一种新的实用安全加密标准算法——Camellia算法

·Ｓ变换

Ｃａｍｅｌｌｉａ算法采用的Ｓ盒（见式（３））是一个ＧＦ（２８）上的可逆变换，它加强了算法的安全性并且适用于小硬件设计。众所周知，ＧＦ（２８）上函数的最大差分概率的最小值被证明为２－６，最大线性概率的最小值推测为２－６。Ｃａｍｅｌｌｉａ算法选择ＧＦ（２８）上能够获得最好的差分和线性概率的可逆函数作Ｓ盒，而且Ｓ盒每个输出比特具有高阶布尔多项式，使得对Ｃａｍｅｌｌｉａ进行高阶差分攻击是困难的。Ｓ盒在ＧＦ（２８）上输入、输出相关函数上的复杂表达式，使得插入攻击对Ｃａｍｅｌｌｉａ无效。

Ｓ：Ｌ→Ｌ

(l'1(8),l'1(8),l'1(8),l'1(8),l'1(8),l'1(8),l'1(8),l'1(8)→

*s1(l'1(8)),s2(l'2(8)),s3(l'3(8)),s4('4(8)),s2(l'5(8)),s3(l'6(8)),

s4(l'7(8),s1(l'8(l8(8)))

其中， ｓ２:ｙ(８)＝ｓ1(x(8))=h(g(f(0xC5+x(8))))+0x6E

s２:Y(８)＝ｓ2(ｘ(８))=s1(x(8))＜＜＜１    (３)?

ｓ３:ｙ(８)＝ｓ３(ｘ(８))＝ｓ１(ｘ(８))＞＞＞１

ｓ４:ｙ(８)＝ｓ４(ｘ(８))＝ｓ１(ｘ(８))＜＜＜１?

算法中构造了四个不同的Ｓ盒，提高了Ｃａｍｅｌｌｉａ算法抵抗阶段差分攻击的安全性。为了在小硬件上设计实现，ＧＦ（２８）上的元素可以表示成系数为ＧＦ（２４）上的多项式。这样，在实现Ｓ盒时，只需运用子域ＧＦ（２４）上很少的操作。ｓ１变换中所采用的ｆ、ｈ、ｇ函数分别如（４）、（５）、（６）式所示。

(ｂ１,ｂ２,ｂ３,ｂ４,ｂ５,ｂ６,ｂ７,ｂ８)＝ｇ(ａ１,ａ２,ａ３,ａ４,ａ５,ａ６,ａ７,ａ８)

其中,(ｂ８＋ｂ７α＋ｂ６α２＋ｂ５α３)＋(ｂ４＋ｂ３α＋ｂ２α２＋ｂ１α３)β

＝１／（(ａ８＋ａ７α＋ａ６α２＋ａ５α３)＋(ａ４＋ａ３α＋ａ２α２＋ａ１α３)）(６)

规定（６）式中ＧＦ(２的８次方)上运算＝1/０，β是ＧＦ（２的８次方）上方程ｘ８＋ｘ６＋ｘ５＋ｘ３＋１＝０的根，ａ＝β２３８＝β６＋β５＋β３＋β２是ＧＦ（２的４次方）上方程ｘ４＋ｘ＋１＝０的根。当然根据性能要求，在具体实现加密算法时，Ｓ盒的实现电路也可以直接查表的方式进行。

·ＦＬ／ＦＬ－１变换

Ｃａｍｅｌｌｉａ算法每六圈加入一次ＦＬ／ＦＬ－１变换，用来打乱整个算法的规律性。加入ＦＬ／ＦＬ－１变换的另一个好处是可以抵抗未知的密码攻击方法，而且加入ＦＬ／ＦＬ－１变换并不影响Ｆｅｉｓｔｅｌ结构加、解密过程相同。

    ＦＬ：Ｌ×Ｌ→Ｌ

（ＸＬ（３２）｜｜ＸＲ（３２），ｋｌＬ（３２）｜｜ｋｌＲ（３２）→?（７）