Blog
Standardizace šifrovacích algoritmů od přelomu tisíciletí
Díky výrazné změně politické situace v devadesátých letech přestala být kryptografie doménou špiónů a vývoj technologií umožnil využití těchto přístupů v oblasti vědy a obchodu. Pro usnadnění tak bylo nutné zajistit odpovídající standardizaci. Tento článek se snaží o sumarizaci standardizačních aktivit.
Standardizační aktivity v oblasti kryptografie
V průběhu konce dvacátého a začátku jednadvacátého století se objevilo několik standardizačních soutěží,
které mělo dopad na kryptografii a její implementaci. Ať se jedná o algoritmy DES (který vznikl podstatně
dříve) a AES, hash funkce SHA-1, SHA-2, SHA-3, nebo v současnosti Post Quantum Cryptography či LightWeight
Cryptography. Vše jsou reakce průmyslu a obchodu s cílem zajistit důvěrnost, neporušenost, důvěryhodnost
a pravost komunikace.
V oblasti standardizace byly z dob studené války vedoucí dvě země, jednalo se o západní blok, představovaný
USA a jeho spojenci, oproti nim pak stál východní blok a jeho satelity. Zpočátku se jednalo o algoritmy určené
pro vojenskou komunikaci a státní tajemství. Po zklidnění mezinárodních vztahů došlo k využití těchto nástrojů
v obchodě, průmyslu a službách. Bohužel, v současnosti značné množství organizací přehlíží lekce z této doby.
Přesněji, důvěrnost nezajišťuje integritu ani autenticitu zprávy. Stejně tak se v oblasti IT zapomíná
na Kerckhoffova pravidla. Jedno z nich už přes 150 let tvrdí: "Kryptografie musí být bezpečná a snadno
použitelná, nesmí vyžadovat zvýšenou intelektuální zátěž".
USA
V oblasti kryptografie má standardizace ve Spojených státech dlouhou tradici. Příkladem je slavná
"Duhová série" knih o bezpečnosti (rainbow series) ze kterých se následně vyvinuly Common Criteria.
Velké množství těchto pravidel vzniklo v armádě a bylo během let zveřejněno např. institutem NIST,
případně došlo k jejich standardizaci a začali se na federální úrovni označovat zkratkou FIPS.
Standardizační institut spolupracuje s NSA, která zajišťuje bezpečnost komunikací vládní organizace.
Bohužel ne vždy je spolupráce s touto organizací vnímána kladně. V historii došlo k několika problémům,
díky kterým je vztah k NSA přinejmenším ambivalentní (ECB mód, DES a 3DES, Dual EC_DRBG, Simon&Speck)
a některé postupy lze označit termínem kleptografie. Na druhou stranu pro rozvoj bezpečnosti a
kryptografie přes všechny uvedené neduhy NSA udělala obrovský kus práce.
DES (Digital Encryption Standard, USA)
Jedním z prvních standardů byl algoritmus DES (FIPS 146), který byl vyvinut ve společnosti IBM. Za vývojem tohoto algoritmu stál Horst Feistel, který vyvíjel původní algoritmus Lucifer již v průběhu druhé poloviny šedesátých let. Začátkem roku 1970 se rozhodlo o jeho publikaci a protože se přibližně v té době objevil požadavek na šifrovací standard, IBM a NSA navázaly úzkou spolupráci. Díky této spolupráci se algoritmus dále vyvíjel ale došlo i k výrazné vlastností algoritmu. Výsledkem byl algoritmus DES, který byl následně v roce 1977 standardizován. Později byl z důvodu přiliš krátkého klíče implementován ještě algoritmus 3DES. Ten využíval několika průchodů skrze algoritmus DES, pokaždé s jiným klíčem. Díky tomu došlo k jakémusi prodloužení klíčového materiálu buď formou tří šifrování a tří klíčů, nebo dvou klíčů a módu EDE (šifrování-dešifrování-šifrování). V roce 2004 byl algoritmus DES prohlášen za zastaralý, okolo roku 2017 byly obecně všechny 64b algoritmy označeny za překonané z důvodu útoku Sweet32. Od 1. ledna 2024 se nesmí ani DES ani 3DES již nadále používat.
SHA (SHA0, SHA 1, Secure Hash Algorithm, USA)
V tomto případě se nejednalo o soutěž, algoritmus SHA (SHA-0 / FIPS 180) byl navržen v letech 1992 organizací NSA a v roce 1993 standardizován. Vzhledem k nalezeným zranitelnostem došlo k modifikacím uvedeného algoritmu a v roce 1994 organizace NSA navrhla jeho nástupce SHA1 (FIPS 180-1 a později i FIPS 180-2). Ten byl o rok později standardizován. V obou případech byla použita architektura Merkle–Damgård. Algoritmus má omezení délky vstupu a hash neobsahuje informaci o této délce, proto je možné zaútočit pomocí prodlužování hashovaného textu.
AES (Advanced Encryption Standard, USA)
Na základě výrazného komunitního rozvoje a kritiky kryptografických algoritmů poskytovaných NSA došlo poprvé k veřejné soutěži o nový standard nazvaný AES (FIPS 197). Co bylo příčinou tohoto zadání je patrně na dlouhou diskusi, každopádně se jednalo o vynikající tah. Došlo k soupeření kryptologů téměř z celého světa, soutěž byla prakticky zdarma, standard byl propagován už samotnou soutěží. Zároveň se účinně eliminovalo podezření na případná zadní vrátka, protože je velice náročné takové věci podsunout do existujících algoritmů. Zároveň se jednalo o první americkou standardizační soutěž, kterou kdy vyhrál neameričan (Joan Daemen a Vincent Rijmen). Organizace NIST vydala v roce 2017 ekonomickou analýzu dopadů a možný ekonomický dopad algoritmu se odhaduje okolo 250 triliónů USD. Seznam soutěžících je v této tabulce:
| Algoritmus | Round 1 | Finalisté | Vítěz |
| CAST-256 | ano | - | - |
| CRYPTON | ano | - | - |
| DEAL | ano | - | - |
| DFC | ano | - | - |
| E2 | ano | - | - |
| FROG | ano | - | - |
| HPC | ano | - | - |
| LOKI97 | ano | - | - |
| MAGENTA | ano | - | - |
| MARS | ano | ano | - |
| RC6 | ano | ano | - |
| Rijndael | ano | ano | AES |
| SAFER+ | ano | - | - |
| Serpent | ano | ano | - |
| Twofish | ano | ano | - |
SHA-2 (Secure Hash Algorithm, USA)
Opět se nejednalo o soutěž, algoritmus SHA2 byl navržen v letech 1999-2001 organizací NSA a v roce 2002 standardizován. V té době ještě nebyly výsledky soutěže algoritmu AES a probíhaly stále snahy vyhodnotit dopad a bezpečnost, proto byl patrně zvolen klasický postup. Stejně jako v případě SHA-1 se i v tomto případě jednalo o architekturu Merkle–Damgård. Návrh rozvíjel původní konstrukci SHA-1, rozšířil délku výstupu ze 160b na 256/384/512b, snažil se vypořádat s chybami původního návrhu a byl publikován pod názvem SHA2 (FIPS 180-2). Bohužel zde zůstala omezení maximální velikosti vstupu, nebo chybějící vliv délky vstupního textu na výstupní hash.
SHA-3 (Secure Hash Algorithm, USA)
Na základě úspěchu soutěže AES a hledání nové konstrukce hash funkce byla vypsána soutěž o nový
hashovací standard. Existující veze SHA1/SHA2 měly některá omezení, na které bylo v komunitě poukazováno.
Z uvedených důvodů byla opět vypsána mezinárodní soutěž, probíhající od roku 2009 do roku 2012. V roce
2014 došlo k uveřejnění nového standardu. Výsledkem byla hash funkce postavená na nové architektuře, označované
jako Sponge function.
Jak si představit tuto "houbovou" funkci? Základem je vstupní paměť. Ta obsahuje část, označovanou jako zásobník,
do druhé se vkládají vstupující texty. Nad vstupní pamětí se provádějí XOF (eXpendable Output Function) operace,
které kombinují obsah paměti. Pokud si to představíme na modelu klasické mycí houby a nádoby s vodou, vždy když
houbu namočíme do vody, naplníme ji vodou - vstupním textem. Její stlačení provede XOF a zahodí část dat, část
vždy zůstane uvnitř. Poté, co houbou přeneseme všechnu vodu (data) z nádoby, můžeme ji pořádně vyždímat a to nám
poskytně výstupní hash.
Výhercem této soutěže se tak stal algoritmus KECCAK, nadále označovaný jako SHA-3 (FIPS 202). Mimo této
architektury došlo k tvorbě dalších zajímavých přístupů, jednou z nich byla konstrukce HAIFA, používaná např.
v algoritmu Blake/Blake2/Blake3. Dále, jednalo se o druhou soutěž, kterou vyhrál neamerický tým. Shodou
okolností se jednalo o stejný tým výherců jako u soutěže AES.
| Algoritmus | Submission | Round 1 | Round 2 | Finalisté | Vítěz | Status |
| Abacus | ano | - | - | - | Stažen | |
| ARIRANG | ano | - | - | - | Zamítnut | |
| AURORA | ano | - | - | - | Zlomen | |
| BLAKE | ano | ano | ano | - | Zamítnut | |
| Blender | ano | - | - | - | Zlomen | |
| Blue Midnight Wish | ano | ano | - | - | Zamítnut | |
| Boole | ano | - | - | - | Stažen | |
| CRUNCH | ano | - | - | - | Zamítnut | |
| CubeHash | ano | ano | - | - | Zamítnut | |
| DCH | ano | - | - | - | Stažen | |
| Dynamic SHA | ano | - | - | - | Zlomen | |
| Dynamic SHA2 | ano | - | - | - | Zlomen | |
| ECOH | ano | - | - | - | Zlomen | |
| Edon-R | ano | - | - | - | Zlomen | |
| ECHO | ano | ano | - | - | Zamítnut | |
| EnRUPT | ano | - | - | - | Zlomen | |
| ESSENCE | ano | - | - | - | Zlomen | |
| FSB | ano | - | - | - | Zamítnut | |
| Fugue | ano | ano | - | - | Zamítnut | |
| Grøstl | ano | ano | ano | - | Zamítnut | |
| Hamsi | ano | ano | - | Zamítnut | ||
| HASH 2X | not accepted | - | - | - | - | Removed |
| Cheetah | ano | - | - | - | Zlomen | |
| CHI | ano | Zamítnut | ||||
| JH | ano | ano | ano | - | Zamítnut | |
| Keccak | ano | ano | ano | SHA-3 | Standard | |
| Khichidi-1 | ano | - | - | - | Stažen | |
| LANE | ano | - | - | - | Zamítnut | |
| Lesamnta | ano | - | - | - | Zamítnut | |
| Luffa | ano | ano | - | - | Zamítnut | |
| LUX | ano | - | - | - | Zlomen | |
| Maraca | not accepted | - | - | - | - | Removed |
| MCSSHA-3 | ano | - | - | - | Zlomen | |
| MD6 | ano | - | - | - | Zamítnut | |
| MeshHash | ano | - | - | - | Stažen | |
| NaSHA | ano | - | - | - | Zlomen | |
| NKS 2D | not accepted | - | - | - | - | Removed |
| Ponic | not accepted | - | - | - | - | Removed |
| SANDstorm | ano | - | - | - | Zamítnut | |
| Sarmal | ano | - | - | - | Zamítnut | |
| Sgàil | ano | - | - | - | Zlomen | |
| Shabal | ano | ano | - | - | Zamítnut | |
| SHAMATA | ano | - | - | - | Stažen | |
| SHAvite-3 | ano | ano | - | - | Zamítnut | |
| SIMD | ano | ano | - | - | Zamítnut | |
| Skein | ano | ano | ano | - | Zamítnut | |
| Spectral Hash | ano | - | - | - | Zlomen | |
| StreamHash | ano | - | - | - | Stažen | |
| SWIFFTX | ano | - | - | - | Zamítnut | |
| Tangle | ano | - | - | - | Stažen | |
| TIB3 | ano | - | - | - | Zamítnut | |
| Twister | ano | - | - | - | Zlomen | |
| Vortex | ano | - | - | - | Zlomen | |
| WaMM | ano | - | - | - | Stažen | |
| Waterfall | ano | - | - | - | Stažen | |
| ZK-Crypt | not accepted | - | - | - | - | Removed |
LWC (LightWeight Cryptography, USA)
Soutěž v oblasti lehké kryptografie pokrývala specifické požadavky na šifrovací algoritmy, určené pro systémy s omezenými zdroji. Pod tímto termínem se skrývá nízký výkon nebo malé schopnosti procesoru, malá paměť, nedostatečné vstupy náhodnosti nebo chybějící kryptoakcelerátory. Může se jednat o internet věcí, průmyslové systémy, platební či přístupové karty atd. I tato zařízení potřebují zajistit akceptovatelným způsobem ochranu komunikace, ale dostupné zdroje na standardní algoritmy nemusí stačit. Z uvedeného důvodu došlo v roce 2018 k vypsání této soutěže a v roce 2023 došlo k zveřejnění výherců. V současnosti je uveřejněn draft pro nový standard. Výhercem této soutěže se stal algoritmus ASCON (NIST SP 800-232), který poskytuje odpovídající ochranu i pro zařízení s takto omezenými schopnostmi. Zajímavostí je, že tento algoritmus byl zároveň výhercem evropské soutěže CAESAR (viz. dále)
| Algoritmus | Round 1 | Round 2 | Vítěz |
| ACE | Zamítnut | - | |
| ASCON | ASCON | ||
| Bleep64 | Zamítnut | - | - |
| CiliPadi | Zamítnut | - | - |
| CLAE | Zamítnut | - | - |
| CLX | Zamítnut | - | - |
| COMET | Zamítnut | - | |
| DryGASCON | Zamítnut | - | |
| Elephant | Elephant | ||
| ESTATE | - | - | |
| FlexAEAD | Zamítnut | - | - |
| ForkAE | Zamítnut | - | |
| Fountain | Zamítnut | - | - |
| GAGE and InGAGE | Zamítnut | - | - |
| GIFT-COFB | GIFT-COFB | ||
| Gimli | Zamítnut | - | |
| Grain-128AEAD | Grain-128AEAD | ||
| HERN&HERON | Zamítnut | - | - |
| HYENA | Zamítnut | - | |
| ISAP | ISAP | ||
| KNOT | Zamítnut | - | |
| LAEM | Zamítnut | - | - |
| Liliput-AE | Zamítnut | - | - |
| Limdolen | Zamítnut | - | - |
| LOTUS-AEAD and LOCUS-AEAD | Zamítnut | - | |
| mixFeed | Zamítnut | - | |
| ORANGE | Zamítnut | - | |
| Oribatida | Zamítnut | - | |
| PHOTON-Beetle | - | - | |
| Pyjamask | Zamítnut | - | |
| Qameleon | Zamítnut | - | - |
| Quartet | Zamítnut | - | - |
| REMUS | Zamítnut | - | - |
| Romulus | Romulus | ||
| SAEAES | Zamítnut | - | |
| Saturnin | Zamítnut | - | |
| Shamash&Shamashash | Zamítnut | - | - |
| SIMPLE | Zamítnut | - | - |
| SIV-Rijndael256 | Zamítnut | - | - |
| SIV-TEM-PHOTON | Zamítnut | - | - |
| SKINNY-AEAD/SKINNY-HASH | Zamítnut | - | |
| SNEIK | Zamítnut | - | - |
| SPARKLE (SCHWAEMM and ESCH) | SPARKLE | ||
| SPIX | Zamítnut | - | |
| SpoC | Zamítnut | - | |
| Spook | Zamítnut | - | |
| Subterranean 2.0 | Zamítnut | - | |
| SUNDAE-GIFT | Zamítnut | - | |
| Sycon | Zamítnut | - | - |
| Thank Goodness It’s Friday (TGIF) | Zamítnut | - | - |
| TinyJambu | TinyJambu | ||
| Triad | Zamítnut | - | - |
| TRIFLE | Zamítnut | - | - |
| WAGE | Zamítnut | - | |
| Xoodyak | Xoodyak | ||
| Yarará and Coral | Zamítnut | - | - |
PQC (Post Quantum Cryptography, USA)
Od roku 2017 běží soutěž o nové standardy pro kryptografii odolnou kvantovým počítačům. Tato soutěž se v roce 2022 rozšířila o větev označovanou jako Additional Digital Signature Scheme, V současnosti jsou k dispozici první kryptografická schémata ML-KEM (FIPS 203), ML-DSA (FIPS 204) a SHL-DSA (FIPS 205). Ve fázi návrhu je standard FN-DSA (FIPS 206). Přestože jak z hlavní tak z vedlejší větve standardizace máme velké množství algoritmů pro digitální podpis, bohužel prozatím je k dispozici pouze jediný algoritmus pro domluvu na klíčích. Hledání alternativ v této oblasti je v současnosti jedním z důležitých cílů standardizačních institucí. Více o algoritmech, které jsou součástí uvedených výběrů v samostatném článku.
Evropa
NESSIE a eSTREAM byly dvě po sobě následující soutěže, které měly z hlediska kryptografie zajímavou souvislost. Důvod je jednoduchý, soutěž eSTREAM je přímým následníkem NESSIE. Důvodem bylo selhání všech soutěžících proudových šifer v soutěži NESSIE. Mimo uvedené dvě soutěže pod patronátem ECRYPT se v Evropě pořádaly dvě další, jednalo se o komunitní soutěže PHC a soutěž CAESAR.
NESSIE (New European Schemes for Signatures, Integrity, and Encryption, Evropa)
Projekt NESSIE byl vyhlášen v roce 2000 a uzavřen v roce 2003. Inspiroval se soutěží AES a zaměřoval se na hledání nových šifrovacích algoritmů pro Evropu. V případě proudových algoritmů ale narazil na značný problém nedostatečné úrovně vývoje. Prakticky všechny proudové šifry byly v průběhu soutěže vyloučeny a na základě získaných znalostí byl následně o rok později odstartován projekt eSTREAM. Díky tomuto projektu tak došlo k výraznému pokroku na poli proudových šifer. Projekt NESSIE zároveň akceptoval v průběhu soutěže nově zvolený algoritmus AES (výsledek soutěže v USA) pro použití v Evropě, stejně jako nově zvolený algoritmus CAMELLIA (výsledek Japonské soutěže CRYPTREC).
| Algoritmus | Submission | Phase 1 | Phase 2 | Vítězné |
| CS-Cipher (64b) | Zamítnut | - | - | |
| Hierocrypt-L1 (64b) | Zamítnut | - | - | |
| IDEA (64b) | ano | Zamítnut | - | |
| Khazad (64b) | ano | Zamítnut | - | |
| MISTY 1 (64b) | ano | MISTY-1 | ||
| Nimbus (64b) | Zamítnut | - | - | |
| Anubis (128b) | Zamítnut | - | - | |
| Camellia (128b) | ano | Camellia | ||
| Grand Cru (128b) | Zamítnut | - | - | |
| Hierocrypt-3 (128b) | Zamítnut | - | - | |
| Noekeon (128b) | Zamítnut | - | - | |
| Q (128b) | Zamítnut | - | - | |
| SC2000 (128b) | Zamítnut | - | - | |
| SHACAL (160b) | SHACAL-1/SHACAL-2 | SHACAL-2 | ||
| NUSH (variable lengtg) | Zamítnut | - | - | |
| RC6 (variable lengtg) | Zamítnut | - | - | |
| SAFER++ (variable lengtg) | ano | Zamítnut | - | |
| BGML (stream) | BGML 1 | Zamítnut | - | |
| Leviatan (stream) | Zamítnut | - | - | |
| LILI-128 (stream) | Zamítnut | - | - | |
| SNOW (stream) | SNOW 2.0 | Zamítnut | - | |
| SOBER-t16 (stream) | ano | Zamítnut | - | |
| SOBER-t32 (stream) | ano | Zamítnut | - | |
| Two-Track-MAC (MAC) | ano | Two-Track-MAC | ||
| UMAC (MAC) | ano | UMAC | ||
| Whirlpool (hash) | ano | Whirlpool | ||
| ACE Encrypt (KEM) | ano | ACE-Ecnrypt | ||
| ECIES (KEM) | ano | Zamítnut | - | |
| EPOC (KEM) | EPOC-2 | Zamítnut | - | |
| PSEC (KEM) | PSEC-KEM | PSEC-KEM | ||
| RSA-OAEP (KEM) | ano | RSA-KEM | ||
| ACE Sign (DSA) | Zamítnut | - | - | |
| ECDSA (DSA) | ano | ECDSA | ||
| ESIGN (DSA) | ESIGN-D | Zamítnut | - | |
| FLASH (DSA) | Zamítnut | - | - | |
| QUARTZ (DSA) | ano | Zamítnut | - | |
| RSA-PSS (DSA) | ano | RSA-PSS | ||
| SFLASH (DSA) | SFLASHv2/SFALSHv3 | SFLASH | ||
| GPS (Asymmetric ID) | GPSv2.0 | GPS |
eSTREAM (ECRYPT Stream Cipher Project)
Následníkem soutěže NESSIE byl eSTREAM. Ten zahájil svoji činnosti 2004 a výsledky byly vyhlášeny již v roce 2008. Zaměřila se čistě na vývoj a volby v oblasti proudových algoritmů. Jedním z výsledků této soutěže byla i v současnosti velmi populární rodina algoritmů SALSA (Salsa/12, Salsa20, ChaCha/12 a ChaCha/20). Na jejím základě následně vznikla i skupina hash algoritmů Blake (architektura HAIFA).
| Algoritmus | Submission | Round 1 | Round 2 | Finalisti | Vítězství |
| ABC v3 (supersedes: ABC v1) | Zamítnut | - | - | ||
| Achterbahn-80 (also Achterbahn-128) | Zamítnut | - | - | ||
| CryptMT v3 (supersedes: CryptMT v1, Fubuki) | Zamítnut | - | |||
| DECIM v2 (supersedes: DECIM v1) | Zamítnut | - | |||
| DICING P2 (supersedes: DICING P1) | Zamítnut | - | - | ||
| Dragon | Zamítnut | - | |||
| Edon-80 | Zamítnut | - | |||
| F-FCSR-H | Widthraw | - | - | - | - |
| F-FCSR-H (also F-FCSR-16; supersedes: F-FCSR) | Zamítnut | - | |||
| Frogbit | Zamítnut | - | - | - | |
| Grain v1 (supersedes: Grain v0) | Hardware | Hardware | |||
| HC-128 (also HC-256) | Software | Software | |||
| Hermes8 | Zamítnut | - | - | ||
| LEX | Zamítnut | - | |||
| MAG | Zamítnut | - | - | - | |
| MICKEY 2.0 (also MICKEY-128 v2) | Hardware | Hardware | |||
| Mir-1 | Zamítnut | - | - | - | |
| MOUSTIQUE (supersedes: MOSQUITO) | Zamítnut | - | |||
| NLS v2 (supersedes: NLS v1) | Zamítnut | - | |||
| Phelix | Zamítnut | - | - | ||
| Polar Bear v2 (supersedes: Polar Bear v1) | Zamítnut | - | - | ||
| POMARANCH v3 (supersedes: POMARANCH v1) | Zamítnut | - | |||
| Py | Zamítnut | - | - | ||
| Rabbit | Software | Software | |||
| Salsa20/12 (also Salsa20/8, Salsa20) | Software | Software | |||
| SFINKS | Zamítnut | - | - | - | |
| SOSEMANUK | Software | Software | |||
| SSS | Zamítnut | - | - | - | |
| TRBDK3 YAEA | Zamítnut | - | - | - | |
| Trivium | Hardware | Hardware | |||
| TSC-4 (supersedes: TSC-3) | Zamítnut | - | - | ||
| VEST P2 (supersedes: VEST P1) | Zamítnut | - | - | ||
| WG P2 (supersedes: WG P1) | Zamítnut | - | - | ||
| Yamb | Zamítnut | - | - | - | |
| ZK-Crypt P2 (supersedes: ZK-Crypt P1) | Zamítnut | - | - |
PHC (Password Hashing Competition, Evropa)
Pro účely ověřování hesel se původně používala oddělená databáze s údaji v otevřené formě, následně
se začal používat algoritmus DES pro symetrické šifrování. V té době zároveň vznikl
crypt interface, jeho první použití je
datováno do roku 1974. Použití hash funkcí pro jednosměrné ověřování
byla záležitost osmdesátých let a devadesátých let. Jejich jednosměrnost byla výhodou oproti symetrickým
šifrám. Bohužel s jejich použitím se zároveň objevily i útoky, které směřovaly jak na hash funce, tak
na způsob jejich užití. Zpočátku se jednalo o využití pro hash funkcí pro tvorbu duhových tabulek
(Rainbow table). V takovém případě dojde k předpočítání a díky tomu tak k výměně výpočetního času za diskový
prostor, tím se výrazně urychlí útok. Naštěstí je využití duhových tabulek omezeno na úzké rozmezí možných
vstupů a je možné se mu relativně snadno bránit použitím soli (parametr, generovaný pro každé jednotlivé heslo
samostatně). Bohužel, hash funkce nejsou dokonalé a bylo potřeba přijít s dalšími metodami ochrany, které
posunou útočníka mimo oblast rentability útoku. Prvním krokem byly složené hash funkce (HMAC), následně PBKDF2
nad hash funkcemi a nakonec se začala hledat speciální třída pomalých hash funkcí.
Speciální třída pomalých hash funkcí je schopná se bránit tvorbě duhových tabulek a má zvýšené nároky na paměť
a procesor. Díky tomu se zvyšují náklady na útok za hranici, kterou útočník akceptuje. V roce 2013 došlo
k vyhlášení soutěže PHC, která byla uzavřena o dva roky později. Cílem bylo zajistit standardizaci, nakonec
ze spolupráce s autoritami sešlo. Přesto byl nalezen a obecně akceptován výherce, další byly algoritmy byly
označeny za extrémně slibné. Celý přehled je v následujícím seznamu:
| Název | Submission | Round 1 | Round 2 | Finalisté |
| AntCrypt | Zamítnut | - | - | |
| Argon and Argon2 | Vítěz | |||
| battcrypt | Zamítnut | - | ||
| Catena | Zvláštní ocenění | |||
| Catfish | Not accepted | - | - | - |
| Centrifuge | Zamítnut | - | - | |
| EARWORM | Zamítnut | - | - | |
| Gambit | Zamítnut | - | - | |
| Lanarea | Zamítnut | - | - | |
| Lyra2 | Zvláštní ocenění | |||
| M3lcrypt | Not accepted | - | - | - |
| Makwa | Zvláštní ocenění | |||
| MCS_PHS | Zamítnut | - | - | |
| Omega Crypt | Zamítnut | - | - | |
| Parallel | Zamítnut | - | ||
| PolyPassHash | Zamítnut | - | - | |
| POMELO | Zamítnut | - | ||
| Pufferfish | Zamítnut | - | ||
| RIG | Zamítnut | - | - | |
| Schvrch | Zamítnut | - | - | |
| Tortuga | Zamítnut | - | - | |
| TwoCats | Zamítnut | - | - | |
| Yarn | Zamítnut | - | - | |
| yescrypt | Zvláštní ocenění |
CAESAR (Competition for Authenticated Encryption: Security, Applicability, and Robustness, Evropa)
V roce 2012 byla oznámena a o rok později otevřena soutěž o nové algoritmy schopné zajistit autentizované šifrování. Vývoj v té oblasti ukázal na některé slabiny spojené s AE (Autenticated Encryption) a AEAD (Authenticated Encryption with Associated Data). To znamená šifrování, u kterého je možné prokázat nejenom důvěrnost, ale i autenticitu, tedy kdo tato data šifroval. Uvedená soutěž byla ukončena v roce 2019, ale její výsledky nedošly naplnění ve formě standardu. Soutež samotná je obtížně čitelná. Přesto výherce této soutěže zároveň vyhrál i soutěž NIST LWC. Seznam projektu CAESAR je uveden zde:
| Algoritmus | Submission | Round 1 | Round 2 | Round 3 | Round 4 | Round 5 | Finalisté |
| ++AE | 1st round | - | - | - | - | - | |
| ACORN | 2. místo / použití č.1 | ||||||
| AEGIS-128 | - | - | - | - | - | - | |
| AEGIS-128L | 1. místo / použití č.2 | ||||||
| AEGIS-256 | 1. místo / použití č.2 | ||||||
| AES-CMCC | 1st round | - | - | - | - | - | |
| AES-COBRA | Stažen | - | - | - | - | - | |
| AES-COPA | COLM | 2. místo / použití č.3 | |||||
| AES-CPFB | 1st round | - | - | - | - | - | |
| AES-OTR | - | - | - | AES-OTR | - | - | |
| AEZ | - | - | - | AEZ | - | - | |
| Artemia | 1st round | - | - | - | - | - | |
| ASCON | 1. místo / použití č.1 | ||||||
| Avalanche | 1st round | - | - | - | - | - | |
| Calico | Stažen | - | - | - | - | - | |
| CBA | 1st round | - | - | - | - | - | |
| CBEAM | Stažen | - | - | - | - | - | |
| CLOC and SILC | - | - | - | CLOC and SILC | - | - | |
| DEOXYS-I | - | - | - | DEOXYS-II | 1. místo / použití č.3 | ||
| ElmD | COLM | 2. místo / použití č.3 | |||||
| Enchilada | 1st round | - | - | - | - | - | |
| FASER | Stažen | - | - | - | - | - | |
| HKC | Stažen | - | - | - | - | - | |
| HS1-SIV | - | - | HS1-SIV | - | - | - | |
| ICEPOLE | - | - | ICEPOLE | - | - | - | |
| iFEED | 1st round | - | - | - | - | - | |
| iSCREAM | 1st round | - | - | - | - | - | |
| JAMBU | - | - | - | JAMBU | - | - | |
| Joltik | - | - | Joltik | - | - | - | |
| Julius | 1st round | - | - | - | - | - | |
| Ketje | - | - | - | Ketje | - | - | |
| Keyak | - | - | - | Keyak | - | - | |
| KIASU | 1st round | - | - | - | - | - | |
| LAC | 1st round | - | - | - | - | - | |
| Marble | Stažen | - | - | - | - | - | |
| McMambo | Stažen | - | - | - | - | - | |
| Minalpher | - | - | Minalpher | - | - | - | |
| MORUS | 2. místo / použití č.2 | ||||||
| NORX | - | - | - | NORX | |||
| OCN | |||||||
| OMD | - | - | OMD | - | - | - | |
| PAEQ | - | - | PAEQ | - | - | - | |
| PAES | Stažen | - | - | - | - | - | |
| PANDA | Stažen | - | - | - | - | - | |
| POET | - | - | POET | - | - | - | |
| POLAWIS | 1st round | - | - | - | - | - | |
| PRIMATEs | - | - | PRIMATEs | - | - | - | |
| Prøst | 1st round | - | - | - | - | - | |
| Raviyoyla | 1st round | - | - | - | - | - | |
| Sablier | 1st round | - | - | - | - | - | |
| SCREAM | - | - | SCREAM | - | - | - | |
| SHELL | - | - | SHELL | - | - | - | |
| STRIBOB | - | - | STRIBOB | - | - | - | |
| Tiaoxin | - | - | - | Tiaoxin | - | - | |
| TriviA-ck | - | - | TriviA-ck | - | - | - | |
| Wheesht | 1st round | - | - | - | - | - | |
| YAES | 1st round | - | - | - | - | - | |
| Π-Cipher | - | - | Π-Cipher | - | - | - |
Japonsko
Japonsko má vlastní strukturu standardizace. Pro výběr využívá komisi CRYPTREC, která přihlíží i ke standardům dalších zemí.
CRYPTREC (Cryptography Research and Evaluation Committees, Japonsko)
Jedná se o je japonskou komisi, která prováděla vyhodnocování mechanismů poprvé v roce 2003. Uvedená aktivita se se opakovala i v letech 2013 a 2023 (zdá se, že vždy po 10 letech). Výsledky hodnocení jednotlivých šifrových algoritmů jsou publikovány a vytváří závazná pravidla pro japonský trh. Algoritmus Camellia (jeden z výherců) je navíc mezinárodně akceptován a částečně akcelerovatelný pomocí AES-NI instrukcí. Celý seznam je zde:
| 2003 | 2013 | 2023 | |
| Digitální podpis | DSA | DSA | DSA |
| ECDSA | ECDSA | ECDSA | |
| RSASSA-PKCS1v1.5 | RSASSA-PKCS1v1.5 | RSASSA-PKCS1v1.5 | |
| RSA-PSS | RSA-PSS | RSA-PSS | |
| Výměna klíčů | RSA-OAEP | RSA-OAEP | RSA-OAEP |
| RSAES-PKCS1-V1.5 | |||
| Domluva na klíčích | DH | DH | DH |
| ECDH | ECDH | ECDH | |
| PSEC-KEM | |||
| Blokové šifry 64b | CIPHERUNICORN-E | ||
| Hierocrypt-L1 | |||
| MISTY1 | |||
| 3-key Triple DES | 3-key Triple DES | 3-key Triple DES | |
| Blokové šifry 128b | AES | AES | AES |
| Camellia | Camellia | Camellia | |
| CIPHERUNICORN-A | |||
| Hierocrypt-3 | |||
| SC2000 | |||
| Módy blokových šifer | CBC | CBC | |
| CFB | CFB | ||
| CTR | CTR | ||
| OFB | OFB | ||
| AEAD módy | CCM | CCM | |
| GCM | GCM | ||
| Proudové šifry | MUGI | Kcipher-2 | Kcipher-2 |
| MULTI-S01 | |||
| 128-bit RC4 | |||
| Zajištění integrity | CMAC | CMAC | |
| HMAC | HMAC | ||
| Ověření identity | ISO/IEC 9798-2 | ISO/IEC 9798-2 | |
| ISO/IEC 9798-3 | ISO/IEC 9798-3 | ||
| Hash | RIPEMD-160 | ||
| SHA-1 | |||
| SHA-256 | SHA-256 | SHA-256 | |
| SHA-384 | SHA-384 | SHA-384 | |
| SHA-512 | SHA-512 | SHA-512 | |
| PRNG/CSPRNG | ANSI X9.42-2001 Annex C.1 based on SHA1 | ||
| FIPS 186-2 Appendix 3.1 based on SHA1 | |||
| FIPS 186-2 revised Appendix 3.1 based on SHA1 |
Jižní Korea
Standardizace v Jižní Korei se vydala jinou cestou. Tato země se snaží propagovat svoje technologie pomocí produktů vyráběných na jejím trhu, zároveň podporuje obecně přijaté standardy. Z uvedeného důvodu produkty jejich firem podporují i národní algoritmy ARIA (spolupráce bezpečnostních složek a akademického prostředí) a SEED (bezpečnostní složky). Oba uvedené algoritmy jsou součástí např. SSL/TLS. Mimo uvedených algoritmů v tuto chvíli běží standardizace KpQC pro kryptografii odolnou kvantovým počítačům, která je vedená předními světovými odborníky.
KpqC competition (Korea Post Quantum Cryptography competition, Jižní Korea)
Jedná se o probíhající soutěž s cílem vybrat odpovídající algoritmy pro kryptografii odolnou kvantovým počítačům. Více o algoritmech, které jsou součástí uvedených výběrů v článku
Rusko
Ruská federace ještě z dob Svazu Sovětských Socialistických Republik udržuje standardy GOST (государственный стандарт / gosudarstvennyi standard). Jedná se o sadu standardů původně odpovídajícím požadavkům Sovětského svazu a do jisté míry i členů skupiny RVHP, v současnosti spíše Euroasijském výboru pro standardizaci (EASC - Euro-Asian Council for Standardization, Metrology and Certification), který působí v rámci Společenství nezávislých států (CIS - Commonwealth of Independent States) a EAEU (Euro-Asian Economic Union). V tuto chvíli zde existují standardy, ale není mi nic známo o soutěžích v této oblasti. I zde jsou akceptované algoritmy jako je AES a další. Zajímavostí v této oblasti je algoritmus Magma, který je vrstevníkem algoritmu DES.
| Standard | Účel | Název |
| GOST 34.10–2018 | DSA | |
| GOST 34.11–2018 | Hash | Streebog |
| GOST 34.12–2018 | Blokové šifry | Magma, Kuznyechik |
| GOST 34.13–2018 | Módy operací blokových šifer | ECB, CTR, OFB, CBC, CFB, MAC (CMAC/OMAC) |
Indie
Indie má v plánu vcelku rozsáhlý program věnující se kryptografii, ale bohužel jsem nebyl schopen najít žádné informace týkající se konkrétních soutěží, pokud probíhají. Roadmapa je k nahlédnutí zde.
Čína
Algoritmy rodiny ShāngMì byly navrženy a vyvinuty v centru pro zajištění bezpečné komunikace na Čínské akademií věd (CAS – Chinese Academy of Science, Data Assurance & Communication Security Center) a Kryptografickým testovacím centrem (Commercial Cryptography Testing Center, National Cryptography Administration). Cílem bylo navrhnout odpovídající metody ochrany zabezpečení komunikace s autentizace pro sítě využívající SSL/TLS a WiFi sítě, kde obavou byla možná zadní vrátka v existujících technologiích. Alespoň část těchto algoritmů byla přibližně v letech 2006 odtajněna a v roce 2016 se staly národními standardy.
Do uvedeného seznamu jsem přidal dva algoritmy, které zde nepatří. Jedná se o algoritmy ZUC, používaný v sítích 3G/4G/5G a standardizovaný 3GPP, dále pak algoritmus SSFF3. Rodina ShāngMì spolu s těmito algoritmy je tak v tuto chvíli používaná v širokém rozsahu aplikací, od WiFi, TLS, přes přístupové karty, komunikace s GPS Beidou, mobilní sítě a možná i v dalších, speciálních aplikacích.
| Název | Typ algoritmu | Detaily | Standardy |
| SM1/SCB2 | Blokový | blok=128b, klíč=128b | |
| SM2 | ECC křivka | 256b, ekvivalent NIST P256 | GM/T 0003, GB/T 32918, RFC 8998 |
| SM3 | Hash | Výstup 256b, ekvivalent SHA256 | GM/T 000č, GB/T 32905, RFC 8998 |
| SM4 | Blokový | blok=128b, klíč=128b, ekvivalent AES | GM/T 0002, GB/T 32907, RFC 8998 |
| SM7 | Blokový | blok=64b, klíč=128b | |
| SM9 | ECC křivka | 256b, ekvivalent NIST P256 | ISO/IEC 11770-3, ISO/IEC 14888-3, ISO/IEC 18033-5, IEEE 1363.3, GM/T 0044-2016, RFC 6508 |
| ZUC/Zu Chongzhi | Blokový | šířka klíče 128b | GM/T 0001-2016, 3GPP 35.222 |
| SSFF3 | Blokový |
CACR PQC standardization (China Association for Cryptography Research: Post Quantum Cryptography standardization) a CACR cryptography standardization (China Association for Cryptography Research: Cryptography standardization)
V lednu 2020 došlo k publikaci čínských standardů věnujících se kryptografii odolné kvantovým počítačům. Zároveň byly publikovány i nové symetrické algoritmy. Uvedený materiál popisuje jak symetrické, tak kvantovým počítačům odolné algoritmy. Více o algoritmech odolných kvantovým počítačům, které jsou součástí uvedeného výběru je možné najít v článku.
CACR cryptography standardization (China Association for Cryptography Research: Cryptography standardization)
Čína se snaží projevit svoji nezávislost i v této oblasti. V nedávné době jsem narazil na informaci, že Rusko
by mělo mít zájem na tomto vývoji spolupracovat, ale informací je málo a pro mne jsou obtížně čitelné.
Více informací o soutěži lze najít na:
CACR cryptography standardization
Výherci: uBlock, Ballet, FESH, ANT, TANGRAM, RAINDROP, NBC, FBC, SMBA, SPRING
| Algoritmus | Výsledek |
| ANT | Zvolen |
| Ballet | Zvolen |
| BTW | Vyřazen |
| CFE | Vyřazen |
| CSE | Vyřazen |
| FBC | Zvolen |
| FESH | Zvolen |
| Flux | Vyřazen |
| JieAn | Vyřazen |
| NBC | Zvolen |
| Pilot | Vyřazen |
| Q | Vyřazen |
| Raindrop | Zvolen |
| SMBA | Zvolen |
| SPRING | Zvolen |
| SWAN | Vyřazen |
| TANGRAM | Zvolen |
| TASS1 | Vyřazen |
| TASS2 | Vyřazen |
| TULIP | Vyřazen |
| TYB | Vyřazen |
| uBlock | Zvolen |
Reference:
- DES: Data Encryption Standard (FIPS-46)
Zdroj: https://www.nist.gov/ - TDES: Triple Data Encryption Standard (FIPS-46-3)
Zdroj: https://www.nist.gov/ - NIST to Withdraw Special Publication 800-67 Revision 2
Zdroj: https://www.nist.gov/ - SHA/SHA-0 - Secure Hash Function (FIPS-180)
Zdroj: https://www.nist.gov/ - SHA-1 - Secure Hash Function (FIPS-180-1)
Zdroj: https://www.nist.gov/ - SHA-2 - Secure Hash Function (FIPS-180-2)
Zdroj: https://www.nist.gov/ - AES Competition
Zdroj: https://www.nist.gov/ - AES: Advanced Encryption Standard (FIPS-197)
Zdroj: https://www.nist.gov/ - The Economic Impacts of the Advanced Encryption Standard, 1996-2017
Zdroj: https://www.nist.gov/ - SHA-2 - Secure Hash Function (FIPS-180-4)
Zdroj: https://www.nist.gov/ - SHA-3 - Secure Hash Function (FIPS-202)
Zdroj: https://www.nist.gov/ - LWC: Lightweight Cryptography
Zdroj: https://www.nist.gov/ - PQC: PostQuantum Cryptography
Zdroj: https://www.nist.gov/ - NESSIE: New European Schemes for Signatures, Integrity, and Encryption
Zdroj: http://www.cosic.esat.kuleuven.be/ - eSTREAM: ECRYPT Stream Cipher Project
Zdroj: http://www.ecrypt.eu.org/stream/ - PHC: Password Hashing Competition
Zdroj: https://www.password-hashing.net/ - CAESAR: Competition for Authenticated Encryption: Security, Applicability, and Robustness
Zdroj: https://competitions.cr.yp.to/ - RTTG: Russian GOST database
Zdroj: https://www.russiangost.com/ - Cryptography Roadmap of India
Zdroj: https://www.meity.gov.in/ - Korea Post-Quantum Cryptography competition
Zdroj: https://kpqc.or.kr/ - CACR cryptography standardization
Zdroj: https://www.cacrnet.org.cn/ - CQCR PQC standardization
Zdroj: https://www.cacrnet.org.cn/ - CRYPTREC: Cryptography Research and Evaluation Committees
Zdroj: https://www.cryptrec.go.jp/en/
Autor článku:
