CRYPTREC – проект по выбору криптостандартов Японии

© Сергей Панасенко, 2008.

Название проекта CRYPTREC – это аббревиатура от Cryptography Research and Evaluation Committee, т. е. комитет по криптографическим исследованиям. CRYPTREC создан Правительством Японии в 2000 г. с целью исследования криптоалгоритмов и последующей рекомендации конкретных алгоритмов для использования в государственных и частных организациях.
Данный комитет является межведомственным, он создан следующими организациями:

• МВД Японии;
• Министерство Экономики, Торговли и Промышленности;
• Национальный Институт Информационных и Коммуникационных Технологий;
• Агентство по развитию информационных технологий.

Кроме того, в создании CRYPTREC и его работе принимали участие МИД Японии, Министерство Обороны, Министерство Финансов и ряд университетов Японии.

Цели и этапы CRYPTREC

При старте проекта перед ним ставились следующие основные цели:

• выбор криптографических алгоритмов для рекомендации к использованию;
• мониторинг текущих исследований по криптографии и криптоанализу с целью своевременной коррекции рекомендаций;
• действия по стандартизации выбранных криптоалгоритмов.

В соответствии с первой из перечисленных целей, в начале проекта был проведен конкурс по выбору криптоалгоритмов, на основе которых могли быть сформированы национальные криптостандарты. Сам конкурс проходил в несколько этапов весьма похоже на проходившие примерно в то же время аналогичные конкурсы по выбору стандарта шифрования США (конкурс AES) и по выбору криптостандартов Евросоюза (конкурс NESSIE). Таким образом, хронология проекта CRYPTREC выглядит так:

• в мае 2000 г. проект был создан;
• с июля 2000 г. по апрель 2001 г. производился сбор заявок от организаций-разработчиков криптоалгоритмов (или организаций-владельцев прав на алгоритмы) на участие в проекте;
• с мая 2001 г. по ноябрь 2002 г. авторитетными специалистами и научными институтами Японии участвующие в конкурсе алгоритмы досконально изучались; принимались в расчет и исследования, проведенные в рамках конкурсов AES и NESSIE, поскольку некоторые из алгоритмов-участников CRYPTREC участвовали и в этих конкурсах;
• с ноября 2002 г. по август 2003 г. эксперты проекта подводили итоги предыдущего этапа; в конце данного этапа был выпущен отчет по предыдущим этапам проекта, содержащий, в числе прочего, список рекомендуемых криптоалгоритмов;
• в августе 2003 г. начался самый большой этап проекта – этап мониторинга, который продолжается по настоящее время; данный этап будет описан ниже.

Технологии и алгоритмы, рассматриваемые в рамках проекта

В рамках конкурса, проводимого на первых этапах проекта CRYPTREC, рассматривались следующие криптографические технологии:

• алгоритмы симметричного шифрования;
• алгоритмы асимметричного шифрования;
• хэш-функции;
• алгоритмы электронной подписи;
• алгоритмы выработки общего ключа;
• криптографические генераторы псевдослучайных чисел.

По каждой из перечисленных категорий определялся набор исследуемых алгоритмов, которые отбирались по одному из трех критериев:

• алгоритмы, заявленные на конкурс их изобретателями или владельцами прав на алгоритм;
• «обязательные для изучения алгоритмы», к которым, по мнению экспертов проекта, относились текущие стандарты и широко используемые алгоритмы;
• «особенные» алгоритмы (алгоритмы регионального значения).

Рассмотрим перечень исследуемых алгоритмов более подробно на примере алгоритмов блочного симметричного шифрования (полный список рассматриваемых в проекте алгоритмов весьма обширен). На конкурс из алгоритмов данной категории были заявлены следующие:

• 64-битные (т. е. с 64-битным размером шифруемого блока данных):
  • Hierocrypt-L1 (разработан фирмой Toshiba, Япония);
  • MISTY1 (Mitsubishi Electric, Япония);
  • CIPHERUNICORN-E (NEC, Япония);
• 128-битные:
  • Camellia (разработан совместно компаниями Mitsubishi Electric и NTT, Япония);
  • CIPHERUNICORN-A (NEC, Япония);
  • Hierocrypt-3 (Toshiba, Япония);
  • RC6 (RSA, США);
  • SC2000 (разработан совместно компанией Fujitsu и Университетом г. Токио, Япония).

Стоит отметить, что все перечисленные выше алгоритмы, кроме RC6, разработаны в Японии. Мало того, алгоритм RC6 вскоре после начала конкурса был отозван его автором Рональдом Ривестом – на конкурсе в данной категории остались только японские алгоритмы. Нельзя сказать, что данный факт говорит о предпочтении, которое эксперты конкурса давали собственным разработкам. Скорее, фактическое отсутствие в заявках на конкурс алгоритмов, разработанных за пределами Японии, говорит о недостаточном интересе к конкурсу со стороны мирового криптологического сообщества. Особенно это заметно в сравнении с проходящим параллельно конкурсом NESSIE.
Обязательными для изучения алгоритмами эксперты посчитали следующие:

• 64-битные:
  • DES (стандарт США);
  • Triple DES (стандарт США);
• 128-битный:
  • AES (стандарт США).

Т. е. в качестве обязательных были рассмотрены текущий и предыдущие стандарты шифрования США – действительно, наиболее широко реализованные в мире алгоритмы шифрования.
В ранге «особенных» алгоритмов среди блочных шифров были рассмотрены 64-битные алгоритмы RC2 и SEED. Видимо, RC2 широко использовался в Японии (причем, рассмотрению подлежал даже вариант данного алгоритма с 40-битным ключом – в таком варианте алгоритм RC2 соответствовал существовавшим ранее экспортным ограничениям США). А алгоритм SEED являлся на момент проведения конкурса стандартом шифрования Южной Кореи, поэтому его рассмотрение в рамках конкурса криптостандартов Японии (как страны, обладающей большими экономическими и политическими связями с Японией) не выглядит удивительным.
Кроме того, в процессе исследовательской фазы проекта CRYPTREC были рассмотрены алгоритмы, не относящиеся ни к одной из трех вышеперечисленных категорий (т. е. не являющиеся участниками конкурса), а именно:

• 64-битный:
  • FEAL-NX (NTT, Япония);
• 128-битные:
  • RC6 (RSA, США);
  • MARS (IBM, США).

Как было сказано выше, в проекте CRYPTREC рассматривалось немало алгоритмов-участников конкурсов AES и NESSIE. Среди перечисленных выше алгоритмов это следующие:

• алгоритм AES (т. е. победитель конкурса AES – алгоритм Rijndael);
• финалисты конкурса AES: MARS и RC6;
• алгоритм SC2000 – участник конкурса AES;
• победители конкурса NESSIE среди 64-битных и 128-битных блочных шифров – алгоритмы MISTY1 и Camellia);
• участники конкурса NESSIE Hierocrypt-L1 и Hierocrypt-3.

В результате исследований всех этих алгоритмов эксперты CRYPTREC рекомендовали использовать следующие алгоритмы:

• 64-битные:
  • CIPHERUNICORN-E;
  • Hierocrypt-L1;
  • MISTY1;
  • Трехключевой вариант алгоритма Triple DES;
• 128-битные:
  • AES;
  • Camellia;
  • CIPHERUNICORN-A;
  • Hierocrypt-3;
  • SC2000.

При этом эксперты рекомендовали везде, где это возможно, вместо 64-битных алгоритмов использовать 128-битные, а алгоритм Triple DES использовать только в существующих реализациях.
И снова отметим, что среди рекомендованных алгоритмов подавляющее большинство – японские. Причем, экспертами рекомендованы все японские алгоритмы, рассматриваемые на конкурсе, за исключением FEAL-NX, который участником конкурса не являлся.
Стоит сказать, что на конкурсе AES, среди прочего, дискутировался вопрос, должен ли стандартом блочного симметричного шифрования быть один конкретный алгоритм, а не несколько алгоритмов, оптимизированных для реализации в различных средах. Эксперты CRYPTREC пошли тем же путем, что и устроители конкурса NESSIE – и там, и здесь было рекомендовано по несколько алгоритмов.
Алгоритмы MISTY1, Camellia, AES и другие, а также конкурсы AES и NESSIE, подробно описаны в книге Панасенко С. П. «Алгоритмы шифрования. Специальный справочник», готовящейся к выходу в издательстве «БХВ-Петербург».

Сравнение CRYPTREC с конкурсом NESSIE

Как было сказано выше, проект CRYPTREC имеет много сходств с конкурсом NESSIE, а именно:

• широта охвата криптографических технологий и алгоритмов;
• детальное изучение алгоритмов-участников конкурса с привлечением авторитетных мировых экспертов;
• рекомендательный характер выводов проекта;
• пересечение в ряде изучаемых алгоритмов и сходство в ряде рекомендаций.

При этом, CRYPTREC имеет два важных преимущества:

• в отличие от NESSIE, участники проекта – преимущественно государственные, а не научные организации, что должно упростить продвижение результатов проекта;
• наличие целей и фазы мониторинга.

И, конечно, немаловажен и упомянутый выше недостаток CRYPTREC – конкурс NESSIE вызвал существенно больший интерес и собрал на изучение алгоритмы со всего мира.

Мониторинг

Весьма немаловажной является и фаза мониторинга в данном проекте, которая состоит в следующем:

• анализ материалов конференций по криптологии;
• анализ публикаций по данной теме в научно-технических журналах и в сети Internet;
• спонсирование ряда международных конференций (среди которых такие масштабные конференции, как EUROCRYPT и AsiaCrypt) и участие в них наблюдателей от CRYPTREC;
• наблюдение за принятием международных, региональных и государственных стандартов в данной области;
• исследование новых алгоритмов (например, большой интерес экспертов CRYPTREC вызвал еще один японский алгоритм – появившийся недавно блочный шифр CLEFIA, разработанный компанией Sony);
• анализ криптографических протоколов, формирование требований к ним;
• рекомендации по реализации криптоалгоритмов и протоколов и по выбору оптимальных параметров;
• анализ проблемы миграции на рекомендуемые протоколы и алгоритмы; рекомендации по миграции.

Об участии экспертов CRYPTREC в стандартизации стоит сказать особо. Только в отчете CRYPTREC за 2007 г. (отчет опубликован в марте 2008 г.) упоминаются 4 стандарта, в разработке которых CRYPTREC принимает активное участие:

• Международный стандарт ISO/IEC 19790:2006 и его техническая поправка № 1 ISO/IEC 19790-1:2008. Данный стандарт описывает требования безопасности применительно к криптографическим модулям; он представляет собой международный вариант принятого в мае 2001 г. стандарта США FIPS 140-2.
• Стандарт FIPS 140-2 в настоящее время также модифицируется – на смену ему в ближайшее время должен прийти стандарт FIPS 140-3, черновой вариант которого уже сейчас можно посмотреть на сайте Национального Института Стандартов и Технологий США NIST (http://csrc.nist.gov). В разработке FIPS 140-3 также участвуют специалисты CRYPTREC.
• Еще один находящийся в разработке международный стандарт – ISO/IEC 24795 – посвящен вопросам архитектуры домашних электронных сетей; он попал в поле зрения CRYPREC по причине того, что в стандарте рассматриваются также вопросы безопасности локальных («домашних») сетей.
• И, наконец, CRYPTREC принимает активное участие в конкурсе SHA-3, проводимом NIST. Данный конкурс посвящен созданию нового стандарта хэширования США, который должен заменить текущий (с августа 2002 г.) стандарт хэширования FIPS 180-2, который описывает семейство алгоритмов SHA: SHA-1, -224, -256, -384, -512. 31 октября 2008 г. на конкурсе SHA-3 завершен этап сбора заявок на участие в конкурсе; эксперты приступили к изучению алгоритмов хэширования.

Заключение

CRYPTREC представляется весьма интересным проектом, который позволяет государственным и коммерческим организациям Японии всегда быть в курсе текущего развития криптографии и криптоанализа во всем мире.
Материалы проекта можно найти на его Web-сайте: http://www.cryptrec.go.jp.