Korn 128a

Grain 128a- strömchifferet användes först vid Symmetric Key Encryption Workshop (SKEW) 2011 som en förbättring av föregångaren Grain 128, som lade till säkerhetsförbättringar och valfri meddelandeautentisering med krypterings- och MAC-metoden. En av de viktiga egenskaperna hos Grain-familjen är att genomströmningen kan ökas på bekostnad av ytterligare hårdvara. Grain 128a är designad av Martin Ågren, Martin Hell, Thomas Johansson och Willi Meier.

Beskrivning av chiffer

Vy över korn 128a

Grain 128a består av två stora delar: Pre-output funktion och MAC. Pre-output-funktionen har en intern tillståndsstorlek på 256 bitar, bestående av två register med storleken 128 bitar: NLFSR och LFSR . MAC stöder variabla tagglängder w så att ${\displaystyle 0<w\leq 32}$ . Chifferet använder en 128 bitars nyckel.

Chifferet stöder två funktionslägen: med eller utan autentisering, som konfigureras via den medföljande ${\displaystyle IV_{0}}$ så att om ${\displaystyle IV_{0}=1}$ då autentisering av meddelande är aktiverat, och om ${\displaystyle IV_{0}=0}$ är autentisering av meddelandet inaktiverad.

Pre-output funktion

Pre-output-funktionen består av två register med storleken 128 bitar: NLFSR ( ${\displaystyle b}$ ) och LFSR ( ${\displaystyle s}$ ) tillsammans med 2 återkopplingspolynom ${\displaystyle f}$ och ${\displaystyle g }$ och en boolesk funktion ${\displaystyle h}$ .

${\displaystyle f(x)=1+x^{32}+x^{47}+x^{58 }+x^{90}+x^{121}+x^{128}}$

${\displaystyle g(x)=1+x^{32}+x^{37}+ x^{72}+x^{102}+x^{128}+x^{44}x^{60}+x^{61}x^{125}+x^{63}x^{67} x^{69}x^{101}+x^{80}x^{88}+x^{110}x^{111}+x^{115}x^{117}+x^{46}x ^{50}x^{58}+x^{103}x^{104}x^{106}+x^{33}x^{35}x^{36}x^{40}}$

${\displaystyle h(x)=b_{i+12}s_{i+8}+s_{i+13}s_{i+20}+b_{i+95}s_{i+42}+ s_{i+60}s_{i+79}+b_{i+12}b_{i+95}s_{i+94}}$

Förutom återkopplingspolynomen är uppdateringsfunktionerna för NLFSR och LFSR :

$i$

$=s_{i}+s_$

Förutgångsströmmen ( ${\displaystyle y}$ ) definieras som:

$_ y_{i}=h(x)+s_{i+93}+b_{i+2}+b_{i+15}+b_{i+36}+b_{i+45}+b_{i+64 }+b_{i+73}+b_{i+89}}$

Initiering

Diagram som visar startproceduren för förutgången som matar tillbaka förutgångsströmmen till funktionerna ${\displaystyle g}$ och ${\displaystyle f}$

${\displaystyle IV_{0}}$ en ${\displaystyle IV}$ på 96 bitar, där dikterar driftsättet.

LFSR initieras som :

${\displaystyle s_{i}=IV_{i}}$ för ${\displaystyle 0\leq i\leq 95}$

${\displaystyle s_{i}=1}$ för ${\displaystyle 96\leq i\leq 126}$

${\displaystyle s_{127}=0}$

Den sista 0-biten säkerställer att liknande nyckel-IV-par inte producerar förskjutna versioner av varandra.

NLFSR initieras genom att kopiera hela 128-bitarsnyckeln ( $\displaystyle k})$ { till NLFSR :

${\displaystyle b_{i}=k_{i}}$ för ${\displaystyle 0\leq i\leq 127}$

Starta klockning

Innan pre-output-funktionen kan börja mata ut sin pre-output-ström måste den klockas 256 gånger för att värmas upp, under detta steg matas pre-output-strömmen in i återkopplingspolynomen g {\displaystyle g $och$ f $\ displaystil f}$ .

Nyckelström

Nyckelströmmen ( ${\displaystyle z}$ ) och MAC-funktionaliteten i Grain 128a delar båda samma förutgångsström ( ${\displaystyle y})$ . Eftersom autentisering är valfri beror vår nyckelströmsdefinition på ${\displaystyle IV_{0}}$ .

När autentisering är aktiverad använder MAC-funktionen de första ${\displaystyle 2w}$ -bitarna (där ${\displaystyle w}$ är taggstorleken) efter startklockningen för att initiera. Nyckelströmmen tilldelas sedan varannan bit på grund av den delade förutgångsströmmen.

Om autentisering är aktiverad:

${\displaystyle z_{i}=y_{2w+2i}}$

Om autentisering är inaktiverad:

${\displaystyle z_{i}=y_{i}}$

MAC

Vy över korn 128a

Korn 128a stöder taggar med storlek ${\displaystyle w}$ upp till 32 bitar, för att göra detta används 2 register av storlek ${\displaystyle w},$ ett skiftregister ( ${\displaystyle r})$ och en ackumulator ( ${ \displaystyle a}$ ). För att skapa en tagg för ett meddelande ${\displaystyle m}$ där ${\displaystyle L}$ är längden på ${\displaystyle m+1}$ eftersom vi måste ställa in ${\displaystyle m_{L} =1}$ för att säkerställa att dvs. ${\displaystyle m1=1}$ och ${\displaystyle m2=10}$ har olika taggar, och även göra det omöjligt att generera en tagg som helt ignorerar indata från skiftregister efter initiering.

För varje bit ${\displaystyle 0\leq j\leq 31}$ i ackumulatorn vi vid tiden ${\displaystyle 0\leq i\leq L}$ fördömer vi en bit i ackumulatorn som ${\displaystyle a_{i}^{j}}$ .

Initiering

När autentisering är aktiverad använder Grain 128a de första ${\displaystyle 2w}$ -bitarna av pre-output-strömmen ( ${\displaystyle y}$ ) för att initiera skiftregistret och ackumulatorn. Detta görs av:

Skift register:

${\displaystyle r_{i}=y_{i+31}}$ för ${\displaystyle 0\leq i\leq 31}$

Ackumulator:

${\displaystyle a_{0}^{j}=y_{j}}$ för ${\displaystyle 0\leq j\leq 31}$

Tagggenerering

Skift register:

Skiftregistret matas med alla udda bitar av pre-outputströmmen ( ${\displaystyle y})$ :

${\displaystyle r_{i+31}=y_{64+2i+1}}$

Ackumulator:

${\displaystyle a_{i+1}^{j}=a_{i}^{j}+m_{i}r_{i+j}}$ för ${\displaystyle 0\leq i\leq L}$

Sista taggen

När chiffret har slutfört L iterationerna är den sista taggen ( ${\displaystyle t}$ ) innehållet i ackumulatorn:

${\displaystyle t_{i}=a_{L+1}^{i}}$ för ${\displaystyle 0\leq i\leq 31}$

externa länkar

• En ny version av Grain-128 med autentisering