Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Tiêu chuẩn quốc gia TCVN 11367-4:2016 về Công nghệ thông tin – Các kỹ thuật an toàn – Thuật toán mật mã dòng

Số hiệu:	TCVN11367-4:2016	Loại văn bản:	Tiêu chuẩn Việt Nam
Nơi ban hành:	***	Người ký:	***
Ngày ban hành:	Năm 2016	Ngày hiệu lực:
ICS:	35.040	Tình trạng:	Đã biết

0x	Tiền tố cho các giá trị thập lục phân.
0⁽ⁿ⁾	Biến n-bit mà 0 được gán cho mỗi bit.
AND	Phép toán logic AND từng bit.
Am⁽ⁱ⁾[Y]	Bit thứ Y của thanh ghi Am⁽ⁱ⁾ trong KCipher-2 (K2).
a_i	Các biến trong trạng thái trong của bộ tạo khóa dòng.
b_i	Các biến trong trạng thái trong của bộ tạo khóa dòng.
CFB	Chế độ phản hồi mã khối
CTR	Chế độ bộ đếm của mã khối.
C_i	Khối bản mã.
D_i	Hằng số 64-bit được sử dụng cho MUGI.
e_K	Hàm mã hóa mã khối đối xứng sử dụng khóa bí mật K.
F	Hàm con được sử dụng cho MUGI.
FSM	Hàm con được sử dụng cho SNOW 2.0.
GF(2ⁿ)	Trường hữu hạn gồm có 2ⁿ phần tử.
GF(2ⁿ)[x]	Vành đa thức trên trường hữu hạn GF(2ⁿ)
Init	Hàm tạo trạng thái khởi tạo trong của bộ tạo khóa dòng
IV	Véc tơ khởi tạo.
IK	Khóa trong được sử dụng cho KCipher-2 (K2).
K	Khóa
M	Hàm con được sử dụng cho MUGI.
Next	Hàm chuyển trạng thái tiếp theo của bộ tạo khóa dòng.
NLF	Hàm phi tuyến sử dụng cho KCipher-2 (K2).
n	Độ dài khối.
OFB	Chế độ phản hồi đầu ra mã khối.
OR	Phép toán logic OR từng bit.
Out	Hàm đầu ra kết hợp khóa dòng và bản rõ để tạo bản mã.
P	Bản rõ.
P_i	Khối bản rõ.
R	Đầu vào bổ sung cho biến Out.
S_R	Hàm con được sử dụng cho MUGI.
Strm	Hàm khóa dòng của bộ tạo khóa dòng.
SUB	Bảng tra cứu sử dụng cho MUGI và SNOW 2.0.
Sub_K2	Hàm con được sử dụng cho KCipher-2 (K₂).
S_i	Trạng thái trong của bộ tạo khóa dòng.
T	Hàm con được sử dụng cho SNOW 2.0.
Z	Khóa dòng.
Z_i	Khối khóa dòng.
a_MUL	Bảng tra cứu được sử dụng cho SNOW 2.0.
a_MUL₀	Bảng tra cứu với chỉ số 0 được sử dụng cho KCipher-2 (K2).
a_MUL₁	Bảng tra cứu với chỉ số 1 được sử dụng cho KCipher-2 (K2).
a_MUL₂	Bảng tra cứu với chỉ số 2 được sử dụng cho KCipher-2 (K2).
a_MUL₃	Bảng tra cứu với chỉ số 3 được sử dụng cho KCipher-2 (K2).
a_{inv_M}_UL	Bảng tra cứu nghịch đảo được sử dụng cho SNOW 2.0.
r_l	Hàm con được sử dụng cho MUGI.
l_l	Hàm con được sử dụng cho MUGI.
[x]	Các số nguyên nhỏ nhất lớn hơn hoặc bằng số thực.
	Phép toán bù từng bit.
.	Phép nhân đa thức.
\|\|	Phép ghép các xâu bit.
+_m	Phép cộng số nguyên modulo 2^m.
Å	Phép toán XOR (OR loại trừ) từng bit.
Ä	Phép nhân các phần tử trong trường hữu hạn GF(2ⁿ).
	Phép cộng modulo
<<_n t	Phép dịch trái t-bit trong thanh ghi n-bit.
>>_n t	Phép dịch phải t-bit trong thanh ghi n-bit.
<<<_n t	Phép dịch vòng sang trái t- bit trong thanh ghi n-bit.
>>>_n t	Phép dịch vòng sang phải t- bit trong thanh ghi n-bit.

4.2. Các hàm

4.2.1. Hàm cắt trái các bit

Phép toán lựa chọn j bít bên trái của mảng A = (a₀, a₁, … ,a_m-1) để bạo ra một mảng j-bit và được viết

(j~A) = (a₀ , a₁, … , a_j_-1)

Phép toán xác định với 1 £ j £ m.

Xem trong ISO/IEC 10116:2006.

4.2.2. Phép toán dịch

Phép toán dịch được xác định như sau: Cho một biến n-bit X và biến k-bit V trong đó 1 £ k £ n, tác dụng của hàm dịch để tạo ra biến n-bit

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

(k < n)

Shift_k(X\V) = (v₀, v₁,...,v_k_-1)

(k = n)

Kết quả sự dịch chuyển các bit của mảng X sang trái k vị trí, bỏ đi x₀, x₁ ,... ,x_k-₁ và đưa vào bên phải nhất mảng V k vị trí của X. Khi k = n thì hoàn toàn thay thế X bởi V.

Xem ISO/IEC 10116:2006.

4.2.3. Biến I(k)

Biến l(k) là một biến k-bit mà mỗi bit được gán giá trị 1.

5. Khung cho mã dòng

Điều này bao gồm mô tả mức cao nhất của khung cho mã dòng được quy định trong phần này của bộ TCVN 11367 (ISO/IEC 18033). Mô tả chi tiết của mô hình tổng quát cho mã dòng được quy định tại điều 6. Mã dòng được quy định trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) được xác định bởi các đặc tả của các quy trình sau:

...

- Bộ tạo khóa dòng đồng bộ, hoặc

- Bộ tạo khóa dòng tự đồng bộ.

CHÚ THÍCH 1 Các Chế độ hoạt động của mã khối là phương pháp mà mã khối có thể được sử dụng để xây dựng một bộ tạo khóa dòng. Các chế độ này được chuẩn hóa trong tiêu chuẩn ISO/IEC 10116 và ý nghĩa của các hàm được sử dụng trong đặc tả được xác định trong 6.2.1 và 6.2.2.

CHÚ THÍCH 2 Mã khối được định nghĩa trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033).

b) Hàm đầu ra, có thể là:

- Hàm đầu ra cộng nhị phân, hoặc

- Hàm đầu ra MULTI-S01.

6. Mô hình tổng quát của mã dòng

6.1. Các bộ tạo khóa dòng

...

Bộ tạo khóa dòng đồng bộ là máy trạng thái hữu hạn được định nghĩa như sau:

a) Một hàm khởi tạo, Init, nhận đầu vào khóa K và véc tơ khởi tạo IV và cho đầu ra một trạng thái khởi tạo S₀ cho bộ tạo khóa dòng. Véc tơ khởi tạo cần được lựa chọn để không bao giờ có hai thông báo được mã hóa sử dụng cùng khóa và cùng véc tơ khởi tạo IV.

b) Hàm chuyển trạng thái tiếp theo, Next, nhận đầu vào là trạng thái hiện tại của bộ tạo khóa dòng S_i, và đưa ra trạng thái tiếp theo của bộ tạo khóa dòng S_i+1.

c) Hàm khóa dòng, Strm, nhận đầu vào là trạng thái của bộ tạo khóa dòng S_i, và đưa ra khối khóa dòng Z_i.

Khi bộ tạo khóa dòng đồng bộ lần đầu khởi tạo, nó sẽ nhập vào một trạng thái khởi tạo S₀ được xác định bởi:

S₀ = Init(IV,K)

Theo nhu cầu bộ tạo khóa dòng đồng bộ sẽ, với i = 0, 1,...

a) Đưa ra khối khóa dòng Z_i = Strm(S_i, K).

b) Cập nhật trạng thái máy S_i+1 = Next(S_i, K).

...

6.1.2. Bộ tạo khóa dòng tự đồng bộ

Việc tạo ra khóa dòng cho mã dòng tự đồng bộ chỉ phụ thuộc vào bản mã trước, khóa và véc tơ khởi tạo. Mô hình tổng quát cho bộ tạo khóa dòng cho mã dòng tự đồng bộ được xác định:

a) Hàm khởi tạo, Init, nhận đầu vào là khóa K và véc tơ khởi tạo IV và đưa ra đầu vào trong cho bộ tạo khóa dòng S và khối bản mã giả r C_-1, C_-2, … , C_-r.

b) Hàm khóa dòng, Strm, nhận đầu vào S và khối bản mã r C_-₁, C_-₂,...,C_-r và đưa ra khối khóa dòng Z_i.

Để xác định bộ tạo khóa dòng tự đồng bộ chỉ cần thiết xác định số lượng các khối phản hồi r và hàm Init và hàm Strm.

CHÚ THÍCH Mã dòng tự đồng bộ khác với mã dòng đồng bộ ở chỗ khóa dòng chỉ phụ thuộc vào bản mã trước, véc tơ khởi tạo và khóa, nghĩa là bộ tạo khóa dòng hoạt động trong kiểu không trạng thái. Kết quả là, sự giải mã cho mật mã như vậy có thể khôi phục từ sự mất mát của đồng bộ hóa sau khi nhận được đầy đủ các khối bản mã. Điều này cũng có nghĩa là các phương pháp tạo khóa dòng phụ thuộc vào hàm đầu ra được lựa chọn Out, mà điển hình là phép toán XOR từng bit.

6.2. Các hàm đầu ra

6.2.1. Mô hình tổng quát của hàm đầu ra

Điều 6.2 chỉ rõ hai hàm đầu ra mã dòng, nghĩa là các kỹ thuật được sử dụng trong mã dòng để kết hợp khóa dòng với bản rõ để nhận được bản mã.

...

Mã hóa khối bản rõ P_i bằng khối khóa dòng Z_i xác định như sau:

C_i = Out(P_i, Z_i, R)

Và giải mã khối bản mã C_i bằng khối khóa dòng Z_i xác định như sau:

P_i = Out^-1(P_i, Z_i, R).

Hàm đầu ra phải đáp ứng cho bất kỳ khối khóa dòng Z_i, khối bản rõ P_i và đầu vào khác R,

P_i = Out^-¹(Out(P_i, Z_i, R), Z_i, R).

6.2.2. Hàm đầu ra cộng nhị phân

Mã dòng cộng nhị phân là mã dòng trong đó khối khóa dòng, khối bản rõ và khối bản mã là các xâu các số nhị phân và phép toán để kết hợp bản rõ với khóa dòng là phép toán XOR từng bit. Phép toán Out có hai đầu vào và không sử dụng bất kỳ thông tin bổ sung R để tính toán. Cho n là độ dài bit của P_i. Hàm này xác định như sau:

Out(P_i, Z_i, R) = P_iÅZ_i

...

Out^-¹(C_i, Z_i, R) = C_iÅZ_i

CHÚ THÍCH Hệ mã dòng cộng nhị phân không cung cấp bất kỳ tính bảo vệ tính toàn vẹn cho dữ liệu được mã hóa. Nếu có yêu cầu tính toàn vẹn cho dữ liệu thì hoặc là sử dụng hàm đầu ra MULTI-S01 hoặc có cơ chế toàn vẹn riêng biệt, chẳng hạn MAC, nghĩa là Mã xác thực thông báo (cơ chế này được quy định trong tiêu chuẩn ISO/IEC 9797).

6.2.3. Hàm đầu ra MULTI-S01

a) Mô hình tổng quát của MUTIL-S01

MULTI-S01 là hàm đầu ra cho mã dòng đồng bộ hỗ trợ cả tính toàn vẹn và tính bí mật của dữ liệu. Phép toán mã hóa MULTI-S01 phù hợp để sử dụng trong môi trường trực tuyến. Tuy nhiên, phép toán giải mã của MULTI-S01 có thể chỉ thực hiện trong tình huống ngoại tuyến, như kiểm tra tính toàn vẹn chỉ được thực hiện sau khi nhận được tất cả các khối bản mã. MULTI-S01 có một tham số an toàn n. Việc tính toán đầu ra phụ thuộc vào sự lựa chọn trường GF(2ⁿ), tức là phụ thuộc vào lựa chọn đa thức bất khả quy bậc n trên trường GF(2ⁿ). Hàm MULTI-S01 chỉ chấp nhận thông báo có chiều dài là bội số của n. Để mã hóa thông điệp có chiều dài không phải là bội của n, yêu cầu sử dụng thêm cơ chế đệm Pad(M).

CHÚ THÍCH Việc dư thừa R được tạo ra theo cách mà người gửi và người nhận chia sẻ nó. R có thể là một giá trị công khai cố định như 0x00...0.

b) Hàm mã hóa Out(P, R, Z)

Đầu vào: bản rõ P n.u- bit, khóa dòng Z = (Z₀, Z₁,...), Trong đó Z_i là các khối n-bit, dư thừa R n-bit.

Đầu ra: Bản mã C.

...

2) Lấy (P₀, P₁, … P_u-₁) = P, trong đó P_i là khối n-bit

3) Đặt P_u = Z_t+u₊₃.

4) Đặt P_u₊₁ = R.

5) Đối với mỗi P_i, thực hiện các phép tính sau (với i = 0,1,...,u+1).

- Lấy W_ị = P_iÅZ_t₊_i₊₁.

- Lấy X_i = Z_tÄW_i (trong trường GF(2ⁿ)).

- Lấy C_i = X_iÄW_i-1 trong đó W_i-₁ là giá trị W của khối i-1 trước đó và W_-1 = 0⁽ⁿ⁾

- Đặt C = C₀ || C₁ || … ||| C_u₊₁.

- Đưa ra C.

...

Hình 1 - Hàm Out của chế độ MUTIL-S01

CHÚ THÍCH 2 Đa thức bất khả quy được sử dụng để xác định phép nhân trong trường phụ thuộc vào n. Ví dụ, trong trường hợp n =64 và 128, có thể sử dụng đa thức bất khả quy x⁶⁴ + x⁴ +x³ + x +1 và x¹²⁸ + X⁷ +x² + x + 1.

c) Hàm giải mã Out^-1 (P,Z,R)

Đầu vào: bản mã C độ dài n.v-bit khóa dòng Z, dư thừa R độ dài n-bit.

Đầu ra: bản rõ P hoặc “từ chối”.

1) Lấy t là giá trị thấp nhất của i (i ³ 0) sao cho Z_i ¹ 0⁽ⁿ⁾.

2) Lấy (C₀, C₁,...C_v-1) = C, trong đó C_i là khối n-bit

3) Đối với mỗi C_i, thực hiện các phép tính sau (với i=0,1,...,v-1):

...

- Lấy W_i = Z_t^-1ÄX_i (trong trường GF(2ⁿ)).

- Lấy P_i = W_iÅZ_t+_i₊₁.

4) Nếu P_v_-₂ = Z_t_+v₊₁ và P_v-₁ = R, đưa ra P = P₀ || P₁ || … || P_v_-₃ là bản rõ. Nếu không, đưa ra biểu tượng đặc biệt nghĩa là “từ chối” mà không có bất kỳ văn bản nào.

Hình 2 mô tả sơ đồ khối của hàm Out^-1

Hình 2 - Hàm Out^-1 của chế độ MULTI-S01

d) Cơ chế đệm Pad(M)

Chỉ khi độ dài của thông báo đầu vào không phải là bội số của n, cơ chế đệm Pad(M) sau đây được thực thi:

Đầu vào: Xâu M độ dài (nv+c)-bit, trong đó v là số nguyên không âm và 0 £ c < n.

...

1) Đệm xâu bit “1” vào cuối thông báo.

2) Đệm xâu 0^(n-c-1) độ dài (n-c-1)-bit vào xâu được tạo bởi bước a).

3) Đưa ra toàn bộ xâu có độ dài (nv+n)-bit.

CHÚ THÍCH 3 Nếu độ dài của thông báo là bội số của n, trong mỗi trường độ dài không phải là nhất định như vậy, cơ chế đệm này được khuyến khích.

CHÚ THÍCH 4 Để bỏ đệm của thông báo, loại bỏ liên tiếp bit 0 ở phần cuối của dữ liệu và loại bỏ các bit “1”.

7. Xây dựng bộ tạo khóa dòng từ mã khối

7.1. Các chế độ mã khối cho bộ tạo khóa dòng đồng bộ

7.1.1. Chế độ OFB (Đầu ra phản hồi) và CTR (Bộ đếm)

Điều 7.1 quy định hai chế độ n-mã khối cho bộ tạo khóa dòng đồng bộ. Đó là, chế độ OFB (Đầu ra phản hồi) và chế độ CTR (Bộ đếm) của mã khối e_K n-bit.

...

Chế độ OFB được xác định bởi một tham số r, 1 £ r £ n, là kích thước của khối bản rõ và bản mã.

Véc tơ khởi tạo IV à xâu n-bit. IV sẽ được tạo ra khác nhau cho hai quá trình mã hóa với cùng một khóa K. Hàm Init, Next và Strm được quy định như sau:

- Init(IV,K)=IV.

- Next(S_i, K) = e_K(S_i)

- Strm(S_i) = (r ~ S_i).

CHÚ THÍCH Init(IV,K) = IV tương đương với S₀ = IV.

Trong trường hợp của chế độ OFB, hàm đầu ra cộng nhị phân được xác định trong 6.2.2 được sử dụng. Hình 3 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFB.

Hình 3 - Tạo khóa dòng dựa trên chế độ OFB

...

Chế độ CTR được xác định bằng một tham số r, 1 £ r £ n, là kích thước của khối bản rõ và bản mã.

Véc tơ khởi tạo IV là xâu n-bit cần được đảm bảo rằng S_i ¹ S’_j cho hai khóa dòng S₀, S₁, S₂, … và S’₀, S’₁, S’₂,... được tạo ra với cùng một khóa K. Hàm Init, Next và Strm được xác định như sau:

- Init(IV, K) = IV.

- Next(S_i, K) = S_i + 1 mod 2ⁿ.

- Strm(S_i, K) = (r ~ e_K(S_i)).

CHÚ THÍCH Init(IV, K) = IV tương đương với S₀ = IV.

Trong trường hợp của chế độ CTR, hàm đầu ra cộng nhị phân được xác định trong 6.2.2 được sử dụng. Hình 4 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFB.

Hình 4 - Tạo khóa dòng dựa trên chế độ CTR

...

7.2.1. Giới thiệu chế độ CFB

Chế độ CFB của mã khối n-bit là mã dòng tự đồng bộ.

7.2.2. Chế độ CFB

Chế độ CFB (Phản hồi mã) được xác định với 3 tham số, tức là kích thước j của bộ đệm phản hồi S_i, trong đó n £ j £ 1024n, kích thước biến phản hồi b, trong đó 1 £ b £ n và khối đầu ra có kích thước r, trong đó 1 £ r £ b.

CHÚ THÍCH 1 Giá trị b-r cần nhỏ hơn b

Véc tơ khởi tạo IV cần được tạo ngẫu nhiên xâu j-bit và cũng cần được tạo ra khác nhau cho hai mã hóa với cùng một khóa K. Hàm Init, Next và Strm được xác định như sau:

- Init(IV, K) = IV.

- Next(S) = Shift_b(S|Shift_r(I(b)|C_i)).

- Strm(S, K) = (r ~ e_K((n ~ S))).

...

Trong trường hợp của chế độ CFB, hàm đầu ra cộng nhị phân được xác định trong 6.2.2 được sử dụng. Hình 5 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFP.

Hình 5 - Tạo khóa dòng dựa trên chế độ CFB

8. Bộ tạo khóa dòng chuyên dụng

8.1. Bộ tạo khóa dòng MUGI

8.1.1. Giới thiệu MUGI

MUGl là bộ tạo khóa dòng sử dụng khóa bí mật K 128-bit, véc tơ khởi tạo IV 28-bit và biến trạng thái S_i (i ³ 0) bao gồm 19 khối 64-bit (lưu ý rằng mỗi khối được sử dụng thông qua đặc tả của MUGI cho mỗi khối 64-bit) và đưa ra khối khóa dòng Z_i tại mỗi lần lặp của hàm Strm.

CHÚ THÍCH Bộ tạo khóa dòng này ban đầu được đề xuất trong [17].

Biến trạng thái được chia nhỏ thành kết hợp của biến 3-khối:

...

Trong đó là khối (với j = 0, 1, 2) và biến 16-khối

b⁽ⁱ⁾ = ,

Trong đó là khối (với j = 0, 1,..., 15)

Hàm Init, được xác định chi tiết trong 8.1.2, nhận đầu vào khóa K độ dài 128-bit và véc tơ khởi tạo IV độ dài 128-bit và tạo giá trị ban đầu của biến trạng thái S₀ = (a⁽⁰⁾, b⁽⁰⁾),

Hàm Next, được xác định chi tiết trong 8.1.3, nhận đầu vào biến trạng thái 19-khối S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và đầu ra là giá trị tiếp theo của biến trạng thái S_i₊₁ = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

Hàm Strm, được xác định chi tiết trong 8.1.4, nhận đầu vào biến trạng thái 19-khối S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và đầu ra là khối khóa dòng Z_i.

Lưu ý rằng hàm Next được xác định trong các số hạng của r₁ và l₁ được xác định tương ứng trong 8-1.5 và 8.1.6. Hàm r₁ được xác định trong số hạng của hàm r₁ được xác định trong 8.1.7

Có 3 hằng số được sử dụng trong MUGI, D₀ trong hàm khởi tạo Init, và D₁, D₂ trong r₁. Chúng xác định bởi:

D₀ = 0x6A09E667F3BCC908,

...

D₂ = 0x3C6EF372FE94F82B.

8.1.2. Hàm khởi tạo Init

Việc khởi tạo MUGI được chia ra thành 8 bước. Các khối nửa trái và nửa phải của K được biểu diễn tương ứng bằng K₀ và K₁. IV₀ và IV₁ được xác định theo cách tương tự. Hàm khởi tạo Init như sau:

Đầu vào: Khóa K128-bit, véc tơ khởi tạo IV độ dài 128-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾,b⁽⁰⁾)

a) Đặt khóa K vào thành phần của biến trạng thái a⁽^-⁴⁹⁾ như sau:

- Đặt (K₀, K₁) = K, trong đó K_i là 64 bit với i = 0, 1

- Đặt = K₀.

- Đặt = K₁.

...

D₀ trong biểu thức trên là hằng số (xem 8.1).

b) Với i = -49, -48,..., -34 đặt a⁽ⁱ⁺¹⁾ = r₁(a⁽ⁱ⁾,0⁽⁶⁴⁾,0⁽⁶⁴⁾). Mô tả của r xem 8.1.5.

c) Với i = 0, 1,…, 15 đặt = a₀^(i-48)

d) Thêm véc tơ khởi tạo IV vào trạng thái như sau:

- Đặt IV₀||IV₁=IV, trong đó IV_i là khối

- Đặt = Å IV₀.

- Đặt = Å IV₁.

- Đặt = Å(IV₀ <<<₆₄ 7)Å(IV₁ >>>₆₄ 7)ÅD₀.

e) Với i = -32, -31,..., -17, đặt a⁽ⁱ⁺¹⁾ = r₁(a⁽ⁱ⁾, 0⁽⁶⁴⁾, 0⁽⁶⁴⁾)

...

g) Lặp hàm cập nhật Next 16 lần:

Đặt S₀ = Next¹⁶(S_-₁₆)

Trong đó Next 16 đại diện cho 16 lần lặp của hàm chuyển trạng thái theo Next

h) Đưa ra S₀.

8.1.3. Hàm chuyển trạng thái theo Next

Hàm chuyển trạng thái theo của MUGI được xác định là sự kết hợp của r₁ và l₁. Hàm chuyển trạng thái theo của MUGI như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾).

Đầu ra: Trạng thái tiếp theo của biến trạng thái S_i₊₁ = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

- Đặt a⁽ⁱ⁺¹⁾ = r₁(aⁱ, , ). Mô tả chi tiết của hàm r₁ được đưa ra trong 8.1.5.

...

- Đặt S_i_+i = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾)

- Đưa ra S_i₊₁.

8.1.4. Hàm khóa dòng Strm

Hàm khóa dòng Strm như sau:

Đầu vào: Biến trạng thái S_i.

Đầu ra: Khối khóa dòng Z_i.

- Đặt Z_i =

- Đưa ra Z_i.

8.1.5. Hàm r₁

...

Đầu vào: Biến trạng thái a⁽ⁱ⁾, hai tham số độ dài 64-bit w₁, w₂.

Đầu ra: Giá trị tiếp theo của biến trạng thái a⁽ⁱ⁺¹⁾

- Đặt

-Đặt Å F(,w₁) Å D₁.

- Đặt Å F (, (w₂ <<<₆₄ 17) Å D₂.

- Đưa ra a⁽ⁱ⁺¹⁾.

D₁, D₂ là hằng số (xem thêm chi tiết tại 8.1).

Hình 6 mô tả sơ đồ khối của hàm r₁. Mô tả chi tiết của hàm F được đưa ra trong 8.1.7.

...

8.1.6. Hàm l₁

Hàm l₁ như sau:

Đầu vào: Biến trạng thái b⁽ⁱ⁾, tham số a' độ dài 64-bit.

Đầu ra: Giá trị tiếp theo của biến trạng thái b⁽ⁱ⁺¹⁾

- Đặt với j ¹ 0, 4, 10.

- Đặt Å a'.

- Đặt

- Đặt <<<₆₄ 32)

Đưa ra b^(t+1).

...

Hàm F dùng phép toán trên trường hữu hạn GF(2⁸). Trong biểu diễn đa thức, GF(2⁸) được thực hiện như GF(2)[x]/ f(x), trong đó f(x) là đa thức bất khả quy bậc 8 được xác định trên trường GF(2). Bộ tạo khóa dòng MUGI sử dụng đa thức bất khả quy sau:

f(x) = x⁸ + x⁴ + x³ + x + 1.

Hàm F là kết hợp của phép cộng khóa (việc bổ sung dữ liệu từ một phần của biến trạng thái b), phép biến đổi phi tuyến sử dụng hàm S_R, biến đổi tuyến tính sử dụng ma trận M và phép xáo trộn byte (xem Hình 7).

Chúng ta biểu diễn đầu vào và đầu ra cho hàm F tương ứng là X và Y. Khi đó, hàm F xác định như sau: Đầu vào: hai xâu X và T độ dài 64-bit.

Đầu ra: xâu Y độ dài 64-bit.

- X' = X Å T

- Đặt (X₀, X₁, X₂, X₃, X₄, X₅, X₆, X₇) = X' trong đó X_i là xâu có độ dài 8-bit

- Đặt P_i = S_R(X_i) với i = 0,1, …, 7.

- Đặt P_L = P₀ || P₁ || P₂ || P₃.

...

-Đặt Q_L = M(P_L).

- Đặt Q_R = M(P_R).

- Đặt (Q₀, Q₁, Q₂, Q₃) = Q_L.

- Đặt (Q₄, Q₅, Q₆, Q₇ ) = Q_R_.,

- Đặt Y = Q₄ || Q₅ || Q₂ || Q₃ || Q₀ || Q₁ || Q₆ || Q₇.

- Đưa ra Y.

Hình 7 mô tả sơ đồ khối của hàm F

Hình 7 - Hàm F của MUGI

...

Hàm S_R là hàm nội tại của hàm F. Hàm S_R có thể được mô tả bằng cách sử dụng bảng thay thế. Trong trường hợp này, hàm S_R như sau:

Đầu vào: xâu x độ dài 8-bit

Đầu ra: xâu độ dài 8-bit.

- Đặt y = SUB[x]

- Đưa ra y.

SUB sử dụng trong hàm S_R là thay thế như sau:

8.1.9. Hàm M

Hàm M là hàm nội tại của hàm F. Hàm M như sau:

...

Đầu ra: xâu Y có độ dài 32-bit

- Đặt (x₀, x₁, x₂, x₃) = X, trong đó x_i là xâu có độ dài 8-bit và là phần tử của GF(2⁸).

- Đặt

Trong đó 0x01, 0x02 và 0x03 là biểu diễn thập lục phân của các phần tử của trường GF(2⁸).

- Đặt Y = y₀ || y₁ || y₂ || y₃.

- Đưa ra Y.

8.2. Bộ tạo khóa dòng SNOW 2.0

8.2.1. Giới thiệu SNOW 2.0

...

Biến trạng thái SNOW S_i bao gồm hai phần. Phần thứ nhất, 16 biến có độ dài 32-bit:

thực hiện một thanh ghi dịch phản hồi tuyến tính (LFSR). Phần thứ hai, 2 biến có độ dài 32-bit:

duy trì trạng thái của máy trạng thái hữu hạn (FSM). SNOW được hiểu là tốt nhất với tham chiếu trong Hình 8, trong đó cho thấy một ảnh chụp, tại thời điểm i, bỏ qua biến phụ thuộc thời gian (i)

Hình 8 - Biểu đồ của SNOW

Phép toán SNOW được xác định:

Hàm Init, xác định chi tiết trong 8.2.2, nhận đầu vào khóa K có độ dài 128 hoặc 256-bit và véc tơ khởi tạo IV có độ dài 128-bit và tạo giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, b⁽⁰⁾).

...

Hàm Strm, được xác định chi tiết trong 8.2.4 nhận đầu vào là 18 biến trạng thái có độ dài 32-bit S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và tạo ra như là đầu ra khóa dòng Z_i có độ dài 32-bit.

CHÚ THÍCH 1 Đối với SNOW, khuyến nghị số lượng tối đa khóa dòng được tạo ra từ (K,IV) là 2⁵⁰ khóa có độ dài 32-bit. Giới hạn này đã được lựa chọn để cung cấp biên an toàn tốt nhất đối với việc thám mã và ngụ ý không có giới hạn thực tế áp dụng các thuật toán.

CHÚ THÍCH 2 Bài viết [10] được tham chiếu cho lý thuyết nền tảng về lý do căn bản thiết kế cho SNOW.

8.2.2. Hàm khởi tạo Init

Hàm khởi tạo Init như sau.

Đầu vào: Khóa K có độ dài 128 hoặc 256-bit, Véc tơ khởi tạo IV có độ dài 128-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, b⁽⁰⁾).

a) Khởi tạo thanh ghi bằng thông tin khóa.

- Đối với khóa có độ dài 128-bit, Đặt (K₃, K₂, K₁, K₀) = K, và = K_3-j và

...

- Đối với khóa có độ dài 256-bit, Đặt (K₇, K₆, ..., K₀) = và = Ø(K₇_-j) với j = 0, 1, …,7.

b) Đặt S_-33 = (a^(-33⁾, b⁽^-³³⁾) bằng

- Đặt (IV₃, IV₂, IV₁, IV₀) = IV.

- Đặt = với i = 0, 1, 2, 3, 4, 5, 6, 7, 8, 11, 13,14.

-Đặt

- Đặt .

- Đặt S_-1 = Next³²(S_-33, INIT), trong đó Next³² biểu diễn cho 32 lần lặp của hàm Next

d) S₀ = Next(S_-₁).

e) Đưa ra S₀.

...

SNOW có hai chế độ với hàm Next

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) mode = {INIT,null}.

Đầu ra: Giá trị tiếp theo của biến trạng thái S_i₊₁ = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

a) Đặt = T ().

b) Đặt = ).

c) Với j = 0,1, …, 14 đặt

d) Nếu chế độ INIT, đặt . Nếu không thì, đặt

e) S_i₊₁ = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾)

f) Đưa ra S_i₊₁.

...

CHÚ THÍCH Hình 9 mô tả sơ đồ khối của chế độ INIT của hàm Next

Hình 9 - Chế độ INIT của hàm Next

Định nghĩa của hàn FSM đề cập trong điều 8.2.8.

8.2.4. Hàm khóa dòng Strm

Hàm khóa dòng Strm như sau:

Đầu vào: Biến trạng thái S_i

Đầu ra: Khóa dòng Z_i có độ dài 32-bit

a) Đặt Z_i = FSM ().

...

8.2.5. Hàm T

Hàm T là hàm thay thế, đặc biệt là hoán vị trên trường GF(2³²) dựa trên các thành phần từ Chuẩn mã hóa tiên tiến (AES), TCVN 11367-3:2016 (ISO/IEC 18033-3). Cuối cùng trường hữu hạn GF(2⁸) được sử dụng như là trường GF(2)[x] modulo với đa thức bất khả quy.

f(x) = x⁸ + x⁴ + x³ + x + 1.

Và vành đa thức GF(2⁸)[y] mdulo (y⁴ +1).

Đầu vào: xâu w có độ dài 32-bit

Đầu ra: xâu q = T(w) có độ dài 32-bit

a) Đặt (w₃, w₂, w₁, w₀ = w) trong đó mỗi w_j có độ dài 8 bit.

b) Với j = 0,1, 2, 3 đặt t_j = SUB[w_j].

c) Lấy t(y) là đa thức t(y) = t₃y³ + t₂y² + t₁y + t₀ trên trường GF(2⁸)[y], trong đó t_j được hiểu như là một phần tử của GF(2⁸) theo cách tự nhiên t_j = t_j_,7x⁷ + … + t_j_,₁x + t_j_,₀, t_j_,_k trong trường GF(2)

...

e) Kết hợp xâu q = (q₃, q₂, q₁, q₀) 32-bit với kết quả trên, q(y) = q₃y³ + q₂y² + q₁y + q₀

f) Đưa ra q.

Lưu ý rằng trong bước c), hai đa thức được nhân với nhau trong đó các phép toán hệ số-nhân-hệ số thực hiện trong trường GF(2⁸) được xác định bởi hàm f(x) ở trên. Sau đó kết quả được rút gọn theo modulo y⁴ +1.

CHÚ THÍCH 1 Hộp thế S-box của AES được tìm thấy trong 8.1.8

CHÚ THÍCH 2 Tham khảo chi tiết tối ưu hóa này và một số vấn đề khác tại bài báo [10].

8.2.6. Phép nhân a trong số học trường hữu hạn

Đầu vào: Xâu w có độ dài 32-bit, đại diện cho phần tử của GF(2³²).

Đầu ra: Xâu w' có độ dài 32-bit, đại diện cho µ Äw trong trường GF(2³²).

a) Đặt w' = (w <<₃₂ 8) Å a_MUL[w >>₃₂24]

...

Hàm a_MUL được xác định như sau:

a_MU_L[256] = {

8.2.7. Phép nhân a^-1 trong số học trường hữu hạn

Đầu vào: Xâu y có độ dài 32-bit, đại diện cho phần tử của GF(2³²).

Đầu ra: Xâu y có độ dài 32-bit, đại diện cho a^-¹Äy trong trường GF(2³²).

a) Đặt y' = (y >>₃₂ 8) Å a_{inv_MUL}(y mod 256]

b) Đưa ra y’

...

a_i_{nv_MUL} [256] = {

8.2.8. Hàm FSM(x, y, z)

Đầu vào: 3 xâu có độ dài 32-bit, x,y và z

Đầu ra: xâu q có độ dài 32-bit

a) Đặt q = (x +₃₂ y) Å z.

b) Đưa ra q.

8.3. Bộ tạo khóa dòng Rabbit

...

Rabbit là bộ tạo khóa dòng sử dụng khóa bí mật K có độ dài 128-bit, véc tơ khởi tạo IV có độ dài 64-bit và biến trạng thái trong S_i (i ³ 0) có độ dài 513-bit. Rabbit đưa ra khối khóa dòng Z_i có độ dài 128-bit tại mỗi lần lặp hàm Strm.

513-bit của trạng thái trong S_i được chia giữa 8 biến trạng thái có độ dài 32-bit , 8 biến đếm , và 1 bit nhớ bộ đếm b⁽ⁱ⁾.

Mô tả sử dụng các ký hiệu đưa ra tại Điều 4 của tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033). Ngoài ra, ký hiệu đặc biệt cho mảng bit được sử dụng để tăng cường khả năng đọc: Khi ghi nhãn các bit của một biến A, bit có trọng số thấp nhất được ký hiệu là A⁽⁰⁾. Ký hiệu A^[h..g] mô tả các bit từ h cho đến g của biến A, trong đó bit có vị trí h là bit có trọng số cao hơn bit ở vị trí g.

CHÚ THÍCH 1 Đối với bộ sinh khóa dòng Rabbit, khuyến nghị số lượng khóa dòng tối đa được tạo ra từ một khóa K cho trước là 2⁶⁴ khối khóa dòng. Giới hạn này đã được lựa chọn để cung cấp biến an toàn tốt nhất đối với việc phân tích mã và đồng thời ngụ ý không có giới hạn thực tế về khả năng áp dụng các thuật toán.

CHÚ THÍCH 2 Bài báo [8] được tham chiếu cho đề xuất ban đầu của mật mã và bài báo [9] được tham chiếu đến tổng quan về an toàn mật mã của nó.

8.3.2. Các biến bổ sung và ký hiệu

Đối với bộ tạo khóa dòng Rabbit, các ký hiệu sau đây được sử dụng thêm:

Hằng số cho Rabbit

...

Bít nhớ cho Rabbit

Biến đếm cho Rabbit

Hàm con được sử dụng cho Rabbit

Biến trạng thái trong cho Rabbit

Ngoài ra, một số ký hiệu được sử dụng cho các biến phụ cục bộ trong mô tả các thuật toán. Những biểu tượng này chỉ xảy ra trong đặc tả hàm đưa ra và không có nghĩa toàn cục. Các biến này được mô tả trong phần khai báo của hàm.

8.3.3. Hàm khởi tạo Init

...

Đầu vào: Khóa K có độ dài 128-bit, véc tơ khởi tạo IV có độ dài 64-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = .

Biến cục bộ: biến đếm i, j

a) Lấy K₀ = K^[15..0], K₁ = K^[31...16] ,…, K₇ = K^[127..112]

b) Đặt S_-9, như sau:

1) Đặt b⁽^-9⁾ = 0.

2) Với j = 0,1, …, 7:

- Nếu j là chẵn, đặt = K_{(j+1 mod
8}₎ || K_j và = K_{(j+4 mod
8}₎) || K_{(j+5 mod 8}₎.

- Ngược lại j lẻ đặt = K_{(j+5 mod
8}₎ || K_{(j+4 mod 8}₎) và = K_{(j+1 mod
8}₎.

...

d) Đặt S_-4 như sau:

1) Thay đổi các biến đếm như sau:

e) Lặp lại hàm chuyển trạng thái theo Next 4 lần: đặt S_i = Next(S_i_-1) với i = -3, -2, -1,0

f) Đưa ra S₀ =

CHÚ THÍCH Véc tơ khởi tạo IV được trộn vào trạng thái trong ở bước d) và e) của thuật toán. Nếu các ứng dụng yêu cầu tái khởi tạo thường xuyên với cùng một khóa, điều này có nghĩa để lưu trữ trạng thái trong sau bước c) như trạng thái chủ và để thực thi chỉ bước d) tới bước f) cho tái khởi tạo.

8.3.4. Hàm chuyển trạng thái theo Next

Hàm chuyển trạng thái theo Next cho Rabbit được quy định như sau:

...

Đầu ra: Biến trạng thái S_i₊₁ = .

Biến cục bộ: biến đếm j, biến tạm là số nguyên dương có độ dài 32-bit

a) Đặt hằng số A₀, ...A₇ như sau:

b) Lấy = bⁱ

c) Với j = 0, 1, 2, … , 7:

- Lấy temp = ; kết quả này là giá trị có độ dài 33-bit

- Lấy = temp^[³²^]

- Lấy = temp^[³¹^…⁰^]

...

e) Với j = 0, 1, … , 7, lấy G_j = g(), trong đó hàm g được đưa ra trong 8.3.6.

f) Thay đổi trạng thái trong như sau:

g) Đưa ra S_i₊₁ = (b⁽ⁱ⁺¹⁾, )

8.3.5. Hàm khóa dòng Strm

Hàm khóa dòng Strm cho Rabbit được quy định như sau:

Đầu vào: Biến trạng thái S_i = (b⁽ⁱ⁾, ).

Đầu ra: Khối khóa dòng Z_i.

a) Đặt Z_i như sau:

...

[15. .0]

[31. .16]

Z_i[31. .16]

[31..16]

[15. .0]

...

[15. .0]

[31. .16]

Z_i[63. .48] =

[31. .16]

[15. .0]

...

[15. .0]

[31. .16]

Z_i[95. .80] =

[31. .16]

[15. .0]

...

[15. .0]

[31. .16]

Z_i[127. .112] =

[31. .16]

[15. .0]

...

8.3.6. Hàm g

Hàm g được quy định như sau:

Đầu vào: 2 tham số u và v có độ dài 32-bit

Đầu ra: kết quả hàm g(u, v) có độ dài 32-bit

Biến cục bộ: temp số nguyên dương có độ dài 32-bit

a) Lấy temp = (u+₃₂ v)²; kết quả là giá trị có độ dài 64-bit.

b) Lấy g(u, v) = temp^[³¹^..^0] Å temp^[63^..^32]

c) Đưa ra g(u, v)

8.4. Bộ tạo khóa dòng Decim^v²

...

DECIM^v² là bộ tạo khóa dòng trong đó sử dụng khóa bí mật K có độ dài 80-bit và véc tơ khởi tạo IV có độ dài 64-bit. DECIM^v² bao gồm thanh ghi dịch phản hồi tuyến tính A có độ dài tối đa 192-bit, được lọc bởi hàm Boolean LF 14-biến. Trong chế độ tạo khóa dòng, đầu ra của LF được sử dụng để nuôi một khối nén là hàm được gọi là ABSG, mà đầu cuối đi qua một bộ đệm B dài 32-bit để điều chỉnh tốc độ đầu ra khóa dòng.

DECIM^v² được mô tả trong Hình 10, trong đó mô tả ảnh chụp, đúng thời điểm, bỏ qua biến phụ thuộc thời gian (i) từ các ký hiệu.

CHÚ THÍCH 1 Bài báo [6] được tham chiếu cho lý thuyết nền tảng về lý do căn bản thiết kế của DECIM^v².

Biến trạng thái S_i của DECIM^v² bao gồm giá trị độ dài 192-bit của thanh ghi aⁱ = và biến Tⁱ độ dài 3-bit tương ứng với trạng thái của hàm nén ABSG, 32-bit bⁱ = trong bộ đệm B, và số lượng I⁽ⁱ⁾ bit trong bộ đệm B đã sẵn sàng đưa ra.

Hình 10 - Sơ đồ của DECIM^v²

Hàm Init, được xác định chi tiết trong 8.4.3, nhận đầu vào là khóa K độ dài 80-bit và véc tơ khởi tạo IV độ dài 64-bit và tạo ra giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, T⁽⁰⁾, b⁽⁰⁾, I⁽⁰⁰).

Hàm Next, được xác định chi tiết trong 8.4.5, nhận đầu vào là giá trị các biến trạng thái S_i = (a⁽ⁱ⁾, T⁽ⁱ⁾, b⁽ⁱ⁾, I⁽ⁱ) và tạo ra đầu ra là giá trị tiếp của biến trạng thái S_i₊₁ = (a⁽ⁱ⁺¹⁾, T⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾, I⁽ⁱ⁺¹⁾). Hàm Next chạy trong 3 chế độ, tùy thuộc vào việc thực hiện lặp lại là một phần của khởi tạo thanh ghi, khởi tạo của bộ đệm hoặc bộ tạo khóa dòng tuần tự.

Hàm Strm, được xác định chi tiết trong 8.4.6 nhận đầu vào là giá trị của các biến trạng thái S_i = (a⁽ⁱ⁾, T⁽ⁱ⁾, b⁽ⁱ⁾, I⁽ⁱ) và tạo ra đầu ra là bit khóa dòng Z_i.

...

CHÚ THÍCH 3 Hàm nén của DECIM^v² có tốc độ đầu ra thay đổi, bằng 1/3 mức trung bình. Vì vậy, một cơ chế đệm được sử dụng để đảm bảo tốc độ đầu ra cố định. Sự khác biệt giữa tốc độ đầu ra bộ đệm và tốc độ đầu ra hàm nén, cũng như độ dài bộ đệm, đã được lựa chọn để đảm bảo rằng các bộ đệm luôn luôn có các chức năng như mong muốn với xác suất đa số, như mô tả trong 8.4.3.

CHÚ THÍCH 4 DECIM^v² kháng các tấn công như mô tả trong [18].

8.4.2. Các biến bổ sung và ký hiệu

Đối với bộ tạo khóa dòng Decim^v², các ký hiệu sau đây được sử dụng thêm:

Biến trạng thái trong cho Decim^v²

ABSG

Hàm nén được sử dụng cho Decim^v²

b, b'

...

Hàm đệm được sử dụng cho Decim^v²

Hàm phản hồi tuyến tính cho Decim^v²

I, I'

Biến trạng thái trong cho Decim^v²

Hàm lọc được sử dụng cho Decim^v²

T, T’

...

Hàm Boolean được sử dụng cho Decim^v²

8.4.3. Hàm khởi tạo Init

Hàm khởi tạo Init được xác định như sau:

Đầu vào: Khóa K độ dài 80-bit và véc tơ khởi tạo IV độ dài 64-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, T⁽⁰⁾, b⁽⁰⁾, I⁽⁰⁾).

Biến cục bộ: biến đếm i, j

a) Khởi tạo thanh ghi với khóa K và véc tơ khởi tạo IV.

...

- Đặt = K_j_-₈₀ÅIV_j_-₈₀ với j= 80, 81, …, 143

- Đặt = K_j_-₈₀ÅIV_j_-₁₄₄ÅIV_j_-1₂₈ÅIV_j_-11₂ÅIV_j_-₁₉₆ với j= 144,145, ...,159

- Đặt = K_j_-₁₆₀ÅIV_j_-1₂₈Å1 với j= 160, 161, …, 191

b) Khởi tạo bộ đệm và hàm nén:

- Đặt T^(-²⁵⁶⁾ = 000

- Đặt = 0 với j= 0, 1, 2,…,31

- Đặt I^(-²⁵⁶⁾ = 0

c) Đặt S_-64 = InitNext¹⁹²(S_-2₅₆, LFSR)

d) Đặt i = -64

...

f) Đặt S₀ = S_i.

g) Đưa ra S₀.

CHÚ THÍCH Các bước d), e) và f) của khởi tạo DECIM^v² liên quan đến việc làm đầy bộ đệm trước khi bắt đầu đưa ra khóa dòng. Khi tốc độ đầu ra của hàm nén thay đổi, số lượng các bước yêu cầu để làm đầy bộ đệm có thể thay đổi. Trong bước e) hàm InitNext(S_i, BUFF) được lặp lại nhiều nhất 64 lần, đảm bảo rằng bộ đệm đầy với xác suất lớn hơn 1 - 2^-9⁷. Tính trung bình, bộ đệm đầy sau 24 lần lặp lại.

Hình 11 - Chế độ LFSR của khởi tạo hàm chuyển trạng thái theo InitNext

8.4.4. Khởi tạo hàm chuyển trạng thái theo InitNext

Decim^v² có hai chế độ hoạt động cho hàm InitNext: một chế độ được sử dụng trong quá trình khởi tạo thanh ghi A và chế độ thứ 2 trong quá trình khởi tạo làm đầy bộ đệm.

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, T⁽ⁱ⁾, b⁽ⁱ⁾, I⁽ⁱ), mode є {LFSR, BUFF}

Đầu ra: Giá trị tiếp theo của biến trạng thái S_i₊₁ = (a⁽ⁱ⁺¹⁾, T⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾, I⁽ⁱ⁺¹⁾)

...

Chế độ LFSR (thực thi nếu mode = LFSR):

a) Cập nhật trạng thái của thanh ghi A với các bước sau:

1) Đặt a⁽⁰⁾ = a⁽ⁱ⁾

2) Với k = 0,1,2,3:

- Đặt f_k = LF(a ^(k⁾) và r = L(a^(k)) Å f_k.

- Với i = 0,1, ...,190 đặt

- Đặt = r

3) Đặt a⁽ⁱ⁺¹⁾ = a⁽⁴⁾

Hình 11 mô tả sơ đồ khối của chế độ LFSR của hàm InitNext.

...

a) Cập nhật trạng thái của thanh ghi A với các bước sau:

4) Đặt a⁽⁰⁾ = a⁽ⁱ⁾

5) Với k = 0, 1, 2, 3:

- Đặt f_k = a^(k) ÅLF(a^(k)) và r = L(a^(k))

- Với j = 0,1, …, 190 đặt

- Đặt = r

6) Đặt a⁽ⁱ⁺¹⁾ = a ⁽⁴⁾

b) Đặt t⁽⁰⁾ = T⁽ⁱ⁾, b⁰,= bⁱ, i⁽⁰⁾ = I⁽ⁱ⁾

c) Với k = 0,1,2,3:

...

- Đặt c = f_k Å

- Đặt t^(k+1⁾ = ABSG(t^(k), f_k)

- Nếu = 0, đặt output = TRUE, ngược lại đặt output = FALSE

2) Cập nhật trạng thái của bộ đệm bởi (b⁽^k⁺¹⁾, i^(k+1⁾) = b⁽^k⁾, i^(k⁾ đầu ra, c)

d) Đặt T⁽ⁱ⁺¹⁾ = t⁽⁴⁾

e) Đặt b⁽ⁱ⁺¹⁾ = b⁽⁴⁾ và I⁽ⁱ⁺¹⁾ = i⁽⁴⁾

8.4.5. Hàm chuyển trạng thái theo Next

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, T⁽ⁱ⁾, b⁽ⁱ⁾, I⁽ⁱ⁾).

Đầu ra: Giá trị tiếp theo của biến trạng thái S_i₊₁ = (a⁽ⁱ⁺¹⁾, T⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾, I⁽ⁱ⁺¹⁾).

...

a⁽⁰⁾, …, a⁽⁴⁾, t⁽⁰⁾,…, t⁽⁴⁾, b⁽⁰⁾ ,..., b⁽⁴⁾, i⁽⁰⁾,..., i⁽⁴⁾.

a) Cập nhật trạng thái của thanh ghi A với các bước sau:

7) Đặt a⁽⁰⁾ = a⁽ⁱ⁾

8) Với k = 0,1,2,3:

- Đặt f_k = Å LF(a ^(k)) và r = L(a⁽^k⁾)

- Với j = 0,1, …, 190 đặt

- Đặt = r

9) Đặt a⁽ⁱ⁺¹⁾ = a⁽⁴⁾

b) Đặt t⁽⁰⁾ = T⁽ⁱ⁾, b⁽⁰⁾ = bⁱ, i⁽⁰⁾ = I⁽ⁱ⁾ - 1

...

d) Với k = 0,1,2,3:

1) nếu i⁽⁰⁾ = 0, đặt t^(k+1) = t^(k), output = TRUE và c=f_k, ngược lại cập nhật trạng thái của khối nén với các bước sau:

- Đặt c =

- Đặt t^(k+1) = ABSG(t⁽^k⁾, f_k)

- Nếu = 0, đặt output = TRUE, ngược lại đặt output = FALSE.

2) Cập nhật trạng thái của bộ đệm bởi (b^(k+1), i^(k+1)) = B(b^(k⁾, i⁽^k⁾, đầu ra, c)

e) Đặt T⁽ⁱ⁺¹⁾ = t⁽⁴⁾, b⁽ⁱ⁺¹⁾ = b⁽⁴⁾ và I⁽ⁱ⁺¹⁾ = i⁽⁴⁾

CHÚ THÍCH 1 Điều kiện t⁽⁰⁾ = 0 trong bước 1) của bước d) không bao giờ thỏa mãn: Nếu điều kiện thỏa mãn, điều này có nghĩa bộ đệm trở nên rỗng trong quá trình tạo khóa dòng. Điều này xảy ra với xác suất nhỏ hơn 2^-80 tại mỗi trạng thái cập nhật, xem chi tiết hơn trong [8]. Ngoài ra, xác suất này cao hơn nếu bộ đệm là không đầy sau hàm khởi tạo Init, nhưng, như đã đề cập trong 8.4.3 (CHÚ THÍCH), điều này cũng xảy ra với xác suất không đáng kể.

CHÚ THÍCH 2 Hàm InitNext và hàm Next cùng chia sẻ nhiều bước tính toán. Thật vậy, chế độ LFSR của hàm InitNext chủ yếu bao gồm cập nhật LFSR trong chế độ BUFF và của hàm Next sự khác biệt duy nhất là đầu ra hàm Boolean được thêm bit phản hồi. Chế độ BUFF của hàm InitNext và hàm Next chỉ khác nhau ở bộ đệm B chỉ được dịch chuyển muộn hơn.

...

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, T⁽ⁱ⁾, b⁽ⁱ⁾, I⁽ⁱ⁾).

Đầu ra: Bit khóa dòng Z_i.

a) Đặt Z_i =

b) Đưa ra Z_i

8.4.7. Hàm phản hồi tuyến tính L

Đầu vào: xâu w = (w₀, w₁, …, w₁₉₁) có độ dài 192-bit

Đầu ra: Bit q = L(w)

Đặt q = w₀ Å w₃ Å w₄ Å w₂₃ Å w₃₆ Å w₃₇ Å w₆₀ Å w₆₁ Å w₉₈ Å w₁₁₅ Å w₁₄₆ Å w₁₇₅ Å w₁₇₆ Å w₁₈₇

8.4.8. Hàm trích lọc LF

...

Đầu ra: Bit q = LF(w)

Đặt q = L(w). Đặt q = Y(w₁₃, w₂₈, w₄₅, w₅₄, w₆₅, w₁₀₄, w₁₁₁, w₁₄₄, w₁₆₂, w₁₇₂, w₁₇₈, w₁₈₆, w₁₉₁))

8.4.6. Hàm Boolean Y

Đầu vào: xâu w = (w₀, w₁,...,w₁₂) có độ dài 13-bit

Đầu ra: Bit q = Y(w)

Đặt q = (Å₀_£_j_£₁₂w_j) Å (Å₀_£_j_£₁₂w_jw_k)

CHÚ THÍCH Tương ứng, q được cho bởi q = 0 niếu X = 0 hoặc X = 3 và q = 1 trong trường hợp ngược lại với X = w₀ + w₁ + … + w₁₂ mod 4

8.4.10. Hàm nén ABSG

Đầu vào: 3-bit trạng thái T, đưa vào bit c

...

a) Nếu T₀ = 1, đặt T₁ = T’₁, ngược lại T’₁ = c.

b) Đặt T’₂ = T₀ VÀ (T₁ Å c)

c) Đặt T’₀ = (T₀ Å 1) HOẶC T’₂

8.4.11. Hàm bộ đệm B

Đầu vào: xâu b = (b₀, b₁, ..., b₃₁) có độ dài 32-bit, chỉ số I, Boolean output, nhập vào bit c.

Đầu ra: xâu b' = (b’₀, b’₁,…, b’₃₂) có độ dài 32-bit, chỉ số I’.

a) Đặt I’ = I, b’ = b.

b) Nếu output = TRUE, và I’ < 32, thực hiện như sau:

- Đặt b’I’ = c.

...

c) Đầu ra B(b, i, output, c) = (b’,I’)

8.5. bộ tạo khóa dòng KCipher-2 (K2)

8.5.1. Giới thiệu KCipher-2 (K2)

KCipher-2 (K2) là bộ tạo khóa dòng trong đó sử dụng đầu vào là khóa bí mật K độ dài 128-bit và véc tơ khởi tạo IV độ dài 128-bit. Khóa bí mật và Véc tơ khởi tạo được sử dụng để khởi tạo biến trạng thái S_i (i ³ 0) bao gồm 20 khối 32-bit, trong đó S_i biểu diễn trạng thái trong của K₂ tại chu kỳ i. Thứ tự bit/byte là big-endian, tức là nếu khóa và véc tơ khởi tạo được cho dưới dạng dãy các bit/byte, Thứ nhất/tận cùng bên trái của bit/byte có trọng số cao nhất của dữ liệu tương ứng. Đối với mỗi lần lặp của hàm Strm, 64-bit khóa dòng Z_i được tạo coi như đầu ra.

Biến trạng thái S_i của K2 bao gồm 3 thành phần. Thành phần đầu tiên bao gồm 5 biến 32-bit tuần tự:

trên trường GF(2³²), m ³ 0)

Dạng trạng thái của thanh ghi dịch phản hồi (FSR) A. Thành phần thứ hai B⁽ⁱ⁾ bao gồm 11 biến 32-bit tuần tự:

B⁽ⁱ⁾ = trên trường GF(2³²), m ³ 0)

Dạng trạng thái cho thanh ghi dịch phản hồi (FSR) B. Thành phần thứ ba bao gồm bộ 4 biến 32-bit:

...

duy trì trạng thái của hàm phi tuyến. Phép toán của K2 được tóm tắt trong Hình 12 và 13, trong đó mô tả một bản chụp các phép toán, tại thời điểm I, bỏ qua biến phụ thuộc thời gian (i).

Hình 12- Biểu đồ của K2

Hoạt động của K2 được xác định bởi ba hàm sau đây:

Hàm Init, được xác định trong 8.5.2, nhận giá trị đầu vào là khóa K độ dài 128-bit và véc tơ khởi tạo IV độ dài 128-bit để tạo ra trạng thái khởi tạo S₀ = (A⁽⁰⁾, B⁽⁰⁾, R1⁽⁰⁾, L1⁽⁰⁾, R2⁽⁰⁾, L2⁽⁰⁾).

Hàm Next, được xác định trong 8.5.3, nhận giá trị đầu vào là trạng thái trong S_i = (A⁽ⁱ⁾, B⁽ⁱ⁾, R1⁽ⁱ⁾, L1⁽ⁱ⁾, R2⁽ⁱ⁾, L2⁽ⁱ⁾) và tạo như đầu ra giá trị tiếp theo của biến trạng thái S_i₊₁ = (A⁽ⁱ⁺¹⁾, B⁽ⁱ⁺¹⁾, R1⁽ⁱ⁺¹⁾, L1⁽ⁱ⁺¹⁾, R2⁽ⁱ⁺¹⁾, L2⁽ⁱ⁺¹⁾). Hàm Next chạy trong hai chế độ, tùy vào phép lặp thực thi là một phần của khởi tạo hoặc trong chế độ tạo đầu ra thông thường.

Hàm Strm, được xác định trong 8.5.4, nhận giá trị đầu vào là trạng thái trong, S_i = (A⁽ⁱ⁾, B⁽ⁱ⁾, R1⁽ⁱ⁾, L1⁽ⁱ⁾, R2⁽ⁱ⁾, L2⁽ⁱ⁾) và tạo như đầu ra khóa dòng Z_i = .

CHÚ THÍCH 1 Số lượng khóa dòng tối đa được khuyến nghị của bít khóa dòng không có hoặc tạo khóa mới hoặc tái khởi tạo với véc tơ khởi tạo IV mới là 2⁶⁴ bit.

CHÚ THÍCH 2 Đối với những cơ sở thiết kế cho K2, tham khảo [12], [13], [14].

...

Hình 13- Hàm phi tuyến của K2

8.5.2. Hàm khởi tạo Init

Hàm khởi tạo hút hoạt động như sau:

Đầu vào: Khóa K độ dài 128-bit và véc tơ khởi tạo IV độ dài 128-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = (A⁽⁰⁾, B⁽⁰⁾, R1⁽⁰⁾, L1⁽⁰⁾, R2⁽⁰⁾, L2⁽⁰⁾).

Biến cục bộ: biến đếm m

a) Mở rộng khóa K = (K₀, K₁, K₂, K₃) độ dài 128-bit thành khóa trong IK = (IK₀, IK₁,...,IK₁₁) độ dài 384-bit như sau:

1) Với m = 0, 1, 2, 3 đặt IK_m = K_m.

2) Với m = 4, 5,...11,

...

- Nếu m = 4, đặt Rcon[0] = (0x01,0x00,0x00,0x00) và

IK_m = IK_m_-₄ÅSub_k2Å(IK_m_-₁ <<₃₂ 8)Å(IK_m_-₁ >>₃₂ 24))ÅRcon[ - 1]. Hàm Sub_K₂ được đề cập đến trong 8.5.5

- Nếu m = 8, đặt Rcon[1] = (0x02,0x00,0x00,0x00) và

IK_m = IK_m_-₄ÅSub_K₂(IK_m_-₁ <<₃₂ 8)Å(IK_m_-₁ >>₃₂ 24))ÅRcon[ - 1]. Hàm Sub_K₂ được đề cập đến trong 8.5.5

b) Khởi tạo các thanh ghi với khóa trong IK và IV = (IV₀, IV₁, IV₂, IV₃).

- Với m = 0, 1, 2, 3, 4 đặt = IK₄_-_m.

- Đặt thanh ghi trong FSR-B như sau.

- Đặt thanh ghi trong hàm phi tuyến như sau.

...

c) Đặt S₀ = Next²⁴(S_-24, INIT), trong đó Next²⁴ biểu diễn 24 lần lặp của hàm Next

d) Đưa ra S₀

Chúng ta tham khảo 8.5.5 cho mô tả hàm Sub_K₂.

8.5.3. Hàm chuyển trạng thái theo Next

K2 có 2 chế độ cho hàm Next

Đầu vào: Biến trạng thái S_i = (A⁽ⁱ⁾, B⁽ⁱ⁾, R1⁽ⁱ⁾, L1⁽ⁱ⁾, R2⁽ⁱ⁾, L2⁽ⁱ⁾), mode = {INIT, null}.

Đầu ra: Giá trị tiếp theo của biến trạng thái S_i₊₁ = (A⁽ⁱ⁺¹⁾, B⁽ⁱ⁺¹⁾, R1⁽ⁱ⁺¹⁾, L1⁽ⁱ⁺¹⁾, R2⁽ⁱ⁺¹⁾, L2⁽ⁱ⁺¹⁾).

Biến cục bộ: biến đếm m

a) Đặt biến trong hàm phi tuyến như sau.

...

b) Với m = 0, 1, 2, 3, đặt

c) Với m = 0, 1, 2 9, đặt

d) Với chế độ INIT, đặt

với chế độ null, đặt đặt

e) Với chế độ INIT, đặt

với chế độ null, đặt

f) Đặt S_i₊₁ = (A⁽ⁱ⁺¹⁾, B⁽ⁱ⁺¹⁾, R1⁽ⁱ⁺¹⁾, L1⁽ⁱ⁺¹⁾, R2⁽ⁱ⁺¹⁾, L2⁽ⁱ⁺¹⁾).

g) Đưa ra S_i₊₁.

...

Hình 14 là sơ đồ khối của chế độ INIT của hàm Next.

Hình 14 - Chế độ INIT của hàm Next

8.5.4. Hàm khóa dòng Strm

Hàm khóa dòng Strm hoạt động như sau.

Đầu vào: Biến trạng thái S_i = (A⁽ⁱ⁾, B⁽ⁱ⁾, R1⁽ⁱ⁾, L1⁽ⁱ⁾, R2⁽ⁱ⁾, L2⁽ⁱ⁾).

Đầu ra: Khóa dòng Z_i = () độ dài 64-bit.

a) Đặt = NLF)

b) Đặt = NLF

...

d) Đưa ra Z_i.

Hàm NLF được định nghĩa trong 8.5.10.

8.5.5. Hàm Sub_K₂

Hàm Sub_K₂ là một hoán vị trong trường GF(2³²), dựa trên các thành phần tử chuẩn mã hóa tiên tiến (AES) [TCVN 11367-3:2016 ISO/IEC 18033-3]. Trong hàm Sub_K₂, giá trị đầu vào 32-bit được chia thành 4 xâu 1-byte và một hoán vị phi tuyến được áp dụng cho mỗi byte sử dụng hàm hay thế 8x8 bit (SBox) tiếp sau một hoán vị tuyến tính 32x32 bit. Các hàm SBox là giống như SBox của AES, và hoán vị giống như phép toán Mix Column của AES.

CHÚ THÍCH 1 Hàm SBox AES, SBox, có thể được tìm thấy trong 8.1.8 là hàm SUB.

CHÚ THÍCH 2 Hàm Sub_K₂ tạo ra đầu ra tương tự như hàm T của 8.2.5.

Đầu vào: Một giá trị w độ dài 32-bit biểu diễn cho một phần tử trên trường GF(2³²).

Đầu ra: Một xâu q = Sub_K₂(w) độ dài 32-bit.

Biến cục bộ: biến đếm m.

...

b) Với mỗi m = 0, 1, 2, 3, đặt t_m = SBox(w_m).

c) Đặt q = (q₃, q₂, q₁, q₀) như sau

Phép nhân các phần tử t_i được thực hiện trong trường GF(2⁸) dùng đa thức bất khả quy f(x) = x⁸ + x⁴+x³+ x + 1.

d) Đưa ra q.

8.5.6. Phép nhân của a₀ trong trường GF(2³²)

Đầu vào: Một giá trị w độ dài 32-bit, biểu diễn cho 1 phần tử trên trường GF(2³²).

Đầu ra: Một xâu w’ độ dài 32-bit, biểu diễn cho a₀ Ä w trên trường GF(2³²).

a) Đặt w’ = (w <<₃₂ 8)Åa_M_UL₀[w >>₃₂ 24].

...

Hàm a_MUL₀ được định nghĩa như sau:

8.5.7. Phép nhân của a₁ trong trường GF(2³²)

Đầu vào: Một giá trị w độ dài 32-bit, biểu diễn cho 1 phần tử trên trường GF(2³²).

Đầu ra: Một xâu w’ độ dài 32-bit, biểu diễn a₁ Ä w trên trường GF(2³²).

a) Đặt w’ = (w <<₃₂ 8)Åa_M_UL₁[w >>₃₂ 24].

b) Đưa ra w’.

Hàm a_MU_L₁ được định nghĩa như sau:

...

Đầu vào: Một giá trị w độ dài 32-bit, biểu diễn cho 1 phần tử trên trường GF(2³²).

Đầu ra: Một xâu w’ độ dài 32-bit, biểu diễn cho a₂ Ä w trên trường GF(2³²).

a) Đặt w’ = (w <<₃₂ 8)Åa_M_U_L₂ [w >>₃₂ 24].

b) Đưa ra w’.

Hàm a_MU_L₂ được định nghĩa như sau:

8.5.9. Phép nhân của a₃ trong trường GF(2³²)

Đầu vào: Một giá trị w độ dài 32-bit, biểu diễn cho 1 phần tử trên trường GF(2³²).

...

a) Đặt w’ = (w <<₃₂ 8)Åa_M_U_L₃ [w >>₃₂ 24].

b) Đưa ra w’.

Hàm a_M_UL₃ được định nghĩa như sau:

8.5.10. Hàm NLF(a, b, c, d)

Đầu vào: 4 giá trị độ dài 32-bit a, b, c và d.

Đầu ra: Một xâu q độ dài 32-bit

a) Đặt q = (a +₃₂b)Åc Å d).

...

PHỤ LỤC A

(Quy định)

ĐỊNH DANH ĐỐI TƯỢNG

Phụ lục này liệt kê các định danh đối tượng gán cho các thuật toán được đặc tả trong bộ TCVN 11367 (ISO/IEC 18033) và xác định các cấu trúc tham số thuật toán. Vui lòng tham khảo tiêu chuẩn TCVN 11367-3:2016 (ISO/IEC18033-3) về các ID của đối tượng cho các chế độ hoạt động của mã khối.

PHỤ LỤC B

(Tham khảo)

...

Đối với bất kỳ số nguyên dương n tồn tại một trường hữu hạn gồm có 2ⁿ phần tử. Trường hữu hạn này duy nhất trên phép đẳng cấu và trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) nó được gọi là trường hữu hạn GF(2ⁿ).

Trong mô tả đa thức, mỗi phần tử của GF(2ⁿ) được mô tả bởi một đa thức nhị phân có bậc nhỏ hơn n. Một cách rõ ràng hơn, xâu bit a = a_n_-₁ ..., a₂a₁a₀ được thực hiện để đại diện cho đa thức nhị phân a(x) = a_n_-₁xⁿ^-1+ … + a₂x² + a₁x + a₀. Cơ sở của đa thức là tập hợp B = (xⁿ^-1, ..., x², x, 1). Đối với 2 xâu bit a = a_n_-₁…, a₂a₁a₀ và b = b_n_-1...b₂b₁b₀, tổng là c = aÅb = c_n_-1 ... c₂c₁c₀, trong đó c_i = a_iÅb_i.

Phép nhân trong trường hữu hạn, được viết là aÄb tương ứng với phép nhân hai đa thức a(x)b(x) modulo với một đa thức bất khả quy nhị phân p(x) bậc n. Một đa thức là bất khả quy nếu nó không có ước số tầm thường.

GF(2ⁿ)\{0} ký hiệu là GF(2ⁿ)* là một nhóm abel đối với phép nhân và phần tử đơn vị là 1. Đối với bất kỳ đa thức nhị phân khác không b(x) bậc nhỏ hơn n, các nghịch đảo của b(x) ký hiệu là b^-1(x), có thể được tính như sau: sử dụng thuật toán Euclid mở rộng để tính toán đa thức a(x) và c(x) sao cho b(x). a(x) + p(x). c(x) = 1. Do đó, a(x).b(x) mod p(x) = 1, có nghĩa là b^-1(x) = a(x) mod p(x). Thuật toán Euclid mở rộng được mô tả trong [15].

PHỤ LỤC C

(Tham khảo)

CÁC VÍ DỤ

C.1. Ví dụ cho MUGI

...

C.1.2. Ví dụ các trạng thái trong

...

C.2. Ví dụ khóa 128 bit cho SNOW 2.0

C.2.1. Khóa, véc tơ khởi tạo và bộ ba khóa dòng

C.2.2. Ví dụ các trạng thái trong

...

C.3. Ví dụ khóa 256 bit cho SNOW 2.0

C.3.1. Khóa, véc tơ khởi tạo và bộ ba khóa dòng

C.3.2. Ví dụ các trạng thái trong

...

C.4. Ví dụ cho Rabbit

C.4.1. Giới thiệu

Tất cả các véc tơ kiểm tra cho Rabbit được đưa ra trong ký hiệu little-endian, tức là cho số nhiều byte, các byte có trọng số cao nhất được lưu trữ tại các địa chỉ bộ nhớ cao nhất.

C.4.2. Khóa, véc tơ kiểm tra và bộ ba khóa dòng

C.4.3. Ví dụ các trạng thái trong

...

C.5. Ví dụ cho Decim^v²

C.5.1. Giới thiệu ví dụ Decim^v²

Các giá trị byte và phân tích nhị phân của các byte theo ký hiệu big-endian, tức là với số nhiều byte, byte có trọng số cao nhất được lưu trữ tại địa chỉ bộ nhớ thấp nhất. Đặc biệt, lưu trữ khóa, IV, khóa dòng, thanh ghi và bộ đệm byte và giá trị nhị phân đưa ra dưới đây.

K = K₇₉ ... K₀

IV = IV₆₃ ...IV₀

Z = Z_n ... Z₀

a = a₁₉₁ ... a₀

...

T = T₂T₁T₀

và, ví dụ đưa ra khóa

K = de aa 00 40 30 00 0f 08 80

Mỗi thanh ghi được xác định:

[K₇₉... K₇₂] = de, [K₇₁... K₆₄] = aa... [K₇ … K₀] = 80

Với phân tích bit như sau:

C.5.2. Khóa, véc tơ khởi tạo và bộ ba khóa dòng

...

C.5.3. Ví dụ trạng thái trong

Các tương đương nhị phân của trạng thái trong cho các giai đoạn khóa, cụ thể được cung cấp tại thời điểm -256, thời điểm -64, thời điểm 0 và thời điểm 193.

Từ -256 đến -64 (thực thi của InitNext(S,LRSR), các biến trạng thái trong T, b và I có giá trị sau:

...

C.6. Các ví dụ cho Kcipher-2(K2)

C.6.1. Khóa, véc tơ khởi tạo và bộ ba khóa dòng

...

PHỤ LỤC D

...

THÔNG TIN AN TOÀN

D.1. Mức độ an toàn của mã dòng

Phụ lục này liệt kê mức độ an toàn của mã dòng được mô tả trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033).

Bảng D.1-Mức độ an toàn của các chế độ mã dòng

Hàm đầu ra

Bí mật dữ liệu

Toàn vẹn dữ liệu

Chế độ cộng nhị phân

Một cơ chế mã hóa dựa trên các hàm đầu ra là an toàn miễn là bộ tạo khóa dòng an toàn. Điều này được chứng minh bằng toán học.

...

Chế độ MULTI-S01

Việc an toàn liên quan đến toàn vẹn dữ liệu thông thường an toàn như bộ tạo khóa dòng. Tuy nhiên mức độ an toàn luôn luôn bị chặn trên bởi chiều dài của thông báo giả mạo. Một thông báo giả mạo có chiều dài là un bit có thể được chấp nhận với xác suất thành công (u - 2)2^-n, trong đó n là tham số an toàn của chế độ này.

Bảng D.2-Mức độ an toàn của bộ tạo khóa dòng chuyên dụng

Bộ tạo khóa dòng

Tuyên bố an toàn

Độ dài khóa

Độ phức tạp tính toàn của tấn công tốt nhất được biết đến

Chế độ CFB, OFB, CTR với mã khối n-bit với độ dài khóa k-bit

Giả sử rằng các mã khối về cơ bản là an toàn, nói chung không thể phân biệt chế độ CFB, OFB và CTR từ một chuỗi ngẫu nhiên. Tuy nhiên, nếu số lượng các khối được xử lý vượt quá khoảng 2^n/² thì xác suất của phân biệt giữa khóa dòng và chuỗi ngẫu nhiên trở nên đáng kể. Sự an toàn của khóa dòng được chặn trên bởi an toàn của mã khối, chẳng hạn độ dài khóa và mức độ mật mã có thể được phân tích mã.

...

2^{n/ 2}

MUGI

Không có một tấn công phân tích mã nào được biết đến đối với MUGI nhanh hơn so với tấn công vét cạn khóa. MUGI có độ dài khóa là 128- bit.

128-bit

2¹²⁸

SNOW 2.0

Đối với chế độ 256-bit, các thuật toán phân biệt đã được phân biệt đầu ra của SNOW 2.0 từ một chuỗi ngẫu nhiên. Cách tốt nhất để ước tính và cần biết khoảng 2¹⁷⁴-bit khóa dòng. Điều này hầu như không vi phạm mức độ an toàn trên lý thuyết, có thể được suy ra từ độ dài khóa, 256-bit. Tuy nhiên, bất kỳ tấn công nào liên quan đến phân biệt đã biết sẽ không có mối đe dọa nào với sử dụng thực tế.

128 hoặc 256-bit

2¹⁷⁴

...

Không có tấn công phân biệt nào được biết đến đối với với Rabbit nhanh hơn so với tấn công vét cạn khóa, miễn là không quá 2⁶⁴ khối khóa dòng được tạo ra sử dụng một khóa.

128 bit

2¹²⁸

Decim^v²

Không có một tấn công phân tích mã nào được biết đến đối với Decim^v² nhanh hơn so với tấn công vét cạn khóa.

80 bit

2⁸⁰

KCipher-2 (K2)

Không có một tấn công phân tích mã nào được biết đến đối với K2 nhanh hơn so với tấn công vét cạn khóa. K2 có độ dài khóa là 128-bit

...

2¹²⁸

D.2. An toàn hiệu quả đánh đổi trong MULTI-S01

Cho n là kích thước khối của hàm đầu ra MULTI-S01. Với thông báo n.u-bit, hàm đầu ra MULTI-S01 lặp xử lý khối u+2 lần. Trong cả hai phần mềm và phần cứng thực hiện, việc tính toán chi phối là các phép nhân trong trường hữu hạn GF(2ⁿ).

Nếu hai thực thi, giữa kích thước khối n khác nhau, được so sánh, việc thực thi với n nhỏ hơn nói chung là nhanh hơn khối khác - mặc dù việc thực hiện với giá trị n nhỏ hơn lặp nhiều lần hơn, mỗi lần nhân có thể được tính trong thời gian ít hơn và sử dụng không gian nhỏ hơn. Các yếu tố mà việc tính toán tăng tốc độ lên phụ thuộc vào thuật toán và nền tảng được sử dụng để thực thi nó.

Bảng D.3 - cho thấy một số kết quả thực nghiệm của việc thực thi MULTI-S01 với n = 64.

Bảng D.3 - Kết quả thực nghiệm của việc thực thi chế độ MULTI-S01 không có bộ tạo khóa dòng (n = 64)

Chọn lựa

Tốc độ/Kích thước

Đặc tả nền tảng

...

5.1 Gbps@80MHz, 25.7 K Cổng

ASIC sử dụng thư viện ngăn Hitachi HG73C (0.35 mm)

ASIC kích thước nhỏ

2.0 K Cổng, 100Mbps@100MHz

Phần mềm

10 chu kỳ/byte (hoặc tương đương 520 bps@650 MHz)

Intel Pentium III 650 MHz (Coppermine), Windows98 SE, RAM 64MB, Visual C++ Ver.6.0 Service Pack 3.

D.3. Hướng dẫn về mã dòng

Phụ lục này liệt kê các tính năng của mã dòng được mô tả trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033).

...

Bộ tạo khóa dòng

Phát biểu thuộc tính

Chế độ CFB, OFB, CTR với mã khối n-bit với độ dài khóa k-bit

Thuận lợi của 3 chế độ này là chúng chia sẻ các thành phần với các chế độ khác của mã khối. Các chế độ này có thể được sử dụng cho bản rõ có độ dài bất kỳ trên một vài kiến trúc, và OFB và CTR là hai chế độ phù hợp cho việc mã hóa và giải mã bản rõ độ dài nx-bit. CFB có thể khôi phục lỗi đồng bộ và hiệu năng của nó phụ thuộc vào độ dài khóa dòng. CTR chấp nhận truy cập ngẫu nhiên đến bản mã.

MUGI

MUGI sử dụng véc tơ khởi tạo độ dài 128-bit. Nó bao gồm các phép toán 64-bit và tạo ra 64-bit khóa dòng cho mỗi lần thực hiện. Mật mã có thể được sử dụng cho bản rõ có độ dài bất kỳ trên một số kiến trúc, và nó hiệu quả hơn cho kiến trúc CPU 64-bit và mã hóa/giải mã bản rõ độ dài 64x.

SNOW 2.0

SNOW 2.0 sử dụng véc tơ khởi tạo độ dài 128-bit. Nó bao gồm các phép toán 32-bit và tạo ra 32-bit khóa dòng cho mỗi lần thực hiện. Mật mã có thể được sử dụng cho bản rõ có độ dài bất kỳ trên một số kiến trúc và nó hiệu quả hơn cho kiến trúc CPU 32-bit và mã hóa/giải mã bản rõ độ dài 32x.

Rabbit

...

Decim^v²

Decim^v² sử dụng véc tơ khởi tạo độ dài 64-bit. Nó bao gồm các phép toán từng bit và tạo ra 1-bit khóa dòng cho mỗi lần thực hiện. Mật mã có thể được sử dụng cho bản rõ có độ dài bất kỳ trên một số kiến trúc và nó hiệu quả hơn cho thực hiện phần cứng trên các thiết bị có tài nguyên hạn chế.

KCipher-2 (K2)

KCipher-2 sử dụng véc tơ khởi tạo độ dài 128-bit. Nó bao gồm các phép toán 32-bit và tạo ra 64-bit khóa dòng cho mỗi lần thực hiện. Mật mã có thể được sử dụng cho bản rõ có độ dài bất kỳ trên một số kiến trúc, và nó hiệu quả hơn cho kiến trúc CPU 32-bit và mã hóa/giải mã bản rõ độ dài 64x.

THƯ MỤC TÀI LIỆU THAM KHẢO

[1] ISO/IEC 9797-1:2011, Information technology - Security techniques - Message Authentication Codes (MACs) - Part 1: Mechanisms using a block cipher

[2] ISO/IEC 10116:2006, Information technology - Security techniques - Modes of operation for an n-bit block cipher

[3] ISO/IEC 10118-1:2000, lnformation technology - Security techniques - Hash-functions - Part 1: General

...

[5] ISO/IEC 11770-3:2008, Information technology - Security techniques - Key management - Part 3: Mechanisms using asymmetric techniques

[6] Berbain, C., Billet, O., Canteaut, A., Courtois, N., Debraize. B., Gilbert, H., Goubin, L., Gouget, A., Granboulan, L., Lauradoux, C., Minier, M., Pornin, T. and Sibert, H., “DECIMv2, a compact hardware- oriented stream cipher”, SASC 2006 - Stream Ciphers revisited Workshop, Leuven, Belgium, 2006

[7] Biryukov, A. and Shamir, A., “Cryptanalytic Time/Memory/Data Tradeoffs for Stream Ciphers”, Advances in Cryptology - ASIACRYPT 2000, 6th International Conference on the Theory and Application of Cryptology and Information Security, Kyoto, Japan, December 2000, Proceedings, ed. Okamoto, T., Lecture Notes in Computer Science vol. 1976, Springer-Verlag, pp.1-13, 2000

[8] Boesgaard, M., Vesterager, M., Pedersen, T., Christiansen, J., and Scavenius, O., “Rabbit: A new high- performance stream cipher“. In T. Johansson, editor, Proc. Fast Software Encryption 2003, Lecture Notes in Computer Science vol.2887, Springer-Verlag, pp.307-329, 2003

[9] Boesgaard, M.(Vesterager, M.t Christensen, T., Zenner, E., “The Rabbit stream cipher - design and security analysis”. Available from <http://www.cryptico.com/files/filer/rabbit sasc.final.pdf>

[10] Ekdahl, P. and Johansson, T., “A new version of the stream cipher SNOW”, Selected Areas in Cryptography, 9th Annual Workshop, SAC 2002, St. John's, Newfoundland, Canada, Aug. 2002, Revised Papers, eds. Nyberg, K. and Heys, H., Lecture Notes in Computer Science vol. 2595, Springer- Verlag, pp.47-61, 2002

[11] Furuya, S., Watanabe, D., Seto, Y., and Takaragi, K., “Integrity-Aware Mode of Stream Cipher,” IEICE Transactions on Fundamentals of Electronics, Communications and Computer Science vol. E85-A No.1, pp.58-65, 2002

[12] Kiyomoto, S., Tanaka, T., and Sakurai, K., “A Word-Oriented Stream Cipher Using Clock Control”, In SASC 2007 Workshop Record, pp.260-274, January, 2007

[13] Kiyomoto, S., Tanaka, T., and Sakurai, K., “K2: A Stream Cipher Algorithm Using Dynamic Feedback Control“, In Proc. of SECRYPT 2007, pp.204-213, July, 2007

...

[15] Menezes, A.J., van Oorschot, P.C., and Vanstone, SA, Handbook of Applied Cryptography, CRC Press, 1996

[16] Nyberg, K., Wallen, J., “Improved Linear Distinguishers for SNOW 2.0”, FSE 2006, Lecture Notes in Computer Science vol.4047, Springer-Verlag, pp.44-162, 2006

[17] Watanabe, D., Furuya, S., Yoshida, H., Takaragi, K., and Preneel, B.t “A New Key Stream Generator MUGI,” Fast Software Encryption, 9th International Workshop, FSE 2002, Leuven, Belgium, February 4-6, 2002, Revised Papers, eds. Daemen, J. and Rijmen, V., Lecture Notes in Computer Science vol.2365, Springer-Verlag, pp.179-194, 2002

[18] Wu, H. and Preneel, B„ “Cryptanalysis of the stream Cipher DECIM”, Proc. FSE 2006, Lecture Notes in Computer Science vol. 4047, Springer-Verlag, pp.30-40, 2006

[19] ISO/IEC 9834 (all parts), lnformation technology - Open Systems Interconnection - Procedures for the operation of OS I Registration Authorities

MỤC LỤC

Lời nói đầu

Giới thiệu

...