現(xiàn)代密碼學(xué)課件第5講-分組密碼

第四章分組密碼一、分組密碼概述二、分組密碼運(yùn)行模式三、DES四、AES五、分組密碼的分析2022/12/231第四章分組密碼一、分組密碼概述2022/12/201一、分組密碼概述2022/12/232一、分組密碼概述2022/12/202分組密碼概述分組密碼是許多系統(tǒng)安全的一個(gè)重要組成部分。可用于構(gòu)造擬隨機(jī)數(shù)生成器流密碼消息認(rèn)證碼(MAC)和雜湊函數(shù)消息認(rèn)證技術(shù)、數(shù)據(jù)完整性機(jī)構(gòu)、實(shí)體認(rèn)證協(xié)議以及單鑰數(shù)字簽字體制的核心組成部分。

2022/12/233分組密碼概述分組密碼是許多系統(tǒng)安全的一個(gè)重要組成部分?？捎糜趹?yīng)用中對于分組碼的要求安全性運(yùn)行速度存儲(chǔ)量(程序的長度、數(shù)據(jù)分組長度、高速緩存大小)實(shí)現(xiàn)平臺(tái)(硬、軟件、芯片)運(yùn)行模式2022/12/234應(yīng)用中對于分組碼的要求安全性2022/12/204分組密碼概述明文序列x1,x2,…,xi,…加密函數(shù)E:Vn×KVn

這種密碼實(shí)質(zhì)上是字長為m的數(shù)字序列的代換密碼。

解密算法加密算法密鑰k=(k0,k1,…,kt-1)密鑰k=(k0,k1,…,kt-1)明文x=(x0,x1,…,xm-1)明文x=(x0,x1,…,xm-1)密文x=(y0,y1,…,ym-1)2022/12/235分組密碼概述明文序列x1,x2,…,xi,…解

分組密碼概述通常取n=m。若n>m，則為有數(shù)據(jù)擴(kuò)展的分組密碼。若n<m，則為有數(shù)據(jù)壓縮的分組密碼。2022/12/236

分組密碼概述通常取n=m。2022/12/206分組密碼設(shè)計(jì)問題

分組密碼的設(shè)計(jì)問題在于找到一種算法，能在密鑰控制下從一個(gè)足夠大且足夠好的置換子集中，簡單而迅速地選出一個(gè)置換，用來對當(dāng)前輸入的明文的數(shù)字組進(jìn)行加密變換。2022/12/237分組密碼設(shè)計(jì)問題分組密碼的設(shè)計(jì)問題在于找到分組密碼算法應(yīng)滿足的要求分組長度n要足夠大：防止明文窮舉攻擊法奏效。密鑰量要足夠大：盡可能消除弱密鑰并使所有密鑰同等地好，以防止密鑰窮舉攻擊奏效。由密鑰確定置換的算法要足夠復(fù)雜：充分實(shí)現(xiàn)明文與密鑰的擴(kuò)散和混淆，沒有簡單的關(guān)系可循，要能抗擊各種已知的攻擊。2022/12/238分組密碼算法應(yīng)滿足的要求分組長度n要足夠大：2022/12/分組密碼算法應(yīng)滿足的要求加密和解密運(yùn)算簡單：

易于軟件和硬件高速實(shí)現(xiàn)。數(shù)據(jù)擴(kuò)展：

一般無數(shù)據(jù)擴(kuò)展，在采用同態(tài)置換和隨機(jī)化加密技術(shù)時(shí)可引入數(shù)據(jù)擴(kuò)展。差錯(cuò)傳播盡可能地小。

2022/12/239分組密碼算法應(yīng)滿足的要求加密和解密運(yùn)算簡單：2022/12/代換網(wǎng)絡(luò)代換是輸入集A到輸出A’上的雙射變換：

fk：AA＇

式中，k是控制輸入變量，在密碼學(xué)中則為密鑰。實(shí)現(xiàn)代換fk的網(wǎng)絡(luò)稱作代換網(wǎng)絡(luò)。雙射條件保證在給定k下可從密文惟一地恢復(fù)出原明文。2022/12/2310代換網(wǎng)絡(luò)代換是輸入集A到輸出A’上的雙射變換：2022/12代換網(wǎng)絡(luò)代換fk的集合：

S={fkkK}K是密鑰空間。如果網(wǎng)絡(luò)可以實(shí)現(xiàn)所有可能的2n!個(gè)代換，則稱其為全代換網(wǎng)絡(luò)。全代換網(wǎng)絡(luò)密鑰個(gè)數(shù)必須滿足條件：＃{k}2n!2022/12/2311代換網(wǎng)絡(luò)代換fk的集合：2022/12/2011代換網(wǎng)絡(luò)密碼設(shè)計(jì)中需要先定義代換集S，而后還需定義解密變換集，即逆代換網(wǎng)絡(luò)S-1，它以密文y作為輸入矢量，其輸出為恢復(fù)的明文矢量x。要實(shí)現(xiàn)全代換網(wǎng)絡(luò)并不容易。因此實(shí)用中常常利用一些簡單的基本代換，通過組合實(shí)現(xiàn)較復(fù)雜的、元素個(gè)數(shù)較多的代換集。實(shí)用密碼體制的集合S中的元素個(gè)數(shù)都遠(yuǎn)小于2n!。2022/12/2312代換網(wǎng)絡(luò)密碼設(shè)計(jì)中需要先定義代換集S，而后還需定義解密變換集代換盒(S盒)在密碼設(shè)計(jì)中，可選n=rn0，其中r和n0都為正整數(shù)，將設(shè)計(jì)n個(gè)變量的代換網(wǎng)絡(luò)化為設(shè)計(jì)r個(gè)較小的子代換網(wǎng)絡(luò)，而每個(gè)子代換網(wǎng)絡(luò)只有n0個(gè)輸入變量。稱每個(gè)子代換網(wǎng)絡(luò)為代換盒(SubstitutionBox)

S盒x5

x4

x3

x2

x1

x0y3

y2

y1

y0DES的S盒2022/12/2313代換盒(S盒)在密碼設(shè)計(jì)中，可選n=rDES的S1-盒的輸入和輸出關(guān)系x5x0x5x4x3x2x1x010101100列號(hào)0123456789101112131415行號(hào)01441312151183106125907101574142131106121195382411481362111512973105031512824917511214100613

(y3

,

y2,

y1

,y0)=(0,0,1,0)2022/12/2314DES的S1-盒的輸入和輸出關(guān)系x5x0擴(kuò)散和混淆擴(kuò)散將明文的統(tǒng)計(jì)特性散布到密文中。實(shí)現(xiàn)的方式是使明文的每一位影響密文中多位的值。2022/12/2315擴(kuò)散和混淆擴(kuò)散將明文的統(tǒng)計(jì)特性散布到密文中。實(shí)現(xiàn)的方式是使明S盒的設(shè)計(jì)準(zhǔn)則迄今為止，有關(guān)方面未曾完全公開有關(guān)DES的S盒的設(shè)計(jì)準(zhǔn)則。Branstead等曾披露過下述準(zhǔn)則：P1S盒的輸出都不是其輸入的線性或仿射函數(shù)。P2改變S盒的一個(gè)輸入比特，其輸出至少有兩比特產(chǎn)生變化，即近一半產(chǎn)生變化。P3當(dāng)S盒的任一輸入位保持不變，其它5位輸入變化時(shí)(共有25=32種情況)，輸出數(shù)字中的0和1的總數(shù)近于相等。這三點(diǎn)使DES的S盒能夠?qū)崿F(xiàn)較好的混淆。2022/12/2316S盒的設(shè)計(jì)準(zhǔn)則迄今為止，有關(guān)方面未曾完全公S盒的組合問題:如何將幾個(gè)S盒組合起來構(gòu)成一個(gè)n值較大的組。

將幾個(gè)S盒的輸入端并行，并通過坐標(biāo)置換(P-盒)將各S盒輸出比特次序打亂，再送到下一級(jí)各S盒的輸入端，起到了Shannon所謂的“擴(kuò)散”作用。S盒提供非線性變換，將來自上一級(jí)不同的S盒的輸出進(jìn)行“混淆”。經(jīng)過P-盒的擴(kuò)散作用使1均勻地分散到整個(gè)輸出矢量中，從而保證了輸出密文統(tǒng)計(jì)上的均勻性，這就是Shannon的乘積密碼的作用。2022/12/2317S盒的組合問題:如何將幾個(gè)S盒組合起來構(gòu)成一個(gè)n值較大的組Feistel網(wǎng)絡(luò)

將nbit明文分成為左右各半、長為n/2bit的段，以L和R表示。然后進(jìn)行多輪迭代，其第i輪迭代的輸出為前輪輸出的函數(shù)

Li=Ri-1

Ri=Li-1f(Ri-1,Ki)式中，Ki是第i輪用的子密鑰，f是任意密碼輪函數(shù)。稱這種分組密碼算法為Feistel網(wǎng)絡(luò)（FeistelNetwork），它保證加密和解密可采用同一算法實(shí)施2022/12/2318Feistel網(wǎng)絡(luò)將nbit明文分成為左右各半、長迭代分組密碼若以一個(gè)簡單函數(shù)f，進(jìn)行多次迭代，就稱其為迭代密碼。每次迭代稱作一輪(Round)。相應(yīng)函數(shù)f稱作輪函數(shù)。每一輪輸出都是前一輪輸出的函數(shù)，即y(i)=f[y(i-1),k(i)]，其中k(i)是第i輪迭代用的子密鑰，由秘密密鑰k通過密鑰生成算法產(chǎn)生。

子密鑰產(chǎn)生器kk(1)k(2)k(r)y(0)=xy(1)y(2)y(r-1)y(r)=y2022/12/2319迭代分組密碼若以一個(gè)簡單函數(shù)f，進(jìn)行多次迭代，就稱其為迭代密對合密碼(InvolutionCipher)

加密函數(shù)f(x,k)，實(shí)現(xiàn)F2n×F2t

F2n的映射。其中，n是分組長，t是密鑰長。若對每個(gè)密鑰取值都有f[f(x,k)，k]=x，即f(x,k)2=I(恒等置換)則稱其為對合密碼，以fI表示。2022/12/2320對合密碼(InvolutionCipher)20I型迭代分組密碼以對合密碼函數(shù)構(gòu)造的多輪迭代分組密碼。E[x,k]=fI[fI[

fI[fI[x,k(1)]，k(2)]，k(r-1)]，k(r)]D[y,k]=fI[fI[

fI[fI[y,k(r)]，k(r-1)]，k(2)]，k(1)]

缺點(diǎn)：對任意偶數(shù)輪變換，若對所有i選擇k(2i-1)=k(2i)，則加密的變換等價(jià)于恒等變換，在實(shí)用中需要避免這類密鑰選擇。2022/12/2321I型迭代分組密碼以對合密碼函數(shù)構(gòu)造的多輪迭代分組密碼。202

對合置換和II型迭代分組密碼對合置換令P是對x的置換，即P：F2n

F2n

，若對所有xGF(2n)，有P[P[x]]=x，即PP=I(恒等置換)，以PI表示。II型迭代分組密碼每輪采用對合密碼函數(shù)和對合置換級(jí)連，即F[x,k]＝PI[fI[x,k]]并選解密子密鑰與加密子密鑰逆序，則加密解密可用同一器件完成。DES、FEAL和LOKI等都屬此類。2022/12/2322

對合置換和II型迭代分組密碼對合置換2022/12/202

III型迭代分組密碼群密碼：若密鑰與明文、密文取自同一空間GF(2n)，且y=xk式中，是群運(yùn)算，則稱其為群密碼。顯然x可通過k的逆元求得x=yk-1令xk為一群密碼，令fI(x,kB)為一對合密碼，以F[x,k]＝fI(xkA,kB)為迭代函數(shù)，可以III型多輪迭代分組密碼。在最后一輪中，另外加了一次群密碼運(yùn)算，用以保證整個(gè)加、解密的對合性。2022/12/2323

III型迭代分組密碼群密碼：若密鑰與明文、密文取自同一空III型迭代分組密碼輪函數(shù)F

F

y(1)y(r-1)(a)加密

x

fI···

fI

y

kA(1)kB(1)kA(r)kB(r)kA(r+1)F

F

y

fI···fI

x

(b)解密

kA(r+1))-1

kB(r)(kA(r))-1

kB(1)(kA)-1

2022/12/2324III型迭代分組密碼輪函數(shù)FIV型迭代分組密碼

在III型密碼的輪函數(shù)基礎(chǔ)上，再增加一個(gè)對合置換PI，構(gòu)成IV型迭代分組密碼的輪函數(shù)

F[x,k]＝PI[fI[xkA,kB]]2022/12/2325IV型迭代分組密碼在III型密碼的輪函

IV型迭代分組密碼輪函數(shù)Fy(1)y(r-1)

F

x

fIPI···

fI

PIPI

y

kA(1)kB(1)

kA(r)

kB(r)

kA(r+1)(a)加密

FF

y

fIPI···

fI

x

(b)解密(kA(r+1))-1kB(r)

PI[kA(r)]-1

PI[kA(2)]-1

kB(1)(kA(1))-1

2022/12/2326

IV型迭代分組密碼輪函數(shù)F第四章分組密碼一、分組密碼概述二、分組密碼運(yùn)行模式三、DES四、AES五、分組密碼的分析2022/12/2327第四章分組密碼一、分組密碼概述2022/12/201一、分組密碼概述2022/12/2328一、分組密碼概述2022/12/202分組密碼概述分組密碼是許多系統(tǒng)安全的一個(gè)重要組成部分?？捎糜跇?gòu)造擬隨機(jī)數(shù)生成器流密碼消息認(rèn)證碼(MAC)和雜湊函數(shù)消息認(rèn)證技術(shù)、數(shù)據(jù)完整性機(jī)構(gòu)、實(shí)體認(rèn)證協(xié)議以及單鑰數(shù)字簽字體制的核心組成部分。

2022/12/2329分組密碼概述分組密碼是許多系統(tǒng)安全的一個(gè)重要組成部分?？捎糜趹?yīng)用中對于分組碼的要求安全性運(yùn)行速度存儲(chǔ)量(程序的長度、數(shù)據(jù)分組長度、高速緩存大小)實(shí)現(xiàn)平臺(tái)(硬、軟件、芯片)運(yùn)行模式2022/12/2330應(yīng)用中對于分組碼的要求安全性2022/12/204分組密碼概述明文序列x1,x2,…,xi,…加密函數(shù)E:Vn×KVn

這種密碼實(shí)質(zhì)上是字長為m的數(shù)字序列的代換密碼。

解密算法加密算法密鑰k=(k0,k1,…,kt-1)密鑰k=(k0,k1,…,kt-1)明文x=(x0,x1,…,xm-1)明文x=(x0,x1,…,xm-1)密文x=(y0,y1,…,ym-1)2022/12/2331分組密碼概述明文序列x1,x2,…,xi,…解

分組密碼概述通常取n=m。若n>m，則為有數(shù)據(jù)擴(kuò)展的分組密碼。若n<m，則為有數(shù)據(jù)壓縮的分組密碼。2022/12/2332

分組密碼概述通常取n=m。2022/12/206分組密碼設(shè)計(jì)問題

分組密碼的設(shè)計(jì)問題在于找到一種算法，能在密鑰控制下從一個(gè)足夠大且足夠好的置換子集中，簡單而迅速地選出一個(gè)置換，用來對當(dāng)前輸入的明文的數(shù)字組進(jìn)行加密變換。2022/12/2333分組密碼設(shè)計(jì)問題分組密碼的設(shè)計(jì)問題在于找到分組密碼算法應(yīng)滿足的要求分組長度n要足夠大：防止明文窮舉攻擊法奏效。密鑰量要足夠大：盡可能消除弱密鑰并使所有密鑰同等地好，以防止密鑰窮舉攻擊奏效。由密鑰確定置換的算法要足夠復(fù)雜：充分實(shí)現(xiàn)明文與密鑰的擴(kuò)散和混淆，沒有簡單的關(guān)系可循，要能抗擊各種已知的攻擊。2022/12/2334分組密碼算法應(yīng)滿足的要求分組長度n要足夠大：2022/12/分組密碼算法應(yīng)滿足的要求加密和解密運(yùn)算簡單：

易于軟件和硬件高速實(shí)現(xiàn)。數(shù)據(jù)擴(kuò)展：

一般無數(shù)據(jù)擴(kuò)展，在采用同態(tài)置換和隨機(jī)化加密技術(shù)時(shí)可引入數(shù)據(jù)擴(kuò)展。差錯(cuò)傳播盡可能地小。

2022/12/2335分組密碼算法應(yīng)滿足的要求加密和解密運(yùn)算簡單：2022/12/代換網(wǎng)絡(luò)代換是輸入集A到輸出A’上的雙射變換：

fk：AA＇

式中，k是控制輸入變量，在密碼學(xué)中則為密鑰。實(shí)現(xiàn)代換fk的網(wǎng)絡(luò)稱作代換網(wǎng)絡(luò)。雙射條件保證在給定k下可從密文惟一地恢復(fù)出原明文。2022/12/2336代換網(wǎng)絡(luò)代換是輸入集A到輸出A’上的雙射變換：2022/12代換網(wǎng)絡(luò)代換fk的集合：

S={fkkK}K是密鑰空間。如果網(wǎng)絡(luò)可以實(shí)現(xiàn)所有可能的2n!個(gè)代換，則稱其為全代換網(wǎng)絡(luò)。全代換網(wǎng)絡(luò)密鑰個(gè)數(shù)必須滿足條件：＃{k}2n!2022/12/2337代換網(wǎng)絡(luò)代換fk的集合：2022/12/2011代換網(wǎng)絡(luò)密碼設(shè)計(jì)中需要先定義代換集S，而后還需定義解密變換集，即逆代換網(wǎng)絡(luò)S-1，它以密文y作為輸入矢量，其輸出為恢復(fù)的明文矢量x。要實(shí)現(xiàn)全代換網(wǎng)絡(luò)并不容易。因此實(shí)用中常常利用一些簡單的基本代換，通過組合實(shí)現(xiàn)較復(fù)雜的、元素個(gè)數(shù)較多的代換集。實(shí)用密碼體制的集合S中的元素個(gè)數(shù)都遠(yuǎn)小于2n!。2022/12/2338代換網(wǎng)絡(luò)密碼設(shè)計(jì)中需要先定義代換集S，而后還需定義解密變換集代換盒(S盒)在密碼設(shè)計(jì)中，可選n=rn0，其中r和n0都為正整數(shù)，將設(shè)計(jì)n個(gè)變量的代換網(wǎng)絡(luò)化為設(shè)計(jì)r個(gè)較小的子代換網(wǎng)絡(luò)，而每個(gè)子代換網(wǎng)絡(luò)只有n0個(gè)輸入變量。稱每個(gè)子代換網(wǎng)絡(luò)為代換盒(SubstitutionBox)

S盒x5

x4

x3

x2

x1

x0y3

y2

y1

y0DES的S盒2022/12/2339代換盒(S盒)在密碼設(shè)計(jì)中，可選n=rDES的S1-盒的輸入和輸出關(guān)系x5x0x5x4x3x2x1x010101100列號(hào)0123456789101112131415行號(hào)01441312151183106125907101574142131106121195382411481362111512973105031512824917511214100613

(y3

,

y2,

y1

,y0)=(0,0,1,0)2022/12/2340DES的S1-盒的輸入和輸出關(guān)系x5x0擴(kuò)散和混淆擴(kuò)散將明文的統(tǒng)計(jì)特性散布到密文中。實(shí)現(xiàn)的方式是使明文的每一位影響密文中多位的值。2022/12/2341擴(kuò)散和混淆擴(kuò)散將明文的統(tǒng)計(jì)特性散布到密文中。實(shí)現(xiàn)的方式是使明S盒的設(shè)計(jì)準(zhǔn)則迄今為止，有關(guān)方面未曾完全公開有關(guān)DES的S盒的設(shè)計(jì)準(zhǔn)則。Branstead等曾披露過下述準(zhǔn)則：P1S盒的輸出都不是其輸入的線性或仿射函數(shù)。P2改變S盒的一個(gè)輸入比特，其輸出至少有兩比特產(chǎn)生變化，即近一半產(chǎn)生變化。P3當(dāng)S盒的任一輸入位保持不變，其它5位輸入變化時(shí)(共有25=32種情況)，輸出數(shù)字中的0和1的總數(shù)近于相等。這三點(diǎn)使DES的S盒能夠?qū)崿F(xiàn)較好的混淆。2022/12/2342S盒的設(shè)計(jì)準(zhǔn)則迄今為止，有關(guān)方面未曾完全公S盒的組合問題:如何將幾個(gè)S盒組合起來構(gòu)成一個(gè)n值較大的組。

將幾個(gè)S盒的輸入端并行，并通過坐標(biāo)置換(P-盒)將各S盒輸出比特次序打亂，再送到下一級(jí)各S盒的輸入端，起到了Shannon所謂的“擴(kuò)散”作用。S盒提供非線性變換，將來自上一級(jí)不同的S盒的輸出進(jìn)行“混淆”。經(jīng)過P-盒的擴(kuò)散作用使1均勻地分散到整個(gè)輸出矢量中，從而保證了輸出密文統(tǒng)計(jì)上的均勻性，這就是Shannon的乘積密碼的作用。2022/12/2343S盒的組合問題:如何將幾個(gè)S盒組合起來構(gòu)成一個(gè)n值較大的組Feistel網(wǎng)絡(luò)

將nbit明文分成為左右各半、長為n/2bit的段，以L和R表示。然后進(jìn)行多輪迭代，其第i輪迭代的輸出為前輪輸出的函數(shù)

Li=Ri-1

Ri=Li-1f(Ri-1,Ki)式中，Ki是第i輪用的子密鑰，f是任意密碼輪函數(shù)。稱這種分組密碼算法為Feistel網(wǎng)絡(luò)（FeistelNetwork），它保證加密和解密可采用同一算法實(shí)施2022/12/2344Feistel網(wǎng)絡(luò)將nbit明文分成為左右各半、長迭代分組密碼若以一個(gè)簡單函數(shù)f，進(jìn)行多次迭代，就稱其為迭代密碼。每次迭代稱作一輪(Round)。相應(yīng)函數(shù)f稱作輪函數(shù)。每一輪輸出都是前一輪輸出的函數(shù)，即y(i)=f[y(i-1),k(i)]，其中k(i)是第i輪迭代用的子密鑰，由秘密密鑰k通過密鑰生成算法產(chǎn)生。

子密鑰產(chǎn)生器kk(1)k(2)k(r)y(0)=xy(1)y(2)y(r-1)y(r)=y2022/12/2345迭代分組密碼若以一個(gè)簡單函數(shù)f，進(jìn)行多次迭代，就稱其為迭代密對合密碼(InvolutionCipher)

加密函數(shù)f(x,k)，實(shí)現(xiàn)F2n×F2t

F2n的映射。其中，n是分組長，t是密鑰長。若對每個(gè)密鑰取值都有f[f(x,k)，k]=x，即f(x,k)2=I(恒等置換)則稱其為對合密碼，以fI表示。2022/12/2346對合密碼(InvolutionCipher)20I型迭代分組密碼以對合密碼函數(shù)構(gòu)造的多輪迭代分組密碼。E[x,k]=fI[fI[

fI[fI[x,k(1)]，k(2)]，k(r-1)]，k(r)]D[y,k]=fI[fI[

fI[fI[y,k(r)]，k(r-1)]，k(2)]，k(1)]

缺點(diǎn)：對任意偶數(shù)輪變換，若對所有i選擇k(2i-1)=k(2i)，則加密的變換等價(jià)于恒等變換，在實(shí)用中需要避免這類密鑰選擇。2022/12/2347I型迭代分組密碼以對合密碼函數(shù)構(gòu)造的多輪迭代分組密碼。202

對合置換和II型迭代分組密碼對合置換令P是對x的置換，即P：F2n

F2n

，若對所有xGF(2n)，有P[P[x]]=x，即PP=I(恒等置換)，以PI表示。II型迭代分組密碼每輪采用對合密碼函數(shù)和對合置換級(jí)連，即F[x,k]＝PI[fI[x,k]]并選解密子密鑰與加密子密鑰逆序，則加密解密可用同一器件完成。DES、FEAL和LOKI等都屬此類。2022/12/2348

對合置換和II型迭代分組密碼對合置換2022/12/202

III型迭代分組密碼群密碼：若密鑰與明文、密文取自同一空間GF(2n)，且y=xk式中，是群運(yùn)算，則稱其為群密碼。顯然x可通過k的逆元求得x=yk-1令xk為一群密碼，令fI(x,kB)為一對合密碼，以F[x,k]＝fI(xkA,kB)為迭代函數(shù)，可以III型多輪迭代分組密碼。在最后一輪中，另外加了一次群密碼運(yùn)算，用以保證整個(gè)加、解密的對合性。2022/12/2349

III型迭代分組密碼群密碼：若密鑰與明文、密文取自同一空III型迭代分組密碼輪函數(shù)F

F

y(1)y(r-1)(a)加密

x

fI···

fI

y

kA(1)kB(1)kA(r)kB(r)kA(r+1)F