《密碼學(xué)》04-5 國際數(shù)據(jù)加密算法(IDEA)

密碼學(xué)第四章分組密碼4.4

國際數(shù)據(jù)加密算法(IDEA)IDEA背景IDEA算法描述IDEA的設(shè)計原理4.4

國際數(shù)據(jù)加密算法(IDEA)

XuejiaLai和JamesMassey于1990年提出了PES（ProposedEncryptionStandard，推薦加密標準）分組密碼算法。

1991年對PES作了改進，并將改進后的算法稱為IPES（ImprovedProposedEncryptionStandard，改進型推薦加密標準）。

IPES于1992年改名為IDEA（InternationalDataEncryptionAlgorithm，國際數(shù)據(jù)加密算法）。一、IDEA背景分組長度：64比特迭代圈數(shù)：8圈（每圈6個子密鑰塊）再附加一個輸出變換（4個子密鑰塊）密鑰長度：128比特二、IDEA算法描述基本參數(shù)

IDEA的分組長度為64比特，密鑰長度為128比特。其加、脫密運算用的是同一個算法，二者的不同之處僅在于密鑰調(diào)度不同。其加、脫密運算是在128比特初始密鑰作用下，對64比特的輸入數(shù)據(jù)分組進行操作，經(jīng)8圈迭代后，再經(jīng)過一個輸出變換，得到64比特的輸出數(shù)據(jù)分組。整個運算過程全部在16位子分組上進行，因此該算法對16位處理器尤其有效。64bit明文X第2圈輸出變換第8圈第1圈64bit密文Y

IDEA加密總體方案流程圖（一）加密算法IDEA分組密碼算法的加密過程如圖所示。二、IDEA算法描述其中Xi（i=1,2,3,4）是16比特明文子分組；

Yi（i=1,2,3,4）是16比特密文子分組；

Zi

(r)（對r=1,…,8,i=1,2,3,4,5,6;對r=9,i=1,2,3,4）是16比特圈子密鑰；

⊕表示16比特的逐位異或運算；

+表示16比特整數(shù)的模216加法運算；表示16比特整數(shù)的模216+1乘法運算，其中全零子塊用216代替。三種基本運算：按位模2加，模216加法，模216+1乘法。二、IDEA算法描述

模216加法運算是IDEA算法中使用的非線性環(huán)節(jié)（相對異或運算而言），記a+b(mod216)=c

其中a=a15a14…a0，b=b15b14…b0，c=c15c14…c0，

ai

,bi

,ci{0,1},i=0,1,…,15。

由于進位的原因，輸出c的比特位ci包含有輸入a和b的比特位ai、bi、ai-1、bi-1、…、a0、b0的信息。

經(jīng)過模216加法運算，實現(xiàn)了將輸入的低位信息向輸出的高位的擴散。二、IDEA算法描述模216+1乘法的具體運算過程如下：

(1)如果a=0，則證明(1)

b=0時，abmod(2161)=216

216

mod(216+1)

=1=1-0，時，abmod(2161)b=1時，abmod(2161)=216mod(216+1)=0=1-1，=216

bmod(216+1)=-bmod(216+1)=216+1-b

(2)如果b=0，則二、IDEA算法描述(3)若a、b為兩個非零整數(shù)，則有其中

表示ab

除以216所得的商。設(shè)那么就有注意到即證二、IDEA算法描述（二）密鑰生成算法

IDEA分組密碼的子密鑰生成算法比較容易。用于8圈迭代和輸出變換的52個(8圈迭代每圈6個，輸出變換4個)16比特子密鑰是由128比特初始密鑰按下述方式生成的：首先將128比特初始密鑰從左到右分成8個16比特子塊，并將所得的8個子塊直接作為加密算法中最前面的8個子密鑰，然后將上述128比特密鑰循環(huán)左移25位，并將由此產(chǎn)生的128比特密鑰再從左到右分成8個16比特子塊，得到隨后的8個子密鑰，重復(fù)這個過程，直到產(chǎn)生52個16比特子密鑰為止。二、IDEA算法描述……52個密鑰子塊的生成取前64比特密鑰比特的使用：平均6－7次二、IDEA算法描述（三）脫密算法這里表示的模的乘法逆，表示的模的加法逆。

脫密過程與加密過程基本上是相同的，唯一改變的是脫密過程中所使用的52個16比特的脫密子密鑰是由加密子密鑰按下述方式計算出來的：二、IDEA算法描述表5.3.1IDEA加、脫密子密鑰的關(guān)系二、IDEA算法描述（四）IDEA加、脫密變換的相似性

下圖所示的變換是IDEA的圈變換中的一部分，稱為共處理變換。IDEA的圈變換中的共處理變換二、IDEA算法描述注意到

設(shè)該變換的4個16比特輸入子塊分別為，4個16比特輸出子塊分別為。容易推出，要證明IDEA加、脫密算法的相似性，只需證明共處理變換的4個輸入子塊經(jīng)過兩次共處理變換后的輸出仍然是它本身即可。圖中的虛框部分被稱為乘加結(jié)構(gòu)MA。MA的輸入和輸出均為32比特，顯然輸入為（），若記輸出的左16比特為LMA，右16比特為RMA，則有下面4個式子：二、IDEA算法描述則將上面4個式子移項得到這說明當共處理變換以作為輸入，而子密鑰不變時，其輸出為。也就是說，共處理變換的4個輸入子塊經(jīng)過兩次共處理變換后的輸出是它本身。至此證明了IDEA分組密碼加、脫密變換的相似性。二、IDEA算法描述三、IDEA的設(shè)計原理

IDEA是一種使用128比特密鑰以64比特分組為單位加密數(shù)據(jù)的分組密碼，其設(shè)計目標可以歸結(jié)為兩方面：一方面與密碼強度有關(guān)，另一方面與使用的方便性有關(guān)。

“使用來自不同代數(shù)群的混合運算”是IDEA所提出的新的設(shè)計思想，它利用三個“不相容”的群運算以達到混亂，利用乘加密碼結(jié)構(gòu)來實現(xiàn)擴散和進一步的混亂。使得IDEA復(fù)雜的代數(shù)結(jié)構(gòu)不能得到簡化。而這正是我們在設(shè)計分組密碼算法中所追求的。

（一）密碼強度IDEA的下列特性與其密碼強度有關(guān)：分組長度：分組長度應(yīng)足夠大，以抵抗統(tǒng)計分析。使用64比特的分組大小通常認為已經(jīng)足夠強。密鑰長度：密鑰長度應(yīng)足夠長，以抵抗密鑰窮盡攻擊，通過使用128比特的密鑰長度，在將來的很長時間里IDEA似乎在這方面都是安全的。三、IDEA的設(shè)計原理關(guān)于混亂：密文應(yīng)以一種復(fù)雜的方式依賴于明文和密鑰，這樣做的目的是：使確定密文的統(tǒng)計特性和明文的統(tǒng)計特性的依賴關(guān)系非常復(fù)雜。IDEA通過使用三種不同的操作達到該目的，而DES主要靠異或運算及小的非線性S盒代替來實現(xiàn)。三、IDEA的設(shè)計原理關(guān)于擴散：

在IDEA中，擴散是由乘加結(jié)構(gòu)（MA）實現(xiàn)的。MA的輸入有兩部分，一部分是由明文導(dǎo)出的兩個16比特數(shù)值，另一部分是兩個16比特密鑰子塊。第一圈輸出的每一比特依賴于輸入（明文部分和密鑰部分）的每一比特。經(jīng)8圈循環(huán)之后，可提供非常有效的擴散。三、IDEA的設(shè)計原理（二）實現(xiàn)方面的考慮使用子分組：密碼操作應(yīng)該在對于軟件來說很自然的子分組上進行，具有這種特性的子分組包括8，16或32比特，IDEA使用16比特子分組。使用簡單操作：密碼操作應(yīng)該容易使用加法、移位等基本操作編程實現(xiàn)。IDEA的三種操作符合該要求，其中最困難的模乘法也可以容易地用簡單的基本操作構(gòu)成。1、便于軟件實現(xiàn)的原則三、IDEA的設(shè)計原理加密和解密過程類似：加密和解密應(yīng)該只在使用密