Шифрование данных с помощью алгоритма seal.

Цель работы: изучить методы шифрования данных в алгоритме SEAL и освоить их практическое применение.

Теоретическое введение Обозначения.

Всюду далее 32-битная подпоследовательность именуется "слово", а 8-битная подпоследовательность - "байт". Пустая подпоследовательность обозначается λ.

Биты подпоследовательности x длины t обозначаются как x₀x₁...x_t-1.

Шестнадцатиричные числа пишутся с помощью предшествующего им префикса "0х", символы "a"-"f" представляют числа 10-15, соответственно. Как y»»t обозначается правый циклический сдвиг слова y на t бит; другими словами, i-ый бит в y»»t - это y(i - t) mod 32.

Символами v, &,  обозначены побитовые операции AND, OR и XOR; как A обозначен комплемент A, как A+B - сумма двух целых без знака, игнорирующая перенос (то есть сумма чисел по mod 2³²). Как "||" обозначен оператор конкатенации, как odd( ) - предикат, истинный тогда и только тогда, когда его аргумент - четное число.

Длина выхода.

SEAL полагается порождающим выход переменной длины. Пусть L - желаемое количество выходных бит. Подразумевается, что L имеет достаточно большую границу.

Алгоритм прекращает генерацию бит, как только порождено L' бит, где L' - наименьшее кратное 128, большее или равное L.

Отображение ключа в таблицы.

П

21

ервая задача - задать таблицы T, R и S, каждая из которых зависит только от ключа a. Единственное предназначение ключа a в алгоритме - задать три этих таблицы.

Таблицы задаются с помощью функции G, построенной непосредственно на основе известного алгоритма хэширования SHA, являющегося федеральным стандартом США.

Описание функции генерации таблиц.

Задается G_a(i) для 160-битовой подпоследовательности a и целого 0 ≤ i < 2³².

Параметр i рассматривается как 32-битная подпоследовательность, значение которой - двоичное число без знака i.

Сначала даются следующие определения.

Для 0 ≤ t ≤ 19 положим K_t=0x5a827999 и f_t(B,C,D) = (B&C)v(B&D).

Для 20 ≤ t ≤ 39 положим K_t= 0x6ed9eba1 и f_t(B,C,D) = BCD.

Для 40 ≤ t ≤ 59 положим K_t= 0x8f1bbcdc и f_t(B,C,D) = (B&C)v(B&D)v(C&D).

Для 60 ≤ t ≤ 79 положим K_t= 0xca62c1d6 и f_t(B,C,D) = BCD.

Исходная 160-битная подпоследовательность a разбивается на пять 32-битных слов, a = H₀H₁H₂H₃H₄, а 512-битная подпоследовательность M₁ полагается равной i || 0⁴⁸⁰.

Затем выполняется следующая обработка:

1. Разделить M₁ на 16 слов W₀, W₁, ... ,W₁₅, где W₀ - самое левое слово, так что W₀=i, W₁= W₂=...=W₁₅.

2. Для 16≤ t ≤79 пусть W_t= W_t-3⊕ W_t-8⊕ W_t-14⊕ W_t-16.

3. Пусть A = H0, B = H₁, C = H₂, D = H₃, E = H₄.

4. Для 0≤ t ≤79 выполнить:

TEMP = A 〉〉〉27 + f_t(B,C,D) + E + W_t+ K_t

E = D;

D = C;

C = B 〉〉〉 2;

B

22

= A; A = TEMP.

5. H₀= H₀+ A;

H₁= H₁+ B;

H₂= H₂+ C;

H₃= H₃+ D;

H₄= H₄+ E;

После обработки M₁ значение функции G_a(i) - это 160-битная подпоследовательность H₀H₁H₂H₃H₄.

Делается переиндексация функции G для построения функции Γ , образами которой являются 32-битные слова вместо 160-битных. Функция Γ задается выражением , где . Таким образом, таблица значений Γ - это в точности таблица значений G, считываемая слева направо и сверху вниз.

Теперь определяются

T[i] = Γ_a(i) для всех 0 ≤ i < 512,

S[j] = Γ_{a(0x1000 + j)} для всех 0 ≤ j < 256,

и

R[k] = Γ_{a(0x2000 + k)} для всех 0 ≤ k < 4(L-1)/8192.

Вычисление этих таблиц требует вычисления функции компрессии SHA применительно к переменному количеству блоков - 131 раз для получения выхода в 512 байт, 207 раз для выхода максимальной длины в 64 килобайта.