文档介绍:祖冲之序列密码算法
第1部分:算法描述
范围
本部分描述了祖冲之序列密码算法,可用于指导祖冲之算法相关产品的研制、检测和使用。
术语和约定
以下术语和约定适用于本部分。
比特 bit
二进制字符0和1称之为比特。
字节 byte
由8个比特组成的比特串称之为字节。
字 word
由2个以上(包含2个)比特组成的比特串称之为字。
本部分主要使用31比特字和32比特字。
字表示 word representation
本部分字默认采用十进制表示。当字采用其它进制表示时,总是在字的表示之前或之后添加指示符。例如,前缀0x指示该字采用十六进制表示,后缀下角标2指示该字采用二进制表示。
高低位顺序 bit ordering
本部分规定字的最高位总是位于字表示中的最左边,最低位总是位于字表示中的最右边。
符号和缩略语
运算符
+ 算术加法运算
mod 整数取余运算
⨁按比特位逐位异或运算
⊞模232加法运算
‖字符串连接符
∙H 取字的最高16比特
∙L 取字的最低16比特
<<<k 32比特字左循环移k位
>>k 32比特字右移k位
aàb 向量a赋值给向量b,即按分量逐分量赋值
符号
下列符号适用于本部分:
s0,s1,s2,…,s15 线性反馈移位寄存器的16个31比特寄存器单元变量
X0,X1,X2,X3 比特重组输出的4个32比特字
R1, R2 非线性函数F的2个32比特记忆单元变量
W 非线性函数F输出的32比特字
Z 算法每拍输出的32比特密钥字
k 初始种子密钥
iv 初始向量
D 用于算法初始化的字符串常量
缩略语
下列缩略语适用于本部分:
ZUC 祖冲之序列密码算法或祖冲之算法
LFSR 线性反馈移位寄存器
BR 比特重组
F 非线性函数
算法描述
算法整体结构
祖冲之算法逻辑上分为上中下三层,见图1。上层是16级线性反馈移位寄存器(LFSR);中层是比特重组(BR);下层是非线性函数F。
图 1 祖冲之算法结构图
线性反馈移位寄存器LFSR
概述
LFSR包括16个31比特寄存器单元变量s0, s1, …, s15。
LFSR的运行模式有2种:初始化模式和工作模式。
初始化模式
在初始化模式下,LFSR接收一个31比特字u。u是由非线性函数F的32比特输出W通过舍弃最低位比特得到,即u=W >> 1。在初始化模式下,LFSR计算过程如下:
LFSRWithInitialisationMode(u)
{
v = 215 s15 +217 s13 + 221 s10 + 220 s4 + (1 + 28)s0 mod (231-1);
s16=(v+u) mod (231-1);
如果s16=0,则置s16=231-1;
(s1, s2, …, s15, s16) ® (s0, s1, …, s14, s15)。
}
工作模式
在工作模式下,LFSR不接收任何输入。其计算过程如下:
LFSRWithWorkMode()
{
s16 = 215 s15 +217 s13 + 221 s10 + 220 s4 + (1 + 28)s0 mod (231-1);
如果s16=0,则置s16=231-1;
(s1, s2, …, s15, s16) ® (s0, s1, …, s14, s15)。
}
比特重组BR
比特重组从LFSR的寄存器单元中抽取128比特组成4个32比特字X0、X1、X2、X3。BR的具体计算过程如下:
BitReconstruction()
{
X0 = s15H‖s14L;
X1 = s11L‖s9H;
X2 = s7L‖s5H;
X3 = s2L‖s0H。
}
非线性函数F
F包含2个32比特记忆单元变量R1和R2。
F的输入为3个32比特字X0、X1、X2,输出为一个32比特字W。F的计算过程如下:
F (X0, X1, X2)
{
W = (X0 Å R1) ⊞ R2;
W1 = R1 ⊞ X1;
W2 = R2 Å X2;
R1 = S(L1(W1L‖W2H));
R2 = S(L2(W2L‖W1H))。
}
其中S为32比特的S盒变换,定义在附录A中给出;L1和L2为32比特线性变换,定义如下:
L1(X) = X Å (X <<< 2) Å (X <<< 10) Å (X <<< 18) Å (X <<< 24),
L2(X) = X Å (X <<< 8) Å (X <<< 14) Å (X <<< 22) Å (X <<< 30)。
密钥装入