Twofish

Twofish
מידע כללי
תכנון ברוס שנייר
פרסום 2000
מבוסס על Blowfish, SQUARE
גרסאות מתקדמות Threefish
מבנה הצופן
אורך מפתח 128/192/256 סיביות
אורך בלוק 128 סיביות
מבנה רשת פייסטל מאוזנת
מספר סבבים 16
לעריכה בוויקינתונים שמשמש מקור לחלק מהמידע בתבנית

Twofish הוא צופן בלוקים סימטרי שפותח ב-1998 בחברת Counterpane Labs על ידי צוות קריפטוגרפים בראשות ברוס שנייר, על מנת לשמש כמועמד לתקן ההצפנה המתקדם. דורג שלישי בחמשת המועמדים המובילים והפסיד לריינדל. האלגוריתם פועל על בלוקים בגודל 128 סיביות וטווח מפתח מ-128 עד 256 סיביות והוא ממוטב למעבדי 32 סיביות. בעת התחרות לתקן הוכרז על ידי NIST כמו לגבי יתר המועמדים המובילים שלא התגלו בו חולשות ולא ידוע על התקפה יעילה נגדו. הצופן נחשב כממשיכו של Blowfish וגם הוא חופשי לשימוש ואינו מוגן בזכויות יוצרים או פטנט. הוא בנוי בסגנון רשת פייסטל בשישה-עשר סבבים וכולל;

  • פונקציה חד-חד-ערכית ועל המיוצגת על ידי ארבע תיבות החלפה (S-box) לא ליניאריות תלויות מפתח, בגודל 8x8 סיביות.
  • הכפלה במטריצת MDS קיצור של maximum distance separable, שהיא פונקציה ליניארית קבועה 4x4 מעל שדה סופי וצמצום בפולינום פרימיטיבי קבוע.
  • התמרת פסבדו-הדמר PHT. פונקציית ערבוב הפועלת על זוגות משתנים בני 32 סיביות כדלהלן; בהינתן הפלט הוא ו-.
  • הזזה מעגלית בסיביות (bitwise rotation), כלומר לאחר כל הזזה סיבית הגלישה הנפלטת מצד אחד מוחזרת מהצד השני.
  • הלבנה שהיא XOR עם 128 סיביות מהמפתח לפני הסבב הראשון ואחרי הסבב האחרון.
  • תהליך הרחבת מפתח המתואר להלן.

יישום ממוטב של האלגוריתם במחשב 32 סיביות צורך כ-18 מחזורי שעון לבית או 1820 מחזורי שעון במעבד 8 סיביות. Twofish ניתן ליישום בחומרה בעלות של 14,000 שערים. תהליך הרחבת המפתח וכן סבב ההצפנה מתחשב במגוון אפשרויות כדי לאפשר איזון בין ביצועים לביטחון בהתאם לצורך. ההתקפה הטובה ביותר הידועה כנגד האלגוריתם היא התקפת גלוי נבחר עם טקסטים ו- ניסיונות בחמשה סבבים בלבד. עם מפתח בגודל 128 סיביות יישום בתוכנה של Twofish איטי מעט בהשוואה לריינדל ואילו עם מפתח 256 סיביות קיים יתרון קל ל-Twofish.

שיקולי פיתוח

[עריכת קוד מקור | עריכה]

אלגוריתם Twofish פותח במיוחד לפי דרישות תקן ההצפנה של המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית:

  • אורך הבלוק נקבע ל-128 סיביות.
  • אורכי מפתח נקבעו ל-128, 192 או 256 סיביות.
  • יעילות הן בחומרה והן בתוכנה.
  • גמישות; יישום במגוון אפשרויות על פלטפורמות שונות ועם אורכי מפתח שונים וכן התאמה לשימוש כצופן זרם, פונקציית גיבוב או קוד אימות מסרים.
  • מבנה פשוט המסייע ביישום ובניתוח האלגוריתם.
  • מהירות הצפנה של כ-500 מחזורי שעון בגרסה הממוטבת.
  • פעולות אלגבריות פשוטות שאינן מערימות קשיים ביישום בתוכנה או בחומרה.
  • ביטחון; ההתקפה הטובה ביותר האפשרית כנגד האלגוריתם במלוא הסבבים תהיה בסיבוכיות של לא פחות מ-.

תיאור האלגוריתם

[עריכת קוד מקור | עריכה]
תרשים אלגוריתם Twofish. הסמל מייצג XOR והסמל מייצג חיבור מודולו . הפונקציה ROL מייצגת הזזה מעגלית שמאלה בסיביות לפי המציין התחתי ואילו ROR מייצג הזזה מעגלית ימינה

קלט: 128 סיביות טקסט קריא המיוצגים על ידי 16 בתים , מפתח בגודל 128, 192 או 256 סיביות.

פלט: 16 בתי צופן .

1. הקלט מפוצל לארבע מילים, של 32 סיביות כל אחת לפי סדר בתים קטן (little-endian) כלומר הספרה הפחות משמעותית מוצבת בבית הראשון שבכתובת הזיכרון. הנוסחה היא:

(הערה: במעבד עם סדר בתים קטן (כמו בארכיטקטורת x86), בשפות C ו-C++‎ אין צורך בפעולת חישוב כלשהי בהמרה זו ובהמרה האחרונה בסעיף 6, כיוון שניתן להתייחס למצביע הקלט כאל כמצביע לשלם-32 במקום לבתים או להשתמש במבנה Union, כך שסיביות הקלט והפלט נותרות במקומן).

2. שלב הלבנה; מבצעים XOR עם 4 מילות מהמפתח המורחב (הכנת המפתח בהמשך):

3. בכל סבב מ-16 הסבבים, שתי המילים הראשונות משמשות כקלט לפונקציה (להלן) שמקבלת כפרמטר גם את מספר הסבב, המילה השלישית מחוברת ב-XOR עם התוצאה הראשונה של ולאחר מכן מסובבת בהזזה מעגלית סיבית אחת ימינה. המילה הרביעית מסובבת בהזזה מעגלית שמאלה סיבית אחת ואז מחוברת ב-XOR עם התוצאה השנייה של . לאחר מכן שני החצאים מחליפים מקומות וחוזר חלילה. באופן פורמלי עבור עד מבצעים:

3.1

3.2

3.3

3.4

3.5

כאן ROR מייצג Rotate Right שהיא פונקציית הזזה מעגלית לימין במספר סיביות לפי המציין התחתי ו-ROL מייצג Rotate Left.

4. מבצעים החלפה נוספת בין שני חצאי הקלט (למעשה מבטלים את ההחלפה מהסבב האחרון)

5. מבצעים הלבנה נוספת עם ארבע מילות מפתח מורחב נוספות.

6. התוצאה מומרת בחזרה ל-16 בתים לפי אותו סדר בתים:

הפונקציה מקבלת שלושה פרמטרים: שתי מילים ומספר הסבב שמהווה אינדקס לערך המתאים במפתח המורחב. משמש קלט לפונקציית שמתוארת להלן המחזירה את . ו- מסובב בהזזה מעגלית 8 סיביות שמאלה ואז משמש גם הוא קלט לפונקציה שמחזירה את . התוצאות משולבות יחד באמצעות פונקציית PHT בה מוסיפים שתי מילים מתאימות מהמפתח המורחב לפי , הפלט הוא הזוג ובניסוח פורמלי:

הפונקציה מקבלת כפרמטר מילה אחת בגודל 32 סיביות, מפצלת אותה לארבעה בתים, כל אחד מהם משמש אינדקס לתיבת ההחלפה המתאימה שמחזירה בית אחר. מייצגים את התוצאות כווקטור באורך 4 מעל השדה ומכפילים במטריצת MDS בגודל 4x4 (ראו תרשים). התוצאה מומרת בחזרה למילה אחת:

כאשר היא תיבת החלפה ו- הוא התוצאה של . לצורך המרה בין אלמנטים בשדה לבין בתי הקלט משתמשים בפולינום הפרימיטיבי ממעלה 8. האלמנט כאשר מקדמיו בינאריים, מתאים לבית . זהו מיפוי טבעי במובן שפעולות חיבור הן בעצם XOR בלבד.

לצורך יעילות ביישום הן בתוכנה והן בחומרה מיישמים את הכפל במטריצה באמצעות סדרת פעולות XOR ו-Shift תוך שימוש בטכניקה שנקראת LFSR, כדלהלן:

והפונקציות L1, L2 הן אוגרי זיזה (LFSR) הראשון מבוסס על הסיבית הראשונה והשני על הסיביות הראשונה והשנייה והן מוגדרות כך:

(הסימן מייצג הזזה לימין והסימן AND שנקרא וגם בודק האם הסיבית המתאימה דולקת, 0x02 היא סיבית LSB השנייה). התוצאה היא המרה של ערכי למילה בגודל 32 סיביות בסדר בתים קטן לפי הנוסחה (במעבד עם סדר בתים קטן, התוצאה מתקבלת במבנה הרצוי ואין צורך בהמרה כלשהי).

הרחבת מפתח

[עריכת קוד מקור | עריכה]

המפתח המורחב מכיל מערך של 40 מילים וארבע תיבות החלפה מהפונקציה . המפתח כאמור יכול להיות , או סיביות. לצורך הכנת המפתח המורחב יהי , מכינים מהמפתח מערך בגודל בתים (מרפדים באפסים אם נדרש), ממירים ל- מילים בגודל 32 סיביות לפי סדר בתים little-endian. ואז ממירים את לשני וקטורים (זוגי ואי זוגי) כלומר וכן . וקטור נוסף בגודל מיוצר מהמפתח בקבוצות של 8 סיביות, אותם מפרשים כווקטור מעל ומכפילים במטריצה 4x8 של קוד RS (ריד-סולומון) כמתואר בתרשים להלן. פעולת הכפל במטריצה נראית כך:

ואז מחשבים עבור בסדר הפוך :

להכפלה במטריצה בשיטת ריד-סולומון, משתמשים בפולינום פרימיטיבי .

שלושת הווקטורים הם הבסיס לתהליך הרחבת המפתח.

הפונקציה המשמשת להרחבת המפתח מקבלת פרמטר בגודל 32 סיביות ורשימה של מילות 32 סיביות באורך ומפיקה מילה אחת. הפונקציה פועלת באופן איטרטיבי שלבים, בכל שלב 4 בתים עוברים בתיבות החלפה קבועות ומחוברים ב-XOR עם בתים מהרשימה ולסיום מועברים שוב בתיבות ההחלפה ומוכפלים במטריצת MDS. כדלהלן: תחילה מפצלים לבתים כאשר ו-:

בשלב החלפה ו-XOR תחילה מציבים כאשר ואז מחשבים לפי ערך :

In all cases

כאשר הן תמורות קבועות של ערכים בגודל 8 סיביות המוגדרות להלן. הווקטור מוכפל במטריצת MDS כמו בפונקציה לעיל:

תיבות החלפה S-box

[עריכת קוד מקור | עריכה]

כאמור תיבות ההחלפה תלויות במפתח, ליתר דיוק בווקטור שהוכן מהמפתח לעיל. דהיינו ארבע התיבות מחושבות מתוך עבור בפונקציה כאשר הרשימה היא בתמציתיות: .

המפתח המורחב K

[עריכת קוד מקור | עריכה]

עם השלמת הגדרת הפונקציה , אפשר להשלים את תהליך הרחבת המפתח כדלהלן:

הקבוע משמש כאן להכפלת בתים, התכונה שלו היא שהמילה מורכבת מארבעה בתים שווים בערכם ל-. שימו לב שנעשה שימוש בהזזה מעגלית, בווקטורים ובפונקציית PHT. התמורות הקבועות ו- מחושבות מתוך 4 תמורות שונות, עבור קלט מחשבים את הפלט על ידי:

תחילה מפצלים את הבית לשני ניבלים, שעוברים שלב ערבוב עם פונקציה חד-חד-ערכית ועל, כל ניבל עובר בנוסף בתיבת החלפה של 4 סיביות קבועה משלו ואז מאחדים את הניבלים. תיבות ההחלפה 4-סיביות הן:

צופן Twofish משתמש בתהליך הכנה מעט שונה עבור פענוח. השוני הוא בסדר ההפוך של המפתח המורחב . בגרסאות הממוטבות ביישום האלגוריתם בפועל, נמנעים בדרך כלל מפעולות אריתמטיות מסובכות, אותם מחליפים בטבלאות החלפה פשוטות בהם הערכים קודדו מראש בהתאם. ובמקרה של יישום בחומרה מוגבלת כמו כרטיס חכם, מפרקים פעולות לפקודות בסיסיות ביותר כמו Shift ו-XOR, לעיתים על חשבון יעילות.

קישורים חיצוניים

[עריכת קוד מקור | עריכה]