ESTREAM

eSTREAM — проект по выявлению новых поточных шифров, пригодных для широкого применения, организованный ЕС. Был начат после взлома всех 6 шифров, предложенных в проекте NESSIE. Условия приёма алгоритмов впервые были опубликованы в 2004 году. В апреле 2008 отбор был завершён. Проект был разделён на несколько последовательных этапов, целью которых был поиск алгоритмов шифрования подходящих под различные сценарии использования.

Категории

Шифры — кандидаты распределялись по одной или нескольким категориям. Были представлены следующие категории:

• категория 1: поточные шифры для программной реализации; основное требование: высокая производительность;
• категория 2: поточные шифры для аппаратной реализации; основные требования: работа при ограниченности ресурсов (памяти, числе транзисторов^[англ.]); низкое энергопотребление.

В обеих категориях шифры делили на подклассы:

• шифры с аутентификацией;
• шифры с авторизацией;
• и другие.

Шифры для аутентификации обозначались буквой «A» («1A» и «2A»). К третьему этапу не осталось алгоритмов, предоставляющих аутентификацию (из NLS она была удалена для повышения производительности).

Результаты eSTREAM

По состоянию на сентябрь 2011 года следующие алгоритмы шифрования отобраны, как удовлетворяющие требованиям eSTREAM:

Категория 1 (программная)	Категория 2 (аппаратная)
HC-128	Grain
Rabbit	MICKEY
Salsa20/12	Trivium
SOSEMANUK	F-FCSR

Перечисленные шифры свободны для реализации и использования. Во время отбора на шифр Rabbit был заявлен патент; в октябре 2008 года шифр был передан в общественное достояние^[1]. В исходном списке, опубликованном после окончания третьего этапа, были перечисленные все шифры, включая F-FCSR. В шифре F-FCSR была обнаружена слабость, из-за чего он был исключён из следующей версии списка (версии от сентября 2008 года).

Даты

Дата	Событие
14-15 октября 2004	Семинар, организованный ECRYPT[англ.] в Брюгге. «SASC — The State of the Art of Stream Ciphers» (Современное состояние потоковых шифров)[2]. В результате обсуждения на этом семинаре было решено организовать конкурс.
ноябрь 2004	Начало приёма работ[3].
29 апреля 2005	Крайний срок приёма работ.
26-27 мая 2005	Семинар, организованный ECRYPT в Орхусе, сразу после Eurocrypt: «SKEW — Symmetric Key Encryption Workshop» (Семинар по симметричному шифрованию)[4]. На этом семинаре было представлено 25 работ, включая 21 поточный шифр, отосланный[5] ECRYPT.
13 июня 2005	Запущен сайт проекта eSTREAM, с публичного оценивания кандидатов.
2-3 февраля 2006	Семинар, организованный ECRYPT в Лёвене. «SASC 2006: Stream Ciphers Revisited» («Пересмотр поточных шифров»)[6].
февраль 2006	Конец первого этапа.
июль 2006	Начало второго этапа.
31 января — 1 февраля 2007	Семинар, организованный ECRYPT в Бохуме. «SASC 2007»
апрель 2007	Начало третьего этапа.
февраль 2008	Семинар «SASC 2008».
май 2008	Завершающий доклад проекта eSTREAM.

Шкала времени

Цветовые обозначения

Цвет	Фаза конкурса	Начало	Окончание
	Приём заявок	ноябрь 2004	29 апреля 2005
	Первый этап	29 апреля 2005	февраль 2006
	Второй этап	июль 2006	апрель 2007
	Третий этап	апрель 2007	май 2008

Этапы

Этап 1

В качестве эталона выбран блочный шифр AES, являющийся стандартным на территории США.

На первом этапе:

• на рассмотрение принимались шифры, производительность которых превосходила производительность шифра AES-128, работающего в режиме счётчика (CTR);
• отобранные шифры исследовались на надёжность, производительность (относительно AES), простоту и гибкость, обоснованность и доказанность, прозрачность и полноту документации;
• шифры распределялись по категориям;
• выполнялся отбор шифров для следующего этапа.

На протяжении этого этапа проходило множество обсуждений, презентаций результатов анализа шифров. Также был разработан framework^[7] для тестирования производительность шифров. Этот framework в дальнейшем использовался для оценки шифров при работе на большом количестве разнообразных систем.

27 марта 2006 года eSTREAM официально заявил о закрытии 1-го этапа.

Этап 2

Второй этап официально начался 2 августа 2006 года.

В каждой категории было отобрано по несколько подающих надежды алгоритмов («фокусные» шифры). Это были разработки, которыми комиссия eSTREAM заинтересовалась особо, и приложила наибольшие усилия по криптоанализу и анализу производительности. Сейчас дополнительно принято несколько алгоритмов в качестве «алгоритмов 2-го этапа» (англ. phase 2 algorithms), что означает, что они действительные кандидаты eSTREAM. «Фокусные» алгоритмы будут переквалифицированы каждые 6 месяцев.

Этап 3

Третий этап начался в апреле 2007 года.

В число кандидатов вошли шифры:

• 1 категория (программная):
  • CryptMT^[англ.] (3-я версия);
  • Dragon;
  • HC (HC-128 и HC-256);
  • LEX (LEX-128, LEX-192 и LEX-256);
  • NLS^[англ.] (NLSv2, без аутентификации);
  • Rabbit;
  • Salsa20/12;
  • SOSEMANUK;
• 2 категория (аппаратная):
  • DECIM (DECIM v2 и DECIM-128);
  • Edon80^[англ.];
  • F-FCSR (F-FCSR-H v2 и F-FCSR-16);
  • Grain (Grain v1 и Grain-128);
  • MICKEY (MICKEY 2.0 и MICKEY-128 2.0);
  • Mosquito;
  • Pomaranch (3-я версия);
  • Trivium.

Все шифры 3-го этапа описаны в книге «New stream cipher designs» (ISBN 978-3-540-68350-6).

Для выбора финалистов была составлена комиссия, в которую вошли:

• Стив Бэббидж (Steve Babbage) (Vodafone, Великобритания);
• Кристоф Де Каннье (Christophe De Canniere) (Katholieke Universiteit Leuven, Бельгия);
• Анн Канто (Anne Canteaut) (INRIA, Франция);
• Карлос Сид (Carlos Cid) (Royal Holloway, University of London, Великобритания);
• Анри Жильбер (Henri Gilbert) (France Telecom R&D, Франция);
• Томас Юханссон (Thomas Johansson) (Lund University, Швеция);
• Кристоф Пар (Christof Paar) (Ruhr-University of Bochum, Германия);
• Мэттью Паркер (Matthew Parker) (University of Bergen, Норвегия);
• Барт Пренель (Bart Preneel) (Katholieke Universiteit Leuven, Бельгия);
• Винсент Рэймен (Vincent Rijmen) (Graz University of Technology, Австрия);
• Мэтт Робшоу (Matt Robshaw) (France Telecom R&D, Франция);
• У Хунцзюнь (Hongjun Wu) (Katholieke Universiteit Leuven, Бельгия).

Эксперты изучили всю доступную по шифрам информацию, включая оригинальные описания и результаты криптоанализа, затем отобрали финалистов исходя из следующих качеств^[8]:

• безопасность;
• производительность (в сравнении с AES и другими шифрами — кандидатами);
• обоснованность и доказанность надёжности шифра;
• простота и масштабируемость;
• завершённость и ясность алгоритма.

Третий этап закончился 15 апреля 2008 года объявлением выбранных кандидатов.

Претенденты

Победители конкурса

Шифр	Страница в каталоге проекта	Категория 1 (программная)	Категория 2 (аппаратная)	Податели заявки
Grain	grainp3.html	Нет	Да	Мартин Хелл, Томас Юханссон и Вилли Мейер
HC-256 (HC-128, HC-256)	hcp3.html	Да	Нет	У Хунцзюнь
MICKEY (MICKEY 2.0, MICKEY-128 2.0)	mickeyp3.html	Нет	Да	Стив Бэббидж и Мэттью Додд
Rabbit	rabbitp3.html	Да	Нет	Мартин Бусгард, Метте Вестерагер и Эрик Зеннер
Salsa20	salsa20p3.html	Да	Нет	Бернштейн, Дэниел Джулиус
SOSEMANUK	sosemanukp3.html	Да	Нет	Ком Бербэн, Оливье Бийе, Анн Канто, Николя Куртуа, Анри Жильбер, Луи Губен, Алин Гуже, Луи Гранбулан, Седрик Лораду, Марин Минье, Тома Порнен и Эрве Сибер
Trivium	triviump3.html	Нет	Да	Кристоф де Канньер и Барт Пренель
F-FCSR (F-FCSR-H v2, F-FCSR-16)	ffcsrp3.html	Нет	исключён во второй редакции	Тьерри Берже, Франсуа Арно и Седрик Лораду

Шифры, не прошедшие третий этап

Шифр	Страница на проекте	Категория 1 (программная)	Категория 2 (аппаратная)	Патентован	Заявители
CryptMP (3 версия)	cryptmtp3.html	Да	Нет	Да	Макото Мацумото, Хагита Марико, Такудзи Нисимура и Мацуо Сайто
DECIM (DECIM v2, DECIM-128)	decimp3.html	Нет	Да	Да	Николя Куртуа, Блондин Дебрэз, Анри Жильбер, Луа Губен, Алин Гуже, Луи Гранбулан, Седрик Лораду, Марин Минье, Тома Порнен и Эрве Сибер
Dragon	dragonp3.html	Да	Нет	Нет	Эд Доусон, Кевин Чэнь, Матт Хенриксен, Уильям Милан, Леони Симпсон, Ли Хунджэ, Мун Санджэ
Edon80	edon80p3.html	Нет	Да	Нет	Данило Глигороски, Смиле Марковски, Люпчо Кочарев и Марьян Гусев
LEX	lexp3.html	Да	прошёл 2-й этап	Нет	Алекс Бирюков
MOSQUITO (Moustique)	mosquitop3.html	Нет	Да	Нет	Йоан Дамен и Пэрис Китсос
NLS (NLSv2, без аутентификации)	nlsp3.html	Да	Нет	Нет	Грегори Розе, Филип Хавкес, Майкл Паддон и Мириам Виггерс де Врис
Pomaranch (3 версия)	pomaranchp3.html	Нет	Да	Нет	Тор Хеллесет, Сес Янсен и Александр Колоша

Шифры, не прошедшие второй этап

Шифр	Страница на проекте	Категория 1 (программная)	Категория 2 (аппаратная)	Патентован	Содержит имитовставку	Заявители
Phelix	phelixp2.html	фокусный[9]	фокусный	Нет	Да	Даг Уайтинг, Брюс Шнайер, Штефан Люкс и Фредерик Мюллер
Py (шифр)[англ.]	pyp2.html	фокусный	Нет	Нет	Нет	Эли Бихам и Дженнифер Себерри[англ.]
ABC	abcp2.html	Да	Нет	Нет	Нет	Владимир Анашин, Андрей Богданов, Илья Кижватов и Сандип Кумар
Achterbahn	achterbahnp2.html	Нет	Да	Нет	Нет	Бернд Гаммель, Райнер Гёттферт и Оливер Книффлер
DICING	dicingp2.html	Да	Нет	Нет	Нет	Ли Ан-Пинг
Hermes8	hermes8p2.html	в архиве[10]	Да	Нет	Нет	Ульрих Кайзер
NLS	nlsp2.html	Да	Да	Нет	Нет	Грегори Розе, Филип Хавкес, Майкл Паддон и Мириам Виггерс де Врис
Polar Bear	polarbearp2.html	Да	Да	Нет	Нет	Юхан Хостад и Матс Неслунд
Pomaranch	pomaranchp2.html	в архиве	Да	Нет	Нет	Сес Янсен и Александр Колоша
SFINKS	sfinksp2.html (недоступная ссылка)	Нет	Да	Нет	Да	Ан Бракен, Йозеф Лано, Неле Ментенс, Барт Пренель, и Ингрид Вербаувхеде
TSC-3	tsc3p2.html	Нет	Да	Нет	Нет	Хон Джин, Ли Донхун, Ём Ёнджин, Хан Дэван и Чхи Сонтхэк
VEST	vestp2.html	Нет	Да	Да	Да	Шон О`Нейл, Бенджамин Гиттинс и Ховард Лэндман
WG	wgp2.html	Нет	Да	Нет	Нет	Гуан Гун и Яссир Наваз
Yamb	yambp2.html (недоступная ссылка)	Да	Да	Нет	Нет	LAN Crypto
ZK-Crypt	zkcryptp2.htm (недоступная ссылка)	Нет	Да	Да	Да	Карми Грессел, Ран Гранот и Габи Ваго

Шифры, не прошедшие первый этап

Шифр	Страница на проекте	Категория 1 (программная)	Категория 2 (аппаратная)	Патентован	Содержит имитовставку	Заявители
Frogbit	frogbit.html	в архиве	Нет	Да	Да	Терри Моро
Fubuki	cryptmtfubuki.html	в архиве	Нет	Да	Нет	Макото Мацумо, Хагита Марико, Такудзи Нисимура и Мацуо Сайто
MAG	mag.html	в архиве	в архиве	Нет	Нет	Раде Вучковач
Mir-1	mir1.html	в архиве	Нет	Нет	Нет	Александр Максимов
SSS	sss.html	в архиве	в архиве	Нет	Да	Грегори Розе, Филип Хавкес, Майкл Паддон и Мириам Виггерс де Врис
TRBDK3 YAEA	trbdk3.html	в архиве	в архиве	Нет	Нет	Тимоти Бригем

См. также

• AES
• NESSIE
• CRYPTREC