一種新實(shí)用安全加密標(biāo)準(zhǔn)算法--Camellia算法

發(fā)布時(shí)間:2008/6/5 0:00:00 訪問(wèn)次數(shù):411

繼２０００年１０月美國(guó)推出二十一世紀(jì)高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)ａｅｓ后，２００３年２月歐洲最新一代的安全標(biāo)準(zhǔn)ｎｅｓｓｉｅ（ｎｅｗｅｕｒｏｐｅａｎｓｃｈｅｍｅｓｆｏｒｓｉｇｎａｔｕｒｅｓ、ｉｎｔｅｇｒｉｔｙａｎｄｅｎｃｒｙｐｔｉｏｎ）出臺(tái)。ｎｅｓｓｉｅ是歐洲ｉｓｔ（ｉｎｆｏｒｍａｔｉｏｎｓｏｃｉｅｔｙｔｅｃｈｎｏｌｏｇｉｅｓ）委員會(huì)計(jì)劃的一個(gè)項(xiàng)目。ｃａｍｅｌｌｉａ算法以其在各種軟件和硬件平臺(tái)上的高效率這一顯著特點(diǎn)成為ｎｅｓｓｉｅ標(biāo)準(zhǔn)中兩個(gè)１２８比特分組密碼算法之一（另一個(gè)為美國(guó)的ａｅｓ算法）。

ｃａｍｅｌｌｉａ算法由ｎｔｔ和ｍｉｔｓｕｂｉｓｈｉｅｌｅｃｔｒｉｃｃｏｒｐｏｒａｔｉｏｎ聯(lián)合開(kāi)發(fā)。作為歐洲新一代的加密標(biāo)準(zhǔn)，它具有較強(qiáng)的安全性，能夠抵抗差分和線性密碼分析等已知的攻擊。與ａｅｓ算法相比，ｃａｍｅｌｌｉａ算法在各種軟硬件平臺(tái)上表現(xiàn)出與之相當(dāng)?shù)募用芩俣取３嗽诟鞣N軟件和硬件平臺(tái)上的高效性這一顯著特點(diǎn)，它的另外一個(gè)特點(diǎn)是針對(duì)小規(guī)模硬件平臺(tái)的設(shè)計(jì)。整個(gè)算法的硬件執(zhí)行過(guò)程包括加密、解密和密鑰擴(kuò)展三部分，只需占用８．１２ｋ０．１８μｍｃｏｍｓ工藝ａｓｉｃ的庫(kù)門(mén)邏輯。這在現(xiàn)有１２８比特分組密碼中是最小的。

１ｃａｍｅｌｌｉａ算法的組成ｃａｍｅｌｌｉａ算法支持１２８比特的分組長(zhǎng)度，１２８、１９２和２５６比特的密鑰與ａｅｓ的接口相同。本文以１２８比特密鑰為例對(duì)ｃａｍｅｌｌｉａ算法進(jìn)行詳細(xì)介紹。

ｃａｍｅｌｌｉａ算法１２８比特密鑰的加、解密過(guò)程共有１８輪，采用ｆｅｉｓｔｅｌ結(jié)構(gòu)，加、解密過(guò)程完全相同，只是子密鑰注入順序相反。而且密鑰擴(kuò)展過(guò)程和加、解密過(guò)程使用相同的部件。這使得ｃａｍｅｌｌｉａ算法不論是在軟件平臺(tái)還是硬件平臺(tái)只需更小的規(guī)模和更小的存儲(chǔ)即可。

(１)ｃａｍｅｌｌｉａ算法所采用的符號(hào)列表及其含義

ｂ８比特向量ｗ３２比特向量
ｌ６４比特向量ｑ１２８比特向量
ｘ(ｎ) 比特向量
ｘl 向量ｘ的左半部分ｘr 向量ｘ的右半部分
＜＜＜比特循環(huán)左移｜｜兩個(gè)操作數(shù)的連接
 比特的異或操作ｘ比特位取補(bǔ)操作
∪ 比特位的或操作 ∩ 比特位的與操作

(２)ｃａｍｅｌｌｉａ算法所采用的變量列表及其含義

ｍ(128)　１２８比特明文組ｃ(128)　１２８比特密文組
ｋ主密鑰ｋｗt(64)，ｋu(64)，ｋｌv(64)，　子密鑰

（３）ｃａｍｅｌｌｉａ算法所采用的變換函數(shù) ·ｆ變換

ｆ變換（見(jiàn)式（１））是ｃａｍｅｌｌｉａ算法中最主要的部件之一，而且ｆ變換被加、解密過(guò)程和密鑰擴(kuò)展過(guò)程所共用（１２８比特密鑰的加、解密各用１８次，密鑰擴(kuò)展用４次）。ｃａｍｅｌｌｉａ算法的ｆ變換在設(shè)計(jì)時(shí)采用１輪的ｓｐｎ（ｓｕｂｓｔｉｔｕｔｉｏｎｐｅｒｍｕｔａｔｉｏｎｎｅｔｗｏｒｋ），包括一個(gè)ｐ變換（線性）和一個(gè)ｓ變換（非線性）。在ｆｅｉｓｔｅｌ型密碼使用一輪ｓｐｎ作輪函數(shù)時(shí)，對(duì)更高階的差分和線性特性概率的理論評(píng)估變得更加復(fù)雜，在相同安全水平下的運(yùn)行速度有所提高。

ｆ：ｌ×ｌ→ｌ （１）　
（ｘ（64），ｋ（64））→ｙ（64）＝ｐ（ｓ（ｘ（64）　ｋ（64））

·ｐ變換

ｃａｍｅｌｌｉａ算法的ｐ變換（見(jiàn)式（２））是一個(gè)線性變換。為了通信中軟、硬件實(shí)現(xiàn)的高效性，它適合采用異或運(yùn)算，并且其安全性能足以抵抗差分和線性密碼分析。其在３２位處理器、高端智能卡上的應(yīng)用，跟在８位處理器上一樣。

ｐ：ｌ→ｌ

＝ （２）　

·ｓ變換

ｃａｍｅｌｌｉａ算法采用的ｓ盒（見(jiàn)式（３））是一個(gè)ｇｆ（２8）上的可逆變換，它加強(qiáng)了算法的安全性并且適用于小硬件設(shè)計(jì)。眾所周知，ｇｆ（２8）上函數(shù)的最大差分概率的最小值被證明為２－6，最大線性概率的最小值推測(cè)為２－6。ｃａｍｅｌｌｉａ算法選擇ｇｆ（２8）上能夠獲得最好的差分和線性概率的可逆函數(shù)作ｓ盒，而且ｓ盒每個(gè)輸出比特具有高階布爾多項(xiàng)式，使得對(duì)ｃａｍｅｌｌｉａ進(jìn)行高階差分攻擊是困難的。ｓ盒在ｇｆ（２8）上輸入、輸出相關(guān)函數(shù)上的復(fù)雜表達(dá)式，使得插入攻擊對(duì)ｃａｍｅｌｌｉａ無(wú)效。

ｓ：ｌ→ｌ

（ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8），ｌ1（8））→
（ｓ1（ｌ1（8）），ｓ2（ｌ2（8）），ｓ3（ｌ3（8）），ｓ4（ｌ4（8）），ｓ2（ｌ5（8）），ｓ3（ｌ6（8）），
ｓ4（ｌ7（8）），ｓ1（ｌ8（8）））

ｓ1：ｙ（8）＝ｓ1（ｘ（8））＝ｈ（ｇ（ｆ（０ｘｃ５ｘ（8））））０ｘ６ｅ
其中，ｓ2：ｙ（8）＝ｓ2（ｘ（8））＝ｓ1（ｘ（8））＜＜＜１ （３）
ｓ3：ｙ（8）＝ｓ3（ｘ（8））＝ｓ1（ｘ（8））＞＞＞１
ｓ4：ｙ（8）＝ｓ4（ｘ（8））＝ｓ1（ｘ（8））＜＜＜１

ｃａｍｅｌｌｉａ算法由ｎｔｔ和ｍｉｔｓｕｂｉｓｈｉｅｌｅｃｔｒｉｃｃｏｒｐｏｒａｔｉｏｎ聯(lián)合開(kāi)發(fā)。作為歐洲新一代的加密標(biāo)準(zhǔn)，它具有較強(qiáng)的安全性，能夠抵抗差分和線性密碼分析等已知的攻擊。與ａｅｓ算法相比，ｃａｍｅｌｌｉａ算法在各種軟硬件平臺(tái)上表現(xiàn)出與之相當(dāng)?shù)募用芩俣�。除了在各種軟件和硬件平臺(tái)上的高效性這一顯著特點(diǎn)，它的另外一個(gè)特點(diǎn)是針對(duì)小規(guī)模硬件平臺(tái)的設(shè)計(jì)。整個(gè)算法的硬件執(zhí)行過(guò)程包括加密、解密和密鑰擴(kuò)展三部分，只需占用８．１２ｋ０．１８μｍｃｏｍｓ工藝ａｓｉｃ的庫(kù)門(mén)邏輯。這在現(xiàn)有１２８比特分組密碼中是最小的。