Шифрование, сохраняющее формат

Шифрование, сохраняющее формат (англ. format-preserving encryption, FPE) означает шифрование, в котором выходные данные (шифротекст) находятся в таком же формате, что и входные данные (открытый текст). Значение слова «формат» варьируется. Обычно подразумеваются только конечные множества, например:

Зашифровать 16-значный номер кредитной карты так, чтобы шифротекст был также 16-цифирным номером.
Зашифровать английское слово так, чтобы шифротекст был тоже английским словом.
Зашифровать n-битовый номер так, чтобы шифротекст был n-битовым номером. (Это определение n-битового блочного шифрования)

Для таких конечных множеств, и для обсуждаемого ниже, шифр эквивалентен перестановке N целых чисел {0, ... , N−1}, где N — размер области.

Зачем нужно FPE[править | править код]

Ограниченные длины поля или форматы[править | править код]

Первой причиной для использования FPE являются проблемы, связанные с использованием шифрования в существующих приложениях, с четко-заданными моделями данных. Типичный пример — номер кредитной карты, например 1234567812345670 (16 байт, только цифры).

Добавление шифрования в такие приложения может быть сложным, если модель данных должна быть изменена, так как это обычно включает изменения ограничения длины поля или типа данных. Например, результатом блочного шифрования номера кредитной карты будут выходные данные в шестнадцатеричной системе (0x96a45cbcf9c2a9425cde9e274948cb67, 34 байта, шестнадцатеричные цифры) или типа Base64 (lqRcvPnCqUJc3p4nSUjLZw==, 24 байта, буквенно-цифровое и специальные символы). Это нарушит любые существующее приложения, на входе которых ожидается 16-цифирный номер кредитной карты.

Помимо простых проблем форматирования, используя AES-128-CBC, этот номер кредитной карты может быть зашифрован в шестнадцатеричное значение 0xde015724b081ea7003de4593d792fd8b695b39e095c98f3a220ff43522a2df02. В дополнение к проблеме, вызванной недопустимыми символами или увеличением размера, данные, зашифрованные с использованием CBC-режима, изменяют значение, когда они расшифровываются и зашифровываются снова. Это происходит потому, что random seed value (случайное начальное заполнение) которое используется для инициализации алгоритма шифрования и включено в качестве зашифрованного значения, отличается для каждой операции шифрования. Поэтому невозможно использовать данные, которые были зашифрованы с использованием режима CBC, в качестве уникального ключа для определения строки в базе данных.

FPE необходимо для упрощения процесса перехода путём сохранения форматирования и длины исходных данных, что позволяет сделать замену открытого текста его криптограммой в используемых приложениях.

Генерация псевдослучайных чисел[править | править код]

Шифрование, сохраняющее формат (FPE), способно генерировать уникальные и неповторимые числа. Главной целью FPE является шифрование файла таким образом, чтобы оба, исходный и зашифрованный файлы, были одного формата.

Например, если создана последовательность чисел от 11111 до 88888, тогда FPE берёт первое значение 11111 и зашифровывает его в другой 5-цифирный номер. Этот процесс продолжается до тех по, пока не будет считано последнее значение 88888. Все зашифрованные значения уникальны и случайны. Эти номера используются в качестве серийного ключа для продукта.

Сравнение с действительно случайными перестановками[править | править код]

Хотя действительно случайные перестановки являются идеальным FPE-шифром, для больших множеств неосуществимо предварительно генерировать и помнить действительно случайную перестановку. Итак, проблема FPE заключается в генерации псевдослучайной перестановки из секретного ключа таким образом, чтобы время вычисления для одного значения было мало (в идеальном случае постоянным, но самое главное — меньшим O(N)).

Сравнение с блочным шифрованием[править | править код]

N-битовое блочное шифрование (например, AES) технически является FPE на множестве {0, ..., 2ⁿ-1}. Если необходим FPE на одном из стандартных множеств (где n=128, 192, 256), то можно использовать блочное шифрование необходимого размера.

Однако, при стандартном использовании, блочное шифрование используется в режиме, который позволяет зашифровать сколь угодно длинные сообщения, и с использованием вектора инициализации, как обсуждалось выше. В этом режиме блочное шифрование не является FPE.

Определение безопасности для FPE[править | править код]

В литературе по криптографии (смотрите в ссылках ниже) степень «хорошести» FPE определяется тем, может ли злоумышленник отличить FPE от действительно случайной перестановки. Атакующие различаются в зависимости от того, имеют ли они доступ к oracle или им известна пара шифротекст/открытый текст.

Алгоритмы FPE[править | править код]

В большинстве подходов, упомянутых выше, хорошо известное блочное шифрование (такое как AES) используется как идеальная случайная функция.

В таком случае введение секретного ключа в алгоритм преимущественно легко. Дальше в тексте вместо AES может быть использован любой хороший блочный шифр.

FPE конструкции Блэка и Рогавэя[править | править код]

Реализация FPE, лежащего в основе блочного шифра, была впервые использована в работе криптографов Джона Блэка и Филлипа Рогавэя^[англ.],^[1] которая описывала 3 способа сделать это. Они доказали, что каждый из этих методов обладает такой же надёжностью, как и блочный шифр, который используется для их построения. Значит, противник, способный расшифровать FPE-алгоритм, может расшифровать и AES-алгоритм. Поэтому для надёжных AES-алгоритмов построенные на них FPE-алгоритмы также надёжны. Далее E обозначает операцию шифрования AES, который используется для построения FPE-алгоритма, а P — FPE.

FPE на основе prefix-шифра[править | править код]

Простой способ создания FPE-алгоритма на множестве {0,…,N-1} заключается в присваивании псевдослучайного веса каждому целому числу с последующей сортировкой по весу. Веса определяются применением существующего блочного шифра к каждому целому числу. Блэк и Роговэй называют этот метод «prefix cipher».

Так, чтобы создать FPE на множестве {0,1,2,3} с заданным ключом K, применяем AES(K) к каждому целому из нашего множества, например,

weight(0) = 0x56c644080098fc5570f2b329323dbf62
weight(1) = 0x08ee98c0d05e3dad3eb3d6236f23e7b7
weight(2) = 0x47d2e1bf72264fa01fb274465e56ba20
weight(3) = 0x077de40941c93774857961a8a772650d

Сортировка [0,1,2,3] по весу даёт [3,1,2,0], поэтому шифр выглядит так:

F(0) = 3
F(1) = 1
F(2) = 2
F(3) = 0.

Этот метод используется только для малых значений N. Для больших значений размер таблицы перекодировки и необходимое количество кодировок для инициализации таблицы становится слишком большим.

FPE из cycle walking[править | править код]

Если есть набор M допустимых значений в пределах области псевдослучайных перестановок P (например, P может быть блочным шифром типа AES), алгоритм FPE может быть создан из блочного шифра путём неоднократного применения блочного шифра, пока результат не будет одним из допустимых значений (в пределах M).

  CycleWalkingFPE(x)
  {
    if ''P''(x) is an element of ''M''
      return ''P''(x)
    else 
      return CycleWalkingFPE(''P''(x))
  }

Цикл обязательно завершится. (Потому что P идёт один за другим и множество конечное, повторное применение P образует цикл, поэтому, начиная с точки в M, цикл прекратится в M.)

Преимущество этого метода заключается в том, что элементы множества M не должны отображаться в элементы последовательности {0,…,N-1} целых чисел. Недостатком является большое количество итераций для каждой операции, если M много меньше, чем множество P. Если P — блочный шифр заданного размера, например AES, то на M накладывается жёсткое ограничение, при котором этот метод эффективен.

Например, приложению необходимо зашифровать 100-битовое значение по алгоритму AES так, чтобы на выходе было другое 100-битовое значение. По этой методике AES-128-ECB шифрование может быть применено до тех пор, пока не достигнет значения с 28 старшими битами, равными 0, что займёт в среднем 2²⁸ итераций.

FPE на основе сети Фейстеля[править | править код]

Ещё один метод создания FPE алгоритма основан на использовании сети Фейстеля. Сеть Фейстеля нуждается в источнике псевдослучайных значений для ключей каждого раунда, и выход алгоритма AES может быть использован в качестве этих значений. Результирующая Фейстель конструкция надёжна, если использовано достаточное количество раундов.^[2]

Один из способов реализации FPE-алгоритма на основе сети Фейстеля и AES заключается в использовании такого количества бит на выходе AES-алгоритма, которое было бы равно длине левой или правой половины сети Фейстеля. Например, если необходимо 24-битовое значение для ключа, то можно использовать последние 24 бита выхода AES-алгоритма.

Этот метод может и не сохранять формат, но можно повторно использовать сеть Фейстеля так же, как и cycle-walking метод до тех пор, пока формат не будет сохранён. Регулируя размер входных данных для сети Фейстеля, можно добиться быстрого завершения цикла. Например, есть 10¹⁶ (10¹⁶ = 2^53.1) возможных 16-цифирных номеров кредитной карты. Используя 54-битную широкую сеть Фейстеля и cycle-walking, возможно создать FPE-алгоритм, который шифрует достаточно быстро.

Другие FPE-конструкции[править | править код]

Несколько других FPE-конструкций основаны на добавлении различными методами выходных данных стандартного шифра по модулю n к данным, которые нужно зашифровать. Сложение по модулю n — достаточно очевидное решение проблемы FPE-шифрования.

8 секция FIPS 74, Federal Information Processing Standards Publication 1981 Guidelines for Implementing and Using the NBS Data Encryption Standard,^[3] описывает способ использования DES-алгоритма шифрования, который сохраняет формат данных путём сложения по модулю n. Этот стандарт был удалён 19 мая 2005, так что метод считается устаревшим в терминах стандарта.

Другим методом шифрования, сохраняющего формат, была работа Питера Гутмана «Encrypting data with a restricted range of values»,^[4] в которой был рассмотрен алгоритм, который также выполнял сложение по модулю n с некоторыми корректировками.

Работа «Using Datatype-Preserving Encryption to Enhance Data Warehouse Security»^[5] Майкла Брайтвелла и Гарри Смита описывает способ использования DES-алгоритма шифрования, который сохраняет формат данных открытого текста. Этот метод не использует сложение по модулю n.

Работа «Format-Preserving Encryption»^[6] Михира Беллара^[англ.] и Томаса Ристенпарта описывает использование «почти сбалансированной» сети Фейстеля для создания безопасного FPE-алгоритма.

Работа «Format Controlling Encryption Using Datatype Preserving Encryption»^[7] Ульфа Мэттссона описывает другие методы реализации FPE-алгоритма.

Примером FPE-алгоритма является FNR (Flexible Naor and Reingold).^[8]

Принятие FPE-алгоритмов государственными стандартами[править | править код]

NIST опубликовал Special Publication 800-38G, DRAFT Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption.^[9] Эта публикация определяет три метода FF1, FF2 и FF3. Подробная информация о них, а также патент и информация о тестовом наборе, может быть найдена на сайте NIST Block Cipher Modes Development.^[10]

FF1 — это FFX «Format-preserving Feistel-based Encryption Mode». Он был представлен на NIST Михиром Бэлларом из Калифорнийского университета в Сан-Диего, Филипом Рогэвэем из Калифорнийского университета, Дейвис, и Теренсом Спайсом из Voltage Security Inc. Тестовый набор предоставлен, и его части запатентованы.
FF2 — это VAES3-схема для FFX: Дополнение к "The FFX Mode of Operation for Preserving Encryption. Он был представлен на NIST Йоахимом Вэнсом из VeriFone Systems Inc. Тестовый набор не предоставлен, в отличие от FF1, и его части запатентованы.
FF3 — это BPS, названный по именам его авторов. Он был представлен на NIST Эриком Браером, Томасом Пайрином и Жаком Стерном из Ingenico, Франция. Тестовый набор не предоставлен и не запатентован.

Примечания[править | править код]

↑ John Black and Phillip Rogaway, Ciphers with Arbitrary Domains, Proceedings RSA-CT, 2002, pp. 114—130. http://citeseer.ist.psu.edu/old/black00ciphers.html Архивная копия от 16 декабря 2009 на Wayback Machine (http://www.cs.ucdavis.edu/~rogaway/papers/subset.pdf Архивная копия от 23 октября 2020 на Wayback Machine)
↑ Jacques Patarin, Luby-Rackoff: 7 Rounds Are Enough for 2^n(1-epsilon) Security, Proceedings of CRYPTO 2003, Lecture Notes in Computer Science, Volume 2729, Oct 2003, pp. 513—529. http://www.iacr.org/archive/crypto2003/27290510/27290510.pdf Архивная копия от 3 марта 2016 на Wayback Machine; also Jaques Patrin: Security of Random Feistel Schemes with 5 or more Rounds. http://www.iacr.org/archive/crypto2004/31520105/Version%20courte%20Format%20Springer.pdf Архивная копия от 24 сентября 2015 на Wayback Machine
↑ FIPS 74, Federal Information Processing Standards Publication 1981 Guidelines for Implementing and Using the NBS Data Encryption Standard Архивированная копия (неопр.). Дата обращения: 14 июня 2009. Архивировано 3 января 2014 года.
↑ Peter Gutmann, «Encrypting data with a restricted range of values», 23 January 1997, http://groups.google.com/group/sci.crypt/browse_thread/thread/6caf26496782e359/e576d7196b6cdb48 Архивная копия от 9 ноября 2012 на Wayback Machine
↑ Michael Brightwell and Harry Smith, "Using Datatype-Preserving Encryption to Enhance Data Warehouse Security, Proceedings of the 1997 National Information Systems Security Conference Архивированная копия (неопр.). Дата обращения: 7 июля 2009. Архивировано 19 июля 2011 года.
↑ Mihir Bellare and Thomas Ristenpart, Format-Preserving Encryption http://eprint.iacr.org/2009/251 Архивная копия от 4 августа 2020 на Wayback Machine
↑ Ulf Mattsson, Format Controlling Encryption Using Datatype Preserving Encryption http://eprint.iacr.org/2009/257 Архивная копия от 3 февраля 2019 на Wayback Machine
↑ Sashank Dara, Scott Fluhrer. Flexible Naor and Reingold (неопр.). Cisco Systems Inc. Дата обращения: 6 декабря 2015. Архивировано 16 октября 2014 года.
↑ Special Publication 800-38G, DRAFT Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption, Архивировано 4 декабря 2015, Дата обращения: 1 декабря 2015
↑ NIST Block Cipher Modes Development, Архивировано 2 апреля 2013, Дата обращения: 1 декабря 2015

[1] John Black and Phillip Rogaway, Ciphers with Arbitrary Domains, Proceedings RSA-CT, 2002, pp. 114—130. http://citeseer.ist.psu.edu/old/black00ciphers.html Архивная копия от 16 декабря 2009 на Wayback Machine (http://www.cs.ucdavis.edu/~rogaway/papers/subset.pdf Архивная копия от 23 октября 2020 на Wayback Machine)

[2] Jacques Patarin, Luby-Rackoff: 7 Rounds Are Enough for 2^n(1-epsilon) Security, Proceedings of CRYPTO 2003, Lecture Notes in Computer Science, Volume 2729, Oct 2003, pp. 513—529. http://www.iacr.org/archive/crypto2003/27290510/27290510.pdf Архивная копия от 3 марта 2016 на Wayback Machine; also Jaques Patrin: Security of Random Feistel Schemes with 5 or more Rounds. http://www.iacr.org/archive/crypto2004/31520105/Version%20courte%20Format%20Springer.pdf Архивная копия от 24 сентября 2015 на Wayback Machine

[3] FIPS 74, Federal Information Processing Standards Publication 1981 Guidelines for Implementing and Using the NBS Data Encryption Standard Архивированная копия (неопр.). Дата обращения: 14 июня 2009. Архивировано 3 января 2014 года.

[4] Peter Gutmann, «Encrypting data with a restricted range of values», 23 January 1997, http://groups.google.com/group/sci.crypt/browse_thread/thread/6caf26496782e359/e576d7196b6cdb48 Архивная копия от 9 ноября 2012 на Wayback Machine

[5] Michael Brightwell and Harry Smith, "Using Datatype-Preserving Encryption to Enhance Data Warehouse Security, Proceedings of the 1997 National Information Systems Security Conference Архивированная копия (неопр.). Дата обращения: 7 июля 2009. Архивировано 19 июля 2011 года.

[6] Mihir Bellare and Thomas Ristenpart, Format-Preserving Encryption http://eprint.iacr.org/2009/251 Архивная копия от 4 августа 2020 на Wayback Machine

[7] Ulf Mattsson, Format Controlling Encryption Using Datatype Preserving Encryption http://eprint.iacr.org/2009/257 Архивная копия от 3 февраля 2019 на Wayback Machine

[8] Sashank Dara, Scott Fluhrer. Flexible Naor and Reingold (неопр.). Cisco Systems Inc. Дата обращения: 6 декабря 2015. Архивировано 16 октября 2014 года.

[9] Special Publication 800-38G, DRAFT Recommendation for Block Cipher Modes of Operation: Methods for Format-Preserving Encryption, Архивировано 4 декабря 2015, Дата обращения: 1 декабря 2015

[10] NIST Block Cipher Modes Development, Архивировано 2 апреля 2013, Дата обращения: 1 декабря 2015

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

Симметричные криптосистемы
Потоковые шифры	A3 A5 A8 Decim F-FCSR Grain HC-256 KCipher-2 MICKEY MUGI PIKE Phelix RC4 Rabbit SEAL SNOW SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Сеть Фейстеля	ГОСТ 28147-89 (Магма) Blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Cobra DEAL DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 SEED Simon Sinople Skipjack SM4 Speck TEA XTEA XXTEA Raiden RTEA Triple DES Twofish
SP-сеть	Кузнечик 3-WAY ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing BassOmatic BelT CRYPTON Diamond2 Grand Cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer Present Rainbow SAFER SHARK SQUARE Serpent Threefish
Другие	FROG NUSH REDOC SC2000 SHACAL CS-Cipher

Хеш-функции
Общего назначения	Adler-32 CRC Контрольная сумма Флетчера FNV MurmurHash2 MurmurHash2A MurmurHash3 PJW-32 TTH-Дерево хешей Jenkins hash Хеш-сумма
Криптографические	ГОСТ Р 34.11-94 Стрибог BelT BLAKE Blue Midnight Wish CubeHash ECHO Edonkey2k FSB Fugue Grøstl HAVAL Hamsi JH Kupyna LM-хеш Luffa MASH-1 MD2 MD4 MD5 MD6 N-Hash RIPEMD-128 RIPEMD-160 RIPEMD-256 RIPEMD-320 SHA-1 SHA-2 SHA-3 (Keccak) SHABAL SHAvite-3 SIMD SWIFFT Skein Snefru Tiger Whirlpool
Функции формирования ключа	bcrypt PBKDF2 scrypt Argon2 Lyra2
Контрольное число (сравнение)	Контрольная сумма Алгоритм Верхуффа Алгоритм Дамма Алгоритм Луна Штрих-код Банковских счетов Банковских карт ISIN СНИЛС ОКПО ИНН ОКАТО ISBN ОГРН и ОГРНИП VIN
Применение хешей	Сравнение контрольных чисел Коллизия хеш-функции Протоколы аутентификации Сравнение штрихкодов Криптография Magnet-ссылка Подпись Меркла ed2k URN

Шифрование, сохраняющее формат

Содержание

Зачем нужно FPE[править | править код]

Ограниченные длины поля или форматы[править | править код]

Генерация псевдослучайных чисел[править | править код]

Сравнение с действительно случайными перестановками[править | править код]

Сравнение с блочным шифрованием[править | править код]

Определение безопасности для FPE[править | править код]

Алгоритмы FPE[править | править код]

FPE конструкции Блэка и Рогавэя[править | править код]

FPE на основе prefix-шифра[править | править код]

FPE из cycle walking[править | править код]

FPE на основе сети Фейстеля[править | править код]

Другие FPE-конструкции[править | править код]

Принятие FPE-алгоритмов государственными стандартами[править | править код]

Примечания[править | править код]

Навигация

Шифрование, сохраняющее формат

Зачем нужно FPE[править | править код]

Ограниченные длины поля или форматы[править | править код]

Генерация псевдослучайных чисел[править | править код]

Сравнение с действительно случайными перестановками[править | править код]

Сравнение с блочным шифрованием[править | править код]

Определение безопасности для FPE[править | править код]

Алгоритмы FPE[править | править код]

FPE конструкции Блэка и Рогавэя[править | править код]

FPE на основе prefix-шифра[править | править код]

FPE из cycle walking[править | править код]

FPE на основе сети Фейстеля[править | править код]

Другие FPE-конструкции[править | править код]

Принятие FPE-алгоритмов государственными стандартами[править | править код]

Примечания[править | править код]

Навигация

Поиск