Tải bản đầy đủ

Đồ án bảo mật thông tin mã hóa DES

MỤC LỤC
I .1 Giới thiệu...........................................................................................................3
I.2 Các Hệ Mã Thông Dụng:..............................................................................3
e. Phương pháp Affine...............................................................................................4
f. Phương pháp Vigenere...........................................................................................5
I.2 LẬP MÃ DES................................................................................................14
I. 3 THÁM MÃ DES...........................................................................................17
I.3.1. Thám mã hệ DES - 3 vòng..................................................................20
II.3.2. Thám mã hệ DES 6-vòng...................................................................23
II.3. 3 Các thám mã vi sai khác.....................................................................28
III. HỆ MÃ DES 3 VÒNG................................................................................28
III.1 Giao Diện ( Package GiaoDien)......................................................................28


LỜI NÓI ĐẦU
Hiện nay, nước ta đang trong giai đoạn tiến hành công nghiệp hóa, hiện đại hóa đất
nước. Tin học được xem là một trong những ngành mũi nhọn. Tin học đã và đang đóng góp
rất nhiều cho xã hội trong mọi khía cạnh của cuộc sống.
Mã hóa thông tin là một ngành quan trọng và có nhiều ứng dụng trong đời sống xã hội.
Ngày nay, các ứng dụng mã hóa và bảo mật thông tin đang được sử dụng ngày càng phổ
biến hơn trong các lónh vực khác nhau trên Thế giới, từ các lónh vực an ninh, quân sự, quốc

phòng…, cho đến các lónh vực dân sự như thương mại điện tử, ngân hàng…
Ứng dụng mã hóa và bảo mật thông tin trong các hệ thống thương mại điện tử, giao dòch
chứng khoán,… đã trở nên phổ biến trên thế giới và sẽ ngày càng trở nên quen thuộc với
người dân Việt Nam. Tháng 7/2000, thò trường chứng khoán lần đầu tiên được hình thành tại
Việt Nam; các thẻ tín dụng bắt đầu được sử dụng, các ứng dụng hệ thống thương mại điện
tử đang ở bước đầu được quan tâm và xây dựng. Do đó, nhu cầu về các ứng dụng mã hóa và
bảo mật thông tin trở nên rất cần thiết.


I.

MỘT SỐ PHƯƠNG PHÁP MÃ HÓA
I .1 Giới thiệu
Đònh nghóa 1.1: Một hệ mã mật (cryptosystem) là một bộ-năm (P, C, K, E, D) thỏa mãn
các điều kiện sau:
1. P là không gian bản rõ. tập hợp hữu hạn tất cả các mẩu tin nguồn cần mã hóa có thể

2.C là không gian bản mã. tập hợp hữu hạn tất cả các mẩu tin có thể có sau khi mã hóa
3...K là không gian khoá. tập hợp hữu hạn các khóa có thể được sử dụng
4.Với mỗi khóa k∈K, tồn tại luật mã hóa ek∈E và luật giải mã dk∈D tương ứng. Luật
mã hóa ek: P → C và luật giải mã ek: C → P là hai ánh xạ thỏa mãn
d k ( ek ( x ) ) = x, ∀ x ∈ P
Tính chất 4. là tính chất chính và quan trọng của một hệ thống mã hóa. Tính chất này
bảo đảm việc mã hóa một mẩu tin x∈P bằng luật mã hóa ek∈E có thể được giải mã
chính xác bằng luật dk∈D.
Đònh nghóa 1.2: Zm được đònh nghóa là tập hợp {0, 1, ..., m-1}, được trang bò phép cộng
(ký hiệu +) và phép nhân (ký hiệu là ×). Phép cộng và phép nhân trong Zm được thực
hiện tương tự như trong Z, ngoại trừ kết quả tính theo modulo m
Ví dụ: Giả sử ta cần tính giá trò 11 × 13 trong Z16. Trong Z, ta có kết quả của phép nhân
11×13=143. Do 143≡15 (mod 16) nên 11×13=15 trong Z16.
Một số tính chất của Zm
Phép cộng đóng trong Zm, i.e., ∀ a, b ∈ Zm, a+b ∈ Zm
1.
Tính giao hoán của phép cộng trong Zm, i.e., ∀ a, b ∈ Zm, a+b =b+a
2.
Tính kết hợp của phép cộng trong Zm, i.e., ∀ a, b, c ∈ Zm, (a+b)+c =a+(b+c)
3.
Zm có phần tử trung hòa là 0, i.e., ∀ a ∈ Zm, a+0=0+a=a
4.
Mọi phần tử a trong Zm đều có phần tử đối là m – a

5.
Phép nhân đóng trong Zm, i.e., ∀ a, b ∈ Zm, b∈ Zm
6.
Tính giao hoán của phép cộng trong Zm, i.e., ∀ a, b ∈ Zm, b=b×a
7.
Tính kết hợp của phép cộng trong Zm, i.e., ∀ a, b, c ∈ Zm, (b)×c =(b×c)
8.
Zm có phần tử đơn vò là 1, i.e., ∀ a ∈ Zm, 1=1×a=a
9.
10. Tính phân phối của phép nhân đối với phép cộng, i.e., ∀ a, b, c ∈ Zm, (a+b)×c
=(c)+(b×c)
11. Zm có các tính chất 1, 3 – 5 nên tạo thành 1 nhóm. Do Zm có tính chất 2 nên tạo thành
nhóm Abel. Zm có các tính chất (1) – (10) nên tạo thành 1 vành

I.2 Các Hệ Mã Thông Dụng:
a. Hệ Mã Đầy (Shift Cipher )
Shift Cipher là một trong những phương pháp lâu đời nhất được sử dụng để
mã hóa. Thông điệp được mã hóa bằng cách dòch chuyển (xoay vòng) từng ký tự đi k vò trí
trong bảng chữ cái.
Phương pháp Shift Cipher


Cho P = C = K = Z26. Với 0 ≤ K ≤ 25, ta đònh nghóa



eK = x + K mod 26

dK = y - K mod 26
(x,y ∈ Z26)

trong đó 26 là số ký tự trong bảng chữ cái La tinh, một cách tương tự cũng có thể
đònh nghóa cho một bảng chữ cái bất kỳ. Đồng thời ta dễ dàng thấy rằng mã đẩy là một hệ
mật mã vì dK(eK(x)) = x với mọi x∈Z26.
b. Hệ KEYWORD-CEASAR
Trong hệ mã này khóa là một từ nào đó được chọn trước, ví dụ PLAIN. Từ này
xác đònh dãy số nguyên trong Z 26 (15,11,0,8,13) tương ứng với vò trí các chữ cái của các
chữ được chọn trong bảng chữ cái. Bây giờ bản rõ sẽ được mã hóa bằng cách dùng các
hàm lập mã theo thứ tự:
e15, e11, e0, e8, e13, e15, e11, e0, e8, e,...
với eK là hàm lập mã trong hệ mã chuyển.
c. Hệ Mã Vuông (SQUARE)
Trong hệ này các từ khóa được dùng theo một cách khác hẳn. Ta dùng bảng chữ
cái tiếng Anh (có thể bỏ đi chữ Q, nếu muốn tổng số các chữ số là một số chính phương)
và đòi hỏi mọi chữ trong từ khóa phải khác nhau. Bây giờ mọi chữ của bảng chữ cái
được viết dưới dạng một hình vuông, bắt đầu bằng từ khóa và tiếp theo là những chữ cái
còn lại theo thứ tự của bảng chữ.
d. Mã thế vò
Một hệ mã khác khá nổi tiếng . Hệ mã này đã được sử dụng hàng trăm năm nay.
Phương pháp :
Cho P = C = Z26. K gồm tất cả các hoán vò có thể có của 26 ký hiệu
0,...,25. Với mỗi hoán vò π∈K, ta đònh nghóa:
eπ(x) = π(x)
và đònh nghóa
dπ(y) = π-1(y)
với π -1 là hoán vò ngược của hoán vò π.
Trong mã thế vò ta có thể lấy P và C là các bảng chữ cái La tinh. Ta sử dụng Z 26
trong mã đẩy vì lập mã và giải mã đều là các phép toán đại số.
e. Phương pháp Affine



Cho P = C = Z26 và cho
K = {(a,b) ∈ Z26 × Z26 : gcd(a,26) = 1}
Với K = (a,b) ∈ K, ta xác đònh
eK(x) = ax+b mod 26
dK = a-1(y-b) mod 26


(x,y ∈ Z26)
Phương pháp Affine lại là một trường hợp đặc biệt khác của Substitution Cipher.
Để có thể giải mã chính xác thông tin đã được mã hóa bằng hàm ek∈ E thì ek phải là một
song ánh. Như vậy, với mỗi giá trò y∈Z26, phương trình ax+b≡y (mod 26) phải có nghiệm
duy nhất x∈Z26.
Phương trình ax+b≡y (mod 26) tương đương với ax≡(y–b ) (mod 26). Vậy, ta chỉ cần
khảo sát phương trình ax≡(y–b ) (mod 26)
Đònh lý1.1: Phương trình ax+b≡y (mod 26) có nghiệm duy nhất x∈Z26 với mỗi giá trò b∈Z26
khi và chỉ khi a và 26 nguyên tố cùng nhau.
Vậy, điều kiện a và 26 nguyên tố cùng nhau bảo đảm thông tin được mã hóa bằng hàm ek
có thể được giải mã và giải mã một cách chính xác.
Gọi φ(26) là số lượng phần tử thuộc Z26 và nguyên tố cùng nhau với 26.
m

i
Đònh lý 1.2: Nếu n = ∏ pi với pi là các số nguyên tố khác nhau và ei ∈ Z+, 1 ≤ i ≤ m thì

m

(

φ ( n ) = ∏ piei − piei −1
i =1

e

i =1

)

Trong phương pháp mã hóa Affine , ta có 26 khả năng chọn giá trò b, φ(26) khả năng chọn
giá trò a. Vậy, không gian khóa K có tất cả nφ(26) phần tử.
Vấn đề đặt ra cho phương pháp mã hóa Affine Cipher là để có thể giải mã được thông tin
đã được mã hóa cần phải tính giá trò phần tử nghòch đảo a–1 ∈ Z26.
f. Phương pháp Vigenere
phương pháp mã hóa Vigenere sử dụng một từ khóa (keyword) có độ dài m. Có thể xem
như phương pháp mã hóa Vigenere Cipher bao gồm m phép mã hóa Shift Cipher được áp
dụng luân phiên nhau theo chu kỳ.
Không gian khóa K của phương pháp Vigenere có số phần tử là 26, lớn hơn hẳn phương
pháp số lượng phần tử của không gian khóa K trong phương pháp Shift Cipher. Do đó, việc
tìm ra mã khóa k để giải mã thông điệp đã được mã hóa sẽ khó khăn hơn đối với phương
pháp Shift Cipher.

Phương pháp mã hóa Vigenere Cipher
Chọn số nguyên dương m. Đònh nghóa P = C = K = (Z26)m
K = { (k0, k1, ..., kr-1) ∈ (Z26)r}
Với mỗi khóa k = (k0, k1, ..., kr-1) ∈ K, đònh nghóa:
ek(x1, x2, ..., xm) = ((x1+k1) mod 26, (x2+k2) mod n, ..., (xm+km) mod 26)
dk(y1, y2, ..., ym) = ((y1–k1) mod n, (y2–k2) mod n, ..., (ym–km) mod 26)
với x, y ∈ (Z26)m
g. Hệ mã Hill


Phương pháp Hill Cipher được Lester S. Hill công bố năm 1929: Cho số nguyên dương
m, đònh nghóa P = C = (Z26)m. Mỗi phần tử x∈P là một bộ m thành phần, mỗi thành phần
thuộc Z26. Ý tưởng chính của phương pháp này là sử dụng m tổ hợp tuyến tính của m thành
phần trong mỗi phần tử x∈P để phát sinh ra m thành phần tạo thành phần tử y∈C.
Phương pháp mã hóa Hill Cipher
Chọn số nguyên dương m. Đònh nghóa:
P = C = (Z26)m và K là tập hợp các ma trận m×m khả nghòch

 k1,1

 k 2,1
k
=
Với mỗi khóa
 

k
 m ,1

k1, 2  k1,m 

  k 2 ,m 
∈ K , đònh nghóa:

 

k m, 2  k m ,m 
 k1,1 k1, 2  k1,m 


 k 2,1   k 2,m 
ek ( x ) = xk = ( x1 , x2 ,..., x m ) 
với x=(x1, x2, ..., xm) ∈ P


 


k

 m,1 k m, 2  k m,m 

và dk(y) = yk–1 với y∈ C
Mọi phép toán số học đều được thực hiện trên Zn

h. Mã hoán vò
Những phương pháp mã hóa nêu trên đều dựa trên ý tưởng chung: thay thế mỗi ký tự
trong thông điệp nguồn bằng một ký tự khác để tạo thành thông điệp đã được mã hóa. Ý
tưởng chính của phương pháp mã hoán vò là vẫn giữ nguyên các ký tự trong thông điệp
nguồn mà chỉ thay đổi vò trí các ký tự; nói cách khác thông điệp nguồn được mã hóa bằng
cách sắp xếp lại các ký tự trong đó.

Phương pháp mã hóa mã hoán vò
Chọn số nguyên dương m. Đònh nghóa:
P = C = (Z26)m và K là tập hợp các hoán vò của m phần tử {1, 2, ..., m}
Với mỗi khóa π ∈ K, đònh nghóa:
eπ ( x1 , x 2 ,..., xm ) = xπ ( 1) , xπ ( 2 ) ,...xπ ( m ) và

(

(

)

d π ( y1 , y 2 ,..., y m ) = yπ −1 ( 1) , yπ −1 ( 2 ) ,... yπ −1 ( m )

)

với π–1 hoán vò ngược của π
Phương pháp mã hoán vò chính là một trường hợp đặc biệt của phương pháp Hill. Với
mỗi hoán vò π của tập hợp {1, 2, ..., m} , ta xác đònh ma trận kπ = (ki, j ) theo công thức sau:


1, nếu i = π ( j )
ki, j = 
0, trong trường hợp ngược lại
Ma trận kπ là ma trận mà mỗi dòng và mỗi cột có đúng một phần tử mang giá trò 1, các
phần tử còn lại trong ma trận đều bằng 0. Ma trận này có thể thu được bằng cách hoán vò
các hàng hay các cột của ma trận đơn vò Im nên kπ là ma trận khả nghòch. Rõ ràng, mã hóa
bằng phương pháp Hill với ma trận kπ hoàn toàn tương đương với mã hóa bằng phương pháp
mã hoán vò với hoán vò π.
d. Mã vòng
Trong các hệ trước đều cùng một cách thức là các phần tử kế tiếp nhau của bản rõ
đều được mã hóa với cùng một khóa K. Như vậy xâu mã y sẽ có dạng sau:
y = y1y2... = eK(x1) eK(x2)...
Các hệ mã loại này thường được gọi là mã khối (block cipher).
Còn đối với các hệ mã dòng. Ý tưởng ở đây là sinh ra một chuỗi khóa z = z 1z2...,
và sử dụng nó để mã hóa xâu bản rõ x = x1x2...theo qui tắc sau:

y = y1 y 2 ... = e z1 ( x1 )e z2 ( x 2 )...

I.3 Quy trình thám mã:
Cứ mỗi phương pháp mã hoá ta lại có một phương pháp thám mã tương ứng nhưng
nguyên tắc chung để việc thám mã được thành công thì yêu cầu người thám mã
phải biết hệ mã nào được dùng hoá. Ngoài ra ta còn phải biết được bản mã và bản
rõ ứng.
nhìn chung các hệ mã đối xứng là dễ cài đặt với tốc độ thực thi nhanh.
Tính an toàn của nó phụ thuộc vào các yếu tố :
• Không gian khoá phải đủ lớn
• với các phép trộn thích hợp các hệ mã đối xứng có thể tạo ra được một hệ
mã mới có tính an toàn cao.
• bảo mật cho việc truyền khóa cũng cần được xử lý một cách nghiêm túc.
Và một hệ mã hoá dữ liệu ra đời (DES). DES được xem như là chuẩn mã hóa dữ
liệu cho các ứng dụng từ ngày 15 tháng 1 năm 1977 do Ủy ban Quốc gia về Tiêu chuẩn
của Mỹ xác nhận và cứ 5 năm một lần lại có chỉnh sửa, bổ sung.
DES là một hệ mã được trộn bởi các phép thế và hoán vò. với phép trộn thích hợp
thì việc giải mã nó lại là một bài toán khá khó. Đồng thời việc cài đặt hệ mã này cho
những ứng dụng thực tế lại khá thuận lợi. Chính những lý do đó nó được ứng dụng rộng
rãi của DES trong suốt hơn 20 năm qua, không những tại Mỹ mà còn là hầu như trên khắp
thế giới. Mặc dù theo công bố mới nhất (năm 1998) thì mọi hệ DES, với những khả năng
của máy tính hiện nay, đều có thể bẻ khóa trong hơn 2 giờ. Tuy nhiên DES cho đến nay
vẫn là một mô hình chuẩn cho những ứng dụng bảo mật trong thực tế.
II. HỆ MÃ CHUẨN DES (Data Encryption Standard)
II.1 Đặc tả DES
Phương pháp DES mã hóa từ x có 64 bit với khóa k có 56 bit thành một từ có y 64 bit.
Thuật toán mã hóa bao gồm 3 giai đoạn:


Với từ cần mã hóa x có độ dài 64 bit, tạo ra từ x0 (cũng có độ dài 64 bit) bằng cách
hoán vò các bit trong từ x theo một hoán vò cho trước IP (Initial Permutation). Biểu diễn
x0 = IP(x) = L0R0, L0 gồm 32 bit bên trái của x0, R0 gồm 32 bit bên phải của x0
1.

L

R

0

0

x0
Hình.1 Biểu diễn dãy 64 bit x thành 2 thành phần L và R
Xác đònh các cặp từ 32 bit Li, Ri với 1≤ i ≤ 16theo quy tắc sau:
Li = Ri-1
Ri = Li-1⊕ f (Ri-1, Ki)
với ⊕ biểu diễn phép toán XOR trên hai dãy bit, K1, K2, ..., K16 là các dãy 48 bit phát
sinh từ khóa K cho trước (Trên thực tế, mỗi khóa Ki được phát sinh bằng cách hoán vò
các bit trong khóa K cho trước).
2..........................

L

i-1

R

i-1

K

f

i



L

i

R

i

Hình.2 Quy trình phát sinh dãy 64 bit LiRi từ dãy 64 bit Li-1Ri-1và khóa Ki
Áp dụng hoán vò ngược IP-1 đối với dãy bit R16L16, thu được từ y gồm 64 bit. Như vậy, y
= IP-1 (R16L16)
3.


Hàm f được sử dụng ở bước 2 là
A

J

E

E(A)

+

B1

B2

S1

B3

S2

C1

S3

B4

B5

B6
S5

S4

B7 B8
S6

S7

S8

C2 C3 C4 C5 C6 C7 C8

P

f(A,J)

Hàm f có gồm 2 tham số: Tham số thứ nhất A là một dãy 32 bit, tham số thứ hai J là
một dãy 48 bit. Kết quả của hàm f là một dãy 32 bit. Các bước xử lý của hàm f(A, J)như
sau:


• Tham số thứ nhất A (32 bit) được mở rộng thành dãy 48 bit bằng hàm mở rộng E.






Kết quả của hàm E(A) là một dãy 48 bit được phát sinh từ A bằng cách hoán vò theo
một thứ tự nhất đònh 32 bit của A, trong đó có 16 bit của A được lập lại 2 lần trong
E(A).
Thực hiện phép toán XOR cho 2 dãy 48 bit E(A) và J, ta thu được một dãy 48 bit B.
Biểu diễn B thành từng nhóm 6 bit như sau:B = B1B2B3B4B5B6B7B8
Sử dụng 8 ma trận S1, S2,..., S8, mỗi ma trận Si có kích thước 4×16 và mỗi dòng của
ma trận nhận đủ 16 giá trò từ 0 đến 15. Xét dãy gồm 6 bit
Bj = b1b2b3b4b5b6,
Sj(Bj) được xác đònh bằng giá trò của phần tử tại dòng r cột c của Sj, trong đó, chỉ số
dòng r có biểu diễn nhò phân là b1b6, chỉ số cột c có biểu diễn nhò phân là b2b3b4b5.
Bằng cách này, ta xác đònh được các dãy 4 bit Cj = Sj(Bj), 1 ≤ j ≤ 8.
Tập hợp các dãy 4 bit Cj lại. ta có được dãy 32 bit C = C1C2C3C4C5C6C7C8. Dãy 32
bit thu được bằng cách hoán vò C theo một quy luật P nhất đònh chính là kết quả của
hàm F(A, J)
các hàm được sử dụng trong DES.
Hoán vò khởi tạo IP sẽ như sau:

IP
58
60
62
64
57
59
61
63

50
52
54
56
49
51
53
55

42
44
46
48
41
43
45
47

34
36
38
40
33
35
37
39

26
28
30
32
25
27
29
31

18
20
22
24
17
19
21
23

10
12
14
16
9
11
13
15

2
4
6
8
1
3
5
7

Điều này có nghóa là bit thứ 58 của x là bit đầu tiên của IP(x); bit thứ 50 của x là
bit thứ hai của IP(x) v.v.
Hoán vò ngược IP-1 sẽ là:

40
39
38
37
36
35
34
33

8
7
6
5
4
3
2
1

48
47
46
45
44
43
42
41

IP-1
16
15
14
13
12
11
10
9

56
55
54
53
52
51
50
49

Hàm mở rộng E được đặc tả theo bảng sau:

24
23
22
21
20
19
18
17

64
63
62
61
60
59
58
57

32
31
30
29
28
27
26
25


32
4
8
12
16
20
24
28

1
5
9
13
17
21
25
29

E – bảng chọn bit
2
3
6
7
10
11
14
15
18
19
22
23
26
27
30
31

4
8
12
16
20
24
28
32

5
9
13
17
21
25
29
1

Tám S-hộp và hoán vò P sẽ được biểu diễn như sau:

S1
14
0
4
15

4
15
1
12

13
7
14
8

1
4
8
2

2
14
13
4

15
2
6
9

11
13
2
1

8
1
11
7

3
10
15
5

10
6
12
11

6
12
9
3

12
11
7
14

5
9
3
10

9
5
10
0

0
3
5
6

7
8
0
13

9
12
5
11

7
0
8
6

2
1
12
7

13
10
6
12

12
6
9
0

0
9
3
5

5
11
2
14

10
5
15
9

1
2
11
4

13
8
1
15

12
5
2
14

7
14
12
3

11
12
5
11

4
11
10
5

2
15
14
2

8
1
7
12

1
4
15
9

2
7
1
4

8
2
3
5

5
12
14
11

11
1
5
12

12
10
2
7

4
14
8
2

15
9
4
14

S2
15
3
0
13

1
13
14
8

8
4
7
10

14
7
11
1

6
15
10
3

11
2
4
15

3
8
13
4

4
14
1
2
S3

10
13
13
1

0
7
6
10

9
0
4
13

14
9
9
0

6
3
8
6

3
4
15
9

15
6
3
8

5
10
0
7
S4

7
13
10
3

13
8
6
15

14
11
9
0

3
5
0
6

0
6
12
10

6
15
11
1

9
0
7
13

10
3
13
8


S5
2
14
4
11

12
10
9
4

12
11
2
8

1
15
14
3

4
2
1
12

10
4
15
2

1
12
11
7

15
2
5
12

7
4
10
0

9
7
2
9

10
7
13
14

2
12
8
5

11
13
7
2

6
9
12
15

6
1
8
13

8
5
15
6

5
0
9
15

3
15
12
0

15
10
5
9

13
3
6
10

0
9
3
4

14
8
0
5

9
6
14
3

8
5
3
10

S6
0
6
7
11

13
1
0
14

3
13
4
1

4
14
10
7

14
0
1
6

7
11
13
0

5
3
11
8

3
14
10
9

12
3
15
5

9
5
6
0

7
12
8
15

5
2
0
14

10
15
5
2

6
8
9
3

1
6
2
12

10
12
0
15

9
5
6
12

3
6
10
9

14
11
13
0

5
0
15
3

0
14
3
5

12
9
5
6

7
2
8
11

20
28
23
31
24
3
30
4

21
17
26
10
14
9
6
25

11
8
6
13

S7
4
13
1
6

11
0
4
11

2
11
11
13

14
7
13
8

15
4
12
1

0
9
3
4

8
1
7
10

13
10
14
7

S8
13
1
7
2

2
15
11
1

8
13
4
14

4
8
1
7

6
10
9
4

15
3
12
10

11
7
14
8

1
4
2
13
P

16
29
1
5
2
32
19
22

7
12
15
18
8
27
13
11

K là xâu có độ dài 64 bit, trong đó có 56 bit dùng làm khóa và 8 bit dùng để kiểm
tra sự bằng nhau (để phát hiện lỗi). Các bit ở các vò trí 8, 16, ..., 64 được xác đònh, sao cho
mỗi byte chứa số lẻ các số 1. Vì vậy, từng lỗi có thể được phát hiện trong mỗi 8 bit. Các
bit kiểm tra sự bằng nhau là được bỏ qua khi tính lòch khóa.


1. Cho khóa 64 bit K, loại bỏ các bit kiểm tra và hoán vò các bit còn lại của K
tương ứng với hoán vò (cố đònh) PC-1. Ta viết PC-1(K) = C0D0, với C0 bao gồm 28 bit đầu
tiên của PC-1(K) và D0 là 28 bit còn lại.
2. Với i nằm trong khoảng từ 1 đến 16, ta tính
Ci = LSi(Ci-1)
Di = LSi(Di-1)
và Ki = PC-2(CiDi), LSi biểu diễn phép chuyển chu trình (cyclic shift) sang trái hoặc của
một hoặc của hai vò trí tùy thuộc vào trò của i; đẩy một vò trí nếu i = 1, 2, 9 hoặc 16 và
đẩy 2 vò trí trong những trường hợp còn lại. PC-2 là một hoán vò cố đònh khác.
Việc tính lòch khóa được minh họa như hình vẽ sau:

K
PC-1
C0

D0

LS1

LS1

C1

D1

LS2

LS2

PC-2

K1

PC-2

K16

...

LS16

LS16

C16

D16

Các hoán vò PC-1 và PC-2 được sử dụng trong việc tính lòch khóa là như sau:

57
1
10
19
63
7

49
58
2
11
55
62

41
50
59
34
7
54

PC-1
33
42
51
60
39
46

25
34
43
52
31
38

17
26
35
44
23
30

9
18
27
36
15
22


14
21

6
13

61
5

53
28

45
20

37
12

29
4

PC-2
14
3
23
16
41
30
44
46

17
28
19
7
50
40
49
42

11
15
12
27
31
51
39
50

24
6
4
20
37
45
56
36

1
21
26
13
47
33
34
29

5
10
8
2
55
48
53
32

Bây giờ ta sẽ hiển thò kết quả việc tính lòch khóa. Như đã nhận xét ở trên, mỗi
vòng sử dụng khóa 48 bit tương ứng với 48 bit trong K. Các thành phần trong các bảng sau
sẽ chỉ ra các bit trong K được sử dụng trong các vòng khác nhau.
I.2 LẬP MÃ DES
Đây là ví dụ về việc lập mã sử dụng DES. Giả sử ta mã hóa bản rõ sau trong dạng
thập lục phân (Hexadecimal)
0123456789ABCDEF
sử dụng khóa thập lục phân
133457799BBCDFF1
Khóa trong dạng nhò phân không có các bit kiểm tra sẽ là:
00010010011010010101101111001001101101111011011111111000.
p dụng IP, ta nhận được L0 và R0 (trong dạng nhò phân) :
L0
L1 = R 0

=
=

11001100000000001100110011111111
11110000101010101111000010101010

16 vòng lập mã được thể hiện như sau:
E(R0) = 011110100001010101010101011110100001010101010101
K1 = 000110110000001011101111111111000111000001110010
E(R0) ⊕ K1 = 011000010001011110111010100001100110010100100111
Output S-hộp = 01011100100000101011010110010111
f(R0,K1) = 00100011010010101010100110111011
L2 = R1 = 11101111010010100110010101000100
E(R1)
K2
E(R1) ⊕ K2
Output S-hộp
f(R1, K2)
L3 = R 2

=
=
=
=
=
=

011101011110101001010100001100001010101000001001
011110011010111011011001110110111100100111100101
000011000100010010001101111010110110001111101100
11111000110100000011101010101110
00111100101010111000011110100011
11001100000000010111011100001001


E(R2)
K3
E(R2) ⊕ K3
S-box output
f(R2, K3)
L4 = R 3

=
=
=
=
=
=

111001011000000000000010101110101110100001010011
010101011111110010001010010000101100111110011001
101100000111110010001000111110000010011111001010
00100111000100001110000101101111
01001101000101100110111010110000
10100010010111000000101111110100

E(R3)
K4
E(R3) ⊕ K4
S-box output
f(R3, K4)
L5 = R 4

=
=
=
=
=
=

010100000100001011111000000001010111111110101001
011100101010110111010110110110110011010100011101
001000101110111100101110110111100100101010110100
00100001111011011001111100111010
10111011001000110111011101001100
011101110

E(R4)
K5
E(R4) ⊕ K5
Xuaát S-hoäp
f(R4, K5)
L6 = R 5

=
=
=
=
=
=

101110101110100100000100000000000000001000001010
011111001110110000000111111010110101001110101000
110001100000010100000011111010110101000110100010
01010000110010000011000111101011
00101000000100111010110111000011
10001010010011111010011000110111

E(R5)
K6
E(R5) ⊕ K6
S-box output
f(R5, K6)
L7 = R 6

=
=
=
=
=
=

110001010100001001011111110100001100000110101111
011000111010010100111110010100000111101100101111
101001101110011101100001100000001011101010000000
01000001111100110100110000111101
10011110010001011100110100101100
11101001011001111100110101101001

E(R6)
K7
E(R6) ⊕ K7
S-box output
f(R6, K7)
L8 = R 7

=
=
=
=
=
=

111101010010101100001111111001011010101101010011
111011001000010010110111111101100001100010111100
000110011010111110111000000100111011001111101111
00010000011101010100000010101101
10001100000001010001110000100111
00000110010010101011101000010000

E(R7)
K8
E(R7) ⊕ K8
S-box output
f(R7, K8)
L9 = R 8

=
=
=
=
=
=

000000001100001001010101010111110100000010100000
111101111000101000111010110000010011101111111011
111101110100100001101111100111100111101101011011
01101100000110000111110010101110
00111100000011101000011011111001
11010101011010010100101110010000


E(R8)
K9
E(R8) ⊕ K9
S-box output
f(R8, K9)
L10 = R9

=
=
=
=
=
=

011010101010101101010010101001010111110010100001
111000001101101111101011111011011110011110000001
100010100111000010111001010010001001101100100000
00010001000011000101011101110111
00100010001101100111110001101010
00100100011111001100011001111010

E(R9)
K10
E(R9) ⊕ K10
S-box output
f(R9, K10)
L11 = R10
E(R10)
K11
E(R10) ⊕ K11
S-box output
f(R10, K11)
L12 = R11

=
=
=
=
=
=
=
=
=
=
=
=

000100001000001111111001011000001100001111110100
101100011111001101000111101110100100011001001111
101000010111000010111110110110101000010110111011
11011010000001000101001001110101
01100010101111001001110000100010
10110111110101011101011110110010
010110101111111010101011111010101111110110100101
001000010101111111010011110111101101001110000110
011110111010000101111000001101000010111000100011
01110011000001011101000100000001
11100001000001001111101000000010
11000101011110000011110001111000

E(R11)
K12
E(R11) ⊕ K12
S-box output
f(R11, K12)
L13 = R12

011000001010101111110000000111111000001111110001
011101010111000111110101100101000110011111101001
000101011101101000000101100010111110010000011000
01111011100010110010011000110101
11000010011010001100111111101010
01110101101111010001100001011000

E(R12)
K13
E(R12)⊕ K13
S-box output
f(R12, K13)
L14 = R13

=
=
=
=
=
=

001110101011110111111010100011110000001011110000
100101111100010111010001111110101011101001000001
101011010111100000101011011101011011100010110001
10011010110100011000101101001111
11011101101110110010100100100010
00011000110000110001010101011010

E(R13)
K14
E(R13)⊕ K14
S-box output
f(R13, K14)
L15 = R14

=
=
=
=
=
=

000011110001011000000110100010101010101011110100
010111110100001110110111111100101110011100111010
010100000101010110110001011110000100110111001110
01100100011110011001101011110001
10110111001100011000111001010101
11000010100011001001011000001101

E(R14) = 111000000101010001011001010010101100000001011011


K15
E(R14)⊕ K15
S-box output
f(R14, K15)
L16 = R15

=
=
=
=
=

101111111001000110001101001111010011111100001010
010111111100010111010100011101111111111101010001
10110010111010001000110100111100
01011011100000010010011101101110
01000011010000100011001000110100

E(R15) = 001000000110101000000100000110100100000110101000
K16 = 110010110011110110001011000011100001011111110101
E(R15)⊕ K16 = 111010110101011110001111000101000101011001011101
S-box output = 10100111100000110010010000101001
f(R15, K16) = 11001000110000000100111110011000
R16 = 00001010010011001101100110010101
Cuối cùng, áp dụng IP-1 cho R16L16 ta nhận được bản mã trong dạng thập lục phân
như sau:
85E813540F0AB405

I. 3 THÁM MÃ DES
Một phương pháp rất nổi tiếng trong thám mã DES là “thám mã vi sai“
(differential cryptanalysic) do Biham và Shamir đề xuất. Đó là phương pháp thám với bản
rõ được chọn. Nó không được sử dụng trong thực tế để thám mã DES 16 vòng, mà chỉ
được sử dụng để thám các hệ DES có ít vòng hơn.
Bây giờ ta sẽ mô tả những ý tưởng cơ bản của kỹ thuật này. Để đạt mục đích thám
mã, ta có thể bỏ qua hoán vò khởi tạo IP và hoán vò đảo của nó (bởi vì điều đó không cần
thiết cho việc thám mã). Như đã nhận xét ở trên, ta xét các hệ DES n vòng, với n ≤ 16.
Trong cài đặt ta có thể coi L0R0 là bản rõ và LnRn như là bản mã.
Thám mã vi sai đòi hỏi phải so sánh x-or (exclusive-or) của hai bản rõ với x-or
của hai bản mã tương ứng. Nói chung, ta sẽ quan sát hai bản rõ L 0R0 và L0*R0* với trò x-or
được đặc tả L0’R0’ = L0R0 ⊕ L0*R0*. Trong những thảo luận sau ta sẽ sử dụng ký hiệu (‘)
để chỉ x-or của hai xâu bit.
Đònh nghóa 3.1: Cho Sj là một S-hộp (1 ≤ j ≤ 8). Xét một cặp xâu 6-bit là (Bj,Bj* ).
Ta nói rằng, xâu nhập x-or (của Sj) là Bj ⊕ Bj* và xâu xuất x-or (của Sj) là Sj(Bj) ⊕ Sj(Bj*).
Chú ý là xâu nhập x-or là xâu bit có độ dài 6, còn xâu xuất x-or có độ dài 4.
Đònh nghóa 3.2: Với bất kỳ Bj ’ ∈ (Z2) 6, ta đònh nghóa tập ∆(Bj’) gồm các cặp
(Bj,Bj*) có x-or nhập là Bj’.
Dễ dàng thấy rằng, bất kỳ tập ∆(Bj’) nào cũng có 26 = 64 cặp, và do đó
∆(Bj’) = {(Bj, Bj ⊕ Bj’) : Bj ∈ (Z2) 6 }


Với mỗi cặp trong ∆(Bj’), ta có thể tính xâu x-or xuất của Sj và lập được phân bố
kết quả. Có 64 xâu xuất x-or, được phân bố trong 24 = 16 giá trò có thể có. Tính không
đồng đều của các phân bố đó là cơ sở để mã thám.
Ví dụ 3.1: Giả sử ta xét S1 là S-hộp đầu tiên và xâu nhập x-or là 110100. Khi đó
∆(110100) = {(000000, 110100), (000001, 110101), ..., (111111, 001011)}
Với mỗi cặp trong tập ∆(110100), ta tính xâu xuất x-or của S1. Chẳng hạn,
S1(000000) = E16 = 1110, S1(110100) = 1001,
như vậy xâu xuất x-or cho cặp (000000,110100) là 0111.
Nếu thực hiện điều đó cho 64 cặp trong ∆(110100) thì ta nhận được phân bố của
các xâu x-or xuất sau:
000 000 001 001 010 010 011 011 100 100 101 101 110 110 111 111
0
1
0
1
0
1
0
1
0
1
0
1
0
1
0
1
0
8 16 6
2
0
0 12 6
0
0
0
0
8
0
6
Trong ví dụ 3.1, chỉ có 8 trong số 16 xâu x-or xuất có thể có xuất hiện thật sự. Ví
dụ cụ thể này đã chỉ ra sự phân bố rất không đều của các xâu x-or xuất. Nói chung, nếu ta
cố đònh S-hộp Sj và xâu nhập x-or Bj’, thì trung bình có khoảng 75 - 80% các xâu x-or
xuất có thể có xuất hiện thực sự.
Để mô tả các phân bô đó ta đưa ra đònh nghóa sau.
Đònh nghóa 3.3: Với 1 ≤ j ≤ 8 và với các xâu bit Bj’ độ dài 6 và Cj’ độ dài 4, ta
đònh nghóa:
INj(Bj’,Cj’) = {Bj ∈ (Z2)6 : Sj(Bj) ⊕ Sj(Bj ⊕ Bj’) = Cj’}

Nj(Bj’, Cj’) = INj(Bj’, Cj’)
Bảng sau sẽ cho các xâu nhập có thể có với xâu x-or nhập 110100
Xâu xuất x-or
0000
0001

0010

0011
0100
0101
0110

Các xâu nhập có thể có
000011, 001111, 011110, 011111
101010, 101011, 110111, 111011
000100, 000101, 001110, 010001
010010, 010100, 011010, 011011
100000, 100101, 010110, 101110
101111, 110000, 110001, 111010
000001, 000010, 010101, 100001
110101, 110110
010011, 100111

000000, 001000, 001101, 010111


0111
1000
1001
1010
1011
1100
1101
1110
1111

011000, 011101, 100011, 101001
101100, 110100, 111001, 111100
001001, 001100, 011001, 101101
111000, 111101

000110, 010000, 010110, 011100
110010, 100100, 101000, 110010
000111, 001010, 001011, 110011
111110, 111111

Nj(Bj’, Cj’) tính số các cặp với xâu nhập x-or bằng Bj’ có xâu xuất x-or bằng Cj’
với S-hộp Sj. Các cặp đó có các xâu nhập x-or được đặc tả và đưa ra cách tính các xâu
xuất x-or có thể nhận được từ tập INj(Bj’, Cj’). Để ý rằng, tập này có thể phân thành
Nj(Bj’, Cj’) /2 cặp, mỗi cặp có xâu x-or nhập bằng Bj’.
Phân bố trong ví dụ 3.1 chứa các trò N1(110100, C1’), C1’∈ (Z2)4. Trong bảng trên
chứa các tập IN(110100, C1’).
Với mỗi tám S-hộp, có 64 xâu nhập x-or có thể có. Như vậy, có 512 phân bố có
thể tính được. Nhắc lại là, xâu nhập cho S-hộp ở vòng thứ i là B= E⊕ J, với E = E(Ri-1) là
mở rộng của Ri-1 và J = Ki gồm các bit khóa của vòng i. Bây giờ xâu nhập x-or (cho tất cả
tám S-hộp) có thể tính được như sau:
B ⊕ B* = (E ⊕ J) ⊕ (E* ⊕ J) = E ⊕ E*
Điều này rất quan trọng để thấy rằng, xâu nhập x-or không phụ thuộc vào các bit
khóa J. (Do đó, xâu xuất x-or cũng không phụ thuộc vào các bit khóa.)
Ta sẽ viết mỗi B, E và J như là nối của tám xâu 6-bit:
B = B1B2B3B4B5B6B7B8
E = E1E2E3E4E5E6E7E8
J = J1J2J3J4J5J6J7J8
*
và ta cũng sẽ viết B và E* như vậy. Bây giờ giả sử là ta đã biết các trò Ej và Ej* với một j
nào đó, 1 ≤ j ≤ 8, và trò của xâu xuất x-or cho Sj, Cj’ = Sj(Bj) ⊕ Sj(Bj* ). Khi đó sẽ là:
Ej ⊕ Jj ∈ INj(Ej’, Cj’),
*
với Ej’ = Ej ⊕ Ej .
Đònh nghóa 3.4: Giả sử Ej và Ej* là các xâu bit độ dài 6, và Cj’ là xâu bit độ dài 4. Ta đònh
nghóa:
testj(Ej, Ej*, Cj’) = { Bj ⊕ Ej : Bj ∈ INj(Ej’, Cj’) },
với Ej’ = Ej ⊕ Ej*.
Đònh lý 3.1:
Giả sử Ej và Ej* là hai xâu nhập cho S-hộp Sj, và xâu xuất x-or cho Sj là Cj’. Ký hiệu
Ej’ = Ej ⊕ Ej* . Khi đó các bit khóa Jj có trong tập testj(Ej, Ej*, Cj’).


Để ý, đó chính là các xâu bit Nj(Ej’, Cj’) độ dài 6 trong tập testj(Ej, Ej*, Cj’); giá trò
chính xác của Jj phải là một trong số đó.
Ví dụ 3.2:
Giả sử E1 = 000001, E1*= 110101 và C1’= 1101. Do đó N1(110101,1101) = 8, đúng bằng 8
xâu bit trong tập test1(000001, 110101, 1101). Từ bảng trên ta thấy rằng
IN1(110100, 1101) = {000110, 010000, 010110, 011100, 100010, 100100, 101000,
110010}
Cho nên
test1(000001, 110101,1101) = {000111, 010001, 010111, 011101, 100011, 100101,
101001, 110011}
Nếu ta có một bộ ba thứ hai như thế E1, E1*, C1’, khi đó ta sẽ nhận được tập thứ
hai test1 của các trò cho các bit khóa trong J1. Trò đúng của J1 cần phải nằm trong giao của
các S-hộp. Nếu ta có một vài bộ ba như vậy, khi đó ta có thể mau chóng tìm được các bit
khóa trong J1. Một cách rõ ràng hơn để thực hiện điều đó là lập một bảng của 64 bộ đếm
biểu diễn cho 64 khả năng của của 6 khóa bit trong J1. Bộ đếm sẽ tăng mỗi lần, tương ứng
với sự xuất hiện của các bit khóa trong tập test1 cho một bộ ba cụ thể. Cho t bộ ba, ta hy
vọng tìm được duy nhất một bộ đếm có trò t; trò đó sẽ tương ứng với trò đúng của các bit
khóa trong J1.

I.3.1. Thám mã hệ DES - 3 vòng
Bây giờ ta sẽ xét ý tưởng vừa trình bày cho việc thám mã hệ DES - ba vòng. Ta sẽ
bắt đầu với cặp bản rõ và các bản mã tương ứng: L0R0, L0*R0*, L3R3 và L3*R3*. Ta có thể
biểu diễn R3 như sau:
R3 = L2 ⊕ f(R2, K3)
= R1 ⊕ f(R2, K3)
= L0 ⊕ f(R0, K1) ⊕ f(R2, K3)
R3* có thể biểu diễn một cách tương tự , do vậy:
R3’ = L0’ ⊕ f(R0, K1) ⊕ f(R0*, K1) ⊕ f(R2, K3) ⊕ f(R2*, K3)
Bây giờ, giả sử ta đã chọn được các bản rõ sao cho R0 = R0*, chẳng hạn:
R0’ = 00...0
Khi đó f(R0, K1) = f(R0*, K1), và do đó:
R3’ = L0’⊕ f(R2, K3) ⊕ f(R2*, K3)
Ở điểm này R3’ là được biết khi nó có thể tính được từ hai bản mã, và L 0’ là biết
được khi nó có thể tính được từ hai bản rõ. Nghóa là ta có thể tính được f(R 2,K3)⊕f(R2*,K3)
từ phương trình:
f(R2, K3) ⊕ f(R2*, K3) = R3’ ⊕ L0’
Bây giờ f(R2, K3) = P(C) và f(R2*, K3) = P(C*), với C và C* tương ứng là ký hiệu
của hai xâu xuất của tám S-hộp (nhắc lại, P là cố đònh, là hoán vò được biết công khai).
Nên:
P(C) ⊕ P(C*) = R3’ ⊕ L0’
và kết quả là:
C’ = C ⊕ C* = P-1(R3’ ⊕ L0’)
(1)


Đó là xâu xuất x-or cho tám S-hộp trong vòng ba.
Bây giờ, R2 = L3 và R2* = L3* là đã biết (chúng là một phần của các bản mã). Từ
đây ta có thể tính:
E = E(L3)
(2)

E* = E(L3*)
(3)
sử dụng hàm mở rộng E được biết công khai. Chúng là những xâu nhập cho các S-hộp cho
vòng ba. Như vậy giờ ta đã biết E, E*, và C’ cho vòng ba và ta có thể tiếp tục xây dựng
các tập test1, ..., test8 của các trò có thể có cho các bit khóa trong J 1, ..., J8.
Giải thuật vừa xét có thể biểu diễn bởi các mã sau:
Input: L0R0, L0*R0*, L3R3 và L3*R3*, với R0 = R0*
1. Tính C’ = P-1(R3’ ⊕ L0’)
2. Tính E = E(L3) và E* = E(L*)
3. for j = 1 to 8 do
compute testj(Ej, Ej*, Cj’)
Việc mã thám sẽ sử dụng một số bộ ba E, E*, C’ như vậy. Ta sẽ lập tám bảng các
bộ đếm và do đó xác đònh được 48 bit trong K3, là khóa cho vòng ba. 56 bit trong khóa khi
đó có thể tìm được hoàn toàn từ 28 = 256 khả năng cho 8 bit khóa.
Bây giờ ta sẽ minh họa điều đó qua ví dụ sau.
Ví dụ 3.3
Giả sử ta có ba cặp bản rõ và bản mã, với các bản mã cùng có các xâu x-or được
mã hóa bởi cùng một khóa. Để ngắn gọn ta sử dụng hệ thập lục phân:
Bản mã
Bản rõ
748502CD38451097
3874756438451097
486911026ACDFF31
375BD31F6ACDFF31
357418DA013FEC86
12549847013FEC86

03C70306D8A09F10
78560A0960E6D4CB
45FA285BE5ADC730
134F7915AC253457
D8A31B2F28BBC5CF
0F317AC2B23CB944

Từ cặp đầu tiên ta tính các xâu nhập của S-hộp (cho vòng 3) từ các phương trình
(2) và (3). Chúng là:
E = 000000000111111000001110100000000110100000001100
E* = 101111110000001010101100000001010100000001010010
Xâu xuất x-or của S-hộp được tính bằng phương trình (1) sẽ là:
C’ = 10010110010111010101101101100111
Từ cặp thứ hai, ta tính được các xâu nhập cho S-hộp là:
E = 101000001011111111110100000101010000001011110110
E* = 100010100110101001011110101111110010100010101001
và xâu xuất x-or của S-hộp là:


C’ = 10011100100111000001111101010110
Từ cặp thứ ba, các xâu nhập cho S-hộp sẽ là:
E = 111011110001010100000110100011110110100101011111
E* = 000001011110100110100010101111110101011000000100
và xâu xuất x-or của S-hộp là:
C’ = 11010101011101011101101100101011
Tiếp theo, ta lập bảng các trò trong tám mảng bộ đếm cho mỗi cặp. Ta sẽ minh họa
thủ tục với các mảng đếm cho J1 từ cặp đầu tiên. Trong cặp này, ta có E1’= 101111 và C1’
= 1001. Tập:
IN1(101111, 1001) = {000000, 000111, 101000, 101111}
Do E1 = 000000 ta có:
J1 ∈ test1(000000, 101111, 1001) = {000000, 000111, 101000, 101111}
Do đó ta tăng các trò 0, 7, 40 và 47 trong các mảng đếm cho J1.
Cuối cùng ta sẽ trình bày các bảng. Nếu ta xem các xâu bit độ dài 6 như là biểu
diễn của các số nguyên trong khoảng 0-63, thì 64 trò sẽ tương ứng với 0, 1, ..., 63. Các
mảng đếm sẽ là như sau:
J1
1
0
0
0

0
0
1
0

0
0
0
0

0
0
0
0

0
0
0
0

1
1
1
0

0
1
0
0

1
0
0
0

0
0
1
0

0
0
0
0

0
0
0
0

0
1
0
0

0
1
0
0

0
0
0
0

0
0
0
0

0
0
3
1

1
0
1
1

0
0
0
0

0
0
1
1

1
0
0
0

0
1
0
2

0
0
0
0

0
0
1
0

0
0
0
0

0
0
0
0

0
0
0
0

0
0
0
0

0
0
0
0

0
0
1
1

0
0
1
0

1
1
0
0

0
1
0
0

0
0
0
0

0
0
1
0

2
0
1
0

2
0
1
0

0
1
0
0

0
0
0
0

0
1
1
2

0
1
0
1

J2
0
0
0
0

0
1
0
0

0
0
0
1

1
0
0
1

0
0
0
0

3
2
1
0

0
0
0
0

0
0
0
0
J3

0
0
0
0

0
0
2
0

0
0
0
0

0
3
0
0

1
0
0
0

1
0
0
0

0
0
0
1

0
0
0
0
J4

3
0
1
0

1
0
1
0

0
0
1
0

0
0
0
0

0
1
1
1

0
1
0
1

0
0
0
0

0
0
0
0
J5


0
0
0
0

0
0
0
0

0
0
0
2

0
0
0
0

0
2
0
0

0
0
0
0

1
0
0
0

0
0
0
0

0
3
0
0

0
0
0
1

1
0
0
0

0
0
0
0

0
0
0
0

0
0
0
0

0
0
0
2

0
0
0
0

0
0
0
0

0
0
0
0

0
0
0
0

0
0
0
0

1
0
0
0

0
0
0
0

0
0
0
0

1
0
0
0

0
0
0
0

0
0
0
0

0
0
0
0

1
1
1
0

1
0
2
0

0
0
1
0

0
0
1
1

0
1
0
1

0
0
1
0

0
0
0
0

0
0
1
0

0
0
0
0

0
0
0
0

0
0
1
0

0
0
0
0

0
0
1
0

J6
1
0
0
1

0
0
0
0

0
0
0
0

1
0
0
1

1
1
1
1

0
1
1
0

0
0
0
1

3
0
1
1
J7

0
0
0
0

0
1
0
0

2
0
2
0

1
0
0
0

0
0
0
0

1
0
0
0

0
0
2
0

3
0
0
0
J8

0
0
0
0

0
0
0
3

0
0
0
0

0
0
0
0

0
0
0
0

0
0
0
0

0
0
0
1

0
0
0
0

Trong mỗi tám mảng đếm, có duy nhất một bộ đếm có trò là 3. Vò trí của các bộ
đếm đó xác đònh các bit khóa trong J1, ..., J8. Các vò trí đó là: 47, 5, 19, 0, 24, 7, 7, 49.
Chuyển các số nguyên đó sang dạng nhò phân, ta nhận được J1, ..., J8:
J1 = 101111
J2 = 000101
J3 = 010011
J4 = 000000
J5 = 011000
J6 = 000111
J7 = 000111
J8 = 110001
Bây giờ ta có thể tạo ra 48 bit khóa, bằng cách quan sát lòch khóa cho vòng ba. Suy
ra là K có dạng:
0001101 0110001 01?01?0 1?00100
0101001 0000??0 111?11? ?100011
với các bit kiểm tra đã được loại bỏ và “?” ký hiệu bit khóa chưa biết. Khóa đầy đủ (trong
dạng thập lục phân, gồm cả bit kiểm tra) sẽ là:
1A624C89520DEC46

II.3.2. Thám mã hệ DES 6-vòng
Bây giờ ta sẽ mô tả việc mở rộng ý tưởng trên cho việc thám mã trên hệ DES 6-vòng. Ý
tưỏng ở đây là lựa chọn một cách cẩn thận cặp bản rõ với xâu x-or đặc thù và sau đó xác


đònh các xác suất của các dãy đặc thù của các xâu x-or qua các vòng lập mã. Bây giờ ta
cần đònh nghóa một khái niệm quan trọng sau.
Đònh nghóa 3.5: Cho n ≥ 1 là số nguyên. Đặc trưng của vòng thứ n là một danh sách các
dạng
L0’, R0’, L1’, R1’, p1, ..., Ln’, Rn’, pn
thỏa mãn các điều kiện sau:
1. Li’ = Ri-1’ với 1 ≤ i ≤ n
2. Cho 1 ≤ i ≤ n và Li-1, Ri-1 và L*i-1, R*i-1 là đã được chọn sao cho Li-1 ⊕ L*i-1 = L’i-1 và Ri-1
⊕ R*i-1 = R’i-1. Giả sử Li, Ri và Li* , Ri* là tính được nhờ việc áp dụng một vòng lập mã
DES. Khi đó xác suất để Li ⊕ L*i = Li’ và Ri ⊕ R*i = Ri’ chính xác bằng pi. (Chú ý là,
xác suất này được tính trên tất cả các bộ có thể có của J = J1...J8) .
Xác suất đặc trưng được đònh nghóa bằng tích p = p1 × ...× pn.
Nhận xét: Giả sử ta chọn L0, R0 và L0*, R0* sao cho L0 ⊕ L0* = L0’ và R0 ⊕ R0*= R0’ và ta
áp dụng n vòng lập mã của DES, nhận được L1. ..., Ln và R1, ..., Rn. Khi đó ta không thể
đòi hỏi xác suất để Li ⊕ Li* = Li’ và Ri ⊕ Ri* = Ri’ cho tất cả i ( 1 ≤ i ≤ n) là p1 × ...× pn.
Bởi vì các bộ -48 trong lòch khóa K1, ..., Kn không phải là độc lập lẫn nhau. (Nếu n bộ-48
này đïc chọn độc lập một cách ngẫu nhiên, thì điều xác nhận là đúng). Nhưng ta sẽ coi
rằng p1 × ... × pn chính xác là xác xuất đó.
Ta còn cần xác nhận là, các xác suất pi trong đặc trưng là các cặp bản rõ được xác đònh
tùy ý (nhưng cố đònh) được đặc tả bằng xâu x-or, với 48 bit khóa cho một vòng lập mã
DES là có 248 khả năng. Do đó việc thám mã sẽ nhằm vào việc xác đònh khóa cố đònh
(nhưng chưa biết). Do đó cần cố chọn các bản mã ngẫu nhiên (nhưng chúng có các xâu xor được đặc tả), hy vọng rằng các xác suất để các xâu x-or trong n vòng lập mã trùng hợp
với các xâu x-or, được đặc tả trong đặc trưng, từng đôi một p 1, ..., pn tương ứng.
Trong ví dụ sau đây, ta sẽ trình bày đặc trưng vòng 1 để làm cơ sở cho việc thám mã DES
ba vòng trong hình sau (như ở trên, ta sẽ sử dụng cách biểu diễn theo hệ thập lục phân).
L’0 =
L’1 =

bất kỳ
0000000016

R’0 =
R’1 =

0000000016
L’0

p=1

Ta cũng sẽ mô tả một đặc trưng vòng 1 khác như sau
L’0 =
L’1 =

0000000016
6000000016

R’0 =
R’1 =

6000000016
0080820016

p = 14/64

Ta hãy xét đặc trưng sau một cách chi tiết hơn. Khi f(R0, K1) và f(R0*, K1) được tính, bước
đầu tiên là mở rộng R0 và R0*. Xâu x-or kết quả của hai mở rộng là:
001100...0


Tức là xâu x-or nhập cho S1 là 001100 và các xâu x-or cho bảy S-hộp khác đều là 000000.
Các xâu xuất x-or cho S2 đến S8 đều là 0000. Xâu xuất x-or cho S1 là 1110 với xác suất
14/64 (do N1(001100, 1110) = 14). Nên ta nhận được:
C’ = 11100000000000000000000000000000
với xác suất 14/64. p dụng P, ta nhận được:
P(C) ⊕ P(C*) = 00000000100000001000001000000000
trong dạng thập lục phân sẽ là 0080820016. Khi xâu này cộng x-or với L0’, ta nhận được
R1’ với xác suất 14/64. Do đó L1’ = R0’.
Việc thám mã DES sáu vòng dựa trên đặc trưng ba vòng được cho trong hình sau.
Trong thám mã 6-vòng, ta bắt đầu với L0R0. L0*R0*, L6R6 và L6*R6*, mà ta phải chọn bản rõ
sao cho L0’= 4008000016 và R.0’= 0400000016, ta có thể biểu diễn R0 như sau:
L0 ’
L1 ’
L2 ’
L3 ’

=
=
=
=

4008000016
R0’ = 0400000016
0400000016
R1’ = 0000000016 p = 1/4
0000000016
R2’ = 0400000016 p = 1
0400000016
R3’ = 4008000016 p = 1/4
R6 = L5 ⊕ f(R5, K6)
= R4 ⊕ f(R5, K6)
= L3 ⊕ f(R3, K4) ⊕ f(R5, K6)
*
R6 cũng có thể biểu diễn tương tự, ta có
R0’ = L3’ ⊕ f(R3, K4) ⊕ f(R3*, K4) ⊕ f(R5, K6) ⊕ f(R5*, K6)
(4)
(Để ý là tương tự như thám mã 3-vòng)
R6’ là được biết. Từ đặc trưng ta tính L3’ = 0400000016 và R3’ = 4008000016 với xác suất
1/16. Nếu như vậy, thì xâu nhập x-or cho S-hộp trong vòng 4 có thể tính được nhờ hàm
mở rộng phải là:
001000000000000001010000...0
Các xâu x-or cho S2, S5, S6, S7 và S8 tất cả đều bằng 000000, và vì thế xâu xuất x-or là
0000 cho tất cả năm S-hộp đó trong vòng 4. Điều này có nghóa là, ta có thể tính được các
xâu xuất x-or cho năm S-hộp đó trong vòng 6 nhờ phương trình (4). Do đó giả sử ta tính:
C1’C2’C3’C4’C5’C6’C7’C8’ = P-1(R6’ ⊕ 04000000)
mỗi Ci là xâu bit có độ dài 4. Khi đó với xác suất 1/16, thì sẽ dẫn đến là C 2’, C5’, C6’, C7’
và C8’ tương ứng là các xâu x-or xuất của S2, S5, S6, S7 và S8 trong vòng 6. Các xâu nhập
cho các S-hộp đó trong vòng 6 có thể tính được là E2, E5, E6, E7 và E8; và E2*, E5*, E6*, E7*
và E8*, với
E1E2E3E4E5E6E7E8 = E(R5) = E(L6)

E1*E2*E3*E4*E5*E6*E7*E8* = E(R5*) = E(L6*)
có thể tính được từ các bản rõ như sau:
Input: L0R0, L0*R0*, L6R6 và L6*R6*; với L0’ = 4008000016


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×