手机套餐消费误导  引发消费维权纠纷

REDOC — симметричный блочный криптоалгоритм, разработанный Майклом Вудом^[англ.] в 1990 году для компании Cryptech и получивший наименование REDOC II. Все операции — подстановки, перестановки, XOR выполняются с байтами что позволяет его эффективно реализовать программно. Алгоритм использует зависимые от ключа и исходного открытого текста наборы таблиц (S-блоков), используя меняющиеся табличные функции. Алгоритм отличает использование масок, т.е. чисел, получаемых из ключевой таблицы. Маски используются для выбора таблиц конкретной функции конкретного раунда. При этом используется как значение маски, так и значение данных^[1].

REDOC-II представляет собой десятираундовую криптосистему (но высказано предположение, что 1- или двухраундовая версия является безопасной)^[2]. Каждый раунд предусматривает набор манипуляций с 10 байтовым блоком .

Однако, так как используются для шифрования только первые 7 бит из каждого байта, алфавитное пространство для каждого байта от 0 до 127. И все операции выполняются по модулю 128^[3].

Длина ключа в оригинальной версии REDOC II составляет 10 байт. Эффективный размер ключа составляет 70 бит. Следует уточнить, что REDOC II может поддерживать длину ключа в диапазоне от 70 до 17 920 бит^[3].

Каждый раунд состоит из шести фаз:

1. Первая переменная подстановка,
2. Вторая переменная подстановка,
3. Первый переменный ключ XOR,
4. Переменный анклав,
5. Второй переменный ключ XOR,
6. Переменная перестановка.

Во время каждой фазы данные обрабатываются с помощью таблиц^[4].

1) 16 предопределенных подстановочных таблиц, которые используются в фазах переменной подстановки. (Фиксированы)

2) 128 предопределенных таблиц перестановок, используемые фазами переменной перестановки. (Фиксированы)

3) 128 предопределенных таблиц анклава, используемые фазами переменного анклава. (Фиксированы)

4) Кроме того, 128 десятибайтных таблиц ключей и девять таблиц масок вычисляются для каждого ключа с помощью алгоритма обработки ключа. (Вычислимые)^[4]

В каждой фазе переменного ключа XOR осуществляется операция XOR между значением определенного байта в данных с определенным байтом в таблице масок. Итоговое значение – номер таблицы. Все байты данных, исключая выбранный байт, подвергаются операции XOR с соответствующим байтом из выбранной таблицы ключей^[4].

В каждой фазе переменной подстановки осуществляется операция XOR между значением конкретного байта из таблицы данных и конкретным байтом в таблице масок. Номер таблицы — это полученное значение, взятое по модулю 16. Все байты, за исключением выбранного, заменяются значениями из выбранной подстановочной таблицы^[4].

В каждой фазе переменной перестановки выбирается одна таблица путем добавления всех десяти байтов данным (по модулю 128) и результат подвергается операции XOR с конкретным байтом из таблицы масок. Полученное значение — это номер таблицы. Все байты данных переставляются выбранной перестановкой^[4].

Предопределенная таблица анклава имеет пять строк и 3 столбца. Каждая запись содержит число от 1 до 5. Существует 2 свойства, которым таблица анклава должна удовлетворять:

• каждый столбец должен быть перестановкой чисел 1—5;
• каждая строка должна содержать 3 различных значения^[4].

Связано это с тем, что обработка таблицы происходит построчно. Первое значение в строке — позиция байта, который будет обрабатываться. Второе и третье значения в строке указывают на позиции байтов, которые будут использоваться для обработки байта, указанного первым значением. Значение в первом столбце заменяется суммой 3-х байтов (по модулю 128). ^[3]

Каждая фаза переменного анклава использует 4 таблицы анклава следующим образом:

1. Разделяет блоки на два под-блока по 5 байт каждый. Под-блоки называют левой и правой половинами.
2. XOR двух отдельных байтов из правой половины (в первом круге: первые 2 байта) с двумя отдельными байтами масок. Получившиеся 2 байта — это указатели двух таблиц анклава.
3. Обработка левой половины первой таблицей анклава указанной с помощью двух байтов.
4. Обработка полученной левой половины второй таблицей анклава указанной с помощью двух байтов.
5. XOR двух отдельных байтов в полученной левой половине (в первом круге: первые 2 байта) с двумя отдельными байтами масок. Полученные два байта — указатели двух таблиц анклава.
6. XOR левой и правой половин.
7. Обработка полученной правой половины первой таблицей анклава указанной с помощью двух байт.
8. Обработка полученной правой половины второй таблицей анклава указанной с помощью двух байт.
9. XOR правой и левой половин

Важное свойство таблиц анклав состоит в том, что они являются линейными операциями в терминах сложения и могут быть смоделированы матрично-векторным произведением. При изменении только одного верхнего входного бита, только один верхний выходной бит будет изменён. Кроме того, линейное изменение таблицы верхних выходных битов верхними входными битами однозначно определяет использование таблицы анклава. Это свойство как раз используется в фазе переменного анклава. Левая половина входных данных и два байта правой половины влияют на выбор таблицы анклава, используемой в этой фазе. Однако 3 бита правой половины не влияют на выбор таблицы анклава (в первой фазе это 8, 9 и 10 биты) и это изменение верхних выходных битов – линейная функция от изменения верхних битов этими поступающими байтами. Следует отметить, что хотя мы делаем XOR правой и левой половин последним шагом в фазе переменного анклава, мы получаем симметричное изменение обоих половин и, следовательно, четное число измененных верхних битов^[5].

Наиболее эффективным способом вскрытия ключа считается грубая сила, для достижения цели потребуется 2¹⁶⁰ операций. Практически единственным эффективным криптоанализом было вскрытие одного из раундов алгоритма Томасом Кузиком, но расширить вскрытие на дальнейшие раунды не удалось. С помощью 2300 открытых текстов был проведен криптоанализ одного из раундов Шамиром и Бихамом, после 4 раундов были получены 3 значения маски однако успехов как таковых это не принесло и на данный момент алгоритм считается криптостойким^[1].

Существует также значительно упрощенная версия алгоритма — REDOC III, созданный Майклом Вудом. Используется 80-битный блок, длина ключа переменна, может достигать 20480 битов. Перестановки и подстановки исключены, все операции над блоком и ключом основаны лишь на применении XOR, за счет чего значительно увеличена скорость шифрования в ущерб стойкости к дифференциальному криптоанализу. Основой алгоритма являются генерированные на основе секретного ключа 256 10-байтовых ключей, и полученные на основе XOR 128 10-байтовых ключей два 10-байтовых блока маски. Для успешного восстановления обеих масок алгоритма REDOC III требуется 223 открытых текстов. Этот алгоритм несложен и быстр. На 33 мегагерцовом процессоре 80386 он шифрует данные со скоростью 2.75 Мбит/с^[1]. Криптографическая система REDOC II способна шифровать 800 кбит/с при тактовой частоте 20 Мгц. ^[6]

Алгоритм REDOC II и его упрощенная версия запатентованы в США^[1].

• Шнайер, Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C.. — М.: Триумф, 2002. — 816 с. — ISBN 5-89392-055-4.
• Cusick T. W., Wood M. C. The Redoc II Cryptosystem (англ.) // Advances in Cryptology — CRYPTO ’90: 10th Annual International Cryptology Conference, Santa Barbara, California, USA, August 11-15, 1990, Proceedings / A. J. Menezes, S. A. Vanstone — Berlin, Heidelberg, New York City, London: Springer Berlin Heidelberg, 1991. — P. 546—563. — (Lecture Notes in Computer Science; Vol. 537) — ISBN 978-3-540-54508-8 — ISSN 0302-9743; 1611-3349 — doi:10.1007/3-540-38424-3_38
• Biham E., Shamir A. Differential Cryptanalysis of Snefru, Khafre, REDOC-II, LOKI and Lucifer (англ.) // Advances in Cryptology — CRYPTO’91: 11th Annual International Cryptology Conference, Santa Barbara, California, USA, 1991, Proceedings / J. Feigenbaum — Berlin, Heidelberg, New York City, London: Springer Science+Business Media, 1992. — P. 156—171. — 484 p. — (Lecture Notes in Computer Science; Vol. 576) — ISBN 978-3-540-55188-1 — ISSN 0302-9743; 1611-3349 — doi:10.1007/3-540-46766-1
• M.J.B. Robshaw. Block Ciphers. RSA Laboratories Technical Report TR-601 // 2-е изд. — 1995. — 1 августа.
• Ken Shirriff, Differential Cryptanalysis of REDOC-III, (PS)