В криптографії, MESH — блочний шифр, що є модифікацією IDEA. Розроблений , Вінсентом Рейменом, Бартом Пренелем і в 2002 році. На відміну від IDEA, MESH має більш складну раундову структуру. Інший алгоритм генерації ключів дозволяє MESH уникати проблеми слабких ключів .
Розробники | , Реймен, Пренель, |
---|---|
Уперше оприлюднений | 2002 |
Раундів | 8.5, 10.5, 12.5 |
Тип | Підстановлювально-переустановлена мережа |
Структура шифру
Кожен раунд в IDEA і MESH складається з операцій додавання та множення. Послідовність таких обчислень в межах одного раунду утворює MA-бокс. Всі MA-бокси в MESH використовують мінімум три чергових рівнів додавань і множень (за схемою «зигзаг»), в той час, як в IDEA таких тільки два. Це робить MESH більш стійким проти диференціальної і лінійної криптоатак. Також, з метою уникнення проблеми слабких ключів, в MESH використовуються два наступних принципи:
- Кожне підключення залежить від багатьох подключень, точнішео — як мінімум від шести попередніх ключів нелінійно.
- Використовуються фіксовані константи. Без них, наприклад, ключ з усіх нулів перейшов би в підключі, кожна з яких дорівнювала б нулю в будь-якому раунді.
Як і в IDEA, MESH використовує такі операції:
- Множення по модулю , при чому замість нуля використовується ()
- Бітовий зсув вліво на бит ()
- Складання по модулю ()
- Побітова Виключна диз'юнкція ()
Операції розташовані в порядку зменшення пріоритету. В обчисленнях запис позначає 16-ти бітове слово. Індекси описуються далі.
MESH описується в трьох варіаціях за розмірами блоку: 64, 96, 128 біт. Розмір ключа при цьому береться вдвічі більший .
MESH-64
У даній варіації розмір блоку становить 64 біт, ключ — 128 біт. Шифрування проходить в 8.5 раундів. Половина раунду відноситься до вихідних перетворень .
Раундові перетворення
Позначимо вхідну інформацію для -го раунду:
Кожен раунд складається з двох частин: перемішування вхідних даних з підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:
- Для непарних раундів:
.
- Для парних раундів:
.
Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
МА-обчислення описуються наступними формулами:
Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
Згідно зі схемою, для отримання зашифрованого повідомлення, необхідно після восьмого раунду провести перемішування по непарній схемі
Генерація ключів
Для генерації ключів використовується 128-бітний, призначений для користувача ключ, а також 16-бітові константи : , , вони обчислюються в Полі Галуа по модулю багаточлена . Призначений для користувача ключ, розбивається на 8 16-бітових слів .
Обчислення підключів відбувається наступним чином: :
где .
Розшифровка
Для розшифровки MESH, як і IDEA, використовують вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
— підключі повних раундів;
— підключі вихідних перетворень.
Тоді підключі розшифровки задаються наступним чином : :
- , — первий раунд розшифровки;
- , — -й парний раунд, ;
- , — -й непарний раунд, ;
- , — вихідні перетворення.
MESH-96
У даній варіації розмір блоку становить 96 біт, ключ — 192 біт. Шифрування проходить в 10.5 раундів. Половина раунду відноситься до вихідних перетворень .
Раундові перетворення
Позначимо вхідну інформацію для -го раунду:
Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:
- Для непарних раундів:
- Для парних раундів:
Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
МА-обчислення описуються наступними формулами:
Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
Для отримання зашифрованого повідомлення, необхідно після 10-го раунду провести перемішування за непарною схемою
Генерація ключів
Для генерації ключів використовується 192-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як і для MESH-64.
Обчислення подключів відбувається наступним чином: :
где .
Розшифровка
Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
— підключі повних раундів;
— підключі вихідних перетворень.
Тоді підключі розшифровки задаються наступним чином :
- , — перший раунд розшифровки;
- , — -й парний раунд, ;
- , — -й непарний раунд, ;
- , — вихідні перетворення.
MESH-128
У даній варіації розмір блоку становить 128 біт, ключ — 256 біт. Шифрування проходить в 12.5 раундів. Половина раунду відноситься до вихідних перетворень .
Ранундові перетворення
Позначимо вхідну інформацію для -го раунду:
Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:
- Для непарних раундів:
- Для парних раундів:
Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
.
МА-обчислення описуються наступними формулами:
Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
Для отримання зашифрованого повідомлення необхідно після 12-го раунду провести перемішування за непарною схемою
Генерація ключів
Для генерації ключів використовується 256-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як для MESH-64 і для MESH-96.
Обчислення подключів відбувається наступним чином: :
где .
Розшифровка
Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
— підключі повних раундів;
— підключі вихідних перетворень.
:
- , — перший раунд розшифровки;
- , — -й парний раунд, ;
- , — -й непарний раунд, ;
- , — вихідні перетворення.
Криптоаналіз
Нижче наводиться таблиця, яка містить розрахункову інформацію щодо можливих криптоатак. У ній розглядаються урізані алгоритми, кількість раундів можна побачити у відповідній колонці. За дані приймаються вибрані підібрані відкриті тексти, вказується необхідна кількість таких (в блоках). Час оцінюється в кількості обчислень. Пам'ять відображає кількість елементів пам'яті, необхідних для зберігання будь-яких даних під час криптоатаки. Як видно з таблиці, всі варіанти MESH більш складні для злому представленими криптоатаками, ніж IDEA, на якому він базується .
Шифр | Криптоаналіз | #Раундів | Дані | Пам'ять | Час |
---|---|---|---|---|---|
IDEA (8.5 раундів) | |||||
[en] | |||||
[en] | |||||
[en] | |||||
MESH-64 (8.5 раундів) | |||||
[en] | |||||
[en] | |||||
[en] | |||||
MESH-96 (10.5 раундів) | |||||
[en] | |||||
[en] | |||||
[en] | |||||
MESH-128 (12.5 раундів) | |||||
[en] | |||||
[en] | |||||
[en] |
Примітки
- The MESH Block Ciphers, 2002, с. 1-2.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 124.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 125.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 125-126.
- The MESH Block Ciphers, 2002, с. 3.
- The MESH Block Ciphers, 2002, с. 4.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 127.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 127-129.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 129.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 129-130.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 130.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 130-132.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 132.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 132-133.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 10-11.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 178-180.
- Cryptanalysis And Design Of Block Ciphers, 2003, с. 179.
Література
- J. Nakahara, Jr; V. Rijmen; B. Preneel; J. Vandewalle. The MESH Block Ciphers : ( )[англ.]. — 2002.
- J. Nakahara, Jr. Cryptanalysis And Design Of Block Ciphers : ( )[англ.]. — 2003. — Помилка: неправильний час. — .
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
V kriptografiyi MESH blochnij shifr sho ye modifikaciyeyu IDEA Rozroblenij Vinsentom Rejmenom Bartom Prenelem i v 2002 roci Na vidminu vid IDEA MESH maye bilsh skladnu raundovu strukturu Inshij algoritm generaciyi klyuchiv dozvolyaye MESH unikati problemi slabkih klyuchiv MESHRozrobniki Rejmen Prenel Upershe oprilyudnenij2002Raundiv8 5 10 5 12 5TipPidstanovlyuvalno pereustanovlena merezhaStruktura shifruKozhen raund v IDEA i MESH skladayetsya z operacij dodavannya ta mnozhennya Poslidovnist takih obchislen v mezhah odnogo raundu utvoryuye MA boks Vsi MA boksi v MESH vikoristovuyut minimum tri chergovih rivniv dodavan i mnozhen za shemoyu zigzag v toj chas yak v IDEA takih tilki dva Ce robit MESH bilsh stijkim proti diferencialnoyi i linijnoyi kriptoatak Takozh z metoyu uniknennya problemi slabkih klyuchiv v MESH vikoristovuyutsya dva nastupnih principi Kozhne pidklyuchennya zalezhit vid bagatoh podklyuchen tochnisheo yak minimum vid shesti poperednih klyuchiv nelinijno Vikoristovuyutsya fiksovani konstanti Bez nih napriklad klyuch z usih nuliv perejshov bi v pidklyuchi kozhna z yakih dorivnyuvala b nulyu v bud yakomu raundi Yak i v IDEA MESH vikoristovuye taki operaciyi Mnozhennya po modulyu 216 1 displaystyle 2 16 1 pri chomu zamist nulya vikoristovuyetsya 216 displaystyle 2 16 displaystyle odot Bitovij zsuv vlivo na n displaystyle n bit n displaystyle lll n Skladannya po modulyu 216 displaystyle 2 16 displaystyle boxplus Pobitova Viklyuchna diz yunkciya displaystyle oplus Operaciyi roztashovani v poryadku zmenshennya prioritetu V obchislennyah zapis Ak i displaystyle A k i poznachaye 16 ti bitove slovo Indeksi opisuyutsya dali MESH opisuyetsya v troh variaciyah za rozmirami bloku 64 96 128 bit Rozmir klyucha pri comu beretsya vdvichi bilshij MESH 64U danij variaciyi rozmir bloku stanovit 64 bit klyuch 128 bit Shifruvannya prohodit v 8 5 raundiv Polovina raundu vidnositsya do vihidnih peretvoren Raundovi peretvorennya Poznachimo vhidnu informaciyu dlya i displaystyle i go raundu X i X1 i X2 i X3 i X4 i i 1 9 displaystyle X i X 1 i X 2 i X 3 i X 4 i i 1 9 Kozhen raund skladayetsya z dvoh chastin peremishuvannya vhidnih danih z pidklyuchami i MA obchislennya Na parnih i neparnih raundah peremishuvannya vidbuvayetsya po riznomu Dlya neparnih raundiv Y1 i Y2 i Y3 i Y4 i X1 i Z1 i X2 i Z2 i X3 i Z3 i X4 i Z4 i displaystyle Y 1 i Y 2 i Y 3 i Y 4 i X 1 i odot Z 1 i X 2 i boxplus Z 2 i X 3 i boxplus Z 3 i X 4 i odot Z 4 i Dlya parnih raundiv Y1 i Y2 i Y3 i Y4 i X1 i boxplus Z1 i X2 i odot Z2 i X3 i odot Z3 i X4 i boxplus Z4 i displaystyle Y 1 i Y 2 i Y 3 i Y 4 i X 1 i boxplus Z 1 i X 2 i odot Z 2 i X 3 i odot Z 3 i X 4 i boxplus Z 4 i Peretvorennya sho vikonuyutsya MA boksami odnakovi dlya vsih raundiv Vhidni dani dlya nih vihodyat nastupnim chinom Y5 i Y6 i Y1 i Y3 i Y2 i Y4 i displaystyle Y 5 i Y 6 i Y 1 i oplus Y 3 i Y 2 i oplus Y 4 i MA obchislennya opisuyutsya nastupnimi formulami Y7 i Y5 i Z5 i Y6 i Z6 i Y5 i Z5 i Z7 i displaystyle Y 7 i Y 5 i odot Z 5 i boxplus Y 6 i odot Z 6 i boxplus Y 5 i odot Z 5 i odot Z 7 i Y8 i Y7 i Y5 i Z5 i Y6 i Z6 i displaystyle Y 8 i Y 7 i boxplus Y 5 i odot Z 5 i boxplus Y 6 i odot Z 6 i Vikoristovuyuchi rezultati otrimani MA boksami znahodimo vhidni dani dlya nastupnogo raundu X i 1 Y1 i Y8 i Y3 i Y8 i Y2 i Y7 i Y4 i Y7 i displaystyle X i 1 Y 1 i oplus Y 8 i Y 3 i oplus Y 8 i Y 2 i oplus Y 7 i Y 4 i oplus Y 7 i Zgidno zi shemoyu dlya otrimannya zashifrovanogo povidomlennya neobhidno pislya vosmogo raundu provesti peremishuvannya po neparnij shemi i 9 displaystyle i 9 Generaciya klyuchiv Dlya generaciyi klyuchiv vikoristovuyetsya 128 bitnij priznachenij dlya koristuvacha klyuch a takozh 16 bitovi konstanti ci displaystyle c i c0 1 displaystyle c 0 1 ci 3ci 1 displaystyle c i 3c i 1 voni obchislyuyutsya v Poli Galua GF 216 displaystyle GF 2 16 po modulyu bagatochlena x16 x5 x3 x2 1 displaystyle x 16 x 5 x 3 x 2 1 Priznachenij dlya koristuvacha klyuch rozbivayetsya na 8 16 bitovih sliv Ki 0 leqslant i leqslant 7 displaystyle K i 0 leqslant i leqslant 7 Obchislennya pidklyuchiv vidbuvayetsya nastupnim chinom Zi 1 1 Ki ci 0 i 6 displaystyle Z i 1 1 K i oplus c i 0 leqslant i leqslant 6 Z1 2 K7 c7 displaystyle Z 1 2 K 7 oplus c 7 Zl i h i Zl i 8 h i 8 Zl i 7 h i 7 Zl i 6 h i 6 Zl i 3 h i 3 Zl i 2 h i 2 Zl i 1 h i 1 7 ci displaystyle Z l i h i Z l i 8 h i 8 boxplus Z l i 7 h i 7 oplus Z l i 6 h i 6 boxplus Z l i 3 h i 3 oplus Z l i 2 h i 2 boxplus Z l i 1 h i 1 lll 7 oplus c i gde 8 i 59 h i i div 7 1 l i i mod 7 1 displaystyle 8 leqslant i leqslant 59 h i i div 7 1 l i i bmod 7 1 Rozshifrovka Dlya rozshifrovki MESH yak i IDEA vikoristovuyut vzhe isnuyuchu shemu ale zi zminenimi raundovimi pidklyuchami Poznachimo pidklyuchi sho vikoristovuvalisya pri shifruvanni v takij sposib Z1 r Z7 r 1 leqslant r leqslant 8 displaystyle Z 1 r Z 7 r 1 leqslant r leqslant 8 pidklyuchi povnih raundiv Z1 9 Z4 9 displaystyle Z 1 9 Z 4 9 pidklyuchi vihidnih peretvoren Todi pidklyuchi rozshifrovki zadayutsya nastupnim chinom Z1 9 1 Z2 9 Z3 9 Z4 9 1 Z5 8 Z6 8 Z7 8 displaystyle Z 1 9 1 Z 2 9 Z 3 9 Z 4 9 1 Z 5 8 Z 6 8 Z 7 8 pervij raund rozshifrovki Z1 10 r Z3 10 r 1 Z2 10 r 1 Z4 10 r Z5 9 r Z6 9 r Z7 9 r displaystyle Z 1 10 r Z 3 10 r 1 Z 2 10 r 1 Z 4 10 r Z 5 9 r Z 6 9 r Z 7 9 r r displaystyle r j parnij raund r 2 4 6 8 displaystyle r in 2 4 6 8 Z1 9 r 1 Z3 9 r Z2 9 r Z4 9 r 1 Z5 8 r Z6 8 r Z7 8 r displaystyle Z 1 9 r 1 Z 3 9 r Z 2 9 r Z 4 9 r 1 Z 5 8 r Z 6 8 r Z 7 8 r r displaystyle r j neparnij raund r 3 5 7 displaystyle r in 3 5 7 Z1 1 1 Z2 1 Z3 1 Z4 1 1 displaystyle Z 1 1 1 Z 2 1 Z 3 1 Z 4 1 1 vihidni peretvorennya MESH 96U danij variaciyi rozmir bloku stanovit 96 bit klyuch 192 bit Shifruvannya prohodit v 10 5 raundiv Polovina raundu vidnositsya do vihidnih peretvoren Raundovi peretvorennya Poznachimo vhidnu informaciyu dlya i displaystyle i go raundu X i X1 i X2 i X3 i X4 i X5 i X6 i i 1 11 displaystyle X i X 1 i X 2 i X 3 i X 4 i X 5 i X 6 i i 1 11 Kozhen raund skladayetsya z dvoh chastin peremishuvannya vhidnih danih iz pidklyuchami i MA obchislennya Na parnih i neparnih raundah peremishuvannya vidbuvayetsya po riznomu Dlya neparnih raundiv Y1 i Y2 i Y3 i Y4 i Y5 i Y6 i X1 i Z1 i X2 i Z2 i X3 i Z3 i X4 i Z4 i X5 i Z5 i X6 i Z6 i displaystyle Y 1 i Y 2 i Y 3 i Y 4 i Y 5 i Y 6 i X 1 i odot Z 1 i X 2 i boxplus Z 2 i X 3 i odot Z 3 i X 4 i boxplus Z 4 i X 5 i odot Z 5 i X 6 i boxplus Z 6 i Dlya parnih raundiv Y1 i Y2 i Y3 i Y4 i Y5 i Y6 i X1 i Z1 i X2 i Z2 i X3 i Z3 i X4 i Z4 i X5 i Z5 i X6 i Z6 i displaystyle Y 1 i Y 2 i Y 3 i Y 4 i Y 5 i Y 6 i X 1 i boxplus Z 1 i X 2 i odot Z 2 i X 3 i boxplus Z 3 i X 4 i odot Z 4 i X 5 i boxplus Z 5 i X 6 i odot Z 6 i Peretvorennya sho vikonuyutsya MA boksami odnakovi dlya vsih raundiv Vhidni dani dlya nih vihodyat nastupnim chinom Y7 i Y8 i Y9 i Y1 i Y4 i Y2 i Y5 i Y3 i Y6 i displaystyle Y 7 i Y 8 i Y 9 i Y 1 i oplus Y 4 i Y 2 i oplus Y 5 i Y 3 i oplus Y 6 i MA obchislennya opisuyutsya nastupnimi formulami Y10 i Y7 i Z7 i Y8 i Y9 i Z8 i Y7 i Z7 i Y8 i Y7 i Z7 i Z9 i displaystyle Y 10 i Y 7 i odot Z 7 i boxplus Y 8 i odot Y 9 i boxplus Z 8 i odot Y 7 i odot Z 7 i boxplus Y 8 i boxplus Y 7 i odot Z 7 i odot Z 9 i Y11 i Y10 i Y7 i Z7 i Y8 i Y9 i Z8 i Y7 i Z7 i Y8 i displaystyle Y 11 i Y 10 i boxplus Y 7 i odot Z 7 i boxplus Y 8 i odot Y 9 i boxplus Z 8 i odot Y 7 i odot Z 7 i boxplus Y 8 i Y12 i Y11 i Y7 i Z7 i Y8 i Y9 i Z8 i displaystyle Y 12 i Y 11 i odot Y 7 i odot Z 7 i boxplus Y 8 i odot Y 9 i boxplus Z 8 i Vikoristovuyuchi rezultati otrimani MA boksami znahodimo vhidni dani dlya nastupnogo raundu X i 1 Y1 i Y12 i Y4 i Y12 i Y5 i Y11 i Y2 i Y11 i Y3 i Y10 i Y6 i Y10 i displaystyle X i 1 Y 1 i oplus Y 12 i Y 4 i oplus Y 12 i Y 5 i oplus Y 11 i Y 2 i oplus Y 11 i Y 3 i oplus Y 10 i Y 6 i oplus Y 10 i Dlya otrimannya zashifrovanogo povidomlennya neobhidno pislya 10 go raundu provesti peremishuvannya za neparnoyu shemoyu i 9 displaystyle i 9 Generaciya klyuchiv Dlya generaciyi klyuchiv vikoristovuyetsya 192 bitnij priznachenij dlya koristuvacha klyuch a takozh 16 bitovi konstanti taki zh yak i dlya MESH 64 Obchislennya podklyuchiv vidbuvayetsya nastupnim chinom Zi 1 1 Ki ci 0 i 8 displaystyle Z i 1 1 K i oplus c i 0 leqslant i leqslant 8 Z1 2 K9 c9 displaystyle Z 1 2 K 9 oplus c 9 Z2 2 K10 c10 displaystyle Z 2 2 K 10 oplus c 10 Z3 2 K11 c11 displaystyle Z 3 2 K 11 oplus c 11 Zl i h i Zl i 12 h i 12 Zl i 8 h i 8 Zl i 6 h i 6 Zl i 4 h i 4 Zl i 2 h i 2 Zl i 1 h i 1 9 ci displaystyle Z l i h i Z l i 12 h i 12 boxplus Z l i 8 h i 8 oplus Z l i 6 h i 6 boxplus Z l i 4 h i 4 oplus Z l i 2 h i 2 boxplus Z l i 1 h i 1 lll 9 oplus c i gde 12 i 95 h i i div 9 1 l i i mod 9 1 displaystyle 12 leqslant i leqslant 95 h i i div 9 1 l i i bmod 9 1 Rozshifrovka Dlya rozshifrovki MESH yak i IDEA vikoristovuye vzhe isnuyuchu shemu ale zi zminenimi raundovimi pidklyuchami Poznachimo pidklyuchi sho vikoristovuvalisya pri shifruvanni v takij sposib Z1 r Z9 r 1 leqslant r leqslant 10 displaystyle Z 1 r Z 9 r 1 leqslant r leqslant 10 pidklyuchi povnih raundiv Z1 11 Z6 11 displaystyle Z 1 11 Z 6 11 pidklyuchi vihidnih peretvoren Todi pidklyuchi rozshifrovki zadayutsya nastupnim chinom Z1 11 1 Z2 11 Z3 11 1 Z4 11 Z5 11 1 Z6 11 Z7 10 Z8 10 Z9 10 displaystyle Z 1 11 1 Z 2 11 Z 3 11 1 Z 4 11 Z 5 11 1 Z 6 11 Z 7 10 Z 8 10 Z 9 10 pershij raund rozshifrovki Z1 12 r Z4 12 r 1 Z5 12 r Z2 12 r 1 Z3 12 r Z6 12 r 1 Z7 11 r Z8 11 r Z9 11 r displaystyle Z 1 12 r Z 4 12 r 1 Z 5 12 r Z 2 12 r 1 Z 3 12 r Z 6 12 r 1 Z 7 11 r Z 8 11 r Z 9 11 r r displaystyle r j parnij raund r 2 4 6 8 10 displaystyle r in 2 4 6 8 10 Z1 11 r 1 Z4 11 r Z5 11 r 1 Z2 11 r Z3 11 r 1 Z6 11 r Z7 10 r Z8 10 r Z9 10 r displaystyle Z 1 11 r 1 Z 4 11 r Z 5 11 r 1 Z 2 11 r Z 3 11 r 1 Z 6 11 r Z 7 10 r Z 8 10 r Z 9 10 r r displaystyle r j neparnij raund r 3 5 7 9 displaystyle r in 3 5 7 9 Z1 1 1 Z2 1 Z3 1 1 Z4 1 Z5 1 1 Z6 1 displaystyle Z 1 1 1 Z 2 1 Z 3 1 1 Z 4 1 Z 5 1 1 Z 6 1 vihidni peretvorennya MESH 128U danij variaciyi rozmir bloku stanovit 128 bit klyuch 256 bit Shifruvannya prohodit v 12 5 raundiv Polovina raundu vidnositsya do vihidnih peretvoren Ranundovi peretvorennya Poznachimo vhidnu informaciyu dlya i displaystyle i go raundu X i X1 i X2 i X3 i X4 i X5 i X6 i X7 i X8 i i 1 13 displaystyle X i X 1 i X 2 i X 3 i X 4 i X 5 i X 6 i X 7 i X 8 i i 1 13 Kozhen raund skladayetsya z dvoh chastin peremishuvannya vhidnih danih iz pidklyuchami i MA obchislennya Na parnih i neparnih raundah peremishuvannya vidbuvayetsya po riznomu Dlya neparnih raundiv Y1 i Y2 i Y3 i Y4 i Y5 i Y6 i Y7 i Y8 i displaystyle Y 1 i Y 2 i Y 3 i Y 4 i Y 5 i Y 6 i Y 7 i Y 8 i X1 i Z1 i X2 i Z2 i X3 i Z3 i X4 i Z4 i X5 i Z5 i X6 i Z6 i X7 i Z7 i X8 i Z8 i displaystyle X 1 i odot Z 1 i X 2 i boxplus Z 2 i X 3 i odot Z 3 i X 4 i boxplus Z 4 i X 5 i odot Z 5 i X 6 i boxplus Z 6 i X 7 i odot Z 7 i X 8 i boxplus Z 8 i Dlya parnih raundiv Y1 i Y2 i Y3 i Y4 i Y5 i Y6 i Y7 i Y8 i displaystyle Y 1 i Y 2 i Y 3 i Y 4 i Y 5 i Y 6 i Y 7 i Y 8 i X1 i Z1 i X2 i Z2 i X3 i Z3 i X4 i Z4 i X5 i Z5 i X6 i Z6 i X7 i Z7 i X8 i Z8 i displaystyle X 1 i boxplus Z 1 i X 2 i odot Z 2 i X 3 i boxplus Z 3 i X 4 i odot Z 4 i X 5 i boxplus Z 5 i X 6 i odot Z 6 i X 7 i boxplus Z 7 i X 8 i odot Z 8 i Peretvorennya sho vikonuyutsya MA boksami odnakovi dlya vsih raundiv Vhidni dani dlya nih vihodyat nastupnim chinom Y9 i Y10 i Y11 i Y12 i Y1 i Y5 i Y2 i Y6 i Y3 i Y7 i Y4 i Y8 i displaystyle Y 9 i Y 10 i Y 11 i Y 12 i Y 1 i oplus Y 5 i Y 2 i oplus Y 6 i Y 3 i oplus Y 7 i Y 4 i oplus Y 8 i MA obchislennya opisuyutsya nastupnimi formulami Y13 i Y9 i Z9 i Y14 i Y13 i Y10 i displaystyle Y 13 i Y 9 i odot Z 9 i Y 14 i Y 13 i boxplus Y 10 i Y15 i Y14 i Y11 i Y16 i Y15 i Y12 i displaystyle Y 15 i Y 14 i odot Y 11 i Y 16 i Y 15 i boxplus Y 12 i Y17 i Y16 i Z10 i Y18 i Y15 i Y17 i displaystyle Y 17 i Y 16 i odot Z 10 i Y 18 i Y 15 i boxplus Y 17 i Y19 i Y14 i Y18 i Y20 i Y13 i Y19 i displaystyle Y 19 i Y 14 i odot Y 18 i Y 20 i Y 13 i boxplus Y 19 i Y21 i Y20 i Z11 i Y22 i Y19 i Y21 i displaystyle Y 21 i Y 20 i odot Z 11 i Y 22 i Y 19 i boxplus Y 21 i Y23 i Y18 i Y22 i Y24 i Y17 i Y23 i displaystyle Y 23 i Y 18 i odot Y 22 i Y 24 i Y 17 i boxplus Y 23 i Y25 i Y24 i Z12 i Y26 i Y23 i Y25 i displaystyle Y 25 i Y 24 i odot Z 12 i Y 26 i Y 23 i boxplus Y 25 i Y27 i Y22 i Y26 i Y28 i Y21 i Y27 i displaystyle Y 27 i Y 22 i odot Y 26 i Y 28 i Y 21 i boxplus Y 27 i Vikoristovuyuchi rezultati otrimani MA boksami znahodimo vhidni dani dlya nastupnogo raundu X i 1 Y1 i Y25 i Y5 i Y25 i Y6 i Y26 i Y7 i Y27 i Y2 i Y26 i Y3 i Y27 i Y4 i Y28 i Y8 i Y28 i displaystyle X i 1 Y 1 i oplus Y 25 i Y 5 i oplus Y 25 i Y 6 i oplus Y 26 i Y 7 i oplus Y 27 i Y 2 i oplus Y 26 i Y 3 i oplus Y 27 i Y 4 i oplus Y 28 i Y 8 i oplus Y 28 i Dlya otrimannya zashifrovanogo povidomlennya neobhidno pislya 12 go raundu provesti peremishuvannya za neparnoyu shemoyu i 9 displaystyle i 9 Generaciya klyuchiv Dlya generaciyi klyuchiv vikoristovuyetsya 256 bitnij priznachenij dlya koristuvacha klyuch a takozh 16 bitovi konstanti taki zh yak dlya MESH 64 i dlya MESH 96 Obchislennya podklyuchiv vidbuvayetsya nastupnim chinom Zi 1 1 Ki ci 0 i 11 displaystyle Z i 1 1 K i oplus c i 0 leqslant i leqslant 11 Zj mod 12 1 2 Kj cj 12 j 15 displaystyle Z j bmod 12 1 2 K j oplus c j 12 leqslant j leqslant 15 Zl i h i Zl i 16 h i 16 Zl i 13 h i 13 Zl i 12 h i 12 Zl i 8 h i 8 Zl i 2 h i 2 Zl i 1 h i 1 11 ci displaystyle Z l i h i Z l i 16 h i 16 boxplus Z l i 13 h i 13 oplus Z l i 12 h i 12 boxplus Z l i 8 h i 8 oplus Z l i 2 h i 2 boxplus Z l i 1 h i 1 lll 11 oplus c i gde 16 i 151 h i i div 12 1 l i i mod 12 1 displaystyle 16 leqslant i leqslant 151 h i i div 12 1 l i i bmod 12 1 Rozshifrovka Dlya rozshifrovki MESH yak i IDEA vikoristovuye vzhe isnuyuchu shemu ale zi zminenimi raundovimi pidklyuchami Poznachimo pidklyuchi sho vikoristovuvalisya pri shifruvanni v takij sposib Z1 r Z12 r 1 leqslant r leqslant 12 displaystyle Z 1 r Z 12 r 1 leqslant r leqslant 12 pidklyuchi povnih raundiv Z1 13 Z8 13 displaystyle Z 1 13 Z 8 13 pidklyuchi vihidnih peretvoren Z1 13 1 Z2 13 Z3 13 1 Z4 13 Z5 13 Z6 13 1 Z7 13 Z8 13 1 Z9 12 Z10 12 Z11 12 Z12 12 displaystyle Z 1 13 1 Z 2 13 Z 3 13 1 Z 4 13 Z 5 13 Z 6 13 1 Z 7 13 Z 8 13 1 Z 9 12 Z 10 12 Z 11 12 Z 12 12 pershij raund rozshifrovki Z1 14 r Z5 14 r 1 Z6 14 r Z7 14 r 1 Z2 14 r 1 Z3 14 r Z4 14 r 1 Z8 14 r Z9 13 r Z10 13 r Z11 13 r Z12 13 r displaystyle Z 1 14 r Z 5 14 r 1 Z 6 14 r Z 7 14 r 1 Z 2 14 r 1 Z 3 14 r Z 4 14 r 1 Z 8 14 r Z 9 13 r Z 10 13 r Z 11 13 r Z 12 13 r r displaystyle r j parnij raund r 2 4 6 8 10 12 displaystyle r in 2 4 6 8 10 12 Z1 13 r 1 Z5 13 r Z6 13 r 1 Z7 13 r Z2 13 r Z3 13 r 1 Z4 13 r Z8 13 r 1 Z9 12 r Z10 12 r Z11 12 r Z12 12 r displaystyle Z 1 13 r 1 Z 5 13 r Z 6 13 r 1 Z 7 13 r Z 2 13 r Z 3 13 r 1 Z 4 13 r Z 8 13 r 1 Z 9 12 r Z 10 12 r Z 11 12 r Z 12 12 r r displaystyle r j neparnij raund r 3 5 7 9 11 displaystyle r in 3 5 7 9 11 Z1 1 1 Z2 1 Z3 1 1 Z4 1 Z5 1 Z6 1 1 Z7 1 Z8 1 1 displaystyle Z 1 1 1 Z 2 1 Z 3 1 1 Z 4 1 Z 5 1 Z 6 1 1 Z 7 1 Z 8 1 1 vihidni peretvorennya KriptoanalizNizhche navoditsya tablicya yaka mistit rozrahunkovu informaciyu shodo mozhlivih kriptoatak U nij rozglyadayutsya urizani algoritmi kilkist raundiv mozhna pobachiti u vidpovidnij kolonci Za dani prijmayutsya vibrani pidibrani vidkriti teksti vkazuyetsya neobhidna kilkist takih v blokah Chas ocinyuyetsya v kilkosti obchislen Pam yat vidobrazhaye kilkist elementiv pam yati neobhidnih dlya zberigannya bud yakih danih pid chas kriptoataki Yak vidno z tablici vsi varianti MESH bilsh skladni dlya zlomu predstavlenimi kriptoatakami nizh IDEA na yakomu vin bazuyetsya Tablicya 1 Uzagalnennya skladnoshiv kriptoatak na IDEA i MESH Shifr Kriptoanaliz Raundiv Dani Pam yat ChasIDEA 8 5 raundiv 2 5 displaystyle 2 5 23 displaystyle 23 23 displaystyle 23 264 displaystyle 2 64 en 3 5 displaystyle 3 5 256 displaystyle 2 56 232 displaystyle 2 32 267 displaystyle 2 67 en 3 5 displaystyle 3 5 238 5 displaystyle 2 38 5 237 displaystyle 2 37 253 displaystyle 2 53 en 4 displaystyle 4 238 5 displaystyle 2 38 5 237 displaystyle 2 37 270 displaystyle 2 70 MESH 64 8 5 raundiv 2 5 displaystyle 2 5 250 5 displaystyle 2 50 5 216 displaystyle 2 16 276 displaystyle 2 76 en 3 5 displaystyle 3 5 264 displaystyle 2 64 232 displaystyle 2 32 278 displaystyle 2 78 en 3 5 displaystyle 3 5 239 5 displaystyle 2 39 5 261 displaystyle 2 61 264 displaystyle 2 64 en 4 displaystyle 4 239 5 displaystyle 2 39 5 261 displaystyle 2 61 2112 displaystyle 2 112 MESH 96 10 5 raundiv 2 5 displaystyle 2 5 250 displaystyle 2 50 216 displaystyle 2 16 296 displaystyle 2 96 en 3 5 displaystyle 3 5 296 displaystyle 2 96 264 displaystyle 2 64 2109 displaystyle 2 109 en 3 5 displaystyle 3 5 256 displaystyle 2 56 293 displaystyle 2 93 296 displaystyle 2 96 en 4 displaystyle 4 256 displaystyle 2 56 293 displaystyle 2 93 2144 displaystyle 2 144 MESH 128 12 5 raundiv 2 5 displaystyle 2 5 250 displaystyle 2 50 216 displaystyle 2 16 2128 displaystyle 2 128 en 3 5 displaystyle 3 5 2128 displaystyle 2 128 264 displaystyle 2 64 2142 displaystyle 2 142 en 3 5 displaystyle 3 5 265 displaystyle 2 65 2157 displaystyle 2 157 2128 displaystyle 2 128 en 4 displaystyle 4 265 displaystyle 2 65 2157 displaystyle 2 157 2192 displaystyle 2 192 PrimitkiThe MESH Block Ciphers 2002 s 1 2 Cryptanalysis And Design Of Block Ciphers 2003 s 124 Cryptanalysis And Design Of Block Ciphers 2003 s 125 Cryptanalysis And Design Of Block Ciphers 2003 s 125 126 The MESH Block Ciphers 2002 s 3 The MESH Block Ciphers 2002 s 4 Cryptanalysis And Design Of Block Ciphers 2003 s 127 Cryptanalysis And Design Of Block Ciphers 2003 s 127 129 Cryptanalysis And Design Of Block Ciphers 2003 s 129 Cryptanalysis And Design Of Block Ciphers 2003 s 129 130 Cryptanalysis And Design Of Block Ciphers 2003 s 130 Cryptanalysis And Design Of Block Ciphers 2003 s 130 132 Cryptanalysis And Design Of Block Ciphers 2003 s 132 Cryptanalysis And Design Of Block Ciphers 2003 s 132 133 Cryptanalysis And Design Of Block Ciphers 2003 s 10 11 Cryptanalysis And Design Of Block Ciphers 2003 s 178 180 Cryptanalysis And Design Of Block Ciphers 2003 s 179 LiteraturaJ Nakahara Jr V Rijmen B Preneel J Vandewalle The MESH Block Ciphers angl 2002 J Nakahara Jr Cryptanalysis And Design Of Block Ciphers angl 2003 Pomilka nepravilnij chas ISBN 90 5682 407 4