Схема Лая – Мэсси

скрывать В этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения ) Эта статья может быть слишком технической для понимания большинства читателей . Пожалуйста, помогите улучшить его , чтобы он был понятен неспециалистам , не удаляя технических подробностей. ( Октябрь 2013 г. ) ( Узнайте, как и когда удалить это сообщение ) Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найти источники:   «Схема Лая – Мэсси» – новости   · газеты   · книги   · ученый   · JSTOR ( июль 2021 г. ) ( Узнайте, как и когда удалить это сообщение ) ( Узнайте, как и когда удалить это сообщение )

Схема Лая-Мэсси — это криптографическая структура, используемая при разработке блочных шифров . ^{[ 1 ] [ 2 ]} Он используется в IDEA и IDEA NXT . Схема была первоначально представлена ​​Сюэцзя Лаем. ^{[ 3 ]} при содействии Джеймса Л. Мэсси , отсюда и название схемы — Лай-Мэсси .

Схема Лай-Мэсси по конструкции похожа на сеть Фейстеля , в ней используются функции округления и полукруглой функции . Функция раунда — это функция, которая принимает два входных параметра: дополнительный ключ и блок данных и возвращает один выходной сигнал равной длины в блок данных. Полукруглая функция принимает два входа и преобразует их в два выхода. Для любого данного раунда входные данные делятся на две половины: левую и правую .

Первоначально входные данные передаются через полукруглую функцию. В каждом раунде разница между входными данными передается функции раунда вместе с дополнительным ключом, а затем результат функции раунда добавляется к каждому входу. Затем входные данные передаются через полукруглую функцию. Затем это повторяется фиксированное количество раз, и конечным результатом являются зашифрованные данные. Благодаря своей конструкции она имеет преимущество перед сетью подстановки-перестановки , поскольку не нужно инвертировать раундовую функцию, а только полукруглую, что позволяет ее легче инвертировать и позволяет произвольно инвертировать функцию округления. сложный. Процессы шифрования и дешифрования довольно похожи: вместо этого дешифрование требует изменения расписания ключей , инвертированной полукруглой функции и того, чтобы выходные данные округляющей функции вычитались, а не добавлялись.

Позволять ${\displaystyle \mathrm {F} }$ быть круглой функцией, и ${\displaystyle \mathrm {H} }$ полукруглая функция, и пусть ${\displaystyle K_{0},K_{1},\ldots ,K_{n}}$ быть дополнительными клавишами для раундов ${\displaystyle 0,1,\ldots ,n}$ соответственно.

Тогда основная операция выглядит следующим образом:

Разделите блок открытого текста на две равные части ( ${\displaystyle L_{0}}$, ${\displaystyle R_{0}}$).

Для каждого раунда ${\displaystyle i=0,1,\dots ,n}$, вычислить

${\displaystyle (L_{i+1}',R_{i+1}')=\mathrm {H} (L_{i}'+T_{i},R_{i}'+T_{i}),}$

где ${\displaystyle T_{i}=\mathrm {F} (L_{i}'-R_{i}',K_{i})}$, и ${\displaystyle (L_{0}',R_{0}')=\mathrm {H} (L_{0},R_{0})}$.

Тогда зашифрованный текст ${\displaystyle (L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')}$.

Расшифровка зашифрованного текста ${\displaystyle (L_{n+1},R_{n+1})}$ достигается путем вычисления для ${\displaystyle i=n,n-1,\ldots ,0}$

${\displaystyle (L_{i}',R_{i}')=\mathrm {H} ^{-1}(L_{i+1}'-T_{i},R_{i+1}'-T_{i}),}$

где ${\displaystyle T_{i}=\mathrm {F} (L_{i+1}'-R_{i+1}',K_{i})}$, и ${\displaystyle (L_{n+1}',R_{n+1}')=\mathrm {H} ^{-1}(L_{n+1},R_{n+1})}$.

Затем ${\displaystyle (L_{0},R_{0})=(L_{0}',R_{0}')}$ это снова открытый текст.

Схема Лая-Месси предлагает свойства безопасности, аналогичные свойствам структуры Фейстеля . У нее также есть преимущество перед сетью подстановки-перестановки, заключающееся в том, что функция округления ${\displaystyle \mathrm {F} }$ не обязательно должен быть обратимым.

Полукруглая функция необходима для предотвращения тривиальной различительной атаки ( ${\displaystyle L_{0}-R_{0}=L_{n+1}-R_{n+1}}$) . Обычно применяется ортоморфизм ${\displaystyle \sigma }$ с левой стороны, то есть

${\displaystyle \mathrm {H} (L,R)=(\sigma (L),R),}$

где оба ${\displaystyle \sigma }$ и ${\displaystyle x\mapsto \sigma (x)-x}$ являются перестановками (в математическом смысле, то есть биекцией, а не полем перестановок ). Поскольку для битовых блоков (групп размером ${\displaystyle 2^{n}}$), вместо этого используются «почти ортоморфизмы».

${\displaystyle \mathrm {H} }$ может зависеть от ключа. Если это не так, последнее применение можно опустить, поскольку его обратное и так известно. Последнее применение принято называть «круглым». ${\displaystyle n.5}$"для шифра, который в противном случае имеет ${\displaystyle n}$ раунды.

• Х. Лай. О конструкции и безопасности блочных шифров . Серия ETH по обработке информации, том. 1, Хартунг-Горре, Констанц, 1992 г.
• X. Лай, Дж. Л. Мэсси. Предложение по новому стандарту блочного шифрования . Достижения в криптологии EUROCRYPT'90 , Орхус, Дания, LNCS 473, стр. 389–404, Спрингер, 1991 г.
• Серж Водене: Классическое введение в криптографию , с. 33