3.1.2.Генерация ключевой последовательности

Ключ шифрования выбирается из случайной последовательности бит и его размер равен 128, 192 или 256 бит. Размеры блока данных и ключа шифрования могут быть выбраны независимо. Их соотношение определяется в соответствии с таблицей «число раундов шифрования». В каждом раунде используется свой раундовый ключ К_r и их массив генерируется из ключа шифрования пользователя с использованием описанной ниже процедуры "развертывания" ключа.

Как и блок данных и ключ может быть представлен в виде массива байтов:

K = (k₁, k ₂, ... , k _nk ), n_k - размер ключа в байтах, n_k {16, 24, 32}.

Алгоритм развертывания ключа оперирует 32-битовыми ключевыми словами K_i, интерпретируя их как четырехбайтовые массивы:

K_i = (k_i0, k_i1, k_i2, k_i3), | k_ij | = 8 бит.

Первые q = n_K /4 ключевых слов получаются простым разделением ключа K на 4-байтовые фрагменты аналогично тому, как байтами шифруемого блока заполняются столбцы матрицы данных:

K ₀ = (k ₀, k ₁, k ₂, k ₃), K ₁ = (k ₄, k ₅, k ₆, k ₇),

..................................

K _q-1 = (k _{nk -4}, k _{nk -3}, k _{nk -2}, k _{nk -1}),

Необходимое число ключевых элементов на 1 больше числа раундов r, каждый ключевой элемент по размеру равен блоку данных (n_B байт) и содержит q_k = n_k /4 ключевых слов. Таким образом, всего необходимо Q = (r+1)* q_k ключевых слов. Например, для длины блока 128 бит и 10 раундов требуется 1408 бит ключа. Первые q ключевых слов составлены из байтов ключа пользователя как показано выше, остальные Q - q вырабатываются по следующему алгоритму:

При размере ключа 16 или 24 байта (q {4,6}) используется следующая итерационная формула:

а при размере ключа 32 байта (q = 8) следующая формула:

В приведенных выше формулах использованы следующие обозначения:

• S(K) - побайтовая замена 32-битового слова, т.е. замена всех четырех входящих в него байтов с использованием штатного узла замен S шифра: если K = (k₀, k₁, k₂, k₃), то S(K) = (S[k₀], S[k₁], S[k₂], S[k₃]);

• R_ - циклический сдвиг 4-байтового вектора на один элемент влево: если K = (k₀, k₁, k₂, k₃), то R_ (K) = (k₁, k₂, k₃, k₀);

• P_j - 4-байтовый вектор (раундовая константа), задаваемый следующей формулой: P_j = (02 ^j-1, 00, 00, 00), где возведение в степень выполняется в ранее описанном конечном поле GF(2⁸).

P_j-1 = (00, 02 ^j-2, 00, 00), j = i/q.

Таким образом, все усложняющее преобразование может быть представлено в следующей форме:

S(R_ (K)) P_j = (S[k₁] 02 ^j-1, S[k₂], S[k₃], S[k₀]).

Как видно из приведенных выше соотношений, ключевые слова вырабатываются порциями, по размеру равными ключу, причем первое слово каждой порции вырабатывается по усложненной схеме с использованием приведенного выше нелинейного преобразования, а остальные - простым побитовым суммированием непосредственно предшествующего элемента с элементом, имеющим тот же порядковый номер в предыдущей порции ключевых слов. При размере ключа 256 бит (32 байта) усложнение используется также и при выработке каждого пятого элемента порции - при нумерации с нуля он имеет индекс 4 в группе из q слов.

Каждые последовательно выработанные q_B ключевых слов, включая те, что получены непосредственно из ключа, объединяются в раундовые ключи:

Kr₀ = (K₀, K₁,…, K_qb-1),

Kr₁ = (K _qb, K _qb+1,…, K_2qb-1),

..........................................

Kr_r = (K _rqb, K _rqb+1,…, K_Q).

Алгоритм выработки ключей и выбор раундовых ключей показан на рис. 3.5.

Рис.3.5. Развертывание ключа и выбор раундовых ключей для N_b = 6 и N_k = 4.