[发明专利]用于加密和解密数据块的设备和方法

说明书

本专利申请是优先权日为2003年5月23日、国际申请日为2004年5月19日、申请号为200480014205.X、发明名称为“用于加密和解密数据块的设备和方法”的发明专利申请的分案申请，其在此全部引入作为参考。

技术领域

本发明涉及一种用于加密和解密被称为块密码的数据块的设备和方法，输入块与输出块的大小是相同的。

背景技术

所述操作是使用密钥来控制的，所述密钥或者可以具有和所述块一样的大小，或者可以具有不同的大小，通常是较大的大小。

本发明涉及与不对称方法相对的对称加密/解密方法。所述对称方法的特点在于，使用相同的密钥去加密和解密数据，而不对称方法使用第一密钥加密数据，以及使用第二密钥解密数据。

众所周知的方法是DES(56位密钥)、CAST(128位密钥)、Blowfish(448位密钥)、Twofish(256位密钥)和Rijndael(又被称为AES，256位密钥)。根据所考虑的应用，它们具有它们自己的优缺点。

已经公布了几个描述这些方法的专利。专利US 5,214,703描述了称为IDEA^TM的方法，其是基于对于64位块长度的8.5循环操作加密过程，每个循环使用从主密钥导出的6个子密钥。核心是由使用加法模(modulo)2¹⁶、乘法模2¹⁶+1和逐位异-或运算的Lai-Massey方案组成的。

对于加密方法的两个主要要求是相对于任何形式的密码分析的健壮性和计算速度。对于健壮性的一个关键因素是由扩散效应实现的，即当在输入数据中一个位改变时，以不可预测的方式影响所有输出位。

所述计算速度主要是由所需要的数学和逻辑操作的类型决定的。较复杂的操作(除法、乘法)可能延长执行加密过程的时间。

发明内容

本发明的目的是提出一种提供与高运行速度相结合的高级别安全性的新的加密方法。

这个目的是由基于主密钥R而将数据X的块加密或者解密为数据Y的方法来实现的，该方法使用几个串联连接的模块，每个模块使用从主密钥R导出的子密钥RA，并且包括以下步骤：

-输入至少两个初始值X0L与X0R，

-混合所述至少两个值X0L与X0R以形成混合的值X1，

-通过将所述子密钥RA的第一部分RAH与所述值X1混合而获得值X2，

-通过把所述值X2应用到替换层(substitution layer)而获得值X3，所述替换层包括至少一个替换盒(substitution box)(sbox)，每个替换盒包含至少一个常数表，对于所述常数表，输入作为指针，所指向的常数作为输出，

-通过基于值X3使用多排列(multi-permutation)类型的扩散盒(diffusion box)而获得值X4，

-通过将所述子密钥RA的第二部分RAL与所述值X4混合而获得值X5，

-通过对所述值X5应用替换层而获得值X6，

-通过将所述子密钥RA的第一部分RAH与所述值X6混合而获得值X7，

-使将所述值X7与初始的至少两个值X0L与X0R混合以获得至少两个值X8L与X8R，X8L与X8R表示所述模块的输出值X8，

所述方法使用至少两个模块，其中对于每个模块，新的子密钥RA是从主密钥R产生的，所述第一模块的初始值X0是所述输入数据X的部分，最后的模块的输出值X8L与X8H形成输出数据Y，并且所述方法还包括以下步骤：在把所述值X8L和X8R应用到下一个模块的输入X0R与X0L之前，对所述值X8L或者X8R中的至少一个应用正形性函数(orthomorphism function)。

所述方法的两个主要部分是替换层与多排列矩阵。

所述替换层的目的是把输入值变换为没有简单代数关系的输出值。这就是为什么最快的方式是使用包含常数的查找表，其可以实现期望的混淆结果。

由于在这个实施例中输入数据具有32位的长度，因此，常数的数量将是232个值，每个值是32位长。

根据优选实施例，所述输入数据被分成8位长的组，由此将常数的数量减少到256个字节。

然后32位或者64位的输入数据被分成8位的字节，并且被应用于替换盒以获得8位的输出。所述输入数据被用作地址指针，以及所指向的常数是所述输出。

根据所述实现方法，所述常数表对于所有输入数据(32位或者64位)的组都是一样。在另一个实施例中，所述常数表对于所述输入数据的每个组是不同的。