Введение в современную криптографию
Подстановочно-перестановочные сети
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- РИСУНОК 6.3
| Подстановочно-перестановочные сети. Сеть смешения-рассеивания (SPN)
может рассматриваться как прямая имплементация парадигмы смешения/рас- сеивания. Разница в том, что сейчас раундовые функции имеют определенную форму , а не просто выбираются из множества всех возможных перестановок в какой-то области. В частности, вместо того, чтобы иметь ключ (часть ключа) k, определять перестановку f, мы зафиксируем публичную «заместительную функцию» (то есть перестановку S под названием S-блок, а затем позволим k определить функцию f , данную f (x) = S(k⊕x). Чтобы узнать, как это работает конкретно, рассмотрим SPN с 64-битной дли- ной блока на основе коллекции 8-битных (1-байтных) S-блоков S1, . . . , S8. (См. Рисунок 6.3.) Расчет шифра происходит в несколько раундов, когда в каждом раунде мы применяем следующую последовательность операций к 64-битному входному элементу x текущего раунда (входной элемент первого раунда также является входным элементом шифра): 1. Смешение ключей: Зададим x := x ⊕ k, где k является подключом текущего раунда; 2. Замена: Зададим x := S1(x1)|| • • • ||S8(x8), где xi - это байт i от x; 3. Перестановка: Переставим биты x , чтобы получить выходной резуль- тат раунда. Выходной результат каждого раунда подается как входные данные следую- щего раунда. После последнего раунда следует последний шаг смешения клю- 225 чей, результатом которого является выхоной элемент шифра. (По принципу Керчхоффа (Kerckhoffs) мы предположим, что S-блоки и смешивающая(-ие) перестановка(-и) являются публичными и известными любому атакующему. Это значит, что без последнего шага смешения ключей , последние шаги по за- мене и перестановке не дадут никакой дополнительной защиты, поскольку они не зависят от ключа.) Рисунок 6.4 показывает РИСУНОК 6.3: Один раунд подстановочно-перестановочной сети. высокоуровневую структуру SPN с 16-битной длиной блока и другой набор 4-битных S-блоков, используемых в каждом раунде. Различные подключи (или раундовые ключи ) используются в каждом раунде. Действующий ключ блочного шифра иногда называется мастер-ключ. Раундные под- ключи происходят от мастер-ключа гласно расписанию смены ключей. Расписание смены ключей часто простое и может работать путем простого приема подмножеств битов мастер-ключа, хотя более сложные расписания также могут быть определены. r-раундовая SPN имеет r (полных) раундов смешения ключей, замен S-блоков и при- менений смешивающей перестановки, за которой следует последний шаг смешения ключей. (Это означает, что в r-раундовой SPN используется r + 1 подключей.) Любая SPN обратима (получает ключ). Чтобы убедиться в этом мы покажем, что получив результат SPN и ключ, есть возможность извлечь входные данные. До- статочно будет показать, что один раунд может быть обратимым; из этого следует, что вся SPN может быть обратима и работать от последнего раунда назад к нача- лу. Но обратить один раунд легко: смешивающая перестановка может с легкостью быть обратной, потому что это просто реорганизация битов. Поскольку S-блоки яв- ляются перестановками (то есть взаимооднозначными), они также могут быть об- ратными. Результаты затем могут быть сложены по модулю 2 с соответствующим подключом, чтобы получить оригинальный входной элемент. Таким образом: |