Зерно 128а

Grain 128a Поточный шифр впервые был использован на семинаре по шифрованию с симметричным ключом (SKEW) в 2011 году. ^{[ 1 ]} как улучшение предшественника Grain 128, в котором были добавлены улучшения безопасности и дополнительная аутентификация сообщений с использованием подхода Encrypt & MAC. Одной из важных особенностей семейства Grain является то, что пропускную способность можно увеличить за счет дополнительного оборудования. Grain 128a разработан Мартином Огреном. ^{[ 1 ]} Мартин Хелл, Томас Йоханссон и Вилли Мейер.

Grain 128a состоит из двух больших частей: функции предварительного вывода и MAC. Функция предварительного вывода имеет размер внутреннего состояния 256 бит и состоит из двух регистров размером 128 бит: NLFSR и LFSR . MAC поддерживает теги переменной длины w, такие, что ${\displaystyle 0<w\leq 32}$. В шифре используется 128-битный ключ.

Шифр поддерживает два режима работы: с аутентификацией или без нее, которая настраивается через прилагаемый файл. ${\displaystyle IV_{0}}$ такое, что если ${\displaystyle IV_{0}=1}$ то аутентификация сообщения включена, и если ${\displaystyle IV_{0}=0}$ аутентификация сообщения отключена.

Функция предварительного вывода состоит из двух регистров размером 128 бит: NLFSR ( ${\displaystyle b}$) и ЛФСР ( ${\displaystyle s}$) вместе с двумя полиномами обратной связи ${\displaystyle f}$ и ${\displaystyle g}$ и булева функция ${\displaystyle h}$.

${\displaystyle f(x)=1+x^{32}+x^{47}+x^{58}+x^{90}+x^{121}+x^{128}}$

${\displaystyle g(x)=1+x^{32}+x^{37}+x^{72}+x^{102}+x^{128}+x^{44}x^{60}+x^{61}x^{125}+x^{63}x^{67}x^{69}x^{101}+x^{80}x^{88}+x^{110}x^{111}+x^{115}x^{117}+x^{46}x^{50}x^{58}+x^{103}x^{104}x^{106}+x^{33}x^{35}x^{36}x^{40}}$

${\displaystyle h(x)=b_{i+12}s_{i+8}+s_{i+13}s_{i+20}+b_{i+95}s_{i+42}+s_{i+60}s_{i+79}+b_{i+12}b_{i+95}s_{i+94}}$

В дополнение к полиномам обратной связи, функциями обновления для NLFSR и LFSR являются:

${\displaystyle b_{i+128}=s_{i}+b_{i}+b_{i+26}+b_{i+56}+b_{i+91}+b_{i+96}+b_{i+3}b_{i+67}+b_{i+11}b_{i+13}+b_{i+17}b_{i+18}+b_{i+27}b_{i+59}+b_{i+40}b_{i+48}+b_{i+61}b_{i+65}+b_{i+68}b_{i+84}+b_{i+88}b_{i+92}b_{i+93}b_{i+95}+b_{i+22}b_{i+24}b_{i+25}+b_{i+70}b_{i+78}b_{i+82}}$

${\displaystyle s_{i+128}=s_{i}+s_{i+7}+s_{i+38}+s_{i+70}+s_{i+81}+s_{i+96}}$

Предварительный выходной поток ( ${\displaystyle y}$) определяется как:

${\displaystyle y_{i}=h(x)+s_{i+93}+b_{i+2}+b_{i+15}+b_{i+36}+b_{i+45}+b_{i+64}+b_{i+73}+b_{i+89}}$

При инициализации мы определяем ${\displaystyle IV}$ 96-битной версии, где ${\displaystyle IV_{0}}$ определяет режим работы.

LFSR : инициализируется как

${\displaystyle s_{i}=IV_{i}}$ для ${\displaystyle 0\leq i\leq 95}$

${\displaystyle s_{i}=1}$ для ${\displaystyle 96\leq i\leq 126}$

${\displaystyle s_{127}=0}$

Последний бит 0 гарантирует, что аналогичные пары ключ-IV не создают сдвинутые версии друг друга.

NLFSR инициализируется путем копирования всего 128-битного ключа ( ${\displaystyle k}$) в НЛФСР :

${\displaystyle b_{i}=k_{i}}$ для ${\displaystyle 0\leq i\leq 127}$

Прежде чем функция предварительного вывода сможет начать выводить свой предвыходной поток, ее необходимо тактировать 256 раз для прогрева, на этом этапе предвыходной поток подается в полиномы обратной связи. ${\displaystyle g}$ и ${\displaystyle f}$.

Ключевой поток ( ${\displaystyle z}$) и функциональность MAC в Grain 128a используют один и тот же поток предварительного вывода ( ${\displaystyle y}$). Поскольку аутентификация не является обязательной, определение нашего ключевого потока зависит от ${\displaystyle IV_{0}}$.

Если аутентификация включена, функция MAC использует первый ${\displaystyle 2w}$ биты (где ${\displaystyle w}$ — размер тега) после запуска тактирования для инициализации. Затем ключевому потоку присваивается каждый второй бит из-за общего предварительного выходного потока.

Если аутентификация включена:

${\displaystyle z_{i}=y_{2w+2i}}$

Если аутентификация отключена:

${\displaystyle z_{i}=y_{i}}$

Grain 128a поддерживает теги размера. ${\displaystyle w}$ до 32 бит, для этого нужно 2 регистра размера ${\displaystyle w}$ используется сдвиговый регистр( ${\displaystyle r}$) и аккумулятор ( ${\displaystyle a}$). Чтобы создать тег сообщения ${\displaystyle m}$ где ${\displaystyle L}$ длина ${\displaystyle m+1}$ как мы должны установить ${\displaystyle m_{L}=1}$ чтобы гарантировать, что, т.е. ${\displaystyle m1=1}$ и ${\displaystyle m2=10}$ имеет разные теги, а также делает невозможным создание тега, который полностью игнорирует входные данные из сдвигового регистра после инициализации.

Для каждого бита ${\displaystyle 0\leq j\leq 31}$ в аккумуляторе мы в раз ${\displaystyle 0\leq i\leq L}$ мы осуждаем немного в аккумуляторе, как ${\displaystyle a_{i}^{j}}$.

Когда аутентификация включена, Grain 128a использует первый ${\displaystyle 2w}$ бит предварительного выходного потока( ${\displaystyle y}$) для инициализации сдвигового регистра и аккумулятора. Это делается:

Регистр сдвига:

${\displaystyle r_{i}=y_{i+31}}$ для ${\displaystyle 0\leq i\leq 31}$

Аккумулятор:

${\displaystyle a_{0}^{j}=y_{j}}$ для ${\displaystyle 0\leq j\leq 31}$

Регистр сдвига:

В сдвиговый регистр подаются все нечетные биты предварительного выходного потока ( ${\displaystyle y}$):

${\displaystyle r_{i+31}=y_{64+2i+1}}$

Аккумулятор:

${\displaystyle a_{i+1}^{j}=a_{i}^{j}+m_{i}r_{i+j}}$ для ${\displaystyle 0\leq i\leq L}$

Когда шифр завершил L итераций, последний тег ( ${\displaystyle t}$) — содержимое аккумулятора:

${\displaystyle t_{i}=a_{L+1}^{i}}$ для ${\displaystyle 0\leq i\leq 31}$

• Новая версия Grain-128 с аутентификацией