Sandi Feistel

Dalam kriptografi, sandi Feistel (juga dikenal sebagai penyandian blok Luby–Rackoff) adalah struktur simetris yang dipakai dalam penyusunan penyandian blok. Sandi ini dinamai dari fisikawan dan kriptografer kelahiran Jerman Horst Feistel. Sandi ini juga dikenal sebagai jaringan Feistel. Sebagian besar penyandian blok menggunakan skema ini, termasuk Standar Enkripsi Data Amerika Serikat, GOST Uni Soviet, serta sandi modern Blowfish dan Twofish. Dalam sandi Feistel, enkripsi dan dekripsi sangat mirip dan keduanya hanya menjalankan "fungsi ronde" secara iteratif sebanyak sekian kali (jumlah yang tetap).

Banyak penyandian blok simetris yang berdasar pada jaringan Feistel. Jaringan Feistel pertama kali dipakai secara komersial dalam sandi Lucifer milik IBM yang didesain oleh Horst Feistel dan Don Coppersmith pada tahun 1973. Jaringan Feistel mulai disegani ketika, pada tahun 1976, Pemerintah Federal Amerika Serikat mengadopsi DES yang berdasar pada Lucifer dengan perubahan oleh NSA. Seperti komponen lain dalam DES, bentuk iteratif jaringan ini membuat implementasi dalam perangkat keras lebih mudah, terutama pada perangkat keras pada zamannya.

Jaringan Feistel menggunakan fungsi ronde, yaitu fungsi yang menerima dua masukan, blok data dan subkunci, serta mengembalikan satu keluaran yang berukuran sama dengan blok data.^[1] Pada tiap ronde, fungsi ronde dilakukan pada setengah data yang akan dienkripsi, lalu keluarannya dikenai operasi XOR dengan setengah data yang lain. Hal ini diulangi beberapa kali dalam jumlah yang tetap. Hasil akhirnya adalah data yang telah dienkripsi.

Keuntungan jaringan Feistel dibandingkan desain penyandian lain, misal jaringan substitusi–permutasi, adalah bahwa seluruh operasi dijamin dapat dibalik, yaitu hasil enkripsi dapat didekripsi, meski fungsi ronde tidak memiliki inversi. Fungsi ronde dapat dibuat serumit mungkin karena tidak harus memiliki inversi.^[2]Templat:Rp^[3]Templat:Rp Terlebih lagi, operasi enkripsi dan dekripsi sangat mirip, bahkan sama pada beberapa kasus, serta hanya membutuhkan pembalikan penjadwalan kunci. Karena ukuran kode atau rangkaian jaringan ini dapat dipotong setengahnya.

Struktur dan sifat-sifat sandi Feistel telah dianalisis oleh para kriptografer.

Michael Luby dan Charles Rackoff menganalisis susunan sandi Feistel dan membuktikan bahwa, bila fungsi ronde adalah fungsi acak semu yang aman secara kriptografi dengan Templat:Math sebagai kunci, tiga ronde sudah cukup untuk membuat penyandian blok permutasi acak semu. Empat ronde akan membuat permutasi acak semu yang "kuat"; itu berarti bahwa ia akan tetap acak semu meski kepada orang yang memiliki akses ke inversi permutasinya.^[4] Karena hasil yang sangat penting ini, sandi Feistel terkadang disebut sebagai penyandian blok Luby–Rackoff.

Karya-karya teoretis selanjutnya telah menggeneralisasi susunan dan memberi batasan yang lebih jelas untuk keamanan.^[5][6]

Templat:Plain image with caption Misalkan ${\displaystyle \mathrm{F}}$ sebagai fungsi ronde dan ${\displaystyle K_0,K_1,\dots ,K_n}$ sebagai subkunci untuk ronde ke-${\displaystyle 0,1,\dots ,n}$.

Proses enkripsi dasar adalah sebagai berikut:

1. Bagi blok teks asal menjadi dua bagian sama besar, yaitu ${\displaystyle L_0}$ dan ${\displaystyle R_0}$.
2. Untuk tiap ronde ke-${\displaystyle i=0,1,\dots ,n}$, hitung

   ${\displaystyle L_{i+1}=R_i}$

   ${\displaystyle R_{i+1}=L_i\oplus \mathrm{F}(R_i,K_i)}$

   dengan ${\displaystyle \oplus }$ adalah operasi XOR.

3. Hasilnya adalah teks tersandi ${\displaystyle (R_{n+1},L_{n+1})}$.

Proses dekripsi dasar adalah sebagai berikut:

1. Bagi blok teks tersandi menjadi dua bagian sama besar, yaitu ${\displaystyle R_{n+1}}$ dan ${\displaystyle L_{n+1}}$.
2. Untuk tiap ronde ke-${\displaystyle i=n,n-1,\dots ,0}$, hitung

   ${\displaystyle R_i=L_{i+1}}$

   ${\displaystyle L_i=R_{i+1}\oplus \mathrm{F}(L_{i+1},K_i).}$

3. Hasilnya adalah teks asli ${\displaystyle (L_0,R_0)}$.

Diagram di samping menjelaskan enkripsi dan dekripsi. Perhatikan bahwa urutan subkunci dibalik untuk dekripsi; hal ini satu-satunya perbedaan antara enkripsi dan dekripsi.

Sandi Feistel tak berimbang menggunakan modifikasi struktur sehingga ${\displaystyle L_0}$ dan ${\displaystyle R_0}$ berbeda ukuran.^[7] Sandi Skipjack adalah salah satu contohnya.

Pengocokan Thorp adalah kasus ekstrem dari sandi Feistel tak berimbang. Ia hanya menggunakan satu bit pada salah satu sisinya. Ini lebih aman daripada sandi Feistel berimbang, tetapi membutuhkan lebih banyak ronde.^[8]

Susunan Feistel juga dipakai dalam algoritme kriptografi selain penyandian blok. Misalnya, skema OEAP menggunakan jaringan Feistel sederhana untuk mengacak teks tersandi dalam beberapa skema kriptografi kunci publik.

Algoritme Feistel tergeneralisasi dapat dipakai untuk membuat permutasi yang kuat pada domain kecil berukuran bukan perpangkatan dua.^[8]

Baik seluruh penyandian adalah sandi Feistel maupun tidak, jaringan mirip Feistel dapat dipakai untuk komponen desain penyandian. Misalnya, MISTY1 adalah sandi Feistel dengan jaringan Feistel tiga ronde sebagai fungsi rondenya; Skipjack adalah modifikasi sandi Feistel yang memakai jaringan Feistel dalam permutasi G-nya; serta Threefish adalah penyandian blok non-Feistel yang menggunakan fungsi MIX mirip Feistel.

Feistel atau modifikasinya Templat:Daftar-kolom

Generalisasi Feistel Templat:Daftar-kolom

• Kriptografi
• Penyandian aliran
• Jaringan substitusi–permutasi
• Enkripsi format terjaga
• Skema Lai–Massey

Templat:Reflist

Templat:Kriptografi blok