовані комбінації параметрів, і така реалізація також буде відповідати національному стандарту
  • 43. Приклади для перевірки деталізована інформація для розробника формат little endian (процесори x86, x86_64, ARM та ін.) прості вхідні послідовності (00 01 02 …), які не потребують перенабору з паперового примірнику стандарту значення для кожної операції при зашифруванні, розшифруванні і формуванні циклових ключів для всіх комбінацій розміру блоку і довжини ключа режими роботи: приклади із повідомленнями, чия довжина не є кратною розміру блоку і, для деяких режимів, байту (бітова довжина)
  • 44. Додаток (довідковий): вимоги до реалізації перелік загальних вимог щодо захисту від витоку побічними каналами (залежність часу шифрування, довжини повідомлення і ін. від конфіденційних параметрів) обмеження на сумарну довжину повідомлень, що захищаються з використанням одного ключа вимоги щодо синхропосилки захист від повторного прийому повідомлення Рекомендації розробнику засобу КЗІ, який може не бути фахівцем у галузі криптоаналізу симетричних перетворень
  • 45. Обмеження на сумарну довжину повідомлень, що захищаються з використанням одного ключа Розрахунок зроблений на основі ймовірності успіху криптоаналітика 10-9 (рекомендації NIST: обмеження обчислюються для ймовірністі 10-6 або 10-2; доповіді щодо перспективного шифру РФ: ймовірність 1/2)
  • 46. Необхідність враховувати властивості всієї системи при розробці засобів КЗІ: приклади атак 2013-2014 рр. режими роботи шифру атака BEAST (режим CBC в протоколах SSL/TLS) атаки на реалізацію атаки CRIME/BREACH вразливість heartbleed в OpenSSL часові (timing) атаки: промахи кешу процесора виток побічними каналами вразливості програмного забезпечення (buffer and heap overflows, etc.) безпека протоколів вищого рівня (наприклад, генерації ключа шифрування, DUAL_EC_DRBG з NIST SP 800-90A)
  • 47. Вдосконалення криптоаналітичних комплексів травень 2013 р.: запуск криптоаналітичного комплексу АНБ із запланованим обсягом пристроїв зберігання у мільярди терабайт (офіційна інформація) наявність на споживчому ринку засобів (пошук BitCoin-монет електронних грошей на базі криптографічних властивостей SHA-256), що побудовані з використанням ASIC мікросхем із швидкодією 51 Тбіт/с (аналог 25 тис. (!) процесорних ядер загального призначення) вартістю 4 тис. дол. США можливо, в таких умовах Калина-256/256 і Калина-256/512 стануть основними через декілька років
  • 48. Новий національний стандарт симетричного блокового перетворення забезпечує високий і надвисокий рівень стійкості із запасом на випадок появи нових атак та вдосконалення криптоаналітичних комплексів протягом тривалого часу високу швидкодію програмної реалізації на сучасних та перспективних платформах вищу або порівняну ефективність щодо найкращих світових рішень наявність режимів роботи, необхідних для ефективної реалізації сучасних засобів криптографічного захисту можливість ефективної інтеграції двох національних алгоритмів в одному засобі криптографічного захисту зручність реалізації для розробників засобів криптографічного захисту