ISO/IEC 18033-3
ISO/IEC 18033-3 — это международный стандарт, разработанный совместно Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC), который определяет алгоритмы блочного шифрования. Стандарт входит в серию ISO/IEC 18033 «Информационные технологии — Методы защиты — Алгоритмы шифрования» и регламентирует требования к симметричным криптографическим примитивам, используемым для защиты конфиденциальности данных.
История и контекст разработки
Разработка стандарта ISO/IEC 18033-3 началась в конце 1990-х годов в ответ на растущую потребность в унифицированных криптографических алгоритмах для международного обмена данными. К тому времени существовало множество проприетарных и национальных стандартов шифрования (например, американский DES, советский ГОСТ 28147-89), что создавало проблемы совместимости. Первая версия стандарта была опубликована в 2005 году, а последующие редакции (2010, 2015, 2024) расширяли перечень алгоритмов и уточняли спецификации.
Основной целью стандарта стало предоставление разработчикам и организациям набора проверенных, открытых и интероперабельных блочных шифров, пригодных для использования в различных приложениях — от финансовых транзакций до защиты государственных секретов. В отличие от коммерческих алгоритмов (например, AES, принятый в США как FIPS 197), ISO/IEC 18033-3 стремился к консенсусу между разными странами и криптографическими школами, что привело к включению в него алгоритмов, разработанных в разных регионах мира.
Классификация и перечень алгоритмов
Стандарт ISO/IEC 18033-3 определяет три основных типа блочных шифров, различающихся по длине ключа, размеру блока и структуре:
1. Алгоритмы с длиной блока 64 бита
Эти шифры считаются устаревшими для большинства современных применений, но сохраняются в стандарте для обратной совместимости с legacy-системами. К ним относятся:
- TDEA (Triple Data Encryption Algorithm) — тройной DES, использующий три последовательных применения DES с разными ключами. Длина ключа: 112 или 168 бит. Устойчив к атаке «встреча посередине», но имеет низкую скорость обработки.
- MISTY1 — японский алгоритм, разработанный Мицуру Мацуи (Mitsubishi Electric). Использует структуру Фейстеля с 8 раундами. Длина ключа: 128 бит. Был рекомендован для телекоммуникационных систем третьего поколения (3GPP).
- CAST-128 — канадский шифр, разработанный Карлайлом Адамсом и Стаффордом Таваресом (Entrust Technologies). Длина ключа: от 40 до 128 бит. Используется в протоколах PGP и S/MIME.
- HIGHT — корейский лёгкий шифр, оптимизированный для аппаратной реализации. Длина ключа: 128 бит. Разработан для приложений с ограниченными ресурсами (RFID, сенсорные сети).
2. Алгоритмы с длиной блока 128 бит
Это основная категория современных блочных шифров, обеспечивающих высокий уровень безопасности. В стандарт входят:
- AES (Advanced Encryption Standard) — американский стандарт, принятый NIST в 2001 году. Основан на алгоритме Rijndael (авторы: Винсент Рэймен, Йоан Даймен). Длина ключа: 128, 192 или 256 бит. Использует подстановочно-перестановочную сеть (SPN). Является де-факто мировым стандартом для симметричного шифрования.
- Camellia — японский шифр, разработанный NTT и Mitsubishi Electric. Длина ключа: 128, 192 или 256 бит. Имеет структуру, схожую с AES, но с дополнительными операциями (FL-функции). Рекомендован для использования в японских государственных системах.
- SEED — южнокорейский шифр, разработанный KISA (Корейское агентство по интернету и безопасности). Длина ключа: 128 бит. Используется в корейских стандартах электронной подписи и электронного документооборота.
- ARIA — южнокорейский шифр, разработанный в 2003 году. Длина ключа: 128, 192 или 256 бит. Является альтернативой AES в корейских национальных стандартах.
- SM4 — китайский шифр, принятый в качестве национального стандарта КНР (GB/T 32907-2016). Длина ключа: 128 бит. Используется в системах беспроводной связи (WAPI) и защищённых сетях.
3. Алгоритмы с длиной блока 256 бит
Эта категория предназначена для приложений, требующих высокой стойкости к квантовым атакам или обработки больших объёмов данных. Включён только один алгоритм:
- Rijndael-256 — вариант AES с размером блока 256 бит (в отличие от стандартного AES, где блок фиксирован на 128 бит). Длина ключа: 128, 192 или 256 бит. Обеспечивает более высокую диффузию, но имеет пониженную производительность на некоторых платформах.
Устройство и характеристики
Все алгоритмы в ISO/IEC 18033-3 являются блочными шифрами, то есть шифруют данные фиксированными блоками с использованием симметричного ключа. Основные характеристики, регламентируемые стандартом:
- Размер блока — длина шифруемого фрагмента данных (64, 128 или 256 бит).
- Длина ключа — количество бит, используемых для инициализации шифрования (от 40 до 256 бит в зависимости от алгоритма).
- Количество раундов — число итераций преобразований (подстановки, перестановки, XOR с ключом). Например, AES-128 использует 10 раундов, Camellia-128 — 18 раундов.
- Режимы работы — стандарт не определяет режимы шифрования (ECB, CBC, CTR, GCM и др.), но предполагает их использование в сочетании с алгоритмами. Режимы регламентируются отдельным стандартом ISO/IEC 10116.
- Стойкость — все включённые алгоритмы считаются криптостойкими против известных атак (линейный и дифференциальный криптоанализ, атаки на основе связанных ключей) при условии правильной реализации.
Применение
ISO/IEC 18033-3 используется в широком спектре приложений, требующих стандартизированного симметричного шифрования:
- Финансовые системы — шифрование данных банковских карт (EMV), защита транзакций в SWIFT.
- Телекоммуникации — шифрование трафика в сетях 3G/4G/5G (алгоритмы MISTY1, AES, SNOW 3G).
- Государственные системы — защита конфиденциальной информации в правительственных сетях (например, в Японии — Camellia, в Китае — SM4).
- Программное обеспечение — библиотеки OpenSSL, GnuTLS, Bouncy Castle поддерживают большинство алгоритмов из стандарта.
- Аппаратные устройства — смарт-карты, USB-токены, RFID-метки (алгоритмы HIGHT, PRESENT, хотя PRESENT не входит в ISO/IEC 18033-3, но близок по концепции).
Критика и ограничения
Несмотря на широкое признание, стандарт подвергается критике по нескольким причинам:
- Избыточность — включение устаревших алгоритмов (TDEA, MISTY1) может создавать иллюзию безопасности у разработчиков, использующих их в новых проектах.
- Региональная фрагментация — включение национальных алгоритмов (SM4, SEED) отражает политические компромиссы, а не криптографическую необходимость. Это усложняет выбор для международных организаций.
- Отсутствие лёгких шифров — стандарт не включает алгоритмы для IoT-устройств с экстремально ограниченными ресурсами (например, PRESENT, SPECK). Эта ниша покрывается отдельными стандартами, такими как ISO/IEC 29192.
- Скорость обновления — процесс утверждения новой версии стандарта занимает годы, что не позволяет оперативно реагировать на новые криптоаналитические атаки (например, атаки на AES с использованием квантовых компьютеров пока не реализованы, но потенциально снижают стойкость).
Интересные факты
- Алгоритм Camellia был разработан той же командой, что и MISTY1, но имеет принципиально другую структуру.
- SM4 изначально был секретным алгоритмом для китайских государственных сетей и был рассекречен только в 2006 году.
- Стандарт ISO/IEC 18033-3 является одним из немногих международных стандартов, включающих алгоритмы из Китая, Японии и Кореи на равных правах с американским AES.
- В 2024 году вышла новая редакция стандарта, в которой были исключены некоторые устаревшие алгоритмы (например, TDEA рекомендован к выводу из эксплуатации) и добавлены требования к устойчивости к атакам по сторонним каналам (side-channel attacks).
Источники
- ISO/IEC 18033-3:2024 — «Information technology — Security techniques — Encryption algorithms — Part 3: Block ciphers».
- NIST FIPS 197 — «Advanced Encryption Standard (AES)».
- «The Block Cipher Companion» — Lars R. Knudsen, Matthew Robshaw (Springer, 2011).
- «Cryptography and Network Security: Principles and Practice» — William Stallings (Pearson, 2017).
- Технические отчёты ISO/IEC JTC 1/SC 27 (Working Group 2 — Cryptography and security mechanisms).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →