В криптографии Skipjack — это блочный шифр ( алгоритм шифрования), разработанный Агентством национальной безопасности США ( АНБ). Первоначально засекреченный , он изначально предназначался для использования в спорном чипе Clipper . Впоследствии алгоритм был рассекречен. [5]
Skipjack был предложен в качестве алгоритма шифрования в схеме депонирования ключей , спонсируемой правительством США , а шифр был предоставлен для использования в чипе Clipper , реализованном в защищенном от несанкционированного доступа оборудовании. Skipjack используется только для шифрования; хранение ключей достигается за счет использования отдельного механизма, известного как Поле доступа правоохранительных органов (LEAF). [5]
Алгоритм изначально был секретным, и по этой причине многие относились к нему с большим подозрением. Он был рассекречен 24 июня 1998 года, вскоре после того, как основной принцип его конструкции был независимо открыт сообществом публичной криптографии. [5] [6]
Чтобы обеспечить доверие общественности к алгоритму, для его оценки были приглашены несколько академических исследователей, не входящих в правительство. [7] [5] Исследователи не обнаружили проблем ни с самим алгоритмом, ни с процессом оценки. Более того, их отчет дал некоторое представление о (секретной) истории и развитии Skipjack:
[Skipjack] является представителем семейства алгоритмов шифрования, разработанных в 1980 году как часть набора алгоритмов « Типа I » АНБ... Skipjack был разработан с использованием строительных блоков и методов, разработанных более сорока лет назад. Многие из методов связаны с работой, которая была оценена некоторыми из самых опытных и известных экспертов мира в области комбинаторики и абстрактной алгебры . Более непосредственное наследие Skipjack относится примерно к 1980 году, а его первоначальный дизайн - к 1987 году... Конкретные структуры, включенные в Skipjack, имеют долгую историю оценки, и криптографические свойства этих структур подвергались многолетним интенсивным исследованиям, прежде чем формальный процесс начался в 1987. [7] [8]
В марте 2016 года NIST опубликовал проект своего криптографического стандарта, который больше не сертифицирует Skipjack для приложений правительства США. [9] [10]
Skipjack использует 80-битный ключ для шифрования или дешифрования 64-битных блоков данных. Это несбалансированная сеть Фейстеля с 32 раундами. [11] Он был разработан для использования в защищенных телефонах.
Эли Бихам и Ади Шамир обнаружили атаку на 16 из 32 раундов в течение одного дня после рассекречивания [8] и (совместно с Алексом Бирюковым ) распространили это на 31 из 32 раундов (но с атакой лишь немного быстрее, чем исчерпывающий поиск) в пределах месяцев с использованием невозможного дифференциального криптоанализа . [4]
Также была опубликована усеченная дифференциальная атака против 28 раундов шифра Skipjack. [12]
Заявленная атака на полный шифр была опубликована в 2002 году, [13] но в более поздней статье, соавтором которой выступил разработчик атаки, в 2009 году было разъяснено, что в то время не было известно ни о какой атаке на полный 32-раундовый шифр. [14]
Алгоритм под названием Skipjack является частью предыстории романа Дэна Брауна «Цифровая крепость» 1998 года . В романе Брауна Skipjack предлагается в качестве нового стандарта шифрования с открытым ключом , а также черный ход, тайно введенный АНБ («несколько строк хитрого программирования»), который позволил бы им расшифровать Skipjack с использованием секретного пароля и тем самым «прочитай электронную почту мира». Когда подробности шифра публикуются, программист Грег Хейл обнаруживает и объявляет подробности бэкдора. В реальной жизни есть основания полагать, что АНБ добавило лазейки по крайней мере к одному алгоритму; Алгоритм случайных чисел Dual_EC_DRBG может содержать бэкдор, доступный только АНБ.
Кроме того, в модификации Dystopia для Half-Life 2 программа «шифрования», используемая в киберпространстве, по-видимому, использует алгоритмы Skipjack и Blowfish . [15]
Однако я отметил, что данное несоответствие может быть скорее кажущимся, чем реальным. Между процитированными заявлениями и рассекречиванием SKIPJACK академический исследователь опубликовал статью, в которой отмечалось, что шифры Фейстеля определенного типа, особенно те, в которых f-функция сама по себе представляет собой серию раундов Фейстеля, могут оказаться неуязвимыми. дифференциальному криптоанализу.
атака на полный 32-раундовый Скипджек до сих пор остается неуловимой.
[Документ того же автора, что и атака 2002 года]