Tiêu chuẩn quốc gia TCVN 12854-2:2020 về Công nghệ thông tin - Mật mã hạng nhẹ - Phần 2: Mã khối

5.2.3  Mã hóa PRESENT

Mã khối PRESENT gồm 31 vòng, tức là 31 lần áp dụng của một dãy các biến đổi đơn giản. Một mô tả ở dạng giả mã của thuật toán mã hóa đầy đủ được đưa ra trong Hình 1, với STATE ký hiệu trạng thái bên trong. Các biến đổi cụ thể của thuật toán được xác định trong 5.2.5. Mỗi vòng của thuật toán sử dụng một khóa vòng khác nhau K_i (1 ≤ i ≤ 31), nhận được như mô tả trong 5.2.6. Hai vòng liên tiếp của thuật toán được chỉ rõ để minh họa trong Hình 2.

Hình 1 - Thủ tục mã hóa của PRESENT

Hình 2 - Hai vòng của PRESENT

5.2.4  Giải mã PRESENT

Thuật toán giải mã PRESENT đầy đủ được đưa ra trong Hình 3. Các biến đổi cụ thể của thuật toán được xác định trong 5.2.5. Mỗi vòng của thuật toán sử dụng một khóa vòng K_i (1 ≤ i ≤ 31) khác nhau, nhận được như trong 5.2.6.

...

...

...

Hình 3 - Thủ tục giải mã của PRESENT

5.2.5  Các biến đổi của PRESENT

5.2.5.2  addRoundKey

Cho trước khóa vòng với 1 ≤ i ≤ 32 và STATE hiện tại b₆₃... b₀, addRoundKey gồm các phép toán , với 0 ≤ j ≤ 63.

5.2.5.2  sBoxLayer

Tầng phi tuyến sBoxLayer của quá trình mã hóa của PRESENT sử dụng một S-hộp S 4 bit sang 4 bit, nó được áp dụng 16 lần song song trong mỗi vòng. S-hộp biến đổi đầu vào x thành đầu ra S(x) như mô tả theo hệ thập lục phân được chỉ ra trong Bảng 1.

Bảng 1 - S-hộp PRESENT

x

0

...

...

...

2

3

4

5

6

7

8

9

A

...

...

...

C

D

E

F

S(x)

C

5

6

B

...

...

...

0

A

D

3

E

F

8

4

7

...

...

...

2

Đối với sBoxLayer STATE hiện tại b₆₃ ...b₀ được xem như 16 từ 4 bit w₁₅ ...w₀ với w_i = b_4*i+3 || b_4*i+2 || b_{4*i +1} || b_4*i (0 ≤ i ≤ 15) và 4 bit đầu ra S(w_i) tạo ra các giá trị cập nhật trạng thái là phép ghép S(w₁₅) || S(w₁₄) || ... || S(w₀).

5.2.5.3  invsBoxLayer

S-hộp sử dụng trong thủ tục giải mã của PRESENT là nghịch đảo của S-hộp S 4 bit sang 4 bit mà được mô tả trong 5.2.5.2. S-hộp nghịch đảo biến đổi đầu vào x thành đầu ra S^-1(x) như được mô tả theo hệ thập lục phân trong Bảng 2.

Bảng 2 - S-hộp nghịch đảo của PRESENT

x

0

1

2

...

...

...

4

5

6

7

8

9

A

B

C

...

...

...

E

F

S^-1(x)

5

E

F

8

C

1

...

...

...

D

B

4

6

3

0

7

9

A

...

...

...

Hoán vị bit pLayer sử dụng trong thủ tục mã hóa của PRESENT được cho trong Bảng 3. Bit i của STATE được chuyển đến vị trí bit P(i).

Bảng 3 - Tầng hoán vị pLayer của PRESENT

5.2.5.5  invpLayer

Tầng hoán vị nghịch đảo invpLayer sử dụng trong thủ tục giải mã của PRESENT được cho trong Bảng 4. Bit i của STATE được chuyển tới vị trí bit P^-1(i).

Bảng 4 - Tầng hoán vị nghịch đảo invpLayer của PRESENT

5.2.6  Lược đồ khóa PRESENT

5.2.6.2  PRESENT-80 và PRESENT-128

...

...

...

5.2.6.2  Khóa 80 bit cho PRESENT-80

Khóa của người dùng cung cấp được lưu trữ trong thanh ghi khóa K và được biểu diễn là k₇₉k₇₈... k₀. Tại vòng i, khóa vòng 64 bit  bao gồm 64 bit trái nhất của nội dung thanh ghi K hiện tại. Do vậy, tại vòng i chúng ta có:

Sau khi trích khóa vòng K_i, thanh ghi khóa K = k₇₉k₇₈...k₀ được cập nhật như sau:

Diễn giải bằng lời, thanh ghi khóa được quay vòng 61 bit vị trí sang bên trái, 4 bit trái nhất được đưa qua S-hộp của PRESENT, và giá trị round_counter i được cộng XOR với các bit k₁₉k₁₈k₁₇k₁₆k₁₅ bit của K trong đó bit có trọng số thấp nhất của round_counter nằm bên phải. Các vòng được đánh số từ 1 ≤ i ≤ 31 và round_counter = i. Hình 4 là minh họa lược đồ khóa của PRESENT-80.

Hình 4 - Lược đồ khóa PRESENT-80

5.2.6.3  khóa 128 bit cho PRESENT-128

...

...

...

Sau khi trích khóa vòng K_i, thanh ghi khóa K = k₁₂₇k₁₂₆...k₀ được cập nhật như sau:

Diễn giải bằng lời, thanh ghi khóa được quay vòng 61 bit vị trí sang bên trái, 8 bit trái nhất được đưa qua S-hộp của PRESENT, và giá trị round_counter i là được cộng XOR với các bit k₆₆k₆₅k₆₄k₆₃k₆₂ của K bit có trọng số thấp nhất của round_counter nằm bên phải. Các vòng được đánh số từ 1 ≤ i ≤ 31 và round_counter = i. Hình 5 là đồ họa mô tả lược đồ khóa PRESENT-128.

Hình 5 - Lược đồ khóa PRESENT-128

6  Mã khối hạng nhẹ với kích thước khối 128 bit

6.1  Tổng quan

Điều này đặc tả hai mã khối hạng nhẹ 128 bit: CLEFIA tại 6.2 và LEA tại 6.3.

...

...

...

6.2  CLEFIA

6.2.1  Thuật toán CLEFIA

Thuật toán CLEFIA [15] là một mã khối đối xứng, có thể xử lý các khối dữ liệu 128 bit sử dụng một khóa mật mã có độ dài 128, 192, 256 bit. Số vòng cho CLEFIA là 18, 22 và 26 với các khóa có kích thước 128 bit, 192 bit và 256 bit tương ứng. Tổng số khóa vòng phụ thuộc vào độ dài khóa. Các hàm mã hóa và giải mã của CLEFIA yêu cầu 36, 44 và 52 khóa vòng cho các khóa 128 bit, 192 bit và 256 bit tương ứng.

6.2.2  Các ký hiệu riêng cho CLEFIA

a_(b)

Xâu bit có độ dài b bit

{0.1}ⁿ

Tập các xâu nhị phân có độ dài n

∙

...

...

...

<<< i

Phép dịch vòng sang trái i bit

^~a

Phép lấy bù theo từng bit của xâu bit a

Σⁿ

n lần phép toán của hàm DoubleSwap Σ

6.2.3  Mã hóa CLEFIA

Quá trình mã hóa của CLEFIA dựa trên cấu trúc Feistel tổng quát hóa 4 nhánh r- vòng GFN_4,r. Cho P, C ϵ {0,1}¹²⁸ là bản rõ và bản mã. Cho P_i, C_i ϵ {0,1}³² (0 ≤ i < 4) là các phần được chia từ các bản rõ và bản mã với P = P₀ || P₁ || P₂ || P₃ và C = C₀ || C₁ || C₂ || C₃. Cho WK₀, WK₁, WK₂, WK₃ ϵ {0,1}³² là các khóa làm trắng và RK_i ϵ {0,1}³² (0 ≤ i < 2r) là các khóa vòng được cung cấp bởi lược đồ khóa. Khi đó, hàm mã hóa r-vòng ENC_r được định nghĩa như sau:

ENC_r:

...

...

...

6.2.4  Giải mã CLEFIA

Hàm giải mã DEC_r được định nghĩa như sau:

DEC_r:

Hình 6 minh họa cho cả ENC_r và DEC_r.

Hình 6 - Thủ tục mã hóa và thủ tục giải mã của CLEFIA

6.2.5  Các khối cơ sở của CLEFIA

6.2.5.2  GFN_d,r

...

...

...

CLEFIA sử dụng 4 nhánh và mạng Feistel tổng quát 8-nhánh. Mạng Feistel tổng quát 4-nhánh được dùng trong phần xử lý dữ liệu và lược đồ khóa với khóa 128 bit. Mạng Feistel tổng quát 8-nhánh được áp dụng trong lược đồ khóa với các khóa 192/256 bit. Chúng ta ký hiệu mạng Feistel tổng quát d-nhánh r-vòng dùng trong CLEFIA là GFN_d,r. GFN_d,r sử dụng hai F-hàm 32 bit khác nhau là F₀ và F₁.

Với d cặp của đầu vào X_i và đầu ra Y_i (0 ≤ i < d) 32 bit và dr/2 khóa vòng 32 bit RK_i (0 ≤ i < dr/2), GFN_d,r (d = 4,8) và hàm ngược (d = 4) được xác định như sau:

GFN_4,r:

1) T₀ || T₁ || T₂ || T₃ ¬ X₀ || X₁ || X₂ || X₃

2) Với i = 0 đến r-1:

2.1) T₁ ¬ T₁ Å F₀(RK_2i, T₀)

T₃ ¬ T₃ Å F₁(RK_2i+1, T₂)

2.2) T₀ || T₁ || T₂ || T₃ ¬ T₁ || T₂ || T₃ || T₀

3) Y₀ || Y₁ || Y₂ || Y₃ ¬ T₃ || T₀ || T₁ || T₂

...

...

...

1) T₀ || T₁ || ... || T₇ ¬ X₀ || X₁ || ... || X₇

2) Với i = 0 đến r-1:

2.1) T₁ ¬ T₁ Å F₀(RK_4i, T₀)

T₃ ¬ T₃ Å F₁(RK_4i+1, T₂)

T₅ ¬ T₅ Å F₀(RK_4i+2, T₄)

T₇ ¬ T₇ Å F₁(RK_4i+3, T₆)

2.2) T₀ || T₁ || ... || T₆ || T₇ ¬ T₁ || T₂ || ... || T₇ || T₀

3) Y₀ || Y₁ || ... || Y₆ || Y₇ ¬ Y₇ || Y₀ || ... || Y₅ || Y₆

Hàm ngược thu được bằng cách đổi thứ tự của RK_i và hướng của phép dịch vòng từ tại 2.2) và 3) trong GFN_4,r.

...

...

...

1) T₀ || T₁ || T₂ || T₃ ¬ X₀ || X₁ || X₂ || X₃

2) Với i = 0 đến r-1:

2.1) T₁ ¬ T₁ Å F₀(RK_2(r-1)-2, T₀)

T₃ ¬ T₃ Å F₁(RK_2(r-1)-1, T₂)

2.2) T₀ || T₁ || T₂ || T₃ ¬ T₃ || T₀ || T₁ || T₂

3) Y₀ || Y₁ || Y₂ || Y₃ ¬ T₁ || T₂ || T₃ || T₀

6.2.5.2  Các F-hàm

Hai F-hàm F₀ và F₁ sử dụng trong GFN_d,r được xác định như sau:

F₀: (RK₍₃₂₎, x₍₃₂₎) ® y₍₃₂₎

...

...

...

2) Cho V = V₀ || V₁ || V₂ || V₃, V₁ ϵ {0,1}ⁿ.

V₀ ¬ S₀(V₀)

V₁ ¬ S₁(V₁)

V₂ ¬ S₀(V₂)

V₃ ¬ S₁(V₃)

3) Cho y₀ || y₁ || y₂ || y₃, y₁ ϵ {0,1}ⁿ.

F₁: (RK₍₃₂₎, x₍₃₂₎) ® y₍₃₂₎

1) V ¬ RK Å x

...

...

...

V₀ ¬ S₁(V₀)

V₁ ¬ S₀(V₁)

V₂ ¬ S₁(V₂)

V₃ ¬ S₀(V₃)

3) Cho y₀ || y₁ || y₂ || y₃, y₁ ϵ {0,1}ⁿ.

S₀ và S₁ là các S-hộp phi tuyến 8 bit, M₀ và M₁ là các ma trận khuếch tán được mô tả trong các tiểu mục ở dưới. Trong mỗi F-hàm sử dụng hai S-hộp và một ma trận, nhưng các S-hộp được sử dụng theo thứ tự khác nhau và các ma trận khác nhau. Hình 7 là đồ họa mô tả các F-hàm.

Hình 7 - Các F-hàm

...

...

...

CLEFIA sử dụng hai kiểu S-hộp 8 bit khác nhau S₀ và S₁; S₀ dựa trên bốn S-hộp 4 bit ngẫu nhiên, và S₁ dựa trên hàm nghịch đảo trên GF(2⁸).

Bảng 5 và bảng 6 chỉ ra các giá trị đầu ra của S₀ và S₁ tương ứng. Tất cả các giá trị trong Bảng được biểu diễn ở hệ thập lục phân. Với một đầu vào 8 bit của S-hộp, 4 bit cao biểu diễn hàng và 4 bit thấp biểu diễn cột. Ví dụ, nếu một giá trị 0xab là đầu vào, 0x7e là đầu ra của S₀ vì nó cùng nằm trên đường giao của hàng chỉ số ‘a.’ và cột có chỉ số là ‘.b’

Bảng 5 - S₀

Bảng 6 - S₁

a) S-hộp S₀

S₀ : {0,1}⁸ ® {0,1}⁸: x ® y = S₀(x) được sinh bởi sự kết hợp của 4 S-hộp 4 bit SS₀, SS₁, SS₂, và SS₃ theo cách dưới đây. Giá trị của mỗi S-hộp được xác định trong Bảng 7.

1) t₀ ¬ SS₀(x₀), t₁ ¬ SS₁(x₁), với x = x₀ || x₁, x_i ϵ {0,1}⁴

...

...

...

3) y₀ ¬ SS₂(u₀), y₁ ¬ SS₃(u₁), với y = y₀ || y₁, y_i ϵ {0,1}⁴

Phép nhân 0 x 2 ∙ t₁ được thực hiện trong trường GF(2⁴) xác định bởi đa thức nguyên thủy z⁴ + z + 1. Hình 8 đưa ra cách xây dựng của S₀.

Bảng 7 - SS_i (0 ≤ i < 4)

Hình 8 - S₀

b) S-hộp S₁

1: {0,1}⁸ ® {0,1}⁸:x ® y = S₁(x) được xác định như sau:

...

...

...

f: {0,1}⁸ ® {0,1}⁸:x ® y = f(x),

g: {0,1}⁸ ® {0,1}⁸:x ® y = g(x),

Với x = x₀ || x₁ || x₂ || x₃ || x₄ || x₅ || x₆ || x₇ và y = y₀ || y₁ || y₂ || y₃ || y₄ || y₅ || y₆ || y₇, x_i, y_j ϵ {0,1}. Các hằng số trong f và g có thể được biểu diễn như 0x1e và 0x69 tương ứng.

6.2.5.4  Các ma trận khuếch tán

Các ma trận M₀ và M₁ được xác định như sau:

Các phép nhân của một ma trận và một véc tơ được thực hiện trên trường GF(2⁸) xác định bởi đa thức nguyên thủy z⁸ + z⁴ + z³ + z² + 1 (= 0x11d).

...

...

...

6.2.6.2  Cấu trúc chung

Lược đồ khóa CLEFIA hỗ trợ các khóa 128, 192 và 256 bit và tạo ra các khóa trắng WK_i(0 ≤ i < 4) và các khóa vòng RK_j(0 ≤ j < 2r) cho phần xử lý dữ liệu. Gọi K là khóa và L là khóa trung gian. Lược đồ khóa bao gồm hai bước sau:

1) Sinh L từ K.

2) Mở rộng K và L (sinh WK_i và RK_j)

Để sinh L từ K, lược đồ khóa cho khóa 128 bit sử dụng một phép hoán vị 128 bit GFN_4,12, trong đó lược đồ khóa cho các khóa 192/256 bit sử dụng một phép hoán vị 256 bit GFN_8,10.

6.2.6.2  Lược đồ khóa cho khóa 128 bit

Khóa trung gian 128 bit L được sinh ở bước 1 bằng cách áp dụng GFN_4,12, trong đó lấy 24 giá trị hằng số 32 bit  (0 ≤ i < 24) làm các khóa vòng và K = K₀ || K₁ || K₂ || K₃ làm đầu vào. Tiếp đó K và L được sử dụng để sinh WK_i(0 ≤ i < 4) và RK_j(0 ≤ j < 36) tại bước 2 và 3. 36 giá trị hằng số 32 bit  (24 ≤ i < 60) sử dụng ở bước 3 được xác định trong 6.2.6.6. Hàm DoubleSwap Σ được xác định trong 6.2.6.5.

(Sinh L từ K)

1)

...

...

...

2) WK₀ || WK₁ || WK₂ ||| WK₃ ¬ K

3) Với i =0 đến 8

Nếu i lẻ: T ¬ T Å K

RK_4i || RK_4i+1 || RK_4i+2 || RK_4i+3 ¬ T

Bảng 8 chỉ ra mối quan hệ giữa các khóa vòng được sinh và dữ liệu có liên quan

Bảng 8 - Mở rộng K và L (Khóa 128 bit)

6.2.6.3  Lược đồ khóa cho khóa 192 bit

...

...

...

K_L, K_R và L_L, L_R được sử dụng để sinh WK_i(0 ≤ i < 4) và RK_j(0 ≤ j < 44) tại bước 4 và 5 dưới đây. Trong phần sau, 44 giá trị hằng số 32 bit  được sử dụng.

Các bước dưới đây chỉ ra lược đồ khóa 192 bit/256 bit. Với lược đồ khóa 192 bit, giá trị của k được đặt là 192.

(Sinh L_L, L_R từ K_L, K_R với một khóa k bit)

1) Đặt k = 192 hoặc k = 256

2) Nếu k = 192: K_L ¬ K₀ || K₁ || K₂ || K₃ || K_R ¬ K₄ || K₅ || ^-K₀ || ^-K₁

hoặc nếu k = 256 : K_L ¬ K₀ || K₁ || K₂ || K₃ || K_R ¬ K₄ || K₅ || K₆ || K₇

2) Cho K_L = K_L0 || K_L1 || K_L2 || K_L3 || K_R = K_R0 || K_R1 || K_R2 || K_R3

L_L || L_R ¬ GFN_8,10(CON₀^(K),..., CON₃₉^(K), K_L0,...,K_L3, K_R0,...,K_R3)

(Mở rộng K_L, K_R và L_L, L_R với khóa k-bit)

...

...

...

5) Với i = 0 đến 10 (nếu k = 192), hoặc 12 (nếu k = 256) thực hiện:

Nếu (i mod 4) = 0 hoặc 1:

nếu i lẻ: T ¬ T Å K_R

Hoặc:

nếu i lẻ: T ¬ T Å K_L

...

...

...

Bảng 9 chỉ ra mối quan hệ giữa các khóa vòng được tạo và dữ liệu có liên quan

Bảng 9 - Mở rộng K_L, K_R, L_L, L_R (khóa 192 bit)

6.2.6.4  Lược đồ khóa cho khóa 256 bit

Lược đồ khóa cho khóa 256 bit gần như giống hệt với lược đồ khóa 192 bit, ngoại trừ các giá trị hằng số, số RK_i được yêu cầu và khởi tạo của K_R.

Với khóa 256 bit, giá trị của K đặt là 256, các bước thực hiện giống như các bước của khóa 192 bit (xem mô tả trong 6.2.6.3). Sự khác biệt là chúng ta sử dụng  làm các khóa vòng để sinh L_L, L_R và sau đó sinh RK_j(0 ≤ j < 52), chúng ta sử dụng 52 giá trị hằng số 32 bit  Bảng 10 chỉ ra mối quan hệ giữa các khóa vòng được sinh và mối dữ liệu có liên quan.

Bảng 10 - Mở rộng K_L, K_R, L_L, L_R (khóa 1256 bit)

6.2.6.5  Hàm DoubleSwap

...

...

...

Với X[a-b] ký hiệu một xâu bit cắt từ bit thứ a tới bit thứ b của X. Bit 0 là bit có trọng số lớn nhất. Hàm DoubleSwap được minh họa như Hình 10.

Hình 10 - Hàm DoubleSwap Σ

6.2.6.6  Các giá trị hằng số

Các giá trị hằng số 32 bit  được sử dụng trong thuật toán lược đồ khóa. Chúng ta cần 60, 84, 92 giá trị hằng số cho khóa 128, 192, 256 bit tương ứng. Cho P₍₁₆₎ = 0xb7e1(=(e - 2)2¹⁶) và Q(16)= 0x243f(=(π - 3)2¹⁶) với e là cơ số của logarit tự nhiên (2,71828....) và π (3,14159...). , với k = 128, 192, 256 được sinh theo cách dưới đây. (Xem Bảng 11 là các số lần lặp lại l^(k) và giá trị khởi tạo IV^(k).

1)

2) Với i = 0 đến l^(k) - 1 thực hiện các bước sau:

...

...

...

Bảng 11 - Số các giá trị hằng số được yêu cầu

Bảng 12 - 14 chỉ ra các giá trị của  và Bảng 15-17 chỉ ra các giá trị của

Bảng 12 -

Bảng 13 -

Bảng 14 -

...

...

...

Bảng 16 -

Bảng 17 -

6.3  LEA

6.3.1  Thuật toán LEA

Thuật toán LEA là một mã khối đối xứng, có thể xử lý các khối dữ liệu 128 bit và có ba khóa có độ dài khác nhau: 128, 192, 256 bit ^[11]. LEA với các khóa 128, 192, 256 bit được gọi là “LEA-128”, “LEA-192” và “LEA-256” tương ứng. Số vòng cho CLEFIA là 24 cho LEA-128, 28 cho LEA-192, và 32 cho LEA-256. Các hàm mã hóa và giải mã của LEA yêu cầu 25, 28 hoặc 32 khóa vòng cho LEA-128, LEA-192, LEA-256 tương ứng.

6.3.2  Các ký hiệu riêng cho LEA

...

...

...

số lượng vòng của thuật toán LEA; 24, 28 hoặc 32 cho độ dài khóa 128,192 hoặc 256 bit tương ứng

K_i

khóa vòng 192 bit thứ i bao gồm 6 từ 32 bit K_i[0] || K_i[1] || K_i[2] || K_i[3] || K_i[4] || K_i[5] với 0 ≤ i ≤ Nr

X_i

trạng thái thứ i bao gồm 4 từ 32 bit X_i[0] || X_i[1] || X_i[2] || X_i[3], 0 ≤ i ≤ Nr

d[i]

các giá trị hằng số 32 bit được sử dụng để sinh các khóa vòng, 0 ≤ i ≤ 8

{0,1}ⁿ

tập các xâu nhị phân 32-bit

...

...

...

phép dịch vòng trái i-bit

>>> i

phép dịch vòng phải i-bit

phép cộng mô-đun 2ⁿ

phép trừ mô-đun 2ⁿ

6.3.3  Mã hóa LEA

Cho P = P[0] || P[1] || P[2] || P[3] là khối bản rõ 128 bit và C = C[0] || C[1] || C[2] || C[3] là khối bản mã, với P[i], C[i] ϵ {0,1}³² (0 ≤ i < 4). Cho K_i = K_i[0] || K_i[1] || K_i[2] || K_i[3] || K_i[4] || K_i[5] (0 ≤ i ≤ Nr) là các khóa vòng 192 bit được cung cấp bởi lược đồ tại 6.3.5, với K_i ϵ {0,1}³² (0 ≤ i < 6).

...

...

...

(1) X₀[0] || X₀[1] || X₀[2] || X₀[3] ¬ P[0] || P[1] || P[2] || P[3]

(2) Với i = 0 đến (Nr-1)

(3) C[0] || C[1] || C[2] || C[3] ¬ X_Nr[0] || X_Nr[1] || X_Nr[2] || X_Nr[3]

Hình 11 đưa ra mã hóa hàm vòng LEA.

Hình 11: Mã hóa hàm vòng LEA

6.3.4  Giải mã LEA

Hoạt động giải mã thực hiện như sau:

...

...

...

(2) i = (Nr - 1) đến 0:

(3) P[0] || P[1] || P[2] || P[3] ¬ X₀[0] || X₀[1] || X₀[2] || X₀[3]

Hình 12 đưa ra quá trình giải mã hàm vòng LEA.

CHÚ THÍCH Hàm trừ trong Hình 12 có nghĩa là đối số bên trái bị khử từ đối số trên cùng.

Hình 12: giải mã hàm vòng LEA

6.3.5  Lược đồ khóa LEA

6.3.5.1  Cấu trúc chung

...

...

...

6.3.5.2  Lược đồ khóa cho LEA-128

Cho K = K[0] || K[1] || K[2] || K[3] là một khóa 128 bit, với K[i] ϵ {0,1}³² (0 ≤ i < 4). Lược đồ khóa cho LEA-128 lấy K và 4 giá trị hằng số 32 bit d[i](0 ≤ i < 4) được mô tả tại 6.3.5.5 làm đầu vào và đầu ra là 24 khóa vòng 192 bit K[i] (0 ≤ i < 24).

Lược đồ khóa LEA-128 được thực hiện như sau:

(1) T[0] || T[1] || T[2] || T[3] ¬ K[0] || K[1] || K[2] || K[3]

(2) Với i = 0 đến 23

K_i ¬ T[0] || T[1] || T[2] || T[1] || T[3] || T[1]

Thủ tục thực hiện lược đồ khóa LEA được minh họa trong Hình 13.

...

...

...

(tham khảo)

Về định danh hàm băm và sự lựa chọn độ dài có thể khôi phục được của thông điệp

Như được quy định trong Điều 6 (Yêu cầu), người dùng các lược đồ chữ ký được quy định trong tiêu chuẩn này phải lựa chọn một hàm băm kháng va chạm h. Điều quan trọng là bên xác thực có nhiều cách để xác định hàm băm nào đã được sử dụng khi tạo ra chữ ký, để quá trình xác thực có thể diễn ra một cách an toàn. Nếu có một tổ chức thứ ba nguy hiểm có thể thuyết phục bên xác thực rằng một hàm băm “yếu” đã được sử dụng để tạo ra chữ ký (ví dụ như một hàm băm thiếu tính chất một chiều) thì tổ chức thứ ba này có thể thuyết phục bên xác thực rằng một chữ ký có hiệu lực thực sự đã được áp dụng cho một thông điệp “sai".

Ba lược đồ chữ ký số được quy định trong tiêu chuẩn này cho phép một định danh hàm băm chứa trong giá trị đại diện của thông điệp F (xem 8.2.2). Nếu định danh hàm băm đó chứa trong F theo cách này thì kẻ tấn công không thể sử dụng lại một cách gian lận một chữ ký đã tồn tại với cùng M₁ và khác M₂, thậm chí ngay cả khi bên xác thực có thể bị thuyết phục chấp nhận các chữ ký đã được tạo ra bằng một hàm băm đủ yếu mà tiền ảnh có thể được tìm thấy. Điều này được cho là có thể giải quyết được vấn đề đã được đề cập đến trong đoạn trước.

Tuy nhiên, như đã thảo luận chi tiết trong [16], ngay cả khi một định danh hàm băm được bao gồm trong giá trị đại diện của thông điệp, kẻ tấn công khác đều có thể xảy ra nếu bên xác thực có thể bị thuyết phục bằng một hàm băm “yếu” đã được sử dụng. Từ yếu ở đây có nghĩa là hàm băm thiếu tính chất một chiều, có nghĩa là với một hàm băm cho trước có thể tính toán để tìm ra xâu đầu vào ánh xạ đến mã băm này bởi hàm băm. (CHÚ THÍCH rằng chính xác thì kiểu yếu này trước tiên phải được thúc đẩy bởi sự bao gồm của một định danh hàm băm trong giá trị đại diện của thông điệp.

Các tấn công được mô tả trong [16] hoạt động theo cách thức chung sau đây. Kẻ tấn công tạo ra “chữ ký” ngẫu nhiên và đối với mỗi “chữ ký” này áp dụng một hàm xác thực công khai của thực thể mà chữ ký của nó muốn giả mạo, và thu được “giá trị đại diện của thông điệp đã được khôi phục” (đây là bước “mở chữ ký”). Phần tiếp theo của tấn công sẽ rất khác nhau tùy thuộc vào định dạng của giá trị đại diện của thông điệp, nhưng bắt buộc kẻ tấn công phải xem xét xem giá trị đại diện của thông điệp đã được khôi phục có định dạng đúng tương ứng với chữ ký thật và rằng định danh hàm băm trong xâu này là định danh tương ứng với một hàm băm yếu hay không. Khả năng xảy ra việc này là rất khác nhau, nhưng có thể lớn đến 2^-16 (và do đó kẻ tấn công không cần phải thử quá nhiều “chữ ký ngẫu nhiên” trước khi tìm được một chữ ký có các thuộc tính mong muốn).

Với “chữ ký” này, kẻ tấn công có thể nhúng mã băm vào trong giá trị đại diện của thông điệp đã được khôi phục, và lợi dụng thực tế là hàm băm yếu để phát hiện ra một phần thông điệp không thể khôi phục được, mà khi kết hợp với phần có thể khôi phục được có trong giá trị đại diện của thông điệp, băm để có được mã băm mong muốn. Như thế, kẻ tấn công có thể giả mạo một chữ ký mới với một M₁ “ngẫu nhiên”. Do đó, kể cả khi có định danh hàm băm trong giá trị đại diện của thông điệp cũng không tránh được việc đòi hỏi người xác thực phải có một phương thức độc lập an toàn để biết được hàm băm nào được sử dụng để xác thực chữ ký.

Thảo luận này cũng liên quan đến việc lựa chọn độ dài có thể khôi phục được c* cho lược đồ chữ ký 2 và 3. Như đã được mô tả trong 7.2.2, c* sẽ được lựa chọn thỏa mãn điều kiện c* ≤ c, năng lực của lược đồ chữ ký. c* thường được mong đợi là gần bằng c để tối đa độ dài phần có thể khôi phục được của thông điệp, và do đó tối thiểu độ dài phần không thể khôi phục được của thông điệp, c* được khuyến nghị lựa chọn là một số bất kỳ nhỏ hơn c (ví dụ như c-16, c-24 hoặc c-80, tùy theo độ khó mong muốn), để làm cho các cuộc tấn công theo hình thức đã được mô tả ở trên trở nên khó khăn hơn.

...

...

...

(tham khảo)

Ví dụ

Phụ lục này bao gồm tổng cộng 12 ví dụ về tạo chữ ký và xác thực chữ ký làm việc theo ba lược đồ đã được quy định trong tiêu chuẩn này, cùng với hai ví dụ về tạo khóa.

Phụ lục E.1 bao gồm các ví dụ với số mũ công khai bằng 3.

- E. 1.1 bao gồm một ví dụ về tạo khóa.

- E.1.2 bao gồm ba ví dụ về tạo và xác thực chữ ký, tất cả đều là khôi phục toàn bộ thông điệp. Đối với mỗi lược đồ được quy định trong tiêu chuẩn này có một ví dụ tương ứng.

- E.1.3 bao gồm ba ví dụ về tạo và xác thực chữ ký, tất cả đều là khôi phục một phần thông điệp. Đối với mỗi lược đồ được quy định trong tiêu chuẩn này có một ví dụ tương ứng.

Phụ lục E.2 bao gồm các ví dụ với số mũ công khai bằng 2.

- E.2.1 bao gồm một ví dụ về tạo khóa.

...

...

...

- E.2.3 bao gồm ba ví dụ về tạo và xác thực chữ ký, tất cả đều là khôi phục một phần thông điệp. Đối với mỗi lược đồ được quy định trong tiêu chuẩn này có một ví dụ tương ứng

E.1  Các ví dụ với số mũ công khai bằng 3

Phụ lục E.1 bao gồm các ví dụ với khóa công khai có số mũ bằng 3.

E.1.1  Ví dụ về quá trình tạo khóa

Khóa trong ví dụ có mô-đun k = 1024 bit với số mũ công khai v = 3.

Số đồng dư công khai n là kết quả của các thửa số nguyên tố bí mật p và q. Độ dài của nó là 1024 bit.

Số mũ của chữ ký bí mật s bằng nghịch đảo phép nhân của v mod lcm(p - 1, q - 1).

...

...

...

E.1.2  Các ví dụ về khôi phục toàn bộ

Ở đây trình bày ba ví dụ về tạo và xác thực chữ ký, mỗi ví dụ tương ứng với một trong ba lược đồ.

E.1.2.1  Ví dụ về lược đồ chữ ký 1

Ví dụ này sử dụng hàm băm chuyên dụng 3 trong ISO/IEC 10118-3 (còn được biết đến với tên gọi là SHA-1).

E.1.2.1.1  Quá trình ký

Thông điệp được ký là một xâu bao gồm 64 ký tự mã ASCII như sau.

Trong hệ thập lục phân, thông điệp M là một xâu có độ dài là 64 xâu bộ tám, nghĩa là 512 bit như sau.

...

...

...

Định danh trong trường trailer xác định hàm băm được sử dụng; ISO/IEC 10118-3 thiết lập định danh cho hàm băm chuyên dụng 3 giá trị “33”. Do đó, trường trailer T bao gồm 16 bit sau đây.

T = 32CC

Thông điệp là đủ ngắn để khôi phục toàn bộ. 1024 bit của xâu trung gian S_i kết quả của việc nối hai bit của tiêu đề bằng “01”, bit dữ liệu thêm được thiết lập bằng ‘0’, 332 (= 1024 - 512 - 160 - 16 - 4) bit đệm bằng ‘0’, bit bao quanh bằng 1, 512 bit của M₁ (=M), 160 bit của H và 16 bit của trường trailer T. Xâu S_r có thể khôi phục kết quả của việc thay thế 82 xâu bộ bốn đệm bằng '0’ bằng 82 xâu bộ bốn đệm bằng ‘B’ và tương tự đối với xâu bộ bốn bao quanh bằng ‘1’ thay thế bằng ‘A’.

Số nguyên có thể khôi phục f_r là số nguyên dương không dấu biểu diễn S_r. f_r tăng theo lũy thừa bậc s theo mô-đun n. Kết quả được biểu diễn bởi một số nguyên dương không dấu tạm thời t.

Vì kết quả trên lớn hơn n/2, chữ ký Σ = n - t.

...

...

...

E.1.2.1.2  Quá trình xác thực

Phụ lục B

(tham khảo)

Các ví dụ số

Phụ lục này cung cấp các ví dụ số cho PRESENT, CLEFIA và LEA với mỗi độ dài khóa ký hiệu ở hệ thập lục phân.

B.1  Véc tơ kiểm tra PRESENT

B.1.1  PRESENT-80

...

...

...

B.2  Các ví dụ số CLEFIA

B.2.1  CLEFIA với khóa 128 bit

Số nguyên có thể khôi phục f_r là số nguyên dương không dấu biểu diễn S_r. f_r tăng theo lũy thừa bậc s theo mô-đun n. Kết quả được biểu diễn bởi một số nguyên dương không dấu tạm thời t.

Xâu nhị phân biểu diễn số nguyên t dưới dạng một số nguyên dương không dấu là chữ ký được tạo ra bởi hàm tạo chữ ký thay thế (xem Phụ lục A.6) Σ' = t.

...

...

...

Thông điệp đã ký có 128 xâu bộ tám chỉ bao gồm chữ ký vì M₂ là rỗng.

E.1.2.3.2  Quá trình xác thực

Chữ ký Σ là một xâu nhị phân đại diện một số nguyên dương không dấu, nhỏ hơn n/2. Số nguyên này tăng theo lũy thừa bậc 3 mô-đun n, do đó thu được số nguyên f_s.

Vì f_s là đồng dư với (n - 12) mô-đun 16, số nguyên được khôi phục là f'_r = n - f_s.

f_s được biểu diễn dưới dạng một số nguyên dương không dấu bởi xâu đã được khôi phục S'_r. Hàm tạo mặt nạ MGF1 áp dụng cho 856 (= 1024 - 160 - 8) bit bên trái nhất của S'_r, từ đó thu được xâu được khôi phục trung gian S'_i.

...

...

...

- Bit bên trái nhất của S'_i được thiết lập bằng ‘0’ vì d = 1 (d = (1 - 1024)mod8). 106 xâu bộ tám bên trái nhất của xâu nhị phân còn lại bằng ‘0’; nó được theo sau bởi xâu bộ tám bao quanh “01”; 107 xâu bộ tám đó được chuyển sang bên trái của S'_i.

- Xâu bộ tám bên phải nhất của S'_i bằng “BC”; xâu bộ tám đó cũng được chuyển sang bên phải của S'_i.

Vì trailer bằng “BC”, hàm băm được sử dụng đã được biết đến hoàn toàn; hàm băm chuyên dụng 3 trong ví dụ này.

Xâu còn lại 160 bit được giả định là mã băm H’ vì không còn thừa dữ liệu.

Thông điệp đã được khôi phục M’ được giả định là rỗng và do đó, khôi phục là toàn bộ. Mã băm khác H" được tính bằng cách áp dụng SHA-1 cho xâu nhị phân có độ dài 224 (=64+160), kết quả của việc ghép thêm 64 bit của độ dài thông điệp đã được khôi phục C' và 160 bit của mã băm của phần thông điệp không thể khôi phục được (phần này bằng rỗng) h(M₂*). H" = h(C'||h(M₂)).

Vì hai mã băm H’ và H” là giống nhau, chữ ký Σ được chấp nhận.

E.1.3  Các ví dụ về khôi phục một phần

...

...

...

E.1.3.1  Ví dụ về lược đồ chữ ký 1

Ví dụ này sử dụng hàm băm chuyên dụng 1 trong ISO/IEC 10118-3 (còn được biết đến với tên gọi là RIPEMD-160).

E.1.3.1.1  Quá trình ký

Ví dụ này mô tả chữ ký của một thông điệp 132 xâu bộ tám, có nghĩa là 1056 bit.

160 bit mã băm được tính toán bằng cách áp dụng hàm băm chuyên dụng 1 cho 1056 bit của M.

Hàm băm được sử dụng đã được biết đến hoàn toàn. Do đó, trường trailer T bao gồm 8 bit sau đây.

T = BC

...

...

...

- M₁ bao gồm 848 bit bên trái nhất.

- M₂ bao gồm 208 bit còn lại, có nghĩa là 26 xâu bộ tám.

1024 bit của xâu trung gian S_i kết quả của việc ghép thêm hai bit tiêu đề bằng "01”, bit dữ liệu thêm bằng ‘1’, bốn (= 1024 - 848 - 160 - 8 - 4) bit đệm bằng ‘0’, bit bao quanh bằng 1, 848 bit của M₁, 160 bit của H và 8 bit của trường trailer T. Xâu có thể khôi phục S_r kết quả của việc xâu bộ bốn bao quanh bằng 1 được thay thế bằng ‘A’.

Số nguyên có thể khôi phục f_r là số nguyên dương không dấu biểu diễn S_r. f_r tăng theo lũy thừa bậc s theo mô-đun n. Kết quả được biểu diễn bởi một số nguyên dương không dấu tạm thời t.

Vì kết quả trên lớn hơn n/2, chữ ký Σ = n - t.

...

...

...

Thông điệp đã ký có 128 xâu bộ tám chữ ký Σ cùng với 26 xâu bộ tám của thông điệp không thể khôi phục được M₂, có nghĩa là chỉ nhiều hơn 22 xâu bộ tám so với thông điệp M.

E.1.3.1.2  Quá trình xác thực

Chữ ký Σ là một xâu nhị phân đại diện một số nguyên dương không dấu, nhỏ hơn n/2. Số nguyên này tăng theo lũy thừa bậc 3 mô-đun n, do đó thu được số nguyên f_s.

Vì f_s là đồng dư với (n - 12) mô-đun 16, nó được thay thế bởi phần dư của nó với n, có nghĩa là số nguyên được khôi phục là f'_r = n - f_s.

f'_r được biểu diễn dưới dạng một số nguyên dương không dấu bởi xâu đã được khôi phục S'_r.

- Xâu bộ tám bên trái nhất của S'_r bằng “6A”; nó bao gồm tiêu đề bằng “01”, bit dữ liệu thêm bằng ‘1’ (khôi phục một phần), một bit đệm bằng ‘0’ và một xâu bộ bốn đệm bằng ‘A’; xâu bộ tám này được chuyển sang bên trái của S'_r.

- Xâu bộ tám bên phải nhất của S'_r bằng "BC"; xâu bộ tám đó cũng được chuyển sang bên phải của S'_r.

...

...

...

Xâu còn lại 1008 bit được chia làm hai phần.

- M₁* bao gồm 848 bit bên trái nhất.

- H' bao gồm 160 bit bên phải nhất.

Vì khôi phục là một phần, thông điệp đã được khôi phục M* bao gồm M₁* và M₂*, phần có thể và không thể khôi phục được.

Mã băm còn lại H" được tính bằng các áp dụng hàm băm chuyên dụng 1 cho M*.

...

...

...

E.1.3.2  Ví dụ về lược đồ chữ ký 2

Ví dụ này sử dụng hàm băm chuyên dụng 3 trong ISO/IEC 10118-3 (còn được biết đến với tên gọi là SHA-1).

E.1.3.2.1  Quá trình ký

Thông điệp để ký là xâu 112 ký tự mã ASCII sau đây.

Trong hệ thập lục phân, thông điệp M là xâu bộ tám có độ dài 112 xâu bộ tám, có nghĩa là 896 bit sau đây.

160 bit của salt S được tạo ra.

...

...

...

B.2.3  CLEFIA với khóa 256 bit

B.3  Các ví dụ số LEA

B.3.1  LEA-128

...

...

...

B.3.2  LEA-192

B.3.3  LEA-256

...

...

...

Phụ lục C

(tham khảo)

Bảng đặc tính

Phụ lục này tổng hợp các thuộc tính hạng nhẹ của các mã khối mô tả trong tiêu chuẩn này. Trong phụ lục C.1 TCVN 12854-1 đưa ra các chỉ số phần cứng cho mã khối hạng nhẹ. Sử dụng các chỉ số, các thuộc tính hạng nhẹ của PRESENT và CLEFIA được tổng hợp trong bảng C.1.

Bảng C.1 - Bảng đặc tính

Tên thuật toán

...

...

...

PRESENT [10][11][12]

CLEFIA [7][14]

Kích thước khóa [bit]

80

128

80

128

128

128

...

...

...

192

265

Kích thước khối [bit]

64

64

64

64

128

128

...

...

...

128

128

Tiết diện chip^a [GE]

1075

1391

1570

1884

2488

4950

...

...

...

8536

8482

Chu kỳ^b [CLK]

547

559

32

32

328

36

...

...

...

22

6

Số bit trên chu kỳ [bit/CLK]

0,12

0,11

2

2

0,39

3,56

...

...

...

5,82

4,92

Năng lượng^c [GE]

1075

1391

1570

1884

2488

4950

...

...

...

8536

8482

Năng lượng^d [GE*CLK]

588025

777569

50240

60288

816064

178200

...

...

...

187792

220532

Năng lượng trên mỗi bit^e [GE*CLK/bit]

9188

12150

785

942

6367

1392

...

...

...

1467

1732

Công nghệ [µm]

0,18

0,18

0,13

0,09

0,09

0,09

...

...

...

Hỗ trợ giải mã

KHÔNG

KHÔNG

KHÔNG

CÓ

CÓ

CÓ

CÓ

Đặc tính

...

...

...

Diện tích nhỏ và năng lượng thấp (dựa vào vòng)

Diện tích nhỏ nhất

Diện tích nhỏ (dựa vào vòng)

Năng lượng thấp và hiệu quả cao (dựa vào vòng)

^a Tiết diện chip được đo bởi các cổng tương đương (GE). Các con số được đưa ra đã thu được bằng cách sử dụng một công cụ tổng hợp tự động thiết kế điện tử tự động

^b Số chu kỳ xung nhịp [CLK] để một lần thực thi thuật toán tạo ra đầu ra. Ta thu được bởi kiến trúc cài đặt phần cứng.

^c Với giả thiết các ứng dụng phần cứng hạng nhẹ có xung nhịp ở tần suất thấp vài trăm kHz, năng lượng tiêu thụ có thể được ước lượng bằng cách sử dụng phép đo như với diệc tích chip [6].

^d Năng lượng tiêu thụ ký hiệu năng lượng tiêu thụ trên một khoảng thời gian cụ thể. Ta có thể được ước tính băng việc nhân năng lượng tiêu thụ với số chu kỳ đếm được.

^e Ta có thể thu được bằng cách chia năng lượng cho kích thước khối.

...

...

...

Bảng C.2: Triển khai tốc độ cao của LEA trên Atmega128

Tên thuật toán

LEA-128

LEA-192

LEA-256

Kích cỡ mã [byte]

862

934

934

...

...

...

433

761

865

Chu kỳ mã hóa [CLK]

2689

3589

4081

Tốc độ [CLK/byte]

168,06

...

...

...

255,06

Bảng C.3: Triển khai tốc độ cao của LEA trên MSP430

Tên thuật toán

LEA-128

LEA-192

LEA-256

Kích cỡ mã [byte]

650

666

...

...

...

Kích cỡ RAM [byte]

440

768

872

Chu kỳ mã hóa [CLK]

2056

2435

2765

Tốc độ [CLK/byte]

...

...

...

152,19

172,81

Bảng C.4: Triển khai tốc độ cao của LEA trên Cortex-M3

Tên thuật toán

LEA-128

LEA-192

LEA-256

Kích cỡ mã [byte]

808

...

...

...

1058

Kích cỡ RAM [byte]

472

776

880

Chu kỳ mã hóa [CLK]

424

565

644

...

...

...

26,50

35,31

40,25

Phụ lục D

(tham khảo)

Giới hạn của mã khối với một khóa đơn

Phụ lục này đưa ra cận trên về các phép mã hóa mã khối nên thực hiện với một khóa đơn. Độ an toàn của hầu hết các chế động mã khối giảm xuống khi số lần mã hóa tiến đến 2^n/2 [8][9][12], với n là kích thước khối theo bit. Thông tin đủ để có thể phân biệt được đầu ra của mã khối với một hàm ngẫu nhiên (sau 2^n/2 lần mã hóa. Ví dụ, với n = 64, mã hóa 2^64/2 = 2³² khối, là đủ để phơi bày mã khối trước các tấn công có thể khi sử dụng trong một vài chế độ hoạt động của mã khối (như CBC hoặc chế độ bộ đếm). Vì vậy, với các mã khối n-bit, việc mã hóa lớn hơn 2^n/2 khối sử dụng một khóa đơn với các chế độ hoạt động cụ thể phải được ngăn chặn.

Cảnh báo này không chỉ áp dụng cho các mã khối hạng nhẹ được quy định trong tiêu chuẩn này mà còn cho tất cả các loại mã khối bao gồm cả các mã khối được quy định trong TCVN 11367-3 (ISO/IEC 18033-3). Để biết thêm thông tin, xem tài liệu chuẩn 12 (SD 12) của ISO/IEC JTC 1/SC 27.

...

...

...

Thư mục tài liệu tham khảo

[1] TCVN 11495-1 (ISO/IEC 9797-1), Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác thực thông điệp (MAC) - Phần 1: Cơ chế sử dụng mã khối

[2] TCVN 11817-1, Công nghệ thông tin - Các kỹ thuật an toàn - Xác thực thực thể - Phần 1: Tổng quan

[3] TCVN 11816 (ISO/IEC 10116), Công nghệ thông tin - Các kỹ thuật an toàn - Chế độ hoạt động cho mã khối n-bit.

[4] TCVN 7817-1 (ISO/IEC 11770)-1, Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý khóa - Phần 1: Khung tổng quát

[5] TCVN 11367-1 (ISO/IEC 18033-1 Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 1: Tổng quan

[6] TCVN 12854-1 (ISO/IEC 29192-1), Công nghệ thông tin - Các kỹ thuật an toàn - Mật mã hạng nhẹ - Phần 1: Tổng quan

[7] Akishita T., Hiwatari H., Compact Hardware Implementations of the 128-bit Blockcipher CLEFIA. Available at <http://www.sony.net/clefia>, 2011

[8] Bellare M., Desai A., Jokipii E., Rogaway P., A Concrete Treatment of Symmetric Encryption: Analysis of the DES Modes of Operation. In Proceedings of the 38th Symposium on Foundations of Computer Science, pp. 394-405, IEEE, 1997

...

...

...

[10] Bogdanov A., Knudsen L, Leander G., Paar C., Poschmann A., Robshaw M. et al. , PRESENT - An Ultra-Lightweight Block Cipher. In Proceedings of Workshop on Cryptographic Hardware and Embedded Systems - CHES 2007, Lecture Notes in Computer Science volume 4727, pp. 450-466, Springer-Verlag, 2007

[11] Hong D., Lee J.K., Kim D.C., Kwon D., Ryu G.H., Lee D., LEA: A 128-bit Block Cipher for Fast Encryption on Common Processors. In Proceedings of World Conference on Information Security Applications - WISA2013, Lecture Notes in Computer Science volume 8267, pp. 3-27, Springer-Verlag, 2014

[12] Poschmann A., Lightweight Cryptography - Cryptographic Engineering for a Pervasive World. Europäischer Universitätsverlag, Ph.D. thesis, 2009

[13] Rogaway P., Efficient Instantiations of Tweakable Block Ciphers and Refinements of Modes OCB and PMAC. Available at <http://seclab.cs.ucdavis.edu/papers/offsets.pdf>

[14] Rolfes C., Poschmann A., Leander G., Paar C., Ultra-Lightweight Implementations for Smart Devices - Security for 1000 Gate Equivalents. 8th Smart Card Research and Advanced Application Conference, CARDIS 2008, Lecture Notes in Computer Science volume 5189, pp. 89-103, Springer-Verlag, 2008

[15] Shirai T., Shibutani K., Akishita T., Moriai S., Iwata T., The 128-bit Blockcipher CLEFIA. In Proceedings of Workshop on Fast Software Encryption 2007 - FSE 2007, Lecture Notes in Computer Science volume 4593, pp. 181-195, Springer-Verlag, 2007

[16] Standing Document 12 (SD12) of ISO/IEC JTC 1/SC 27. Available at http://www.itc1sc27.din.de/sbe/SD12

MỤC LỤC

...

...

...

1  Phạm vi áp dụng

2  Tài liệu viện dẫn

3  Thuật ngữ và định nghĩa

4  Các ký tự

5  Mã khối hạng nhẹ với kích thước khối 64 bit

5.2  PRESENT

6  Mã khối hạng nhẹ với kích thước khối 128 bit

6.2  CLEFIA

Phụ lục A (quy định) Các định danh đối tượng

...

...

...

Phụ lục C (tham khảo) Bảng đặc tính

Phụ lục D (tham khảo) Giới hạn của mã khối với một khóa đơn

Thư mục tài liệu tham khảo