Введение в современную криптографию
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- РИСУНОК 6.6
| Конструкция DES.
Блочный шифр DES - это 16-раундовая сеть Фейстеля с длиной блока в 64 бита и длиной ключа в 56 бит. Одна и та же раундовая функция fˆ используется на каждом из 16 кругов. Раундовая функция принимает 46-битный подключ и, как ожидаемо для (сбалансированной) сети Фейстеля, 32-битный входной элемент (а именно, по- ловину блока). Расписание смены ключей DES используется, чтобы извлекать по- следовательность из 48-битных подключей k1, . . . , k16 из 56-битного мастер-ключа. Расписание смены ключей DES относительно простое с каждым подключом ki , являющимся переставляемым подмножеством из 46 бит мастер-ключа. Для целей книги полезно будет отметить, что 56 бит мастер-ключа разделены на две полови- ны, «левую половину» и «правую половину», каждая из которых содержит 28 бит. (Такое разделение случается после того, как начальная перестановка применяется к ключу, но мы проигнорируем это в нашем описании.) В каждом раунде самые левые 24 бита подключа принимаются как некое подмножество из 28 бит в левой стороне мастер-ключа, самые правые 24 бита раундового подключа принимаются как некое подмножество из 28 бит в правой половине мастер-ключа. Мы настаива- ем, что полное расписание смены ключей (включая способ, при помощи которого биты делятся на левую и правую половины, и какие биты используются при фор- мировании каждого подключа ki) зафиксировано и находится в публичном доступе, и единственным секретом остается сам мастер-ключ. Раундовая функция DES Раундовая функция DES fˆ, иногда называемая DES mangler function, сконструирована с использованием парадигмы, которую мы анализировали 234 ранее: это (по сути) всего лишь подстановочно-перестановочная сеть! Если говорить более подробно, вычисление fˆ(ki, R) с ki ∈ {0, 1}48 и R∈ {0, 1}32 происходит следую- щим образом: сначала, R раширяется до 48-битного значения Rr. Это выполняется про- стой дубликацией половины битов R; мы обозначим это как Rr := E(R), где РИСУНОК 6.6: DES mangler function E называется функция расширения. Исходя из этого, вычисления проходят точь в точь как в нашем более раннем описании SPN: Расширенное значение Rr складывается по модулю 2 с ki, который также длиной 48 бит, и итоговое значение делиться на 8 блоков, каждый из которых длиной 6 бит. Каждый блок пропускается через (другой) S- блок, который принимает 6-битный элемент и выдает 4-битный; объединение выходных элементов из 8 S-блоков дает 32-бит- ный результат. Затем к битам этого результата применяется смешивающая пе- рестановка, чтобы получить конечный выходной элемент. См. Рисунок 6.6. Одно отличие в сравнении с нашим оригинальным описанием SPN заключается в том, что S-блоки здесь не обращаемые; в действительности, они и не могут быть обращаемые, так как их входные данные длинее, чем их выходные данные. Даль- нейшее обсуждение касательно структурных деталей S-блоков приведено ниже. Мы настаиваем еще раз, что все вышеописанное (включая непосредственно S-блоки, а также смешивающая перестановка) является публичной информаци- ей. Единственным секретом является мастер-ключ, который используется для извлечения всех подключей. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|