ГОСТ и легковесная криптография

В последнее время активно развивается такое направление, как легковесная (lightweight) криптография. Основная задача этого направления — это проектирование и реализация криптографических алгоритмов для устройств с небольшой вычислительной мощностью, таких как смарт-карты, сенсоры, RFID-метки. Реализации бывают аппаратные — это интегральные схемы (ASIC), и программные — это код для программируемых микроконтроллеров.

Основные цели легковесной криптографии — это минимизация ресурсов, необходимых для реализации алгоритма, при сохранении его стойкости и скорости работы. Под ресурсами подразумеваются размер устройства, потребляемая им мощность и его стоимость (в случае программной реализации это будут параметры используемого микроконтроллера). При таких условиях в большинстве случаев аппаратные реализации по всем параметрам превосходят программные, поэтому остановимся именно на них.

Проектирование легковесной аппаратной реализации по большей части заключается в нахождении оптимального баланса между всеми параметрами следующей схемы.

Параметры аппаратной реализации, то есть интегральной схемы, во многом определяются площадью, занимаемой схемой на кристалле кремния. Чем меньше площадь – тем меньше размеры и стоимость. Но эта величина сильно зависит от технологий, используемых производителем. Поэтому в качестве основной характеристики аппаратной реализации в легковесной криптографии используется gate equivalents (GE). Эта характеристика показывает, сколько элементов NAND ("И-НЕ") можно разместить на площади, занимаемой заданной схемой. Следовательно, чем меньше количество GE, тем меньше площадь схемы, а значит лучше ее параметры.

Теперь перейдем непосредственно к аппаратной легковесной реализации алгоритма ГОСТ 28147-89. Определяющим свойством алгоритма в данном случае является простая процедура получения раундовых ключей. Это свойство позволяет достичь хороших показателей аппаратной реализации. В работе при использовании 8 одинаковых узлов замены из шифра PRESENT достигается 650 GE и 800 GE при использовании таблицы замены TestParamSet.

Таким образом, для легковесной реализации ГОСТ 28147-89 полезным оказывается тот же набор свойств алгоритма, что и при использовании GPU и векторных расширений CPU. И этот набор свойств помогает добиться хороших параметров аппаратной реализации алгоритма таких, как маленький размер, малая потребляемая мощность и низкая стоимость. Все это позволяет эффективно использовать ГОСТ 28147-89 в смарт-картах, сенсорах, RFID-метках.

Подведем итоги

С точки зрения создания эффективных реализаций алгоритм ГОСТ 28147-89 обладает целым рядом преимуществ. Во-первых, это простое ключевое расписание. Во-вторых, это использование 4-битовых узлов замены, которые в программных реализациях хорошо осуществляются с помощью векторных инструкций, а в аппаратных требуют крайне мало ресурсов. И в-третьих, это простое раундовое преобразование в целом, которое хорошо ложится как на программные, так и на аппаратные реализации. При этом алгоритм до сих пор обладает колоссальным с точки зрения практики запасом прочности, о чем мы писали в нашей предыдущей статье. А с помощью небольшой модификации ключевого расписания, предложенной в работе, можно исключить возможность осуществления даже теоретических атак (методы Исобе и Динура-Данкельмана-Шамира).