Tiêu chuẩn Quốc gia TCVN 11367-4:2016 ISO/IEC 18033-4:2011 Công nghệ thông tin-Các kỹ thuật an toàn-Thuật toán mật mã-Phần 4: Mã dòng

TIÊU CHUẨN QUỐC GIA

TCVN 11367-4:2016

ISO/IEC 18033-4:2011

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - THUẬT TOÁN MẬT MÃ - PHẦN 4: MÃ DÒNG

Information technology-Security techniques-Encryption algorithms-Part 4: Stream ciphers

Lời nói đầu

TCVN 11367-4:2016 hoàn toàn tương đương với ISO/IEC 18033-4:2011.

TCVN 11367-4:2016 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 11367Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mãgồm 04 phần:

- TCVN 11367-1:2016 (ISO/IEC 18033-1:2015) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 1: Tổng quan.

- TCVN 11367-2:2016 (ISO/IEC 18033-2:2006) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 2: Mật mã phi đối xứng.

- TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối.

-TCVN 11367-4:2016 (ISO/IEC 18033-4:2011) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 4: Mã dòng.

Giới thiệu

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) bao gồm các thuật toán mã dòng. Mã dòng là cơ chế mã hóa sử dụng khóa dòng để mã hóa bản rõ theo cách từng bit hoặc từng khối. Có hai loại mã dòng: mã dòng đồng bộ, trong đó khóa dòng chỉđược tạo ra từ khóa bí mật (và véc tơ khởi tạo) và mã dòng tự đồng bộ, trong đó khóa dòng được tạo ra từ khóa bí mật (và véc tơ khởi tạo). Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) mô tả cả hai bộ tạo số giảngẫu nhiên để sinh ra khóa dòng và hàm đầu ra kết hợp khóa dòng với bản rõ.

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) bao gồm hai hàm đầu ra:

- Hàm đầu ra cộng nhị phân; và

- Hàm đầu ra MULTI-S01.

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) bao gồm năm bộ tạo khóa dòng chuyên dụng:

- Bộ tạo khóadòng MUGI;

- Bộ tạo khóa dòng SNOW 2.0;

-Bộ tạo khóa dòng Rabbit;

- Bộ tạo khóa dòng Decim^v2; và

- Bộ tạo khóa dòng Kcipher-2(K2).

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - THUẬT TOÁN MẬT MÃ - PHẦN 4: MÃ DÒNG

Information technology-Security techniques-Encryption algorithms-Part 4: Stream ciphers

1. Phạm vi áp dụng

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) quy định

a) Hàm đầu ra để kết hợp một khóa dòng với bản rõ,

b) Bộ tạo khóa dòng để sinh khóa dòng, và

c) Định danh đối tượng được gán cho bộ tạo khóa dòng chuyên dụng phù hợp với tiêu chuẩn ISO/IEC9834.

CHÚ THÍCH 1 Danh sách định danh đối tượng được gán đưa ra trong Phụ lục A.

CHÚ THÍCH 2 Bất kỳ thay đổi nào của đặc tả các thuật toán này làm thay đổi hành vi chức năng sẽ dẫn đến thay đổi đối tượng định danh gán cho thuật toán có liên quan.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

ISO/IEC 18033-1,lnformation technology-Security techniques-Encryption algorithms-Part 1: General

3. Thuật ngữ và định nghĩa

Trong tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa dưới đây:

3.1.Big-endian(big-endian)

Phương pháp lưu trữ các số nhiều byte với byte trọng số cao nhất tại các địa chỉ bộ nhớ thấp nhất

[ISO/IEC 10118-1:2000]

3.2.Bản mã(ciphertext)

Dữ liệu đãđược biến đổi để giấu thông tin chứa trong đó

[ ISO/IEC 10116:2006]

3.3.Tính bí mật(confidentiality)

Thuộc tính mà thông tin không ở dạng sẵn sàng hoặc bị tiết lộ cho cá nhân, thực thểhoặc quy trình không được phép

3.4.Tính toàn vẹn dữ liệu(data integrity)

Thuộc tính mà dữ liệu không bịthay đổi hoặc phá hủy một cách trái phép

[ISO/IEC 9797-1:2011]

3.5.Giải mã(decryption)

Phép toán ngược với phép mã hóa tương ứng

[ISO/IEC 10116-1:2006]

3.6.Mã hóa(encryption)

Phép biến đổi (khả nghịch) dữ liệu bởi thuật toán mật mã để tạo ra bản mã, tức là giấu nội dung thông tin của dữ liệu.

[ISO/IEC 9797-1:2011]

3.7.Giá trị khởi tạo(initialization value)

Giá trị sử dụng trong việc xác định điểm khởi đầu của quá trình mã hóa

3.8.Khóa(key)

Dãy các kí hiệu điều khiển sự vận hành của các phép biến đổi mật mã (ví dụ, phép mã hóa, giải mã, tính toán hàm kiểm tra mật mã, tạo chữ ký số hoặc xác thực chữ ký số)

[ISO/IEC 11770-1:2010]

3.9.Hàm khóa dòng(keystreamfunction)

Hàm nhận đầu vào là trạng thái hiện tại của bộ tạo khóa dòng và (tùy chọn) một phần của bản mãđược tạo ra trước đó và cho đầu ra là phần tiếp theo của khóa dòng.

3.10.Bộ tạo khóa dòng(keystream generator)

Quá trình dựa trên trạng thái (nghĩa là máy trạng thái hữu hạn) nhận đầu vào là một khóa, một véc tơ khởi tạo và bản mã nếu cần thiết, và đưa đầu ra là một khóa dòng (nghĩa là dãy tuần tự các bit hoặc các khối bit) có độdài tùy ý.

3.11.Mã khối n bit(n-bit block cipher)

Mã khối với tính chất là các khối của bản rõ và bản mã đều có độ dài n bit

[ISO/IEC 10116:2006]

3.12.Hàm chuyển trạng thái tiếp theo(next-state function)

Hàm nhận đầu vào là trạng thái hiện tại của bộ tạo khóa dòng và (tùy chọn) một phần của bản mãđược tạo trước đó, và đưa đầu ra là một trạng thái mới của bộ tạo khóa dòng.

3.13.Hàm đầu ra(outputfunction)

Hàm kết hợp khóadòng mã bản rõ để tạo bản mã

CHÚ THÍCH Hàm này thực hiện phép XOR từng bit.

3.14.Đệm(padding)

Bit mở rộng đính kèm cho xâu dữ liệu

[ISO/IEC 10118-1:2000]

3.15.Bản rõ(plaintext)

Thông tin chưa được mã hóa

[ISO/IEC 9797-1:2011]

3.16.Khóa bí mật(secret key)

Khóa sử dụng cho kỹ thuật mật mã đối xứng và được dùng bởi một tập thực thể xác định

[ISO/IEC 11770-3:2008]

3.17.Trạng thái(State)

Trạng thái bên trong hiện tại của bộ tạo khóa dòng

4. Ký hiệu và chữ viết tắt

4.1.Kýhiệu

4.2.Các hàm

4.2.1.Hàm cắt trái các bit

Phép toán lựa chọnjbít bên trái của mảngA= (a₀,a₁, … ,a_m-1) để bạo ra một mảngj-bit và được viết

(j~A) = (a₀,a₁, … ,a_j-1)

Phép toán xác định với 1£j£m.

Xem trong ISO/IEC 10116:2006.

4.2.2.Phép toán dịch

Phép toán dịch được xác định như sau: Cho một biếnn-bitXvà biếnk-bitVtrong đó 1£k£n, tác dụng của hàm dịch để tạo ra biếnn-bit

Kết quả sự dịch chuyển các bit của mảngXsang trái k vị trí, bỏ đix₀,x₁,... ,x_k-1và đưa vào bên phải nhất mảngVkvị trí củaX. Khik = nthì hoàn toàn thay thếXbởiV.

Xem ISO/IEC 10116:2006.

4.2.3.BiếnI(k)

Biếnl(k)là một biếnk-bit mà mỗi bit được gán giá trị 1.

5. Khung cho mã dòng

Điều này bao gồm mô tả mức cao nhất của khung cho mã dòng được quy định trong phần này của bộ TCVN 11367 (ISO/IEC 18033). Mô tả chi tiết của mô hình tổng quát cho mã dòng được quy định tại điều 6. Mãdòng được quy định trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) được xác định bởi các đặc tảcủa các quy trình sau:

a) Bộ tạo khóa dòng, cóthể là:

- Bộ tạo khóa dòng đồng bộ, hoặc

- Bộ tạo khóa dòng tự đồng bộ.

CHÚ THÍCH 1 Các Chế độ hoạt động của mãkhối là phương pháp mà mãkhối cóthể được sử dụng đểxây dựng một bộ tạo khóa dòng. Các chế độ này được chuẩn hóa trongtiêu chuẩnISO/IEC 10116 và ý nghĩa của các hàm được sử dụng trong đặc tảđược xác định trong6.2.1và6.2.2.

CHÚ THÍCH 2 Mãkhối được định nghĩa trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033).

b) Hàm đầu ra, có thể là:

- Hàm đầu ra cộng nhị phân, hoặc

- Hàm đầu ra MULTI-S01.

6. Mô hình tổng quát của mã dòng

6.1.Các bộ tạo khóa dòng

6.1.1.Bộ tạo khóa dòng đồng bộ

Bộ tạo khóa dòng đồng bộ là máy trạng thái hữu hạn được định nghĩa như sau:

a) Một hàm khởi tạo,Init, nhận đầu vào khóaKvà véc tơ khởi tạoIVvà cho đầu ra một trạng thái khởi tạoS₀cho bộ tạo khóa dòng. Véc tơ khởi tạo cần được lựa chọn để không bao giờ có hai thông báo được mã hóa sử dụng cùng khóa và cùng véc tơ khởi tạoIV.

b) Hàm chuyển trạng thái tiếp theo,Next, nhận đầu vào làtrạng thái hiện tại của bộ tạo khóa dòngS_i, và đưa ra trạng thái tiếp theo của bộ tạo khóa dòngS_i+1.

c) Hàm khóa dòng,Strm, nhận đầu vào là trạng thái của bộ tạo khóadòngS_i, và đưa ra khối khóa dòngZ_i.

Khi bộ tạo khóa dòng đồng bộ lần đầu khởi tạo, nó sẽ nhập vào một trạng thái khởi tạoS₀được xác định bởi:

S₀=Init(IV,K)

Theo nhu cầu bộ tạo khóa dòng đồng bộ sẽ, vớii=0,1,...

a) Đưa ra khối khóa dòngZ_i= Strm(S_i,K).

b) Cập nhật trạng thái máyS_i+1=Next(S_i,K).

Vìvậy, để xác định bộ tạo khóa dòng đồng bộ chỉcần xác định hàmInit,NextvàStrm, bao gồm cảđộdài và bảng chữ cái của khóa, véc tơ khởi tạo, trạng thái và khối đầu ra.

6.1.2.Bộ tạo khóa dòng tự đồng bộ

Việc tạo ra khóa dòng cho mã dòng tự đồng bộ chỉ phụ thuộc vào bản mã trước, khóa và véc tơ khởitạo. Mô hình tổng quát cho bộ tạo khóa dòng cho mã dòng tự đồng bộ được xác định:

a) Hàm khởi tạo,Init, nhận đầu vào là khóaKvà véc tơ khởi tạoIVvà đưa ra đầu vào trong cho bộ tạo khóa dòngSvà khối bản mã giảr C_-1, C_-2,… ,C_-r.

b) Hàm khóa dòng,Strm, nhận đầu vàoSvà khối bản mãrC_-1,C_-2,...,C_-rvà đưa ra khối khóa dòngZ_i.

Để xác định bộ tạo khóa dòng tự đồng bộ chỉcần thiết xác định số lượng các khối phản hồirvà hàmInitvà hàmStrm.

CHÚ THÍCH Mãdòng tự đồng bộ khác với mãdòng đồng bộởchỗ khóa dòng chỉphụ thuộc vào bản mãtrước, véc tơ khởi tạo và khóa, nghĩa làbộ tạo khóa dòng hoạt động trong kiểu không trạng thái. Kết quả là, sự giải mãcho mật mãnhư vậy có thể khôi phục từ sự mất mát của đồng bộ hóa sau khi nhận được đầy đủcác khối bản mã. Điều này cũng cónghĩa là các phương pháp tạo khóa dòng phụ thuộc vào hàm đầu ra được lựa chọnOut, mà điển hình là phép toán XOR từng bit.

6.2.Các hàm đầu ra

6.2.1.Mô hình tổng quát của hàm đầu ra

Điều 6.2 chỉ rõhai hàm đầu ra mã dòng, nghĩa là các kỹ thuật được sử dụng trong mã dòng để kết hợp khóa dòng với bản rõ để nhận được bản mã.

Hàm đầu ra cho mã dòng đồng bộ hoặc tự đồng bộ là hàmOutkết hợp khối bản rõP_i,khối khóa dòngZ_ivà một số đầu vào khácRnếu cần thiết để đưa ra khối bản mãC_i(i> 0). Mô hình tổng quát của hàm đầu ra mã dòng được xác định:

Mã hóa khối bản rõP_ibằng khối khóa dòngZ_ixác định như sau:

C_i=Out(P_i,Z_i,R)

Và giải mã khối bản mãC_ibằng khối khóa dòngZ_ixác định như sau:

P_i= Out^-1(P_i,Z_i,R).

Hàm đầu ra phải đáp ứng cho bất kỳ khối khóa dòngZ_i, khối bản rõP_ivà đầu vào khácR,

P_i= Out^-1(Out(P_i,Z_i,R),Z_i,R).

6.2.2.Hàm đầu ra cộng nhị phân

Mã dòng cộng nhịphân là mãdòng trong đó khối khóa dòng, khối bản rõvà khối bản mã làcác xâu các số nhị phân và phép toán đểkết hợp bản rõ với khóa dònglà phép toán XOR từng bit. Phép toánOutcó hai đầu vào vàkhông sử dụng bất kỳ thông tin bổsungRđểtính toán. Chonlà độ dài bit củaP_i. Hàm này xác định như sau:

Out(P_i, Z_i, R) =P_iÅZ_i

Phép toánOut^-1xác định như sau:

Out^-1(C_i,Z_i,R) =C_iÅZ_i

CHÚ THÍCH Hệ mã dòng cộng nhịphân không cung cấp bất kỳ tính bảo vệ tính toàn vẹn cho dữ liệu được mãhóa. Nếu có yêu cầu tính toàn vẹn cho dữ liệu thì hoặc làsử dụng hàm đầu ra MULTI-S01 hoặc cócơ chếtoàn vẹn riêng biệt, chẳng hạn MAC, nghĩa là Mãxác thực thông báo (cơ chếnày được quy định trong tiêu chuẩn ISO/IEC 9797).

6.2.3.Hàm đầu ra MULTI-S01

a) Mô hình tổng quát của MUTIL-S01

MULTI-S01 là hàm đầu ra cho mã dòng đồng bộ hỗ trợ cả tính toàn vẹn và tính bí mật của dữ liệu. Phép toán mãhóa MULTI-S01 phù hợp để sử dụng trong môi trường trực tuyến. Tuy nhiên, phép toán giải mã của MULTI-S01 có thểchỉ thực hiện trong tình huống ngoại tuyến, như kiểm tra tính toàn vẹn chỉđược thực hiện sau khi nhận được tất cảcác khối bản mã. MULTI-S01 có một tham số an toànn. Việc tính toán đầu ra phụ thuộc vào sự lựa chọn trườngGF(2ⁿ), tức là phụ thuộc vào lựa chọn đa thức bất khả quy bậcntrên trườngGF(2ⁿ). Hàm MULTI-S01 chỉ chấp nhận thông báo có chiều dài làbội số củan. Để mã hóa thông điệp có chiều dài không phải là bội củan, yêu cầu sử dụng thêm cơ chế đệmPad(M).

CHÚ THÍCH Việc dưthừaRđược tạo ra theo cách mà người gửi và người nhận chia sẻ nó.Rcóthể là một giátrịcông khai cốđịnh như 0x00...0.

b) Hàm mã hóaOut(P,R, Z)

Đầu vào: bản rõPn.u- bit, khóa dòngZ= (Z₀,Z₁,...), Trong đóZ_ilà các khốin-bit, dư thừaRn-bit.

Đầu ra: Bản mãC.

1) Lấytlàgiá trị thấp nhất củai(i³0) sao choZ_i# 0⁽ⁿ⁾.

2) Lấy (P₀,P₁,…P_u-1)=P,trong đóP_ilà khốin-bit

3) ĐặtP_u=Z_t+u+3.

4) ĐặtP_u+1=R.

5) Đối với mỗiP_i, thực hiện các phép tính sau (vớii = 0,1,...,u+1).

- LấyW_ị=P_iÅZ_t+i+1.

- LấyX_i=Z_tÄW_i(trong trườngGF(2ⁿ)).

- LấyC_i=X­_iÄW­_i-1trong đóW_i-1là giá trịWcủa khốii-1trước đó vàW_-1=0⁽ⁿ⁾

- ĐặtC=C₀||C₁||…|||C_u+1.

- Đưa raC.

Hình 1 mô tả sơ đồ khối của hàmOut

Hình 1 - Hàm Out của chế độ MUTIL-S01

CHÚ THÍCH 2 Đa thức bất khả quy được sử dụng để xác định phép nhân trong trường phụ thuộc vàon. Vídụ, trong trường hợpn=64 và 128, cóthể sử dụng đa thức bất khả quy x⁶⁴+ x⁴+x³+x +1 vàx¹²⁸+ X⁷+x²+x + 1.

c) Hàm giải mãOut^-1(P,Z,R)

Đầu vào: bản mãCđộ dàin.v-bitkhóa dòngZ, dư thừaRđộ dàin-bit.

Đầu ra: bản rõPhoặc“từchối”.

1) Lấytlà giá trị thấp nhất củai(i³0) sao choZ_i¹0⁽ⁿ⁾.

2) Lấy (C₀,C₁,...C_v-1) =C, trong đóC_ilà khốin-bit

3) Đối với mỗiC_i, thực hiện các phép tính sau (vớii=0,1,...,v-1):

- LấyX_i=C_iÅW_i-1, trong đóW_-1= 0⁽ⁿ⁾.

- LấyW_i=Z­_t^-1ÄX­_i(trong trườngGF(2ⁿ)).

- LấyP_i=W_iÅZ_t+i+1.

4) NếuP_v-2=Z_t+v+1và P_v-1=R, đưa raP=P₀||P₁||…||P_v-3là bản rõ. Nếu không, đưa ra biểutượng đặc biệt nghĩa là“từ chối”mà không có bất kỳ văn bản nào.

Hình 2 mô tảsơ đồ khối của hàmOut^-1

Hình 2 - HàmOut^-1của chế độ MULTI-S01

d) Cơ chế đệmPad(M)

Chỉ khi độ dài của thông báo đầu vào không phải là bội số củan, cơ chế đệmPad(M)sau đây được thực thi:

Đầu vào: XâuMđộ dài (nv+c)-bit, trong đóvlà số nguyên không âm và 0£c<n.

Đầu ra: bản rõPđược đệm

1) Đệm xâu bit“1”vào cuối thông báo.

2) Đệm xâu0^(n-c-1)độ dài (n-c-1)-bit vào xâu được tạo bởi bước a).

3) Đưa ra toàn bộ xâu có độ dài(nv+n)-bit.

CHÚ THÍCH 3 Nếu độdài của thông báo làbội số củan, trong mỗi trường độ dài không phải là nhất định như vậy, cơ chế đệm này được khuyến khích.

CHÚ THÍCH 4 Đểbỏ đệm của thông báo, loại bỏliên tiếp bit0ở phần cuối của dữ liệu vàloại bỏcác bit“1”.

7. Xây dựng bộ tạo khóa dòng từ mã khối

7.1.Các chế độ mã khối cho bộ tạo khóa dòng đồng bộ

7.1.1.Chếđộ OFB (Đầu ra phản hồi) và CTR (Bộ đếm)

Điều 7.1 quy định hai chế độn-mã khối cho bộ tạo khóa dòng đồng bộ. Đó là, chế độ OFB (Đầu ra phản hồi) và chế độ CTR (Bộ đếm) của mãkhốie_Kn-bit.

7.1.2.Chế độ OFB

Chế độ OFB được xác định bởi một tham sốr, 1£r£n, là kích thước của khối bản rõ và bản mã.

Véc tơ khởi tạoIVà xâun-bit.IVsẽ được tạo ra khác nhau cho hai quá trình mã hóa với cùng một khóaK. HàmInit,NextvàStrmđược quy định như sau:

- Init(IV,K)=IV.

-Next(S_i,K) = e_K(S_i)

- Strm(S_i) = (r ~ S_i).

CHÚ THÍCHInit(IV,K) =IVtương đương vớiS₀=IV.

Trong trường hợp của chế độ OFB, hàm đầu ra cộng nhị phân được xác định trong6.2.2được sử dụng. Hình 3 mô tả sơ đồ khối của bộ tạo khóa dòng dựatrên chế độ CFB.

Hình 3 - Tạo khóa dòng dựa trên chếđộOFB

7.1.3.Chế độ CTR

Chế độ CTR được xác định bằng một tham sốr, 1£r£n, là kích thước của khối bản rõ và bản mã.

Véc tơ khởi tạoIVlà xâun-bit cần được đảm bảo rằngS_i¹S’_jcho hai khóa dòngS₀, S₁, S₂, …vàS’₀,S’₁,S’₂,... được tạo ra với cùng một khóaK. HàmInit,NextvàStrmđược xác định như sau:

- Init(IV, K) = IV.

- Next(S_i,K) = S_i+ 1 mod2ⁿ.

-Strm(S_i,K) =(r~e_K(S_i)).

CHÚ THÍCHInit(IV,K) = IVtương đương vớiS₀=IV.

Trong trường hợp của chế độ CTR, hàm đầu ra cộng nhị phân được xác định trong6.2.2được sử dụng. Hình 4 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFB.

Hình 4 - Tạo khóa dòng dựa trên chế độ CTR

7.2.Chếđộ mã khối cho bộ tạo khóa dòng tự đồng bộ

7.2.1.Giới thiệu chế độ CFB

Chế độ CFB của mã khốin-bit là mã dòng tự đồng bộ.

7.2.2.Chế độ CFB

Chế độ CFB (Phản hồi mã) được xác định với 3 tham số, tức là kích thướcjcủa bộ đệm phản hồiS_i,trong đón£j£1024n, kích thước biến phản hồib, trong đó 1£b£nvà khối đầu ra có kích thướcr, trong đó 1£r£b.

CHÚ THÍCH 1 Giá trịb-rcần nhỏ hơn b

Véc tơ khởi tạoIVcần được tạo ngẫu nhiên xâuj-bit và cũng cần được tạo ra khác nhau cho hai mã hóa với cùng một khóaK. HàmInit, NextvàStrmđược xác định như sau:

-Init(IV,K)=IV.

-Next(S) =Shift_b(S|Shift_r(I(b)|C_i)).

-Strm(S,K) = (r~e_K((n~S))).

CHÚ THÍCH 2Init(IV,K) =IVtương đương vớiS₀=IV.

Trong trường hợp của chế độ CFB, hàm đầu ra cộng nhị phân được xác định trong 6.2.2 được sử dụng. Hình 5 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFP.

Hình 5 - Tạo khóa dòngdựa trên chế độ CFB

8. Bộ tạo khóa dòng chuyên dụng

8.1.Bộ tạo khóa dòng MUGI

8.1.1.Giới thiệu MUGI

MUGl là bộ tạo khóa dòng sử dụng khóa bí mậtK128-bit, véc tơ khởi tạoIV28-bit và biến trạng tháiS_i(i³0) bao gồm 19 khối 64-bit (lưu ý rằng mỗi khối được sử dụng thông qua đặc tả của MUGI cho mỗi khối 64-bit) và đưa ra khối khóa dòngZ_itạimỗi lần lặp của hàmStrm.

CHÚ THÍCH Bộ tạo khóadòng này ban đầu được đềxuất trong [17].

Biến trạng thái được chia nhỏthành kết hợp của biến 3-khối:

a⁽ⁱ⁾=,

Trong đólà khối (vớij= 0, 1, 2) và biến 16-khối

b⁽ⁱ⁾=,

Trong đólà khối (vớij= 0, 1,..., 15)

HàmInit, được xác định chi tiết trong 8.1.2, nhận đầu vào khóaKđộ dài 128-bit và véc tơ khởi tạoIVđộ dài 128-bit và tạo giá trị ban đầu của biến trạng tháiS₀= (a⁽⁰⁾,b⁽⁰⁾),

HàmNext, được xác định chi tiết trong 8.1.3, nhận đầu vào biến trạng thái 19-khốiS_i= (a⁽ⁱ⁾,b⁽ⁱ⁾)và đầu ra là giá trị tiếp theo của biến trạng tháiS_i+1= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾).

HàmStrm, được xác định chi tiết trong 8.1.4, nhận đầu vào biến trạng thái 19-khốiS_i=(a⁽ⁱ⁾,b⁽ⁱ⁾)vàđầu ra là khối khóa dòngZ_i.

Lưu ý rằng hàmNextđược xác định trong các số hạng củar₁vàl₁được xác định tương ứng trong 8-1.5 và 8.1.6. Hàmr₁được xác định trong số hạng của hàmr₁được xác định trong8.1.7

Có 3 hằng số được sử dụng trong MUGI,D₀trong hàm khởi tạoInit, vàD₁,D₂trongr₁. Chúng xác định bởi:

D₀=0x6A09E667F3BCC908,

D₁= 0xBB67AE8584CAA73B,

D₂= 0x3C6EF372FE94F82B.

8.1.2.Hàm khởi tạoInit

Việc khởi tạo MUGI được chia ra thành 8 bước. Các khối nửa trái và nửa phải củaKđược biểu diễn tương ứng bằngK₀vàK₁.IV₀vàIV₁được xác định theo cách tương tự. Hàm khởi tạoInit như sau:

Đầu vào: KhóaK128-bit, véc tơ khởi tạoIVđộ dài 128-bit.

Đầu ra: Giá trị khởi tạo của biến trạng tháiS₀= (a⁽⁰⁾,b⁽⁰⁾)

a)Đặt khóaKvào thành phần của biến trạng tháia^(-49)như sau:

- Đặt(K₀,K₁)=K, trong đóK_ilà 64 bit vớii= 0, 1

- Đặt=K₀.

- Đặt=K₁.

- Đặt= (K₀<<<₆₄7)Å= (K₁>>>₆₄7)ÅD₀.

D₀trong biểu thức trên là hằng số (xem 8.1).

b)Vớii= -49, -48,..., -34 đặta⁽ⁱ⁺¹⁾=r₁(a⁽ⁱ⁾,0⁽⁶⁴⁾,0⁽⁶⁴⁾).Mô tả củarxem 8.1.5.

c)Vớii= 0, 1,…,15 đặt=a₀^(i-48)

d)Thêm véc tơ khởi tạoIVvào trạng thái như sau:

- ĐặtIV₀||IV₁=IV, trong đóIV_ilàkhối

-Đặt=ÅIV₀.

-Đặt=ÅIV₁.

-Đặt=Å(IV₀<<<₆₄7)Å(IV₁>>>₆₄7)ÅD₀.

e)Vớii= -32, -31,..., -17, đặt a⁽ⁱ⁺¹⁾=r₁(a⁽ⁱ⁾,0⁽⁶⁴⁾,0⁽⁶⁴⁾)

f)ĐặtS_-16= (a^(-16),b^(-16))

g)Lặp hàm cập nhậtNext16 lần:

ĐặtS₀=Next¹⁶(S_-16)

Trong đóNext16 đại diện cho 16 lần lặp của hàm chuyển trạng thái theoNext

h)Đưa raS₀.

8.1.3.Hàm chuyển trạng thái theoNext

Hàm chuyển trạng thái theo của MUGI được xác định là sự kết hợp củar₁vàl₁. Hàm chuyển trạng thái theo của MUGI như sau:

Đầu vào: Biến trạng tháiS_i= (a⁽ⁱ⁾,b⁽ⁱ⁾).

Đầu ra: Trạng thái tiếp theo của biến trạng tháiS_i+1= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾).

- Đặta⁽ⁱ⁺¹⁾=r₁(aⁱ,,). Mô tả chi tiết của hàmr₁được đưa ra trong 8.1.5.

- Đặtb⁽ⁱ⁺¹⁾=l­₁(bⁱ, a₀⁽ⁱ⁾).Mô tả chi tiết của hàml₁được đưa ra trong 8.1.6.

- ĐặtS_i+i= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾)

- Đưa raS_i+1.

8.1.4.Hàm khóa dòngStrm

Hàm khóa dòngStrmnhư sau:

Đầu vào: Biến trạng tháiS_i.

Đầu ra: Khối khóa dòngZ_i.

-ĐặtZ_i=

- Đưa raZ_i.

8.1.5.Hàmr₁

Hàmr₁như sau:

Đầu vào: Biến trạng tháia⁽ⁱ⁾, hai tham số độ dài 64-bitw₁,w₂.

Đầu ra: Giá trị tiếp theo của biến trạng tháia⁽ⁱ⁺¹⁾

-Đặt

-ĐặtÅF(,w₁)ÅD₁.

-ĐặtÅF(, (w₂<<<₆₄17)ÅD₂.

-Đưa raa⁽ⁱ⁺¹⁾.

D₁,D₂là hằng số (xem thêm chi tiết tại 8.1).

Hình 6 mô tả sơ đồ khối của hàmr₁.Môtả chi tiết của hàmFđược đưa ra trong 8.1.7.

Hình 6 - Hànr₁của MUGI

8.1.6.Hàml₁

Hàml₁như sau:

Đầu vào: Biến trạng thái b⁽ⁱ⁾, tham sốa độ dài 64-bit.

Đầu ra: Giá trịtiếp theo của biến trạng tháib⁽ⁱ⁺¹⁾

- Đặtvớij¹0, 4, 10.

-ĐặtÅa .

- Đặt

- Đặt<<<₆₄32)

Đưa rab^(t+1).

8.1.7.HàmF

HàmFdùng phép toán trên trường hữu hạnGF(2⁸). Trong biểu diễn đa thức,GF(2⁸)được thực hiện nhưGF(2)[x]/f(x), trong đóf(x)là đa thức bất khả quy bậc 8 được xác định trên trườngGF(2). Bộ tạo khóa dòng MUGI sử dụng đa thức bất khả quy sau:

f(x) = x⁸+ x⁴+ x³+ x + 1.

HàmFlà kết hợp của phép cộng khóa (việc bổ sung dữ liệu từ một phần của biến trạng tháib),phép biến đổi phi tuyến sử dụng hàmS_R, biến đổi tuyến tính sử dụng ma trậnMvà phép xáo trộn byte (xem Hình 7).

Chúng ta biểu diễn đầu vào và đầu ra cho hàmFtương ứng làXvàY. Khi đó, hàmFxác định như sau: Đầu vào: hai xâuXvàTđộ dài 64-bit.

Đầu ra: xâuYđộ dài 64-bit.

-X =XÅT

- Đặt (X₀,X₁,X₂,X₃,X₄,X₅,X₆,X₇) =X trong đóX_ilà xâu có độ dài 8-bit

- ĐặtP_i=S_R(X_i) vớii= 0,1, …,7.

-ĐặtP_L=P₀||P₁||P₂||P₃.

- ĐặtP_R=P₄||P₅||P₆||P₇.

-ĐặtQ_L=M(P_L).

-ĐặtQ_R=M(P_R).

-Đặt (Q₀,Q₁,Q₂,Q₃) =Q_L.

- Đặt (Q₄,Q₅,Q₆,Q₇) =Q_R.,

- ĐặtY=Q₄||Q₅||Q₂||Q₃||Q₀||Q₁||Q₆||Q₇.

- Đưa ra Y.

Hình 7 mô tảsơ đồ khối của hàmF

Hình 7 - HàmFcủa MUGI

8.1.8.HàmS_R

HàmS_Rlà hàm nội tại của hàmF. HàmS_Rcó thể được mô tả bằng cách sử dụng bảng thay thế. Trong trường hợp này, hàmS_Rnhư sau:

Đầu vào: xâuxđộ dài8-bit

Đầu ra: xâuđộ dài 8-bit.

- Đặty=SUB[x]

- Đưa ray.

SUBsử dụng trong hàmS_Rlà thay thế như sau:

8.1.9.HàmM

HàmMlà hàm nội tại của hàmF. HàmMnhư sau:

Đầu vào: xâuXcóđộ dài 32-bit.

Đầu ra: xâuYcó độ dài 32-bit

- Đặt (x₀,x₁,x₂,x₃) =X, trong đóx_ilàxâu cóđộ dài 8-bit và là phần tử củaGF(2⁸).

-Đặt

Trong đó 0x01, 0x02 và 0x03 là biểu diễn thậplục phân của các phần tử của trườngGF(2⁸).

- ĐặtY=y₀||y₁||y₂||y₃.

- Đưa raY.

8.2.Bộ tạo khóa dòng SNOW 2.0

8.2.1.Giới thiệu SNOW2.0

SNOW 2.0, trong phần tiếp theo chỉđơn giản ký hiệulà SNOW, là bộ tạo khóa dòng sử dụng như là đầu vào khóa bí mậtKcóđộ dài 128 hoặc 256-bit và một véc tơ khởi tạoIVcó độ dài 128-bit. Chúng được sử dụng để khởi tạo biến trạng tháiS_i(i³0) bao gồm 18 khốin= 32 bit. Thứ tự bit/byte là big-endian, tức là nếu khóa và véc tơ khởi tạo được cho dưới dạng một dãy các bit/byte, bit/byte phần đầu/tận cùng bên trái có trọng số cao nhất của dữ liệu tương ứng. Đối với mỗi lần lặp hàmStrm, 32-bit khóa dòngZ_iđược tạo coi như đầu ra.

Biến trạng thái SNOWS_ibao gồm hai phần. Phần thứ nhất, 16 biến có độ dài 32-bit:

thực hiện một thanh ghi dịch phản hồi tuyến tính (LFSR). Phần thứ hai, 2 biến có độ dài 32-bit:

duy trìtrạng thái của máy trạng thái hữu hạn (FSM). SNOW được hiểu là tốt nhất với tham chiếu trong Hình 8, trong đó cho thấy một ảnh chụp, tại thời điểmi,bỏqua biến phụ thuộc thời gian (i)

Hình 8 - Biểu đồcủa SNOW

Phép toán SNOW được xác định:

HàmInit, xác định chi tiết trong8.2.2, nhận đầu vào khóaKcó độ dài 128 hoặc 256-bit và véc tơ khởi tạoIVcó độ dài 128-bit và tạo giá trị khởi tạo của biến trạng tháiS₀= (a⁽⁰⁾,b⁽⁰⁾).

HàmNext, được xác định chi tiết trong8.2.3, nhận đầu vào 18 biến trạng tháiS_i= (a⁽ⁱ⁾,b⁽ⁱ⁾) có độ dài 32-bit và tạo đầu ralàgiá trị tiếp theo của biến trạng tháiS_i+1= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾). HàmNextchạy trong 2 chế độ, tùy thuộc vào việc thực hiện lặp là một phần của việc khởi tạo, hoặc, trong chếđộ bình thường của tạo đầu ra, xem dưới đây.

HàmStrm, được xác định chitiết trong8.2.4nhận đầu vào là18 biến trạng thái có độ dài 32-bitS_i= (a⁽ⁱ⁾, b⁽ⁱ⁾) và tạo ra như là đầu ra khóa dòngZ_icó độ dài 32-bit.

CHÚ THÍCH 1 Đối với SNOW, khuyến nghị số lượng tối đa khóa dòng được tạo ra từ (K,IV)là 2⁵⁰khóa cóđộ dài 32-bit. Giới hạn này đãđược lựa chọn để cung cấp biên an toàn tốt nhất đối với việc thám mãvà ngụ ý không có giới hạn thực tế áp dụng các thuật toán.

CHÚ THÍCH 2 Bài viết[10] được tham chiếu cho lý thuyết nền tảng vềlý do căn bản thiết kếcho SNOW.

8.2.2.Hàm khởi tạoInit

Hàm khởi tạoInitnhư sau.

Đầu vào: KhóaKcóđộ dài128 hoặc 256-bit, Véc tơ khởi tạoIVcóđộ dài 128-bit.

Đầu ra: Giá trị khởi tạo của biến trạng tháiS₀=(a⁽⁰⁾,b⁽⁰⁾).

a)Khởi tạo thanh ghi bằng thông tin khóa.

- Đối với khóa có độ dài 128-bit, Đặt (K₃,K₂,K₁,K₀) =K,và=K_3-jvà

­Ø­(K_3-j) vớij=0, 1, 2, 3.

- Đối với khóa có độ dài 256-bit, Đặt (K₇,K₆,...,K₀) =và=Ø­(K_7-j) vớij = 0, 1, …,7.

b)ĐặtS_-33= (a^(-33),b^(-33)) bằng

-Đặt (IV₃,IV₂,IV₁,IV₀) =IV.

- Đặt=vớii= 0, 1, 2, 3, 4, 5, 6, 7,8, 11, 13,14.

-Đặt

-Đặt.

-ĐặtS_-1=Next³²(S_-33,INIT), trong đóNext³²biểu diễn cho 32 lần lặp của hàmNext

d)S₀=Next(S_-1).

e)Đưa raS₀.

8.2.3.Hàm chuyển trạng thái theoNext

SNOW có hai chế độ với hàmNext

Đầu vào: Biến trạng tháiS_i=(a⁽ⁱ⁾,b⁽ⁱ⁾)mode={INIT,null}.

Đầu ra: Giá trị tiếp theo của biến trạng tháiS_i+1= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾).

a)Đặt=T().

b)Đặt=).

c)Vớij= 0,1, …,14 đặt

d)Nếu chế độINIT, đặt.Nếu không thì, đặt

e)S_i+1= (a⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾)

f)Đưa ra S_i+1.

Mô tả của hàmTvà số học trường hữu hạn bao gồm thành phần cố địnhađề cập tương ứng trong điều 8.2.5 và 8.2.6.

CHÚ THÍCH Hình 9 môtả sơ đồ khối của chếđộINIT của hàmNext

Hình 9 - Chế độ INIT của hàmNext

Định nghĩa của hànFSMđề cập trong điều 8.2.8.

8.2.4.Hàm khóa dòngStrm

Hàm khóadòngStrmnhư sau:

Đầu vào: Biến trạng tháiS_i

Đầu ra: Khóa dòngZ_icó độ dài 32-bit

a)ĐặtZ_i=FSM().

b)Đưa raZ_i.

8.2.5.HàmT

HàmTlà hàm thay thế, đặc biệt là hoán vịtrên trườngGF(2³²)dựa trên các thành phần từ Chuẩn mã hóa tiên tiến (AES), TCVN 11367-3:2016 (ISO/IEC 18033-3). Cuối cùng trường hữu hạnGF(2⁸)được sử dụng như là trườngGF(2)[x]modulo với đa thức bất khả quy.

f(x) = x⁸+ x⁴+x³+x+1.

Và vành đa thứcGF(2⁸)[y]mdulo(y⁴+1).

Đầu vào: xâuwcóđộ dài 32-bit

Đầu ra: xâuq=T(w)có độdài 32-bit

a)Đặt (w₃,w₂,w₁,w₀=w) trong đó mỗiw_jcó độ dài 8 bit.

b)Vớij= 0,1,2, 3 đặtt_j=SUB[w_j].

c)Lấyt(y)làđa thứct(y) =t₃y³+t₂y²+t₁y +t₀trên trườngGF(2⁸)[y], trong đót_jđược hiểu như làmột phần tử củaGF(2⁸)theo cách tự nhiênt_j=t_j,7x⁷+…+ t_j,1x+t_j,0,t_j,ktrong trườngGF(2)

d)Đặtq(y) =c(y).t(y)modulo(y⁴+1), trong đóc(y) = (x +1)y³+ y²+ y + x trên trườngGF(2⁸)[y].

e)Kết hợp xâuq= (q₃,q₂,q₁,q₀) 32-bit với kết quả trên,q(y) =q₃y³+ q₂y²+ q₁y + q₀

f)Đưa raq.

Lưu ý rằng trong bước c), hai đa thức được nhân với nhau trong đó các phép toán hệ số-nhân-hệ số thực hiện trong trườngGF(2⁸)được xác định bởi hàmf(x) ở trên. Sau đó kết quả được rút gọn theo modulo y⁴+1.

CHÚ THÍCH 1 HộpthếS-boxcủa AES đượctìm thấy trong 8.1.8

CHÚ THÍCH 2 Tham khảo chi tiết tối ưu hóa này và một số vấn đềkhác tại bài báo [10].

8.2.6.Phép nhânatrong sốhọc trường hữu hạn

Đầu vào: Xâuwcó độ dài 32-bit, đại diện cho phần tử củaGF(2³²).

Đầu ra: Xâuw có độ dài 32-bit, đại diện choµÄwtrong trườngGF(2³²).

a)Đặtw = (w<<₃₂8)Åa_MUL[w >>₃₂24]

b)Đưa raw

Hàma_MULđược xác định như sau:

a_MUL[256] = {

8.2.7.Phép nhâna^-1trong số học trường hữu hạn

Đầu vào: Xâu y có độ dài 32-bit, đại diện cho phần tử củaGF(2³²).

Đầu ra: Xâu y có độ dài 32-bit, đại diện choa^-1Äy trong trườngGF(2³²).

a)Đặty = (y>>₃₂8)Åa_{inv_MUL}(y mod256]

b)Đưa ray’

Hàma_{inv_MUL}được xác định như sau:

a_{inv_MUL}[256] = {

8.2.8. Hàm FSM(x,y,z)

Đầu vào: 3 xâu cóđộ dài 32-bit,x,yvàz

Đầu ra: xâuqcó độ dài 32-bit

a)Đặtq= (x +₃₂y)Åz.

b)Đưa raq.

8.3.Bộ tạo khóa dòng Rabbit

8.3.1.Tổng quan bộ tạo khóa dòng Rabbit

Rabbit là bộ tạo khóadòng sử dụng khóa bí mậtKcóđộ dài 128-bit, véc tơ khởi tạoIVcó độ dài 64-bit và biến trạng thái trongS_i(i³0) cóđộ dài 513-bit. Rabbit đưa ra khối khóa dòngZ_icó độ dài 128-bit tại mỗi lần lặp hàmStrm.

513-bit của trạng thái trongS_iđược chia giữa 8 biến trạng thái có độ dài 32-bit, 8 biến đếm, và 1 bit nhớ bộ đếmb⁽ⁱ⁾.

Mô tả sử dụng các ký hiệu đưa ra tại Điều 4 của tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033). Ngoài ra, ký hiệu đặc biệt cho mảng bit được sử dụng để tăng cường khả năng đọc: Khi ghi nhãn các bit của một biếnA, bit có trọng số thấp nhất được ký hiệu làA⁽⁰⁾. Ký hiệuA^[h..g]môtả các bit từhcho đếngcủa biếnA, trong đó bit có vịtríhlà bit có trọng số cao hơn bit ở vị tríg.

CHÚ THÍCH 1 Đối với bộ sinh khóa dòng Rabbit, khuyến nghịsố lượng khóa dòng tối đa được tạo ra từmột khóaKcho trước là2⁶⁴khối khóa dòng. Giới hạn này đãđược lựa chọn để cung cấp biến an toàn tốt nhất đối với việc phân tích mãvà đồng thời ngụ ý không cógiới hạn thực tế về khả năng áp dụng các thuật toán.

CHÚ THÍCH 2 Bài báo [8]được tham chiếu cho đề xuất ban đầu của mật mãvà bài báo [9] được tham chiếu đến tổng quan vềan toàn mật mãcủa nó.

8.3.2.Các biến bổ sung và ký hiệu

Đối với bộ tạo khóa dòng Rabbit, các ký hiệu sau đây được sử dụng thêm:

Ngoài ra, một sốký hiệu được sử dụng cho các biến phụ cục bộ trong mô tả các thuật toán. Những biểu tượng này chỉxảy ra trong đặc tảhàm đưa ra và không có nghĩa toàn cục. Các biến này được mô tả trong phần khai báo của hàm.

8.3.3.Hàm khởi tạoInit

Trong phần tiếp theo, hàm khởi tạoInitcho Rabbit được quy định.

Đầu vào: KhóaKcóđộ dài 128-bit, véc tơ khởi tạoIVcó độdài 64-bit.

Đầu ra: Giá trị khởi tạo của biến trạng tháiS₀=.

Biến cục bộ: biến đếmi,j

a)LấyK₀=K^[15..0],K₁=K^[31...16],…,K₇=K^[127..112]

b)ĐặtS_-9, như sau:

1)Đặtb^(-9)= 0.

2)Vớij= 0,1, …,7:

- Nếujlà chẵn, đặt=K_(j+1mod8)||K_jvà=K_(j+4mod8))||K_(j+5mod8).

- Ngược lạijlẻ đặt=K_(j+5mod8)||K_(j+4mod8)) và=K_(j+1mod8).

c)Lặp lại các hàm trạng thái tiếp theoNext4 lần: đặtS_i=Next(S_i-1) vớii= -8, -7, -6, -5

d)ĐặtS_-4như sau:

1)Thay đổi các biến đếm như sau:

2)

e)Lặp lại hàm chuyển trạng thái theoNext4 lần: đặtS_i=Next(S_i-1) vớii= -3, -2, -1,0

f)Đưa raS₀=

CHÚ THÍCH Véc tơ khởi tạoIVđược trộn vào trạng thái trong ở bước d) vàe) của thuật toán. Nếu các ứngdụng yêu cầu táikhởi tạo thường xuyên với cùng một khóa,điều này cónghĩa đểlưu trữ trạng thái trong sau bước c) như trạng thái chủvàđểthực thichỉbước d) tới bướcf) cho tái khởi tạo.

8.3.4.Hàm chuyển trạng thái theoNext

Hàm chuyển trạng thái theoNextcho Rabbit được quy định như sau:

Đầu vào: Biến trạng tháiS_i=

Đầu ra: Biến trạng tháiS_i+1=.

Biến cục bộ: biến đếmj, biến tạm làsố nguyên dương có độ dài 32-bit

a)Đặt hằng sốA₀, ...A₇như sau:

b)Lấy= bⁱ

c)Vớij= 0,1,2, … ,7:

- Lấytemp=;kết quả này là giá trị cóđộ dài 33-bit

- Lấy=temp^[32]

- Lấy=temp^[31…0]

d)Lấyb⁽ⁱ⁺¹⁾=

e)Vớij= 0,1,… ,7, lấyG_j=g(), trong đóhàmgđược đưa ra trong 8.3.6.

f)Thay đổi trạng thái trong như sau:

g)Đưa raS_i+1= (b⁽ⁱ⁺¹⁾,)

8.3.5.Hàm khóa dòngStrm

Hàm khóa dòngStrmcho Rabbit được quy định như sau:

Đầu vào: Biến trạng tháiS_i= (b⁽ⁱ⁾,).

Đầu ra: Khối khóa dòngZ_i.

a)ĐặtZ_inhư sau:

b)Đưa raZ_i.

8.3.6.Hàmg

Hàmgđược quy định như sau:

Đầu vào: 2 tham sốuvàvcó độ dài 32-bit

Đầu ra: kết quảhàmg(u, v) có độ dài 32-bit

Biến cục bộ:tempsố nguyên dương có độ dài 32-bit

a)Lấytemp= (u+₃₂v)²; kết quảlà giá trị có độ dài 64-bit.

b)Lấyg(u, v) =temp^[31..0]Åtemp^[63..32]

c)Đưa rag(u, v)

8.4.Bộ tạo khóa dòngDecim^v2

8.4.1.Giớithiệu bộ tạo khóa dòngDecim^v2

DECIM^v2là bộ tạo khóa dòng trong đó sử dụng khóa bí mậtKcó độ dài 80-bit và véc tơ khởitạoIVcó độ dài 64-bit.DECIM^v2bao gồm thanh ghi dịch phản hồi tuyến tính A có độ dài tối đa 192-bit, được lọc bởi hàm BooleanLF14-biến. Trong chế độ tạo khóa dòng, đầu ra củaLFđược sử dụng đểnuôi một khối nén là hàm được gọi làABSG, mà đầu cuối điqua một bộ đệmBdài 32-bit để điều chỉnh tốc độ đầu ra khóa dòng.

DECIM^v2được mô tả trong Hình 10, trong đó mô tả ảnh chụp, đúng thời điểm, bỏ qua biến phụ thuộc thời gian (i) từ các ký hiệu.

CHÚ THÍCH 1 Bài báo [6] được tham chiếu cho lý thuyết nền tảng vềlý do căn bản thiết kếcủaDECIM^v2.

Biến trạng tháiS_icủaDECIM^v2bao gồm giá trị độ dài 192-bit của thanh ghiaⁱ=vàbiếnTⁱđộ dài 3-bit tương ứng với trạng thái của hàm nénABSG, 32-bitbⁱ=trong bộđệmB, và số lượngI⁽ⁱ⁾bit trong bộ đệmBđã sẵn sàng đưa ra.

Hình 10 - Sơ đồ củaDECIM^v2

HàmInit, được xác định chi tiết trong8.4.3, nhận đầu vào là khóaKđộ dài 80-bit và véc tơ khởi tạoIVđộ dài 64-bit và tạo ra giá trị khởi tạo của biến trạng tháiS₀= (a⁽⁰⁾,T⁽⁰⁾,b⁽⁰⁾,I⁽⁰⁰).

HàmNext, được xác định chi tiết trong 8.4.5, nhận đầu vào là giá trị các biến trạng tháiS_i= (a⁽ⁱ⁾,T⁽ⁱ⁾,b⁽ⁱ⁾,I⁽ⁱ) và tạo ra đầu ra là giá trị tiếp của biến trạng tháiS_i+1= (a⁽ⁱ⁺¹⁾,T⁽ⁱ⁺¹⁾,b⁽ⁱ⁺¹⁾,I⁽ⁱ⁺¹⁾). HàmNextchạy trong 3 chế độ, tùy thuộc vào việc thực hiện lặp lại là một phần của khởi tạo thanh ghi, khởi tạo của bộ đệm hoặc bộ tạo khóa dòng tuần tự.

HàmStrm, được xác định chi tiết trong 8.4.6 nhận đầu vào là giá trịcủa các biến trạng tháiS_i=(a⁽ⁱ⁾,T⁽ⁱ⁾,b⁽ⁱ⁾,I⁽ⁱ) và tạo ra đầu ra là bit khóa dòngZ_i.

CHÚ THÍC 2: Tốc độ đầu ra chuẩn củaDECIM^v2là ¼. Vì vậy,đểđồng bộ biến trạng thái và đầu ra khóa dòng, hàmNextthực hiện 4 vòng lặp tiêu chuẩn củaDECIM^v2được quy định trong [6].

CHÚ THÍCH 3 Hàm nén củaDECIM^v2có tốc độ đầu ra thay đổi, bằng 1/3 mức trung bình. Vìvậy, một cơ chếđệm được sử dụng để đảm bảo tốc độ đầu ra cố định. Sự khác biệt giữa tốc độ đầu ra bộ đệm và tốc độ đầu ra hàm nén, cũng nhưđộ dài bộ đệm, đã được lựa chọn đểđảm bảo rằng các bộ đệm luôn luôn có các chức năng như mong muốn với xác suất đa số, như mô tả trong 8.4.3.

CHÚ THÍCH 4DECIM^v2kháng các tấn công như mô tả trong [18].

8.4.2.Các biến bổsung và ký hiệu

Đối với bộ tạo khóa dòngDecim^v2, các ký hiệu sau đây được sử dụng thêm:

Ngoài ra, một số ký hiệu được sử dụng cho các biến phụ cục bộ trong mô tả các thuật toán. Những biểu tượng này chỉ xảy ra trong đặc tả hàm đưa ra và không cónghĩa toàn cục. Các biến này được mô tả trong phần khai báo của hàm.

8.4.3.Hàm khởi tạoInit

Hàm khởi tạoInitđược xác định như sau:

Đầu vào: KhóaKđộ dài 80-bit và véc tơ khởi tạoIVđộdài 64-bit.

Đầu ra: Giá trị khởi tạo của biến trạng tháiS₀= (a⁽⁰⁾,T⁽⁰⁾,b⁽⁰⁾,I⁽⁰⁾).

Biến cục bộ: biến đếmi,j

a)Khởi tạo thanh ghi với khóaKvà véc tơ khởi tạoIV.

- Đặt=K_jvớij= 0, 1, 2, …,79

- Đặt=K_j-80ÅIV_j-80vớij= 80, 81, …,143

-Đặt=K_j-80ÅIV_j-144ÅIV_j-128ÅIV_j-112ÅIV_j-196vớij= 144,145, ...,159