Tiêu chuẩn Quốc gia TCVN 11367-3:2016 ISO/IEC 18033-3:2010 Công nghệ thông tin-Các kỹ thuật an toàn-Thuật toán mật mã-Phần 3: Mã khối

TIÊU CHUẨN QUỐC GIA

TCVN 11367-3:2016

ISO/IEC 18033-3:2010

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - THUẬT TOÁN MẬT MÃ - PHẦN 3: MÃ KHỐI

Information technology - Security techniques - Encryption algorithms - Part 3: Block ciphers

Lời nói đầu

TCVN 11367-3:2016 hoàn toàn tương đương với ISO/IEC 18033-3:2010.

TCVN 11367-3:2016 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 11367 Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã gồm 04 phần:

- TCVN 11367-1:2016 (ISO/IEC 18033-1:2015) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 1: Tổng quan.

- TCVN 11367-2:2016 (ISO/IEC 18033-2:2006) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 2: Mật mã phi đối xứng.

- TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối.

- TCVN 11367-4:2016 (ISO/IEC 18033-4:2011) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 4: Mã dòng.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - THUẬT TOÁN MẬT MÃ - PHẦN 3: MÃ KHỐI

Information technology - Security techniques - Encryption algorithms - Part 3: Block ciphers

1. Phạm vi áp dụng

Tiêu chuẩn này đặc tả các mã khối. Mã khối ánh xạ các khối n bit vào các khối n bit dưới sự kiểm soát của khóa có độ dài k-bit. Có tất cả bảy loại mã khối khác nhau được mô tả và chúng được phân loại trên bảng 1.

Bảng 1 - Đặc tả mã khối

Các thuật toán được đặc tả trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033), được gán cho các định danh đối tượng phù hợp với tiêu chuẩn ISO/IEC 9834. Danh sách các định danh đối tượng được đưa ra tại Phụ lục B. Bất kì sự thay đổi về đặc tính của thuật toán dẫn đến thay đổi hành vi chức năng chức năng và sẽ dẫn đến thay đổi định danh đối tượng mà thuật toán nhằm tới.

2. Thuật ngữ và định nghĩa

Trong tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa dưới đây:

2.1. Khối (block)

Xâu bit có độ dài xác định.

CHÚ THÍCH Trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033), độ dài khối hoặc là 64 hoặc 128 bit.

[ISO/IEC 18033-1:2005].

2.2. Mã khối (block cipher)

Hệ thống mã khối đối xứng, với tính chất là thuật toán mã hóa thao tác trên các khối bản rõ, tức các xâu bit có độ dài xác định, cho ra khối bản mã.

[ISO/IEC 18033-1:2005]

2.3. Bản mã (ciphertext)

Dữ liệu đã được biến đổi để che giấu nội dung thông tin trong đó.

[ISO/IEC 9798-1:1997]

2.4. Khóa (key)

Dãy các kí hiệu điều khiển thao tác của phép biến đổi mật mã (ví dụ, phép mã hóa và phép giải mã)

CHÚ THÍCH Trong tất cả các hệ mật mã được mô tả trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC-18033), khóa gồm một các dãy bit.

[ISO/IEC 11770-1:1996]

2.5. Mã khối n-bit (n-bit block cipher)

Mã khối với tính chất là các khối bản rõ và khối bản mã có độ dài n bit.

[ISO/IEC 10116:2006]

2.6. Bản rõ (plaintext)

Thông tin chưa được mã hóa

[ISO/IEC 9797-1:1999]

3. Các ký hiệu

4. Mã khối 64 bit

4.1. Tổng quan

Trong Điều này đặc tả bốn loại mã khối 64 bit: TDEA (hay "Ba DES" - "Triple DES") ở Điều 4.2, MISTY I ở Điều 4.3, CAST-128 ở Điều 4.4 và HIGHT ở Điều 4.5.

Người dùng được cấp quyền để tiếp cận dữ liệu đã mã hóa, sẽ nhận được khóa dùng để mã dữ liệu để giải mã dữ liệu. Thuật toán của bất kì hệ mật nào trong điều này, được thiết kế để mã hóa và giải mã các khối dữ liệu 64 bit, theo sự điều khiển của khóa 128 (hoặc 192 bit). Phép giải mã sử dụng cùng khóa của phép mã hóa.

4.2. TDEA

4.2.1. Thuật toán mã dữ liệu bội ba

Thuật toán mã dữ liệu bội ba (TDEA-Triple Data Encryption) là mật mã đối xứng, có thể xử lí các khối dữ liệu 64 bit, sử dụng khóa mật mã có độ dài 128 (hoặc 192) bit, trong đó 112 bit (hoặc 168 bit) có thể được chọn một cách tùy ý, các bit còn lại dùng để làm mã phát hiện sai. TDEA thường được biết đến như là DES bội ba (Triple - DES)

Phép mã hóa/giải mã TDEA là phép toán ghép các phép toán mã hóa và giải mã DES, ở đây thuật toán DES được đặc tả tại Phụ lục A. Khóa của TDEA gồm ba khóa DES.

4.2.2. Phép mã hóa/giải mã TDEA

4.2.2.1. Các định nghĩa mã hóa/giải mã

TDEA được xác định theo thuật ngữ của phép toán DES, ở đấy E_k là phép toán mã hóa của DES với khóa K và D_k là phép giải mã của DES với khóa K.

4.2.2.2. Phép mã hóa của TDEA

Phép biến đổi khối P 64 bit thành khối C 64 bit được xác định như sau:

.

4.2.2.3. Phép giải mã TDEA

Phép biến đổi khối C 64 bit thành khối P 64 bit được xác định như sau:

.

4.2.3. Tùy chọn khóa trong TDEA

Tiêu chuẩn này của TCVN 11367 (ISO/IEC 18033) xác định các tùy chọn khóa cho TDEA. Khóa TDEA gồm ba khóa (K₁, K₂, K₃).

1. Tùy chọn khóa 1: K₁, K₂ và K₃ là những khóa DES khác nhau;

2. Tùy chọn khóa 2: K₁ và K₂ là các khóa DES khác nhau, còn K₃ = K₁.

CHÚ THÍCH Tùy chọn khóa K₁ = K₂ = K₃ tương đương với DES-đơn không được khuyến cáo sử dụng. Ngoài ra nên sử dụng tùy chọn 1 hơn tùy chọn 2, vì tùy chọn 1 cung cấp mức an toàn bổ sung tại cùng hiệu năng thực thi (tham khảo thêm chi tiết b [3]).

4.3. MISTY1

4.3.1. Thuật toán MISTY1

Thuật toán MISTY1 là mã khối đối xứng, có thể xử lí các khối 64 bit sử dụng khóa mật mã độ dài 128 bit.

4.3.2. Phép mã hóa MISTYI

Phép mã hóa được chỉ ra trên Hình 1. Phép biến đổi khối 64-bit P thành khối 64-bit C được xác định như sau (KL, KO, và KI là các khóa):

(2) Với i = 1, 3,…, 7 (độ chênh lệch các giá trị liên tiếp nhau của i bằng 2 vì có hai vòng lặp):

với i = 9;

R_i = FL(L_i-1, KL_i)

L_i = FL(R_i-1, KL_i+1)

(3) C = L₉ ║R₉

4.3.3. Phép giải mã MISTY1

Phép toán giải mã được chỉ ra trên Hình 2 và giống như phép mã hóa, trừ hai sửa đổi sau đây:

(1) Tất cả hàm FL được thay bằng hàm ngược FL^-1 của chúng.

(2) Thứ tự áp dụng các khóa con được đảo lại.

4.3.4. Các hàm MISTRY1

4.3.4.1. Định nghĩa hàm MISTRY1

Thuật toán MISTRY1 sử dụng một số lượng hàm, đó là S₇, S₉, FI, FO, FL và FL^-1, các hàm này sẽ được định nghĩa dưới đây.

4.3.4.2. Hàm FL

Hàm FL được chỉ ra trên Hình 2 và chỉ áp dụng trong phép mã hóa. Hàm FL được xác định như sau (X và Y là dữ liệu, KL là khóa):

4.3.4.3. Hàm FL^-1

Hàm FL^-1 là hàm ngược của hàm FL, chỉ được áp dụng vào phép giải mã và được chỉ ra trên Hình 4. Hàm FL^-1 được xác định như sau (X và Y là dữ liệu, KL là khóa):

4.3.4.4. Hàm FO

Hàm FO trình bày trên Hình 5, được sử dụng trong mã hóa và giải mã. Hàm FO được xác định như sau (X và Y là dữ liệu, KO và KI là khóa):

4.3.4.5. Hàm Fl

Hàm Fl được sử dụng để mã hóa, giải mã và cho lược đồ khóa (schedule). Hàm Fl được trình bày trên Hình 6, ở đấy Extnd là phép toán mở rộng bằng các bit 0 gồm 7 đến 9 bit, bằng cách ghép 2 bit ở phía bên trái và Trunc là phép cắt hai bit phía bên trái. Hàm Fl được xác định như sau (X và Y là dữ liệu, KI là khóa):

4.3.4.6. Bảng tra cứu S₇ và S₉

S₇ là bảng tra cứu song ánh nhận đầu vào 7 bit và cho đầu ra 7 bit. S₉ là bảng tra cứu song ánh nhận đầu vào 9 bit và cho đầu ra 9 bit. Bảng 2 và 3 xác định các bảng tra cứu này ở dạng hệ đếm Hexa. S₇ và S₉ cũng có thể được mô tả dưới dạng đại số đơn giản trên trường GF(2) được chỉ ra tại Điều C.2.

Ví dụ, nếu đầu vào của S₇ là {53}, thì giá trị thay thế được xác định bởi giao của hàng "5" và cột "3" với chỉ số "3" trên Bảng 2. Kết quả S₇ nhận được giá trị {57}.

Bảng 2 - S₇

Bảng 3 - S₉

4.3.5. Lược đồ khóa MISTY1

Lược đồ khóa nhận khóa 128 bit K và đưa ra khóa con 128 bit K¹, như được chỉ ra ở hình dưới đây.

Lược đồ khóa được cho trên Hình 7.

Phép lập lược đồ khóa được định nghĩa như sau:

CHÚ THÍCH Khi giá trị hậu tố lớn hơn 8, thì trừ đi 8.

Hình 7- Lược đồ khóa MISTY1

4.4. CAST-128

4.4.1. Thuật toán CAST-128

Thuật toán CAST-128 là mã khối đối xứng, có thể xử lí các khối 64 bit, sử dụng khóa mật mã độ dài 128 bit với 16 vòng.

CHÚ THÍCH Độ dài khóa của phiên bản CAST-128 gốc thay đổi từ 40 đến 128 bit. Tuy nhiên trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC-18033) chỉ sử dụng phương án khóa 128 bit.

4.4.2. Mã hóa theo CAST-128

Phép biến đổi khối 64-bit P thành khối 64-bit C được xác định như sau (Km và Kr là khóa):

4.4.3. Giải mã CAST-128

Phép giải mã cũng tương tự như phép mã hóa đã mô tả ở trên, chỉ khác là các vòng (và các cặp khóa con) được sử dụng theo thứ tự ngược lại để tính (L₀, R₀) từ (R₁₆, L₁₆).

4.4.4. Các hàm CAST-128

4.4.4.1. Các cặp khóa vòng

CAST-128 sử dụng một cặp khóa con cho mỗi vòng: 32 bit Km được sử dụng như một khóa "mặt nạ" và 5-bit Kr được sử dụng như một khóa "hoán vị vòng".

4.4.4.2. Các f-hàm

Ba hàm vòng khác nhau được sử dụng trong phép mã hóa và phép giải mã, phụ thuộc vào số thứ tự của vòng. Các vòng như sau ("D" là đầu vào dữ liệu của f-hàm, và tương ứng "la" - "Id" tương ứng là các byte có có nghĩa nhất qua byte ít có nghĩa nhất của I).

Các vòng 1, 4, 7, 10, 13 và 16 sử dụng hàm f kiểu 1 (Type 1).

Các vòng 2, 5, 8, 11 và 14 sử dụng hàm f kiểu 2 (Type 2).

Các vòng 3, 6, 9, 12 và 15 sử dụng hàm f kiểu 3 (Type 3).

4.4.4.3. Các hộp thế

4.4.4.3.1. Các S-box S1 đến S8

Tám hộp thế được sử dụng: các S-box S1, S2, S3 và S4 là những S-box hàm vòng, S5, S6, S7 và S8 là những S-box lược đồ khóa.

4.4.4.3.2. S-Box S1

4.4.4.3.4. S-Box S3

4.4.4.3.5. S-Box S4

4.4.4.3.6. S-Box S5

4.4.4.3.7. S-Box S6

4.4.4.3.8. S-Box S7

4.4.4.3.9. S-Box S8

4.4.5. Lược đồ khóa CAST-128

CHÚ THÍCH Nửa còn lại giống với những gì được đưa ra ở trên, tiếp tục từ chuỗi cuối cùng được tạo ra x0...xF để sinh ra khóa K17-K32.

Bước tiếp theo được sử dụng để tạo ra mặt nạ khóa con và các khóa con hoán vị vòng.

Giả sử Km₁,...,Km₁₆ là các mặt nạ khóa con 32-bit (mỗi khóa một vòng), và Kr₁,..,Kr₁₆ là 32 bit các khóa con hoán vị (mỗi khóa một vòng); chỉ có 5 bit cuối cùng có trọng số thấp nhất được dùng trong mỗi vòng.

với i = 1 đến 16

Km_i = K_i

Kr_i = K_16+i

4.5. HIGHT

4.5.1. Thuật toán HIGHT

Thuật toán HIGHT là mã khối đối xứng, có thể xử lí các khối 64-bit sử dụng khóa mật mã độ dài 128-bit.

4.5.2. Phép mã hóa theo HIGHT

Phép mã hóa được chỉ ra trên Hình 8. Phép biến đổi khối 64-bit P thành khối 64-bit C được xác định như sau (WKi và SKi là các byte khóa trắng và các byte khóa con tương ứng được xác định trong 4.5.5):

(1) P = P₇ || P₆ || P₅ || P₄ || P₃ || P₂ || P₁ || P₀ (P_i là các bản rõ)

(2)

(3) với i = 0 tới 30

Với i = 31

(4)

(5) C = C₇ || C₆ || C₅ || C₄ || C₃ || C₂ || C₁ || C₀ (C_i là các bản mã)

Hình 8 - Thủ tục mã hóa theo HIGHT

4.5.3. Giải mã theo HIGHT

Phép toán giải mã cũng giống như phép toán mã hóa, trừ hai thay đổi sau đây:

(1) Tất cả phép toán  được thay thế bằng phép  trừ phép toán  nối SK_i và đầu ra của F₀.

(2) Thứ tự áp dụng WK_i và SK_i ngược với thứ tự trong mã hóa.

4.5.4. Các hàm HIGHT

4.5.4.1. Các hàm F₀ và F₁

Thuật toán HIGHT sử dụng hai hàm F₀ và F₁ được định nghĩa dưới đây.

4.5.4.2. Hàm F₀

Hàm F₀ được sử dụng để mã hóa và giải mã. Hàm F₀ được xác định như sau:

F₀ (x) = (x<<<₁) Å (x<<<₂) Å (x<<<₇)

4.5.4.3. Hàm F₁

Hàm F₁ được sử dụng để mã hóa và giải mã. Hàm F₁ được xác định như sau:

F₀ (x)= (x<<<₃) Å (x<<<₄) Å (x<<<₆)

4.5.5. Lược đồ khóa HIGHT

Phần lược đồ khóa nhận khóa chủ 128-bit K = K₁₅ ║K₁₄║…║K₀ và đưa ra 8 byte khóa trắng WK_i và 128 byte khóa con SK_i và xác định như sau.

với i = 0,1, 2, 3:

WK_i = K_i+12

với i = 4, 5, 6, 7

WK_i = K_i-4

128 khóa con được sử dụng để mã hóa và giải mã, mỗi vòng có bốn khóa con. Việc tạo các khóa con được xác định như sau:

(1) s₀ = 0, s₁ = 1, s₂ = 0, s₃ = 1, s₄ = 1, s₅ = 0, s₆ = 1

 d₀ = s₆ || s₅ ||s₄ ||s₃ ||s₂ ||s₁ ||s₀

(2) với i = 1 đến 127

s_i+6 = s_i+2 Å s_i-1

 d_i = s_i+6 || s_i+5 || s_i+4 || s_i+3 || s_i+2 ||s_i+1 ||s_i

(3) với i = 0 đến 7

với j = 0 đến 7

với j = 0 đến 7

5. Mã khối 128-bit

5.1. Mở đầu

Điều khoản này đặc tả ba mã khối: AES ở Điều 5.2, Camellia ở Điều 5.3, và SEED ở Điều 5.4

5.2. AES

5.2.1. Thuật toán AES

Thuật toán AES là mã khối đối xứng, có thể xử lí các khối dữ liệu 128 bit, sử dụng khóa mật mã độ dài 128,192 và 256 bit. Thuật toán AES còn được biết đến là Thuật toán Rijdael. Thuật toán AES có thể được sử dụng với ba độ dài khóa khác nhau như đã chỉ ra ở trên và do đó có ba tham chiếu là "AES - 128", "AES-192", và "AES-256".

Trong thuật toán AES, độ dài của khối đầu vào và đầu ra là 128 bit (4 từ). Độ dài của khóa K là 128, 192 và 256 bit. Số vòng, Nr, là 10, 12 và 14, tùy thuộc độ dài khóa, được mô tả trên Bảng 4.

Bảng 4 - Số vòng trong AES

Đối với cả hai phép mã hóa và giải mã, thuật toán AES sử dụng hàm vòng bao gồm bốn phép biến đổi khác nhau trên byte:1) phép thay thế byte sử dụng bảng thay thế (S-box), 2) dịch hàng của mảng Trạng thái bằng các phép bù khác nhau, 3) trộn dữ liệu trong mỗi cột của mảng Trạng thái, 4) bổ sung khóa vòng vào Trạng thái. Các phép biến đổi này (và các phép nghịch đảo của chúng) được mô tả trong Điều 5.2.4

Phép mã hóa và giải mã được mô tả tương ứng trong 5.2.2 và 5.2.3, lược đồ khóa tương ứng được mô tả trong 5.2.5

5.2.2. Phép mã hóa theo AES

Thuật toán AES gồm một dãy các phép toán được thực hiện trên mảng của các byte hai chiều, được gọi là Trạng thái. Trạng thái gồm bốn dòng byte, mỗi dòng chứa 4 byte. Trong mảng Trạng thái được kí hiệu bằng s, mỗi byte riêng biệt có hai chỉ số với số dòng r, 0 ≤ r < 4 và số cột c, với 0 ≤ c < 4. Trạng thái được kí hiệu là S = (s_r,c)

Khi bắt đầu quá trình mã hóa, 16 byte của Trạng thái được khởi tạo với p_i byte bản rõ, tính từ trên xuống dưới và từ trái sang phải và được minh họa trên Hình 9.

Hình 9 - Khởi đầu Trạng thái

Sau khi cộng khóa vòng ban đầu, Trạng thái được biến đổi bằng cách thực thi hàm vòng Nr lần, với vòng cuối khác một ít với Nr-1 vòng đầu. Nội dung cuối cùng của Trạng thái chính là bản mã đầu ra.

Phép mã hóa đầy đủ có thể được mô tả như sau:

Các phép biến đổi riêng biệt SubBytes(), ShifRows(), MixColumns (), AddRounkey() xử lí Trạng thái và được mô tả tại Điều 5.2.4. Tất cả Nr vòng đều giống nhau, trừ vòng cuối cùng không chứa phép biến đổi MixColumns (). Trong phép toán ở trên, mảng W_i chứa các khóa vòng được mô tả tại Điều 5.2.5

5.2.3. Phép giải mã AES

Tất cả các phép biến đổi sử dụng trong các phép mã hóa đều khả nghịch. Khi thực thi phép giải mã, dãy các phép biến đổi được sử dụng trong phép mã hóa vẫn được duy trì, nhưng thay bằng các phép biến đổi ngược như sau.

Phép giải mã đầy đủ có thể mô tả như sau:

Các phép biến đổi SuBytes^-1 (), ShifRows^-1 (), MixColumns^-1 () thực hiện xử lí Trạng thái và được mô tả tại Điều 5.2.4. Tất cả Nr vòng đều giống nhau, trừ vòng cuối không chứa phép biến đổi MixColumns^-1 (). Việc tính các khóa vòng W_i được mô tả tại Điều 5.2.5

5.2.4. Các phép biến đổi AES

5.2.4.1. Các phép biến đổi xác định cho AES

Thuật toán AES sử dụng các phép biến đổi Subytes (), Subytes¹ (), ShifRows (), ShifRows^-1 (), MixColumns (), MixColumns^-1 (), và AddRoundKey (), được mô tả dưới đây.

5.2.4.1. Phép biến đổi SubBytes ()

Phép biến đổi SubBytes () thực hiện thay thế mỗi byte Trạng thái s_i,j bởi giá trị mới s'_i,j, bằng cách sử dụng bảng thay thế (S-box) khả nghịch.

Hình 10 minh họa tác động của phép biến đổi SubBytes () lên bảng Trạng thái

Hình 10 - SubBytes () áp dụng S-box cho từng byte của Trạng thái.

S-box được sử dụng trong phép biến đổi SubBytes () và được trình bày theo hệ Hexa trên Bảng 5

Bảng 5 - Các S-box của AES

Ví dụ, nếu s_1,1 = {53} thì giá trị thay thế là giá trị nằm trên giao của hàng có chỉ số '5' và cột có chỉ số '3' của Bảng 5, điều này cho kết quả là s'_1,1 có giá trị {ed}.

5.2.4.3. Phép biến đổi SubBytes^-1 ()

SubBytes^-1 () là phép biến đổi nghịch đảo của phép biến đổi SubBytes(), trong đó S-box nghịch đảo được áp dụng cho từng byte của Trạng thái. Điều này đạt được bằng cách áp dụng phép biến đổi nghịch đảo được mô tả tại Điều 5.2.4.2

S-box nghịch đảo được sử dụng trong phép biến đổi SubBytes^-1 () được mô tả trong Bảng 6.

Bảng 6 - S-box nghịch đảo AES

5.2.4.4. Phép biến đổi ShifRows ()

Trong phép biến đổi ShifRows (), các byte ở ba dòng cuối của Trạng thái được dịch vòng lên một số lượng bytes khác nhau (offsets). Hàng thứ nhất, hàng 0 được giữ nguyên (không dịch chuyển).

Cụ thể, phép biến đổi ShiftRows () được thực hiện như sau:

S'_r,c = S_r,(c+r)mod4 với 0 < r < 4, và 0 ≤ c < 4, ở đây r là số thứ tự của hàng.

Theo đó sẽ các byte dịch chuyển sang trái (nghĩa là các giá trị thấp hơn của c trong một hàng cho trước), trong khi các byte phía trái ngoài cùng dịch vòng sang các vị trí phía phải ngoài cùng của hàng (tức là những giá trị cao hơn của c trong hàng cho trước)

Hình 11 mô tả phép biến đổi ShiftRows (), trong đó các byte được dịch vòng sang trái.

5.2.4.5. Phép biến đổi ShiftRows^-1 ()

ShiftRows^-1 () là phép nghịch đảo của phép biến đổi ShiftRows (). Các bytes trong ba dòng cuối của Trạng thái được dịch vòng lên một số lượng bytes khác nhau. Dòng thứ nhất, dòng 0 không dịch chuyển. Ba dòng dưới cùng được dịch vòng lên 4-r bytes, ở đây r là số thứ tự vòng.

Cụ thể, phép biến đổi ShiftRows^-1 () được thực hiện như sau:

S'_r,c = S_r,(c+r)mod4 với 0 < r < 4, và 0 ≤ c < 4

Hình 12 mô tả phép biến đổi ShiftRows^-1 ()

Hình 11 - ShiftRows () dịch vòng ba dòng cuối của Trạng thái

Hình 12 - Shiftrows^-1 () dịch vòng ba dòng cuối của Trạng thái.

5.2.4.6. Phép biến đổi MixColumns ()

Phép biến đổi MixColumns () thao tác trên Trạng thái, thay mỗi cột bằng cột khác. Các cột của Trạng thái được xem như những đa thức trên trường GF(2⁸) và được nhân modulo x⁴+1 với đa thức cố định a(x) cho trước, a(x) = {03}x³ + {01}x² + {01}x + {02}. Phép nhân này có thể viết dưới dạng phép nhân ma trận:

Kết quả của phép nhân trên là bốn byte trong cột được thay thế như sau:

Toán tử Å trong các biểu thức trên biểu thị phép cộng trong trường GF(2⁸), với phép cộng bit XOR. Phép nhân được thực hiện theo modulo của đa thức bất khả qui của trường. Trong trường hợp thuật toán AES đó là đa thức x⁸ + x⁴ + x³ + x + 1.

Hình 13 mô tả phép biến đổi MixColumns ().

Hình 13 - MixColumns () thao tác trên Trạng thái, thay cột bằng cột khác

5.2.4.7. Phép biến đổi MixColunms^-1 ()

MixColumns^-1 () là phép biến đổi nghịch đảo của phép biến đổi MixColumns (). MixColumns^-1 () thao tác trên Trạng thái, thay mỗi cột bằng cột khác. Phép biến đổi này có thể biểu diễn dưới dạng phép nhân ma trận, ở đấy mỗi byte được coi như một phần tử của trường hữu hạn GF(2⁸):

Kết quả của phép nhân là bốn byte trong mỗi cột được thay thế như sau:

5.2.4.8. Phép biến đổi AddRoundKey ()

Trong phép biến đổi AddRoundKey (), khóa vòng được cộng vào Trạng thái bằng phép cộng bit đơn giản XOR. Mỗi khóa vòng gồm bốn từ (128 bit) lấy từ lược đồ khóa (được mô tả tại 5.2.5). Bốn từ này được cộng vào cột Trạng thái như sau:

[s'_0,c, s'_1,c, s'_2,c, s'_3,c] = [s_0,c, s_1,c, s_2,c, s_3,c] Å [w_(4*i+c)] với 0 ≤ c ≤ 4

Ở đây, với 0 ≤ c ≤ 4 và w_(4*i+c) là các từ của lược đồ khóa thứ c của khóa vòng thứ i W_i = [w_(4*i), w_(4*i+1), w_(4*i+2), w_(4*i+3)] và i là giá trị thuộc khoảng 0 ≤ I ≤ Nr. Trong phép mã hóa, phép cộng khóa vòng ban đầu xảy ra khi i = 0, trước ứng dụng thứ nhất của hàm vòng. Việc áp dụng phép biến đổi AddRoundKey () cho Nr vòng của phép mã hóa xảy ra khi 1 ≤ i ≤ Nr.

Hoạt động của phép biến đổi AddRoundKey (), được minh họa trên Hình 14. Địa chỉ byte trong các từ của lược đồ khóa được mô tả trong 5.2.5

Hình 14 - AddRoundKey () cộng bit XOR từng cột của Trạng thái với mỗi từ lấy từ lược đồ khóa

5.2.5. Lược đồ khóa AES

Thuật toán AES nhận khóa mật mã K và thực hiện thủ tục mở rộng khóa để tạo ra lược đồ khóa. Việc mở rộng khóa tạo ra tổng cộng 4(Nr + 1) từ: Thuật toán đòi hỏi tập khởi đầu gồm 4 từ, và mỗi vòng Nr vòng đòi hỏi 4 từ dữ liệu khóa. Lược đồ khóa nhận được là một mảng tuyến tính gồm các từ 4-byte, kí hiệu là wj, với j nằm trong khoảng 0 ≤ j < 4(Nr + 1).

Việc mở rộng khóa đầy đủ cho AES-128 và AES-192 có thể được mô tả như sau:

Trong phép toán trên, vòng khóa W₀ đầu tiên được sử dụng trong phép cộng khóa khởi đầu, trực tiếp kết hợp với 4 từ của khóa mật K. Các cột 32-bit w_j của các khóa vòng còn lại được tạo ra theo phương pháp truy hồi. Phép biến đổi SubBytes* () thay thế bytes của từng cột riêng lẻ, cũng giống như phép biến đổi SubBytes () được mô tả tại ở 5.2.4.2. Phép biến đổi ShiftColumn () là dịch vòng lên phía trên một byte. Các hằng  là những cột 4-byte cố định, được xác định dưới dạng (02^i-1, 00, 00, 00)^T với {02} biểu diễn phần tử x trong trường GF(2⁸) (sử dụng cùng đa thức bất khả qui x⁸ + x⁴+ x³+ x + 1).

Phép mở rộng khóa đầy đủ cho AES-256 có thể được mô tả như sau:

Trong phép toán trên K₀ và K₁ biểu thị hai nửa của khóa mật mã K256-bit.

5.3. Camellia

5.3.1. Thuật toán Camellia

Thuật toán Camellia là mã đối xứng có thể xử lí các khối 128 bit, sử dụng khóa mật mã độ dài 128,192 và 256 bit. Giao diện cũng tương tự như của thuật toán AES.

5.3.2. Phép mã hóa Camellia

5.3.2.1. Khóa 128-bit

Quá trình mã hóa với khóa 128 bit làm việc trên 18 vòng, được chỉ ra trên Hình 15. Phép biến đổi khối 128-bit P vào khối 128-bit C được xác định như sau (L và R là các biến với độ dài 64-bit, kw, k và kl là các khóa vòng độ dài 64-bit):

Hình 15 - Thủ tục mã hóa của Camellia cho khóa 128 bit

5.3.2.2. Khóa 192-bit và 256-bit

Quá trình mã hóa với khóa 192 bit hoặc khóa 256-bit làm việc trên 24 vòng, được chỉ ra trên Hình 16. Phép biến đổi khối 128 bit P vào khối 128-bit C được định nghĩa như sau (L và R là các biến độ dài 64 bit, kw, k và kl là các khóa vòng 64 bit):

5.3.3. Phép giải mã Camellia

5.3.3.1. Khóa 128-bit

Quá trình giải mã cho khóa 128 bit được chỉ ra trên Hình 17, và cũng giống như trong phép giải mã, chỉ khác là vị trí và thứ tự các khóa vòng được đảo lại.

Phép giải mã được xác định như sau:

Hình 16 - Thủ tục mã hóa Camellia cho khóa 192 và 256 bit

Hình 17 - Thủ tục giải mã Camellia cho khóa 128 bit

5.3.3.2. Khóa 192 và 256 bit

Quá trình giải mã cho khóa 192 bit và 256 bit được chỉ ra trên Hình 18, và là như nhau trong phép mã hóa, chỉ khác là vị trí và thứ tự các khóa vòng được đảo lại.

Phép giải mã được xác định như sau:

5.3.4. Các hàm Camellia

5.3.4.1. Các hàm xác định

Thuật toán Camellia sử dụng một số hàm, cụ thể là các hàm F, FL, FL^-1 và các S-box.

5.3.4.2. F-hàm

F-hàm được chỉ ra trên Hình 19. F-hàm bao gồm phép toán cộng bit XOR, tiếp đó áp dụng tám S-box song song kích thước 8x8 bit, tiếp theo tầng khuếch tán (P-hàm). x_j, y_j, z_j, z'_j là các biến, mỗi biến 8 bit; các biến L_i, k_i, L'_i là các biến 64 bit. Đầu vào 64 bit L_i trước hết được cộng XOR với khóa vòng 64-bit k_i, sau đó được chia thành 8 đoạn 8-bit y_j, như sau:

y₁║y₂║y₃║y₄║y₅║y₆║y₇║y₈║ = L_i Å k_i

ở đây,

L_i = x₁║x₂║x₃║x₄║x₅║x₆║x₇║x₈║

Mỗi y_j sau đó được đi qua S-box kích thước 8x8 bit s_t để đưa ra 8 phân đoạn độ dài 8 bit z_j, ở đây

z₁ = s₁[y₁], z₂ = s₂[y₂], z₃ = s₃[y₃], z₄ = s₄[y₄], z₅ = s₂[y₅], z₆ = s₃[y₆], z₇ = s₄[y₇], z₈ = s₁[y₈].

8 phân đoạn 8-bit z_j được tác động bởi P-hàm, là lớp khuếch tán cho ra 8 phân đoạn 8-bit z'_j, trong đó

Hình 18 - Thủ tục giải mã Camella cho khóa 192 và 256 bit

Hình 19 - F-hàm

P-hàm có thể được biểu diễn cách khác, dưới dạng véc tơ ma trận như sau:

ở đây:

Sau đó đầu ra 64-bit của F-hàm L'_i được thiết lập bằng cách ghép các biến 8-bit z'_j:

L'_i = z'₁║z'₂║z'₃║z'₄║z'₅║z'₆║z'₇║z'₈║

5.3.4.3. FL-hàm

FL-hàm được chỉ ra trên Hình 20. FL-hàm được xác định như sau (X và Y là dữ liệu 64-bit, kl là khóa vòng 64 bit, X_L, X_R, Y_L, Y_R, kl_iL, kl_iR có độ dài 32-bit)

Hình 20- Hàm FL

5.3.4.4. FL^-1-hàm

FL^-1-hàm được chỉ ra trên Hình 21. FL^-1-hàm được xác định như sau (X và Y là dữ liệu 64-bit, kl là khóa vòng, X_L, X_R, Y_L,Y_R, kl_iL, kl_iR có độ dài 32-bit)

Hình 21 - FL^-1-hàm

5.3.4.5. Các S-box

5.3.4.5.1. Các S-box s₁ đến s₄.

S-box s₁, s₂, s₃ và s₄ được đưa ra tại các Điều khoản con dưới đây. Các S-box này nhận đầu vào 8-bit và cho đầu ra 8-bit, có thể được mô tả dưới dạng đại số đơn giản. Dạng đại số của s₁, được cho tại Điều C.3.

5.3.4.5.2. S-box s₁

s₁ được đưa ra như sau:

s_1: y = h(g(f(c5Åx)))Å 6e

ở đây các phép toán f, g và h nhận đầu và 8-bit a = a₁║a₂║a₃║a₄║a₅║a₆║a₇║a₈, và cho các giá trị đầu ra 8-bit b = b₁║b₂║b₃║b₄║b₅║b₆║b₇║b₈, ở đây a_i và b_i là các giá trị 1-bit, f là hoán vị affine của đầu vào, g là phép nghịch đảo trên trường GF(2⁸) và h là phép biến đổi afine của đầu ra.

Ví dụ, đầu vào của s₁ là {53}, thì giá trị thay thế có thể được xác định bởi giao của dòng ‘5’ và cột ‘3’ trên Bảng 7, kết quả cho giá trị s₁ = {c₂}.

5.3.4.5.3. S-box s₂

s₂ được chỉ ra trên Bảng 8 và có cấu trúc như sau:

s₂: y = s₁(x) <<<₁.

5.3.4.5.4. S-box s₃

s₃ được chỉ ra trên Bảng 9 và có cấu trúc như sau:

s₃: y = s₁(x)<<<₇

5.3.4.5.5. S-box s₄

s₄ được chỉ ra trên Bảng 10 và có cấu trúc như sau:

s₄: y = s₁ (x<<<₁).

5.3.5. Lược đồ tạo khóa Camellia

Lược đồ tạo khóa được chỉ ra trên Hình 22 và các Bảng 12 và 13. Với phiên bản 128 bit khóa, khóa K là khóa 128-bit K_L, khóa 128-bit K_R được đặt tất cả các bit bằng 0, như vậy:

K = K_L K_R = 0

Với phiên bản 192 bit khóa, khóa K là khóa 128-bit K_L và 64 bit trái nhất K_R, K_RL, với 64 bit phải nhất K_R, K_RR được đặt phủ định theo từng bit của 64 bit trái nhất của K_R và K_RL. Như vậy,

K = K_L║K_RL, K_RR = , K_R = K_RL║K_RR

Với phiên bản 256 bit, khóa K là khóa 128-bit K_L và khóa 128-bit K_R. Như vậy,

K = K_L║K_R

Lược đồ tạo khóa sử dụng F-hàm của mô-đun mã hóa, và là giống nhau cho cả phép mã hóa và giải mã. Khóa K được mã bằng các phương tiện của F-hàm, sử dụng các hằng của lược đồ tạo khóa, ở đấy các hằng  å_i, được xác định như những giá trị liên tục từ biểu diễn trong hệ Hexa của căn bậc hai số nguyên tố thứ i. Tiếp đó các khóa vòng được tạo, một phần tử những giá trị được dịch vòng của khóa K (ở đây K bằng K_L, K = K_L║K_RL or K_L║K_R tương ứng với phiên bản khóa 128-bit, 192-bit hoặc 256- bit) và phần còn lại từ các giá trị được dịch vòng của các khóa “được mã hóa” K_A và K_B (ở đây K_A, K_B có độ dài 128 bit).

Hình 22 - Phần chính của lược đồ khóa

Đối với phiên bản khóa 128-bit, đầu ra của phần chính của lược đồ tạo khóa là khóa con 128-bit K_A, tương ứng bỏ qua phía phải của hình 22 và khóa K_B không được tạo ra hoặc không được sử dụng. Đối với phiên bản khóa 192-bit và 256-bit, đầu ra của phần chính của lược đồ tạo khóa là khóa con 128 bit K_A và với khóa con 128-bit K_B. Lược đồ tạo khóa bao gồm hai hoặc ba phép toán 2-vòng cho các phiên bản khóa 128 bit hoặc 192/256 bit tương ứng. Mỗi phép toán 2 vòng được "khóa hóa" bằng một cặp hằng å_i.

Đầu vào 128-bit của phép toán 2-vòng thứ nhất nằm bên trái của Hình 22 là K_LÅK_R và phép toán này được "khóa hóa" bởi hai hằng 64-bit å₁ và å₂. Tiếp đó đầu ra 128-bit từ phép toán 2-vòng thứ nhất được cộng bit XOR với K_L trước khi là đầu vào của phép toán 2-vòng thứ hai ở bên trái Hình 22. Phép toán 2-vòng thứ hai này được "khóa hóa" bởi các hằng 64 bit là å₃ và å₄. Đầu ra 128-bit của phép toán 2-vòng thứ hai là K_A. Với các phiên bản khóa 192-bit hoặc 256-bit thì sau đó K_A lại được XOR với khóa con 128-bit trước khi kết quả thu được làm đầu vào của phép toán 2-vòng thứ ba được chỉ ra ở phía phải của Hình 22. Phép toán 2-vòng thứ ba này được "khóa hóa" bởi hai hằng 64 bit là å₅ và å₆. Đầu ra 128 bit của phép toán 2-vòng thứ ba này là K_B.

Phép toán lập lược đồ tạo khóa đầy đủ được mô tả như sau (K_a, K_A và K_B có độ dài 128 bit):

ở đây đầu vào 128-bit cho 2RoundFeistel là tách thành hai phần 64-bit L₀║R₀ đầu ra 128-bit từ 2RoundFeistel cũng được tách thành hai phần 64 bit L₂║R₂ và cả hai đầu vào "khóa vòng" 64-bit của 2RoundFeistel là å_i và å_i+1.

2RoundFeistel được mô tả như sau:

Các hằng của lược đồ khóa 64-bit được xác định trên Bảng 11

Cuối cùng, các khóa vòng 64-bit, k, kw,và kl được dẫn xuất từ các khóa con 128-bit, K_L, K_R, K_A và K_B.

Bảng 12 dành cho phiên bản 128-bit và Bảng 13 - phiên bản 192 hoặc 256-bit

5.4. SEED

5.4.1. Thuật toán SEED

Thuật toán SEED là mã khối đối xứng có thể xử lí khối dữ liệu 128 bit, sử dụng khóa mật mã độ dài 128 bit.

5.4.2. Phép mã hóa SEED

Phép toán mã hóa được chỉ ra trên Hình 23. Phép biến đổi khối dữ liệu 128-bit P thành khối dữ liệu 128-bit C được xác định như sau (K là khóa):

Hình 23 - Cấu trúc của SEED

5.4.3. Phép giải mã SEED

Giải mã cũng giống như phép mã hóa đã mô tả ở trên, chỉ khác là các vòng (và các khóa con) được sử dụng theo thứ tự ngược lại để tính (L₀, R₀) từ (R₁₆, L₁₆)

5.4.4. Các hàm của SEED

5.4.4.1. Hàm vòng F

Hàm vòng F chỉ ra trên Hình 24 và được định nghĩa như sau (C và D là dữ liệu, K là khóa)

Hình 24 - Hàm vòng F

5.4.4.2. Hàm G

Hàm G chỉ ra trên Hình 25 có hai tầng: một tầng của hai S-box kích thước 8x8 và một tầng hoán vị khối của 16 khối con 8 bit.

Đầu ra a', b', c', d' của hàm G với bốn đầu vào 8-bit a, b, c, d được xác định như sau:

Ở đây, m₀ = {fc}, m₁ = {f3}, m₂ = {cf}, m₃ = {3f},

Hình 25 - Hàm G

5.4.4.3. S-box

Hai S-box S₁, S₂ là một phần của hàm G và được định nghĩa như sau:

Trong đó n₁ = 247, n₂ = - 251, b₁ = 169, b₂ = 56 và

Lưu ý rằng A⁽ⁱ⁾ •  Å b_i là phép biến đổi afine của . Với x bất kì thuộc , x có thể biểu diễn dưới dạng véc tơ nhị phân x = (x₇,...,x₀) (do đó x  = x₇2⁷ + x₆2⁶ +...+ x₁2 + x₀). Chúng ta sử dụng đa thức nguyên thủy p(x) = x⁸ + x⁶ +...+ x + 1 để biểu diễn lại  trong .

Các S-box S₁ và S₂ được mô tả tại Bảng 14 và 15.

Bảng 14 - S₁ - hộp

Bảng 15 - S₂ - hộp

5.4.5. Lược đồ tạo khóa SEED

Lược đồ tạo khóa tạo các khóa con cho mỗi vòng. Lược đồ khóa sử dụng hàm G, các phép cộng/trừ và các phép dịch vòng (sang trái/ sang phải). Khóa đầu vào 128-bit được chia thành thành bốn khối 32- bit (a, b, c, d) và hai khóa con 32-bit của vòng thứ nhất k_1,0 và k_1,1 được tạo như sau:

k_1,0 = G(a + c - KC₀), k_1,1 = G(b + kC₀ - d)

Hai khóa con 32-bit của vòng thứ hai, k_2,0 và k_2,1 được tạo từ khóa đầu vào bằng cách dịch vòng 64 bit đầu tiên (a║b) sang phải 8-bit như sau:

Hai khóa con của vòng thứ ba, k_3,0 và k_3,1 được tạo từ khóa đầu vào bằng cách dịch vòng 64-bit cuối cùng (c║d) sang trái 8-bit như sau:

Các khóa con còn lại được tạo theo phương pháp lặp như sau:

(1) với i =1 đến 16

Ở đây các hằng KC_i (được mô tả ở Bảng 16) được tạo từ một phần của tỉ số vàng

Bảng 16 - Các hằng KC_i (ở dạng Hexa thập phân)

PHỤ LỤC A

(Quy định)

MÔ TẢ DES

A.1. Mở đầu

Thuật toán DES là mã khối đối xứng có thể xử lí các khối dữ liệu 64 bit, sử dụng khóa bí mật độ dài 64 bit. Mỗi bit thứ tám của khóa mật mã thường được sử dụng để kiểm tra tính chẵn lẻ và được bỏ qua.

A.2. Phép mã hóa DES

Phép mã hóa được chỉ ra trên Hình A.1

Bản rõ 64-bit trước hết được biến đổi qua hoán vị ban đầu IP. Sau đó khối được chia thành hai nửa L₀ và R₀, mỗi nửa gồm 32 bit. Tiếp đó thực hiện 16 vòng biến đổi giống nhau được gọi là hàm f, trong đó dữ liệu được kết hợp với khóa. Trong mỗi vòng, nửa phải là đầu vào của hàm f được khóa hóa, hàm này nhận đầu vào 32 bit và khóa con 48 bit K_i và cho đầu ra 32-bit. Đầu ra này tiếp đó được XOR với nửa trái để tạo ra nửa trái mới đã được biến đổi. Tại phần cuối của mỗi vòng, trừ vòng cuối cùng, hai nửa trái và phải đổi chỗ cho nhau để tạo ra L_i và R_i tương ứng. Sau khi thực hiện vòng cuối cùng, hai nửa trái và phải được ghép lại với nhau và khối 64-bit nhận được lại được biến đổi qua phép hoán vị cuối IP^-1 là hoán vị nghịch đảo của hoán vị ban đầu IP. Đầu ra là bản mã 64-bit.

Phép mã hóa được xác định như sau (P và C là dữ liệu, K_i khóa).

A.3. Phép giải mã DES

Phép giải mã cũng giống như phép mã hóa. Sự khác nhau chỉ ở chỗ, các khóa con K_i được sử dụng theo thứ tự ngược lại.

A.4. Các hàm DES

A.4.1. Phép hoán vị ban đầu IP

Phép hóa vị ban đầu IP được chỉ ra tại Bảng A.1. Hoán vị này nhận đầu vào 64-bit và cho đầu ra 64-bit, theo đó bit thứ nhất được hoán vị thành bit thứ 58, bit thứ hai thành bit thứ 50, v.v, bit cuối cùng thành bit thứ 7.

Bảng A.1 - Hoán vị khởi tạo

Hình A1 - Thủ tục mã hóa

A.4.2. Hoán vị nghịch đảo IP^-1

Hoán vị nghịch đảo IP^-1 được chỉ ra trên Bảng A.2, nhận đầu vào 64-bit và cho đầu ra 64-bit. Đầu ra của Thuật toán nhận bit thứ 40 của khối đầu ra trước đó làm bit thứ nhất, bit thứ 8 làm bit thứ hai, v.v và bit thứ 25 của khối đầu ra trước đó làm bit cuối cùng.

Bảng A.2 - Hoán vị đầu nghịch đảo IP^-1

A.4.3. Hàm f

Hàm f được chỉ ra trên Hình A.2

Hàm f nhận đầu vào 32 bit R và mở rộng thành R' có độ dài 48-bit bằng cách sử dụng phép hoán vị mở rộng E. Sau đó 48-bit R' được XOR với khóa con 48-bit K, thu được dữ liệu 48-bit, dữ liệu này được viết thành 8 khối, mỗi khối 6-bit, bằng cách chọn các bit đầu vào của nó theo một thứ tự được qui định trên bảng. Các hàm được chọn duy nhất đó được gọi là các S - hộp, S₁, S₂,…, S₈, nhận đầu vào là các khối 6-bit r_i và cho đầu ra là các khối 4-bit S_i(r_i). Hàm hoán vị P cho đầu ra 32-bit R'''' từ đầu vào 32-bit R''' bằng cách hoán vị các bit của khối đầu vào. R'''' là đầu ra của hàm f.

Hàm f do đó được xác định như sau (P và C là dữ liệu, K_i là khóa)

Hình A.2 - Tính f(R, K)

A.4.4. Hoán vị mở rộng E

Hoán vị mở rộng E được chỉ ra trên Bảng A.3. Hoán vị E nhận đầu vào 32- bit và cho đầu ra 48-bit. Ba bit đầu tiền của E là các bit ở các vị trí 32, 1 và 2, hai bit cuối ở các vị trí 32 và 1.

Bảng A.3 - Hoán vị mở rộng E

A.4.5. Hoán vị P

Hoán vị P được chỉ ra trên Bảng A.4. Hoán vị P nhận đầu vào 32-bit và cho đầu ra 32-bit. Đầu ra P(L) của hàm P được xác định bởi Bảng A.4, thu được từ đầu vào L bằng cách lấy bit thứ 16 của L làm bit thứ nhất của P(L), bit thứ bảy làm bit thứ hai của P(L), v.v và bit thứ 25 của L làm bit thứ 32 của P(L).

Bảng A.4 - Hoán vị P

A.4.6. S-box

S-box được chỉ ra trên Bảng A.5. Mỗi S-box có 6- bit đầu vào và 4-bit đầu ra.

Nếu S₁ là hàm được xác định trên bảng và B là khối 6-bit, thì S₁(B) được xác định như sau: các bit đầu tiên và cuối cùng của B được biểu diễn theo cơ số 2 là một số nằm trong khoảng từ 0 đến 3. Giả sử số đó là i. Bốn bit giữa của B được biểu diễn theo cơ số 2 là số nằm trong khoảng từ 0 đến 15. Giả sử số đó là j. Trên bảng đó là số nằm trên hàng thứ i và cột thứ j. Đó là số nằm trong khoảng từ 0 đến 15, và được biểu diễn duy nhất bởi khối 4-bit. Khối này là đầu ra S₁(B) của S₁ ứng với đầu vào B. Ví dụ, với đầu vào 011011, hàng được biểu diễn bởi 01 là hàng 1, cột được xác định bởi 1101 là cột 13. Nằm trên giao của hàng 1 và cột 13 là số 5, do đó đầu ra là 0101.

Bảng A.5 - Các S-box

A.5. Lược đồ tạo khóa DES

Phần lược đồ khóa DES được chỉ ra trên Hình A.3. Lược đồ này nhận khóa 64-bit khóa KEY và cho ra 16 khóa con 48-bit K₁, K₂,……, K₁₆.

Trong đó K_n, với 1 ≤ n < 16 là khối 48-bit trong bước (2) của thuật toán. Bởi vậy để mô tả KS chỉ cần mô tả việc tính toán của K_n từ KEY với n = 1,2..., 16. Việc tính toán này được mô tả trên Hình A.3. Do đó để xác định đầy đủ KS, chỉ cần mô tả hai lựa chọn hoán vị, cũng giống như lược đồ chuyển dịch sang trái. Một bit trong byte 8-bit của KEY có thể được khởi động để phát hiện lỗi trong tạo khóa, phân phối và lưu trữ khóa. Các bit 8, 16,…, 64 được sử dụng để bảo đảm là mỗi byte có tính chất lẻ. Lựa chọn hoán vị 1 được xác định bởi Bảng A.6

Bảng A.6 - Hoán vị khóa PC-1

Bảng trên được chia thành hai phần, phần thứ nhất xác định cách chọn các bit trong C₀, phần thứ hai xác định cách chọn các bit trong D₀. Các bit của KEY được đánh số từ 1 đến 64. Các bit trong C₀ tương ứng là 57, 49, 41,…, 44 và 36 của KEY, còn các bit trong D₀ là các bit 63, 55, 47,.., 12 và 4 của KEY. Với C₀ và D₀ đã xác định, có thể xác định được C_n và D_n từ C_n-1 và D_n-1, tương ứng với n = 1, 2,..., 16. Điều này đạt được bằng cách tuân thủ vào lược đồ phép dịch sang trái các khối riêng lẻ sau:

Bảng A.7 - Số các bit khóa được dịch chuyển của mỗi vòng

Ví dụ, C₃ và D₃ thu được từ C₂ và D₂ tương ứng bằng hai dịch chuyển sang trái, và C₁₆ và D₁₆ thu được từ C₁₅ và D₁₅ tương ứng bằng một lần dịch sang trái. Trong tất cả các trường hợp, việc dịch một lần sang trái được hiểu là dịch các bit sang trái một vị trí sao cho sau một lần dịch các bit ở 28 vị trí là các bit trước đó ở vị trí 2, 3,..., 28, 1. Việc chọn hoán vị 2 được xác định trên Bảng A.8

Bảng A.8 - Hoán vị nén PC-2

Bởi vậy bit thứ nhất của K_n là bit thứ 14 của C_nD_n, bit thứ hai là bit thứ 17, v.v, bit thứ 47 là bit thứ 29, bit thứ 48 là bit thứ 32.

Hình A.3 - Tính toán lược đồ khóa

PHỤ LỤC B

(Quy định)

ĐỊNH DANH ĐỐI TƯỢNG

Phụ lục này liệt kê các định đanh đối tượng được gán cho các Thuật toán đã được mô tả trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033).

CHÚ THÍCH

Trong các ứng dụng, nơi tổ hợp các thuật toán được sử dụng để cung cấp dịch vụ an toàn hoặc khi thuật toán được tham số hóa bằng sự lựa chọn tổ hợp các thuật toán khác thì tổ hợp này có thể được xác định như là dãy các định danh đối tượng được gán cho các thuật toán này hoặc bao gồm cả các định đanh của các thuật toán ở tầng thấp hơn (ví dụ bằng việc xác định định danh đối tượng của cơ chế bọc khóa như một tham số trong cấu trúc định danh thuật toán xác định thuật toán mã hóa lai). Cấu trúc định danh thuật toán được xác định trong ISO/IEC 9594-8.

PHỤ LỤC C

(Quy định)

DẠNG ĐẠI SỐ CỦA MISTY1 VÀ CÁC S-BOX CAMELLIA

C.1. Mở đầu

Trong MISTY1 và các thuật toán Camellia, các S-box có thể được mô tả tương ứng bằng các dạng đại số sau đây.

C.2. S-box trong MISTY1

C.2.1. Các S-box S₇ và S₉

Điều này mô tả các dạng đại số trên trường GF(2) của S₇ và S₉ trong thuật toán MISTY1

Ví dụ, nếu đầu vào của S₇ là {53}, khi đó X = (x₆, x₅, x₄, x₃, x₂, x₁, x₀) = (1, 0, 1, 0, 0, 1, 1). Giá trị thay thế có thể lấy bằng dạng đại số trên Hình C.1 và từ Y = (y₆, y₅, y₄, y₃, y₂, y₁, y₀) = (1, 0, 1, 0, 1, 1, 1). Kết quả cho ta giá trị S₇ = {57}

C.2.2. MISTY1 S-box S₇

Bảng C.1 - Dạng đại số của S₇

C.2.3. MISTY1 S-box S₉

Bảng C.2 - Dạng đại số của S₉

C.3. Các S-box Camellia

Điều này mô tả các dạng đại số trên trường GF(2⁸) của S-box trong Thuật toán Camellia.

s₁ được cho như sau (đầu vào là x và đầu ra là y):

s₁: y = h(g(f(c5Åx)))Å 6e

Ở đây các phép toán f, g và h nhận đầu vào 8-bit a = a₁║a₂║a₃║a₄║a₅║a₆║a₇║a₈║ và 8-bit đầu ra b = b₁║b₂║b₃║b₄║b₅║b₆║b₇║b₈║, a_i và b_i là các giá trị 1-bit, f là hoán vị affine của đầu vào, g là phép nghịch đảo trên trường GF(2⁸) và h là biến đổi afine của đầu ra.

Trong phương trình trên, các phép toán f, g và h được mô tả dưới dạng đại số như sau:

f:

g:

g là phép nghịch đảo trong trường GF(2⁸), giả thiết  = 0, ở đây b là phần tử trong trường GF(2⁸) thỏa mãn điều kiện b⁸ + b⁶ + b⁵ + b³ + 1= 0 và a = b²³⁸ = b⁶ +b⁵ +b³ + b² là phần tử trong trường GF(2⁴) thỏa mãn a⁴ + a + 1 = 0

h:

PHỤ LỤC D

(Tham khảo)

VÉC TƠ KIỂM TRA

D.1. Mở đầu

Phụ lục này cung cấp các véc tơ kiểm tra cho TDEA, MISTY1, CAST-128, HIGHT, AES, Camellia và SEED. Trong các ví dụ này, tất cả dữ liệu được biểu diễn dưới dạng Hexa.

D.2. Véc tơ kiểm tra TDEA

D.2.1. Mã hóa TDEA

Với đầu vào đã cho (bản rõ và khóa), đầu ra (bản mã) được mô tả như sau:

Bảng D.1 - Các ví dụ của mã hóa TDEA

D.2.2. Mã hóa và giải mã DES

D.2.2.1. Đầu vào và khóa đầu ra

Đầu vào và đầu ra của mỗi thuật toán DES được mô tả với các khóa sau:

D.2.2.2. Phép mã hóa TDEA (DES mã hóa - giải mã - mã hóa)

Bảng D.2 - Ví dụ thứ nhất của phép mã hóa TDEA

Bảng D.3 - Ví dụ thứ hai của phép mã hóa TDEA

Bảng D.4 - Ví dụ thứ ba của phép mã hóa TDEA

D.2.2.3. Phép giải mã TDEA (DES giải mã - mã hóa - giải mã)

Bảng D.5 - Ví dụ thứ nhất của phép mã hóa TDEA

Bảng D.6 - Ví dụ thứ hai của phép mã hóa TDEA

Bảng D.7 - Ví dụ thứ ba của phép mã hóa TDEA

D.3. Véc tơ kiểm tra MISTY1

Với đầu vào đã cho (bản rõ và khóa), đầu ra (bản mã và khóa con) được mô tả như sau:

Bảng D.8 - Ví dụ của phép mã hóa MISTY1

D.4. Véc tơ kiểm tra CAST-128

Với đầu vào đã cho (bản rõ và khóa), đầu ra (bản mã) được mô tả như sau:

Bảng D.9 - Ví dụ của phép mã hóa CAST-128

D.5. Véc tơ kiểm tra HIGHT

Bảng D.10 - Ví dụ của phép mã hóa HIGHT

D.6. Véc tơ kiểm tra AES

D.6.1. Mã hóa AES

D.6.1.1. Mở đầu

Với đầu vào đã cho (bản rõ và khóa), đầu ra (bản mã) được mô tả như sau:

D.6.1.2. Khóa 128 bit

Bảng D.11 - Ví dụ của phép mã hóa AES với 128 bit khóa

D.6.1.3. Khóa 192 bit

Bảng D.12- Ví dụ của phép mã hóa với 192 bit khóa

D.6.1.4. Khóa 256 bit

Bảng D.13 - Ví dụ của phép mã hóa với 256 bit khóa

D.6.2. Ví dụ mở rộng khóa

Điều này chỉ ra sự phát triển của việc sử dụng lược đồ khóa

Các giá trị trung gian của khóa được đưa sinh ra trong quá trình phát triển của lược đồ khóa như sau (tất cả các được định dạng Hexa, trừ cột chỉ số (I)).

Bảng D.14 - Ví dụ mở rộng của khóa

D.6.3. Ví dụ mật mã

Biểu đồ sau chỉ ra các giá trị mảng Trạng thái như một tiến trình mật mã cho mỗi khối, khóa mật mã 16 byte.

Các giá trị vòng khóa được lấy từ ví dụ mở rộng khóa trong D.6.2

Bảng D.15 - Ví dụ mật mã

D.7. Véc tơ kiểm tra Camellia

D.7.1. Mở đầu

Với đầu vào đã cho (bản rõ và khóa), đầu ra (bản mã và khóa con) được mô tả như sau:

D.7.2. Phép mã hóa Camellia

D.7.2.1. Khóa 128 bit

Bảng D.16 - Ví dụ của phép mã hóa Camellia với 128 bit khóa

D.7.2.2. Khóa 192 bit

Bảng D.17 - Ví dụ của phép mã hóa Camellia với 192 bit khóa

D.7.2.3. Khóa 256 bit

Bảng D.18 - Ví dụ của phép mã hóa Camellia với 256 bit khóa

D.8. Véc tơ kiểm tra SEED

Bảng D.19 - Ví dụ của phép mã hóa SEED

PHỤ LỤC E

(Tham khảo)

BẢNG ĐẶC TÍNH