Thuộc tính
Nội dung
Tiếng Anh (English)
Văn bản gốc/PDF
Lược đồ
Liên quan hiệu lực
Liên quan nội dung
Thuộc tính
Tải về
Các bản dự thảo

Đang tải văn bản...

Tiêu chuẩn quốc gia TCVN 12854-3:2020 về Công nghệ thông tin - Mật mã hạng nhẹ - Phần 3: Mã dòng

Số hiệu:	TCVN12854-3:2020	Loại văn bản:	Tiêu chuẩn Việt Nam
Nơi ban hành:	***	Người ký:	***
Ngày ban hành:	Năm 2020	Ngày hiệu lực:
ICS:	35.030	Tình trạng:	Đã biết

0x	Tiền tố cho các giá trị thập lục phân.
0⁽ⁿ⁾	Biến n-bit mà 0 được gán cho mọi bít.
AND	Phép toán logic AND từng bit.
a_i	Biến tạo thành một phần trạng thái trong của bộ tạo dòng khóa.
b_i	Biến tạo thành một phần trạng thái trong của bộ tạo dòng khóa.
C_i	Khối bản mã
F[x]	Vành đa thức trên trường hữu hạn F
GF(2ⁿ)	Trường hữu hạn của 2ⁿ phần tử
Init	Hàm tạo ra trạng thái khởi tạo bên trong của bộ tạo dòng khóa
IV	Véc tơ khởi tạo
K	Khóa
Next	Hàm trạng thái tiếp theo của bộ tạo dòng khóa
n	Độ dài khối
OR	Phép toán logic OR theo từng bit
Out	Hàm đầu ra kết hợp với dòng khóa và bản rõ để tạo ra bản mã
P	Bản rõ
P_i	Khối bản rõ
Strm	Hàm dòng khóa của bộ tạo dòng khóa
S_i	Trạng thái bên trong của bộ tạo dòng khóa
Z	Dòng khóa
Z_i	Khối dòng khóa
[x]	Số nguyên nhỏ nhất lớn hơn hoặc bằng số thực x
¬x	Phép toán bù theo từng bit
•	Phép nhân đa thức
‖	Phép ghép theo bit
+_m	Phép cộng số nguyên modulo 2^m.
	Phép toán XOR (loại trừ OR) theo từng bit.
	Phép dịch trái t-bit trong thanh ghi n-bit.
	Phép dịch phải t-bit trong thanh ghi n-bit.
	Phép dịch vòng sang trái t- bit trong thanh ghi n-bit.
	Phép dịch vòng sang phải t- bit trong thanh ghi n-bit.
	Phép nhân cho các phần tử trong trường hữu hạn GF(2ⁿ).

CHÚ THÍCH Ví dụ cho phép nhân của các phần tử trong trường hữu hạn GF(2ⁿ) được đưa ra trong Phụ lục A.

5 Mô hình tổng quát cho mã dòng

5.1 Tổng quan

Điều này mô tả mô hình tổng quát cho các mã dòng [TCVN 11367-4 (ISO/IEC 18033-4)]

5.2 Bộ tạo dòng khóa đồng bộ

Bộ tạo dòng khóa đồng bộ là một máy trạng thái hữu hạn. Nó được xác định bởi:

1. Hàm khởi tạo, Init lấy đầu vào là một khóa K và một véc tơ khởi tạo IV, và đưa ra một trạng thái khởi tạo S₀ cho bộ tạo dòng khóa. Véc tơ khởi tạo phải được chọn sao cho không có hai thông điệp nào được mã hóa sử dụng cùng khóa và cùng véc tơ khởi tạo IV.

2. Hàm trạng thái tiếp theo Next, lấy đầu vào là trạng thái hiện tại S_i của bộ tạo dòng khóa, và đưa ra trạng thái tiếp theo S_i₊₁ của bộ tạo dòng khóa.

3. Hàm dòng khóa Strm, lấy đầu vào là một trạng thái S_i của bộ tạo dòng khóa, và đưa ra một khối dòng khóa Z_i

...

Bạn phải đăng nhập hoặc đăng ký Thành Viên TVPL Pro để sử dụng được đầy đủ các tiện ích gia tăng liên quan đến nội dung TCVN.

Mọi chi tiết xin liên hệ: ĐT: (028) 3930 3279 DĐ: 0906 22 99 66

S₀ = Init (IV, K)

Tùy theo yêu cầu, bộ tạo dòng khóa đồng bộ sẽ thực hiện với i = 0,1,....

1. Đưa ra một khối dòng khóa Z_i = Strm (S_i, K)

2. Cập nhật trạng thái của máy S_i+1 = Next (S_i, K).

Vì thế để định nghĩa một bộ tạo dòng khóa đồng bộ, ta chỉ cần xác định các hàm Init, Next và Strm, bao gồm cả độ dài và bảng chữ cái của khóa, véc tơ khởi tạo, trạng thái, và khối đầu ra.

5.3 Các hàm đầu ra

5.3.1 Mô hình tổng quát cho hàm đầu ra

Điều này quy định một hàm đầu ra của mã dòng, tức là một kỹ thuật được sử dụng trong một mã dòng để kết hợp một dòng khóa với bản rõ để tạo ra bản mã.

Một hàm đầu ra cho mã dòng đồng độ hoặc tự đồng bộ là một hàm khả nghịch Out, kết hợp một khối bản rõ P_i, một khối dòng khóa Z_i để đưa ra một khối bản mã C_i (i ≥ 0). Mô hình tổng quát cho một hàm đầu ra của một mã dòng được định nghĩa như sau.

...

C_i = Out (P_i,Z_i),

và giải mã một khối bản mã C_i bởi một khối dòng khóa Z_iđược cho bởi:

P_i= Out^-1(C_i,Z_i)

Hàm đầu ra phải thỏa mãn là với mọi khối dòng khóa Z_i, và khối bản rõ P_i nào, chúng ta có:

P_i = Out^-1(Out (P_i,Z_i),Z_i)

5.3.2 Hàm đầu ra nhị phân cộng tính

Một mã dòng nhị phân cộng tính là một mã dòng trong đó các khối dòng khóa, bản rõ, và bản mã là các số nhị phân, và phép toán để kết hợp bản rõ với dòng khóa là phép toán cộng XOR theo từng bit. Cho n Telia độ dài bit của P_i. Hàm này được xác định bởi:

Phép toán Out^-¹ được xác định bởi:

...

6 Bộ tạo dòng khóa chuyên dụng

6.1 Bộ tạo dòng khóa Enocoro-128v2

6.1.1 Giới thiệu Enocoro-128v2

Enocoro-128v2 là một bộ tạo dòng khóa sử dụng một khóa bí mật K128 bit, một véc tơ khởi tạo IV 64 bit, và một biến trạng thái S_i (i > 0) bao gồm 34 byte, và đưa ra một khối dòng khóa Z_i độ dài một byte tại mỗi vòng lặp của hàm Strm.

CHÚ THÍCH Bộ tạo dòng khóa được đề xuất ban đầu trong [5],

Biến trạng thái S_i được chia nhỏ thành một biến 2 byte:

với a_j⁽ⁱ⁾ là một byte (j = 0, 1) và một biến 32 byte:

...

Hàm Init định nghĩa chi tiết trong 6.1.2, lấy đầu vào là khóa K 128 bit và véc tơ khởi tạo IV 64 bít, và tạo ra giá trị khởi tạo của biến trạng thái S0 = (a⁽⁰⁾, b⁽⁰⁾).

Hàm Next, định nghĩa chi tiết trong 6.1.3, lấy đầu vào là biến trạng thái 34 byte S_i = (a⁽ⁱ⁾,b⁽ⁱ⁾) và tạo ra giá trị tiếp theo của biến trạng thái S_i+1= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾).

Hàm Strm, định nghĩa chi tiết trong 6.1.4, nhận đầu vào là biến trạng thái 34 byte S_i = (a⁽ⁱ⁾,b⁽ⁱ⁾)và tạo ra khối dòng khóa Z_i.

Enocoro-128v2 sử dụng các phép toán trên trường hữu hạn GF(2⁸). Trong biểu diễn dạng đa thức, GF(2⁸) được thực hiện như GF(2)[x]/_ψ8432(x), với ψ₈₄₃₂ (x) là đa thức bất khả quy bậc 8 được xác định trên trường GF(2). Bộ tạo dòng khóa Enocoro-128v2 sử dụng đa thức bất khả quy dưới đây:

ψ₈₄₃₂ (x) =x⁸ + x⁴ + x³ + x² + 1

6.1.2 Hàm khởi tạo Init

Việc khởi tạo của Enocoro-128v2 được chia thành 6 bước. Trong quá trình khởi tạo Enocoro-128v2, trạng thái được cập nhật như phác họa trong hình 1.

Hàm khởi tạo Init như sau:

Đầu vào: Khóa 128 bit K, véc tơ khởi tạo 64 bit IV.

...

a) Sử dụng khóa K để thiết lập phần của biến trạng thái b_j^(-96) như sau:

- Đặt (K₀ ‖ K₁‖…‖ K₁₅) = K, với K_j là 8 bit với j = 0, 1, 2,…, 15.

- Với j = 0, 1, 2, …, 15, đặt b_j^(-96) = K_j

b) Sử dụng véc tơ khởi tạo IV để thiết lập phần của biến trạng thái b_j^(-96) như sau:

- Đặt (I₀ ‖ I₁ ‖ … ‖ I₇) = IV, với I_j là 8 bit với j = 0, 1, 2,…, 7.

- Với j = 0,1,2, ..., 7, đặt = I_j

c) Sử dụng các hằng số C₀, C₁,... C₉ để thiết lập phần của biến trạng thái a_j^(-96) và b_j^(-96) như sau:

- Đặt = C₀ = 0x66,

- Đặt = C₁ = 0xe9,

...

- Đặt = C₃ = 0xd4,

- Đặt = C₄ = 0xef,

- Đặt = C₅ = 0x8a,

- Đặt = C₆ = 0x2c,

- Đặt = C₇ = 0x3b,

- Đặt = C₈ = 0x88,

- Đặt = C₉ = 0x4c,

d) Đặt bộ đếm 8 bit ctr = 1.

e) Thực hiện các bước dưới đây với i = -96, -95, ..., -1:

...

- Đặt S_i+1= Next (S_i)

f) Đưa ra S₀.

Hình 1 - Cập nhật trạng thái quá trình khởi tạo của Enocoro-128v2

6.1.3 Hàm trạng thái tiếp theo Next

Hàm trạng thái của Enocoro-128v2 được định nghĩa sử dụng các hàm p và λ được xác định trong 6.1.5 và 6.1.6 tương ứng. Hàm trạng thái tiếp theo Next của Enocoro-128v2 như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾,b⁽ⁱ⁾).

Đầu ra: Giá trị tiếp theo của biển trạng thái S_i+1 = (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾).

...

- Đặt b⁽ⁱ⁺¹⁾ = λ(b⁽ⁱ⁾, a₀⁽ⁱ⁾)

- Đặt S_i₊₁= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾)

- Đưa ra S_i₊₁.

6.1.4 Hàm dòng khóa Strm

Hàm dòng khóa Strm như sau:

Đầu vào: Biến trạng thái S_i.

Đầu ra: Khối dòng khóa Z_i.

- Đặt Z_i = a₁⁽ⁱ⁾.

- Đưa ra Z_i.

...

Hình 2 - Cập nhật trạng trong quá trình sinh dòng khóa của Enocoro-128v2

6.1.5 Hàm ρ

Hàm ρ bao gồm các phép XOR, một biến đổi phi tuyến sử dụng hàm S₈, và một biến đổi tuyến tính sử dụng ma trận L₈₄₃₂. Hàm ρ được cho như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾,b⁽ⁱ⁾).

Đầu ra: giá trị tiếp theo của biến trạng thái a⁽ⁱ⁺¹⁾

- Đặt

- Đặt (v₀,v₁) = L₈₄₃₂(u₀,u₁),

...

- Đặt

- Đưa ra a⁽ⁱ⁺¹⁾

6.1.6 Hàm λ

Hàm λ như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾,b⁽ⁱ⁾).

Đầu ra: Giá trị tiếp theo của biến trạng thái b⁽ⁱ⁺¹⁾

- Đặt = với j≠0, 3, 8, 17

- Đặt

...

- Đặt

- Đưa ra b⁽ⁱ⁺¹⁾

6.1.7 Hàm L₈₄₃₂

Hàm L₈₄₃₂ là hàm bên trong của hàm p. Ký hiệu đầu vào và đầu ra của hàm L₈₄₃₂là U và V tương ứng. Hàm L₈₄₃₂như sau:

Đầu vào: Xâu 16 bit U.

Đầu ra: Xâu 16 bit V.

- Đặt (u₀,u₁) = U, với u_i là xâu 8 bít và là phần tử của trường GF(2⁸)

- Đặt

...

- Đưa ra V.

6.1.8 Hàm S₈

Hàm S₈sử dụng phép toán trên trường hữu hạn GF(2⁴). Trong biểu diễn đa thức, GF(2⁴) được thực hiện như GF(2)[x]/_ø41(x), với ø>41(x) là đa thức bất khả quy bậc 4 được xác định trên trường GF(2). Bộ tạo H dòng khóa Enocoro-128v2 sử dụng đa thức bất khả quy sau:

ø₄₁(x) = x⁴ + x + 1

Hàm S₈ là một hoán vị mà ánh xạ từ các đầu vào 8 bit tới các đầu ra 8 bit. Nó có cấu trúc SPS (thay thế, hoán vị, thay thế) và nó bao gồm 4 S-hộp nhỏ s₄, ánh xạ từ các đầu vào 4 bit tới các đầu ra 4 bit và một biến đổi tuyến tính l xác định bởi một ma trận 2x2 trên trường GF(2⁴). Biến đổi tuyến tính l được xác định:

Ký hiệu đầu vào và đầu ra của hàm S₈ bởi X và Y tương ứng. Hàm S₈ như sau:

Đầu vào: Xâu X 8 bit.

Đầu ra: Xâu Z 8 bit.

...

- Đặt

với 0x4, 0x5 là biểu diễn các phần tử của trường GF(2⁴) ở hệ thập lục phân, và S₄ được xác định như sau:

S⁴[16] = {1,3,9,10,5,14,7,2,13,0,12,15,4,8,6,11}.

- Đặt

- Đưa ra Z.

Hình 3 - Shộp S₈

Hàm S₈ được xác định bằng cách sử dụng một bảng thay thế sau:

...

6.2 Bộ tạo dòng khóa Enocoro-80

6.2.1 Giới thiệu Enocoro-80

Enocoro-80 là một bộ tạo dòng khóa sử dụng một khóa bí mật K 80 bit, một véc tơ khởi tạo IV 64 bit, và một biến trạng thái S_i (i ≥ 0) bao gồm 22 byte, và đưa ra một khối dòng khóa Z_i tại mỗi vòng lặp của hàm Strm.

CHÚ THÍCH Bộ tạo dòng khóa được đề xuất ban đầu trong [6],

Biến trạng thái S_i được chia nhỏ thành một biến 2 byte:

với a_j⁽ⁱ⁾ là một byte (j = 0, 1) và một biến 20 byte:

với b_j⁽ⁱ⁾ là một byte (j= 0, 1,..., 19).

...

Hàm Next, định nghĩa chi tiết trong 6.2.3, nhận đầu vào biến trạng thái 22 byte S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và tạo ra giá trị tiếp theo của biến trạng thái S_i+1 = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

Hàm Strm, định nghĩa chi tiết trong 6.3.5, nhận đầu vào biến trạng thái 22 byte S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và tạo ra khối dòng khóa Z_i.

Hàm L₈₄₃₁ sử dụng các phép toán trên trường hữu hạn GF(2⁸). Trong biểu diễn đa thức, GF(2⁸) được thực hiện như GF(2)[x]/ψ₈₄₃₁(x), với ψ₈₄₃₁(x) là đa thức bất khả quy bậc 8 được xác định trên trường GF(2). Bộ tạo dòng khóa Enocoro-80 sử dụng đa thức bất khả quy dưới đây:

ψ₈₄₃₁(x) =x⁸ + x⁴ + x³ + x + 1

6.2.2 Hàm khởi tạo Init

Việc khởi tạo Enocoro-80 được chia thành 5 bước. Hàm khởi tạo Init như sau:

Đầu vào: Khóa K 80 bit, véc tơ khởi tạo IV 64 bit.

Đầu ra: giá trị khởi tạo của biến khởi tạo S₀ = (a⁽⁰⁾, b⁽⁰⁾).

a) Sử dụng khóa K để thiết lập phần của biến trạng thái b_j^(-40) như sau:

...

- Với j = 0,1,2, ..., 9, đặt b_j^(-40)= K_j

b) Sử dụng véc tơ khởi tạo IV để thiết lập phần của biến trạng thái b_j^(-40) như sau:

- Đặt (I₀ ‖ I₁ ‖ … ‖ I₇) = IV, với I_j là 8 bit với j = 0, 1, 2,…, 7.

- Với j = 0,1,2, ..., 7, đặt = I_j

c) Sử dụng các hằng số C₀,C₁,C₂,C₃ để thiết lập một phần của biến trạng thái a_j^(-40) và b_j^(-40) như sau:

- Đặt b₁₈^(-40) = C₀ = 0x66,

- Đặt b₁₉^(-40) = C₁= 0xe9,

- Đặt a₀^(-40) = C₂ = 0x4b,

- Đặt a₀^(-40) = C₃ = 0x4d,

...

- Đặt S_i₊₁ = Next (S_i)

f) Đưa ra S₀.

6.2.3 Hàm trạng thái tiếp theo Next

Hàm trạng thái tiếp theo của Enocoro-80 được xác định sử dụng các hàm ρ và λ được định nghĩa trong 6.2.5 và 6.2.6 tương ứng. Hàm trạng thái tiếp theo Next của Enocoro-80 như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾).

Đầu ra: Giá trị tiếp theo của biến trạng thái S_i₊₁ = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

- Đặt a⁽ⁱ⁺¹⁾ = ρ(a⁽ⁱ⁾, b⁽ⁱ⁾)

- Đặt b⁽ⁱ⁺¹⁾ = λ(b⁽ⁱ⁾, a₀⁽ⁱ⁾)

- Đặt S_i+1 = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

...

6.2.4 Hàm dòng khóa Strm

Hàm dòng khóa Strm như sau:

Đầu vào: Biến trạng thái S_i.

Đầu ra: Khối dòng khóa Z_i.

- Đặt Z_i = a₁⁽ⁱ⁾.

Đưa ra Z_i.

6.2.5 Hàm ρ

Hàm ρ bao gồm các phép XOR, một biến đổi phi tuyến sử dụng hàm S₈, và một biến đổi tuyến tính sử dụng ma trận L₈₄₃₁. Hàm S₈được mô tả trong 6.1.8. Hàm ρ được cho như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾).

...

- Đặt

- Đặt (v₀,v₁) = L₈₄₃₁(u₀,u₁),

- Đặt

- Đưa ra a⁽ⁱ⁺¹⁾

6.2.6 Hàm λ

Hàm λ như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾).

...

- Đặt b_j⁽ⁱ⁺¹⁾ = b_j-1⁽ⁱ⁾ với j≠0, 2, 5, 7

- Đặt

- Đưa ra b⁽ⁱ⁺¹⁾.

6.2.7 Hàm L₈₄₃₁

Hàm L₈₄₃₁ là hàm bên trong của hàm ρ. Ký hiệu đầu vào và đầu ra của hàm L₈₄₃₁ là U và V tương ứng. Hàm L₈₄₃₁như sau:

Đầu vào: Xâu 16 bit U.

...

- Đặt (u₀,u₁)= U, với u_i là một xâu 8 bit và là phần tử của trường GF(2⁸)

- Đặt

- Đặt V = v₀ ‖ v₁.

- Đưa ra V.

6.3 Bộ tạo dòng khóa Trivium

6.3.1 Tổng quan

TRIVIUM là bộ tạo dòng khóa lấy đầu vào là khóa bí mật 80 bit K = (K₀, ...,K₇₉), véc tơ khởi tạo 80 bit IV IV = (IV₀, ...,IV₇₉), và tạo ra đến 2₆₄ bit dòng khóa z₀,z₁,…,z_N-1

CHÚ THÍCH Bộ tạo dòng khóa này được giới thiệu ban đầu trong [7]

...

288 bit dãy đầu tiên trong phép truy hồi được khởi tạo sử dụng khóa bí mật, véc tơ khởi tạo, và một số bít hằng số. 1152 bộ ba tiếp theo (a_i,b_i,c_i), bắt đầu từ chỉ số i = -1152, được tính toán truy hồi, nhưng không tạo ra bất kỳ đầu ra nào. Việc lặp 1152 lần này được xem như là các vòng trống.

Mỗi lần lặp sau đó, bắt đầu từ i = 0, đưa ra một bit dòng khóa z_i, được tính toán bởi phép cộng XOR của một tập con 6 bit dãy. Quá trình này được lặp lại cho đến khi tạo ra đủ tất cả các bít dòng khóa được yêu cầu.

Trong các phần tiếp theo, thuật toán tạo dòng khóa đầy đủ được mô tả chính thức hơn sử dụng khung đã giới thiệu trong Điều 5. Trạng thái bên trong S_i được xác định trong 6.3.2, và các hàm Init, Next, và Strm được mô tả trong 6.3.3, 6.3.4, 6.3.5.

6.3.2 Trạng thái bên trong

Vì mỗi bộ ba mới (a_i,b_i,c_i) chỉ phụ thuộc vào một số hạn chế của các bit dãy trước đó, không cần giữ toàn các dãy trong bộ nhớ. Tại điểm bất kỳ trong thời gian i, nó đủ để thuật toán duy trì trạng thái bên trong S_i bao gồm 288 dãy bit sau:

S_i= (a_i-1,…, a_i-93, b_i-1,…, b_i-84, c_i_-1,… c_i-₁₁₁).

CHÚ THÍCH Trong cài đặt phần cứng đơn giản của TRIVIUM, trạng thái bên trong này có thể được lưu trữ trong các thanh ghi dịch như minh họa trong Hình 4. Các bít trong các thanh ghi (được biểu diễn bởi các hộp trong hình) được di chuyển theo chiều kim đồng hồ sau mỗi lần lặp.

Hình 4 - Một cài đặt của TRIVIUM sử dụng thanh ghi dịch

...

Trạng thái bên trong của TRIVIUM được khởi tạo sử dụng hàm Init như sau:

Đầu vào: Khóa 80 bit K, véc tơ khởi tạo 80 bit IV.

Đầu ra: Giá trị khởi tạo của trạng thái bên trong S₀ = (a_–1, ...,a_–93, b_–1,... ,b_–84, c_–₁, .... c_–111).

a) Đặt i = -1152, và khởi tạo 288 bit của S_i như sau:

- Đặt (a_i–93, ..., a_i–1) = (0, ..., 0, K₀, ..., K₇₉).

- Đặt (a_i_–₈₄,…, b_i_–₁) = (0, …, 0, IV₀,..., IV₇₉).

- Đặt (c_i–₁₁₁,..., c_i–₁) = (1,1,1,0,..., 0).

b) Với i = -1151, -1150,..., -1,0:

- Đặt S_i = Next (S_i-1)

...

6.3.4 Hàm trạng thái tiếp theo Next

Hàm trạng thái tiếp theo Next được xác định như sau:

Đầu vào: Trạng thái bên trong S_i= (a_i-1,…, a_i-93, b_i-1,…, b_i-84, c_i_-1,… c_i-₁₁₁).

Đầu ra: Giá trị tiếp theo của trạng thái bên trong S_i+1= (a_i,…, a_i-92, b_i,…, b_i-83, c_i,… c_i-110).

a) Tính toán các bit a_i, b_i, và c_i:

- Đặt

b) Đưa ra S_i+1= (a_i,…, a_i-92, b_i,…, b_i-83, c_i,… c_i-110).

...

Hàm đầu ra Strm được xác định như sau:

Đầu vào: Trạng thái bên trong S_i= (a_i-1,…, a_i-93, b_i-1,…, b_i-84, c_i_-1,… c_i-₁₁₁).

Đầu ra: Bit dòng khóa z_i.

Đưa ra

Phụ lục A

(quy định)

Các định danh đối tượng

Phụ lục này liệt kê các định danh đối tượng được gán cho các thuật toán được quy định trong tiêu chuẩn này và xác định các cấu trúc tham số thuật toán.

...

Phụ lục B

(tham khảo)

Các véc tơ kiểm tra

B.1 Véc tơ kiểm tra cho Enocoro-128v2

B.1.1 Khóa, véc tơ khởi tạo, và bộ ba dòng khóa

Điều này cung cấp các véc tơ kiểm tra số học bao gồm một khóa 128 bit, một véc tơ khởi tạo 64 bit, và 256 bit dòng khóa đầu tiên tương ứng được sinh ra bởi Enonoro-128v2.

B.1.2 Các trạng thái trong mẫu

...

B.2 Véc tơ kiểm tra của Enocoro-80

B.2.1 Khóa, véc tơ khởi tạo, và bộ ba dòng khóa

Điều này cung cấp các véc tơ kiểm tra số bao gồm một khóa 80 bit, một véc tơ khởi tạo 64 bit, và 128 bit dòng khóa đầu tiên tương ứng được tạo ra bởi Enccoro-80.

B.2.2 Các trạng thái mẫu 22

Các giá trị trung gian của trạng thái và bộ đệm được sử dụng để tạo một dòng khóa được liệt kê bên dưới:

...

B.3.1 Khóa, véc tơ khởi tạo, và bộ ba dòng khóa

Điều này cung cấp một véc tơ kiểm tra số học bao gồm một khóa 80 bit, véc tơ khởi tạo 80 bit, và 128 bit dòng khóa đầu tiên tương ứng được sinh bởi Trivium.

Chú ý rằng Trivium được quy định ở mức bit, và không khác biệt đến thứ tự mà các bit này được nhóm thành các byte. Để đơn giản hóa việc kiểm tra của véc tơ kiểm tra trên các nền tảng phần mềm với các quy ước khác nhau, mỗi nhóm 8 bit được in theo hai dạng thập lục phân khác nhau. Dạng đầu tiên ánh xạ bít đầu tiên của mỗi byte thành bit có trọng số cao nhất, và phù hợp hơn cho nền tảng big-endian; Dạng thứ hai sử dụng thứ tự ngược, và phù hợp hơn với nền tảng little-endian.

B.3.2 Các bit dãy bên trong

Các giá trị của các bít dãy bên trong a_i, b_i và c_i được tính toán để sinh ra véc tơ kiểm tra ở trên, được liệt kê bên dưới:

...

Như được đề cập trong 6.3.2, một cài đặt điển hình của TRIVIUM chỉ cần duy trì trạng thái bên trong của 288 bit. Nội dung của trạng thái bên trong S₀ sau khi thực hiện 1152 vòng trống được liệt kê bên dưới:

B.3.4 Song song hóa

Véc tơ kiểm tra dưới đây minh họa cách cài đặt cho phép tính toán song song hóa của TRIVIUM 64 bit của b_i, cùng lúc sử dụng 3 phép toán XOR 64 bit và một phép toán AND 64 bit.

Phụ lục C

(tham khảo)

Hướng dẫn cài đặt và sử dụng

...

C.1.1 Song song hóa

Một tính năng của các quan hệ truy hồi được sử dụng trong TRIVIUM là các bit được tính toán tại một thời điểm cho trước chỉ ảnh hưởng đến các tính toán tuần tự sau một độ trễ ít nhất là 66 lần lặp. Do đó, việc lặp tới 66 lần liên tiếp (lựa chọn thông thường là 8, 16, 32, hoặc 64) có thể được tính toán song song mà không cần bất kỳ cản trở nào. Một minh họa cho tính chất này được đưa ra trong B.3.4.

CHÚ THÍCH Chú ý rằng không nhiều ứng dụng của TRIVIUM mà nó sẽ không có ý nghĩa để khai thác tính song song này ở mức độ nào đó. Việc triển khai phần cứng song song có thể đạt được mức tiêu thụ điện năng thấp hơn đáng kể hoặc thông lượng cao hơn để đổi lấy mức tăng khiêm tốn trong khu vực. Trong phần mềm, song song hóa của TRIVIUM làm cho nó có thể tận dụng lợi thế của kích thước từ lớn nhất có sẵn trên một kiến trúc nhất định

C.1.2 Khuyến nghị sử dụng các giá trị khởi tạo

Phần này đưa ra các khuyến nghị về cách sử dụng các véc tơ khởi tạo một cách hiệu quả nhất. Do đó, kỹ thuật này có thể được áp dụng cho tất cả các mã dòng được quy định trong tiêu chuẩn này. Các phần còn lại, chúng ta chỉ xem xét đến một ví dụ về Trivium. Trên thực tế, Trivium sử dụng một khóa bí mật 80 bit tương đối ngắn, việc sử dụng không đúng cách các véc tơ khởi tạo có thể làm giảm độ an toàn của nó xuống mức nguy hiểm thấp. Điều quan trọng cần chú ý là các véc tơ khởi tạo của Trivium phục vụ hai mục đích:

a) Cho phép dữ liệu được mã hóa với cùng một khóa bí mật, được chia thành các đoạn có thể được giải mã theo thứ tự tùy ý.

b) Làm tăng độ an toàn kháng lại các tấn công thông thường.

Để cho thấy rõ hơn hai mục đích khác nhau này, ta chia véc tơ khởi tạo 80 bit IV thành hai thành phần, I và V:

...

VÍ DỤ 1 Một ổ đĩa DVD tốc độ 1^x đọc dữ liệu là 10Mbit/s và có thời gian truy cập điển hình là 100ms. Để truy cập các phần tùy ý của một đĩa đã mã hóa mà không gây ra bất kỳ độ trễ nào, thiết bị giải mã sẽ phải tạo ra dòng khóa với tốc độ 10Mbit/s, và có thể truy cập tới dòng khóa tại điểm bất kỳ trong vòng 100ms. Yêu cầu này có thể dễ dàng đạt được đáp ứng bằng cách khởi tạo lại Trivium với một giá trị khác của 1 sau mỗi khối 1Mbit. Trong trường hợp này, một biến đếm 16 bit / đủ để mã hóa một đĩa 4.7GB.

VÍ DỤ 2 Trong các ứng dụng liên quan đến liên lạc thời gian thực (như liên lạc thoại), thường không có ý nghĩa khi giải mã dữ liệu theo thứ tự khác với thứ tự đã được sử dụng trong quá trình mã hóa. Toàn bộ cuộc trao đổi có thể được mã hóa như một dòng đơn, loại bỏ cần thiết cho biến đếm, như n = 0. Tuy nhiên, để bù lại cho các khác biệt về đồng bộ, hoặc cho các gói dữ liệu đến chưa đúng thứ tự hoặc bị bỏ qua, thì các bít dòng khóa sẽ có thể cần được tạo ra ở tốc độ cao hơn so với tốc độ truyền và được giữ tạm thời trong bộ đệm.

Thành phần thứ hai V có thể được sử dụng để làm tăng khả năng chống lại các tấn công tổng quát của TRIVIUM, và cách hiệu quả nhất để làm điều đó là coi nó như khóa bí mật bổ sung, có nghĩa là, khi nào một khóa mới được yêu cầu, cả K và V đều được khởi tạo cùng lúc sử dụng khóa bí mật lớn hơn 160 bit K'.

Điều quan trọng để thực hiện là sử dụng một khóa mở rộng K' như vậy sẽ không làm tăng độ an toàn của TRIVIUM chống lại các tấn công chuyên dụng.Tấn công đoán và xác định được đề xuất bởi Maximov và Biryukov [4], là một trường hợp yêu cầu độ phức tạp đương với việc tìm kiếm vét cạn trên không gian khóa 90 bít, và điều này không phụ thuộc vào cách khởi tạo của TRIVIUM. Mặt khác, các tấn công vét cạn đòi hỏi nguồn lực tính toán lớn hơn, đặc biệt khi n có thể giữ ở mức tương đối nhỏ. Trên thực tế, các tấn công chuyên dụng hiệu quả nhất đòi hỏi đối phương phải chặn bắt một lượng lớn dữ liệu (cỡ hàng trăm petabyte trong trường hợp của [4]), sử dụng một khóa mở rộng sẽ làm tăng đáng kể hành lang an toàn của TRIVIUM trong thực hành.

Người dùng sẽ quyết định, vì những ràng buộc cụ thể của ứng dụng, có thể làm chệch thủ tục được khuyến nghị đưa ra bên trên, khi đó họ nên ít nhất thực hiện các biện pháp để đảm bảo các quy tắc sau:

a) Hai dòng dữ liệu khác nhau không bao giờ được mã hóa với cùng một khóa K, và cùng một véc tơ khởi tạo IV. Vi phạm quy tắc này sẽ làm lộ phép XOR của hai bản rõ cho kẻ tấn công. Nếu hai dòng dữ chứa độ dư thừa thông tin thì thông tin này sẽ đủ để khôi phục lại cả hai.

b) Không nên sử dụng lại cùng véc tơ khởi tạo với một số lượng lớn khóa khác nhau. Giả sử rằng một véc tơ khởi tạo đơn đã biết công khai sẽ được sử dụng với 224 (16 triệu) các khóa bí mật 80 bit khác nhau. Trong trường hợp này, việc khôi phục ít nhất một trong số các khóa 80 bit trên sẽ không khó hơn việc khôi phục một khóa đơn 56 bit.

C.2 Enocoro

...

Trong một số ứng dụng, không gian véc tơ khởi tạo được yêu cầu lớn hơn không gian véc tơ của mã dòng được quy định trong tiêu chuẩn này.

Phần này cung cấp các khuyến nghị về cách sử dụng bản mã cho véc tơ khởi tạo mở rộng theo một cách an toàn. Do đó kỹ thuật này có thể được áp dụng cho tất cả các mã dòng được quy định trong tiêu chuẩn này. Trong phần còn lại của điều này, chúng ta xem xét đến ví dụ của Enocoro-128v2 mà sử dụng một véc tơ khởi tạo 64 bit tương đối ngắn. Sau đây, chúng tôi mô tả trường hợp sử dụng véc tơ khởi tạo 128 bít mở rộng IV của Enocoro-128v2.

Theo mở rộng này, các thay đổi này chỉ được thực hiện ở bước b) và c) trong hàm khởi tạo Init được quy định trong 6.1.2 như sau:

b) Thiết lập véc tơ khởi tạo IV vào phần của biến trạng thái b_j^(-96) như sau:

- Đặt (I₀ ‖ I₁ ‖ … ‖ I₁₅) = IV, với I_j là 8 bit với j = 0, 1, 2,…, 15.

- Với j = 0,1,2, ..., 15, đặt = I_j

c) Đặt các hằng số vào phần của biến trạng thái a_j^(-96) như sau:

- Đặt a₀^(-96) = C₈= 0x88

- Đặt a₁^(-96) = C₉= 0x4c.

...

Phụ lục D

(tham khảo)

Bảng tính năng

Phụ lục này chỉ ra các thuộc tính hạng nhẹ của các thuật toán mật mã được mô tả trong TCVN XXX-1 Phụ lục C đưa ra các tính năng phần cứng của mã dòng hạng nhẹ. Dựa trên các chỉ số, các thuộc tính hạng nhẹ của Enocoro và Trivium được tổng hợp trong Bảng sau:

Bảng D.1 - Các thuộc tính hạng nhẹ của Enocoro và Trivium

Tên thuật toán

Enocoro

Trivium

...

128

Bề mặt chip [GE]

2700

4100

2599

Số chu kỳ để khởi tạo [CLK]

...

1152

Số bít trên mỗi chu kỳ [bit/CLK]

Năng lượng^a [GE]

2700

4100

2599

...

2700

4100

2599

Năng lượng trên mỗi bit^a [GE*CLK/bit]

338

513

2599

Công nghệ [µm]

0,18

...

0,13

Tham chiếu

[6]

[5]

[3]

^a ước lượng sử dụng chỉ số phần cứng cho mật mã hạng nhẹ trong phụ lục C của TCVN 12854-1

Phụ lục E

(tham khảo)

...

VÍ DỤ C = AÄB: Trong phép toán này, trường hữu hạn được biểu diễn bằng cách chọn một đa thức bất khả quy F(x) bậc n với các hệ số nhị phân, các khối n bit A = {a_n–1,a_n–2, ...,a₀} và B = {b_n–1, b_n–2, …, b₀} (trong đó a_i và b_i là các bit) được biểu diễn như các đa thức, A(x) = a_n–1x^n–1, a_n–2x^n–2,.... a₀ và B(x) = b_n–1x^n–1, b_n–2x^n–2,.... b₀ tương ứng. Cho C(x) = A(x) • B(x)mod F(x), với C(x) là đa thức bậc cao nhất là n-1 nhận được bởi phép nhân A(x) và B(x), chia kết quả cho F(x) và lấy phần dư. Nếu C(x) = c_n–1x^n–1, c_n–2x^n–2,.... c₀ (với c_i là các bit). Khi đó gọi C là khối n bit {c_n–1, c_n–2, c₀}. Với trường hợp này, chúng tôi giới thiệu một hàm Xtime mà nó thực hiện phép nhân 2 trong trường GF(2⁸) sử dụng đa thức bất khả quy ψ₈₄₃₁(x)= x⁸ + x⁴ + x³ + x + 1 được biểu diễn dưới dạng 0x11b. Xtime có thể được cài đặt như sau:

Thư mục tài liệu tham khảo

[1] TCVN 11367-1 (ISO/IEC 18033-1), Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 1: Tổng quan

[2] TCVN 11367-4 (ISO/IEC 18033-4), Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 4: Mã dòng

[3] T. Good and M. Benaissa, "Hardware results of selected stream cipher candidates", available at http://www.ecrypt.eu.orq/stream/pa ersdir/2007/023. df

[4] A. Maximov and A. Biryukov, "Two Trivial Attacks on TRIVIUM". In C. M. Adams, A. Miri, and M. J. Wiener, editors, Selected Areas in Cryptography, SAC 2007, volume 4876 of Lecture Notes in Computer Science, pages 36-55. Springer-Verlag, 2007

[5] Hitachi, Ltd, "Stream Cipher Enocoro Evaluation Report". CRYPTREC submission package. http://www.hitachi.com/rd/yrl/crypto/enocoro/

...

[7] C. De Canniere and B. Preneel, "Trivium Specifications". eSTREAM submission package. http://www.ecrypt.eu.orci/stream/p3ciphers/trivium/trivium p3.pdf

Mục lục

Lời nói đầu

1 Phạm vi áp dụng

2 Tài liệu viện dẫn

3 Thuật ngữ và định nghĩa

4 Ký hiệu

5 Mô hình tổng quát cho mã dòng

...

5.2 Bộ tạo dòng khóa đồng bộ

5.3 Các hàm đầu ra

6 Bộ tạo dòng khóa chuyên dụng

6.1 Bộ tạo dòng khóa Enocoro-128v2

6.2 Bộ tạo dòng khóa Enocoro-80

6.3 Bộ tạo dòng khóa Trivium

Phụ lục A (quy định) Các định danh đối tượng

Phụ lục B (tham khảo) Các véc tơ kiểm tra

Phụ lục C (tham khảo) Hướng dẫn cài đặt và sử dụng

...

Phụ lục E (tham khảo) Tính toán trên trường hữu hạn

Thư mục tài liệu tham khảo