BIZTONSÁGOSBAN

BIZTONSÁGOSBAN

Teremtő	James Massey
Létrehozva	1993
közzétett	1993
Kulcsméret	64 (128, 192, 256) bit
Blokkméret	64 (40, 128) bit
A körök száma	6-16
Típusú	Helyettesítő-permutációs hálózat
Médiafájlok a Wikimedia Commons oldalon

SÁFER ( Eng. Secure And Fast Encryption Routine - biztonságos és gyors titkosítási eljárás) - a kriptográfiában szimmetrikus blokk-kriptográfiai algoritmusok családja, amely helyettesítési-permutációs hálózaton alapul . Az algoritmusok fejlesztéséhez a fő hozzájárulást James Massey tette . A titkosítás első változatát 1993 -ban hozták létre és adták ki .

Történelem

A titkosításnak több változata létezik, amelyek a titkosítási kulcs hosszában és a forrásszöveg blokkjainak méretében térnek el egymástól.

Az algoritmus első változatát , a SAFER K-64 -et James Massey fejlesztette ki a kaliforniai Cylinc vállalat számára 1993 -ban [1] . Az ugyanabban az évben közzétett algoritmusnak 64 bites titkosítási blokkja és kulcsa volt . Számára 6 körös titkosítást javasoltak. Mivel azonban a kulcs hosszát 128 bitre kellett növelni (mivel egy gyengeséget fedeztek fel az eredeti algoritmusban), a Massey kifejlesztette a SAFER K-128 titkosítás új verzióját, amely a SAFER K-64 után következő évben jelent meg. . Az új algoritmus tartalmazott egy kulcsfontosságú ütemtervet, amelyet a szingapúri belügyminisztérium fejlesztett ki , és ezt követően különféle célokra használta. Ehhez az algoritmushoz 10 (maximum 12) titkosítási kört is javasoltak használni.

Nem sokkal később, az algoritmus első verzióiban néhány Lars Knudsen és Sean Murphy [1] által felfedezett gyengeség is kiderült . Ez az algoritmus új verzióinak létrehozását jelentette SAFER SK-64 és SAFER SK-128 néven, amelyekben a kulcs ütemezését a Knudsen által javasolt séma szerint módosították. Kifejlesztettek egy 40 bitre csökkentett kulcshosszú változatot is - SAFER SK-40 . Az algoritmusok nevében az „ SK ” rövidítés a „ Megerősített kulcs ütemezése ” (Reinforced Key schedule) rövidítése. Az új titkosítási változatoknál nem 6, hanem legalább 8 (maximum 10) titkosítási kört javasoltak használni.

A SAFER+ algoritmust 1998 -ban fejlesztette ki a kaliforniai Cylinc vállalat az Örmény Tudományos Akadémiával közösen, hogy részt vegyen az AES versenyen , ahol csak az első kvalifikációs kör ment át. Ennek a rejtjelnek a bemeneti blokkja 128 bites, a kulcs mérete pedig 128, 192 vagy 256 bit.

A SAFER algoritmus legújabb változata a SAFER++ , amelyet a Massey fejlesztett ki 2000 -ben, és a SAFER+ algoritmus továbbfejlesztése lett . Az algoritmus részt vett a NESSIE európai algoritmusversenyen , ahol két változatban mutatták be: egy 64 bites és egy 128 bites blokkot tartalmazó titkosítót. Bejutott a verseny második szakaszába, de nem került be a NESSIE által ajánlott kriptográfiai primitívek közé . A szakértők úgy vélték, hogy a titkosítás túl lassú a 8 bites gépeken (például intelligens kártyákon ) kívül az összes gépen, és a titkosítás biztonsági határa túl alacsony [2] [3] .

A SAFER algoritmusok nem magántulajdon és nem védettek szerzői joggal, azaz korlátozás nélkül használhatók. Mivel teljes egészében egyszerű bájtműveletekből állnak (a kulcsgenerálás során előforduló bájtforgatás kivételével), ezért ezek az algoritmusok kis bitmélységű processzorokkal is megvalósíthatók [4] .

Az alábbiakban összefoglaló táblázat található a SAFER titkosítás összes létező változatáról

cím	angol	létrehozásának dátuma	blokk hossza	kulcs hossza	körök száma
BIZTONSÁGOS K-64	64 bites kulcs	1993	64	64	6
BIZTONSÁGOS K-128	128 bites kulcs	1995	64	128	10 (max. 12)
BIZTONSÁGOS SK-64	Megerősített kulcs ütemezés, 64 bit	1995	64	64	8 (minimum 6, maximum 10)
BIZTONSÁGOS SK-128	Megerősített kulcs ütemezés, 128 bit	1995	64	128	10 (max. 12)
BIZTONSÁGOS SK-40	Megerősített kulcs ütemezés, 40 bit	1995	64	40
BIZTONSÁGOS+	SAFER Plus	1998	128	128, 192, 256	8, 12, 16
BIZTONSÁGOSABB++	SAFER Plus Plus	2000	64, 128	128, 256	7, 10

BIZTONSÁGOS K-64

Titkosító algoritmus

A titkosított blokk hossza és a kulcs hossza 64 bit. Az algoritmus egy iteratív blokkrejtjel , azaz ugyanazt a titkosítási funkciót szekvenciálisan alkalmazzák a bemeneti blokkra r alkalommal, és minden lépésben különböző kulcsokat használnak. A vizsgált algoritmus minden iterációja (szakasz, kör) során két 64 bites alkulcsot vesz fel.

Az algoritmus egy körének felépítése a diagramon látható. Lépésről lépésre írjuk le az algoritmust (az i alatt 1-től r -ig fut az értékek , ahol r a titkosítási körök száma):

A B bemeneti blokk és mindkét kulcs és 8 részre van osztva, egy-egy bájtból (8 bit ). A beviteli szöveg és a kulcs megfelelő alblokkjai vagy hozzáadódnak modulo two ( XOR művelet ) - az 1., 4., 5. és 8. számú alblokkhoz, vagy a szokásos szabályok szerint (modulo 256 bájt összeadás művelet) - a No. alblokkokhoz 2, 3, 6 7. $K_{2i-1}$ ${\displaystyle K_{2i))$ $K_{2i-1}$
Az összeadás eredménye áthalad az úgynevezett S-boxokon ( S-boxes ). Tartalmuk a nemlineáris műveletek egyike: (ahol y = 0, ha x = 128) vagy (y = 128, ha x = 0). Itt x a bemeneti bájt, y a kimeneti bájt. Ezek a műveletek a GF(257) végső mezőn végzett műveletek , ahol a 45 a mező primitív eleme. Mivel minden alkalommal nagyon kényelmetlen ezeknek a műveleteknek az eredményeinek kiszámítása az algoritmus gyakorlati megvalósításaiban, általában speciálisan összeállított táblázatokat használnak a műveletek eredményeinek megszerzéséhez. $y=45^{x}{\mbox{ mod }}257$ $y=log_{45}x$
Az 1. tételhez hasonló műveletet hajtanak végre az előző művelet eredményein, azzal az egyetlen különbséggel, hogy a második alkulcsot használják , és az XOR és a modulo 256 műveletek megfordulnak. ${\displaystyle K_{2i))$
Az így kapott bájtok egy többszintű átalakítási rendszeren mennek keresztül, és egymást eltérő sorrendben adják össze. Ez a jobb lavinahatás elérése érdekében történik , azaz a kimeneti bitek függőségének növelése a bemeneti blokk összes bitjétől. A diagramon a transzformációkat a 256 addíciós modulo műveletek hálózataként mutatjuk be. Ez a hálózat a Hadamard pszeudo -transzformációk három szintjének felel meg ( Pseudo-Hadamard Transform , PHT ) [5] . Minden transzformáció úgy működik, hogy a bemeneti bájtokkal és a kimeneten a következőket kapjuk: $a_{1}$ $a_{2}$ $b_{1}=(2a_{1}+a_{2}){\mbox{ mod }}256$ $b_{2}=(a_{1}+a_{2}){\mbox{ mod }}256$

Az egymást követő körök befejezése után az 1. bekezdéshez hasonló műveletet alkalmazunk a kapott eredményre, ahol az utolsó alkulcsot használjuk kulcsként. $r$

Az algoritmus szerzője a körök használatát javasolja, de a megbízhatóság növelése érdekében növelheti a számukat [5] . $r=6$

Dekódoló algoritmus

A visszafejtés fordított sorrendben történik, de a műveletek fordítottak. Így a 256 modulo összeadási műveleteket kivonási műveletek helyettesítik, a 2. modulo összeadást pedig ugyanúgy hajtják végre, mint a titkosításnál. Műveletek és fel vannak cserélve. A Hadamard pszeudotranszformációkat inverzekkel ( Inverse PHT , IPHT ) helyettesítik, amelyek a következők szerint működnek: $45^{x}{\mbox{ mod }}257$ $log_{45}x$

$a_{1}=(b_{1}-b_{2}){\mbox{ mod }}256$

$a_{2}=(-b_{1}+2b_{2}){\mbox{ mod }}256$

Kulcsgenerálás

Az első titkosítási kulcs egy felhasználó által megadott titkos kulcs. Minden következő titkosítási kulcsot az előzőtől kapunk a képlet szerint (a hozzáadás modulo 256 történik, miközben a bájtokat külön-külön adjuk hozzá). Itt a „ ” művelet egy bájtonkénti ciklikus eltolás 3 bittel balra, vagyis az eltolás a kulcs minden egyes bájtján belül történik. Az értéket titkosítási fokozat állandónak nevezzük. A következőképpen kaphatja meg: ha — az i -edik fokozat állandójának j -edik bájtja , akkor a fokozatok összes állandóját a következő képlettel fejezzük ki: [5] . Az így kapott fokozatállandók jó pontossággal véletlenszámként viselkednek. Általában ezeknek az állandóknak az értékeit speciális táblázatokban tárolják, hogy csökkentsék a számításokhoz szükséges időt. $K_1$ $K_{i+1}$ $K_{i}$ ${\displaystyle K_{i + 1} = \left( {K_1 <<< 3i} \right) + B_{i+1))$ $<<<3$ ${\megjelenítési stílus B_{i))$ ${\displaystyle B_{ij))$ $B_{ij}=45^{45^{((9i+j){\mbox{ mod }}256)}{\mbox{ mod }}257}{\mbox{ mod }}257$

A kulcsgeneráló algoritmus formális leírása: [6]

BEMENET: 64 bites kulcs ; körök száma . ${\displaystyle K=k_{1},\dots ,k_{64))$ $r$

KIMENET: 64 bites alkulcsok . Byte - kulcsbájt (számozás balról jobbra). $K_{1},\dots ,K_{2r+1}$ $K_{i}[j]$ $j$ $K_{i}$

Legyenek 8 bites értékek. Legyen az i -edik titkosítási fokozat állandójának j -edik bájtja. $R[i]$ $C_{i}[j]$
$(R[1],R[2],\dots ,R[8])\leftarrow (k_{1}\dots k_{8},k_{9}\dots k_{16},k_{57 }\dots k_{64})$ .
${\megjelenítési stílus (K_{1}[1],K_{1}[2],\pontok ,K_{1}[8])\leftarrow (R[1],R[2],\pontok ,R[8 ])}$ .
tól -ig : _ $én$ $2$ $2r+1$
- 1 - től 8-ig: . $j$ $R[j]\leftarrow R[j]<<<3$
- 1 - től 8-ig: . $j$ $K_{i}[j]\leftarrow R[j]+B_{i}[j]{\mbox{ mod }}256$

Kriptanalízis algoritmus

James Massey bebizonyította, hogy hat titkosítási kör után a SAFER K-64 algoritmus abszolút ellenállást biztosít a differenciális kriptoanalízissel szemben [5] . Ugyanakkor három titkosítási kör után a lineáris kriptoanalízis is hatástalanná válik a hackeléshez [5] .

Ennek ellenére 1995 -ben Lars Knudsen egy gyengeséget fedezett fel a SAFER K-64 kulcsgeneráló algoritmusában . Megmutatta [5] , hogy bármely titkosítási kulcshoz egy vagy több (legfeljebb kilenc) kulcs található (amelyek csak egy bájt értékben különböznek tőle), így két különböző nyílt szöveg titkosításakor egy és ugyanaz a rejtjelezett szöveg. formába írható . A különböző M egyszerű szövegek száma, amelyekből ugyanazt a rejtjelezett szöveget kapjuk, a lehetséges szövegek közötti intervallumban rejlik . Így az egyszerű szövegek értelmezésével egy 64 bites titkos kulcs 8 bitjét számíthatjuk ki. Ezt a támadást tovább erősítette John Kelsey , Bruce Schneier és David Wagner ( angolul David A. Wagner ). A támadás szerzői azt állították, hogy az alkulcsok generálására szolgáló nagyon egyszerű és egységes eljárás miatt az algoritmus könnyen kezelhető a kapcsolódó kulcsok elleni támadásokra [7] . $K_{1}$ $K_{2}$ $M_{{1}}$ $M_{{2}}$ $E(M_{1},K_{1})=E(M_{2},K_{2})$ $2^{22}$ $2^{28}$ $2^{64}$ $2^{{44}}$ $2^{47}$

Ez a tulajdonság jelentősen csökkenti a SAFER K-64 algoritmus megbízhatóságát, ha egyirányú hash függvényként használják . Megbízhatósága mint titkosítási algoritmus nem csökken. Azonban az algoritmus ezen gyengesége, valamint egy később Murphy által közzétett támadás arra késztette Masseyt , hogy javítsa a kulcsgeneráló algoritmust. Ennek eredményeként 1995 szeptemberében kiadta a SAFER SK-64 algoritmust .

Egy másik hitelesített támadást a SAFER K-64 algoritmus ellen Lars Knudsen és Thomas A. Berson hajtott végre 6A SAFER K-64 algoritmus 5 fordulójával titkosított egyszerű szövegre tervezték . Bár ez a támadás még 6 titkosítási kör után sem tudta feltörni a rejtjelezett szöveget, azt mutatta, hogy az algoritmus kriptográfiai erőssége kisebb volt, mint azt Massey eredetileg állította (azt állította, hogy az algoritmus abszolút ellenáll a lineáris kriptográfiai módszereknek ). $2^{{45}}$

Serge Vaudenay francia kriptográfus ( fr. Serge Vaudenay ) kimutatta, hogy ha az S-dobozok tartalmát véletlenszerű permutációkkal helyettesítik, a SAFER K-64 algoritmus kevésbé lesz kriptorezisztens [6] .

BIZTONSÁGOS K-128

Az algoritmus csak a felhasználói kulcs hosszában, és ennek megfelelően magában a kulcsgenerálási módszerben tér el a SAFER K-64- től . Ezt a módszert a Szingapúri Belügyminisztérium [5] fejlesztette ki , majd James Massey használta az algoritmusában.

Kulcsgenerálás

Ez az algoritmus 128 bites kulcsot használ egyetlen 64 bites kulcs helyett , ami egyenértékű két 64 bites kulcs megadásával. Ebből a két kulcsból a SAFER K-64 titkosításhoz nagyon hasonló módszerrel két független alkulcs-sorozat jön létre. Az ezekből a sorozatokból származó kulcsok felváltva használatosak a titkosítás minden körében.

Amint az a diagramból látható, minden szakaszban a kulcsbájtok biteltolása nem 3, hanem 6 bittel történik. Ez ahhoz a tényhez vezet, hogy ugyanazokkal a kezdeti kulcsokkal azt kapjuk, hogy a 128 bites kulcs kompatibilis a 64 bites kulccsal . Ez azt jelenti, hogy a SAFER K-128 algoritmus típuskulcsát és a SAFER K-64 kulcsát használva ugyanazokat az alkulcs-sorozatokat kapjuk, ami azt jelenti, hogy maga a titkosítás a SAFER K-128- ban semmiben nem fog eltérni a SAFER K-128-ban lévő titkosítástól. BIZTONSÁGOS K-64 . ${\displaystyle K_{a}=K_{b))$ $K_{a}$ $K_{a}K_{a}$ $K_{a}$

Kriptanalízis

Annak ellenére, hogy a SAFER K-128 algoritmus hasonló az elődjéhez, számos különbség van. Tehát az algoritmus új verziójában James Massey nem 6, hanem 10 (maximum 12) titkosítási kört javasol [7] . Ez annak a ténynek köszönhető, hogy kevesebb iterációval az algoritmus, akárcsak a SAFER K-64 , Lars Knudsen által végrehajtott támadásnak van kitéve . Emlékezzünk vissza, hogy ez egy algoritmus használatára vonatkozik a hash függvény alapjaként . A titkosítási körök számának növelése a szerző szerint jelentősen megnöveli az algoritmus ilyen értelemben vett kriptográfiai erősségét [7] .

BIZTONSÁGOS SK-64

Ez az algoritmus csak abban különbözik a SAFER K-64- től, hogy alkulcsokat generál. Ezt a módszert Lars Knudsen javasolta , miután ő is talált egy támadást a SAFER K-64 algoritmus ellen . A titkosítási körök ajánlott számát 6-ról 8-ra növelték [7] . A kulcsfontosságú bővítési módszerek közötti különbségek jól láthatóak az algoritmus formális leírásában:

A kulcsgeneráló algoritmus formális leírása: [6]

BEMENET: 64 bites kulcs ; körök száma . ${\displaystyle K=k_{1},\dots ,k_{64))$ $r$

KIMENET: 64 bites alkulcsok . Byte - kulcsbájt (számozás balról jobbra). $K_{1},\dots ,K_{2r+1}$ $K_{i}[j]$ $j$ $K_{i}$

Legyenek 8 bites értékek. Legyenek a titkosítás -edik szakaszának -byte konstansai . $R[i]$ $B_{i}[j]$ $j$ $én$
$(R[1],R[2],\dots ,R[8])\leftarrow (k_{1}\dots k_{8},k_{9}\dots k_{16},k_{57 }\dots k_{64})$ ; (a hozzáadás modulo 2 történik). $R[9]\leftarrow R[1]+R[2]+\dots +R[8]$
${\megjelenítési stílus (K_{1}[1],K_{1}[2],\pontok ,K_{1}[8])\leftarrow (R[1],R[2],\pontok ,R[8 ])}$
tól -ig : _ $én$ $2$ $2r+1$
- 1 - től 9-ig: . $j$ $R[j]\leftarrow R[j]<<<3$
- 1 - től 8-ig: . $j$ $K_{i}[j]\leftarrow R[((i+j-2){\mbox{ mod }}9)+1]+B_{i}[j]{\mbox{ mod }}256$

Ennek az algoritmusnak a fő megkülönböztető jellemzője egy további bájt használata , amelyet a kulcs nyolc bájtjának bitenkénti hozzáadásával kapunk. Továbbá az algoritmus minden szakaszában ezek a bájtok ciklikusan eltolódnak, ennek eredményeként kiderül, hogy az alkulcs a bájtoktól függ , az alkulcs a bájtoktól függ, az alkulcs a bájtoktól stb. A bitenkénti eltolás 3 bittel és a titkosítási állandók szerkezete változatlan marad. $R[9]$ $K_1$ $R[1],R[2],\dots ,R[8]$ $K_{2}$ $R[2],R[3],\dots ,R[9]$ $K_{3}$ $R[3],\dots ,R[9],R[1]$

Kriptanalízis

A kulcsgeneráló algoritmus ilyen aprónak tűnő változtatásai jelentősen növelik az algoritmus kriptográfiai erősségét . Jelenleg nem ismertek olyan támadások a SAFER SK-64 és SAFER SK-128 algoritmusok ellen , amelyek hatékonyabbak lennének a brute force keresésnél [ 7] .

Ugyanakkor vannak támadások ezen algoritmusok csonka változatai ellen. Íme néhány közülük: [7]

Támadás a SAFER SK-64 ellen 3,75 töltéssel. Ez azt jelenti, hogy egy ilyen algoritmussal történő titkosításkor először 3 kört hajtunk végre, a negyedik körben pedig a lineáris PHT transzformációkat kihagyjuk . Az úgynevezett módszert alkalmazza. lehetetlen különbségek [8] a differenciális kriptoanalízis módszereivel kapcsolatban . Használatához próba sima szövegeket kell használni, és tesztelni kell a titkosítási műveleteket [9] . $2^{32}$ $2^{{62}}$
Négyszögletű támadás SAFER SK-64 és SK-128 ellen 3,25 töltéssel. Itt azt kell érteni, hogy a negyedik körben a két kulcs közül csak az első keveredik. Próba egyszerű szövegeket és teszt titkosítási műveleteket használ . [9] $2^{10,3}$ $2^{{38}}$
Támadás a SAFER SK-128 ellen 4,75 lövedékkel, lineáris kriptoanalízis technikákkal . A támadáshoz egyszerű szövegekre és teszttitkosítási műveletekre van szükség [10] . $2^{64}$ $2^{90}$

Mint látható, ezek a támadások nem túl praktikusak, mivel meglehetősen sok erőforrást és időt igényelnek.

BIZTONSÁGOS SK-128

Ez a titkosítási algoritmus pontosan ugyanúgy különbözik a SAFER SK-64 -től, mint a SAFER K-128 a SAFER K-64- től . Ugyanis maguk a titkosítási és alkulcsgenerálási algoritmusok ugyanazok maradnak, de egy kezdeti 64 bites kulcs helyett két ilyen kulcsot használnak, amelyek mindegyikéhez önállóan képeznek alkulcs-sorozatokat, amelyeket aztán felváltva alkalmaznak. Ezenkívül a páros és páratlan kulcsokhoz tartozó sorozatok felépítése hasonló a SAFER SK-64 kulcskiterjesztési algoritmusához . Ebben ugyanígy az első szakaszban egy további bájt kerül bevezetésre, ami a maradék nyolc bájt modulo 2 összege , majd minden szakaszban bájtonkénti ciklikus eltolás történik.

Ami a SAFER K-64 és SAFER K-128 algoritmusokat illeti , ha a SAFER SK-128- ban egyéni nézetkulcsot , a SAFER SK-64- ben pedig egy kulcsot használunk , az algoritmusok hatása pontosan ugyanaz. Ugyanakkor a SAFER SK-128- hoz javasolt titkosítási körök száma ugyanaz marad, mint a SAFER K-128- ban , és egyenlő 10 -nel [7] . $K_{a}K_{a}$ $K_{a}$

BIZTONSÁGOS SK-40

A titkosítás ezen verziója csak 40 bites (5 bájt ) csökkentett kulcsot használ. Ez lehetővé tette az algoritmus számára, hogy megkerülje az Egyesült Államokban akkoriban létező exportkorlátozásokat . Az algoritmus majdnem ugyanúgy működik, mint a SAFER SK-64 , egy kis eltéréssel az alkulcs generálás kezdeti szakaszában.

A SAFER SK-64 algoritmusban a kilencedik bájt az eredeti kulcs 8 bájtjához volt hozzárendelve, ami megegyezik azok bitenkénti modulo 2 összegével . A SAFER SK-40- ben ez a 9 bájt teljesen más módon érhető el. Jelöljük őket , , … . Közülük az első 5 az eredeti kulcs bájtja. A fennmaradó 4 bájt az elsőkből a következőképpen származik [11] : ${\displaystyle KI_{1))$ $KI_{2}$ $KI_{9}$

$KI_{6}=KI_{1}\oplus KI_{3}\oplus 129$ ,

$KI_{7}=KI_{1}\oplus KI_{4}\oplus KI_{5}\oplus 66$ ,

$KI_{8}=KI_{2}\oplus KI_{3}\oplus KI_{5}\oplus 36$ ,

$KI_{9}=KI_{2}\oplus KI_{4}\oplus 24$ ;

Az első alkulcs a kapott első nyolc bájtból származik. A későbbi alkulcsok ezek felhasználásával pontosan ugyanúgy generálódnak, mint a SAFER SK-64 algoritmusban . $K_1$

SAFER+

A SAFER+ a SAFER algoritmuscsalád továbbfejlesztett változata . Az algoritmust 1998 -ban fejlesztették ki, hogy versenyezzen az AES szabványért . A kaliforniai Cylinc vállalat ( James Massey ) és az Örmény Köztársaság Tudományos Akadémia (Gurgen Khachatryan és Melsik Kuregyan) szakemberei együtt dolgoztak a létrehozásán [2] .

Az AES versenyen az algoritmus 14 másik algoritmussal együtt átjutott az első kvalifikációs körön. A SAFER+ nem jutott be a verseny döntőjébe, amelyre mindössze 5 algoritmust engedtek be , mert egy alapos elemzés eredménye szerint kiderült, hogy számos támadásra érzékeny és alacsony a végrehajtási sebessége [ 12] . Az algoritmust úgy hozták létre, hogy 8 bites processzorokon működjön, ennek eredményeként a 32 bites processzorokon meglehetősen lassan működik [3] .

A SAFER+ 128 bites blokkokban dolgozza fel az adatokat. Az algoritmus támogatja a 128, 192 és 256 bites kulcsokat az Egyesült Államok Nemzeti Szabványügyi és Technológiai Intézete (NIST) [13] követelményeinek megfelelően . A titkosítási körök száma a kulcs méretétől függ:

8 kör 128 bites kulcs esetén;
12 kör 192 bites kulcs esetén;
16 kör egy 256 bites kulcshoz.

Titkosító algoritmus

A SAFER+ algoritmus felépítése a SAFER K-64-hez hasonlít . Ugyanazokból a fő szakaszokból áll, szerkezetükben kissé eltérőek. Az algoritmus minden fordulójában először egy alkulcs keveredik, majd a bájtok átmennek nemlineáris helyettesítési blokkon, majd a második alkulcs keveredik és a bájtok lineárisan keverednek. Az alkulcsok egymás után jönnek létre a beviteli kulcs segítségével. Az alábbiakban egy iteráció munkájának részletesebb leírása található ( i az iteráció száma):

Kulcsátfedés $K_{2i-1}$ : a bemeneti blokk bájtjai hozzáadódnak a kulcsbájtokhoz , modulo 2 összeadással az 1, 4, 5, 8, 9, 12, 13 és 16 bájtokhoz, és modulo 256 összeadással a 2, 3, 6 bájtokhoz , 7, 10, 11, 14 és 15. $K_{2i-1}$
Nemlineáris konverzió : az 1, 4, 5, 8, 9, 12, 13 és 16 számú bájtokat kezeljük ( nulla helyett). A 2, 3, 6, 7, 10, 11, 14 és 15 számú bájtokra vonatkozik a művelet (és ). ezeknek a műveleteknek az eredményeit, valamint a SAFER algoritmus más változatainál a gyakorlatban gyakran speciális táblázatokban tárolják. Ebben az esetben ehhez 512 bájt szükséges. $45^{x}(mod257)$ $45^{128}(mod257)=256$ $log_{45}(x)$ $log_{45}(0)=128$
Kulcsátfedés ${\displaystyle K_{2i))$ : a beviteli blokk bájtjai hozzáadódnak a kulcs bájtjaihoz , de az 1. elemtől eltérően a modulo 2 és modulo 256 összeadási műveletei felcserélődnek. ${\displaystyle K_{2i))$
Lineáris transzformáció : egy 16 bájtos adatblokk szorzása a jobb oldalon egy speciális, nem szinguláris M mátrixszal (minden művelet bájt alapú, és modulo 256 hajtódik végre ). Az ezzel a mátrixszal való szorzás a PHT transzformáció négy szintjének felel meg , amelyek között néhány bájt permutációt hajtanak végre [2] . Az algoritmusnak ez a része a legnehezebb számítási szempontból.

R titkosítási kör után a kulcskeveréshez hasonlóan a kulcskeverés történik . $K_{2r+1}$ $K_{2i-1}$

Dekódoló algoritmus

A visszafejtési algoritmus műveletei hasonlóak a titkosítási műveletekhez, és fordított sorrendben hajtják végre. A különbség a következő:

Mátrix helyett a szorzás az inverz mátrixával történik ; $M$ $M^{-1}$
A modulo 256 összes összeadási műveletét kivonási műveletek helyettesítik;
A és műveletek (amelyek egymás inverzei) felcserélődnek. $45^{x}{\mbox{ (mod }}257)$ $log_{45}x$

A titkosítás során a következő M mátrixot használjuk : [13]

2	2	egy	egy	16	nyolc	2	egy	négy	2	négy	2	egy	egy	négy	négy
egy	egy	egy	egy	nyolc	négy	2	egy	2	egy	négy	2	egy	egy	2	2
egy	egy	négy	négy	2	egy	négy	2	négy	2	16	nyolc	2	2	egy	egy
egy	egy	2	2	2	egy	2	egy	négy	2	nyolc	négy	egy	egy	egy	egy
négy	négy	2	egy	négy	2	négy	2	16	nyolc	egy	egy	egy	egy	2	2
2	2	2	egy	2	egy	négy	2	nyolc	négy	egy	egy	egy	egy	egy	egy
egy	egy	négy	2	négy	2	16	nyolc	2	egy	2	2	négy	négy	egy	egy
egy	egy	2	egy	négy	2	nyolc	négy	2	egy	egy	egy	2	2	egy	egy
2	egy	16	nyolc	egy	egy	2	2	egy	egy	négy	négy	négy	2	négy	2
2	egy	nyolc	négy	egy	egy	egy	egy	egy	egy	2	2	négy	2	2	egy
négy	2	négy	2	négy	négy	egy	egy	2	2	egy	egy	16	nyolc	2	egy
2	egy	négy	2	2	2	egy	egy	egy	egy	egy	egy	nyolc	négy	2	egy
négy	2	2	2	egy	egy	négy	négy	egy	egy	négy	2	2	egy	16	nyolc
négy	2	egy	egy	egy	egy	2	2	egy	egy	2	egy	2	egy	nyolc	négy
16	nyolc	egy	egy	2	2	egy	egy	négy	négy	2	egy	négy	2	négy	2
nyolc	négy	egy	egy	egy	egy	egy	egy	2	2	2	egy	2	egy	négy	2

A visszafejtés során az inverz mátrixot használják : [13]

M^{-1}

2	−2	egy	−2	egy	−1	négy	−8	2	−4	egy	−1	egy	−2	egy	−1
−4	négy	−2	négy	−2	2	−8	16	−2	négy	−1	egy	−1	2	−1	egy
egy	−2	egy	−1	2	−4	egy	−1	egy	−1	egy	−2	2	−2	négy	−8
−2	négy	−2	2	−2	négy	−1	egy	−1	egy	−1	2	−4	négy	−8	16
egy	−1	2	−4	egy	−1	egy	−2	egy	−2	egy	−1	négy	−8	2	−2
−1	egy	−2	négy	−1	egy	−1	2	−2	négy	−2	2	−8	16	−4	négy
2	−4	egy	−1	egy	−2	egy	−1	2	−2	négy	−8	egy	−1	egy	−2
−2	négy	−1	egy	−1	2	−1	egy	−4	négy	−8	16	−2	2	−2	négy
egy	−1	egy	−2	egy	−1	2	−4	négy	−8	2	−2	egy	−2	egy	−1
−1	egy	−1	2	−1	egy	−2	négy	−8	16	−4	négy	−2	négy	−2	2
egy	−2	egy	−1	négy	−8	2	−2	egy	−1	egy	−2	egy	−1	2	−4
−1	2	−1	egy	−8	16	−4	négy	−2	2	−2	négy	−1	egy	−2	négy
négy	−8	2	−2	egy	−2	egy	−1	egy	−2	egy	−1	2	−4	egy	−1
−8	16	−4	négy	−2	négy	−2	2	−1	2	−1	egy	−2	négy	−1	egy
egy	−1	négy	−8	2	−2	egy	−2	egy	−1	2	−4	egy	−1	egy	−2
−2	2	−8	16	−4	négy	−2	négy	−1	egy	−2	négy	−1	egy	−1	2

Kulcsgenerálás

A bemutatott algoritmus 128, 192 és 256 bites (16, 24 és 32 bájt ) beviteli kulcsokra alkalmazható . Az első alkulcs a beviteli kulcs első 16 bájtja. A többi kulcsot a következőképpen állítjuk elő: először a teljes forráskulcsot a kulcsregiszterbe írjuk 1 bájttal hosszabban, mint maga a kulcs (vagyis a regiszter hossza 17, 25 vagy 33 bájt különböző beviteli kulcsok esetén ). A kulcs összes bájtja modulo 2 bitenként összeadódik, az eredmény a regiszter utolsó bájtjába kerül. Minden következő kulcs megszerzéséhez a következő műveleteket kell végrehajtani a regiszter tartalmával ( i esetén 2-től 2-ig r +1): $K_1$

A kulcsregiszter bájtjainak tartalma ciklikusan 3 pozícióval balra tolódik el (az eltolás a bájton belül egyenként történik, és nem a regiszter egészében);
16 bájt van kiválasztva a regiszterből. Ebben az esetben a regiszter bájtjait választjuk ki a kulcshoz , az i - ediktől kezdve és tovább a ciklus mentén. $K_{i}$
A kiválasztott 16 bájt modulo 256 hozzáadásra kerül az offset szó bájtjaihoz (lásd alább). A hozzáadás eredménye az alkulcs lesz . $Kettős}$ $K_{i}$

Az eltolási szavak 16 bájtos állandók, amelyeket a következő képlettel számítanak ki: $Kettős}$ $B_{i,j}={\begin{cases}45^{45^{17i+j}{\mbox{ mod }}257}{\mbox{ mod }}257,&i{\mbox{ = 2,3,...17; }}j{\mbox{ = 1,3,... 16}}\\45^{17i+j}{\mbox{ mod }}257,&i{\mbox{ = 18,19,... 33 ; }}j{\mbox{ = 1,3,... 16}}\end{cases}}$

${\megjelenítési stílus B_{i,j))$ - az i -edik eltolásszó j -edik bájtja . Ha akkor ezt a bájtot 0 váltja fel. $B_{i,j}=256$

Nyilvánvaló, hogy mivel a titkosítási iterációk száma eltérő a különböző kulcshosszúságok esetén (és 128, 192 és 256 bites kulcsok esetén 8, 12 és 16), ezért nem minden eltolási blokk kerül felhasználásra. Tehát 128 bites kulcshosszúságnál csak a , ... lesz felhasználva 192 bites kulcs esetén - , ... és 256 bites kulcs esetén - az eltolás összes szava. $B_{2}$ ${\displaystyle B_{17))$ $B_{2}$ $B_{25}$

Kriptanalízis

A SAFER + algoritmus AES versenyen való részvétele kapcsán a kriptológusok nagyon nagy figyelmet fordítottak annak kriptoanalízisére. Ennek eredményeként számos támadást találtak az algoritmus ellen. Néhányat felsorolunk közülük:

A SAFER+ elleni támadás 256-os bemeneti kulcshosszal. Megvalósításához mindössze 3 egyszerű szöveg és a hozzájuk tartozó titkosított szöveg ismerete szükséges, de ehhez teszttitkosítási műveletek is szükségesek. Nyilvánvaló, hogy a műveletek ilyen kolosszális száma teljesen kivitelezhetetlenné teszi a támadást. Mindazonáltal azt mutatja, hogy a SAFER+ algoritmusnak nincs elegendő biztonsági határa [14] . $2^{240}$
Kapcsolt kulcsú támadás, amely közel teszt titkosítási műveleteket igényel. Gyakorlati szempontból is kivitelezhetetlen. E két támadás szerzői maguk javasoltak egy módot a SAFER + algoritmus megerősítésére , amely teljes mértékben megvéd ezekkel a támadásokkal szemben. [14] A módszer az alkulcsok generálására szolgáló eljárás megerősítéséből áll. $2^{200}$
Támadás az energiafogyasztás szerinti differenciális kriptoanalízis módszereivel [15] [16] .
Támadások a SAFER+ csonka verziói ellen [9] [10] .

Az AES verseny során a SAFER+ algoritmust a következőképpen jellemezték: [2]

Az algoritmus előnyei:
1. nagy kriptográfiai erőhatár (különösen továbbfejlesztett kulcsbővítési eljárás használata esetén);
2. alacsony követelmények a számítási erőforrásokkal szemben, ami lehetővé teszi az algoritmus alkalmazását alacsony fogyasztású eszközökben, például intelligens kártyákban ;
Az algoritmus hátrányai:
1. alacsony titkosítási sebesség, meglehetősen lassú alkulcs generálási eljárás;
2. sebezhető az energiafogyasztási támadásokkal szemben .

SAFER++

Az algoritmus a SAFER+ továbbfejlesztése, és szinte teljesen örökli annak szerkezetét. A különbségek főként az algoritmus egyes szakaszainak optimalizálásában (a számítások megkönnyítésében) vannak. Kevesebb kört használ: hetet 128 bites kulcshoz, tízet 256 bites kulcshoz. Ebben a titkosításban a blokkhossz 128 bit, de ezen felül 64 bites blokkok használatakor „visszafelé kompatibilis” mód is biztosított.

Az algoritmus átkerült a NESSIE verseny második fázisába , de nem került kiválasztásra a NESSIE által ajánlott kriptográfiai primitívek készletébe. A szakértők úgy vélték, hogy a titkosítás túl lassú minden gépen, kivéve az intelligens kártyákat , és a titkosítás biztonsági határa túl kicsi [17] .

Algoritmus

A titkosítási eljárás jelentős része nem különbözik a SAFER+ algoritmustól . A fő különbség a lineáris transzformációs eljárásban rejlik, amelyet számítási szempontból jelentősen optimalizáltak (a SAFER+ -ban 16x16-os mátrixszal kell szorzást végezni, amihez nagyszámú bájtonkénti összeadás szükséges).

A lineáris transzformáció , amint az a diagramból látható, a következő lépésekből áll:

A 16 bemeneti bájtot a következő sorrendben keverjük össze: [9, 6, 3, 16, 1, 14, 11, 8, 5, 2, 15, 12, 13, 10, 7, 4];
Az új sorrendben lévő bájtok 4-es csoportokra vannak osztva. Mindegyik csoportot 4 pontos Hadamard pszeudo -transzformációnak vetünk alá ;
Az átalakítás után a bájtokat ismét az 1. bekezdésben leírt sorrendben keverjük össze;
A 2. tételhez hasonlóan a bájtok ismét Hadamard pszeudotranszformáción mennek keresztül . Az eredmény kimenet.

A Hadamard pszeudotranszformáció abból áll, hogy egy 4 bájtos karakterláncot megszorozunk egy 4x4-es nem szinguláris mátrixszal , amelynek a következő szerkezete van:

H_{4}={\begin{bmatrix}2&1&1&1\\1&2&1&1\\1&1&2&1\\1&1&1&1\end{bmátrix}}

A visszafejtéshez használt inverz mátrix az

H_{4}^{-1}={\begin{bmatrix}1&0&0&-1\\0&1&0&-1\\0&0&1&-1\\-1&-1&-1&4\end{bmátrix))

Ennek a megközelítésnek az az előnye a SAFER+ -ban alkalmazott 16x16 -os mátrixszal való szorzáshoz képest, hogy a lineáris transzformáció a Hadamard transzformációs mátrixok szerkezetéből adódóan lényegesen kevesebb elemi műveletet igényel. Ugyanis egy 16 bájtos karakterlánc 16x16-os mátrixszal való megszorzásakor általában 15*16 összeadás és 16*16 szorzás szükséges. A Hadamard transzformációs mátrixszal való szorzás mindössze 6 összeadási műveletet igényel: [13]

Ha a , b , c , d bemeneti bájtok, A , B , C , D kimeneti bájtok, akkor a számításokat képletekkel ábrázoljuk (az összeadás modulo 256 ):

D=a+b+c+d

(3 összeadási művelet),

A=D+a

(1 hozzáadási művelet),

B=D+b

(1 hozzáadási művelet),

C=D+c

(1 összeadási művelet).

Így a mátrix 8-szorosának figyelembevételével is csak 6*8=48 műveletet kapunk, ami jóval kevesebb, mint a SAFER+ -ban (még ha figyelembe vesszük a SAFER++ algoritmusban végrehajtott összes bájtpermutációt is ). $H_4$

A lineáris transzformáció teljes szerkezete, akárcsak a SAFER+ -ban, egy nem szinguláris 16x16 -os mátrixként ábrázolható . Ennek a mátrixnak a legtöbb eleme azonban egyenlő lesz eggyel. A dekódolási eljárás végrehajtásához szükséges inverz mátrixban az elemek többsége nulla lesz.

Kulcsgenerálás

A SAFER+-hoz képest a különböző titkosítási körökben használt alkulcs-generálási algoritmusban is vannak eltérések . Ebből a szempontból a SAFER+ és a SAFER++ közötti különbségek hasonlóak a SAFER K-64 és a SAFER K-128 közötti különbségekhez , abban az értelemben, hogy a páros és páratlan alkulcsok egymástól függetlenül jönnek létre a SAFER++- ban. Tekintsük részletesebben az algoritmust.

2 kulcsregisztert használnak , 16+1=17 bájt hosszúak. Ha a felhasználói kulcs hossza 128 bit (16 bájt), akkor ez a kulcs kezdetben mindkét regiszterbe kerül. Ha a kulcs hossza 256 bit (32 bájt), akkor az 1-től a 16-ig terjedő kulcsbájtok az első regiszterbe, a 17-től a 32-ig a másodikba kerülnek. A 17. bájt helyett az első 16 bájt bájt-ellenőrző összege kerül minden regiszterbe. Ezt követően i -re 1-től ( r a titkosítási körök száma) a következő műveleteket hajtják végre ( i = 1,3, ... 2 r +1 esetén az első regisztert veszik figyelembe, ha i = 2,4, .. 2 r - a második regiszter): $2r+1$

16 bájt kerül kiválasztásra a regiszterből, az i számmal kezdve, és tovább a ciklus mentén. Tehát egy i = 5-ös kulcsnál a bájtok a következőképpen kerülnek kiválasztásra: [5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 1, 2, 3 ],
A fogadott bájtok hozzáadódnak a megfelelő eltolási szóhoz (lásd lent) $Kettős}$
A regiszter összes bájtjának tartalma 6 bittel elfordul, ha i páratlan, és 3 bittel, ha i páros .

Az eltolási szavak kiszámítása szinte ugyanúgy történik, mint a SAFER+ -ban, azzal a különbséggel, hogy az i paraméter tartományai megváltoznak : $B_{i,j}={\begin{cases}45^{45^{17i+j}{\mbox{ mod }}257}{\mbox{ mod }}257,&i{\mbox{ = 2,3,...15; }}j{\mbox{ = 1,2,... 16}}\\45^{17i+j}{\mbox{ mod }}257,&i{\mbox{ = 16,17,... 21 ; }}j{\mbox{ = 1,2,... 16}}\end{cases}}$

Kriptanalízis

A NESSIE verseny részeként a SAFER++ algoritmust alaposan megvizsgálták a kriptográfiai erősség szempontjából. Szakértők szerint a korábbi SAFER+ algoritmus sebezhetősége nem öröklődött. Nem találtunk új támadást a teljes körű SAFER++ algoritmushoz . Ugyanakkor számos támadást hajtottak végre a csökkentett számú titkosítási körrel rendelkező rejtjelváltozatokon [9] [18] [19] Az egyik, mivel a szükséges számítások nagy száma miatt kivitelezhetetlen, elméletileg alkalmas a SAFER ++ feltörése hét helyett 5,5 körrel. [20] . Ez a támadás volt az egyik fő oka annak, hogy az algoritmus nem nyerte meg a versenyt. Ezenkívül egyes szakértők szerint az algoritmus tartalmazhat olyan gyengeségeket, amelyeket még nem azonosítottak. A fő ok az algoritmus elégtelen teljesítménye volt, amikor többbites eszközökön implementálták.

Gyakorlati felhasználás

Bár a SAFER algoritmusok nem kapták meg a szabványok státuszát az Egyesült Államokban vagy az EU -ban, nagyon széles körű alkalmazásra találtak. A SAFER+ különösen a Bluetooth hitelesítési protokoll alapja . Maga a Bluetooth titkosítási algoritmus azonban nem használja ezt az algoritmust [1] .

Annak ellenére, hogy az algoritmus nevében szerepel a „ gyors ” szó, a modern szabványok szerint a SAFER család algoritmusai meglehetősen lassúak.

Ami a kriptográfiai erősséget illeti, még a SAFER K-64 algoritmus legelső verziója is abszolút ellenáll a differenciális kriptoanalízisnek . A család utolsó algoritmusa, a SAFER++ még robusztusabb lett, mivel jelentősen módosították, hogy figyelembe vegyék az algoritmus korábbi verziói ellen végrehajtott számos támadást. Jelenleg nem találtak igazán megvalósítható támadást az algoritmus ellen [1] .

Figyelembe véve, hogy a SAFER algoritmusok mennyit fejlődtek a létezésük során - SAFER K-64- ről SAFER++ -ra , feltételezhetjük, hogy ezen algoritmusok fejlesztése még nem ért véget [2] .

Jegyzetek

↑ 1 2 3 4 Mukherjee, Ganguly, Naskar, 2009 .
↑ 1 2 3 4 5 Panasenko S.P. A titkosítási algoritmusok, a SAFER+ és SAFER++ titkosítások fejlődése (2007. július 12.). - Egy cikk a SAFER + és SAFER ++ algoritmusok részletes ismertetésével . Letöltve: 2009. november 12. (Orosz) (elérhetetlen link)
↑ 1 2 B. Kiwi. Verseny az új kriptográfiai szabványért, az AES -ért (1999. április). — A SAFER+ algoritmus rövid leírása . Letöltve: 2009. november 12. Az eredetiből archiválva : 2011. július 3. (Orosz)
↑ Massey, 1994 .
↑ 1 2 3 4 5 6 7 Schneier B. 14. fejezet. És még több blokk titkosítás // Alkalmazott kriptográfia. Protokollok, algoritmusok, forráskód C nyelven = Applied Cryptography. Protokollok, algoritmusok és forráskód: C. - M . : Triumf, 2002. - S. 382-384. — 816 p. - 3000 példányban. - ISBN 5-89392-055-4 .
↑ 1 2 3 4 Menezes, Oorschot, Vanstone, 1996 .
↑ 1 2 3 4 5 6 7 Panasenko S.P. The Evolution of Encryption Algorithms, SAFER K és SAFER SK Algorithms (2007. június 15.). - Egy cikk a SAFER K-64/128 és SAFER SK-64/128 algoritmusok részletes ismertetésével . Letöltve: 2009. november 12. (Orosz) (elérhetetlen link)
↑ Panasenko S.P. A titkosítási algoritmusok feltörésének modern módszerei, 5. rész (nem elérhető link) (2006. december 25.). — A lehetetlen különbségek módszerének leírása. Letöltve: 2009. november 12. Az eredetiből archiválva : 2008. április 23.. (Orosz)
↑ 1 2 3 4 Nakahara J. Jr., Preneel B., Vandewalle J. Impossible Differential Attacks on Redduced-Round SAFER Ciphers // Katholieke Universiteit Leuven, Belgium. - 2003. március 12.
↑ 1 2 Nakahara J. Jr. Block-rejtjelek kriptanalízise és tervezése // Katholieke Universiteit Leuven. - 2003. június.
↑ Savard, John SAFER (Biztonságos és gyors titkosítási rutin ) . — a SAFER K és SAFER SK algoritmusok leírása. Letöltve: 2009. december 22. Az eredetiből archiválva : 2012. január 30..
↑ Panasenko S.P. Titkosítási algoritmusok – Az AES verseny döntősei (2006. augusztus 24.). - következtetéseket tartalmaz a SAFER + algoritmus jellemzőiről. Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 30.. (Orosz)
↑ 1 2 3 4 Baricsev, Goncharov, Szerov, 2011 .
↑ 1 2 Kelsey, Schneier, Wagner, 1999 .
↑ Biham, Shamir, 1999 .
↑ Chari, Jutla, Rao et al., 1999 .
↑ Új európai aláírási, integritási és titkosítási rendszerek // v. 0,15. - Az IST-1999-12324 európai projekt zárójelentése, 2004. április 19. - 476. o .
↑ Nakahara J. Jr. Frissítés a SAFER++ lineáris kriptoanalíziséhez // Katholieke Universiteit Leuven, Belgium. - 2003. március 12.
↑ Piret G., Quisquater J.-J. Integral Cryptanalysis on redukált kör SAFER++ (angol) // Universite catolique de Louvain, Louvain-la-Neuve, Belgium.
↑ Biryukov A., De Canniere C., Dellkrantz G. Cryptanalysis of SAFER++ (angol) // KULeuven, Belgium. - 2003. Archiválva : 2006. május 15.

Irodalom

Massey J. SAFER K-64 : Egy bájtorientált blokk-titkosító algoritmus // Gyors szoftveres titkosítás : Cambridge Security Workshop Cambridge, Egyesült Királyság, 1993. december 9–11. Proceedings / R. J. Anderson - Berlin : Springer Berlin Heidelberg , 1994. - P 1-17. - ( Számítástechnikai előadások jegyzetei ; 809. kötet) - ISBN 978-3-540-58108-6 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-58108-1_1
Menezes A. J. , Oorschot P. v. , Vanstone S. A. Handbook of Applied Cryptography (angol) - CRC Press , 1996. - 816 p. — ( Diszkrét matematika és alkalmazásai ) — ISBN 978-0-8493-8523-0
Biham E. , Shamir A. Az AES jelöltek kulcsütemezésének teljesítményelemzése (angol) // Second Advanced Encryption Standard Candidate Conference : Róma, Olaszország, 1999. március 22–23. - Gaithersburg, MD : NIST , 1999.
Chari S. , Jutla C. , Rao J. R. , Rohatgi P. Figyelmeztető megjegyzés az AES jelöltek értékeléséhez az intelligens kártyákon // Második fejlett titkosítási szabvány jelölt konferencia : Róma, Olaszország, 1999. március 22–23. – Gaithersburg, MD : NIST , 1999. - P. 133-147.
Kelsey J. , Schneier B. , Wagner D. A. Key Schedule Weakness in SAFER+ // Second Advanced Encryption Standard Candidate Conference : Róma, Olaszország, 1999. március 22–23. - Gaithersburg , MD : NIST , 1999.
Schneier B. 14. fejezet És még több blokk titkosítás // Alkalmazott kriptográfia. Protokollok, algoritmusok, forráskód C nyelven = Applied Cryptography. Protokollok, algoritmusok és forráskód: C. - M . : Triumf, 2002. - S. 382-384. — 816 p. - 3000 példányban. - ISBN 5-89392-055-4 .
Mukherjee S. , Ganguly D. , Naskar S. A New Generation Cryptographic Technique (angol) // IJCTE - Singapore : 2009. - Vol. 1, Iss. 2. - P. 284-287. — ISSN 1793-8201
Barichev S. G. , Goncharov V. V. , Serov R. E. A modern kriptográfia alapjai - 3. kiadás. - M . : Dialog-MEPhI , 2011. - S. 36-41. — 176 p. — ISBN 978-5-9912-0182-7

Linkek

Oroszul

Panasenko S.P. A titkosítási algoritmusok fejlődése (2007. június 15.). - Egy cikk a SAFER K-64/128 és SAFER SK-64/128 algoritmusok részletes áttekintésével. Letöltve: 2009. november 12. (Orosz) (elérhetetlen link)
Gorbenko I.D., Golovashich S.A., Lepekha A.N. Szimmetrikus rejtjelek összehasonlító elemzése (elérhetetlen link) (2004). — a NESSIE projektben bemutatott blokkszimmetrikus titkosítások összehasonlító elemzése (beleértve a SAFER++-t is). Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. június 16.. (Orosz)

Más nyelveken

NESSIE új európai aláírási, integritási és titkosítási rendszerek . — A «NESSIE» hivatalos honlapja. Letöltve: 2009. november 12.
NIST hivatalos oldala . - A NIST hivatalos oldala. Letöltve: 2009. november 12. Az eredetiből archiválva : 2011. augusztus 18..
Edward Robback, Morris Dworkin. első Advanced Encryption Standsrd (AES) jelölt konferencia ( 1998. augusztus 20.). - az AES verseny résztvevőinek listája, beleértve a SAFER+-t is . Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 30..
John Savard. A 128 bites korszak felé : AES Candidates, SAFER+ . — a SAFER+ algoritmus leírása. Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 30..
John Savard. BIZTONSÁGOSABB (Biztonságos és gyors titkosítási rutin ) . — a SAFER K és SAFER SK algoritmusok leírása. Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 30..
A SCAN bejegyzése a SAFER K -hez . Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 28..
A SCAN bejegyzése a SAFER SK- hoz . Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 28..
SCAN bejegyzése a SAFER + . Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 28..
SCAN bejegyzése a SAFER++- hoz . Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 28..
Lars Knudsen. James L. Massey bejelentése a SAFER titkosítás megerősített kulcsütemezéséről ( 1995. szeptember 12.). — a SAFER SK továbbfejlesztett kulcsbővítési algoritmusának leírása, megvalósítási példák, forráskódok. Letöltve: 2009. november 12.
Gilles Piret és Jean-Jacques Quisquater. Integrált kriptoanalízis a csökkentett kör SAFER ++- on . — Integrált kriptográfiai elemzés SAFER++. Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 30..
James L Massey. A SAFER+ diffúzió optimálisságáról. (angol) . Cylink Corporation, Sunnyvale, CA, USA. — A SAFER+ algoritmus diffúziós részének optimalitásának elemzése . Letöltve: 2009. november 12. Az eredetiből archiválva : 2011. augusztus 18..
Dellkrantz Gustaf. Szimmetrikus blokk-rejtjelek kriptoanalízise – Csökkentett KHAZAD és SAFER++ törés . — a SAFER++ csonka változatának kriptoanalízise . Letöltve: 2009. november 12. Az eredetiből archiválva : 2012. január 30..
Gurgen Khachatrian, Melsik Kuregian, Karen Ispiryan, James Massey. A SAFER++ algoritmus differenciálanalízise // Second NESSIE workshop, Egham, UK. - Szeptember 12-13, (2001).
Richard DeMoliner. Block-cipher algoritmus SAFER . — SAFER-K64, SAFER-K128, SAFER-SK64, SAFER-SK128 algoritmusok implementációja C nyelven. (nem elérhető link)
James L. Massey, Gurgen H. Khachatrian, Melsik K. Kuregian. A SAFER+ jelölése az Advanced Encryption Standatd (AES) algoritmus jelöltjeként (angol) (pdf) (1998. június 12.). — A SAFER+ algoritmus leírása. Letöltve: 2009. december 24. Az eredetiből archiválva : 2012. január 30..
Gurgen Khachatrian, Melsik Kuregian, Karen Ispiryan, James Massey, "A SAFER++ algoritmus differenciális elemzése" - Második NESSIE workshop, Egham, Egyesült Királyság, szeptember 12-13, (2001)
Karen Ispiryan „Valamilyen koordináta-permutáció család a SAFER++-hoz” CSIT 2001. szeptember 17-20. Jereván, Örményország

Szimmetrikus titkosítási rendszerek
Rejtjelfolyam adatfolyam	A3 A5 A8 Decim F-FCSR Gabona HC-256 KCipher-2 MICKEY MUGI CSUKA Phelix RC4 Nyúl FÓKA HÓ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel hálózat	GOST 28147-89 (Magma) blowfish Kamélia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra ÜZLET DES DESX DFC E2 EnRUPT FEAL HPC ÖTLET KASUMI Khafre Khufu LOKI97 MacGuffin MARS HÁLÓ MISTY1 NewDES NDS RC5 RC6 MAG Simon Sinopoli skipjack SM4 Folt TEA XTEA XXTEA Raiden RTEA Tripla DES Kéthal
SP hálózat	Szöcske 3 út ABC ÁRIA AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Öv CRYPTON Gyémánt2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer jelenlegi Szivárvány BIZTONSÁGOSBAN CÁPA NÉGYZET Kígyó háromhal
Egyéb	BÉKA NUSH REDOC SC2000 SHACAL CS-Cipher