Описание SAFER K-64

Блок открытого текста делится на восемь байтовых подблоков: B₁, B₂, . . . , B₇, B₈. Затем подблоки обрабатываются в ходе r этапов. Наконец подблоки подвергаются заключительному преобразованию. На каждом этапе используется два подключа: K_2r-1 и K_2r.

На Рис. 14-4 показан один этап SAFER K-64. Сначала над подблоками выполняется либо операция XOR, либо сложени с байтами подключа K_2r-1. Затем восемь подблоков подвергаются одному из двух нелинейных преобразований:

y = 45^x mod 257. (Если x = 0, то y = 0.)

y = log₄₅ x. (Если x = 0, то y = 0.)

Рис. 14-4. Один этап SAFER.

Это операции в конечном поле GF(257), а 45 - элемент поля, являющийся примитивом. В реализациях SAFER K-64 быстрее выполнять поиск в таблице, чем все время рассчитывать новые результаты.

Затем подблоки либо подвергаются XOR, либо складываются с байтами подключа K_2r. Результат этого действия проходит через три уровня линейных операций, целью которых является увеличение лавинного эффекта. Каждая операция называется псевдоадамаровым преобразованием (Pseudo-Hadamard Transform, PHT). Если на входе PHT a₁ и a₂, то на выходе:

b₁ = (2a₁ + a₂) mod 256

b₂ = (a₁ + a₂) mod 256

После r этапов выполняется заключительное преобразование. Оно совпадает с преобразованием, являющимся первым действием каждого этапа. Над B₁, B₄, B₅ и B₈ выполняется XOR с соответствующими байтами последнего подключа, а B₂, B₃, B₆ и B₇ складываются с соответствующими байтами последнего подключа. В результате и получается шифротекст.

Дешифрирование представляет собой обратный процесс: сначала заключительное преобразование (с вычитанием вместо сложения), затем r инвертированных этапов. Обратное PHT (Inverse PHT, IPHT) - это:

a₁ = (b₁ - b₂) mod 256

a₂ = (-b₁ + 2b₂) mod 256

Массей рекомендует использовать 6 этапов, но для большей безопасности количество этапов можно увеличить.

Генерировать подключи совсем не трудно. Первый подключ, K₁, - это просто ключ пользователя. Последующие ключи генерируются в соответствии со следующей процедурой:

K_i+1 = (K_i <<<3i) + c_i

Символ "<<<" обозначает циклический сдвиг налево. Сдвиг выполняется побайтно, а c_i является константой этапа. Если c_ij - это j-ый байт константы i-го этапа, то можно рассчитать все константы этапов по следующей формуле

c_ij = 45^{45^((9i+j) mod 256) mod 257} mod 257

Обычно эти значения хранятся в таблице.

SAFER K-128

Этот альтернативный способ использования ключа был разработан Министерством внутренних дел Сингапура, а затем был встроен Массеем в SAFER [1010]. В этом способе используются два ключа, K_a и K_b, по 64 бита каждый. Прием состоит в том, чтобы генерировать параллельно две последовательности подключей, а затем чередовать подключи из каждой последовательности. Это означает, что при выборе K_a = K_b 128-битовый ключ совместим с 64-битовым ключом K_a.