Dalam kriptografi, sandi Feistel (juga dikenal sebagai penyandian blok Luby–Rackoff) adalah struktur simetris yang dipakai dalam penyusunan penyandian blok. Sandi ini dinamai dari fisikawan dan kriptografer kelahiran JermanHorst Feistel. Sandi ini juga dikenal sebagai jaringan Feistel. Sebagian besar penyandian blok menggunakan skema ini, termasuk Standar Enkripsi Data Amerika Serikat, GOST Uni Soviet, serta sandi modern Blowfish dan Twofish. Dalam sandi Feistel, enkripsi dan dekripsi sangat mirip dan keduanya hanya menjalankan "fungsi ronde" secara iteratif sebanyak sekian kali (jumlah yang tetap).
Sejarah
Banyak penyandian blok simetris yang berdasar pada jaringan Feistel. Jaringan Feistel pertama kali dipakai secara komersial dalam sandi Lucifer milik IBM yang didesain oleh Horst Feistel dan Don Coppersmith pada tahun 1973. Jaringan Feistel mulai disegani ketika, pada tahun 1976, Pemerintah Federal Amerika Serikat mengadopsi DES yang berdasar pada Lucifer dengan perubahan oleh NSA. Seperti komponen lain dalam DES, bentuk iteratif jaringan ini membuat implementasi dalam perangkat keras lebih mudah, terutama pada perangkat keras pada zamannya.
Desain
Jaringan Feistel menggunakan fungsi ronde, yaitu fungsi yang menerima dua masukan, blok data dan subkunci, serta mengembalikan satu keluaran yang berukuran sama dengan blok data.[1] Pada tiap ronde, fungsi ronde dilakukan pada setengah data yang akan dienkripsi, lalu keluarannya dikenai operasi XOR dengan setengah data yang lain. Hal ini diulangi beberapa kali dalam jumlah yang tetap. Hasil akhirnya adalah data yang telah dienkripsi.
Keuntungan jaringan Feistel dibandingkan desain penyandian lain, misal jaringan substitusi–permutasi, adalah bahwa seluruh operasi dijamin dapat dibalik, yaitu hasil enkripsi dapat didekripsi, meski fungsi ronde tidak memiliki inversi. Fungsi ronde dapat dibuat serumit mungkin karena tidak harus memiliki inversi.[2]:465[3]:347 Terlebih lagi, operasi enkripsi dan dekripsi sangat mirip, bahkan sama pada beberapa kasus, serta hanya membutuhkan pembalikan penjadwalan kunci. Karena ukuran kode atau rangkaian jaringan ini dapat dipotong setengahnya.
Karya teoretis
Struktur dan sifat-sifat sandi Feistel telah dianalisis oleh para kriptografer.
Michael Luby dan Charles Rackoff menganalisis susunan sandi Feistel dan membuktikan bahwa, bila fungsi ronde adalah fungsi acak semu yang aman secara kriptografi dengan Ki sebagai kunci, tiga ronde sudah cukup untuk membuat penyandian blok permutasi acak semu. Empat ronde akan membuat permutasi acak semu yang "kuat"; itu berarti bahwa ia akan tetap acak semu meski kepada orang yang memiliki akses ke inversi permutasinya.[4] Karena hasil yang sangat penting ini, sandi Feistel terkadang disebut sebagai penyandian blok Luby–Rackoff.
Karya-karya teoretis selanjutnya telah menggeneralisasi susunan dan memberi batasan yang lebih jelas untuk keamanan.[5][6]
Detail susunan
Struktur dasar jaringan Feistel. Perhatikan bahwa struktur untuk enkripsi dan dekripsi sangat mirip dan hanya berbeda urutan subkunci.
Misalkan sebagai fungsi ronde dan sebagai subkunci untuk ronde ke-.
Operasi dasar
Proses enkripsi dasar adalah sebagai berikut:
Bagi blok teks asal menjadi dua bagian sama besar, yaitu dan .
Untuk tiap ronde ke-, hitung
dengan adalah operasi XOR.
Hasilnya adalah teks tersandi .
Proses dekripsi dasar adalah sebagai berikut:
Bagi blok teks tersandi menjadi dua bagian sama besar, yaitu dan .
Untuk tiap ronde ke-, hitung
Hasilnya adalah teks asli .
Diagram di samping menjelaskan enkripsi dan dekripsi. Perhatikan bahwa urutan subkunci dibalik untuk dekripsi; hal ini satu-satunya perbedaan antara enkripsi dan dekripsi.
Sandi Feistel tak berimbang
Sandi Feistel tak berimbang menggunakan modifikasi struktur sehingga dan berbeda ukuran.[7] Sandi Skipjack adalah salah satu contohnya.
Pengocokan Thorp adalah kasus ekstrem dari sandi Feistel tak berimbang. Ia hanya menggunakan satu bit pada salah satu sisinya. Ini lebih aman daripada sandi Feistel berimbang, tetapi membutuhkan lebih banyak ronde.[8]
Kegunaan lain
Susunan Feistel juga dipakai dalam algoritme kriptografi selain penyandian blok. Misalnya, skema OEAP menggunakan jaringan Feistel sederhana untuk mengacak teks tersandi dalam beberapa skema kriptografi kunci publik.
Algoritme Feistel tergeneralisasi dapat dipakai untuk membuat permutasi yang kuat pada domain kecil berukuran bukan perpangkatan dua.[8]
Jaringan Feistel sebagai komponen desain
Baik seluruh penyandian adalah sandi Feistel maupun tidak, jaringan mirip Feistel dapat dipakai untuk komponen desain penyandian. Misalnya, MISTY1 adalah sandi Feistel dengan jaringan Feistel tiga ronde sebagai fungsi rondenya; Skipjack adalah modifikasi sandi Feistel yang memakai jaringan Feistel dalam permutasi G-nya; serta Threefish adalah penyandian blok non-Feistel yang menggunakan fungsi MIX mirip Feistel.
^Zheng, Yuliang; Matsumoto, Tsutomu; Imai, Hideki (20 Agustus 1989). "On the Construction of Block Ciphers Provably Secure and Not Relying on Any Unproved Hypotheses". Advances in Cryptology — CRYPTO' 89 Proceedings. Lecture Notes in Computer Science (dalam bahasa Inggris). 435: 461–480. doi:10.1007/0-387-34805-0_42. ISBN978-0-3879-7317-3.