ються RC5-32/12/K для K=9 .. 16. distributed стартувала проект RC5-72 для злому RC5-32/12/9.
Як пише автор алгоритму, «RC5 - це декілька різних алгоритмів», оскільки, крім секретного ключа, в число параметрів алгоритму входять наступні:
· розмер слова w - RC5 шифрує блоками по два слова, припустимі значення w 16, 32 або 64, причому рекомендується значення 32;
· кількість раундів алгоритму R - як значення допустимо будь-яке ціле число від 0 до 255 включно;
· розмір секретного ключа в байтах b - будь-яке ціле значення від 0 до 255 включно.
На думку автора алгоритму, змінні параметри розширюють сферу використання алгоритму, а також сильно скорочують витрати, якщо необхідний перехід на більш сильний варіант алгоритму - на відміну від DES (основна проблема якого - короткий 56-бітний ключ) , у програмній або апаратної реалізації RC5, підтримуючої змінні параметри, легко було б замінити ключ більш довгим, таким чином усунувши проблему. Ось що пише про це Рон Ривест: «Фіксовані параметри можуть бути не менш небезпечні [змінних], оскільки їх не можна поліпшити при необхідності. Розглянемо проблему DES: його ключ занадто короткий, і немає простого способу збільшити його ».
Автор передбачив і проблему сумісності реалізацій RC5 з різними параметрами - кожне зашифроване повідомлення рекомендується випереджати заголовком, що містить список значень основних параметрів алгоритму. Передбачається, що в цьому випадку для розшифрування повідомлення слід встановити параметри з заголовка, після чого (за наявності коректного ключа) повідомлення легко буде розшифрувати.
Структура алгоритму представлена ??на рис. 2.13. Алгоритм являє собою мережу Фейстеля, в кожному раунді якої виконуються наступні операції:
A=((A (+) B) <<< B) + K2 * r mod 2w, (2.7)=((A (+) B) <<< ; A) + K2 * r +1 mod 2w, (2.8)
де r - номер поточного раунду, починаючи з 1; Kn - фрагмент розширеного ключа; <<< n - операція циклічного зсуву на x біт вліво, де x - значення молодших log2 w біт n
Рис 2.13. Структура алгоритму RC5.
Перед першим раундом виконуються операції накладення двох перших фрагментів розширеного ключа на шіфруемие дані:
A=A + K0 mod 2w (2.9)=B + K1 mod 2w (2.10)
Варто відзначити, що під словом «раунд» в описі алгоритму Ривест розуміє перетворення, що відповідають двом раундів звичайних алгоритмів, структура яких представляє собою мережу Фейстеля (див. рис. 2.13). Це означає, що раунд алгоритму RC5 обробляє блок цілком, тоді як типовий раунд мережі Фейстеля обробляє тільки один субблок зазвичай половину блоку, рідше його чверть.
Алгоритм разюче простий - в ньому використовуються лише операції додавання за модулем 2 і по модулю 2w, а також зрушення на змінне число біт. Остання з операцій представляється автором алгоритму як революційне рішення, не використане в більш ранніх алгоритмах шифрування (до алгоритму RC5 такі операції використовувалися тільки в алгоритмі Madryga, не отримав широкої популярності): зрушення на змінне число біт - це вельми просто реалізована операція, яка, однак , суттєво ускладнює диференційний і лінійний криптоаналіз алгоритму. Простота алгоритму може розглядатися як його важлива перевага - простий алгоритм легше реаліз...
