FEAL
בקריפטוגרפיה, FEAL (ראשי תיבות של Fast data Encipherment ALgorithm, בעברית: אלגוריתם הצפנת נתונים מהיר) כולל משפחה של צפני בלוקים במבנה פייסטל שהראשון שבהם הוצע כאלטרנטיבה לצופן DES והוא מהיר ממנו בתוכנה. הגרסה הראשונה פותחה ב-1987 על ידי אקירו שימיזו ושוי מיאגוטשי מתאגיד הטלגרף והטלפון של יפן (NTT)[1]. ב-1994 התקבל הצופן לתקן בינלאומי ISO/IEC9979 וב-1999 נבחר לתקן ATM וכן נכלל בתקן יפני לכרטיסים חכמים ב-1998. בשל קריפטואנליזה שמעידה על חולשות הצופן אינו בשימוש כיום. NTT ממליצים להשתמש בצופן מדור חדש כמו קמליה.
קיימות מספר גרסאות של FEAL כולן במבנה פייסטל עם אותה פונקציית סבב פנימית אך עם מספר סבבים שונה או עם מפתח גדול יותר. הצופן מקבל בלוק קלט באורך 64 סיביות ומחזיר בלוק מוצפן באורך 64 סיביות. הגרסה הראשונה שכיום נקראת FEAL-4 משתמשת במפתח הצפנה באורך 64 סיביות וכוללת ארבעה סבבים של הפונקציה הפנימית. FEAL-8 מכיל שמונה סבבים עם אותו מפתח ואילו FEAL-NX מכילה מספר דינאמי של סבבים בהתאם לצורך כך ש-. (המספר המומלץ הוא ) ואילו "X" מתייחס לאופציה של מפתח באורך 128 סיביות שנוספה בגרסה המאוחרת יותר.
בטחון
מאז שפורסם הפך FEAL ליעד מועדף מצד קריפטונאליסטים מרחבי העולם ופורסמו מחקרים רבים אודות החולשות שלו. כיום ידוע שהצופן אינו בטוח לשימוש כי הוא פגיע במיוחד למספר התקפות קריפטוגרפיות מעשיות ביניהן קריפטואנליזה דיפרנציאלית וקריפטואנליזה ליניארית. למעשה הצופן שימש כ"קטליזטור" במהלך פיתוח התקפות קריפטוגרפיות אילו. הקריפטואנליזה הדיפרנציאלית הומצאה בשביל לפצח את FEAL ובתוך כך התגלתה ככלי יעיל לניתוח צפנים אחרים. כל גרסאות צופן FEAL אינן מומלצות כיום לשימוש כלל והעניין בהן הוא אקדמי בלבד.
בתחילה התגלו בעיות בגרסה הראשונה של הצופן על ידי דן בואר ושון מרפי שגילו התקפות קריפוטאנליטיות הדורשות כמות מועטה של טקסטים גלויים נבחרים כדי לפצח את הצופן בקלות[2][3]. ההתקפות שלהם מכילות אלמנטים דומים להתקפה הדיפרנציאלית שהתגלתה מאוחר יותר. ב-1998 ניסו מפתחי הצופן לפתור את הבעיה על ידי העלאת מספר הסבבים וכך נוצר FEAL-8 הכולל שמונה סבבים במקום ארבעה.
ב-1991 פרסמו אלי ביהם ועדי שמיר את ההתקפה הדיפרנציאלית שלהם על FEAL-8[4]. אחריהם פורסמו עוד כמה התקפות מסוג זה שמצליחות לפצח את הצופן עם כמות יחסית קטנה של טקסטים גלויים נבחרים. בתגובה פותח FEAL-NX אך הסתבר שההתקפה הדיפרנציאלית של שמיר וביהם הייתה ישימה גם נגד הגרסה הזו שהיא החזקה ביותר שפותחה, ההתקפה שלהם יעילה מכוח גס כל עוד .
ב-1991 גילו טארדי וגילברט התקפה חדשה נגד גרסאות צופן FEAL שמסוגלת לפצח אותו בסיבוכיות טובה מכוח גס[5]. למשל FEAL-8 ניתן בשיטה זו לשבירה עם טקסטים גלויים נבחרים. מאוחר יותר פרסם מיצורו מצואי את ההתקפה הליניארית שמבוססת על רעיון זה המסוגלת לשבור את צופן FEAL-4 בתוך כחמש דקות עם ששה טקסטים גלויים ידועים. ב-1994 פורסמה התקפה ליניארית נגד FEAL-8 עם טקסטים גלויים נבחרים[6]. למעשה בעקבות התקפות אילו נסתם הגולל על FEAL והוא אינו בשימוש כיום כלל. NTT ממליצים להשתמש בקמליה במקומו.
חשיבות הצופן וההתקפות המתוארות היא בעיקר בלקח שאפשר להפיק מהם. זהו הצופן הראשון שפותח על ידי NTT ושימש יסוד ובסיס להתפתחות צפני בלוקים מודרניים חזקים יותר ועמידים יותר נגד קריפטואנליזה דיפרנציאלית וליניארית כמו E2 שהיה מהמועמדים לתקן AES ולא הגיע לגמר וקמליה שנחשב לצופן מודרני חזק.
פירוט מהלכי הצופן
להלן תיאור צופן FEAL-NX כאשר . הוא מקבל מפתח באורך 64 או 128 סיביות לפי בחירת המשתמש ופועל על בלוק גלוי באורך 8 בתים. באופן כללי האלגוריתם מבצע שלושה מהלכים:
- קדם עיבוד שנקרא גם הלבנה.
- פונקציה איטרטיבית
- חישוב מסיים
בשלב ההכנה הנקרא קדם-עיבוד, בלוק הטקסט הגלוי מחולק לשני חצאים באורך 32 סיביות כל אחד. תחילה מבצעים:
כלומר מחברים ב-XOR עם ארבעה תת-מפתחות מתאימים. כל תת-מפתח באורך 16 סיביות לכן כל מחצית מהבלוק מחוברת עם שני תת-מפתחות ואז
כאשר הסימן מייצג בלוק המכיל 32 אפסים, הסימן הוא XOR ו- מייצג את תת-המפתחות מתהליך ההכנה המתואר להלן. המשמעות של המהלך הוא שהמחצית הימנית היא תוצאה של XOR עם המחצית השמאלית. לפעולת XOR עם אפסים אין השפעה לכן המחצית השמאלית נותרת ללא שינוי.
בשלב האיטרציה, הקלט משלב ההכנה עובר עיבוד עם הפונקציה בסך הכול פעמים:
כאשר . הפונקציה מתוארת להלן והפלט הוא התוצאה מהסבב האחרון .
בשלב הסיום, מחליפים בין החצאים של הפלט האחרון ואז מחשבים את:
ולסיום מחברים עם חלקים מתאימים מהמפתח:
הטקסט המוצפן הוא .
אלגוריתם הפענוח
תהליך הפענוח דומה, הקלט מעובד תחילה על ידי:
ואז
לאחר מכן מבצעים פעמים:
כדי לקבל את הטקסט המקורי תחילה מבצעים:
לסיום מחשבים את:
שימו לב שמחברים ארבעה תת-מפתחות כי תת-מפתח הוא באורך 16 סיביות ולכן נדרשים ארבעה כדי לחבר עם שהוא באורך 64 סיביות (8 בתים).
תהליך הכנת המפתח
#define ROTL(x, n) (byte)(((byte)(x) << (n)) | ((byte)(x) >> (8-(n))))
#define S0(x, y) (byte)(ROTL(((byte)((x) + (y) )), 2))
#define S1(x, y) (byte)(ROTL(((byte)((x) + (y) + 1)), 2))
void FEAL_Fk(byte *a, byte *b)
{
a[1] ^= a[0], a[2] ^= a[3];
byte t;
t = a[2] ^ b[0], a[1] = S1(a[1], t);
t = a[1] ^ b[1], a[2] = S0(a[2], t);
t = a[1] ^ b[2], a[0] = S0(a[0], t);
t = a[2] ^ b[3], a[3] = S1(a[3], t);
}
void FEAL_F(byte *a, byte *b, byte *e)
{
a[1] = (b[0] ^ b[1] ^ e[0]);
a[2] = (b[2] ^ b[3] ^ e[1]);
a[1] = S1(a[1], a[2]);
a[2] = S0(a[1], a[2]);
a[0] = S0(b[0], a[1]);
a[3] = S1(b[3], a[2]);
}
מהמפתח הסודי המסופק על ידי המשתמש מכינים תת-מפתחות מסומנים כל אחד באורך 16 סיביות (שני בתים), כאשר מהם משמשים לצורך הפונקציה הפנימית, מפתח אחד לכל סבב ואילו 8 הנוספים משמשים לפעולת ההלבנה (חיבור ב-XOR), ארבעה מהם לפני האיטרציה של הפונקציה הפנימית וארבעה לאחריה. תחילה המפתח מחולק לשני חצאים באורך 64 סיביות כל אחד.
את החצי הימני מחלקים לשני חצאים ומכינים סדרה של משתנים מקומיים בהתאם למספר הסבבים בהם מציבים עבור :
- כאשר ,
- כאשר ,
- כאשר
נמוך מ- ו- כאשר זוגי.
את החצי השמאלי מחלקים לשני חצאים ומכינים משתנה מקומי ריק . את כאשר עד מכינים עם עד כדלהלן:
|
הוא משתנה מקומי המחולק לארבעה בתים .
פונקציות עזר
הפונקציה מגיעה בשתי גרסאות אחת עבור פונקציית הסבב הפנימית והשנייה עבור הכנת המפתח. הפונקציה המשמשת לצורך פונקציית הסבב מקבלת שני פרמטרים הראשון באורך 32 סיביות והשני באורך 16 סיביות, כאשר מחולק לארבעה בתים: ו- מחולק לשני בתים . פלט הפונקציה כמתואר בתרשים משמאל, הוא כדלהלן:
|
הפונקציה מקבלת שני פרמטרים באורך 32 סיביות כל אחד וכן תת-מפתח באורך 16 סיביות. הפרמטרים מחולקים לבתים כך: וכן ואז הפונקציה מחשבת ומחזירה את ארבעת הערכים , כדלהלן:
|
הפונקציות ו- מוגדרות כדלהלן:
|
כאשר ו- הם בתים והפונקציה ROT2 היא הזזה מעגלית לשמאל שתי סיביות, לדוגמה בהינתן ו- אז וכן בבסיס בינארי.
קוד לדוגמה
void FEAL_keygen(byte *k, byte *e, uint r)
{
byte a[4], b[4], d[4], kr1[4], kr2[4], t, s[4];
for (uint i = 0; i < 4; i++) {
a[i] = k[i], b[i] = k[i + 4];
kr1[i] = k[i + 8], kr2[i] = k[i + 12];
d[i] = 0;
}
for (uint i = 0; i < r + 8; i += 2) {
for (uint j = 0; j < 4; j++) {
s[j] = b[j];
if ((i / 2) % 3 == 0) {
s[j] ^= (kr1[j] ^ kr2[j]);
}
else if ((i / 2) % 3 == 1) {
s[j] ^= kr1[j];
}
else {
s[j] ^= kr2[j];
}
s[j] ^= d[j];
d[j] = a[j]; /* for next steps */
}
FEAL_Fk(a, s);
for (uint j = 0; j < 4; j++) {
e[2 * i + j] = a[j];
}
for (uint j = 0; j < 4; j++) {
t = a[j];
a[j] = b[j], b[j] = t;
}
}
}
void FEAL_encrypt(byte *p, uint r, byte *e, byte *c)
{
byte a[4], b[4], t, s[4];
for (uint j = 0; j < 4; j++) {
a[j] = p[j] ^ e[2 * r + j];
b[j] = p[j + 4] ^ e[2 * r + j + 4] ^ a[j];
}
for (uint i = 0; i < r; i++) {
FEAL_F(s, b, e + 2 * i);
for (uint j = 0; j < 4; j++) {
a[j] ^= s[j];
}
for (uint j = 0; j < 4; j++) {
t = a[j];
a[j] = b[j], b[j] = t;
}
}
for (uint j = 0; j < 4; j++) {
a[j] ^= b[j];
}
for (uint j = 0; j < 4; j++) {
c[j] = (b[j] ^ e[2 * r + j + 8]);
c[j + 4] = (a[j] ^ e[2 * r + j + 12]);
}
}
void FEAL_decrypt(byte *c, uint r, byte *e, byte *p)
{
byte a[4], b[4], t, s[4];
for (uint j = 0; j < 4; j++) {
a[j] = c[j] ^ e[2 * r + j + 8];
b[j] = c[j + 4] ^ e[2 * r + j + 12] ^ a[j];
}
for (uint i = 0; i < r; i++) {
FEAL_F(s, b, e + 2 * (r - 1 - i));
for (uint j = 0; j < 4; j++) {
a[j] ^= s[j];
}
for (uint j = 0; j < 4; j++) {
t = a[j];
a[j] = b[j], b[j] = t;
}
}
for (uint j = 0; j < 4; j++) {
a[j] ^= b[j];
}
for (uint j = 0; j < 4; j++) {
p[j] = (b[j] ^ e[2 * r + j]);
p[j + 4] = (a[j] ^ e[2 * r + j + 4]);
}
}
קריפטואנליזה דיפרנציאלית של FEAL-4
קריפטואנליזה דיפרנציאלית פועלת לפי מודל התקפת גלוי-נבחר[7], כלומר המתקיף רשאי לבחור זוגות של טקסטים גלויים וטקסטים מוצפנים המתאימים להם שהוצפנו עם מפתח שאינו ידוע לו ותפקידו הוא לגלות את המפתח הסודי ששימש להצפנתם. המתקיף בוחר את הטקסטים באופן כזה שהדיפרנציאל (ההפרש) שלהם עונה על "מאפיין" מסוים המתאים לצורך ההתקפה. כאן הדיפרנציאל הוא מעל פעולת XOR ולכן הדברים נעשים פשוטים יותר כי בגלל התכונה הידועה שאם מבצעים XOR בין שני טקסטים מוצפנים שהוצפנו עם אותו קטע מהמפתח למעשה מבטלים את השפעת המפתח כאילו לא היה קיים (ראו פנקס חד-פעמי). במקרה של FEAL-4 התגלתה עובדה מעניינת: נתונה הפונקציה הפנימית של הצופן , עבור כל זוג טקסטים ו- אם (בבסיס הקסדצימלי) אז מתקיים . למרבה ההפתעה זהו דיפרנציאל בעל הסתברות של 1 שלא קשה לחשב והוא משמש לשבירת הצופן.
FEAL-4 זהה לתיאור FEAL-XN למעט העובדה שהפונקציה הפנימית מבוצעת רק 4 פעמים ותהליך הכנת מפתח שונה. אפשר להציג את הצופן בכמה דרכים, אולם לצורך הקריפטואנליזה הדיפרנציאלית שלו הוא מוצג כאן בדרך קצת שונה מהקודמת (קל להוכיח ששתיהן למעשה שקולות). המפתח מחולק לשישה תת-מפתחות באורך 32 סיביות כל אחד (במקום 12 תת-מפתחות באורך 16 סיביות בתיאור המקורי). אפשר להתעלם מתהליך הכנת המפתח כולו כי ההתקפה מתמקדת בשחזור תת-המפתחות ואם מצליחים לנחש אותם אז אפשר לשחזר את המפתח הסודי בקלות. פונקציית הסבב הפנימית מקבלת ארבעה בתים ומחזירה ארבעה בתים , היא עושה שימוש בפונקציות ו- המתוארות לעיל והיא נראית כך:
|
לצורך ההתקפה המתקיף בוחר טקסט גלוי אקראי ומחשב את הטקסט הגלוי המקיים וכן מניחים (לפי הגדרת מודל ההתקפה) שהמתקיף השיג את הטקסטים המוצפנים המתאימים להם ו- בהתאמה ואז הוא מחשב את הדיפרנציאלים שלהם וכן וכן מחשב את הדיפרנציאלים של כל ערכי הביניים של הצופן המתקבלים משני הטקסטים שהוצפנו ו- ומה שמתקבל מופיע בתרשים משמאל. העובדה שהמפתח לא מופיע בתרשים אינה טעות, כיוון שמדובר על דיפרנציאל של שני טקסטים שהוצפנו עם אותו מפתח לכן אפשר להתעלם ממנו כרגע. הדיפרנציאל האמור יחד עם הטקסטים הידועים עוזר לגלות את המפתח בשלב הבא של ההתקפה. אם מנסים לנוע בכיוון ההפוך בשיטת היפגשות באמצע, כלומר מנסים לחשב את ערכי הביניים מהטקסט המוצפן כלפי מעלה, רואים שיש אפשרות להשיג את הקלט והפלט לפונקציה הפנימית במהלך האחרון של הצופן. כי ו- ידועים וכן אפשר לחשב את הדפירנציאלים כך שמתקיים וכן מה שמאפשר לחשב את . היות שהטקסט המוצפן ידוע מתקבל .
עם כל המידע הזה אפשר לפצח את הצופן תחילה על ידי ניחוש תת-המפתח השלישי . מחשבים את ואז מחשבים את ו- (המתאימים ל- ו-) אותם אפשר להשיג על ידי חישוב מהסוף להתחלה. היות ש- הוא באורך 32 סיביות ישנם למעשה ערכים אפשריים. אם נסמן ניחוש אחד ב-, אז בידיעת אפשר לחשב את ובידיעת אפשר לחשב את כך שיתקבל . אם המשוואה הזו מתקיימת אז הניחוש הצליח ו- הוא "מועמד" מתאים ושומרים אותו. היות שיכולים להיות מועמדים רבים שמקיימים את התנאי האמור, יש צורך לבדוק נכונות מול זוגות טקסטים נוספים. אם בודקים לפחות עם ארבעה זוגות כאלה הסיכויים הם מאוד גבוהים שאפשר להגיע לניחוש מוצלח והוא יהיה יחיד. אם התנאי האמור לא מתקיים נפטרים מערך זה ומחפשים ערכים אחרים. פקטור העבודה לגילוי תת-מפתח אחד הוא ברמה של שזה לא מהיר במיוחד, אבל כאן נעזרים במבנה הפנימי של הפונקציה כדי להאיץ את החיפוש לכדי פקטור של . לצורך כך מגדירים תחילה פונקציה המקבלת ארבעה בתים ומחשבת . ההתקפה המשופרת לניחוש פועלת בשני שלבים. תחילה עבור כל ערך אפשרי של מחשבים את:
- .
אם מתבוננים בהגדרה של רואים שאם אז מתקיים כאשר המספרים מייצגים את 16 הסיביות האמצעיות החל מהסיבית השמינית (כאשר הספירה מתחילה מאפס) ועד הסיבית ה-23. אפשר להשתמש בעובדה זו כדי למצוא מועמדים עבור ובכך למעשה מגלים 16 סיביות של . בשלב השני כל מועמד ששרד את שלב אחד נבדק שוב כך שבהינתן מועמד , מגרילים תחילה שני בתים ומחשבים את ואז מחשבים את ו- כמו בשלב אחד ובודקים אם מתקיים . בדרך זו לאחר בדיקה מקיפה עם מספר זוגות טקסטים ידועים אפשר לשחזר את תת-המפתח או לפחות לנחש מספר קטן של מועמדים אפשריים ואז אפשר לעבור לשלב הבא של שחזור תת-המפתח וכן עד שמנחשים את כל המפתח. בכל שלב נעזרים בניחוש תת-המפתח מהשלב הקודם כדי לנחש את הקלט והפלט של הפונקציה הפנימית.
ההתקפה המתוארת מצליחה בפקטור של בקירוב עם ארבעה טקסטים גלויים ידועים בלבד ואינה אורכת יותר ממספר שניות על מחשב פשוט כך שגרסת FEAL-4 אינה ראויה לשימוש כלל. ההתקפה הדיפרנציאלית הורחבה ויושמה נגד כל גרסאות FEAL ונמצא שבכולן היא מצליחה בפקטור עבודה שהוא נמוך מכוח גס, למעט גרסת FEAL-NX כאשר , אולם בשל העובדה שפגיעות הצופן להתקפה זו מעידה על פגם מהותי בתכנונו, השימוש בכל הגרסאות שלו נזנח עקב כך.
ראו גם
הערות שוליים
- ^ Introduction to FEAL, NTT 1990
- ^ Cryptanalysis of F.E.A.L. Bert den Boer, Spnnger-Verlag Berlin Heidelberg 1988
- ^ THE CRYPTANALYSIS OF FEAL WITH TWENTY CHOSEN PLAINTEXTS, Sean Murphy, January 1990
- ^ Differential Cryptanalysis of Feal and N-Hash, Eli Biham, Adi Shamir, Spnnger-Verlag Berlin Heidelberg 1991
- ^ A Known Plaintext Attack of FEAL-4 and FEAL-6, Anne Tardy-Corfdir, Henri Gilbert, May 2001
- ^ A New Method for Known Plaintext Attack of FEAL Cipher, Mitsuru Matsui, Atsuhiro Yamagishi, May 2001
- ^ Applied Cryptanalysis: Breaking Ciphers in the Real World, Mark Stamp, Richard M. Low, Apr 2007, Wiley-IEEE Press