Как было обещано в предыдущей части статьи,  рассмотрим алгоритмы семейства SHACAL, один из которых стал победителем конкурса NESSIE в части алгоритмов с большим размером шифруемого блока данных.

Кроме того, в данной статье будет рассмотрен алгоритм Khazad – один из алгоритмов-финалистов, но не победителей конкурса NESSIE.

Алгоритмы семейства SHACAL

Алгоритмы семейства SHACAL имеют весьма интересную структуру – они основаны на преобразованиях, используемых функциями хэширования семейства SHA (Secure Hash Algorithm). Алгоритмы SHA являются основой стандарта хэширования США SHS (Secure Hash Standard) [8], в связи с чем данные алгоритмы получили широчайшее распространение.

Подобное «родство» алгоритма симметричного шифрования и алгоритма хэширования в данном случае интересно, в частности, по следующим соображениям:

1.     Алгоритмы SHACAL основаны на очень тщательно исследованных криптоаналитиками алгоритмах SHA. Действительно, за годы, в течение которых SHA являются стандартом хэширования (с 1993 г.), данные алгоритмы были весьма тщательно исследованы. И можно утверждать, что семейство SHACAL «унаследовало» результаты криптоанализа алгоритмов SHA.

2.     Достаточно часто алгоритмы хэширования используются вместе с алгоритмами шифрования. Алгоритм семейства SHACAL и соответствующий ему алгоритм SHA могут быть весьма просто реализованы «в паре», поскольку они разделяют один и тот же набор функций.

Семейство SHACAL разработано двумя специалистами французской корпорации Gemplus, которая известна как один из крупнейших в мире производителей смарт-карт и оборудования для работы с ними. Авторы алгоритма: Хелена Хандшух (Helena Handschuh) и Давид Насаш (David Naccache).

SHACAL-1

Алгоритм SHACAL-1 (или просто SHACAL) был изначально предложен на конкурс NESSIE [10]. Он основан на преобразованиях алгоритма SHA-1. Данная статья не содержит описания функций SHA (подробное описание можно найти в [8]) – здесь описаны только те преобразования, которые используются непосредственно в алгоритме шифрования.

Итак, SHACAL-1 шифрует 160-битный блок данных с использованием 512-битного ключа шифрования. Допускается использование более коротких ключей шифрования (не короче 128 бит), которые перед выполнением расширения ключа (процедура расширения ключа также унаследована от SHA-1 и будет описана ниже) должны быть дополнены нулевыми битами для достижения 512-битного размера.

В алгоритме SHACAL-1 предусмотрено 80 раундов шифрования. Шифруемое сообщение представляется в виде пяти 32-битных субблоков A, B, C, D и E, над которыми в каждом раунде выполняются следующие действия (см. рис. 1 Раунд алгоритма SHACAL-1.):

A_i+1 = K_i + (A_i <<< 5) + f_i(B_i, C_i, D_i) + E_i + M_i,

B_i+1 = A_i,

C_i+1 = B_i <<< 30,

D_i+1 = C_i,

E_i+1 = D_i,

где i – номер раунда (i = 0…79),

K_i – фрагмент расширенного ключа для i-го раунда,

f_i – функция для i-го раунда (см. ниже),

<<< – операция побитового циклического сдвига влево,

M_i – модифицирующие константы, определенные следующим образом (указаны шестнадцатеричные значения):

Используемые в раундах функции f_i определены так:

В таблице символами &, | и Å обозначены, соответственно, побитовые логические операции «и», «или» и «исключающее или» (XOR); x’ обозначает побитовый комплемент к x.

Шифртекстом является конкатенация содержимого переменных A₈₀, B₈₀, C₈₀, D₈₀ и E₈₀.

Процедура расширения ключа в алгоритме SHACAL-1 также весьма проста, она выполняется в два этапа:

Этап 1.     512-битный исходный ключ шифрования делится на 16 фрагментов по 32 бита K₀…K₁₅.

Этап 2.     Остальные фрагменты расширенного ключа K₁₆…K₇₉ вычисляются из первых 16 фрагментов следующим образом:

K_i = (K_i-3 Å K_i-8 Å K_i-14 Å K_i-16) <<< 1.

Ни в [10], ни в [11] авторы алгоритма не описали процесс расшифрования алгоритмом SHACAL. Такое описание можно найти, например, в работе [13]. Согласно этому описанию, раунды расшифрования выполняются в обратной последовательности; каждый из них подразумевает выполнение следующих операций (см. рис. 2 Раунд расшифрования алгоритма SHACAL-1):

A_i = B_i+1,

B_i = C_i+1 <<< 2,

C_i = D_i+1,

D_i = E_i+1,

E_i = K’_i + (B_i+1 <<< 5)’ + f_i’(C_i+1 <<< 2, D_i+1, E_i+1) + A_i+1 + M’_i + 4,

Здесь и далее запись f’(x) обозначает побитовый комплемент результата выполнения операции f(x).

Поражает простота алгоритма SHACAL – достаточно сравнить его с описанными в предыдущей части статьи алгоритмами MISTY1 и Camellia, чтобы убедиться, что структура алгоритма крайне проста. Из этого следуют следующие достоинства данного алгоритма:

·       простота реализации;

·       легкая доказуемость отсутствия каких-либо внедренных авторами недокументированных возможностей;

Кроме того, стоит отметить, что SHACAL предъявляет весьма низкие требования к ресурсам и обладает высоким быстродействием. Высокая скорость шифрования данным алгоритмом на всех тестируемых платформах была отмечена, например, в [24]. А авторы [17] описали архитектуру шифратора, выполняющего шифрование по алгоритму SHACAL-1 со скоростью 17 гигабит в секунду, что вряд ли достижимо (в разумных ценовых пределах) для подавляющего большинства других алгоритмов шифрования.

SHACAL-0

Стоит отметить, что в некоторых работах (например, в [26]) наряду с алгоритмом SHACAL-1 упоминается некий алгоритм SHACAL-0. Видимо, имеется в виду возможный (не предложенный авторами семейства SHACAL) вариант, основанный на функции SHA-0. Такой вариант отличался бы от SHACAL-1 только процедурой расширения ключа, в которой в описанной выше формуле вычисления K_i отсутствовал бы циклический сдвиг влево на 1 бит [10].

SHACAL-2

В 2001 г. авторы алгоритма SHACAL-1 воспользовались тем, что в течение конкурса NESSIE можно было вносить некоторые незначительные изменения в алгоритм, и представили новый вариант алгоритма SHACAL – SHACAL-2 [11].

Стоит сказать, что в данном случае различия между алгоритмами SHACAL-1 и SHACAL-2 сложно считать несущественными. SHACAL-2 основан на преобразованиях более нового алгоритма хэширования – SHA-256 [8], который принципиально отличается от SHA-1.

SHACAL-2 шифрует данные 256-битными блоками с использованием 512-битного ключа. Аналогично алгоритму SHACAL-1, допускается использование ключей меньших размеров (не менее 128 бит), которые дополняются битовыми нулями до 512 бит.

Шифруемый блок данных делится на 8 фрагментов по 32 бита (которые обозначены буквами A…H). Алгоритм выполняет 64 раунда преобразований, в каждом из которых данные фрагменты обрабатываются следующим образом (см. рис. 3 Раунд алгоритма SHACAL-2):

T = H_i + S₁(E_i) + Ch(E_i, F_i, G_i) + M_i + K_i,

H_i+1 = G_i,

G_i+1 = F_i,

F_i+1 = E_i,

E_i+1 = D_i + T,

D_i+1 = C_i,

C_i+1 = B_i,

B_i+1 = A_i,

A_i+1 = T + S₀(A_i) + Maj(A_i, B_i, C_i).

где T – временная переменная.

Используемые функции определены следующим образом:

S₀(x) = (x >>> 2) Å (x >>> 13) Å (x >>> 22),

S₁(x) = (x >>> 6) Å (x >>> 11) Å (x >>> 25),

Ch(x, y, z) = (x & y) Å (x’ & z),

Maj(x, y, z) = (x & y) Å (x & z) Å (y & z),

где >>> – операция побитового циклического сдвига вправо.

Модифицирующие константы M_i (i = 0…63) приведены в таблице (по порядку от M₀ до M₆₃):

Фрагменты расширенного ключа K₀…K₆₃ вычисляются в процессе процедуры расширения ключа, которая выполняется следующим образом:

Этап 1.     Аналогично алгоритму SHACAL-1, 512-битный исходный ключ шифрования делится на 16 фрагментов по 32 бита K₀…K₁₅.

Этап 2.     Остальные фрагменты расширенного ключа K₁₆…K₆₃ вычисляются из первых 16 фрагментов следующим образом:

K_i = O₁(K_i-2) + K_i-7 + O₀(K_i-15) + K_i-16,

где функции O₀ и O₁ определены так:

O₀(x) = (x >>> 7) Å (x >>> 18) Å (x >> 3),

O₁(x) = (x >>> 17) Å (x >>> 19) Å (x >> 10),

где >> – операция побитового сдвига (не циклического) вправо.

Аналогично алгоритму SHACAL-1 авторы SHACAL-2 в [11] не описали процесс расшифрования. Такое описание можно найти в работе [13]. Раунды расшифрования алгоритма выполняются в обратной последовательности; в каждом из них производятся следующие действия (см. рис. 4 Раунд расшифрования алгоритма SHACAL-2):

T = A_i+1 + S₀’(B_i+1) + Maj’(B_i+1, C_i+1, D_i+1) + 2,

H_i = T + S₁’(F_i+1) + Ch’(F_i+1, G_i+1, H_i+1) + M_i’ + K_i’ + 4,

G_i = H_i+1,

F_i = G_i+1,

E_i = F_i+1,

D_i = E_i+1 + T’ + 1,

C_i = D_i+1,

B_i = C_i+1,

A_i = B_i+1.

Криптоанализ алгоритма SHACAL-1

Первичный криптоанализ алгоритма SHACAL-1 был выполнен авторами алгоритма в [9] и [10], где была отмечена стойкость алгоритма к линейному и дифференциальному криптоанализу.

В дальнейшем, как отмечено авторами [3], SHACAL подвергся массированному криптоанализу со стороны ряда экспертов. Из криптоаналитических исследований данного алгоритма стоит отметить следующие:

·       В работе [25] описаны слабости процедуры расширения ключа алгоритма SHACAL-1, с помощью которых можно атаковать данный алгоритм с использованием связанных ключей (см. статью «Криптоаналитические атаки на связанных ключах»).

·       Ряд экспертов из университета г. Сеул, Корея, предложили атаку усовершенствованным методом бумеранга (см. цикл статей «Современные методы вскрытия алгоритмов шифрования») на SHACAL-1 с различным размером ключа шифрования. Основные результаты таковы [14]:

·       В работе [4] были скорректированы результаты предыдущей работы: предложенная атака на вариант с 512-битным ключом распространена на 49 раундов, для ее осуществления требуется 2^151,9 выбранных открытых текстов или выбранных шифртекстов и 2^508,5 операций.

·       Уже после конкурса NESSIE, в 2006 г. вышла работа [15], в которой предложена лучшая на текущий момент атака на алгоритм SHACAL-1 из атак, не использующих связанные ключи. Атака на 55 раундов SHACAL-1 c 512-битным ключом использует дифференциальный криптоанализ, она успешна при наличии 2¹⁵⁴ выбранных шифртекстов и при выполнении 2^507,26 операций шифрования. В данной работе предложены и некоторые другие варианты атак на SHACAL-1.

·       В том же году авторы работы [7] сделали вывод, что, в связи с «наследственностью» SHACAL-1 от SHA-1, новые результаты в поиске коллизий в SHA-1 будут выливаться в новые атаки на SHACAL-1 на связанных ключах, которые действуют, как минимум, на класс слабых ключей. В данной работе была предложена первая атака на полнораундовый SHACAL-1 с 512-битным ключом с использованием 4-х связанных ключей. Для этой атаки требуется 2^159,8 выбранных открытых текстов и 2⁴²³ операций шифрования или 2^153,8 выбранных открытых текстов и 2^504,2 операций. Авторы отмечают, что атака является абсолютно теоретической, поскольку требуемые для атаки ресурсы абсолютно превышают существующие вычислительные возможности.

·       А в совсем недавней работе [3] предыдущая атака была усилена: авторами работы предложено несколько вариантов атак, одна из которых требует наличия 2^101,3 выбранных открытых текстов, зашифрованных на 8 связанных ключах, и выполнения 2^101,3 операций. По сравнению с предыдущей атакой, предложенная в [3] атака выглядит существенно более практичной, что позволило ее авторам сделать вывод о структуре алгоритма SHACAL-1: «Использование линейной процедуры расширения ключа совместно с раундами схожей структуры – не лучший способ создания стойких блочных шифров».

Кроме того, в работе [19] утверждается, что SHACAL относительно сложно защищаем от атак по потребляемой мощности.

По результатам первого этапа конкурса NESSIE алгоритм SHACAL-1 был выбран в финал конкурса. Эксперты отметили, что в алгоритме не найдено уязвимостей, а также высокое быстродействие алгоритма. Кроме того, интересной показалась возможность интеграции алгоритмов SHACAL-1 и SHA-1, о которой было сказано выше [23].

Однако, в финале конкурса SHACAL-1 не оказался в числе алгоритмов-победителей из-за сомнений экспертов в стойкости его процедуры расширения ключа [21].

Криптоанализ алгоритма SHACAL-2

В рамках конкурса NESSIE не было найдено каких-либо уязвимостей в алгоритме SHACAL-2. Мало того, во время конкурса не были известны какие-либо атаки даже на усеченные версии алгоритма [22]. SHACAL-2 стал одним из победителей конкурса NESSIE [21], причем, помимо криптостойкости, эксперты отметили и высочайшую скорость шифрования данным алгоритмом [23].

Уже после окончания конкурса начали появляться различные работы, посвященные атакам на варианты алгоритма SHACAL-2 с уменьшенным числом раундов. Например, в работе [16] предложена атака на 42-раундовый вариант SHACAL-2 с 512-битным ключом, для которой требуется наличие 2^243,38 выбранных открытых текстов на двух связанных ключах и 2^488,37 операций.

В работе [13] описаны другие варианты атак на SHACAL-2, однако, они менее эффективны, чем упомянутая выше атака на 42 раунда алгоритма.

Алгоритмы симметричного шифрования, основанные на хэш-функциях, были предложены различными криптологами задолго до алгоритма SHACAL (например, алгоритмы Bear, Lion и Lioness, подробно описанные в [29]). Однако, все они имели те или иные проблемы с криптостойкостью и/или быстродействием. Таким образом, на сегодняшний день алгоритм SHACAL-2 является единственным широко известным алгоритмом (из основанных на хэш-функциях), не имеющим проблем с криптостойкостью и обладающим высокой скоростью шифрования.

Алгоритм Khazad

Алгоритм Khazad разработан специально для участия в конкурсе NESSIE интернациональным дуэтом специалистов: Пауло Баррето (Paulo Sergio L.M. Barreto) из Бразилии и Винсентом Риджменом (Vincent Rijmen) из Бельгии. Последний широко известен в мире как один из разработчиков стандарта шифрования США AES (см. статью «Алгоритм шифрования AES и его криптоанализ»). Название алгоритма произошло от названия Казад-Дум (Khazad-dum) – Подгорного Царства гномов из трилогии Дж. Р.Р. Толкиена «Властелин Колец» [12].

Структура алгоритма

Предшественником алгоритма Khazad считается разработанный в 1995 г. Винсентом Риджменом и Джоан Деймен (Joan Daemen) алгоритм SHARK (SHARK подробно описан в [28]). Авторы Khazad утверждают, что в основе алгоритма лежит стратегия разработки криптографически стойких алгоритмов шифрования (Wide-Trail Strategy), предложенная Джоан Деймен в работе [6].

Khazad шифрует 64-битные блоки данных с использованием 128-битного ключа шифрования. Алгоритм Khazad представляет блок данных в виде строки из 8 байт, которая обрабатывается в каждом раунде алгоритма следующей последовательностью операций [1]:

1.     Табличная замена g: значение каждого байта строки заменяется с помощью следующей таблицы S(x):

Данная таблица заменяет значение 0 на A7, 1 – на D3 и т.д.

Стоит сказать, что таблица полностью эквивалентна используемой в алгоритме Anubis (это еще один алгоритм шифрования, представленный на конкурс теми же авторами, его подробное описание можно найти в [27]). Значения таблицы соответствуют следующему соотношению:

S(S(x)) = x.

2.     Преобразование q, которое заключается в умножении байтовой строки данных на фиксированную матрицу H:

3.     Наложение материала ключа s(K_i): на блок данных операцией XOR накладывается 8-байтный фрагмент расширенного ключа K_i для текущего раунда i. Процедура расширения ключа подробно описана ниже.

В алгоритме предусмотрено выполнение восьми раундов, перед первым из которых выполняется входное отбеливание – операция s с фрагментом ключа K₀ (раунды нумеруются, начиная с 1). В последнем раунде алгоритма не выполняется операция q. Т.е. последовательность операций при зашифровании выглядит следующим образом:

s(K₀) ® (g ® q ® s(K₁)) ® … ® (g ® q ® s(K₇)) ® g ® s(K₈).

Расшифрование выполняется аналогично зашифрованию, но с использованием модифицированных фрагментов расширенного ключа, а именно следующим образом:

s(K₈) ® (g ® q ® s(q(K₁))) ® … ® (g ® q ® s(q(K₇))) ® g ® s(K₀).

Тот факт, что данная последовательность действий приведет к корректному расшифрованию, доказан в спецификации алгоритма [1].

Процедура расширения ключа также весьма проста. Она выполняется в два этапа, на первом из которых инициализируются 64-битные переменные K_-1 и K_-2: в качестве K_-2 берутся первые 8 байт исходного ключа шифрования, в качестве K_-1 – оставшиеся 8 байт.

Затем вычисляется последовательность подключей K₀…K₈ следующим образом:

K_i = f(C_i, K_i-1) Å K_i-2,

где f(x, y) – функция раунда алгоритма, т.е. последовательная обработка 64-битной переменной x операциями g, q и s(y),

C_i – набор 64-битных констант; каждый j-й байт константы C_i вычисляется так:

C_i,j = S(8i + j).

Модификация алгоритма

Пользуясь возможностью незначительного изменения алгоритма в течение первого раунда конкурса, авторы Khazad также внесли изменения в свой алгоритм. В новом варианте спецификации алгоритма [1] исходный алгоритм Khazad назван Khazad-0, а название Khazad присвоено модифицированному алгоритму.

Изменения коснулись только таблицы замен: теперь для упрощения аппаратной реализации алгоритма таблица замен является суперпозицией двух других таблиц замен (замещающих 4-битные значения) P и Q (структура таблицы замен приведена на рис. 5 Структура таблицы замен модифицированного алгоритма Khazad).

P:

Q:

В зависимости от ресурсов шифратора таблица S может быть реализована как с помощью приведенных таблиц P и Q, так и напрямую. Сама модифицированная таблица S выглядит следующим образом:

Криптоанализ алгоритма Khazad

Первичный криптоанализ алгоритма был выполнен его авторами: в [1] утверждается, что Khazad обладает высокой криптостойкостью против линейного и дифференциального криптоанализа, использования усеченных дифференциалов, атак на связанных ключах и ряда других.

Khazad не привлек такого пристального внимания криптоаналитиков, как рассмотренные ранее алгоритмы MISTY1, Camellia и SHACAL – известно существенно меньше работ, посвященных его криптоанализу, среди которых можно отметить следующие:

·       Некоторые недочеты первичного криптоанализа Khazad (незначительно снижающие заявленную авторами алгоритма стойкость к линейному криптоанализу) были указаны авторами работы [2].

·       В работе [18] предлагается атака на 5-раундовый Khazad методом интегрального криптоанализа, для которой требуется 2⁶⁴ выбранных открытых текстов (т.е., фактически, результаты зашифрования всех возможных значений блока открытого текста).

·       В работе [19] показано, что реализации Khazad легко защищаемы от атак по потребляемой мощности.

·       Авторы [20] применили против алгоритма Khazad дифференциальный анализ на основе сбоев (см. статью «Атаки на шифраторы с использованием утечек данных по побочным каналам»). Полнораундовый Khazad может быть вскрыт всего при наличии трех шифртекстов с внесенной ошибкой, однако, модель атаки не является реалистичной.

·       В работе [5] найден класс из 2⁶⁴ слабых ключей, при использовании которых 5-раундовый Khazad вскрывается при наличии 2³⁴ выбранных открытых текстов или шифртекстов.

Как видно, никаких сколько-нибудь серьезных проблем с криптостойкостью алгоритма Khazad обнаружено не было, что отмечено и экспертами конкурса NESSIE [21]. Кроме того, экспертами отмечена весьма высокая скорость шифрования данного алгоритма [24]. Khazad был признан перспективным алгоритмом, весьма интересным для дальнейшего изучения, но не стал одним из победителей конкурса из-за подозрений экспертов, что структура алгоритма может содержать скрытые уязвимости, которые могут быть обнаружены в будущем [21].

1.          Barreto P.S.L.M., Rijmen V. The Khazad Legacy-Level Block Cipher. // http://www.cosic.esat.kuleuven.be^[2].

2.          Biham E., Dunkelman O., Furman V., Mor T. Preliminary Report on the NESSIE Submissions: Anubis, Camellia, Khazad, IDEA, Misty1, NIMBUS, and Q. // http://www.cosic.esat.kuleuven.be – Technion, Haifa, Israel.

3.          Biham E., Dunkelman O., Keller N. A Simple Related-Key Attack on the Full SHACAL-1. // http://www.cosic.esat.kuleuven.be.

4.          Biham E., Dunkelman O., Keller N. Rectangle Attacks on 49-Round SHACAL-1. // http://vipe.technion.ac.il – Technion, Haifa, Israel.

5.          Biryukov A. Analysis of Involutional Ciphers: Khazad and Anubis. // http://citeseer.ist.psu.edu – Katholieke Universiteit Leuven, Belgium.

6.          Daemen J. Cipher and Hash Function Design Strategies Based on Linear and Differential Cryptanalysis. // http://homes.esat.kuleuven.be – 1995.

7.          Dunkelman O., Keller N., Kim J. Related-Key Rectangle Attack on the Full SHACAL-1. // http://www.cosic.esat.kuleuven.be.

8.          FIPS Publication 180-2. Specifications for the Secure Hash Standard. // http://csrc.nist.gov – 2002 August 1.

9.          Handschuh H., Knudsen L.R., Robshaw M.J. Analysis of SHA-1 in Encryption Mode. // http://citeseer.ist.psu.edu – 2001.

10.       Handschuh H., Naccache D. SHACAL. // http://www.cosic.esat.kuleuven.be – 2000 – Gemplus, Issy-les-Moulineaux.

11.       Handschuh H., Naccache D. SHACAL. // http://www.cosic.esat.kuleuven.be – 2001 – Gemplus, Issy-les-Moulineaux.

12.       Khazad – from Wikipedia, the free encyclopedia. // http://eng.wikipedia.org.

13.       Kim J. Combined Differential, Linear and Related-Key Attacks on Block Ciphers and MAC Algorithms. // http://www.cosic.esat.kuleuven.be – November 2006 – Katholieke Universiteit Leuven, Belgium.

14.       Kim J., Moon D., Lee W., Hong S., Lee S., Jung S. Amplified Boomerang Attack Against Reduced-Round SHACAL. // http://www.iacr.org – Korea University, Seoul, Korea.

15.       Lu J., Kim J., Keller N., Dunkelman O. Differential and Rectangle Attacks on Reduced-Round SHACAL-1. // http://www.cosic.esat.kuleuven.be – 2006.

16.       Lu J., Kim J., Keller N., Dunkelman O. Related-Key Rectangle Attack on 42-Round SHACAL-2. // http://www.cosic.esat.kuleuven.be.

17.       McLoone M., McCanny J.V. Very High Speed 17 Gbps SHACAL Encryption Architecture (Abstract). // http://www.springerlink.com – 2003 – Queen’s University of Belfast, Northern Ireland.

18.       Muller F., A New Attack Against Khazad. // http://www.iacr.org – DCSSI Crypto Lab, Issy-les-Moulineaux, France.

19.       Oswald E., Preneel B. A Theoretical Evaluation of some NESSIE Candidates regarding their Susceptibility towards Power Analysis Attacks. // http://www.iaik.tugraz.at – Katholieke Universiteit Leuven, Belgium – October 4, 2002.

20.       Piret G., Quisquater J.-J. A Differential Fault Attack Technique against SPN Strustures, with Application to the AES and Khazad. // http://www.dice.ucl.ac.be – 2003 – Universite Catolique de Louvain, Belgium.

21.       Portfolio of recommended cryptographic primitives. // http://www.cryptonessie.org – NESSIE consortium, February 27, 2003.

22.       Preneel B., Biryukov A., Oswald E., Van Rompay B., Granboulan L., Dottax E., Murphy S., Dent A., White J., Dichtl M., Pyka S., Schafheutle M., Serf P., Biham E., Barkan E., Dunkelman O., Quisquater J.-J., Ciet M., Sica F., Knudsen L., Parker M., Raddum H. Public Report D20: NESSIE security report. // http://www.cosic.esat.kuleuven.be. – February 19, 2003 – Version 2.0.

23.       Preneel B., Bosselaers A., Ors S.B., Biryukov A., Granboulan L., Dottax E., Murphy S., Dent A., White J., Dichtl M., Pyka S., Serf P., Biham E., Barkan E., Dunkelman O., Ciet M., Sica F., Knudsen L., Raddum H. NESSIE Public Report D18: Update on the selection of algorithms for further investigation during the second round. // http://www.cosic.esat.kuleuven.be. – Version 1.0 – March 11, 2002.

24.       Preneel B., Van Rompay B., Granboulan L., Martinet G., Dichtl M., Schafheutle M., Serf P., Bibliovitz A., Biham E., Dunkelman O., Ciet M., Quisquater J-J., Sica F. NESSIE Public Report D14: Report on the Performance Evaluation of NESSIE Candidates I. // http://www.cosic.esat.kuleuven.be. – Version 3.3 – November 20, 2001.

25.       Saarinen M.-J.O. Cryptanalysis of Block Ciphers Based on SHA-1 and MD5. // http://www.m-js.com – Helsinki University of Technology, Finland.

26.       Xiao L., Heys H.M. An Improved Power Analysis Attack Against Camellia’s Key Schedule. // http://eprint.iacr.org – September 22, 2005.

27.       Панасенко С. Алгоритмы шифрования – участники конкурса NESSIE. Часть 2. // iXBT. – http://www.ixbt.com/soft/nessie-part2.shtml – 10.04.2007 г.

28.       Панасенко С. Интересные алгоритмы шифрования, часть 2. // BYTE/Россия. – 2006 - № 5 – с. 74-79.

29.       Панасенко С. Интересные алгоритмы шифрования, часть 3. // BYTE/Россия. – 2006 – № 10 – с. 74-80.

Об авторе:

Панасенко Сергей Петрович, нач. отдела разработки программного обеспечения фирмы АНКАД, кандидат технических наук.

С автором можно связаться:      по телефонам (495)532-1313, (495)531-0000

или по E-mail develop@ancud.ru

http://www.panasenko.ru