С 28 по 31 марта прошла 11-я конференция «РусКрипто», на которой по традиции обсуждали современное состояние криптографической науки. Центральным выступлением, как обычно, стал доклад Алексея Жукова, председателя совета директоров ассоциации «РусКрипто». В этом году доклад был посвящен одному из наиболее интересных направлений исследований в криптографии — низкоресурсному шифрованию, которое кроме стойкости должно быть еще и эффективно реализовано в виде процессора. Востребованность таких разработок определена повсеместным применением криптографии, например в телефонах, смарткартах и других очень компактных устройствах, где шифрование используется для защиты связи, аутентификации и надежной идентификации.
На низкоресурсные алгоритмы шифрования, кроме требований стойкости и производительности, накладываются условия компактной реализации и низкого энергопотребления. Популярные алгоритмы в таких условиях не очень пригодны; например, не удалось создать соответствующую версию AES. В то же время российский ГОСТ 28147-89, который изначально разрабатывался под шифропроцессоры с размером блока перестановок 4x4, как оказалось, может быть реализован довольно компактно. Любопытно, что варианты оптимальной реализации предложили немецкие и китайские исследователи. Конечно, производительность такого шифропроцессора не очень высока, но вполне достаточна для задач низкоресурсной криптографии.
При этом стойкость российского алгоритма до сих пор не подвергается сомнению. Правда, есть разработки, показывающие, что для расшифровки можно обойтись меньшими ресурсами, чем потребуется на простой перебор ключей, однако стойкость шифра все равно остается высокой. Владимир Рудской, эксперт ФСБ России, подробно разобрал на конференции лучший результат анализа, который предложен английским исследователем Николасом Куртуа и требует относительно большого размера шифротекста и объема предварительно сформированных данных. Подтвержденным является результат, когда сложность процедуры расшифровки текста, закодированного при помощи 256-битного ключа, соответствует прямому перебору ключей длиной в 192 бит, то есть ГОСТ по-прежнему остается одним из стойких алгоритмов и его вполне можно использовать для защиты, например, платежной системы.
И такая система сейчас строится — Универсальная электронная карта (УЭК), развивает которую компания с таким же названием. Эту карту можно будет использовать для хранения российских сертификатов электронной подписи и исполнения различных банковских и транспортных приложений. Сейчас, по словам Дмитрия Азина, начальника отдела «Универсальной электронной карты» по защите коммерческой тайны и персональных данных, уже разработано несколько прототипов карты, которые реализуют функционал системы и проходят сертификацию в ФСБ.
Одной из реализаций является кристалл, разработанный компанией «Ситроникс» для производства на заводе «Микрон». Этот кристалл содержит восьмиразрядный процессор, работающий на частоте 30 МГц, являющийся аналогом контроллера 8051, реализующий алгоритмы шифрования ГОСТ, 3DES и AES, а также снабженный аппаратным генератором случайных чисел. Операционная система TRUST для микропроцессора позволяет разрабатывать различные приложения, в том числе и по спецификации JavaCard 3.0.2. Для программ отводится 72 Кбайт памяти. Карта имеет как контактный, так и бесконтактный интерфейс — последний позволяет использовать ее в том числе и для систем мобильных платежей NFC. Впрочем, предложенная карта — лишь компонент, на основе которого будет строиться инфраструктура и электронной подписи, и электронных платежей, и транспортных приложений. В основе всего этого спектра возможностей лежит алгоритм ГОСТ, показавший себя достаточно надежным и приспособленным для задач низкоресурсной криптографии.