ISAAC

Алгоритм шифрования RC4[2][3] состоит из двух этапов: генерации псевдослучайной последовательности битов и побитового суммирования по модулю два этой последовательности с открытым текстом.

На этапе генерации псевдослучайной последовательности важную роль играет n — размер S-блока, массива данных, который фактически определяет внутреннее состояние RC4. Также в RC4 используются следующие переменные: i и j — итераторы, пробегающие ${\displaystyle 2^{n}}$значений, массив Key длины length, в котором специальным образом хранится ключ, и массив S (он же S-блок). Выходные данные: массив z — псевдослучайная последовательность.

Рассмотрим алгоритм на примере n = 8. Сначала массив S заполняется числами от 0 до ${\displaystyle 2^{n}-1}$, массив Key — последовательностью n-битовых слов. Если длина ключа меньше длины S, то последовательность повторяется, пока её длина не станет равна ${\displaystyle 2^{n}}$. Затем алгоритм работает следующим образом:

i = 0; j = 0;
пока i < 256 //256 = 2^n
j = (j + S[i] + Key[i mod length]) mod 256;
поменять местами S[i] и S[j];
i++;

После этого этапа — этапа инициализации — следует этап собственно генерации псевдослучайной последовательности:

i = 0; j = 0;
пока i < 256 
j = (j + S[i]) mod 256;
поменять местами S[i] и S[j];
z[i] = S[(S[i] + S[j]) mod 256];
i++;

На выходе получается последовательность длины n, с помощью которой шифруется потом открытый текст.

IA (Indirection, Addition) — алгоритм, который был разработан Дженкинсом таким образом, чтобы он мог удовлетворять следующим требованиям[4]:

• невозможность получения внутреннего состояния по имеющимся выходным результатам;
• легко запоминающийся код;
• наибольшая возможная скорость;

Входные данные алгоритма IA: массив S, состоящий из ${\displaystyle 2^{n}}$ элементов от 0 до ${\displaystyle 2^{n}-1}$, случайным образом распределённых по массиву, итераторы i и j. Массив выходных данных z — результат работы алгоритма. Также значения ячеек в массиве — то есть длины слов — должны быть больше, чем ${\displaystyle 2*n}$ бит, Дженкинс в своих работах берёт K = 32 бит — именно такой длины слова используются во всех описываемых здесь алгоритмах.

IBAA (Indirection, Barrelshift, Accumulate and Add) — алгоритм, созданный Дженкинсом на основе IA. Автор полагает наличие следующих преимуществ у IBAA в дополнение к преимуществам, уже имеющимся у IA[5]:

• 

  Схематичное описание работы алгоритма IBAA
• Криптографическая защищённость
• По всей длине цикла не должны обнаруживаться смещения
• Короткие циклы должны встречаться невероятно редко

В отличие от RC4 и IA, работа IBAA основана на циклических сдвигах битовых данных влево. В реализации IBAA используется тот же набор переменных, что и в IA, с той лишь разницей, что добавляются аккумуляторы a и b, а также barrelshift function — функция, осуществляющая упомянутый выше циклический сдвиг.

barrel(j) — сдвигает циклически в массиве из 32 бит все биты влево на 19 бит. Также это можно задать формулой ${\displaystyle (j<<19)\oplus (j>>13)}$ , где

${\displaystyle \oplus }$ — побитовый XOR

Под операцией >> здесь подразумевается арифметический сдвиг вправо.

ISAAC (Indirection, Shift, Accumulate, Add and Count) — алгоритм псевдослучайных чисел, принцип работы которого труднее запомнить, чем принципы работы IA и IBAA, зато он имеет по сравнению с ними целый ряд преимуществ[6]. При проектировании ISAAC к нему был предъявлен следующий список требований:

• криптографическая стойкость;
• невозможность получения внутреннего состояния по имеющимся выходным результатам;
• отсутствие коротких циклов;
• отсутствие каких-либо тенденций в распределении бит на всем цикле;
• упорядоченные состояния должны быстро становиться хаотичными.

В отличие от большинства генераторов псевдослучайных чисел, в основе работы которых лежат потоковые шифры, ISAAC разработан без использования линейных регистров сдвига с обратной связью.

Среднее количество машинных инструкций, требуемых для получения 32-битного значения — 18,75. 64-битная версия ISAAC (ISAAC-64) требует 19 инструкций для получения одного 64-битного значения.

Так же, как и в предыдущих алгоритмах, в ISAAC есть массив S, определяющий внутреннее состояние системы, так же состоящий из случайно расположенных в массиве ${\displaystyle 2^{n}}$ элементов от 0 до ${\displaystyle 2^{n}-1}$ длины K бит, итератор i и три переменные a, b и c, отвечающие за предыдущие состояния генератора, массив выходных данных z той же длины, что и S. Однако помимо этих переменных здесь вводятся также переменные ${\displaystyle p_{0},p_{1},p_{2},p_{3}}$, которые определяют значение функции, зависящей от обоих итераторов:

${\displaystyle f(a,i)={\begin{cases}a<<p_{0},&{\text{if }}i\equiv 0{\text{ mod 4}}\\a>>p_{1},&{\text{if }}i\equiv 1{\text{ mod 4}}\\a<<p_{2},&{\text{if }}i\equiv 2{\text{ mod 4}}\\a>>p_{3},&{\text{if }}i\equiv 3{\text{ mod 4}}\end{cases}}}$.

В своей статье Дженкинс полагает ${\displaystyle p_{0}=13,p_{1}=6,p_{2}=2,p_{3}=16}$.

Схема работы генератора на произвольном шаге при n = 8, K = 32 выглядит следующим образом:

c = c + 1;
b = b + c;
i = 0;
пока i < 255
x = S[i];
a = f(a, i) + S[i + 128 mod 256];
S[i] = a + b + S[x>>2 mod 256];
z[i] = x + S[S[i]>>10 mod 256];
b = z[i];
i++;

В 2001 году была опубликована статья[7], в которой Марина Пудовкина описывала атаку, основанную на открытых текстах, с помощью которой можно найти начальное состояние генератора по небольшому сегменту выходных данных, а также давала точную оценку сложности такой атаки. При помощи описанного в статье алгоритма, Пудовкиной удалось снизить сложность взлома до ${\displaystyle T_{met}=2^{(2n+\theta _{2})(m-1)}(K-2n-\theta _{2}){\frac {2}{3}}m}$, в то время как сложность полного перебора ${\displaystyle T_{br}=2^{Km-1}}$[8]. По её расчётам, при ${\displaystyle m=256,n=8,K=32,p_{\theta }=13,p_{1}=6,p_{2}=2,p_{3}=16,\theta _{1}=\theta _{2}=2}$сложность взлома полным перебором равна ${\displaystyle T_{br}=5.91*10^{2446}}$, в то время как с помощью алгоритма Пудовкиной это число могло быть уменьшено до ${\displaystyle T_{met}=4.67*10^{1240}}$ . Такая сложность, тем не менее, всё ещё слишком большая, чтобы можно было назвать ISAAC уязвимым генератором псевдослучайных чисел, резюмирует в своей статье криптоаналитик.

В своей работе[9] 2006 года Омассон описывает четыре множества «слабых» начальных состояний ${\displaystyle W_{1},W_{2},W_{3},W_{4}}$, которые могут пересекаться между собой. Слабыми считаются такие состояния, для которых часть элементов случайны, а остальные элементы равны одному и тому же значению. Если ${\displaystyle \alpha }$ — начальное состояние, то ${\displaystyle W_{1}}$ можно определить с помощью соотношения: ${\displaystyle \alpha \in W_{1}\Longleftrightarrow \alpha _{0}=\alpha _{1}}$, тогда ${\displaystyle W_{2}}$ определяется как ${\displaystyle \alpha \in W_{2}\Longleftrightarrow \exists N\in \{2,...,256\},\exists X\in \{0,...,2^{32}-1\},\alpha _{0}=X,\{0<i<256,\alpha _{i}=X\}=N-1}$, множество ${\displaystyle W_{3}}$ — как ${\displaystyle \alpha \in W_{3}\Longleftrightarrow \exists N\in \{2,...,256\},\exists X\in \{0,...,2^{32}-1\},\forall i\in \{0,...,N-1\},\alpha _{i}=X}$, в то время как ${\displaystyle W_{4}}$ задаётся следующим образом: ${\displaystyle \alpha \in W_{4}\Longleftrightarrow \exists X\in \{0,...,2^{32}-1\},\forall i\in \{0,...,255\},\alpha _{i}=X}$. Автор рассматривал алгоритм ISAAC при тех же значениях, которые даны выше (то есть n = 8, K = 32) и вычислил для каждого из множеств число слабых состояний. Для ${\displaystyle W_{1}}$ это число составило ${\displaystyle 2^{8160}}$состояний, для ${\displaystyle W_{2}}$ — ${\displaystyle 2^{8167,99}}$ состояний, для ${\displaystyle W_{4}}$ — ${\displaystyle 2^{32}}$, ${\displaystyle W_{3}}$ же является подмножеством ${\displaystyle W_{2}}$. Наличие таких состояний ещё не говорит о том, что ISAAC можно легко взломать, однако они — потенциальные слабые места алгоритма, поэтому Омассон предложил модифицированную версию ISAAC — ISAAC+[10].

На вход на некотором шаге подаются те же, что и в ISAAC, числа a, b и c, массив S, составленный из 256 32-битных слов, на выходе — массив z той же размерности, что и S. В описании функции ${\displaystyle f(a,i)}$ вместо логических битовых сдвигов >> и << используются циклические >>> и <<<, то есть применяется функция

${\displaystyle f'(a,i)={\begin{cases}a<<<p_{0},&{\text{if }}i\equiv 0{\text{ mod 4}}\\a>>>p_{1},&{\text{if }}i\equiv 1{\text{ mod 4}}\\a<<<p_{2},&{\text{if }}i\equiv 2{\text{ mod 4}}\\a>>>p_{3},&{\text{if }}i\equiv 3{\text{ mod 4}}\end{cases}}}$

Также поменялся способ инициации S[i] и z[i] на каждом шаге — в обоих случаях используется побитовый XOR. То есть вместо

S[i] = a + b + S[x>>2 mod 256];
z[i] = x + S[S[i]>>10 mod 256];

в ISAAC+ используется:

S[i] = a ⊕ b + S[x>>>2 mod 256];
z[i] = x + a ⊕ S[S[i]>>>10 mod 256];

В том же 2006 году Пол и Прэнил опубликовали статью[11], в которой изучали атаку распознавания (англ. distinguishing attack) на некоторые потоковые RC4-подобные генераторы, в том числе IA и ISAAC. В своей работе они показывают, что сложность взлома ISAAC составляет всего ${\displaystyle T\approx 2^{17}}$[12]. Омассон не оставил без внимания эту атаку[13] и указал на ошибочность инициации алгоритма Полом и Пренилом, из-за которой и появилась возможность так сильно уменьшить сложность его взлома.