225
чей, результатом которого является выхоной элемент шифра. (По
принципу
Керчхоффа (Kerckhoffs) мы предположим, что S-блоки и смешивающая(-ие)
перестановка(-и) являются публичными и известными любому атакующему.
Это значит, что без последнего шага смешения ключей , последние шаги по за-
мене и перестановке не дадут никакой дополнительной защиты, поскольку они
не зависят от ключа.) Рисунок 6.4
показывает
РИСУНОК 6.3: Один раунд подстановочно-перестановочной сети.
высокоуровневую структуру SPN с 16-битной длиной блока и другой набор
4-битных
S-блоков, используемых в каждом раунде.
Различные подключи (или раундовые ключи ) используются в каждом раунде.
Действующий ключ блочного шифра иногда называется мастер-ключ. Раундные под-
ключи происходят от мастер-ключа гласно расписанию смены ключей. Расписание
смены ключей часто простое и может работать путем простого приема подмножеств
битов мастер-ключа, хотя более сложные расписания также могут быть определены.
r-раундовая SPN имеет r (полных) раундов смешения ключей, замен S-блоков и при-
менений смешивающей перестановки, за которой следует последний шаг смешения
ключей. (Это
означает, что в r-раундовой SPN используется r + 1 подключей.)
Любая SPN обратима (получает ключ). Чтобы убедиться в этом мы покажем, что
получив результат SPN и ключ, есть возможность извлечь входные данные. До-
статочно будет показать, что один раунд может быть обратимым; из этого следует,
что вся SPN может быть обратима и работать от последнего раунда
назад к нача-
лу. Но обратить один раунд легко: смешивающая перестановка может с легкостью
быть обратной, потому что это просто реорганизация битов. Поскольку S-блоки яв-
ляются перестановками (то есть взаимооднозначными), они также могут быть об-
ратными. Результаты затем могут быть сложены по модулю 2 с соответствующим
подключом, чтобы получить оригинальный входной элемент. Таким образом: