一種新的實(shí)用安全加密標(biāo)準(zhǔn)算法——Camellia算法

1、一種新的實(shí)用安全加密標(biāo)準(zhǔn)算法Camellia算法摘要介紹了標(biāo)準(zhǔn)中的分組密碼算法算法的加、解密過(guò)程，并對(duì)其在各種軟、硬件平臺(tái)上的性能進(jìn)行了比較，結(jié)果表明算法在各種平臺(tái)上均有著較高的效率。算法與其它技術(shù)相結(jié)合將在信息安全領(lǐng)域產(chǎn)生更廣泛的應(yīng)用。關(guān)鍵詞分組密碼算法加密繼年月美國(guó)推出二十一世紀(jì)高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)后，年月歐洲最新一代的安全標(biāo)準(zhǔn)、出臺(tái)。是歐洲委員會(huì)計(jì)劃的一個(gè)項(xiàng)目。算法以其在各種軟件和硬件平臺(tái)上的高效率這一顯著特點(diǎn)成為標(biāo)準(zhǔn)中兩個(gè)比特分組密碼算法之一另一個(gè)為美國(guó)的算法。算法由和聯(lián)合開(kāi)發(fā)。作為歐洲新一代的加密標(biāo)準(zhǔn)，它具有較強(qiáng)的安全性，能夠抵抗差分和線性密碼分析等已知的攻擊。與算法相比，算法在各種軟硬

2、件平臺(tái)上表現(xiàn)出與之相當(dāng)?shù)募用芩俣取３嗽诟鞣N軟件和硬件平臺(tái)上的高效性這一顯著特點(diǎn)，它的另外一個(gè)特點(diǎn)是針對(duì)小規(guī)模硬件平臺(tái)的設(shè)計(jì)。整個(gè)算法的硬件執(zhí)行過(guò)程包括加密、解密和密鑰擴(kuò)展三部分，只需占用工藝的庫(kù)門(mén)邏輯。這在現(xiàn)有比特分組密碼中是最小的。算法的組成算法支持比特的分組長(zhǎng)度，、和比特的密鑰與的接口相同。本文以比特密鑰為例對(duì)算法進(jìn)行詳細(xì)介紹。算法比特密鑰的加、解密過(guò)程共有輪，采用結(jié)構(gòu)，加、解密過(guò)程完全相同，只是子密鑰注入順序相反。而且密鑰擴(kuò)展過(guò)程和加、解密過(guò)程使用相同的部件。這使得算法不論是在軟件平臺(tái)還是硬件平臺(tái)只需更小的規(guī)模和更小的存儲(chǔ)即可。算法所采用的符號(hào)列表及其含義比特向量比特向量比特向量比特向

3、量比特向量向量的左半部分向量的右半部分比特循環(huán)左移兩個(gè)操作數(shù)的連接比特的異或操作比特位取補(bǔ)操作比特位的或操作比特位的與操作算法所采用的變量列表及其含義比特明文組比特密文組主密鑰子密鑰算法所采用的變換函數(shù)變換變換見(jiàn)式是算法中最主要的部件之一，而且變換被加、解密過(guò)程和密鑰擴(kuò)展過(guò)程所共用比特密鑰的加、解密各用次，密鑰擴(kuò)展用次。算法的變換在設(shè)計(jì)時(shí)采用輪的，包括一個(gè)變換線性和一個(gè)變換非線性。在型密碼使用一輪作輪函數(shù)時(shí)，對(duì)更高階的差分和線性特性概率的理論評(píng)估變得更加復(fù)雜，在相同安全水平下的運(yùn)行速度有所提高。范文先生網(wǎng)收集整理變換算法的變換見(jiàn)式是一個(gè)線性變換。為了通信中軟、硬件實(shí)現(xiàn)的高效性，它適合采用異或運(yùn)

4、算，并且其安全性能足以抵抗差分和線性密碼分析。其在位處理器、高端智能卡上的應(yīng)用，跟在位處理器上一樣。變換算法采用的盒見(jiàn)式是一個(gè)上的可逆變換，它加強(qiáng)了算法的安全性并且適用于小硬件設(shè)計(jì)。眾所周知，上函數(shù)的最大差分概率的最小值被證明為，最大線性概率的最小值推測(cè)為。算法選擇上能夠獲得最好的差分和線性概率的可逆函數(shù)作盒，而且盒每個(gè)輸出比特具有高階布爾多項(xiàng)式，使得對(duì)進(jìn)行高階差分攻擊是困難的。盒在上輸入、輸出相關(guān)函數(shù)上的復(fù)雜表達(dá)式，使得插入攻擊對(duì)無(wú)效。18,18,18,18,18,18,18,18*118,228,338,448,258,368,478,1888其中，18=05+8+062=18算法中構(gòu)造了

5、四個(gè)不同的盒，提高了算法抵抗階段差分攻擊的安全性。為了在小硬件上設(shè)計(jì)實(shí)現(xiàn)，上的元素可以表示成系數(shù)為上的多項(xiàng)式。這樣，在實(shí)現(xiàn)盒時(shí)，只需運(yùn)用子域上很少的操作。變換中所采用的、函數(shù)分別如、式所示。,其中,規(guī)定式中的次方上運(yùn)算1，是的次方上方程的根，是的次方上方程的根。當(dāng)然根據(jù)性能要求，在具體實(shí)現(xiàn)加密算法時(shí)，盒的實(shí)現(xiàn)電路也可以直接查表的方式進(jìn)行。變換算法每六圈加入一次變換，用來(lái)打亂整個(gè)算法的規(guī)律性。加入變換的另一個(gè)好處是可以抵抗未知的密碼攻擊方法，而且加入變換并不影響結(jié)構(gòu)加、解密過(guò)程相同。，2+，+算法的加、解密及密鑰擴(kuò)展實(shí)現(xiàn)過(guò)程加、解密過(guò)程算法的整個(gè)加密過(guò)程有輪結(jié)構(gòu)，在第輪和第輪之后加入了變換層，用

6、來(lái)打亂算法的規(guī)律性，并且在第輪之前和最后輪之后使用了比特的異或操作。解密過(guò)程與加密過(guò)程完全相同，只是圈密鑰注入順序與加密相反。比特密鑰算法的加密過(guò)程如圖所示。密鑰擴(kuò)展算法的密鑰擴(kuò)展遵循了嚴(yán)格的設(shè)計(jì)準(zhǔn)則，如實(shí)現(xiàn)簡(jiǎn)單且與加、解密過(guò)程共用部件，密鑰配置時(shí)間小于加密時(shí)間，支持在線密鑰生成，沒(méi)有等效密鑰，能夠抵抗相關(guān)密鑰攻擊和滑動(dòng)攻擊等。整個(gè)過(guò)程只需通過(guò)三個(gè)中間變量，的簡(jiǎn)單移位即可得到子密鑰，和，且中間生成過(guò)程與加密過(guò)程共用了部件如圖、所示。算法的安全性設(shè)計(jì)者用差分?jǐn)U散概率和線性相關(guān)概率的保守上界證明了任何含網(wǎng)絡(luò)的十六圈密碼對(duì)差分密碼分析和線性密碼分析都是安全的；此外，通過(guò)對(duì)活動(dòng)盒的計(jì)數(shù)說(shuō)明十二圈中沒(méi)有

7、概率大于的差分特征和線性特征；帶或不帶層的十圈都具有偽隨機(jī)置換特性，能夠抵抗截?cái)嗖罘止艉途€性密碼分析；設(shè)計(jì)者還聲稱(chēng)能夠抵抗不可能差分攻擊、攻擊、高階差分攻擊、相關(guān)密鑰攻擊、插入攻擊、攻擊、線性和攻擊及攻擊。在密鑰的安全性上，一方面不存在等效密鑰；另一方面，子密鑰來(lái)自主密鑰的加密結(jié)果和，改變主密鑰并不能獲得預(yù)想的和，反之亦然，因而無(wú)法控制和預(yù)測(cè)子密鑰之間的關(guān)系，從而相關(guān)密鑰攻擊難以成功。由于密鑰長(zhǎng)度不少于比特，以當(dāng)前的計(jì)算能力還無(wú)法對(duì)成功實(shí)施諸如密鑰窮舉搜索攻擊、時(shí)間存儲(chǔ)權(quán)衡攻擊、字典攻擊和密鑰匹配等類(lèi)型的強(qiáng)力攻擊。算法在各種平臺(tái)上的性能比較評(píng)測(cè)一個(gè)分組密碼的好壞，除了要求其具有高的安全性外，

8、還要求算法在應(yīng)用平臺(tái)上實(shí)現(xiàn)簡(jiǎn)單。算法在設(shè)計(jì)時(shí)充分考慮到了這一點(diǎn)，下面給出其在各種平臺(tái)上的性能參數(shù)。評(píng)測(cè)算法在軟件平臺(tái)上實(shí)現(xiàn)性能時(shí)，首要考慮其速度，其次還要看算法實(shí)現(xiàn)時(shí)所需的存儲(chǔ)空間，表前半部分給出了算法在常用的位處理器上各種軟件平臺(tái)的實(shí)現(xiàn)性能。高的加密速度和低的存儲(chǔ)需求，表明算法可以有效地應(yīng)用于各種軟件系統(tǒng)中。從表后半部分可以看出算法在高端和低端的智能卡平臺(tái)上同樣有著良好的性能；由于算法的密鑰擴(kuò)展與加、解密過(guò)程有共用部分，所以其硬件平臺(tái)所需的芯片面積大大減少，降低了硬件成本，便于推廣應(yīng)用，詳細(xì)參數(shù)見(jiàn)表。表1算法在軟件和智能卡平臺(tái)上的性能環(huán)境語(yǔ)言速度加、解密合計(jì)合計(jì)-+-1614表2算法在硬件平臺(tái)上的性能環(huán)境設(shè)計(jì)速度芯片面積加、解