Шифрование/Дешифрование Twofish

Twofish — 128-битная блочная шифра команды из шести человек от Counterpane (Шнайер, Келси, Уайтинг, Вагнер, Холл, Фергюсон). Ключевая инновация — ключ-зависимые S-боксы: при инициализации четыре 8-в-8-бит S-бокса строятся из ключевого материала через перестановки q0/q1 и умножение MDS над GF(2⁸).

Каждый раунд Feistel применяет g(): два 32-битных слова через S-боксы и MDS, затем объединяются PHT (32-битное сложение). Отбеливание входа/выхода. Нет атаки на полные 16 раундов с 1998 года.

Ключевые Особенности

• Ключ-зависимые S-боксы через q0/q1 + MDS — уникальные для каждого ключа, против предварительно вычисленного дифференциального анализа
• MDS-матрица 4×4 над GF(2⁸) — любой ненулевой вход даёт максимальный вес выхода
• PHT (Псевдо-Хадамардово преобразование) — эффективная диффузия Feistel через 32-битное сложение
• Отбеливание входа/выхода — XOR с подключами до раунда 1 и после раунда 16

Режимы Шифрования

• CBC: CBC Twofish — 128-битный блок XOR с предыдущим шифртекстом. Sweet32-порог 2⁶⁴ блоков — практически недостижим.
• ECB: ECB Twofish — каждый 16-байтный блок обрабатывается независимо. Только однoblokchnyye операции.
• CFB: CFB Twofish — самосинхронизирующийся поток без ограничения Sweet32.
• OFB: OFB Twofish — детерминированный ключевой поток, период 2¹²⁸ блоков.

Рекомендации по Безопасности

• Нет атаки на полные 16 раундов с 1998 года.
• Ключ-зависимые S-боксы добавляют слой защиты, отсутствующий у AES.
• Рекомендуемый преемник Blowfish для замены BF-CBC, уязвимого к Sweet32.
• AES-256-GCM для высокого пропуска. Twofish-256 для VeraCrypt и без-AES-NI сред.

Случаи Применения

• Каскад VeraCrypt: Twofish+AES+Serpent для алгоритмического разнообразия
• Миграция Blowfish BF-CBC: 128-битные блоки без Sweet32
• Среды без AES-NI: 128-битная программная реализация
• Долгосрочное хранение с независимой от AES гарантией безопасности

Ссылки

• Официальная страница Twofish — schneier.com
• Википедия — Twofish