MESH (шифр)

В криптографии, MESH — блочный шифр, являющийся модификацией IDEA. Разработан Жорже Накахарой, Винсентом Рэйменом, Бартом Пренелем и Йоосом Вандевалле в 2002 году. В отличие от IDEA, MESH имеет более сложную раундовую структуру. Иной алгоритм генерации ключей позволяет MESH избегать проблемы слабых ключей^[1].

Структура шифра[править | править код]

Каждый раунд в IDEA и MESH состоит из операций сложения и умножения. Последовательность таких вычислений в пределах одного раунда образует MA-бокс. Все MA-боксы в MESH используют минимум три чередующихся уровня сложений и умножений (по схеме «зиг-заг»), в то время, как в IDEA таковых только два. Это делает MESH более стойким против дифференциальной и линейной криптоатак. Также, с целью избежать проблемы слабых ключей, в MESH используются два следующих принципа:

• Каждый подключ зависит от почти всех подключей, более точно — как минимум от шести предыдущих ключей нелинейно
• Используются фиксированные константы. Без них, например, ключ из всех нулей перешел бы в подключи, каждый из которых равнялся бы нулю в любом раунде

Как и в IDEA, MESH использует следующие операции:

• умножение по модулю ${\displaystyle 2^{16}+1}$, причем вместо нуля используется ${\displaystyle 2^{16}}$ (${\displaystyle \odot }$)
• циклический сдвиг влево на ${\displaystyle n}$ бит (${\displaystyle \lll \ n}$)
• сложение по модулю ${\displaystyle 2^{16}}$ (${\displaystyle \boxplus }$)
• побитовое исключающее ИЛИ (${\displaystyle \oplus }$)

Операции расположены в порядке уменьшения приоритета. В вычислениях запись ${\displaystyle A_{k}^{(i)}}$ обозначает 16-битное слово. Индексы описываются далее.

MESH описывается в трех вариациях по размерам блока: 64, 96, 128 бит. Размер ключа при этом берется вдвое больший^[2].

MESH-64[править | править код]

В данной вариации размер блока составляет 64 бит, ключ — 128 бит. Шифрование проходит в 8,5 раунда. Половина раунда относится к выходным преобразованиям^[3].

Раундовые преобразования[править | править код]

Обозначим входную информацию для ${\displaystyle i}$-го раунда:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)}),\ i=1...9}$

Каждый раунд состоит из двух частей: перемешивание входных данных с подключами и MA-вычисления. На четных и нечетных раундах перемешивание происходит по-разному:

• Для нечетных раундов:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)})\ =\ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)})}$

• Для четных раундов:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)})\ =\ (X_{1}^{(i)}\ \boxplus \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \odot \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \odot \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \boxplus \ Z_{4}^{(i)})}$

Преобразования, выполняемые MA-боксами, одинаковы для всех раундов. Входные данные для них получаются следующим образом:
${\displaystyle (Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{3}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{4}^{(i)})}$

МА-вычисления описываются следующими формулами:
${\displaystyle Y_{7}^{(i)}\ =\ ((Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}\ \boxplus \ Y_{6}^{(i)})\ \odot \ Z_{6}^{(i)}\ \boxplus \ (Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}))\ \odot \ Z_{7}^{(i)}}$
${\displaystyle Y_{8}^{(i)}\ =\ Y_{7}^{(i)}\ \boxplus \ ((Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}\ \boxplus \ Y_{6}^{(i)})\ \odot \ Z_{6}^{(i)})}$

Используя результаты, полученные MA-боксами, находим входные данные для следующего раунда:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{8}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{8}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{7}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{7}^{(i)})}$

Согласно схеме, для получения зашифрованного сообщения необходимо после восьмого раунда провести перемешивание по нечетной схеме ${\displaystyle (i=9)}$^[4]

Генерация ключей[править | править код]

Для генерации ключей используется 128-битный пользовательский ключ, а также 16-битные константы ${\displaystyle c_{i}}$: ${\displaystyle c_{0}\ =\ 1}$, ${\displaystyle c_{i}\ =\ 3*c_{i-1}}$, они вычисляются в Поле Галуа ${\displaystyle GF(2^{16})}$ по модулю многочлена ${\displaystyle x^{16}\ +\ x^{5}\ +\ x^{3}\ +\ x^{2}\ +\ 1}$. Пользовательский ключ разбивается на 8 16-битных слов ${\displaystyle K_{i},\ 0\ \leqslant \ i\ \leqslant \ 7}$.

Вычисление подключей происходит следующим образом^[5]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 6}$
${\displaystyle Z_{1}^{(2)}\ =\ K_{7}\ \oplus \ c_{7}}$
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-8)}^{(h(i-8))}\ \boxplus \ Z_{l(i-7)}^{(h(i-7))})\ \oplus \ Z_{l(i-6)}^{(h(i-6))})\ \boxplus \ Z_{l(i-3)}^{(h(i-3))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 7\ \oplus \ c_{i},}$
где ${\displaystyle 8\ \leqslant \ i\ \leqslant \ 59,\ h(i)\ =\ i\ div\ 7\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}7\ +\ 1}$.

Расшифровка[править | править код]

Для расшифровки MESH, как и IDEA, использует уже существующую схему, но с измененными раундовыми подключами. Обозначим подключи, использовавшиеся при шифровании, следующим образом:
${\displaystyle (Z_{1}^{(r)},\ ...,\ Z_{7}^{(r)}),\ 1\ \leqslant \ r\ \leqslant \ 8}$ - подключи полных раундов;
${\displaystyle (Z_{1}^{(9)},\ ...,\ Z_{4}^{(9)})}$ - подключи выходных преобразований.

Тогда подключи расшифровки задаются следующим образом^[6]:

• ${\displaystyle ((Z_{1}^{(9)})^{-1},\ -Z_{2}^{(9)},\ -Z_{3}^{(9)},\ (Z_{4}^{(9)})^{-1},\ Z_{5}^{(8)},\ Z_{6}^{(8)},\ Z_{7}^{(8)})}$, - первый раунд расшифровки;
• ${\displaystyle (-Z_{1}^{(10-r)},\ (Z_{3}^{(10-r)})^{-1},\ (Z_{2}^{(10-r)})^{-1},\ -Z_{4}^{(10-r)},\ Z_{5}^{(9-r)},\ Z_{6}^{(9-r)},\ Z_{7}^{(9-r)})}$, - ${\displaystyle r}$-й четный раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8\}}$;
• ${\displaystyle ((Z_{1}^{(9-r)})^{-1},\ -Z_{3}^{(9-r)},\ -Z_{2}^{(9-r)},\ (Z_{4}^{(9-r)})^{-1},\ Z_{5}^{(8-r)},\ Z_{6}^{(8-r)},\ Z_{7}^{(8-r)})}$, - ${\displaystyle r}$-й нечетный раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7\}}$;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ -Z_{3}^{(1)},\ (Z_{4}^{(1)})^{-1})}$, - выходные преобразования.

MESH-96[править | править код]

В данной вариации размер блока составляет 96 бит, ключ — 192 бит. Шифрование проходит в 10,5 раунда. Половина раунда относится к выходным преобразованиям^[7].

Раундовые преобразования[править | править код]

Обозначим входную информацию для ${\displaystyle i}$-го раунда:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)},\ X_{5}^{(i)},\ X_{6}^{(i)}),\ i=1...11}$

Каждый раунд состоит из двух частей: перемешивание входных данных с подключами и MA-вычисления. На четных и нечетных раундах перемешивание происходит по-разному:

• Для нечетных раундов:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \odot \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \boxplus \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \odot \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \boxplus \ Z_{6}^{(i)})}$

• Для четных раундов:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (X_{1}^{(i)}\ \boxplus \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \odot \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \boxplus \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \odot \ Z_{6}^{(i)})}$

Преобразования, выполняемые MA-боксами, одинаковы для всех раундов. Входные данные для них получаются следующим образом:
${\displaystyle (Y_{7}^{(i)},\ Y_{8}^{(i)},\ Y_{9}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{4}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{5}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{6}^{(i)})}$

МА-вычисления описываются следующими формулами:
${\displaystyle Y_{10}^{(i)}\ =\ (((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})\ \odot \ (Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \boxplus \ Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)})\ \odot \ Z_{9}^{(i)}}$
${\displaystyle Y_{11}^{(i)}\ =\ Y_{10}^{(i)}\ \boxplus \ ((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})\ \odot \ (Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})}$
${\displaystyle Y_{12}^{(i)}\ =\ Y_{11}^{(i)}\ \odot \ ((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})}$

Используя результаты, полученные MA-боксами, находим входные данные для следующего раунда:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{12}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{12}^{(i)},\ Y_{5}^{(i)}\ \oplus \ Y_{11}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{11}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{10}^{(i)},\ Y_{6}^{(i)}\ \oplus \ Y_{10}^{(i)})}$

Для получения зашифрованного сообщения необходимо после 10-го раунда провести перемешивание по нечетной схеме ${\displaystyle (i=9)}$^[8]

Генерация ключей[править | править код]

Для генерации ключей используется 192-битный пользовательский ключ, а также 16-битные константы, такие же, как и для MESH-64.

Вычисление подключей происходит следующим образом^[9]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 8}$
${\displaystyle Z_{1}^{(2)}\ =\ K_{9}\ \oplus \ c_{9}}$
${\displaystyle Z_{2}^{(2)}\ =\ K_{10}\ \oplus \ c_{10}}$
${\displaystyle Z_{3}^{(2)}\ =\ K_{11}\ \oplus \ c_{11}}$
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-12)}^{(h(i-12))}\ \boxplus \ Z_{l(i-8)}^{(h(i-8))})\ \oplus \ Z_{l(i-6)}^{(h(i-6))})\ \boxplus \ Z_{l(i-4)}^{(h(i-4))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 9\ \oplus \ c_{i},}$
где ${\displaystyle 12\ \leqslant \ i\ \leqslant \ 95,\ h(i)\ =\ i\ div\ 9\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}9\ +\ 1}$.

Расшифровка[править | править код]

Для расшифровки MESH, как и IDEA, использует уже существующую схему, но с измененными раундовыми подключами. Обозначим подключи, использовавшиеся при шифровании, следующим образом:
${\displaystyle (Z_{1}^{(r)},\ ...,\ Z_{9}^{(r)}),\ 1\ \leqslant \ r\ \leqslant \ 10}$ — подключи полных раундов;
${\displaystyle (Z_{1}^{(11)},\ ...,\ Z_{6}^{(11)})}$ - подключи выходных преобразований.

Тогда подключи расшифровки задаются следующим образом^[10]:

• ${\displaystyle ((Z_{1}^{(11)})^{-1},\ -Z_{2}^{(11)},\ (Z_{3}^{(11)})^{-1},\ -Z_{4}^{(11)},\ (Z_{5}^{(11)})^{-1},\ -Z_{6}^{(11)},\ Z_{7}^{(10)},\ Z_{8}^{(10)},\ Z_{9}^{(10)})}$, — первый раунд расшифровки;
• ${\displaystyle (-Z_{1}^{(12-r)},\ (Z_{4}^{(12-r)})^{-1},\ -Z_{5}^{(12-r)},\ (Z_{2}^{(12-r)})^{-1},\ -Z_{3}^{(12-r)},\ (Z_{6}^{(12-r)})^{-1},\ Z_{7}^{(11-r)},\ Z_{8}^{(11-r)},\ Z_{9}^{(11-r)})}$, — ${\displaystyle r}$-й чётный раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8,\ 10\}}$;
• ${\displaystyle ((Z_{1}^{(11-r)})^{-1},\ -Z_{4}^{(11-r)},\ (Z_{5}^{(11-r)})^{-1},\ -Z_{2}^{(11-r)},\ (Z_{3}^{(11-r)})^{-1},\ -Z_{6}^{(11-r)},\ Z_{7}^{(10-r)},\ Z_{8}^{(10-r)},\ Z_{9}^{(10-r)})}$, — ${\displaystyle r}$-й нечётный раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7,\ 9\}}$;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ (Z_{3}^{(1)})^{-1},\ -Z_{4}^{(1)},\ (Z_{5}^{(1)})^{-1},\ -Z_{6}^{(1)})}$, — выходные преобразования.

MESH-128[править | править код]

В данной вариации размер блока составляет 128 бит, ключ — 256 бит. Шифрование проходит в 12,5 раунда. Половина раунда относится к выходным преобразованиям^[11].

Раундовые преобразования[править | править код]

Обозначим входную информацию для ${\displaystyle i}$-го раунда:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)},\ X_{5}^{(i)},\ X_{6}^{(i)},\ X_{7}^{(i)},\ X_{8}^{(i)}),\ i=1...13}$

Каждый раунд состоит из двух частей: перемешивание входных данных с подключами и MA-вычисления. На чётных и нечётных раундах перемешивание происходит по-разному:

• Для нечётных раундов:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)},\ Y_{7}^{(i)},\ Y_{8}^{(i)})\ =}$
${\displaystyle \ \ \ \ \ \ \ \ \ \ \ \ \ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \odot \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \boxplus \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \odot \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \boxplus \ Z_{6}^{(i)},\ X_{7}^{(i)}\ \odot \ Z_{7}^{(i)},\ X_{8}^{(i)}\ \boxplus \ Z_{8}^{(i)})}$

• Для чётных раундов:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)},\ Y_{7}^{(i)},\ Y_{8}^{(i)})\ =}$
${\displaystyle \ \ \ \ \ \ \ \ \ \ \ \ \ (X_{1}^{(i)}\ \boxplus \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \odot \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \boxplus \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \odot \ Z_{6}^{(i)},\ X_{7}^{(i)}\ \boxplus \ Z_{7}^{(i)},\ X_{8}^{(i)}\ \odot \ Z_{8}^{(i)})}$

Преобразования, выполняемые MA-боксами, одинаковы для всех раундов. Входные данные для них получаются следующим образом:
${\displaystyle (Y_{9}^{(i)},\ Y_{10}^{(i)},\ Y_{11}^{(i)},\ Y_{12}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{5}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{6}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{7}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{8}^{(i)})}$

МА-вычисления описываются следующими формулами:
${\displaystyle Y_{13}^{(i)}\ =\ Y_{9}^{(i)}\ \odot \ Z_{9}^{(i)},\ \ \ \ \ Y_{14}^{(i)}\ =\ Y_{13}^{(i)}\ \boxplus \ Y_{10}^{(i)},}$
${\displaystyle Y_{15}^{(i)}\ =\ Y_{14}^{(i)}\ \odot \ Y_{11}^{(i)},\ \ \ \ \ Y_{16}^{(i)}\ =\ Y_{15}^{(i)}\ \boxplus \ Y_{12}^{(i)},}$
${\displaystyle Y_{17}^{(i)}\ =\ Y_{16}^{(i)}\ \odot \ Z_{10}^{(i)},\ \ \ \ \ Y_{18}^{(i)}\ =\ Y_{15}^{(i)}\ \boxplus \ Y_{17}^{(i)},}$
${\displaystyle Y_{19}^{(i)}\ =\ Y_{14}^{(i)}\ \odot \ Y_{18}^{(i)},\ \ \ \ \ Y_{20}^{(i)}\ =\ Y_{13}^{(i)}\ \boxplus \ Y_{19}^{(i)},}$
${\displaystyle Y_{21}^{(i)}\ =\ Y_{20}^{(i)}\ \odot \ Z_{11}^{(i)},\ \ \ \ \ Y_{22}^{(i)}\ =\ Y_{19}^{(i)}\ \boxplus \ Y_{21}^{(i)},}$
${\displaystyle Y_{23}^{(i)}\ =\ Y_{18}^{(i)}\ \odot \ Y_{22}^{(i)},\ \ \ \ \ Y_{24}^{(i)}\ =\ Y_{17}^{(i)}\ \boxplus \ Y_{23}^{(i)},}$
${\displaystyle Y_{25}^{(i)}\ =\ Y_{24}^{(i)}\ \odot \ Z_{12}^{(i)},\ \ \ \ \ Y_{26}^{(i)}\ =\ Y_{23}^{(i)}\ \boxplus \ Y_{25}^{(i)},}$
${\displaystyle Y_{27}^{(i)}\ =\ Y_{22}^{(i)}\ \odot \ Y_{26}^{(i)},\ \ \ \ \ Y_{28}^{(i)}\ =\ Y_{21}^{(i)}\ \boxplus \ Y_{27}^{(i)}.}$

Используя результаты, полученные MA-боксами, находим входные данные для следующего раунда:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{25}^{(i)},\ Y_{5}^{(i)}\ \oplus \ Y_{25}^{(i)},\ Y_{6}^{(i)}\ \oplus \ Y_{26}^{(i)},\ Y_{7}^{(i)}\ \oplus \ Y_{27}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{26}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{27}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{28}^{(i)},\ Y_{8}^{(i)}\ \oplus \ Y_{28}^{(i)})}$

Для получения зашифрованного сообщения необходимо после 12-го раунда провести перемешивание по нечетной схеме ${\displaystyle (i=9)}$^[12]

Генерация ключей[править | править код]

Для генерации ключей используется 256-битный пользовательский ключ, а также 16-битные константы, такие же, как для MESH-64 и для MESH-96.

Вычисление подключей происходит следующим образом^[13]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 11}$
${\displaystyle Z_{j\ {\bmod {\ }}12\ +\ 1}^{(2)}\ =\ K_{j}\ \oplus \ c_{j},\ 12\ \leqslant \ j\ \leqslant \ 15}$
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-16)}^{(h(i-16))}\ \boxplus \ Z_{l(i-13)}^{(h(i-13))})\ \oplus \ Z_{l(i-12)}^{(h(i-12))})\ \boxplus \ Z_{l(i-8)}^{(h(i-8))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 11\ \oplus \ c_{i},}$
где ${\displaystyle 16\ \leqslant \ i\ \leqslant \ 151,\ h(i)\ =\ i\ div\ 12\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}12\ +\ 1}$.

Расшифровка[править | править код]

Для расшифровки MESH, как и IDEA, использует уже существующую схему, но с измененными раундовыми подключами. Обозначим подключи, использовавшиеся при шифровании, следующим образом:
${\displaystyle (Z_{1}^{(r)},\ ...,\ Z_{12}^{(r)}),\ 1\ \leqslant \ r\ \leqslant \ 12}$ — подключи полных раундов;
${\displaystyle (Z_{1}^{(13)},\ ...,\ Z_{8}^{(13)})}$ — подключи выходных преобразований.

Тогда подключи расшифровки задаются следующим образом^[14]:

• ${\displaystyle ((Z_{1}^{(13)})^{-1},\ -Z_{2}^{(13)},\ (Z_{3}^{(13)})^{-1},\ -Z_{4}^{(13)},\ -Z_{5}^{(13)},\ (Z_{6}^{(13)})^{-1},\ -Z_{7}^{(13)},\ (Z_{8}^{(13)})^{-1},\ Z_{9}^{(12)},\ Z_{10}^{(12)},\ Z_{11}^{(12)},\ Z_{12}^{(12)})}$, - первый раунд расшифровки;
• ${\displaystyle (-Z_{1}^{(14-r)},\ (Z_{5}^{(14-r)})^{-1},\ -Z_{6}^{(14-r)},\ (Z_{7}^{(14-r)})^{-1},\ (Z_{2}^{(14-r)})^{-1},\ -Z_{3}^{(14-r)},\ (Z_{4}^{(14-r)})^{-1},\ -Z_{8}^{(14-r)},\ Z_{9}^{(13-r)},\ Z_{10}^{(13-r)},\ Z_{11}^{(13-r)},\ Z_{12}^{(13-r)})}$, - ${\displaystyle r}$-й чётный раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8,\ 10,\ 12\}}$;
• ${\displaystyle ((Z_{1}^{(13-r)})^{-1},\ -Z_{5}^{(13-r)},\ (Z_{6}^{(13-r)})^{-1},\ -Z_{7}^{(13-r)},\ -Z_{2}^{(13-r)},\ (-Z_{3}^{(13-r)})^{-1},\ -Z_{4}^{(13-r)},\ (Z_{8}^{(13-r)})^{-1},\ Z_{9}^{(12-r)},\ Z_{10}^{(12-r)},\ Z_{11}^{(12-r)},\ Z_{12}^{(12-r)})}$, - ${\displaystyle r}$-й нечётный раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7,\ 9,\ 11\}}$;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ (Z_{3}^{(1)})^{-1},\ -Z_{4}^{(1)},\ -Z_{5}^{(1)},\ (Z_{6}^{(1)})^{-1},\ -Z_{7}^{(1)},\ (Z_{8}^{(1)})^{-1})}$, — выходные преобразования.

Криптоанализ[править | править код]

Ниже приводится таблица, содержащая расчетную информацию по возможным криптоатакам. В ней рассматриваются урезанные алгоритмы, количество раундов можно увидеть в соответствующей колонке. За данные принимаются выбранные подобранные открытые тексты, указывается необходимое количество таковых (в блоках). Время оценивается в количестве вычислений. Память отражает количество ячеек памяти, необходимых для хранения каких-либо данных во время криптоатаки. Как видно из таблицы, все варианты MESH более сложны для взлома представленными криптоатаками, чем IDEA, на котором он основан^[15][16].

Таблица 1. Обобщение сложностей криптоатак на IDEA и MESH^[17]

Шифр	Криптоанализ	Раундов	Данные	Память	Время
IDEA (8,5 раундов)	Интегральный	${\displaystyle 2.5}$	${\displaystyle 23}$	${\displaystyle 23}$	${\displaystyle 2^{64}}$
	Усеченный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{32}}$	${\displaystyle 2^{67}}$
	Невозможный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{38.5}}$	${\displaystyle 2^{37}}$	${\displaystyle 2^{53}}$
	Невозможный дифф.	${\displaystyle 4}$	${\displaystyle 2^{38.5}}$	${\displaystyle 2^{37}}$	${\displaystyle 2^{70}}$
MESH-64 (8,5 раундов)	Интегральный	${\displaystyle 2.5}$	${\displaystyle 2^{50.5}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{76}}$
	Усеченный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{32}}$	${\displaystyle 2^{78}}$
	Невозможный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{39.5}}$	${\displaystyle 2^{61}}$	${\displaystyle 2^{64}}$
	Невозможный дифф.	${\displaystyle 4}$	${\displaystyle 2^{39.5}}$	${\displaystyle 2^{61}}$	${\displaystyle 2^{112}}$
MESH-96 (10,5 раундов)	Интегральный	${\displaystyle 2.5}$	${\displaystyle 2^{50}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{96}}$
	Усеченный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{96}}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{109}}$
	Невозможный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{93}}$	${\displaystyle 2^{96}}$
	Невозможный дифф.	${\displaystyle 4}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{93}}$	${\displaystyle 2^{144}}$
MESH-128 (12,5 раундов)	Интегральный	${\displaystyle 2.5}$	${\displaystyle 2^{50}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{128}}$
	Усеченный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{128}}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{142}}$
	Невозможный дифф.	${\displaystyle 3.5}$	${\displaystyle 2^{65}}$	${\displaystyle 2^{157}}$	${\displaystyle 2^{128}}$
	Невозможный дифф.	${\displaystyle 4}$	${\displaystyle 2^{65}}$	${\displaystyle 2^{157}}$	${\displaystyle 2^{192}}$

Примечания[править | править код]

Литература[править | править код]

• J. Nakahara, Jr.; V. Rijmen; B. Preneel; J. Vandewalle. The MESH Block Ciphers (англ.). — 2002.
• J. Nakahara, Jr. Cryptanalysis And Design Of Block Ciphers (англ.). — 2003. — Июнь. — ISBN 90-5682-407-4.