一种新的实用安全加密标准算法——Camellia算法

（ＹＲ（３２）∪ｋｌＲ（３２），ＹＬ（３２）｜｜（（ＸＬ（３２）∩ｋｌＬ（３2）??＜＜＜１）+ＹＲ（３２）

ＦＬ－１：Ｌ×Ｌ→Ｌ

（ＹＬ（３２）｜｜ＹＲ（３２），ｋｌＬ（３２）｜｜ｋｌＲ（３２）→ ?（８）

（ＹＲ（３２）∪ｋｌＲ（３２），ＹＬ（３２）｜｜（（ＸＬ（３２）∩ｋｌＬ（３２）??＜＜＜１）+ＹＲ（３２）

２ Ｃａｍｅｌｌｉａ算法的加、解密及密钥扩展实现过程

（１）加、解密过程

Ｃａｍｅｌｌｉａ算法的整个加密过程有１８轮Ｆｅｉｓｔｅｌ结构，在第６轮和第１２轮之后加入了ＦＬ／ＦＬ－１变换层，用来打乱算法的规律性，并且在第１轮之前和最后１轮之后使用了１２８比特的异或操作。解密过程与加密过程完全相同，只是圈密钥注入顺序与加密相反。１２８比特密钥Ｃａｍｅｌｌｉａ算法的加密过程如图１所示。

（２）密钥扩展

Ｃａｍｅｌｌｉａ算法的密钥扩展遵循了严格的设计准则，如实现简单且与加、解密过程共用部件，密钥配置时间小于加密时间，支持在线密钥生成，没有等效密钥，能够抵抗相关密钥攻击和滑动攻击等。整个过程只需通过三个中间变量，ＫＬ（１２８）＝Ｋ（１２８），Ｋ（１２８）＝０?ＫＡ的简单移位即可得到子密钥ｋｗｔ（６４）（ｔ＝１，…，４），ｋｕ（６４）（ｕ＝１，…，１８）和ｋｌｖ（６４）（ｖ＝１，…，４），且中间生成过程与加密过程共用了部件Ｆ（如图１、２所示）。

３ Ｃａｍｅｌｌｉａ算法的安全性

设计者用差分扩散概率和线性相关概率的保守上界证明了任何含ＳＰＮ网络的十六圈Ｃａｍｅｌｌｉａ密码对差分密码分析和线性密码分析都是安全的；此外，通过对活动Ｓ盒的计数说明十二圈Ｃａｍｅｌｌｉａ中没有概率大于２－１２８的差分特征和线性特征；带或不带ＦＬ层的十圈Ｃａｍｅｌｌｉａ都具有伪随机置换特性，能够抵抗截断差分攻击和线性密码分析；设计者还声称Ｃａｍｅｌｌｉａ能够抵抗不可能差分攻击、Ｂｏｏｍｅｒａｎｇ攻击、高阶差分攻击、相关密钥攻击、插入攻击、Ｓｌｉｄｅ攻击、线性和攻击及Ｓｑｕａｒｅ攻击。在密钥的安全性上，一方面不存在等效密钥；另一方面，子密钥来自主密钥的加密结果ＫＡ和ＫＢ，改变主密钥并不能获得预想的ＫＡ和ＫＢ，反之亦然，因而无法控制和预测子密钥之间的关系，从而相关密钥攻击难以成功。由于密钥长度不少于１２８比特，以当前的计算能力还无法对Ｃａｍｅｌｌｉａ成功实施诸如密钥穷举搜索攻击、时间存储权衡攻击、字典攻击和密钥匹配等类型的强力攻击。

４ Ｃａｍｅｌｌｉａ算法在各种平台上的性能比较

评测一个分组密码的好坏，除了要求其具有高的安全性外，还要求算法在应用平台上实现简单。Ｃａｍｅｌｌｉａ算法在设计时充分考虑到了这一点，下面给出其在各种平台上的性能参数。评测算法在软件平台上实现性能时，首要考虑其速度，其次还要看算法实现时所需的存储空间，表１前半部分给出了Ｃａｍｅｌｌｉａ算法在常用的３２位处理器上各种软件平台的实现性能。高的加密速度和低的存储需求，表明Ｃａｍｅｌｌｉａ算法可以有效地应用于各种软件系统中。从表１后半部分可以看出Ｃａｍｅｌｌｉａ算法在高端和低端的智能卡平台上同样有着良好的性能；由于Ｃａｍｅｌｌｉａ算法的密钥扩展与加、解密过程有共用部分，所以其硬件平台所需的芯片面积大大减少，降低了硬件成本，便于推广应用，详细参数见表２。

表1 Camellia算法在软件和智能卡平台上的性能

环  境 语  言 速度加、解密 RAM合计 ROM合计 PIII700MHz128MB256 L2-cache Assembly 241.5Mbps 64bytes 11420bytes PII300MHz160MB512 L2-cache VC++6 66.6Mbps 108bytes 9461bytes PIII 1GHz512MB256 L2-cache Java 161.4Mbps \

《一种新的实用安全加密标准算法——Camellia算法(第3页)》