Основы криптографии Учебное пособие - Алферов А.П.
ISBN 5-85438-025-0
Скачать (прямая ссылка):
в виде восьми последовательных 6-битовых блоков ,Bs:
Е(= В\ ...58.
Далее каждый из блоков Bj трансформируется в 4-бито-»
вый блок Bj с помощью подходящей таблицы ^^блока Sj, список которых приведен в табл. 11. "——
Преобразование блока Bj в Bj осуществляется сле-
дующим образом. Пусть, например, B2 равен 111010. Первый и последний разряды B2 являются двоичной записью числа a, 0 < a < 3 . Аналогично средние 4 разряда представляют число Ъ, 0 < 6 < 15 . В нашем примере a = 2, b = 13.
Строки и столбцы таблицы S2 пронумерованы числами а и Ъ. Таким образом, пара (а, Ъ) однозначно определяет число, находящееся на пересечении строки с номером а и столбца с номером b . В данном случае это число равно 3. Записывая его в двоичной форме, получаем B2, равный 0011. Значение f(Rt_^kl) теперь получается применением
перестановки битов P, заданной таблицей к результирую-
> і /
щему 32-битовому блоку Bx B2 ... B^.
215
fлава 8
Таблица 11
HOM E P СТОЛБ H А
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
H 0 14 4 13 1 2 15 И 8 3 10 6 12 5 9 0 7
1 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 Si
о 2 4 1 4 8 13 6 2 11 15 12 9 7 3 10 5 0
3 15 12 8 2 4 9 1 7 5 И 3 14 10 0 6 13
IVf 0 15 1 8 14 6 И 3 4 9 7 2 13 12 0 5 10
1 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 S7
E 2 0 14 7 И 10 4 13 1 5 8 12 6 9 3 2 15
3 13 8 10 1 3 15 4 2 И 6 7 12 0 5 14 9
P 0 10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8
1 13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1 Si
2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7
3 1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12
0 7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15
С 1 13 8 И 5 6 15 .0 3 4 7 2 12 1 10 14 9 S4
2 10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4
T 3 3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14
0 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9
P 1 14 И 2 12 4 7 13 1 5 0 15 10 3 9 8 6 Ss
2 4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14
О 3 И 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3
0 12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11
К 1 10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8 S6
2 9 14 15 5 2 8 12 3 7 0 4 10 1 13 1 6
И 3 4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13
0 4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1
1 13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 S7
2 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
3 6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
0 13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7
1 1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2 S8
2 7 И 4 1 9 12 14 2 0 6 10 13 15 3 5 8
3 2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11
216
Ьлочные системы шифрования
Таблица 12
16 7 20 21
29 12 28 17
1 15 23 26
5 18 31 10
2 8 24 14
32 27 3 9
19 13 30 6
22 11 4 25
На каждой итерации используется текущее значение ключа к{ (48 бит), получаемое из исходного ключа к следующим образом.
Сначала пользователи выбирают сам ключ к, содержащий 56 случайных значащих битов. Восемь битов, находящихся в позициях 8,16,...,64, добавляются в ключ таким образом, чтобы каждый байт содержал нечетное число единиц. Это используется для обнаружения ошибок при обмене и хранении ключей. Значащие 56 бит ключа подвергаются перестановке, приведенной в табл. 13.
Таблица 13
57 49 41 33 25 17 9
1 58 50 42 34 26 18
10 2 59 51 43 35 27
19 11 3 60 52 44 36
63 55 47 39 31 23 15
7 62 54 46 38 30 22
14 6 61 53 45 37 29
21 13 5 28 20 12 4
217
І лава 8
Эта перестановка определяется двумя блоками C0 и D0 по 28 бит в каждом (они занимают соответственно верхнюю и нижнюю половины таблицы). Так, первые три бита в C0 есть соответственно 57, 49, 41 биты ключа. Затем индуктивно определяются блоки C1 и Д, і = 1,16.
Если уже определены Ct_x и Д _j ,то С, и D1 получаются из них одним или двумя левыми циклическими сдвигами согласно табл. 14.
Таблица 14
і 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Число сдвигов 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1
Теперь определим ключи klf 1 < і < 16. Ключ kt состоит из 48 битов, выбираемых из битов блока C1D1 согласно таблице 15. Первыми тремя битами в kt являются биты 14, 17, 11 из блока C1D1. Отметим, что 8 из 56 бит (с номерами 9, 18, 22, 25, 35, 38, 43, 54) из C1D1 отсутствуют в к,.
Таблица 15
14 17 И 24 1 5
3 28 15 6 21 10
23 19 12 4 26 8
16 7 27 20 13 2
41 52 31 37 47 55
30 40 51 45 33 48
44 49 39 56 34 53
46 42 50 36 29 32
218
Ьлочные системы шифрования
Сделаем несколько замечаний.
Нелинейность преобразований, осуществляемых DES, определяется только S'-блоками. Их выбор не имеет достаточно обстоятельного обоснования. Высказывались мнения о том, что S'-блоки имеют некоторую “лазейку”, позволяющую осуществлять контроль за шифрованной перепиской. Официальная же версия такова. В 1976 г. АНБ заявило, что выбор S'-блоков определен следующими требованиями:
— каждая строка табличного задания каждого S'-блока должна являться перестановкой множества {О, I,..., 15};
—S-блоки не должны являться линейными или аффинными функциями своих входов;
— изменение одного бита входа S-блока должно приводить к изменению по крайней мере двух битов выхода;
— для каждого S-блока и любого входа х значение Sr(X) и S(x ® (0,0,1,1,0,0)) должны различаться по крайней мере двумя битами.
