En criptografía , LOKI89 y LOKI91 son cifrados de bloques de clave simétrica diseñados como posibles reemplazos del Estándar de cifrado de datos (DES). Los cifrados se desarrollaron sobre la base de un cuerpo de trabajo que analiza DES, y son muy similares a DES en estructura. Los algoritmos LOKI recibieron el nombre de Loki , el dios de las travesuras en la mitología nórdica .
LOKI89 fue publicado por primera vez en 1990, luego llamado simplemente "LOKI", por los criptógrafos australianos Lawrie Brown , Josef Pieprzyk y Jennifer Seberry . LOKI89 se presentó al proyecto europeo RIPE para su evaluación, pero no fue seleccionado.
El cifrado utiliza un bloque de 64 bits y una clave de 64 bits . Como DES , es un cifrado de Feistel de 16 rondas y tiene una estructura general similar, pero difiere en la elección de las cajas S particulares , la "permutación P" y la "permutación de expansión". Los S-boxes utilizan los criterios de no linealidad desarrollados por Josef Pieprzyk, haciéndolos tan "complejos" e "impredecibles" como sea posible. Su eficacia se comparó con los criterios de diseño conocidos para las cajas S DES . Las permutaciones fueron diseñadas para "mezclar" las salidas de los S-boxes lo más rápido posible, promoviendo las propiedades de avalancha y completitud,esencial para un buen cifrado de Feistel. Sin embargo, a diferencia de sus equivalentes en el DES, se pretende que sean lo más limpios y simples posible (en retrospectiva, quizás un poco demasiado simple), ayudando al análisis del diseño.
Después de la publicación de LOKI89, la información sobre el nuevo criptoanálisis diferencial estuvo disponible, así como algunos resultados de análisis tempranos por (Knudsen 1993a). Esto dio como resultado que el diseño se cambiara para convertirse en LOKI91.
LOKI 91 se diseñó en respuesta a los ataques a LOKI89 (Brown et al., 1991). Los cambios incluyeron la eliminación del blanqueamiento de teclas inicial y final , una nueva caja S y pequeñas modificaciones en el programa de teclas .
Más específicamente, las cajas S se cambiaron para minimizar la probabilidad de ver diferentes entradas que resultan en la misma salida (un gancho que usa el criptoanálisis diferencial ), mejorando así la inmunidad de LOKI91 a este ataque, como detallan los autores de los ataques (Biham y Shamir 1991 ). Los cambios en la programación de claves se diseñaron para reducir el número de claves "equivalentes" o "relacionadas", lo que resultó en la reducción del espacio de búsqueda exhaustiva para el cifrado.