Алгоритм Skipjack

Алгоритм Skipjack интересен по многим причинам.

Данный алгоритм разработан Агентством Национальной Безопасности США для шифрования в специальных случаях.

Фактически алгоритм Skipjack представлял собой еще один стандарт шифрования США— разработанный в 1987 г. и существующий одновременно со стандартом DES. Принципиальное различие этих алгоритмов состоит в том, что DES являлся открытым стандартом, алгоритм был опубликован и полностью открыт, что позволило всем заинтересованным специалистам оценить стойкость алгоритма. В отличие от DES, алгоритм Skipjack был долгое время засекречен, его описание стало доступно на сайте института NIST только в 1998 г.

Брюс Шнайер утверждает, что алгоритм является секретным не для повышения его надежности, а для того, чтобы его нельзя было использовать в сторонних реализациях— подразумевалось использование Skipjack только в аппаратных реализациях Clipper и Fortezza. Микросхема Clipper получила скандальную известность благодаря тому, что в ней реализован механизм депонирования ключей. Это означает, что любой ключ шифрования какого-либо пользователя (использующего реализацию Skipjack в микросхеме Clipper) может быть легко вскрыт правительственными чиновниками США, получившими соответствующий ордер. Аналогичный механизм су-ществует и в криптоплате Fortezza. Настойчивое навязывание Clipper пользователям со стороны АНБ стало причиной многочисленных протестов против использования данной системы со стороны различных американских правозащитных организаций. Следствием этого стал факт ограниченного распространения алгоритма Skipjack и его аппаратных реализаций.

Результат предыдущего шага накладывается операцией XOR на другой байт входного слова.

Процедура расширения ключа у данного алгоритма отсутствует— операция G использует байты исходного ключа шифрования по мере необходимости без их предварительной обработки. Однако в спецификации алгоритма Skipjack определен также протокол KEA (Key Exchange Algorithm) — протокол выработки общего симметричного ключа на основе секретного ключа отправителя информации и открытого ключа получателя. Данный протокол базируется на известном алгоритме вычисления общего ключа Диффи—Хеллмана. Очевидно, что 80-битный ключ шифрования может быть как вычислен с помощью алгоритма КЕА, так и задан напрямую, что традиционно для алгоритмов симметричного шифрования. Криптостойкость алгоритма
В то время, пока алгоритм Skipjack был засекречен, у пользователей и специалистов возникало множество вопросов по поводу его криптостойкости: пусть в реализациях алгоритма присутствует механизм депонирования ключей, позволяющий уполномоченным лицам вычислить сессионный ключ; но достаточно ли надежен сам секретный алгоритм? Нет ли в нем каких-либо случайных или преднамеренно внедренных разработчиками уязвимостей? Скорее всего, стремясь пресечь слухи о возможных слабостях алгоритма, в 1993 г. АНБ передало спецификацию алгоритма и сопроводительную документацию к нему пяти известным экспертам в области криптологии для изу-чения алгоритма и опубликования отчета, который не должен был содержать описания внутренней реализации алгоритма, однако должен был дать понять (не в последнюю очередь благодаря авторитету изучавших алгоритм экспертов) заинтересованным лицам, что алгоритм Skipjack является криптографически стойким.

Отчет экспертов появился в июле 1993 г. и содержал, в частности, следующие выводы:
благодаря 80-битному ключу алгоритма Skipjack (сравнивая с 56-битным ключом DES), учитывая предполагаемую скорость развития вычислительной техники, крайне незначителен риск взлома алгоритма перебором всех возможных вариантов ключа (атака методом «грубой силы») в ближайшие 30-40 лет;
отсутствует серьезный риск взлома алгоритма более эффективными крип-тоаналитическими методами, включая метод дифференциального крип тоанализа;
криптостойкость алгоритма Skipjack не зависит от секретности самого алгоритма.

Причем по поводу второго из приведенных выводов эксперты сделали оговорку, что за предоставленное им время серьезный анализ алгоритма провести невозможно, поэтому вывод базируется только на изучении ими критериев и процесса разработки и тестирования алгоритма, проведенных в АНБ. Полномасштабный криптоанализ алгоритма Skipjack начался уже после опубликования его спецификации в 1998 г. В том же году вышла работа ряда специалистов из Израиля, в которой, в частности, было отмечено свойство несимметричности ключа шифрования Skipjack, незначительно снижающее трудоемкость полного перебора ключей. В этой же работе было представлено несколько атак на усеченные версии алгоритма с неполным количеством раундов и другими изменениями. Стоит отметить одну из опубликованных атак, действовавшую против варианта Skipjack, в котором не было всего трех операций XOR по сравнению со стандартной версией — в раундах № 4, 16 и 17. Такая версия алгоритма получила название Skipjack-3XOR. Интересно, что удаление всего трех операций XOR из 320 подобных операций приводит к полной слабости алгоритма — в этом случае ключ вскрывается при наличии 29 пар блоков открытого текста и шифртекста выполнением всего около миллиона операций шифрования.

В том же году авторы предыдущей работы представили новый вид дифференциального криптоанализа, основанного на поиске ключа «от противного»: если попытка расшифровывания двух шифртекстов на каком-либо ключе приводит к такому соотношению между результатами их расшифровывания, которое невозможно в принципе, то данный ключ является неверным. Такая технология криптоанализа может быть полезна, в частности, для существенного сужения области полного перебора ключей. Однако атаке оказались подвержены только усеченные версии алгоритма.

Были предприняты и более поздние попытки криптоанализа алгоритма Skipjack, однако все они оказались неспособными взломать полноценную и полнораундовую версию алгоритма. При этом многие криптоаналитики высказывали мнение, что успешность атак на усеченные версии алгоритма говорит о его потенциальной слабости, что, впрочем, не доказано.