ские операции над небольшими группами битов и мог быть довольно эффективно реализован в аппаратуре.

NBS попросило NSA помочь оценить безопасность алгоритма и определить, подходит ли он для использов а-ния в качестве федерального стандарта. IBM уже получила патент [514], но желала сделать свою интеллект у-альную собственность доступной для производства, реализации и использования другими компаниями. В конце концов, NBS и IBM выработали соглашение, по которому NBS получало неисключительную, бесплатную л и-цензию изготавливать, использовать и продавать устройства, реализующие этот алгоритм.

Наконец, 17 марта 1975 года в Federal Register NBS опубликовало и подробности алгоритма, и заявление IBM о предоставлении неисключительной, бесплатной лицензии на алгоритм, а также предложило присылать комментарии по поводу данного алгоритма [536]. В другой заметке в Federal Register, 1 августа 1975 года, различным организациям и широкой публике снова предлагалось прокомментировать предложенный алгоритм.

И комментарии появились [721, 497, 1120). Многие настороженно относились к участию "невидимой руки" NSA в разработке алгоритма. Боялись, что NSA изменит алгоритм, вставив в него потайную дверцу. Жалов а-лись, что NSA уменьшило длину ключей с первоначальных 128 битов до 56 (см. раздел 13.1). Жаловались на внутренние режимы работы алгоритма. Многие соображения NSA стали ясны и понятны в начале 90-х, но в 70-х они казались таинственными и тревожными.

В 1976 году NBS провело два симпозиума по оценке предложенного стандарта. На первом обсуждались м а-тематика алгоритма и возможность потайной дверцы [1139]. На втором - возможности увеличения длины ключа алгоритма [229]. Были приглашены создатели алгоритма, люди, оценивавшие алгоритм, разработчики аппар а-туры, поставщики, пользователи и критики. По всем отчетам симпозиумы были весьма ожи вленными [1118].

Несмотря на критику Стандарт шифрования данных DES 23 ноября 1976 года был принят в качестве фед е-рального стандарта [229] и разрешен к использованию на всех несекретных правительственных коммуникац и-ях. 0фициальное описание стандарта, FIPS PUB 46, "Data Encryption Standard", было опубликовано 15 января 1977 года и вступило в действие шестью месяцами позже [1140]. FIPS PUB 81, " Modes of DES Operation" (Режимы работы DES), было опубликовано в 1980 году [1143]. FIPS PUB 74, "Guidelines for Implementing and Using the NBS Data Encryption Standard" (Руководство по реализации и использованию Стандарта шифрования данных NBS), появилось в 1981 году [1142]. NBS также опубликовало FIPS PUB 112, специфицируя DES для шифрования паролей [1144], и FIPS PUB 113, специфицируя DES для проверки подлинности компьютерных данных [1145]. (FIPS обозначает Federal Information Processing Standard.)

Эти стандарты были беспрецедентными. Никогда до этого оцененный NSA алгоритм не был опубликован. Возможно эта публикация была следствием непонимания, возникшего между NSA и NBS. NSA считало, что DES будет реализовываться только аппаратно. В стандарте требовалась именно аппаратная реализация, но NBS опубликовало достаточно информации, чтобы можно было создать и программную реализацию DES. Не для печати NSA охарактеризовало DES как одну из своих самых больших ошибок. Если бы Агентство предполаг ало, что раскрытые детали позволят писать программное обеспечение, оно никогда бы не согласилось на это. Для оживления криптоанализа DES сделал больше, чем что-либо другое. Теперь для исследования был доступен алгоритм, который NSA объявило безопасным. Не случайно следующий правительственный стандарт алгори т-ма, Skipjack (см. раздел 13.12.), был засекречен.

Принятие стандарта

Американский национальный институт стандартов (American National Standards Institute, ANSI) одобрил DES в качестве стандарта для частного сектора в 1981 году (ANSI X3.92.) [50], назвав его Алгоритмом шифр о-вания данных (Data Encryption Algorithm, DEA). ANSI опубликовал стандарт режимов работы DEA (ANSI X3.106) [52], похожий на документ NBS, и стандарт для шифрования в сети, использующий DES (ANSI X3.105)

[51].

Две другие группы внутри ANSI, представляющие банковские операции при розничной и оптовой торговле, разработали свои стандарты на основе DES. Банковские операции при розничной торговле включают транза к-ции между финансовыми организациями и отдельными личностями, а банковские операции при оптовой то р-говле включают транзакции между финансовыми организациями.

Рабочая группа ANSI по безопасности финансовых организаций при розничной торговле разработала ста н-дарт для управления PIN-кодами и их безопасностью (ANSI X9.8) [53] и другой использующий DES стандарт для проверки подлинности финансовых сообщений о розничных продажах (ANSI X9.19) [56]. Эта группа ра з-работала и проект стандарта для безопасного распределения ключей (ANSI X9.2.4) [58].

Рабочая группа ANSI по безопасности финансовых организаций при оптовой торговле разработала свой со б-ственный набор стандартов для проверки подлинности сообщений (ANSI X9.9) [54], управления ключами (ANSIX9.17) [55, 1151], шифрования (ANSIX9.2.3) [57] и безопасной проверки подлинности личностей и узлов

(ANSI X9.26) [59].

Американская ассоциация банкиров разрабатывает необязательные стандарты для финансовой индустрии.

Они опубликовали стандарт, рекомендующий DES для шифрования [1], и другой стандарт для управления криптографическими ключами [2].

До появления в 1987 году Акта о компьютерной безопасности (Computer Security Act) the за разработку ф е-деральных стандартов в области телекоммуникаций отвечала Администрация общих служб (General Services Administration, CSA), а с этого момента ответственность перешла к NIST. CSA опубликовала три стандарта, использующих DES: два для требований к общей безопасности и возможности взаимодействия (Федеральный стандарт 1026 [662] и Федеральный стандарт 1027 [663]) и один для факс-аппаратов Group 3 (Федеральный

стандарт 1028 [664]).

Казначейство издало стратегические директивы, требующие, чтобы подлинность всех сообщений о переводе электронных финансов удостоверялась с помощью DES [468, 470]. Оно также разработало основанный на DES критерий, которому должны удовлетворять все устройства проверки подлинности [469].

ISO сначала проголосовала за введение DES, называемого в ее интерпретации DEA-1, в качестве междун а-родного стандарта, а затем приняла решение не заниматься стандартизацией криптографии. Однако в 1987 году группа ISO, занимающаяся международными стандартами в области оптовой торговли, применила DES в ме ж-дународном стандарте проверки подлинности [758] и для управления ключами [761]. DES также используется в качестве австралийского банковского стандарта [1497].

Проверка и сертификация оборудования DES

Частью стандарта DES является проверка NIST реализаций DES. Эта проверка подтверждает, что реализ а-ция соответствует стандарту. До 1994 года NIST проверял только аппаратные и программно-аппаратные реал и-зации - пока стандарт запрещал программные реализации. На март 1995 года 73 различных реализации были признаны соответствующими стандарту.

NIST также разработал программу сертификации устройств проверки подлинности на соответствие ANSI X9.9 и FIPS 113. На март 1995 года было сертифицировано 33 различных продукта. Казначейство использует свою собственную дополнительную процедуру сертификации. У NIST также есть программа проверки аппар а-туры на соответствие ANSI X9.17 для управления ключами при оптовой торговле [1151], На март 1995 года было сертифицировано четыре продукта.

1987

В стандарте DES было оговорено, что он будет пересматриваться каждые пять лет. В 1983 DES был повто р-но сертифицирован без всяких проблем. 6 марта 1987 года в Federal Register NBS попросило прокомментир о-вать предложение на следующие пять лет. NBS предложило на обсуждение следующие три альтернативы [1480, 1481]: вновь подтвердить стандарт на следующие пять лет, отказаться от стандарта или пересмотреть примен и-мость стандарта.

NBS и NSA пересмотрели стандарт. В этот раз NSA было задействовано в большей степени. Благодаря по д-писанной Рейганом директиве NSDD-145 NSA получило право вето по отношению к деятельности NBS в обла с-ти криптографии. Первоначально NSA объявило, что оно не сертифицирует стандарт повторно. Проблема была не в том, что DES действительно был взломан, и даже не в том, что он, может быть, был взломан. По видим ому, предполагалось, что он вот-вот будет взломан.

Само по себе NSA предложило Программу коммерческой подписи COMSEC (Commercial COMSEC Endorsement Program, CCEP), которая по сути представляла собой набор алгоритмов для замены DES [85]. Эти разработанные NSA алгоритмы не были опубликованы и были доступны только в виде защищенных от взлома СБИС (см. раздел 25.1).

Это предложение не было принято. Было отмечено, что DES широко используется в бизнесе (особенно в ф и-нансах), и что приемлемой альтернативы не существует. Отказ от стандарта оставил бы многие организации без защиты данных. После длительных споров DES был вновь утвержден в качестве правительственного стандарта США до 1992 года [1141]. NBS решило, что DES никогда больше не будет сертифицирован снова [1480].

1993

Никогда не говори "никогда". В 1992 году альтернативы алгоритму DES все еще не б1ло. NBS, называемый теперь NIST, снова в Federal Register предложило пр окомментировать DES [540]:

Цель этого предложения состоит в том, чтобы объявить о предстоящем оценивании адекватности стандарта задаче защ и-ты компьютерных данных на современном уровне. Промышленности и широкой публике предлагаются три следующих вар и-анта решения для FIPS 46-1. Комментарии должны содержать стоимость (последствия) и преимущества этих вариа нтов:

-Повторно принять стандарт на следующие пять (5) лет. Национальный институт стандартов и технологии продолжит

сертификацию аппаратуры, реализующей стандарт. FIPS 46-1 будет и дальше оставаться единственным признанным м е-

тодом защиты несекретных компьютерных данных.

-Отказаться от стандарта. Национальный институт стандартов и технологии больше не будет поддерживать стандарт.

0рганизации могут продолжать использовать существующую аппаратуру, реализующую стандарт. Заменяя DES, NIST издаст другие стандарты.

-Пересмотреть положения стандарта о применимости и/или провести ревизию реализации. Такая ревизия должна включать изменения стандарта, позволяющие использовать как аппаратные, так программные и реализации DES, и с-пользовать DES итеративно в определенных приложениях, использовать альтернативные алгоритмы, признанные и зар е-гистрированные NIST.

Срок принятия предложений истек 10 декабря 1992 года. Согласно Рэймонду Каммеру (Raymond Kammer), в то время директору NIST [812]:

В прошлом году NIST формально предложило присылать комментарии по поводу повторной сертификации DES. Ра с-смотрев присланные предложения и другие технические источники, я собираюсь рекомендовать министру торговли, чтобы он повторно сертифицировал DES еще на пять лет. Я также собираюсь предложить министру, чтобы, объявляя о повторной сертификации, мы сформулировали наши намерения рассмотреть в течение этих пяти лет возможные альтернативы. Делая подобное заявление, мы надеемся дать людям возможность высказаться по поводу предстоящих технологических изменений. В то же время, нам нужно учитывать большое количество систем, использующих этот одобренный ста ндарт.

Несмотря на то, что Управление оценки технологий ссылалось на слова работавшего в NIST Денниса Бра н-стида (Dennis Branstead) от том, что полезное время жизни DES закончится в конце 90-х [1191], алгоритм был сертифицирован повторно на следующие пять лет [1150]. Наконец было разрешено сертифицировать и пр о-граммные реализации DES. Хотелось бы знать, что случится в 1998 году?

12.2 Описание DES

DES представляет собой блочный шифр, он шифрует данные 64-битовыми блоками. С одного конца алг о-ритма вводится 64-битовый блок открытого текста, а с другого конца выходит 64-битовый блок шифротекста. DES является симметричным алгоритмом: для шифрования и дешифрирования используются одинаковые алг о-ритм и ключ (за исключением небольших различий в использовании ключа).

Длина ключа равна 56 битам. (Ключ обычно представляется 64-битовым числом, но каждый восьмой бит используется для проверки четности и игнорируется. Биты четности являются наименьшими значащими битами байтов ключа.) Ключ, который может быть любым 56-битовым числом, можно изменить в любой момент вр е-мени. Ряд чисел считаются слабыми ключами, но их можно легко избежать. Безопасность полностью определ я-ется ключом.

На простейшем уровне алгоритм не представляет ничего большего, чем комбинация двух основных методов шифрования: смещения и диффузии. Фундаментальным строительным блоком DES является применение к те к-сту единичной комбинации этих методов (подстановка, а за ней - перестановка), зависящей от ключа. Такой блок называется этапом. DES состоит из 16 этапов, одинаковая комбинация методов применяется к открытому тексту 16 раз (см. 11-й).