Tiêu chuẩn Quốc gia TCVN 11367-4:2016 ISO/IEC 18033-4:2011 Công nghệ thông tin-Các kỹ thuật an toàn-Thuật toán mật mã-Phần 4: Mã dòng

TIÊU CHUẨN QUỐC GIA

TCVN 11367-4:2016

ISO/IEC 18033-4:2011

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - THUẬT TOÁN MẬT MÃ - PHẦN 4: MÃ DÒNG

Information technology - Security techniques - Encryption algorithms - Part 4: Stream ciphers

Lời nói đầu

TCVN 11367-4:2016 hoàn toàn tương đương với ISO/IEC 18033-4:2011.

TCVN 11367-4:2016 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 11367 Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã gồm 04 phần:

- TCVN 11367-1:2016 (ISO/IEC 18033-1:2015) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 1: Tổng quan.

- TCVN 11367-2:2016 (ISO/IEC 18033-2:2006) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 2: Mật mã phi đối xứng.

- TCVN 11367-3:2016 (ISO/IEC 18033-3:2010) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 3: Mã khối.

- TCVN 11367-4:2016 (ISO/IEC 18033-4:2011) Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã - Phần 4: Mã dòng.

Giới thiệu

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) bao gồm các thuật toán mã dòng. Mã dòng là cơ chế mã hóa sử dụng khóa dòng để mã hóa bản rõ theo cách từng bit hoặc từng khối. Có hai loại mã dòng: mã dòng đồng bộ, trong đó khóa dòng chỉ được tạo ra từ khóa bí mật (và véc tơ khởi tạo) và mã dòng tự đồng bộ, trong đó khóa dòng được tạo ra từ khóa bí mật (và véc tơ khởi tạo). Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) mô tả cả hai bộ tạo số giả ngẫu nhiên để sinh ra khóa dòng và hàm đầu ra kết hợp khóa dòng với bản rõ.

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) bao gồm hai hàm đầu ra:

- Hàm đầu ra cộng nhị phân; và

- Hàm đầu ra MULTI-S01.

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) bao gồm năm bộ tạo khóa dòng chuyên dụng:

- Bộ tạo khóa dòng MUGI;

- Bộ tạo khóa dòng SNOW 2.0;

- Bộ tạo khóa dòng Rabbit;

- Bộ tạo khóa dòng Decim^v2; và

- Bộ tạo khóa dòng Kcipher-2(K2).

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - THUẬT TOÁN MẬT MÃ - PHẦN 4: MÃ DÒNG

Information technology - Security techniques - Encryption algorithms - Part 4: Stream ciphers

1. Phạm vi áp dụng

Tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) quy định

a) Hàm đầu ra để kết hợp một khóa dòng với bản rõ,

b) Bộ tạo khóa dòng để sinh khóa dòng, và

c) Định danh đối tượng được gán cho bộ tạo khóa dòng chuyên dụng phù hợp với tiêu chuẩn ISO/IEC 9834.

CHÚ THÍCH 1 Danh sách định danh đối tượng được gán đưa ra trong Phụ lục A.

CHÚ THÍCH 2 Bất kỳ thay đổi nào của đặc tả các thuật toán này làm thay đổi hành vi chức năng sẽ dẫn đến thay đổi đối tượng định danh gán cho thuật toán có liên quan.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau rất cần thiết cho việc áp dụng tiêu chuẩn này. Đối với các tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với các tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các sửa đổi, bổ sung (nếu có).

ISO/IEC 18033-1, lnformation technology - Security techniques - Encryption algorithms - Part 1: General

3. Thuật ngữ và định nghĩa

Trong tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa dưới đây:

3.1. Big-endian (big-endian)

Phương pháp lưu trữ các số nhiều byte với byte trọng số cao nhất tại các địa chỉ bộ nhớ thấp nhất

[ISO/IEC 10118-1:2000]

3.2. Bản mã (ciphertext)

Dữ liệu đã được biến đổi để giấu thông tin chứa trong đó

[ ISO/IEC 10116:2006]

3.3. Tính bí mật (confidentiality)

Thuộc tính mà thông tin không ở dạng sẵn sàng hoặc bị tiết lộ cho cá nhân, thực thể hoặc quy trình không được phép

3.4. Tính toàn vẹn dữ liệu (data integrity)

Thuộc tính mà dữ liệu không bị thay đổi hoặc phá hủy một cách trái phép

[ISO/IEC 9797-1:2011]

3.5. Giải mã (decryption)

Phép toán ngược với phép mã hóa tương ứng

[ISO/IEC 10116-1:2006]

3.6. Mã hóa (encryption)

Phép biến đổi (khả nghịch) dữ liệu bởi thuật toán mật mã để tạo ra bản mã, tức là giấu nội dung thông tin của dữ liệu.

[ISO/IEC 9797-1:2011]

3.7. Giá trị khởi tạo (initialization value)

Giá trị sử dụng trong việc xác định điểm khởi đầu của quá trình mã hóa

3.8. Khóa (key)

Dãy các kí hiệu điều khiển sự vận hành của các phép biến đổi mật mã (ví dụ, phép mã hóa, giải mã, tính toán hàm kiểm tra mật mã, tạo chữ ký số hoặc xác thực chữ ký số)

[ISO/IEC 11770-1:2010]

3.9. Hàm khóa dòng (keystream function)

Hàm nhận đầu vào là trạng thái hiện tại của bộ tạo khóa dòng và (tùy chọn) một phần của bản mã được tạo ra trước đó và cho đầu ra là phần tiếp theo của khóa dòng.

3.10. Bộ tạo khóa dòng (keystream generator)

Quá trình dựa trên trạng thái (nghĩa là máy trạng thái hữu hạn) nhận đầu vào là một khóa, một véc tơ khởi tạo và bản mã nếu cần thiết, và đưa đầu ra là một khóa dòng (nghĩa là dãy tuần tự các bit hoặc các khối bit) có độ dài tùy ý.

3.11. Mã khối n bit (n-bit block cipher)

Mã khối với tính chất là các khối của bản rõ và bản mã đều có độ dài n bit

[ISO/IEC 10116:2006]

3.12. Hàm chuyển trạng thái tiếp theo (next-state function)

Hàm nhận đầu vào là trạng thái hiện tại của bộ tạo khóa dòng và (tùy chọn) một phần của bản mã được tạo trước đó, và đưa đầu ra là một trạng thái mới của bộ tạo khóa dòng.

3.13. Hàm đầu ra (output function)

Hàm kết hợp khóa dòng mã bản rõ để tạo bản mã

CHÚ THÍCH Hàm này thực hiện phép XOR từng bit.

3.14. Đệm (padding)

Bit mở rộng đính kèm cho xâu dữ liệu

[ISO/IEC 10118-1:2000]

3.15. Bản rõ (plaintext)

Thông tin chưa được mã hóa

[ISO/IEC 9797-1:2011]

3.16. Khóa bí mật (secret key)

Khóa sử dụng cho kỹ thuật mật mã đối xứng và được dùng bởi một tập thực thể xác định

[ISO/IEC 11770-3:2008]

3.17. Trạng thái (State)

Trạng thái bên trong hiện tại của bộ tạo khóa dòng

4. Ký hiệu và chữ viết tắt

4.1. Ký hiệu

4.2. Các hàm

4.2.1. Hàm cắt trái các bit

Phép toán lựa chọn j bít bên trái của mảng A = (a₀, a₁, … ,a_m-1) để bạo ra một mảng j-bit và được viết

(j~A) = (a₀ , a₁, … , a_j-1)

Phép toán xác định với 1 £ j £ m.

Xem trong ISO/IEC 10116:2006.

4.2.2. Phép toán dịch

Phép toán dịch được xác định như sau: Cho một biến n-bit X và biến k-bit V trong đó 1 £ k £ n, tác dụng của hàm dịch để tạo ra biến n-bit

Kết quả sự dịch chuyển các bit của mảng X sang trái k vị trí, bỏ đi x₀, x₁ ,... ,x_k-1 và đưa vào bên phải nhất mảng V k vị trí của X. Khi k = n thì hoàn toàn thay thế X bởi V.

Xem ISO/IEC 10116:2006.

4.2.3. Biến I(k)

Biến l(k) là một biến k-bit mà mỗi bit được gán giá trị 1.

5. Khung cho mã dòng

Điều này bao gồm mô tả mức cao nhất của khung cho mã dòng được quy định trong phần này của bộ TCVN 11367 (ISO/IEC 18033). Mô tả chi tiết của mô hình tổng quát cho mã dòng được quy định tại điều 6. Mã dòng được quy định trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033) được xác định bởi các đặc tả của các quy trình sau:

a) Bộ tạo khóa dòng, có thể là:

- Bộ tạo khóa dòng đồng bộ, hoặc

- Bộ tạo khóa dòng tự đồng bộ.

CHÚ THÍCH 1 Các Chế độ hoạt động của mã khối là phương pháp mà mã khối có thể được sử dụng để xây dựng một bộ tạo khóa dòng. Các chế độ này được chuẩn hóa trong tiêu chuẩn ISO/IEC 10116 và ý nghĩa của các hàm được sử dụng trong đặc tả được xác định trong 6.2.1 và 6.2.2.

CHÚ THÍCH 2 Mã khối được định nghĩa trong tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033).

b) Hàm đầu ra, có thể là:

- Hàm đầu ra cộng nhị phân, hoặc

- Hàm đầu ra MULTI-S01.

6. Mô hình tổng quát của mã dòng

6.1. Các bộ tạo khóa dòng

6.1.1. Bộ tạo khóa dòng đồng bộ

Bộ tạo khóa dòng đồng bộ là máy trạng thái hữu hạn được định nghĩa như sau:

a) Một hàm khởi tạo, Init, nhận đầu vào khóa K và véc tơ khởi tạo IV và cho đầu ra một trạng thái khởi tạo S₀ cho bộ tạo khóa dòng. Véc tơ khởi tạo cần được lựa chọn để không bao giờ có hai thông báo được mã hóa sử dụng cùng khóa và cùng véc tơ khởi tạo IV.

b) Hàm chuyển trạng thái tiếp theo, Next, nhận đầu vào là trạng thái hiện tại của bộ tạo khóa dòng S_i, và đưa ra trạng thái tiếp theo của bộ tạo khóa dòng S_i+1.

c) Hàm khóa dòng, Strm, nhận đầu vào là trạng thái của bộ tạo khóa dòng S_i, và đưa ra khối khóa dòng Z_i.

Khi bộ tạo khóa dòng đồng bộ lần đầu khởi tạo, nó sẽ nhập vào một trạng thái khởi tạo S₀ được xác định bởi:

S₀ = Init(IV,K)

Theo nhu cầu bộ tạo khóa dòng đồng bộ sẽ, với i = 0, 1,...

a) Đưa ra khối khóa dòng Z_i = Strm(S_i, K).

b) Cập nhật trạng thái máy S_i+1 = Next(S_i, K).

Vì vậy, để xác định bộ tạo khóa dòng đồng bộ chỉ cần xác định hàm Init, Next và Strm, bao gồm cả độ dài và bảng chữ cái của khóa, véc tơ khởi tạo, trạng thái và khối đầu ra.

6.1.2. Bộ tạo khóa dòng tự đồng bộ

Việc tạo ra khóa dòng cho mã dòng tự đồng bộ chỉ phụ thuộc vào bản mã trước, khóa và véc tơ khởi tạo. Mô hình tổng quát cho bộ tạo khóa dòng cho mã dòng tự đồng bộ được xác định:

a) Hàm khởi tạo, Init, nhận đầu vào là khóa K và véc tơ khởi tạo IV và đưa ra đầu vào trong cho bộ tạo khóa dòng S và khối bản mã giả r C_-1, C_-2, … , C_-r.

b) Hàm khóa dòng, Strm, nhận đầu vào S và khối bản mã r C_-1, C_-2,...,C_-r và đưa ra khối khóa dòng Z_i.

Để xác định bộ tạo khóa dòng tự đồng bộ chỉ cần thiết xác định số lượng các khối phản hồi r và hàm Init và hàm Strm.

CHÚ THÍCH Mã dòng tự đồng bộ khác với mã dòng đồng bộ ở chỗ khóa dòng chỉ phụ thuộc vào bản mã trước, véc tơ khởi tạo và khóa, nghĩa là bộ tạo khóa dòng hoạt động trong kiểu không trạng thái. Kết quả là, sự giải mã cho mật mã như vậy có thể khôi phục từ sự mất mát của đồng bộ hóa sau khi nhận được đầy đủ các khối bản mã. Điều này cũng có nghĩa là các phương pháp tạo khóa dòng phụ thuộc vào hàm đầu ra được lựa chọn Out, mà điển hình là phép toán XOR từng bit.

6.2. Các hàm đầu ra

6.2.1. Mô hình tổng quát của hàm đầu ra

Điều 6.2 chỉ rõ hai hàm đầu ra mã dòng, nghĩa là các kỹ thuật được sử dụng trong mã dòng để kết hợp khóa dòng với bản rõ để nhận được bản mã.

Hàm đầu ra cho mã dòng đồng bộ hoặc tự đồng bộ là hàm Out kết hợp khối bản rõ P_i, khối khóa dòng Z_i và một số đầu vào khác R nếu cần thiết để đưa ra khối bản mã C_i(i > 0). Mô hình tổng quát của hàm đầu ra mã dòng được xác định:

Mã hóa khối bản rõ P_i bằng khối khóa dòng Z_i xác định như sau:

C_i = Out(P_i, Z_i, R)

Và giải mã khối bản mã C_i bằng khối khóa dòng Z_i xác định như sau:

P_i = Out^-1(P_i, Z_i, R).

Hàm đầu ra phải đáp ứng cho bất kỳ khối khóa dòng Z_i, khối bản rõ P_i và đầu vào khác R,

P_i = Out^-1(Out(P_i, Z_i, R), Z_i, R).

6.2.2. Hàm đầu ra cộng nhị phân

Mã dòng cộng nhị phân là mã dòng trong đó khối khóa dòng, khối bản rõ và khối bản mã là các xâu các số nhị phân và phép toán để kết hợp bản rõ với khóa dòng là phép toán XOR từng bit. Phép toán Out có hai đầu vào và không sử dụng bất kỳ thông tin bổ sung R để tính toán. Cho n là độ dài bit của P_i. Hàm này xác định như sau:

Out(P_i, Z_i, R) = P_iÅZ_i

Phép toán Out^-1 xác định như sau:

Out^-1(C_i, Z_i, R) = C_iÅZ_i

CHÚ THÍCH Hệ mã dòng cộng nhị phân không cung cấp bất kỳ tính bảo vệ tính toàn vẹn cho dữ liệu được mã hóa. Nếu có yêu cầu tính toàn vẹn cho dữ liệu thì hoặc là sử dụng hàm đầu ra MULTI-S01 hoặc có cơ chế toàn vẹn riêng biệt, chẳng hạn MAC, nghĩa là Mã xác thực thông báo (cơ chế này được quy định trong tiêu chuẩn ISO/IEC 9797).

6.2.3. Hàm đầu ra MULTI-S01

a) Mô hình tổng quát của MUTIL-S01

MULTI-S01 là hàm đầu ra cho mã dòng đồng bộ hỗ trợ cả tính toàn vẹn và tính bí mật của dữ liệu. Phép toán mã hóa MULTI-S01 phù hợp để sử dụng trong môi trường trực tuyến. Tuy nhiên, phép toán giải mã của MULTI-S01 có thể chỉ thực hiện trong tình huống ngoại tuyến, như kiểm tra tính toàn vẹn chỉ được thực hiện sau khi nhận được tất cả các khối bản mã. MULTI-S01 có một tham số an toàn n. Việc tính toán đầu ra phụ thuộc vào sự lựa chọn trường GF(2ⁿ), tức là phụ thuộc vào lựa chọn đa thức bất khả quy bậc n trên trường GF(2ⁿ). Hàm MULTI-S01 chỉ chấp nhận thông báo có chiều dài là bội số của n. Để mã hóa thông điệp có chiều dài không phải là bội của n, yêu cầu sử dụng thêm cơ chế đệm Pad(M).

CHÚ THÍCH Việc dư thừa R được tạo ra theo cách mà người gửi và người nhận chia sẻ nó. R có thể là một giá trị công khai cố định như 0x00...0.

b) Hàm mã hóa Out(P, R, Z)

Đầu vào: bản rõ P n.u- bit, khóa dòng Z = (Z₀, Z₁,...), Trong đó Z_i là các khối n-bit, dư thừa R n-bit.

Đầu ra: Bản mã C.

1) Lấy t là giá trị thấp nhất của i (i ³ 0) sao cho Z_i # 0⁽ⁿ⁾.

2) Lấy (P₀, P₁, … P_u-1) = P, trong đó P_i là khối n-bit

3) Đặt P_u = Z_t+u+3.

4) Đặt P_u+1 = R.

5) Đối với mỗi P_i, thực hiện các phép tính sau (với i = 0,1,...,u+1).

- Lấy W_ị = P_iÅZ_t+i+1.

- Lấy X_i = Z_tÄW_i (trong trường GF(2ⁿ)).

- Lấy C_i = X­_iÄW­_i-1  trong đó W_i-1 là giá trị W của khối i-1 trước đó và W_-1 = 0⁽ⁿ⁾

- Đặt C = C₀ || C₁ || … ||| C_u+1.

- Đưa ra C.

Hình 1 mô tả sơ đồ khối của hàm Out

Hình 1 - Hàm Out của chế độ MUTIL-S01

CHÚ THÍCH 2 Đa thức bất khả quy được sử dụng để xác định phép nhân trong trường phụ thuộc vào n. Ví dụ, trong trường hợp n =64 và 128, có thể sử dụng đa thức bất khả quy x⁶⁴ + x⁴ +x³ + x +1 và x¹²⁸ + X⁷ +x² + x + 1.

c) Hàm giải mã Out^-1 (P,Z,R)

Đầu vào: bản mã C độ dài n.v-bit khóa dòng Z, dư thừa R độ dài n-bit.

Đầu ra: bản rõ P hoặc “từ chối”.

1) Lấy t là giá trị thấp nhất của i (i ³ 0) sao cho Z_i ¹ 0⁽ⁿ⁾.

2) Lấy (C₀, C₁,...C_v-1) = C, trong đó C_i là khối n-bit

3) Đối với mỗi C_i, thực hiện các phép tính sau (với i=0,1,...,v-1):

- Lấy X_i = C_iÅW_i-1, trong đó W_-1 = 0⁽ⁿ⁾.

- Lấy W_i = Z­_t^-1ÄX­_i (trong trường GF(2ⁿ)).

- Lấy P_i = W_iÅZ_t+i+1.

4) Nếu P_v-2 = Z_t+v+1 và P_v-1 = R, đưa ra P = P₀ || P₁ || … || P_v-3 là bản rõ. Nếu không, đưa ra biểu tượng đặc biệt nghĩa là “từ chối” mà không có bất kỳ văn bản nào.

Hình 2 mô tả sơ đồ khối của hàm Out^-1

Hình 2 - Hàm Out^-1 của chế độ MULTI-S01

d) Cơ chế đệm Pad(M)

Chỉ khi độ dài của thông báo đầu vào không phải là bội số của n, cơ chế đệm Pad(M) sau đây được thực thi:

Đầu vào: Xâu M độ dài (nv+c)-bit, trong đó v là số nguyên không âm và 0 £ c < n.

Đầu ra: bản rõ P được đệm

1) Đệm xâu bit “1” vào cuối thông báo.

2) Đệm xâu 0^(n-c-1) độ dài (n-c-1)-bit vào xâu được tạo bởi bước a).

3) Đưa ra toàn bộ xâu có độ dài (nv+n)-bit.

CHÚ THÍCH 3 Nếu độ dài của thông báo là bội số của n, trong mỗi trường độ dài không phải là nhất định như vậy, cơ chế đệm này được khuyến khích.

CHÚ THÍCH 4 Để bỏ đệm của thông báo, loại bỏ liên tiếp bit 0 ở phần cuối của dữ liệu và loại bỏ các bit “1”.

7. Xây dựng bộ tạo khóa dòng từ mã khối

7.1. Các chế độ mã khối cho bộ tạo khóa dòng đồng bộ

7.1.1. Chế độ OFB (Đầu ra phản hồi) và CTR (Bộ đếm)

Điều 7.1 quy định hai chế độ n-mã khối cho bộ tạo khóa dòng đồng bộ. Đó là, chế độ OFB (Đầu ra phản hồi) và chế độ CTR (Bộ đếm) của mã khối e_K n-bit.

7.1.2. Chế độ OFB

Chế độ OFB được xác định bởi một tham số r, 1 £ r £ n, là kích thước của khối bản rõ và bản mã.

Véc tơ khởi tạo IV à xâu n-bit. IV sẽ được tạo ra khác nhau cho hai quá trình mã hóa với cùng một khóa K. Hàm Init, Next và Strm được quy định như sau:

- Init(IV,K)=IV.

- Next(S_i, K) = e_K(S_i)

- Strm(S_i) = (r ~ S_i).

CHÚ THÍCH Init(IV,K) = IV tương đương với S₀ = IV.

Trong trường hợp của chế độ OFB, hàm đầu ra cộng nhị phân được xác định trong 6.2.2 được sử dụng. Hình 3 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFB.

Hình 3 - Tạo khóa dòng dựa trên chế độ OFB

7.1.3. Chế độ CTR

Chế độ CTR được xác định bằng một tham số r, 1 £ r £ n, là kích thước của khối bản rõ và bản mã.

Véc tơ khởi tạo IV là xâu n-bit cần được đảm bảo rằng S_i ¹ S’_j cho hai khóa dòng S₀, S₁, S₂, … và S’₀, S’₁, S’₂,... được tạo ra với cùng một khóa K. Hàm Init, Next và Strm được xác định như sau:

- Init(IV, K) = IV.

- Next(S_i, K) = S_i + 1 mod 2ⁿ.

- Strm(S_i, K) = (r ~ e_K(S_i)).

CHÚ THÍCH Init(IV, K) = IV tương đương với S₀ = IV.

Trong trường hợp của chế độ CTR, hàm đầu ra cộng nhị phân được xác định trong 6.2.2 được sử dụng. Hình 4 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFB.

Hình 4 - Tạo khóa dòng dựa trên chế độ CTR

7.2. Chế độ mã khối cho bộ tạo khóa dòng tự đồng bộ

7.2.1. Giới thiệu chế độ CFB

Chế độ CFB của mã khối n-bit là mã dòng tự đồng bộ.

7.2.2. Chế độ CFB

Chế độ CFB (Phản hồi mã) được xác định với 3 tham số, tức là kích thước j của bộ đệm phản hồi S_i, trong đó n £ j £ 1024n, kích thước biến phản hồi b, trong đó 1 £ b £ n và khối đầu ra có kích thước r, trong đó 1 £ r £ b.

CHÚ THÍCH 1 Giá trị b-r cần nhỏ hơn b

Véc tơ khởi tạo IV cần được tạo ngẫu nhiên xâu j-bit và cũng cần được tạo ra khác nhau cho hai mã hóa với cùng một khóa K. Hàm Init, Next và Strm được xác định như sau:

- Init(IV, K) = IV.

- Next(S) = Shift_b(S|Shift_r(I(b)|C_i)).

- Strm(S, K) = (r ~ e_K((n ~ S))).

CHÚ THÍCH 2 Init(IV,K) = IV tương đương với S₀ =IV.

Trong trường hợp của chế độ CFB, hàm đầu ra cộng nhị phân được xác định trong 6.2.2 được sử dụng. Hình 5 mô tả sơ đồ khối của bộ tạo khóa dòng dựa trên chế độ CFP.

Hình 5 - Tạo khóa dòng dựa trên chế độ CFB

8. Bộ tạo khóa dòng chuyên dụng

8.1. Bộ tạo khóa dòng MUGI

8.1.1. Giới thiệu MUGI

MUGl là bộ tạo khóa dòng sử dụng khóa bí mật K 128-bit, véc tơ khởi tạo IV 28-bit và biến trạng thái S_i (i ³ 0) bao gồm 19 khối 64-bit (lưu ý rằng mỗi khối được sử dụng thông qua đặc tả của MUGI cho mỗi khối 64-bit) và đưa ra khối khóa dòng Z_i tại mỗi lần lặp của hàm Strm.

CHÚ THÍCH Bộ tạo khóa dòng này ban đầu được đề xuất trong [17].

Biến trạng thái được chia nhỏ thành kết hợp của biến 3-khối:

a⁽ⁱ⁾ = ,

Trong đó  là khối (với j = 0, 1, 2) và biến 16-khối

b⁽ⁱ⁾ = ,

Trong đó  là khối (với j = 0, 1,..., 15)

Hàm Init, được xác định chi tiết trong 8.1.2, nhận đầu vào khóa K độ dài 128-bit và véc tơ khởi tạo IV độ dài 128-bit và tạo giá trị ban đầu của biến trạng thái S₀ = (a⁽⁰⁾, b⁽⁰⁾),

Hàm Next, được xác định chi tiết trong 8.1.3, nhận đầu vào biến trạng thái 19-khối S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và đầu ra là giá trị tiếp theo của biến trạng thái S_i+1 = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

Hàm Strm, được xác định chi tiết trong 8.1.4, nhận đầu vào biến trạng thái 19-khối S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và đầu ra là khối khóa dòng Z_i.

Lưu ý rằng hàm Next được xác định trong các số hạng của r₁ và l₁ được xác định tương ứng trong 8-1.5 và 8.1.6. Hàm r₁ được xác định trong số hạng của hàm r₁ được xác định trong 8.1.7

Có 3 hằng số được sử dụng trong MUGI, D₀ trong hàm khởi tạo Init, và D₁, D₂ trong r₁. Chúng xác định bởi:

D₀ = 0x6A09E667F3BCC908,

D₁ = 0xBB67AE8584CAA73B,

D₂ = 0x3C6EF372FE94F82B.

8.1.2. Hàm khởi tạo Init

Việc khởi tạo MUGI được chia ra thành 8 bước. Các khối nửa trái và nửa phải của K được biểu diễn tương ứng bằng K₀ và K₁. IV₀ và IV₁ được xác định theo cách tương tự. Hàm khởi tạo Init như sau:

Đầu vào: Khóa K128-bit, véc tơ khởi tạo IV độ dài 128-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾,b⁽⁰⁾)

a) Đặt khóa K vào thành phần của biến trạng thái a^(-49) như sau:

- Đặt (K₀, K₁) = K, trong đó K_i là 64 bit với i = 0, 1

- Đặt  = K₀.

- Đặt  = K₁.

- Đặt  = (K₀ <<<₆₄ 7)Å = (K₁ >>>₆₄ 7)ÅD₀.

D₀ trong biểu thức trên là hằng số (xem 8.1).

b) Với i = -49, -48,..., -34 đặt a⁽ⁱ⁺¹⁾ = r₁(a⁽ⁱ⁾, 0⁽⁶⁴⁾, 0⁽⁶⁴⁾). Mô tả của r xem 8.1.5.

c) Với i = 0, 1,…, 15 đặt = a₀^(i-48)

d) Thêm véc tơ khởi tạo IV vào trạng thái như sau:

- Đặt IV₀||IV₁=IV, trong đó IV_i là khối

- Đặt  = Å IV₀.

- Đặt  = Å IV₁.

- Đặt  = Å(IV₀ <<<₆₄ 7)Å(IV₁ >>>₆₄ 7)ÅD₀.

e) Với i = -32, -31,..., -17, đặt a⁽ⁱ⁺¹⁾ = r₁(a⁽ⁱ⁾, 0⁽⁶⁴⁾, 0⁽⁶⁴⁾)

f) Đặt S_-16 = (a^(-16), b^(-16))

g) Lặp hàm cập nhật Next 16 lần:

Đặt S₀ = Next¹⁶(S_-16)

Trong đó Next 16 đại diện cho 16 lần lặp của hàm chuyển trạng thái theo Next

h) Đưa ra S₀.

8.1.3. Hàm chuyển trạng thái theo Next

Hàm chuyển trạng thái theo của MUGI được xác định là sự kết hợp của r₁ và l₁. Hàm chuyển trạng thái theo của MUGI như sau:

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾).

Đầu ra: Trạng thái tiếp theo của biến trạng thái S_i+1 = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

- Đặt a⁽ⁱ⁺¹⁾ = r₁(aⁱ, , ). Mô tả chi tiết của hàm r₁ được đưa ra trong 8.1.5.

- Đặt b⁽ⁱ⁺¹⁾ = l­₁(bⁱ, a₀⁽ⁱ⁾). Mô tả chi tiết của hàm l₁ được đưa ra trong 8.1.6.

- Đặt S_i+i = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾)

- Đưa ra S_i+1.

8.1.4. Hàm khóa dòng Strm

Hàm khóa dòng Strm như sau:

Đầu vào: Biến trạng thái S_i.

Đầu ra: Khối khóa dòng Z_i.

- Đặt Z_i =

- Đưa ra Z_i.

8.1.5. Hàm r₁

Hàm r₁ như sau:

Đầu vào: Biến trạng thái a⁽ⁱ⁾, hai tham số độ dài 64-bit w₁, w₂.

Đầu ra: Giá trị tiếp theo của biến trạng thái a⁽ⁱ⁺¹⁾

- Đặt

-Đặt Å F(,w₁) Å D₁.

- Đặt Å F (, (w₂ <<<₆₄ 17) Å D₂.

- Đưa ra a⁽ⁱ⁺¹⁾.

D₁, D₂ là hằng số (xem thêm chi tiết tại 8.1).

Hình 6 mô tả sơ đồ khối của hàm r₁. Mô tả chi tiết của hàm F được đưa ra trong 8.1.7.

Hình 6 - Hàn r₁ của MUGI

8.1.6. Hàm l₁

Hàm l₁ như sau:

Đầu vào: Biến trạng thái b⁽ⁱ⁾, tham số a' độ dài 64-bit.

Đầu ra: Giá trị tiếp theo của biến trạng thái b⁽ⁱ⁺¹⁾

- Đặt  với j ¹ 0, 4, 10.

- Đặt Å a'.

- Đặt

- Đặt  <<<₆₄ 32)

Đưa ra b^(t+1).

8.1.7. Hàm F

Hàm F dùng phép toán trên trường hữu hạn GF(2⁸). Trong biểu diễn đa thức, GF(2⁸) được thực hiện như GF(2)[x]/ f(x), trong đó f(x) là đa thức bất khả quy bậc 8 được xác định trên trường GF(2). Bộ tạo khóa dòng MUGI sử dụng đa thức bất khả quy sau:

f(x) = x⁸ + x⁴ + x³ + x + 1.

Hàm F là kết hợp của phép cộng khóa (việc bổ sung dữ liệu từ một phần của biến trạng thái b), phép biến đổi phi tuyến sử dụng hàm S_R, biến đổi tuyến tính sử dụng ma trận M và phép xáo trộn byte (xem Hình 7).

Chúng ta biểu diễn đầu vào và đầu ra cho hàm F tương ứng là X và Y. Khi đó, hàm F xác định như sau: Đầu vào: hai xâu X và T độ dài 64-bit.

Đầu ra: xâu Y độ dài 64-bit.

- X' = X Å T

- Đặt (X₀, X₁, X₂, X₃, X₄, X₅, X₆, X₇) = X' trong đó X_i là xâu có độ dài 8-bit

- Đặt P_i = S_R(X_i) với i = 0,1, …, 7.

- Đặt P_L = P₀ || P₁ || P₂ || P₃.

- Đặt P_R = P₄ || P₅ || P₆ || P₇.

-Đặt Q_L = M(P_L).

- Đặt Q_R = M(P_R).

- Đặt (Q₀, Q₁, Q₂, Q₃) = Q_L.

- Đặt (Q₄, Q₅, Q₆, Q₇ ) = Q_{R .,}

- Đặt Y = Q₄ || Q₅ || Q₂ || Q₃ || Q₀ || Q₁ || Q₆ || Q₇.

- Đưa ra Y.

Hình 7 mô tả sơ đồ khối của hàm F

Hình 7 - Hàm F của MUGI

8.1.8. Hàm S_R

Hàm S_R là hàm nội tại của hàm F. Hàm S_R có thể được mô tả bằng cách sử dụng bảng thay thế. Trong trường hợp này, hàm S_R như sau:

Đầu vào: xâu x độ dài 8-bit

Đầu ra: xâu độ dài 8-bit.

- Đặt y = SUB[x]

- Đưa ra y.

SUB sử dụng trong hàm S_R là thay thế như sau:

8.1.9. Hàm M

Hàm M là hàm nội tại của hàm F. Hàm M như sau:

Đầu vào: xâu X có độ dài 32-bit.

Đầu ra: xâu Y có độ dài 32-bit

- Đặt (x₀, x₁, x₂, x₃) = X, trong đó x_i là xâu có độ dài 8-bit và là phần tử của GF(2⁸).

- Đặt

Trong đó 0x01, 0x02 và 0x03 là biểu diễn thập lục phân của các phần tử của trường GF(2⁸).

- Đặt Y = y₀ || y₁ || y₂ || y₃.

- Đưa ra Y.

8.2. Bộ tạo khóa dòng SNOW 2.0

8.2.1. Giới thiệu SNOW 2.0

SNOW 2.0, trong phần tiếp theo chỉ đơn giản ký hiệu là SNOW, là bộ tạo khóa dòng sử dụng như là đầu vào khóa bí mật K có độ dài 128 hoặc 256-bit và một véc tơ khởi tạo IV có độ dài 128-bit. Chúng được sử dụng để khởi tạo biến trạng thái S_i (i ³ 0) bao gồm 18 khối n = 32 bit. Thứ tự bit/byte là big-endian, tức là nếu khóa và véc tơ khởi tạo được cho dưới dạng một dãy các bit/byte, bit/byte phần đầu/tận cùng bên trái có trọng số cao nhất của dữ liệu tương ứng. Đối với mỗi lần lặp hàm Strm, 32-bit khóa dòng Z_i được tạo coi như đầu ra.

Biến trạng thái SNOW S_i bao gồm hai phần. Phần thứ nhất, 16 biến có độ dài 32-bit:

thực hiện một thanh ghi dịch phản hồi tuyến tính (LFSR). Phần thứ hai, 2 biến có độ dài 32-bit:

duy trì trạng thái của máy trạng thái hữu hạn (FSM). SNOW được hiểu là tốt nhất với tham chiếu trong Hình 8, trong đó cho thấy một ảnh chụp, tại thời điểm i, bỏ qua biến phụ thuộc thời gian (i)

Hình 8 - Biểu đồ của SNOW

Phép toán SNOW được xác định:

Hàm Init, xác định chi tiết trong 8.2.2, nhận đầu vào khóa K có độ dài 128 hoặc 256-bit và véc tơ khởi tạo IV có độ dài 128-bit và tạo giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, b⁽⁰⁾).

Hàm Next, được xác định chi tiết trong 8.2.3, nhận đầu vào 18 biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) có độ dài 32-bit và tạo đầu ra là giá trị tiếp theo của biến trạng thái S_i+1 = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾). Hàm Next chạy trong 2 chế độ, tùy thuộc vào việc thực hiện lặp là một phần của việc khởi tạo, hoặc, trong chế độ bình thường của tạo đầu ra, xem dưới đây.

Hàm Strm, được xác định chi tiết trong 8.2.4 nhận đầu vào là 18 biến trạng thái có độ dài 32-bit S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) và tạo ra như là đầu ra khóa dòng Z_i có độ dài 32-bit.

CHÚ THÍCH 1 Đối với SNOW, khuyến nghị số lượng tối đa khóa dòng được tạo ra từ (K,IV) là 2⁵⁰ khóa có độ dài 32-bit. Giới hạn này đã được lựa chọn để cung cấp biên an toàn tốt nhất đối với việc thám mã và ngụ ý không có giới hạn thực tế áp dụng các thuật toán.

CHÚ THÍCH 2 Bài viết [10] được tham chiếu cho lý thuyết nền tảng về lý do căn bản thiết kế cho SNOW.

8.2.2. Hàm khởi tạo Init

Hàm khởi tạo Init như sau.

Đầu vào: Khóa K có độ dài 128 hoặc 256-bit, Véc tơ khởi tạo IV có độ dài 128-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, b⁽⁰⁾).

a) Khởi tạo thanh ghi bằng thông tin khóa.

- Đối với khóa có độ dài 128-bit, Đặt (K₃, K₂, K₁, K₀) = K,  và  = K_3-j và

­Ø­(K_3-j) với j = 0, 1, 2, 3.

- Đối với khóa có độ dài 256-bit, Đặt (K₇, K₆, ..., K₀) =  và  = Ø­(K_7-j) với j = 0, 1, …,7.

b) Đặt S_-33 = (a^(-33), b^(-33)) bằng

- Đặt (IV₃, IV₂, IV₁, IV₀) = IV.

- Đặt  =  với i = 0, 1, 2, 3, 4, 5, 6, 7, 8, 11, 13,14.

-Đặt

- Đặt .

- Đặt S_-1 = Next³²(S_-33, INIT), trong đó Next³² biểu diễn cho 32 lần lặp của hàm Next

d) S₀ = Next(S_-1).

e) Đưa ra S₀.

8.2.3. Hàm chuyển trạng thái theo Next

SNOW có hai chế độ với hàm Next

Đầu vào: Biến trạng thái S_i = (a⁽ⁱ⁾, b⁽ⁱ⁾) mode = {INIT,null}.

Đầu ra: Giá trị tiếp theo của biến trạng thái S_i+1 = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾).

a) Đặt  = T ().

b) Đặt  = ).

c) Với j = 0,1, …, 14 đặt

d) Nếu chế độ INIT, đặt . Nếu không thì, đặt

e) S_i+1 = (a⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾)

f) Đưa ra S_i+1.

Mô tả của hàm T và số học trường hữu hạn bao gồm thành phần cố định a đề cập tương ứng trong điều 8.2.5 và 8.2.6.

CHÚ THÍCH Hình 9 mô tả sơ đồ khối của chế độ INIT của hàm Next

Hình 9 - Chế độ INIT của hàm Next

Định nghĩa của hàn FSM đề cập trong điều 8.2.8.

8.2.4. Hàm khóa dòng Strm

Hàm khóa dòng Strm như sau:

Đầu vào: Biến trạng thái S_i

Đầu ra: Khóa dòng Z_i có độ dài 32-bit

a) Đặt Z_i = FSM ().

b) Đưa ra Z_i.

8.2.5. Hàm T

Hàm T là hàm thay thế, đặc biệt là hoán vị trên trường GF(2³²) dựa trên các thành phần từ Chuẩn mã hóa tiên tiến (AES), TCVN 11367-3:2016 (ISO/IEC 18033-3). Cuối cùng trường hữu hạn GF(2⁸) được sử dụng như là trường GF(2)[x] modulo với đa thức bất khả quy.

f(x) = x⁸ + x⁴ + x³ + x + 1.

Và vành đa thức GF(2⁸)[y] mdulo (y⁴ +1).

Đầu vào: xâu w có độ dài 32-bit

Đầu ra: xâu q = T(w) có độ dài 32-bit

a) Đặt (w₃, w₂, w₁, w₀ = w) trong đó mỗi w_j có độ dài 8 bit.

b) Với j = 0,1, 2, 3 đặt t_j = SUB[w_j].

c) Lấy t(y) là đa thức t(y) = t₃y³ + t₂y² + t₁y + t₀ trên trường GF(2⁸)[y], trong đó t_j được hiểu như là một phần tử của GF(2⁸) theo cách tự nhiên t_j = t_j,7x⁷ + … + t_j,1x + t_j,0, t_j,k trong trường GF(2)

d) Đặt q(y) = c(y). t(y) modulo (y⁴ +1), trong đó c(y) = (x + 1)y³ + y² + y + x trên trường GF(2⁸)[y].

e) Kết hợp xâu q = (q₃, q₂, q₁, q₀) 32-bit với kết quả trên, q(y) = q₃y³ + q₂y² + q₁y + q₀

f) Đưa ra q.

Lưu ý rằng trong bước c), hai đa thức được nhân với nhau trong đó các phép toán hệ số-nhân-hệ số thực hiện trong trường GF(2⁸) được xác định bởi hàm f(x) ở trên. Sau đó kết quả được rút gọn theo modulo y⁴ +1.

CHÚ THÍCH 1 Hộp thế S-box của AES được tìm thấy trong 8.1.8

CHÚ THÍCH 2 Tham khảo chi tiết tối ưu hóa này và một số vấn đề khác tại bài báo [10].

8.2.6. Phép nhân a trong số học trường hữu hạn

Đầu vào: Xâu w có độ dài 32-bit, đại diện cho phần tử của GF(2³²).

Đầu ra: Xâu w' có độ dài 32-bit, đại diện cho µ Äw trong trường GF(2³²).

a) Đặt w' = (w <<₃₂ 8) Å a_MUL [w >>₃₂24]

b) Đưa ra w'

Hàm a_MUL được xác định như sau:

a_MUL[256] = {

8.2.7. Phép nhân a^-1 trong số học trường hữu hạn

Đầu vào: Xâu y có độ dài 32-bit, đại diện cho phần tử của GF(2³²).

Đầu ra: Xâu y có độ dài 32-bit, đại diện cho a^-1Äy trong trường GF(2³²).

a) Đặt y' = (y >>₃₂ 8) Å a_{inv_MUL}(y mod 256]

b) Đưa ra y’

Hàm a_{inv_MUL} được xác định như sau:

a_{inv_MUL} [256] = {

8.2.8. Hàm FSM(x, y, z)

Đầu vào: 3 xâu có độ dài 32-bit, x,y và z

Đầu ra: xâu q có độ dài 32-bit

a) Đặt q = (x +₃₂ y) Å z.

b) Đưa ra q.

8.3. Bộ tạo khóa dòng Rabbit

8.3.1. Tổng quan bộ tạo khóa dòng Rabbit

Rabbit là bộ tạo khóa dòng sử dụng khóa bí mật K có độ dài 128-bit, véc tơ khởi tạo IV có độ dài 64-bit và biến trạng thái trong S_i (i ³ 0) có độ dài 513-bit. Rabbit đưa ra khối khóa dòng Z_i có độ dài 128-bit tại mỗi lần lặp hàm Strm.

513-bit của trạng thái trong S_i được chia giữa 8 biến trạng thái có độ dài 32-bit , 8 biến đếm , và 1 bit nhớ bộ đếm b⁽ⁱ⁾.

Mô tả sử dụng các ký hiệu đưa ra tại Điều 4 của tiêu chuẩn này của bộ TCVN 11367 (ISO/IEC 18033). Ngoài ra, ký hiệu đặc biệt cho mảng bit được sử dụng để tăng cường khả năng đọc: Khi ghi nhãn các bit của một biến A, bit có trọng số thấp nhất được ký hiệu là A⁽⁰⁾. Ký hiệu A^[h..g] mô tả các bit từ h cho đến g của biến A, trong đó bit có vị trí h là bit có trọng số cao hơn bit ở vị trí g.

CHÚ THÍCH 1 Đối với bộ sinh khóa dòng Rabbit, khuyến nghị số lượng khóa dòng tối đa được tạo ra từ một khóa K cho trước là 2⁶⁴ khối khóa dòng. Giới hạn này đã được lựa chọn để cung cấp biến an toàn tốt nhất đối với việc phân tích mã và đồng thời ngụ ý không có giới hạn thực tế về khả năng áp dụng các thuật toán.

CHÚ THÍCH 2 Bài báo [8] được tham chiếu cho đề xuất ban đầu của mật mã và bài báo [9] được tham chiếu đến tổng quan về an toàn mật mã của nó.

8.3.2. Các biến bổ sung và ký hiệu

Đối với bộ tạo khóa dòng Rabbit, các ký hiệu sau đây được sử dụng thêm:

Ngoài ra, một số ký hiệu được sử dụng cho các biến phụ cục bộ trong mô tả các thuật toán. Những biểu tượng này chỉ xảy ra trong đặc tả hàm đưa ra và không có nghĩa toàn cục. Các biến này được mô tả trong phần khai báo của hàm.

8.3.3. Hàm khởi tạo Init

Trong phần tiếp theo, hàm khởi tạo Init cho Rabbit được quy định.

Đầu vào: Khóa K có độ dài 128-bit, véc tơ khởi tạo IV có độ dài 64-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = .

Biến cục bộ: biến đếm i, j

a) Lấy K₀ = K^[15..0], K₁ = K^[31...16] ,…, K₇ = K^[127..112]

b) Đặt S_-9, như sau:

1) Đặt b^(-9) = 0.

2) Với j = 0,1, …, 7:

- Nếu j là chẵn, đặt  = K_{(j+1 mod 8)} || K_j và  = K_{(j+4 mod 8)}) || K_{(j+5 mod 8)}.

- Ngược lại j lẻ đặt  = K_{(j+5 mod 8)} || K_{(j+4 mod 8)}) và  = K_{(j+1 mod 8)}.

c) Lặp lại các hàm trạng thái tiếp theo Next 4 lần: đặt S_i = Next(S_i-1) với i = -8, -7, -6, -5

d) Đặt S_-4 như sau:

1) Thay đổi các biến đếm như sau:

2)

e) Lặp lại hàm chuyển trạng thái theo Next 4 lần: đặt S_i = Next(S_i-1) với i = -3, -2, -1,0

f) Đưa ra S₀ =

CHÚ THÍCH Véc tơ khởi tạo IV được trộn vào trạng thái trong ở bước d) và e) của thuật toán. Nếu các ứng dụng yêu cầu tái khởi tạo thường xuyên với cùng một khóa, điều này có nghĩa để lưu trữ trạng thái trong sau bước c) như trạng thái chủ và để thực thi chỉ bước d) tới bước f) cho tái khởi tạo.

8.3.4. Hàm chuyển trạng thái theo Next

Hàm chuyển trạng thái theo Next cho Rabbit được quy định như sau:

Đầu vào: Biến trạng thái S_i =

Đầu ra: Biến trạng thái S_i+1 = .

Biến cục bộ: biến đếm j, biến tạm là số nguyên dương có độ dài 32-bit

a) Đặt hằng số A₀, ...A₇ như sau:

b) Lấy  = bⁱ

c) Với j = 0, 1, 2, … , 7:

- Lấy temp = ; kết quả này là giá trị có độ dài 33-bit

- Lấy  = temp^[32]

- Lấy  = temp^[31…0]

d) Lấy b⁽ⁱ⁺¹⁾ =

e) Với j = 0, 1, … , 7, lấy G_j = g(), trong đó hàm g được đưa ra trong 8.3.6.

f) Thay đổi trạng thái trong như sau:

g) Đưa ra S_i+1 = (b⁽ⁱ⁺¹⁾, )

8.3.5. Hàm khóa dòng Strm

Hàm khóa dòng Strm cho Rabbit được quy định như sau:

Đầu vào: Biến trạng thái S_i = (b⁽ⁱ⁾, ).

Đầu ra: Khối khóa dòng Z_i.

a) Đặt Z_i như sau:

b) Đưa ra Z_i.

8.3.6. Hàm g

Hàm g được quy định như sau:

Đầu vào: 2 tham số u và v có độ dài 32-bit

Đầu ra: kết quả hàm g(u, v) có độ dài 32-bit

Biến cục bộ: temp số nguyên dương có độ dài 32-bit

a) Lấy temp = (u+₃₂ v)²; kết quả là giá trị có độ dài 64-bit.

b) Lấy g(u, v) = temp^[31..0] Å temp^[63..32]

c) Đưa ra g(u, v)

8.4. Bộ tạo khóa dòng Decim^v2

8.4.1. Giới thiệu bộ tạo khóa dòng Decim^v2

DECIM^v2 là bộ tạo khóa dòng trong đó sử dụng khóa bí mật K có độ dài 80-bit và véc tơ khởi tạo IV có độ dài 64-bit. DECIM^v2 bao gồm thanh ghi dịch phản hồi tuyến tính A có độ dài tối đa 192-bit, được lọc bởi hàm Boolean LF 14-biến. Trong chế độ tạo khóa dòng, đầu ra của LF được sử dụng để nuôi một khối nén là hàm được gọi là ABSG, mà đầu cuối đi qua một bộ đệm B dài 32-bit để điều chỉnh tốc độ đầu ra khóa dòng.

DECIM^v2 được mô tả trong Hình 10, trong đó mô tả ảnh chụp, đúng thời điểm, bỏ qua biến phụ thuộc thời gian (i) từ các ký hiệu.

CHÚ THÍCH 1 Bài báo [6] được tham chiếu cho lý thuyết nền tảng về lý do căn bản thiết kế của DECIM^v2.

Biến trạng thái S_i của DECIM^v2 bao gồm giá trị độ dài 192-bit của thanh ghi aⁱ =  và biến Tⁱ độ dài 3-bit tương ứng với trạng thái của hàm nén ABSG, 32-bit bⁱ =  trong bộ đệm B, và số lượng I⁽ⁱ⁾ bit trong bộ đệm B đã sẵn sàng đưa ra.

Hình 10 - Sơ đồ của DECIM^v2

Hàm Init, được xác định chi tiết trong 8.4.3, nhận đầu vào là khóa K độ dài 80-bit và véc tơ khởi tạo IV độ dài 64-bit và tạo ra giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, T⁽⁰⁾, b⁽⁰⁾, I⁽⁰⁰).

Hàm Next, được xác định chi tiết trong 8.4.5, nhận đầu vào là giá trị các biến trạng thái S_i = (a⁽ⁱ⁾, T⁽ⁱ⁾, b⁽ⁱ⁾, I⁽ⁱ) và tạo ra đầu ra là giá trị tiếp của biến trạng thái S_i+1 = (a⁽ⁱ⁺¹⁾, T⁽ⁱ⁺¹⁾, b⁽ⁱ⁺¹⁾, I⁽ⁱ⁺¹⁾). Hàm Next chạy trong 3 chế độ, tùy thuộc vào việc thực hiện lặp lại là một phần của khởi tạo thanh ghi, khởi tạo của bộ đệm hoặc bộ tạo khóa dòng tuần tự.

Hàm Strm, được xác định chi tiết trong 8.4.6 nhận đầu vào là giá trị của các biến trạng thái S_i = (a⁽ⁱ⁾, T⁽ⁱ⁾, b⁽ⁱ⁾, I⁽ⁱ) và tạo ra đầu ra là bit khóa dòng Z_i.

CHÚ THÍC 2: Tốc độ đầu ra chuẩn của DECIM^v2 là ¼. Vì vậy, để đồng bộ biến trạng thái và đầu ra khóa dòng, hàm Next thực hiện 4 vòng lặp tiêu chuẩn của DECIM^v2 được quy định trong [6].

CHÚ THÍCH 3 Hàm nén của DECIM^v2 có tốc độ đầu ra thay đổi, bằng 1/3 mức trung bình. Vì vậy, một cơ chế đệm được sử dụng để đảm bảo tốc độ đầu ra cố định. Sự khác biệt giữa tốc độ đầu ra bộ đệm và tốc độ đầu ra hàm nén, cũng như độ dài bộ đệm, đã được lựa chọn để đảm bảo rằng các bộ đệm luôn luôn có các chức năng như mong muốn với xác suất đa số, như mô tả trong 8.4.3.

CHÚ THÍCH 4 DECIM^v2 kháng các tấn công như mô tả trong [18].

8.4.2. Các biến bổ sung và ký hiệu

Đối với bộ tạo khóa dòng Decim^v2, các ký hiệu sau đây được sử dụng thêm:

Ngoài ra, một số ký hiệu được sử dụng cho các biến phụ cục bộ trong mô tả các thuật toán. Những biểu tượng này chỉ xảy ra trong đặc tả hàm đưa ra và không có nghĩa toàn cục. Các biến này được mô tả trong phần khai báo của hàm.

8.4.3. Hàm khởi tạo Init

Hàm khởi tạo Init được xác định như sau:

Đầu vào: Khóa K độ dài 80-bit và véc tơ khởi tạo IV độ dài 64-bit.

Đầu ra: Giá trị khởi tạo của biến trạng thái S₀ = (a⁽⁰⁾, T⁽⁰⁾, b⁽⁰⁾, I⁽⁰⁾).

Biến cục bộ: biến đếm i, j

a) Khởi tạo thanh ghi với khóa K và véc tơ khởi tạo IV.

- Đặt  = K_j với j= 0, 1, 2, …, 79

- Đặt  = K_j-80ÅIV_j-80 với j= 80, 81, …, 143

- Đặt  = K_j-80ÅIV_j-144ÅIV_j-128ÅIV_j-112ÅIV_j-196 với j= 144,145, ...,159