MESH (шифр)

Шаблон:Картка блочного шифру

В криптографії, MESH — блочний шифр, що є модифікацією IDEA. Розроблений Жоржем Накахара, Вінсентом Рейменом, Бартом Пренелем і Джусом Вандевалле в 2002 році. На відміну від IDEA, MESH має більш складну раундову структуру. Інший алгоритм генерації ключів дозволяє MESH уникати проблеми слабких ключів Шаблон:Sfn.

Кожен раунд в IDEA і MESH складається з операцій додавання та множення. Послідовність таких обчислень в межах одного раунду утворює MA-бокс. Всі MA-бокси в MESH використовують мінімум три чергових рівнів додавань і множень (за схемою «зигзаг»), в той час, як в IDEA таких тільки два. Це робить MESH більш стійким проти диференціальної і лінійної криптоатак. Також, з метою уникнення проблеми слабких ключів, в MESH використовуються два наступних принципи:

• Кожне підключення залежить від багатьох подключень, точнішео — як мінімум від шести попередніх ключів нелінійно.
• Використовуються фіксовані константи. Без них, наприклад, ключ з усіх нулів перейшов би в підключі, кожна з яких дорівнювала б нулю в будь-якому раунді.

Як і в IDEA, MESH використовує такі операції:

• Множення по модулю ${\displaystyle 2^{16}+1}$, при чому замість нуля використовується ${\displaystyle 2^{16}}$ (${\displaystyle \odot }$)
• Бітовий зсув вліво на ${\displaystyle n}$ бит (${\displaystyle ⋘n}$)
• Складання по модулю ${\displaystyle 2^{16}}$ (${\displaystyle ⊞}$)
• Побітова Виключна диз'юнкція (${\displaystyle \oplus }$)

Операції розташовані в порядку зменшення пріоритету. В обчисленнях запис ${\displaystyle A_k^{(i)}}$ позначає 16-ти бітове слово. Індекси описуються далі.

MESH описується в трьох варіаціях за розмірами блоку: 64, 96, 128 біт. Розмір ключа при цьому береться вдвічі більший Шаблон:Sfn.

У даній варіації розмір блоку становить 64 біт, ключ — 128 біт. Шифрування проходить в 8.5 раундів. Половина раунду відноситься до вихідних перетворень Шаблон:Sfn.

Позначимо вхідну інформацію для ${\displaystyle i}$ -го раунду:
${\displaystyle X^{(i)}=(X_1^{(i)},X_2^{(i)},X_3^{(i)},X_4^{(i)}),i=1...9}$

Кожен раунд складається з двох частин: перемішування вхідних даних з підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_1^{(i)},Y_2^{(i)},Y_3^{(i)},Y_4^{(i)})=(X_1^{(i)}\odot Z_1^{(i)},X_2^{(i)}⊞Z_2^{(i)},X_3^{(i)}⊞Z_3^{(i)},X_4^{(i)}\odot Z_4^{(i)})}$.

• Для парних раундів:

${\displaystyle (Y_1^{(i)},Y_2^{(i)},Y_3^{(i)},Y_4^{(i)})=(X_1^{(i)}boxplus{Z}_1^{(i)},X_2^{(i)}odot{Z}_2^{(i)},X_3^{(i)}odot{Z}_3^{(i)},X_4^{(i)}boxplus{Z}_4^{(i)})}$.

Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_5^{(i)},Y_6^{(i)})=(Y_1^{(i)}\oplus Y_3^{(i)},Y_2^{(i)}\oplus Y_4^{(i)})}$

МА-обчислення описуються наступними формулами:
${\displaystyle Y_7^{(i)}=((Y_5^{(i)}\odot Z_5^{(i)}⊞Y_6^{(i)})\odot Z_6^{(i)}⊞(Y_5^{(i)}\odot Z_5^{(i)}))\odot Z_7^{(i)}}$
${\displaystyle Y_8^{(i)}=Y_7^{(i)}⊞((Y_5^{(i)}\odot Z_5^{(i)}⊞Y_6^{(i)})\odot Z_6^{(i)})}$

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}=(Y_1^{(i)}\oplus Y_8^{(i)},Y_3^{(i)}\oplus Y_8^{(i)},Y_2^{(i)}\oplus Y_7^{(i)},Y_4^{(i)}\oplus Y_7^{(i)})}$

Згідно зі схемою, для отримання зашифрованого повідомлення, необхідно після восьмого раунду провести перемішування по непарній схемі ${\displaystyle (i=9)}$Шаблон:Sfn

Для генерації ключів використовується 128-бітний, призначений для користувача ключ, а також 16-бітові константи ${\displaystyle c_i}$: ${\displaystyle c_0=1}$, ${\displaystyle c_i=3c_{i-1}}$, вони обчислюються в Полі Галуа ${\displaystyle GF(2^{16})}$ по модулю багаточлена ${\displaystyle x^{16}+x^5+x^3+x^2+1}$. Призначений для користувача ключ, розбивається на 8 16-бітових слів ${\displaystyle K_i,0leqslantileqslant7}$.

Обчислення підключів відбувається наступним чином: Шаблон:Sfn:
${\displaystyle Z_{i+1}^{(1)}=K_i\oplus c_i,0⩽i⩽6}$
${\displaystyle Z_1^{(2)}=K_7\oplus c_7}$
${\displaystyle Z_{l(i)}^{(h(i))}=(((((Z_{l(i-8)}^{(h(i-8))}⊞Z_{l(i-7)}^{(h(i-7))})\oplus Z_{l(i-6)}^{(h(i-6))})⊞Z_{l(i-3)}^{(h(i-3))})\oplus Z_{l(i-2)}^{(h(i-2))})⊞Z_{l(i-1)}^{(h(i-1))})⋘7\oplus c_i,}$
где ${\displaystyle 8⩽i⩽59,h(i)=idiv7+1,l(i)=imod7+1}$.

Для розшифровки MESH, як і IDEA, використовують вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_1^{(r)},...Z_7^{(r)}),1leqslantrleqslant8}$ — підключі повних раундів;
${\displaystyle (Z_1^{(9)},...Z_4^{(9)})}$ — підключі вихідних перетворень.

Тоді підключі розшифровки задаються наступним чином Шаблон:Sfn: Шаблон:Sfn:

• ${\displaystyle ((Z_1^{(9)}{)}^{-1},-Z_2^{(9)},-Z_3^{(9)},(Z_4^{(9)}{)}^{-1},Z_5^{(8)},Z_6^{(8)},Z_7^{(8)})}$, — первий раунд розшифровки;
• ${\displaystyle (-Z_1^{(10-r)},(Z_3^{(10-r)}{)}^{-1},(Z_2^{(10-r)}{)}^{-1},-Z_4^{(10-r)},Z_5^{(9-r)},Z_6^{(9-r)},Z_7^{(9-r)})}$, — ${\displaystyle r}$-й парний раунд, ${\displaystyle r\in \{2,4,6,8\}}$;
• ${\displaystyle ((Z_1^{(9-r)}{)}^{-1},-Z_3^{(9-r)},-Z_2^{(9-r)},(Z_4^{(9-r)}{)}^{-1},Z_5^{(8-r)},Z_6^{(8-r)},Z_7^{(8-r)})}$, — ${\displaystyle r}$-й непарний раунд, ${\displaystyle r\in \{3,5,7\}}$;
• ${\displaystyle ((Z_1^{(1)}{)}^{-1},-Z_2^{(1)},-Z_3^{(1)},(Z_4^{(1)}{)}^{-1})}$, — вихідні перетворення.

У даній варіації розмір блоку становить 96 біт, ключ — 192 біт. Шифрування проходить в 10.5 раундів. Половина раунду відноситься до вихідних перетворень Шаблон:Sfn.

Позначимо вхідну інформацію для ${\displaystyle i}$ -го раунду:
${\displaystyle X^{(i)}=(X_1^{(i)},X_2^{(i)},X_3^{(i)},X_4^{(i)},X_5^{(i)},X_6^{(i)}),i=1...11}$

Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_1^{(i)},Y_2^{(i)},Y_3^{(i)},Y_4^{(i)},Y_5^{(i)},Y_6^{(i)})=(X_1^{(i)}\odot Z_1^{(i)},X_2^{(i)}⊞Z_2^{(i)},X_3^{(i)}\odot Z_3^{(i)},X_4^{(i)}⊞Z_4^{(i)},X_5^{(i)}\odot Z_5^{(i)},X_6^{(i)}⊞Z_6^{(i)})}$

• Для парних раундів:

${\displaystyle (Y_1^{(i)},Y_2^{(i)},Y_3^{(i)},Y_4^{(i)},Y_5^{(i)},Y_6^{(i)})=(X_1^{(i)}⊞Z_1^{(i)},X_2^{(i)}\odot Z_2^{(i)},X_3^{(i)}⊞Z_3^{(i)},X_4^{(i)}\odot Z_4^{(i)},X_5^{(i)}⊞Z_5^{(i)},X_6^{(i)}\odot Z_6^{(i)})}$ Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_7^{(i)},Y_8^{(i)},Y_9^{(i)})=(Y_1^{(i)}\oplus Y_4^{(i)},Y_2^{(i)}\oplus Y_5^{(i)},Y_3^{(i)}\oplus Y_6^{(i)})}$

МА-обчислення описуються наступними формулами:
${\displaystyle Y_{10}^{(i)}=(((Y_7^{(i)}\odot Z_7^{(i)}⊞Y_8^{(i)})\odot Y_9^{(i)}⊞Z_8^{(i)})\odot (Y_7^{(i)}\odot Z_7^{(i)}⊞Y_8^{(i)})⊞Y_7^{(i)}\odot Z_7^{(i)})\odot Z_9^{(i)}}$
${\displaystyle Y_{11}^{(i)}=Y_{10}^{(i)}⊞((Y_7^{(i)}\odot Z_7^{(i)}⊞Y_8^{(i)})\odot Y_9^{(i)}⊞Z_8^{(i)})\odot (Y_7^{(i)}\odot Z_7^{(i)}⊞Y_8^{(i)})}$
${\displaystyle Y_{12}^{(i)}=Y_{11}^{(i)}\odot ((Y_7^{(i)}\odot Z_7^{(i)}⊞Y_8^{(i)})\odot Y_9^{(i)}⊞Z_8^{(i)})}$

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}=(Y_1^{(i)}\oplus Y_{12}^{(i)},Y_4^{(i)}\oplus Y_{12}^{(i)},Y_5^{(i)}\oplus Y_{11}^{(i)},Y_2^{(i)}\oplus Y_{11}^{(i)},Y_3^{(i)}\oplus Y_{10}^{(i)},Y_6^{(i)}\oplus Y_{10}^{(i)})}$

Для отримання зашифрованого повідомлення, необхідно після 10-го раунду провести перемішування за непарною схемою ${\displaystyle (i=9)}$ Шаблон:Sfn

Для генерації ключів використовується 192-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як і для MESH-64.

Обчислення подключів відбувається наступним чином: Шаблон:Sfn:
${\displaystyle Z_{i+1}^{(1)}=K_i\oplus c_i,0⩽i⩽8}$
${\displaystyle Z_1^{(2)}=K_9\oplus c_9}$
${\displaystyle Z_2^{(2)}=K_{10}\oplus c_{10}}$
${\displaystyle Z_3^{(2)}=K_{11}\oplus c_{11}}$
${\displaystyle Z_{l(i)}^{(h(i))}=(((((Z_{l(i-12)}^{(h(i-12))}⊞Z_{l(i-8)}^{(h(i-8))})\oplus Z_{l(i-6)}^{(h(i-6))})⊞Z_{l(i-4)}^{(h(i-4))})\oplus Z_{l(i-2)}^{(h(i-2))})⊞Z_{l(i-1)}^{(h(i-1))})⋘9\oplus c_i,}$
где ${\displaystyle 12⩽i⩽95,h(i)=idiv9+1,l(i)=imod9+1}$.

Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_1^{(r)},...Z_9^{(r)}),1leqslantrleqslant10}$ — підключі повних раундів;
${\displaystyle (Z_1^{(11)},...Z_6^{(11)})}$ — підключі вихідних перетворень.

Тоді підключі розшифровки задаються наступним чином Шаблон:Sfn:

• ${\displaystyle ((Z_1^{(11)}{)}^{-1},-Z_2^{(11)},(Z_3^{(11)}{)}^{-1},-Z_4^{(11)},(Z_5^{(11)}{)}^{-1},-Z_6^{(11)},Z_7^{(10)},Z_8^{(10)},Z_9^{(10)})}$, — перший раунд розшифровки;
• ${\displaystyle (-Z_1^{(12-r)},(Z_4^{(12-r)}{)}^{-1},-Z_5^{(12-r)},(Z_2^{(12-r)}{)}^{-1},-Z_3^{(12-r)},(Z_6^{(12-r)}{)}^{-1},Z_7^{(11-r)},Z_8^{(11-r)},Z_9^{(11-r)})}$, — ${\displaystyle r}$-й парний раунд, ${\displaystyle r\in \{2,4,6,8,10\}}$;
• ${\displaystyle ((Z_1^{(11-r)}{)}^{-1},-Z_4^{(11-r)},(Z_5^{(11-r)}{)}^{-1},-Z_2^{(11-r)},(Z_3^{(11-r)}{)}^{-1},-Z_6^{(11-r)},Z_7^{(10-r)},Z_8^{(10-r)},Z_9^{(10-r)})}$, — ${\displaystyle r}$-й непарний раунд, ${\displaystyle r\in \{3,5,7,9\}}$;
• ${\displaystyle ((Z_1^{(1)}{)}^{-1},-Z_2^{(1)},(Z_3^{(1)}{)}^{-1},-Z_4^{(1)},(Z_5^{(1)}{)}^{-1},-Z_6^{(1)})}$, — вихідні перетворення.

У даній варіації розмір блоку становить 128 біт, ключ — 256 біт. Шифрування проходить в 12.5 раундів. Половина раунду відноситься до вихідних перетворень Шаблон:Sfn.

Позначимо вхідну інформацію для ${\displaystyle i}$ -го раунду:
${\displaystyle X^{(i)}=(X_1^{(i)},X_2^{(i)},X_3^{(i)},X_4^{(i)},X_5^{(i)},X_6^{(i)},X_7^{(i)},X_8^{(i)}),i=1...13}$ Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_1^{(i)},Y_2^{(i)},Y_3^{(i)},Y_4^{(i)},Y_5^{(i)},Y_6^{(i)},Y_7^{(i)},Y_8^{(i)})=}$
${\displaystyle (X_1^{(i)}\odot Z_1^{(i)},X_2^{(i)}⊞Z_2^{(i)},X_3^{(i)}\odot Z_3^{(i)},X_4^{(i)}⊞Z_4^{(i)},X_5^{(i)}\odot Z_5^{(i)},X_6^{(i)}⊞Z_6^{(i)},X_7^{(i)}\odot Z_7^{(i)},X_8^{(i)}⊞Z_8^{(i)})}$

• Для парних раундів:

${\displaystyle (Y_1^{(i)},Y_2^{(i)},Y_3^{(i)},Y_4^{(i)},Y_5^{(i)},Y_6^{(i)},Y_7^{(i)},Y_8^{(i)})=}$
${\displaystyle (X_1^{(i)}⊞Z_1^{(i)},X_2^{(i)}\odot Z_2^{(i)},X_3^{(i)}⊞Z_3^{(i)},X_4^{(i)}\odot Z_4^{(i)},X_5^{(i)}⊞Z_5^{(i)},X_6^{(i)}\odot Z_6^{(i)},X_7^{(i)}⊞Z_7^{(i)},X_8^{(i)}\odot Z_8^{(i)})}$

Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_9^{(i)},Y_{10}^{(i)},Y_{11}^{(i)},Y_{12}^{(i)})=(Y_1^{(i)}\oplus Y_5^{(i)},Y_2^{(i)}\oplus Y_6^{(i)},Y_3^{(i)}\oplus Y_7^{(i)},Y_4^{(i)}\oplus Y_8^{(i)})}$
.

МА-обчислення описуються наступними формулами:

${\displaystyle Y_{13}^{(i)}=Y_9^{(i)}\odot Z_9^{(i)},Y_{14}^{(i)}=Y_{13}^{(i)}⊞Y_{10}^{(i)},}$
${\displaystyle Y_{15}^{(i)}=Y_{14}^{(i)}\odot Y_{11}^{(i)},Y_{16}^{(i)}=Y_{15}^{(i)}⊞Y_{12}^{(i)},}$
${\displaystyle Y_{17}^{(i)}=Y_{16}^{(i)}\odot Z_{10}^{(i)},Y_{18}^{(i)}=Y_{15}^{(i)}⊞Y_{17}^{(i)},}$
${\displaystyle Y_{19}^{(i)}=Y_{14}^{(i)}\odot Y_{18}^{(i)},Y_{20}^{(i)}=Y_{13}^{(i)}⊞Y_{19}^{(i)},}$
${\displaystyle Y_{21}^{(i)}=Y_{20}^{(i)}\odot Z_{11}^{(i)},Y_{22}^{(i)}=Y_{19}^{(i)}⊞Y_{21}^{(i)},}$
${\displaystyle Y_{23}^{(i)}=Y_{18}^{(i)}\odot Y_{22}^{(i)},Y_{24}^{(i)}=Y_{17}^{(i)}⊞Y_{23}^{(i)},}$
${\displaystyle Y_{25}^{(i)}=Y_{24}^{(i)}\odot Z_{12}^{(i)},Y_{26}^{(i)}=Y_{23}^{(i)}⊞Y_{25}^{(i)},}$
${\displaystyle Y_{27}^{(i)}=Y_{22}^{(i)}\odot Y_{26}^{(i)},Y_{28}^{(i)}=Y_{21}^{(i)}⊞Y_{27}^{(i)}.}$

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}=(Y_1^{(i)}\oplus Y_{25}^{(i)},Y_5^{(i)}\oplus Y_{25}^{(i)},Y_6^{(i)}\oplus Y_{26}^{(i)},Y_7^{(i)}\oplus Y_{27}^{(i)},Y_2^{(i)}\oplus Y_{26}^{(i)},Y_3^{(i)}\oplus Y_{27}^{(i)},Y_4^{(i)}\oplus Y_{28}^{(i)},Y_8^{(i)}\oplus Y_{28}^{(i)})}$

Для отримання зашифрованого повідомлення необхідно після 12-го раунду провести перемішування за непарною схемою ${\displaystyle (i=9)}$ Шаблон:Sfn

Для генерації ключів використовується 256-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як для MESH-64 і для MESH-96.

Обчислення подключів відбувається наступним чином: Шаблон:Sfn:
${\displaystyle Z_{i+1}^{(1)}=K_i\oplus c_i,0⩽i⩽11}$
${\displaystyle Z_{jmod12+1}^{(2)}=K_j\oplus c_j,12⩽j⩽15}$
${\displaystyle Z_{l(i)}^{(h(i))}=(((((Z_{l(i-16)}^{(h(i-16))}⊞Z_{l(i-13)}^{(h(i-13))})\oplus Z_{l(i-12)}^{(h(i-12))})⊞Z_{l(i-8)}^{(h(i-8))})\oplus Z_{l(i-2)}^{(h(i-2))})⊞Z_{l(i-1)}^{(h(i-1))})⋘11\oplus c_i,}$
где ${\displaystyle 16⩽i⩽151,h(i)=idiv12+1,l(i)=imod12+1}$.

Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_1^{(r)},...Z_{12}^{(r)}),1leqslantrleqslant12}$ — підключі повних раундів;
${\displaystyle (Z_1^{(13)},...Z_8^{(13)})}$ — підключі вихідних перетворень.

Шаблон:Sfn:

• ${\displaystyle ((Z_1^{(13)}{)}^{-1},-Z_2^{(13)},(Z_3^{(13)}{)}^{-1},-Z_4^{(13)},-Z_5^{(13)},(Z_6^{(13)}{)}^{-1},-Z_7^{(13)},(Z_8^{(13)}{)}^{-1},Z_9^{(12)},Z_{10}^{(12)},Z_{11}^{(12)},Z_{12}^{(12)})}$, — перший раунд розшифровки;
• ${\displaystyle (-Z_1^{(14-r)},(Z_5^{(14-r)}{)}^{-1},-Z_6^{(14-r)},(Z_7^{(14-r)}{)}^{-1},(Z_2^{(14-r)}{)}^{-1},-Z_3^{(14-r)},(Z_4^{(14-r)}{)}^{-1},-Z_8^{(14-r)},Z_9^{(13-r)},Z_{10}^{(13-r)},Z_{11}^{(13-r)},Z_{12}^{(13-r)})}$, — ${\displaystyle r}$-й парний раунд, ${\displaystyle r\in \{2,4,6,8,10,12\}}$;
• ${\displaystyle ((Z_1^{(13-r)}{)}^{-1},-Z_5^{(13-r)},(Z_6^{(13-r)}{)}^{-1},-Z_7^{(13-r)},-Z_2^{(13-r)},(-Z_3^{(13-r)}{)}^{-1},-Z_4^{(13-r)},(Z_8^{(13-r)}{)}^{-1},Z_9^{(12-r)},Z_{10}^{(12-r)},Z_{11}^{(12-r)},Z_{12}^{(12-r)})}$, — ${\displaystyle r}$-й непарний раунд, ${\displaystyle r\in \{3,5,7,9,11\}}$;
• ${\displaystyle ((Z_1^{(1)}{)}^{-1},-Z_2^{(1)},(Z_3^{(1)}{)}^{-1},-Z_4^{(1)},-Z_5^{(1)},(Z_6^{(1)}{)}^{-1},-Z_7^{(1)},(Z_8^{(1)}{)}^{-1})}$, — вихідні перетворення.

Нижче наводиться таблиця, яка містить розрахункову інформацію щодо можливих криптоатак. У ній розглядаються урізані алгоритми, кількість раундів можна побачити у відповідній колонці. За дані приймаються вибрані підібрані відкриті тексти, вказується необхідна кількість таких (в блоках). Час оцінюється в кількості обчислень. Пам'ять відображає кількість елементів пам'яті, необхідних для зберігання будь-яких даних під час криптоатаки. Як видно з таблиці, всі варіанти MESH більш складні для злому представленими криптоатаками, ніж IDEA, на якому він базується Шаблон:Sfn Шаблон:Sfn.

Шаблон:Reflist

• Шаблон:Статья
• Шаблон:Статья

Шаблон:Блочні алгоритми шифрування