E2 (англ. Efficient Encryption — эффективное шифрование) — в криптографии семейство симметричных блочных криптоалгоритмов на основе ячейки Фейстеля. E2 использует блок размером 128 бит и ключи длиной 128, 192, 256 бит. Создан в компании NTT (Nippon Telegraph and Telephone) в 1998 году и был представлен на AES конкурсе. Наследником данного шифра является шифр Camellia, который также является результатом творчества компании NTT (Nippon Telegraph and Telephone).

Шифр E2, созданный компанией NTT, был представлен на конкурсе AES вместе с другими четырнадцатью шифрами. E2 прошел тест на криптостойкость успешно. Стойкость шифра E2 не повлияла на его быстродействие. E2 занял одну из лидирующих позиций как в соревновании на скорость шифрования/расшифрования, так и в быстроте формирования ключей. В частности, реализация шифра E2 (компилятор Borland) показала скорость шифрования/расшифрования 26 Мбит/сек. Впрочем, скорость свыше 25 Мбит/сек была показана и пятью другими лидерами. Несмотря на то, что показатели шифра менялись в зависимости от компилятора, платформы и логики, общая тенденция оставалась неизменной. Большинство авторов, писавших о конкурсе AES, утверждают, что E2 наряду с некоторыми другими шифрами успешно прошел первый круг. Однако E2 не попал в финал в пятерку лучших шифров. НИСТ было отмечено, что несмотря на хорошие показатели скорости и отсутствие уязвимостей, требования к энергонезависимой памяти слишком высоки (аналогично пострадал и CAST-256). ^[1]

^[2]

Работу алгоритма шифрования можно разделить на три основные части: IT-функция, или преобразователь начальных данных (англ. initial transformation (IT)), ячейка Фейстеля на базе F-функции, повторяющаяся 12 раз, и FT-функция, или преобразователь конечных данных (англ. finale transformation (FT)). Блок алгоритма, отвечающий за планировку ключей (англ. key sheduling part), до начала шифрования из секретного ключа К создает шестнадцать подключей {k1,..k16}, каждый из которых является 128-разрядным битовым вектором (элементом поля Галуа(2^128)). Первое преобразование открытого текста M производится с помощью IT-функции и двух сгенерированных ключей под номерами 13 и 14(${\displaystyle k_{13}}$ и ${\displaystyle k_{14}}$)

M‘=IT(M,${\displaystyle k_{13}}$,${\displaystyle k_{14}}$)

M` разбивается на два блока ${\displaystyle L_{0}}$ и ${\displaystyle R_{0}}$ равной длины, каждый из элементов ${\displaystyle L_{0}}$ и ${\displaystyle R_{0}}$ является битовым вектором размерностью 64 бита. Затем выполняются 12 циклов преобразований в ячейке Фейстеля, в которой правый блок на текущей итерации цикла ${\displaystyle R_{r}}$ определяется сложением по модулю два левой части предыдущей итерации цикла ${\displaystyle R_{r-1}}$ и результата функции F, аргументами которой являются правая часть предыдущей итерации ${\displaystyle R_{r-1}}$ и ключ ${\displaystyle k_{r}}$, а левому блоку на r шаге цикла присваивается значение правого блока на r-1 шаге. Цикл повторяется 12 раз, то есть r изменяется от 1 до 12

${\displaystyle R_{r}}$ = ${\displaystyle L_{r-1}}$${\displaystyle \oplus F(R_{r-1},k_{r})}$

${\displaystyle L_{r}}$ = ${\displaystyle R_{r-1}}$.

Финальный этап шифрования — выполнение FT-функции. Результат FT-функции, аргументами которой являются конкатенация правой ${\displaystyle R_{12}}$ и левой ${\displaystyle L_{12}}$ частей на выходе 12 итерации ячейки Фейстеля и ключи ${\displaystyle k_{1},k_{2}}$:

${\displaystyle C=FT(C}$`${\displaystyle ,k_{16},k_{15})}$

Расшифрование происходит по схеме, аналогичной шифрованию. Работу алгоритма расшифрования, можно разделить на три основные части: IT-функция (начальное преобразование — англ. initial information (IT)), 12 циклов ячейки Фейстеля с F-функцией и в конце FT-функция (англ. finale transformation (FT)). Блок алгоритма, отвечающий за планировку ключей (англ. key scheduling), из секретного ключа непосредственно перед шифрованием генерирует 16 подключей {${\displaystyle k_{1},k_{2},\dots ,k_{16}}$}, которые являются битовыми векторами размерностью 128 (элементом поля Галуа GF(2^128)). На первом этапе происходит выполнение IT-функции, аргументами которой являются криптограмма С и два подключа ${\displaystyle {k_{15},k_{16}}}$

${\displaystyle C}$`${\displaystyle =IT(C,k_{16},k_{15})}$

Результат IT-функции C` разбивается на 2 равные части по 64 бита(половина блока): правую и левую (${\displaystyle R_{12},L_{12}}$). Далее выполняются 12 циклов ячейки Фейстеля на базе F-Функции (${\displaystyle r}$ меняется от 12 до 1).

${\displaystyle L_{r-1}=R_{r}\oplus F(L_{r},k_{r})}$

${\displaystyle R_{r-1}=L_{r}}$

По завершении последнего цикла ячейки Фейстеля осуществляется конкатенация половинок блока (${\displaystyle L_{0},R_{0}}$). И в конце — финальное преобразование: выполняется FT-функция, аргументами которой являются результат конкатенации ${\displaystyle M}$` и два ключа ${\displaystyle k_{13},k_{14}}$. Результатом выполнения FT-функции является открытый текст ${\displaystyle M}$.

${\displaystyle M=FT(M,k_{13},k_{14})}$

На основе секретного ключа ${\displaystyle K=(K_{1},K_{2},K_{3},K_{4})}$ (${\displaystyle K_{i}}$ {${\displaystyle i=1;2;3;4}$} имеет размерность половины блока, то есть 64 бита и является аргументом для функций шифрования и расшифрования) генерируются подключи ${\displaystyle ki}$ {i=1;2…16} (битовые вектора размерности 128) с помощью G-функции и S-функции. Процедура генерации ключей остается почти неизменной, если длина секретного ключа равна 128, 192 или 256 бит. Если заданная длина 128 бит, в качестве значений ${\displaystyle K_{3},K_{4}}$ выбираются константы следующим образом: ${\displaystyle K_{3}=S(S(S(v_{-1})))}$ , ${\displaystyle K_{4}=S(S(S(S(v_{-1}))))}$. Если длина ключа 192 бита, значение ключа — ${\displaystyle K_{4}=S(S(S(S(v_{-1}))))}$, где S() — S-функция.

${\displaystyle F\colon H\times H^{2}\to H}$

${\displaystyle (X,(K^{(1)},K^{(2)}))\to Y=BRL(S(PS(X\oplus K^{(1)}))\oplus K^{(2)}))}$

BRS(),S(),P() — соответственно BRS-функция, S-функция, P-функция; X,Y — слова двоичного алфавита размерностью 64 бита (половина блока); ${\displaystyle K^{(1)},K^{(2)}}$ — ключи размерностью 128 бит каждый. H — пространство размерности 64 бита.

Суть F-функции — преобразование слов бинарного алфавита размерности 64 бита при заданном ключе размерности 128 бит. Результат преобразования — слово бинарного алфавита размерности 64 бита.

IT-функция или преобразователь начальных данных:

${\displaystyle IT\colon H^{2}\times H^{2}\times H^{2}\to H}$

${\displaystyle (X,A,B)\to Y=BP((X\oplus A)\otimes B)}$

H — пространство слов бинарного алфавита размерности 64 бит; X,A,B — бинарные слова размерности 128 бит; BP() — BP-функция; ${\displaystyle \otimes }$ — бинарная операция.

FT-функция или преобразователь конечных данных:

${\displaystyle FT\colon H^{2}\times H^{2}\times H^{2}\to H}$

${\displaystyle (X,A,B)\to Y=BP^{-1}((XdeB)\oplus A)}$.

H — пространство слов бинарного алфавита размерности 64 бит; X,A,B — бинарные слова размерности 128 бит; ${\displaystyle BP^{-1}}$() — функция, обратная BP-функции; ${\displaystyle de}$ — бинарная операция de.

FT-функция — это функция, обратная IT-функции:

${\displaystyle X=FT(IT(X,A,B),A,B)}$.

BRL-функция(англ. byte rotate left function), или циклический сдвиг влево, — составляющая часть F-функции:

${\displaystyle BRL\colon H\to H}$

${\displaystyle (b1,b2,b3,\dots b8)\to (b2,b3,\dots b8,b1)}$

${\displaystyle b_{i}}$ {${\displaystyle i=1\dots 8}$} — бинарное слово размерности 8 бит(байт) или, иными словами, элемент поля Галуа ${\displaystyle GF(2)^{8}}$.

S-функция — часть F-функции, которая определяется s-box:

${\displaystyle S\colon H\to H}$

${\displaystyle (x_{1},x_{2},\dots x_{8})\to (s(x_{1}),s(x_{2}),\dots s(x_{8}))}$.

S-box, использующийся в S-функции, определяется следующим образом:

${\displaystyle s:B\to B}$

${\displaystyle x\to Affine(Power(x,127),97,255)}$,

где ${\displaystyle Power(x,e)=x^{e}inGF(2^{8})}$

${\displaystyle Affine(y,a,b)=a*y+b(mod2^{8}Z)}$

Не возбраняется при расчетах пользоваться таблицами c уже вычисленными значениями s(x). То есть ${\displaystyle s(0)=225,s(1)=66,\dots ,s(16)=204,\dots ,s(255)=42.}$

P-функция — составляющая часть F-функции

${\displaystyle P\colon H\to H}$

${\displaystyle {\begin{pmatrix}z_{1}\\\vdots \\z_{8}\end{pmatrix}}\to {\begin{pmatrix}z_{1}^{|}\\\vdots \\z_{8}^{|}\end{pmatrix}}=P{\begin{pmatrix}z_{1}\\\vdots \\z_{8}\end{pmatrix}}}$

P — матрица преобразования описывающая P-функцию

${\displaystyle P={\begin{pmatrix}0&1&1&1&1&1&1&0\\1&0&1&1&0&1&1&1\\1&1&0&1&1&0&1&1\\1&1&1&0&1&1&0&1\\1&1&0&1&1&1&0&0\\1&1&1&0&0&1&1&0\\0&1&1&1&0&0&1&1\\1&0&1&1&1&0&0&1\end{pmatrix}}}$

G — функция осуществляет следующее отображение:

${\displaystyle G\colon H^{4}\times H\to H^{4}\times (\!H^{4}\times H)}$

${\displaystyle (\!(\!X_{1},X_{2},X_{3},X_{4})\!,U_{0})\to (\!(\!U_{1},U_{2},U_{3},U_{4}\!),(\!(\!Y_{1},Y_{2},Y_{3},Y_{4}),V\!)\!)}$ , где

${\displaystyle Y_{i}=\!f(X_{i})(i=\!1,2,3,4)}$

${\displaystyle U_{i}=\!f(U_{i-1})\oplus Y_{i}(i=\!1,2,3,4)}$

${\displaystyle V=\!U_{4}}$

${\displaystyle f()}$ — f-функция.

f-функция необходима для вычисления G-функции. f-функция определяется следующим образом:

${\displaystyle f\colon H\to H}$

${\displaystyle X\to P(S(X))}$ , где

P() — P-функция, S() — S-функция.

Бинарный оператор de определяется следующим образом:

${\displaystyle Y=\!XdeB(X,Y,B\in H^{2})}$ , где

${\displaystyle (y_{1},y_{2},y_{3},y_{4})=Y(y_{i}\in W,i=1,2,3,4)}$

${\displaystyle (b_{1},b_{2},b_{3},b_{4})=B(b_{i}\in W,i=1,2,3,4)}$

${\displaystyle x_{i}=\!y_{i}(b_{i}\lor 1)mod2^{32}Z(i=1,2,3,4)}$

${\displaystyle X=(x_{1},x_{2},x_{3},x_{4})}$

${\displaystyle \lor 1}$ — логическое побитовое сложение (логическое «или») с 1 в кольце ${\displaystyle 2^{32}Z}$.

BP- функция, или функция перестановки байтов (англ. byte permutation), является частью IT-функции и FT — функции. Она определяется следующим образом:

${\displaystyle BP:W^{4}\to W^{4}}$

${\displaystyle (x_{1},x_{2},x_{3},x_{4})\to (y_{1},y_{2},y_{3},y_{4})}$ ,где

${\displaystyle (x_{i}^{(1)},x_{i}^{(2)},x_{i}^{(3)},x_{i}^{(4)})=\!x_{i}(x_{i}^{j}\in B{i=1,2,3,4;j=1,2,3,4})}$

${\displaystyle y_{i}=(x_{i}^{(1)},x_{i+1}^{(2)},x_{i+2}^{(3)},x_{i+3}^{(4)})(i=1,2,3,4)}$

${\displaystyle Y=(y_{1},y_{2},y_{3},y_{4})}$.

Обратное к BP — преобразованию, или BP^{-1}, вычисляется следующим образом:

${\displaystyle BP^{-1}:W^{4}\to W^{4}}$

${\displaystyle (y_{1},y_{2},y_{3},y_{4})\to (x_{1},x_{2},x_{3},x_{4})}$ ,где

${\displaystyle (y_{i}^{(1)},y_{i}^{(2)},y_{i}^{(3)},y_{i}^{(4)})=\!y_{i}(y_{i}^{j}\in B{i=1,2,3,4;j=1,2,3,4})}$

${\displaystyle x_{i}=(y_{i}^{(1)},y_{i+1}^{(2)},y_{i+2}^{(3)},y_{i+3}^{(4)})(i=1,2,3,4)}$

${\displaystyle Y=(y_{1},y_{2},y_{3},y_{4})}$.

Сотрудниками компании Information Technology R&D Center Mitsubishi Electric Corporation Мицуру Мацуи (Mitsuru Matsui) и Тосио Токита (Toshio Tokita) была обнаружена нестойкость шифра к дифференциальному криптоанализу.^[3] Несмотря на это шифр (использующий 12 циклов шифрования) остается стойким с практической точки зрения. Хотя Мицуру Мацуи и Тосио Токита удалось показать, что уровень безопасность шифра E2 с меньшим числом циклов шифрования существенно ниже того, что заявлено разработчиками.

Высокие требования к энергонезависимой памяти.

• Camellia
• Блочный шифр
• Ячейка Фейстеля
• AES (конкурс)

• Официальный сайт компании Nippon Telegraph and Telephone
• Сайт The National Institute of Standards and Technology