IDEA

International Data Encryption Algorithm (בראשי תיבות: IDEA) הוא צופן בלוקים סימטרי שהוצע ב-1991 על ידי ג'יימס מסי מהמכון הטכנולוגי של ציריך ו-Xuejia Lai מאוניברסיטת ג'יאו טונג שאנגחאי^[1] כדי להוות מחליף ראוי ל-DES הוותיק. הצופן פועל על בלוק קלט באורך 64 סיביות, עם מפתח באורך 128 סיביות והוא מבוסס על הקונספט "שילוב פעולות מחבורות אלגבריות שונות". הצופן הומלץ על ידי מומחים וההתקפה היעילה ביותר כנגדו היא בסיבוכיות של $2^{126}$ בערך – קצת פחות מכוח גס. חסרונותיו העיקריים, בלוק המידע הוא רק 64 סיביות (כלומר סיבוכיות מקום נמוכה ביחס לדרישת התקן המתקדם – 128 סיביות לפחות) וכן קצת איטי ביישום הן בתוכנה והן בחומרה. זמינותם של אלגוריתמים חדשים, מהירים ובטוחים יותר הותירה את IDEA מאחור, אם כי עדיין נתמך בפועל במערכות אבטחה רבות כולל PGP ו-OpenSSL. השם IDEA הוא סימן רשום ונרשם כפטנט שתוקפו פג ב-2012 וכעת חופשי לשימוש.

IDEA הוא מעין שילוב של רשת החלפה-תמורה עם רשת פייסטל ובמקום תיבות החלפה מנצל פעולות אריתמטיות בשלוש חבורות אלגבריות שונות על תת-בלוקים בגודל 16 סיביות, להשגת פיזור (Diffusion) מהיר וערבוב (Confusion) גבוה. פיזור נחוץ להבטיח שכל סיבית טקסט גלוי וכל סיבית מפתח, ישפיעו על כל סיביות הטקסט המוצפן במידה שווה. ערבוב מטשטש את הקשר בין הטקסט המוצפן לטקסט הגלוי והמפתח. רשת פייסטל בנויה כך שהצפנה ופענוח ייעשו באמצעות אותה פונקציה עם מפתח שונה (להלן). ידוע על מפתחות הצפנה "חלשים" של IDEA שלא מומלץ להשתמש בהם (כגון אם הייצוג הבינארי מכיל רצף ארוך של אפסים), בפועל אם המפתח נבחר באקראי הסיכוי נמוך ביותר שיבחר מפתח חלש, מלבד זאת קיימות טכניקות למנוע זאת.

תיאור הצופן[עריכת קוד מקור | עריכה]

תהליך ההצפנה מורכב משמונה סבבים של פעולות אריתמטיות וטרנספורמציה מסיימת (ראו שורה אחרונה בפסאודו קוד). האלגוריתם מקבל בלוק קלט בגודל 64 סיביות, מחולק לארבעה מקטעים בני 16 סיביות כל אחד $X_{1},...,X_{4}$ ומפיק ארבעה בלוקים $Y_{1},...,Y_{4}$ בסיוע 52 תת-מפתחות $Z_{1},...,Z_{52}$ המחולקים כדלהלן: שישה תת-מפתחות עבור כל סבב כפול שמונה סבבים המסומנים $Z_{1}^{(r)},...,Z_{6}^{(r)}$ כאשר $r=1,..,8$ מייצג את מספר הסבב. וארבעה נוספים עבור הפעולה המסיימת המסומנים $Z_{1}^{(9)},Z_{2}^{(9)},Z_{3}^{(9)},Z_{4}^{(9)}$ . בכל סבב מתבצע צירוף של סדרת פעולות אריתמטיות:

מיפוי סיביות בשדה בינארי מורחב $F_{2^{n}}$ מעל $F_{2}$ עם פעולת XOR המסומן בסמל $\oplus$ .
חיבור שלמים מודולו $2^{16}$ (חבורה חיבורית $Z_{2^{16}}$ ), המסומן ב- $\boxplus$ .
כפל שלמים מודולו $2^{16}+1$ (חבורה כפלית $Z_{2^{16}+1}$ ) ומסומן בקיצור $\odot$ . זהו כפל מודולרי רגיל למעט הכלל שמחרוזת 16 אפסים מייצגת את הערך $2^{16}$ (כזכור לא ניתן לייצג את $2^{16}$ ב-16 סיביות, על כן סיבית 1 הגבוהה מרומזת) לדוגמה ${\mbox{00...00}}\cdot {\mbox{10...00}}={\mbox{10...01}}$ בגלל ש- $2^{16}\cdot 2^{15}{\mbox{ mod }}(2^{16}+1)=2^{15}+1$ .

פסאודו קוד[עריכת קוד מקור | עריכה]

מבצעים בלולאה שמונה סבבים (שימו לב שהאינדקס מתחיל באחד ולא באפס. $Z_{i}^{(r)}$ מייצג את ערך המפתח בכניסה $i$ במפתח-סבב $r$ במערך הדו-ממדי):

${\text{For }}r=1{\text{ to }}8{\text{ do }}$ ${\text{For }}r=1{\text{ to }}8{\text{ do }}$
1. $X_{1}=X_{1}\odot Z_{1}^{(r)}$ , $\quad$ $\quad$ $X_{2}=X_{2}\odot Z_{2}^{(r)}$ .
2. $X_{3}=X_{3}\boxplus Z_{3}^{(r)}$ , $\quad$ $\quad$ $X_{4}=X_{4}\boxplus Z_{4}^{(r)}$ .
3. $k=Z_{5}^{(r)}\odot (X_{1}\oplus X_{3})$
4. $t_{1}=Z_{6}^{(r)}\odot k\boxplus (X_{2}\oplus X_{4})$
5. $t_{2}=k\boxplus t_{1}$
6. $a=X_{1}\oplus t_{1}$ , $\quad$ $\quad$ $x_{1}=X_{3}\oplus t_{1}$ , $\quad$ $\quad$ $X_{3}=a$
7. $a=X_{2}\oplus t_{2}$ , $\quad$ $\quad$ $x_{2}=X_{4}\oplus t_{2}$ , $\quad$ $\quad$ $X_{4}=a$
$Y_{1}=X_{1}\cdot Z_{1}^{(9)}$ , $\quad$ $\quad$ $Y_{2}=X_{2}\cdot Z_{2}^{(9)}$ , $\quad$ $Y_{3}=X_{3}\boxplus Z_{3}^{(9)}$ , $\quad$ $\quad$ $Y_{4}=X_{4}\boxplus Z_{4}^{(9)}$

תהליך הכנת מפתחות[עריכת קוד מקור | עריכה]

המפתח המורחב כולל מערך של 52 מילים בגודל 16 סיביות כל אחת (סך הכול 832 סיביות). תהליך ההכנה בהצעה המקורית הוא כדלהלן: תחילה 128 סיביות המפתח הראשוני המסופק על ידי המשתמש מחולקות לשמונה קבוצות של 16 סיביות כל אחת, אותם מציבים בשמונה הכניסות הראשונות לפי הסדר, מבצעים הזזה מעגלית של 128 סיביות המפתח 25 פוזיציות שמאלה ואת התוצאה מציבים בשמונה הכניסות הבאות, שוב מזיזים בהזזה מעגלית 25 פוזיציות ואת התוצאה בכניסות הבאות וכן הלאה, שש פעמים עד להשלמת 48 כניסות ואז מבצעים הזזה נוספת ומשלימים את ארבע הכניסות האחרונות בחלק מהתוצאה. להלן ניסוח פורמלי של תהליך הכנת מפתח (שונה במעט מהתיאור המקורי):

תחילה מכינים מערך נלווה $S_{0},...,S_{54}$ , בשמונה הכניסות הראשונות מציבים את המפתח המסופק על ידי המשתמש ואז עבור היתר, מבצעים לולאה $i=8,...,54$ כדלהלן:
אם $(i+2)$ מתחלק ב- $8$ מציבים: $S_{i}=(S_{i-7}{\mbox{ ROL}}_{9})\oplus (S_{i-14}{\mbox{ ROR}}_{7})$ .
אחרת, אם $(i+1)$ מתחלק ב- $8$ מציבים: $S_{i}=(S_{i-15}{\mbox{ ROL}}_{9})\oplus (S_{i-14}{\mbox{ ROR}}_{7})$ .
ביתר המקרים מציבים: $S_{i}=(S_{i-7}{\mbox{ ROL}}_{9})\oplus (S_{i-6}{\mbox{ ROR}}_{7})$ .
מבצעים לולאה אחרונה שבה מעבירים את הערכים ל- $Z$ כאשר האינדקסים הם $r=1,...,9$ ו- $j=1,...,6$ :

Z_{j,r}=S_{6\cdot (r-1)+j-1}

הפעולות ROR ו-ROL הן הזזה מעגלית בסיביות ימינה או שמאלה בהתאמה במספר פוזיציות לפי המציין התחתי.

פענוח[עריכת קוד מקור | עריכה]

לפענוח תחילה מחשבים את 52 מפתחות הפענוח מתוך מפתחות ההצפנה באמצעות חישוב המספרים ההופכיים שלהם. כלומר $Z^{-1}$ מייצג הופכי כפלי של $Z$ מודולו $2^{16}+1$ כך שמתקיים $Z\cdot Z^{-1}\equiv 1{\mbox{ (mod }}2^{16}+1)$ וכן $-Z$ הוא הופכי חיבורי או המשלים של $Z$ מודולו $2^{16}$ (במקרה זה המשלים יהיה $2^{16}-Z$ ). ההופכי של XOR נותר זהה. לצורך המחשה אם מפתחות הסבב הם $Z_{1}^{(r)},Z_{2}^{(r)},Z_{3}^{(r)},Z_{4}^{(r)},Z_{5}^{(r)},Z_{6}^{(1)}$ מפתחות הפענוח המקבילים להם יהיו ${Z_{1}^{(r)}}^{-1},{Z_{2}^{(r)}}^{-1},-Z_{3}^{(r)},-Z_{4}^{(r)},Z_{5}^{(r)},Z_{6}^{(r)}$ (שני האחרונים מייצגים XOR לכן הם הופכיים של עצמם) – בסדר הפוך, דהיינו תחילה ארבעת המפתחות המקבילים לטרנספורמציה האחרונה המסומנים 9 ולאחר מכן 48 המפתחות הנותרים בסדר הפוך, שישה עבור כל סבב. ואז הפענוח מתבצע באופן זהה להצפנה (בפסאודו-קוד לעיל). הכנת מפתח הפענוח בניסוח פורמלי מתוארת להלן, כאשר DK מייצג את מפתח הפענוח (decryption key). מבצעים תשעה סבבים כדלהלן:

${\text{For }}j=1{\text{ to }}9{\text{ do }}$ ${\text{For }}j=1{\text{ to }}9{\text{ do }}$
1. $DK_{1}^{(10-j)}={Z_{1}^{(j)}}^{-1}$
2. $DK_{2}^{(10-j)}={Z_{2}^{(j)}}^{-1}$
3. $DK_{3}^{(10-j)}=2^{16}-Z_{3}^{j}$
4. $DK_{4}^{(10-j)}=2^{16}-Z_{4}^{j}$
5. $DK_{5}^{(9-j)}=Z_{5}^{(j)}$
6. $DK_{6}^{(9-j)}=Z_{6}^{(j)}$

ביטחון האלגוריתם[עריכת קוד מקור | עריכה]

הצופן אינו עושה שימוש בתיבות החלפה (S-box) אלא תחת זאת שילוב פעולות אלגבריות בחבורות שונות. פעולות אילו נבחרו בשל היחס הסטטיסטי בין המשתנים $X,Y,Z$ בפעולה $Y=X*Z$ עם תכונת סודיות מושלמת, כלומר שאם אחד מהמשתנים נבחר באקראי במידה שווה מתוך כל איברי החבורה אזי שני המשתנים האחרים יהיו בלתי תלויים סטטיסטית. מבנה הצופן נקרא מבנה כפל-חיבור בקיצור מבנה MA (כמתואר בתרשים).

האינטראקציה בין סוגים שונים של פעולות בחבורות מניבה את הערבוב (Confusion) הדרוש. השילוב נעשה באופן שבכל קבוצה של שלוש פעולות אלגבריות לא תתקיים דיסטריבוטיביות או אסוציאטיביות. למשל אפשר לראות שאם מציבים $a=b=c=1$ בשתי המשוואות הבאות החוקים האמורים אינם מתקיימים:

a\boxplus (b\odot c)\neq (a\boxplus b)\odot (a\boxplus c)

a\boxplus (b\oplus c)\neq (a\boxplus b)\oplus c

לפי טענת המפתחים האלגוריתם מעוצב כדי להתמודד מול איום קריפטואנליזה דיפרנציאלית. נכון ל-2007 ההתקפה הטובה ביותר כנגד האלגוריתם הייתה בסיבוכיות של $2^{126.8}$ עם $2^{64}$ טקסטים גלויים. למרות היותו איטי מספק האלגוריתם ביטחון טוב יותר בהשוואה ל-DES אולם חלש יחסית לאלגוריתמים חדשים דוגמת AES או Twofish. העובדה שגודל הבלוק הוא רק 64 סיביות מעיבה מעט על ביטחונו.

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

^ A Proposal for a New Block Encryption Standard

[1] A Proposal for a New Block Encryption Standard

[1]

	ערך מחפש מקורות
	רובו של ערך זה אינו כולל מקורות או הערות שוליים, וככל הנראה, הקיימים אינם מספקים. אנא עזרו לשפר את אמינות הערך באמצעות הבאת מקורות לדברים ושילובם בגוף הערך בצורת קישורים חיצוניים והערות שוליים. אם אתם סבורים כי ניתן להסיר את התבנית, ניתן לציין זאת בדף השיחה.