TW527811B - Substitution-box for symmetric-key ciphers - Google Patents

Description

527811 A7 B7 五 、發明説明（1 ) 本發明關於使用基於一排列集合之替換盒（S盒）形式之非 線性運算將一輸入資料區塊密碼性地轉換成一種輸出區 塊。 在數位語音及/或視訊複製權利保護領域之密碼方式的 應用正逐漸變得重要。這些應用包含内容加密/解密及存 取管理功能。熟知的區塊密碼DES(資料加密標準）可用於 此等應用。DES爲一由十六回合所組成的費斯鐵耳（Feistel) 密碼。在每一 $合中，首先將資料右半段的32個位元延展 成48個位元。其次，將一 48位元回合鍵以位元對的方式模 數二（modulo two)加至這48個位元，其中該48位元回合鍵 係以一時程演算法（scheduling algorithm)由一 56位元DES键 計算出來的。接著一 S盒層於資料上執行一非線性運算。 在DES中，該S盒層由八個平行的六位元至四位元S盒所組 成，亦即每一個S盒用一按照S盒之固定式對照表將一 6位 元輸入區塊轉換成一 4位元輸出區塊。S盒層的輸出爲一32 位元資料區塊，其中一位元排列係於該3 2位元資料區塊上 執行。S盒替換在DES中是唯一的非線性運算並具有高度 安全性。一 DES的缺點爲其56位元的鍵尺寸太小了，56位 元的鍵尺寸對當前提供高安全性的要求來説是不夠的。然 而，可藉由使用一較長的鍵並結合一用於計算十六個48位 元回合鍵之不同键時程演算法以避免徹底的鍵搜尋。這兩 個公佈之公開文獻中對DES最具效力的衝擊在於差異性和 線性密碼分析，該密碼分析係可應用於廣泛之區塊密碼範 圍之一般衝擊。已表示DES無法藉由修改鍵長度及/或鍵時 -4 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐) 527811 A7 B7 五、發明説明（2 程演算法對柷這些衝擊而大幅加強。然而，演算法之回合 函數（例如S盒）中的變化會相當大地影響對抗這些衝擊的強 度0 本發明之一目的在於設計一具有優良密碼特性之s盒。 本發月之另一目的在於以硬體和軟體有效地實現此等s盒 以廣;之用於消費性電子應用中。 —爲了達到本發明之目的，s盒之排列係動態地選自一預 疋之排列集合'集合中的每一個排列最好予以選擇以提供 '十k已♦衝擊之最佳阻抗，特別是差異性和線性密碼分 析。藉由（假）隨機地選擇此等排列，本系統在密碼性上可 作得比每_個s盒皆僅由—固定式排列户斤组成的系統還 強。自一集合之排列選擇可執行得快且具成本效益。 如從屬申請專利範圍第2項之量測所界定，以及從屬号 請專利範圍第3項和第6項所進一步詳述，一排列中的密避 性弱度係由集合中至少另一排列之對應強度所補償。此承 度係’例如’反映於-具有預定最大機率之非瑣細差異七 及/或線性特性。此方法之—優點在於敵方無法靠這些半 性以一差異性或線性衝擊爲基礎而不假設（此等）未知的（E 合）鍵。

裝 訂

弱度可完全 如從屬申請專利範圍第4項之量測所界定 得到補償。 如從屬巾請專利範m第1G項之量測所界定，排列之選擇 最好在-回合鍵的控制之下予以執行。可選擇產生此等回 合鍵之演算法(亦即鍵時程演算法)以得到一預期之假隨機

527811

度。將回合鍵用认 J於選擇之優點在於排列係於此等回合鍵計 算期間選自集人。^ ϋ 馬了效率，每一鍵及所有必須用此键予 以處理（例如加密）的資料通常並且最好做-次。依此方 法，加密/解宓、、会赞 在濟鼻法的效率可如同一基於s盒的系統，其 中母良個s盒僅由—固定式排列所組成。 、這二及其L觀點將參照以圖示所表示的具體實 施例而明顯並予以詳述。 圖1表示含有、料性運算之一回合密碼； 圖2描述回合函數的步壞；以及 圖3提供回合函數之S盒層的細節。 裝 1了解釋本發明之目的，密碼性系統係説明成—電子編 式使用本系統。^言此招· 4 —人 二杈式匕έ用於DES運算之標準pips模 訂 ί授(ΓβΓλ書連鎖（CBC)，運算之密碼迴授（咖）和輸出 /:( B)杈式。另外’本系統亦可用於熟知的假隨機數 構、訊息認證編碼（MACS)架構和操作㈣編瑪 二㈣裝置包含一用於取得數位輸入區塊的輸入端。數 位輸入區塊Μ可具有任何合適的尺寸。此裝置進—步包含 ::於：ί位輸入區塊轉換成一數位輸出區塊的密碼性處 相：2Γ 位輸出區塊本質上具有與數位輸入區塊 :寺^長度:此裝置包含一用於輸出數位輸出區塊的輸出 實施例中，密碼性處理器將數位輸入區 鬼轉換成數位輸出區塊，其方法爲藉由合併數位輸入區塊 -6 -

527811 A7 B7 五 、發明説明（ 4 ，鍵位元，產生非線性取決於輸入區塊和鍵之輸出區塊。 馬了取得鍵（或一提供鍵時程器（scheduler)之原始鍵），密 碼性裝置包含一第二輸入端。將鑑知密碼性裝置可用一傳 統，腦，如個人電腦（PC)，或用一專用加密/解密元件予 以貫現。數位輸入區塊可以各種方式予以取得，如經由— 通訊網路自一資料儲存媒體予以取得或直接由使用者送 入，該資料儲存媒體如一硬碟或軟碟。類似地，輸位輸出 區塊可以各種为；式予以輸出，如經由一通訊網路儲存於— 貧料儲存媒體或顯示予使用者。較佳地，安全構件係用於 此目的。密碼性處理器可爲一傳統處理器，#料個人電 ，的處理器，但亦可爲一專用之密碼性處理器。處理器： 一合適之程式（靱體）的控制下運作以根據本發明執行 演算法的步驟。電腦程式產品往往自一背景儲存予以載 入，如一硬碟或ROM(唯讀記憶體）。電腦程式產σ可在一 儲存媒體（如CD-ROM)上或、經由一網路（如公用網際^路 =分佈之後儲存於背景媒體上。機密性資訊，如加㈣y 取好以-安全万式予以分佈及儲存。此等技術—般係已知 且不再進-步説明。密碼性裝置可部分或全部實現於一知 慧卡上。 、曰 由密碼性處理器所執行之根據本發明之❻之非線 异將以-區塊密碼中回合函數f之形式作爲—範例性應用 予:説明、。於此應用’本行人士亦能在其它密碼性系=及 其它有別於底下詳述之密碼中使用非線性函數。 符號和定義：

裝 訂

527811 五、發明説明（ A7 B7

底下的符號係用於説明範例性演算法。設定爲所有長 度爲n(n - 1)之二元向量之集合帶有加法㊉：z/ χ z Z/，係界定成一座標方式加法模數2(亦視爲一互斥或，或 XOR)。例如，（1，〇，1，〇)和的元素且，…㊉ (0，1，1，0) = (1，1，0,0)。若 η爲偶數且 xe z2n(x 屬於 z2n)，則 x(L)e Z/2及x(R)e Z//2分別定義爲x之左半段及和右半段。 例如，若 \=(1，0，1，1，0,0，1，0)€228，則/1〇=(1，0，1，1^224及 x(R) = (0,0，l，0)e^24。符號II係用於標示向量之接續，例如 χ=(χα) II x(R))。向量的元素（亦稱爲位元係由左至右 標號爲 0 至 n-1，亦即 χ=: (χ〇，Χι，χ2，···，Xn l)。内積· ： χ Z2n— Z2係定義爲 X · y=2 i=〇1，，卜lXiYie Z2，其中 x，ye Z2„。 區塊密碼架構： 範例性區塊密碼係一種費斯鐵耳密碼並由十六回合（如 DES)所組成。區塊長度等於64個位元且鍵長度等於128個 位元。於鍵ΚεΖ/28裡單純文字XeZ2“以電子編碼書（EcB) 模式中的加名、轉換成其密碼文字Ce z264係椟示爲 C=E(K，X)〇 回合函數係標示爲f並爲一由Z24()χZ232至Z232 的映射。回 合函數含有本發明之非線性s盒且將於底下予以更爲詳細 地説明。回合函數的第一個輸入引數爲回合鍵ΚβΖ/ο(其 中1代表回合數目’ i=l，2，···，16)。這些回合鍵係用所謂的 鍵時程演算法自128位元鍵κ予以計算。可使用任何合適的 鍵時程演算法且不予以詳細説明。第二輸入引數爲回合i 之後中間結果的右半段。此中間結果係標示爲 本紙張尺度適用中國國豕標準(CNS) A4規格(210X297公釐)

裝 訂 線

5278li A7 B7 五、發明説明（6 ΧθΖ264(ί = 0，1，···，16)，其中 X=:(X〇W || x〇(L))。 用此符號’密碼文字c e z/4的計算由底下步驟組成，如 圖1所描述： 1 ·計算 χΡ)=ΧΜα) φ i(Ki，Xi-iw)並設定 xi(L)=Xi i(R)，其 中卜1，2，_" ·，15 〇 2 ·計算 ㊉ i(Ki6，Xi5(R))並設定 xi6(R)=Xi5(R)。 密碼文字係定義成C·· =(X16(L)丨丨X16(R))。 圖1A表不肸衿第一個十五回合（i=1，2，...，15)的密碼架 構圖1B表示最後一個回合，第十六回合。注意圖iB中 與先削圖1A之回合作比較時的不規則交換。這通常是在 費斯鐵耳架構中完成的，因爲在此案例中，解密演算法 (亦即4算X-E (K，C))與加密演算法（具有相反順序的回合 鍵）是相同的。在一密碼性概念中是沒有意義的。 回合函數： 圖2表示回合函數f之較佳具體實施例之全部方塊圖。首 先’一邵分例如32位元的回合鍵於步驟21 〇中加至此等資 料位元。其次，在步驟22〇中，此等s盒執行一非線性替 換，最好對於差異性及線性密碼分析提供一最佳化（本地） 阻抗。另外，具有一預定最大機率的非瑣細（本地）特性最 好做得不受（回合）鍵所影響，如底下更爲詳細的説明。最 後’在步驟2 3 0中’一線性轉換係用於於多重回合上提供 一咼擴散。可使用任何適當的線性轉換。線性轉換不是本 發明之課題且將不予以詳細説明。 費斯鐵耳架構未於回合函數之超射（surjectivity)上施加限

裝 訂 線

-. -9 - 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐) 527811 A7 ___ B7 五、發明説明（7~^ 制。然而，回合函數對每一個固定式（回合）鍵的選擇最好 爲雙射性（bijective)。此避免了以回合函數之非均句=^ 基礎的衝擊。 ’馬 圖3提供更多較佳列置的細節，該較佳列置包含根據本 發明之s盒。在範例性系統中，回合函數f係由X乙32映 射至Zz32。第一輸入引數爲回合鍵尺斤心⑽，第二輸入爲中 間結果ΧΜ之右半段。輸出係標示爲f(Ki，432 :在 此圖中，Ki(^z2n且心⑺…係定義爲Ki=:(2Ki(;)丨丨 Ki(2))。在步驟210中進行加法，在步驟22〇中使用從屬替換 盒（S盒）層之後爲一键。在此實施例中，§盒層由八個較小 的S盒（So’S^S2,…，S7)組成，每一個3盒運算於資料區塊的 1/8上。此S盒轉換爲一由心^冗严至心32的映射，回合绅 的第一輸入引數爲回合鍵Ki(2)，第二輸入引數爲鍵加法之 結果，亦即⑻㊉Ki⑴。S盒轉換的32位元輸出係標示爲 3(!^2)，&.严)_⑴）。底下將提供此映射的詳細説明。最 後，在步驟230中，實施一由匕^至心32的適當線性轉換。 輸入爲S(Kl⑺，χΝι(κ)ΘΚί⑴），其輸出係標示爲L(s(Ki⑺，Ur) ㊉1(1)))。用此符號，函數/係提供爲： /(Ki，xM(R))= ι^(κ/2)，χμ(κ)㊉ Kim))。 S盒： 根據本發明，一 S盒執行一資料替換。在一此處所説明 的較佳具體實施例中，S盒於4位元副區塊上運算。將鑑知 亦可使用其它尺寸的副區塊。根據本發明，一具有至少兩 預足排列的集合係用於每一個S盒，其中在每次使用s盒之 _ -10- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 527811 A7 B7

前，這些排列之一係以（假）隨機方式予以選擇。回合鍵最 好用於此選擇。在一較佳具體實施例中，每一個§盒係與 兩排列聯結，其中一回合.鍵之預定位元係用於選擇：用_ 排列中的那-個。使用較小的8盒，如運算於4位元副區塊 上的S盒，通常需要—列平行技，纟中每_個8盒皆與具 有至少兩非線性排列之相關集合聯結。在一運算於U位元 區塊上並使用4位元S盒之區塊密碼之較佳具體實施例中= 八個S盒係平行、像用，其中每一個s盒皆由兩排列所組成。 隨後的符號係用於此具體實施例。使此等§盒轉換之第一 輸入引數1(2)中的位元標示爲(卜u，…，7)，亦即 &(2)=: (k。⑴，k/)，·.·义⑴）。此等向量 N/l)€ z/(卜〇山^ ^^^ΧΜ^ΘΚ^)=：(Ν〇ω || Nl^) II ... II N?(i))o 由連續八個映射組成Sj: Ζ2 χ Ζ24— Ζ24ϋ==(Μ，…，7)。第一輸 入引數爲鍵位元kj⑴，其選擇兩排列中那一個要用於\。 第二輸入引數爲N〗⑴，其係Sj所選擇之4位元排列之輸/。 此排列之對應的4位元輸出亦爲S盒的輸出，並標示爲 Sj(kj(1)，Nj(1))。以此符號，函數s係給定爲： ⑴，νΛ 一排列的差異性及線性特性： 底下的設計準則最好用於個別的排列： 1 ·相對於差異性舍碼分析的阻抗：XQR分佈表中的最大 非瑣細値等於一預定的最大値。假設4位元排列最大値爲 4，亦即每一個非瑣細差異性特性具有至多爲χ的機率。差 異性特性和XOR分佈表的概念一般係已知的。比漢（Biham) -11- 本紙張尺度適用中國國家標準(CNS) A4規格(210X297公釐)

裝 訂 線

527811 A7 B7 五、發明説明（9 ) 和夏莫耳（Shamir)已於1990年予以第一次公開説明，例如 1991年第4(1)版密碼術期刊中的’’DES屬類之密碼系統的差 異性密碼分析，’（Differential Cryptoanalysis of DES-Like Cryptosystems)’’ 第 3 至 72 頁。 2 ·相對於線性密碼分析的阻抗：線性近似表中的最大非 瑣細絕對値等於一預定的最大値。假設4位元排列，最大 値爲4，亦即每一個非瑣細線性特性具有一介於％與％之間 的機率。線性啤性和線性近似表的概念一般係已知的。松 井（Matsui)已第一次予以公開説明。一説明係提供於1995 年E·比漢（E.Biham)之，•松井之線性密碼分析（On Matsui· s Linear Cryptoanalysis)’’，EUROCRYPT’94，LNCS 950，跳躍 者（Springer)第 341 至 355 頁。 每一個排列最好符合這兩個條件。已就4位元非線性排 列對上述準則詳細説明。可保證這些準則對4位元排列是 最佳的，亦即最大非瑣細X0R分佈表數値小於4的4位元排 列是不存在，且線性近似表中之最大非瑣細絕對値小於4 的4位元排列亦不存在。 符合上述準則的排列可藉由隨機產生一排列並測試所產 生的排列是否符合準則而予以產生。亦可使用其它適當的 技術’如徹底搜尋直到找到一適當的排列或使用（數學）架 構方法。一架構方法之特別實施例係基於具有2n元素之有 限領域中的反向映射，其中零係映射至架構本身，且可在 1994年K·奈柏格（K.Nyberg)”用於密碼之差異性均勻映射 (Differentially uniform mappings for cryptography)"， _ 1 2 _ 本紙張尺度適用中國國家襟準(CNS) A4規格(21〇x 297公釐) 527811 A7 B7 五、發明説明 10

EUR〇CRYPT，93，LNCS 765，跳躍者第55至64頁。根據本 方法建構的η位元S盒所滿足的對應準則，其中n爲偶數， 係由底下提供： 1 ·相對於差異性密碼分析的阻抗·· XOR分佈表中的最大 非瑣細値等於4，亦即每一個非瑣細差異性特性具有至多 爲4/2η的機率。 2 ·相對於線性密碼分析的阻抗：線性近似表中的最大·非 瑣細絕對値等埒2η/2，亦即每一個非瑣細線性特性具有介 於ι/2-1/2η/2與1/2+ 1/2 η/2之間的機率。 輕易地看到這些準則歸納了上述對4位元排列所提供 者。熟知於一 η位元S盒之所有輸出元素及/或所有輸入元 素上施加任何可反轉的仿射性映射（於Ζ/上）不影響其線性 近似表中的最大非瑣細XOR値或最大非瑣細絕對値。依此 方式，許多滿足上述準則的S盒可自一單一 S盒予以建構。 根據本發明，一 S盒係聯結至少兩非線性排列。已選擇 此等集合中的排列而使得此等排列互相補償弱度。將分別 對差異性和線性特性作更詳細的説明。將用一 S盒描述額 外的準則，例如具有兩排列的So : 1, (I) N〇W 丨 k〇u 0 1 2 3 4 5 6 7 8 9 a b c d e f U 1 b 7 5 9 1 8 3 e 4 d 0 a f c 2 6 1 7 0 8 f 9 b a c 1 3 4 5 e 6 2 d __ -13- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐) 527811 A7 _B7 _ ___ 五、發明説明（11 ) 列0和列1代表兩排列的輸出，對應於襴號所界定的輸 入。在底下的説明中，這兩個排列將分別標示爲P〇和Pi。 輸入和輸出兩者皆以十六進位表示。例如，若選擇第一排 列（亦即k〇(1)=0)，且N〇⑴=3則輸出等於9，亦即s0(0,3)=9。 類似地，S〇(l，3)=f。假設八個平行的s盒，其中每一個S盒 係與該S盒特有的兩個排列聯結，總共需要產生16個不同 的排列。那些排列中的每一個最好皆符合所有上述所給定 的準則。根據、夺發明，此等屬於一 S盒之排列，如一集 合，亦符合底下所給定的準則中至少一個，最好是兩個準 則皆符合。 一排列集合之差異性特性： 用於一 S盒之排列集合滿足底下準則： 若一此等排列其之一中的非鎖細差異性特性具有最大的 機率’則此差異性特性在其它排列之至少一個中具有一較 低的機率。 將鑑知依此方式，此等排列之一中的弱度係由其它排列 之一中的強度予以補償。較低的機率最好爲零，最理想的 是補償一弱度。因此，此用於一S盒之一對4位元排列之較 佳準則爲：若兩排列之一中的非鎖細差異特性具有機率 X，此差異性特性在其它排列中具有機率〇，亦即_s盒之 每一個受控於非鎖細（回合）鍵的差異性特性具有至多 的機率。 爲了描述兩個所敘述之排列PQ* Ρι符合此準則，此等排 列之XOR分佈表係於底下予以给定。PiU〇R分佈表中列 -14-

527811 A7 B7 五、發明説明（12 ) α和欄/?的輸入Z24)係標示爲Xi"，〃並定義爲：

Xi ’ ·· =# { Xg Z]4 | Pi(x)㊉ Pi(x㊉以）=冷}，i=〇，1。 亦即XiJ等於具有差値α之輸入對的數目，其導致對應 於排列P i之輸出對中的差値/?。 P〇之XOR分佈表 1 - ： a 0 1 2 3 4 5 6 7 8 P a b c d e f 0 16 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 2 2 0 0 0 0 4 2 0 4 2 0 0 2 0 0 2 0 2 0 2 2 0 0 2 0 0 2 4 3 0 0 4 0 0 0 0 0 0 2 0 2 0 2 4 2 4 0 2 2 0 0 0 2 2 0 0 2 2 2 0 0 2 5 0 0 2 2 0 0 4 0 4 0 2 2 0 0 0 0 6 0 2 0 0 2 0 4 0 2 2 0 2 0 0 0 2 7 0 0 2 0 2 4 0 0 2 0 0 0 2 2 0 2 8 0 2 0 2 2 2 0 0 2 0 2 0 0 0 2 2 9 0 0 0 2 0 2 2 2 0 2 0 0 2 2 0 2 a 0 2 2 2 2 0 0 0 0 0 0 2 2 2 2 0 b 0 4 0 0 0 0 0 4 2 0 2 0 0 2 0 2 c 7 0 0 0 2 4 4 0 2 0 0 0 2 0 0 0 2 a 0 0 0 2 0 0 0 2 2 2 0 2 4 0 2 0 e 0 4 2 2 0 2 0 2 0 2 2 0 0 0 0 0 f 0 0 0 0 0 2 2 0 2 2 2 2 0 2 2 0 β疋之（本地）差異性特性之機率，亦即一輸入差値沈 導致—輸出差値万（標示爲“—以的機率，可將對應之輸入 ^張尺錢财肖肖轉準(CNS) ----- 527811 A7

527811 A7 — ___ B7 __ 五、發明説明（14 ) 補償效應可，例如，對於兩排列考慮其特性7— 5而看 出。對於P〇而言7 — 5的機率等於xG7,5/16=%，對於pi而言 此機率爲X:5/16=0。補償最好對愈多元素發生愈好。在 此實施例中，這保持了所有最大x〇r差値爲四的元素。使 用產生並測試排列之熟知技術，本行人士可於短期内對4 位元排列產生八個此等排列對。或者，一滿足準則的不同 排列對P〇和P〗可藉由例如在這些排列中兩者的輸出上施 加一仿射性轉裱而自pQ和匕予以建構。這可藉由選擇一 & 上的非獨一性4 X 4矩陣A和一向量be Z24並對所有xe Z24定 義 P〇 (x):=P0(x)A ㊉ b和 P1*(x):=p1(x)A0b 而完成。可輕易 驗證，依此方式可建構32256〇個不同之（順序性）排列對， 其中每一個排列對皆滿足所有上述準則。注意這些轉換之 係來自Z2 — Z24之同一性映射，亦即p〇*=p〇且Ρι*=ρ^。 一排列集合之線性特性： 一用於S盒之排列集合滿足底下準則： 若一此等排列之一中.的非瑣細線性特性具有一機率，其 中孩機率具有一來自X之最大絕對差値，則此線性特性在 至少一其它排列中具有一接近X的機率。 、將鑑知依此方式，此等列之一中的弱度係藉由其它排列 〈中的強度予以補償。此等其它排列之一中相對應的機 率最好等於X，最理想的是補償一弱度。因此，一對用於 一 S盒之4位元排列之較佳準則爲：若兩個排列之一中的線 性特性具有機率X或X，則此線性特性在其它排列中具有 機率％，亦即一S盒中每一個受線性特性控制的（回合）鍵具 -17- 527811 A7 ______B7 一 五、發明説明（15 ) 有一介於3/8與5/8之間的機率。 爲了描述兩述及的排列pG和p i符合此準則，其線性近似 表係於底下給定。Pi之線性近似表中列α和攔的輸入（沈， e Ζ24)係標示爲Li" j並定義爲：

Li" ^ : =# { xg Z24 | X · ^ =Pi(x) · } - 8,㈣，1。 亦即，對於排列Pi，代表輸入的數目，其中σ所界 定之輸入位元上的線性關係等於0所界定之對應輪出位元 上的線性關係%減8，其爲4位元排列的理想數目（更一般 地，η位元排列的理想値爲2η-1)。 Ρ〇之線性近似表 —β ia 0 1 2 3 4 5 6 7 8 9 a b c d e f 0 8 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 -2 0 2 2 0 2 0 4 2 4 2 2 0 -2 0 2 0 -2 2 4 -2 0 0 -2 -2 0 0 -2 0 -2 2 -4 3 0 0 -2 -2 0 -4 2 -2 -2 2 4 0 -2 -T 0 4 0 -2 2 0 0 2 -2 0 0 2 2 4 -4 2 2 0 5 0 4 2 2 -2 -2 0 4 0 0 2 -2 -2 0 0 6 0 0 -4 0 -2 -2 -2 2 2 2 -2 2 0 0 0 -4 7 0 2 0 2 4 -2 -4 -2 -2 0 -2 0 -2 0 -2 0 8 0 -4 0 0 2 •2 2 2 0 -4 0 0 -2 2、 — ~ •1 9 0 -2 0 -2 0 •2 -4 2 0 -2 0 -2 0 -2 4 2 A 0 2 •2 0 4 2 2 0 2 0 0 -2 -2 0〜 ^ 了 B 0 0 2 -2 2 -2 0 0 •2 2 0 0 4 L， 4 ^~-— T- 了 C 0 -2 -2 0 -2 0 0 -2 0 2 -2 -4 -2 4 0 2 D 0 0 -2 •2 0 4 -2 2 -4 0 2 -2 0 0 -2 -2 E 0 0 -4 4 0 0 0 0 -2 -2 2 2 2 -—^ 2 2 F 0 -2 0 2 2 0 2 4 -2 4 -2 0 0 •2 0 2 -1 8 - 本紙張尺度適用中國國家標準(CNS) Α4規格(210X 297公釐) ------ 527811

五、發明説明（16 ) 一給定（本地）線性特性之機率，亦即α所界定之輸入位 元上的線性關係等於Θ所界定之輸出位元上之線性關係 (標示爲π —々）的機率，等於Lia，〃/i6。注意這些表之 第一列及欄中的輸入代表瑣細特性，亦即0 — 〇的機率爲 一，這對任何映射皆如此。輕易地看出所有其它（非磧細) 差異性特性的機率皆介於X與X之間，因爲對 有其它輸入之取小和最大値分別等於負四和四、 h列所 P1之線性近似、表

-19- 本紙張尺度適用中國國家標準(CNS) A4规格(210X 297公釐)

裝 訂 線

527811 A7

看出Γ;二 由考慮兩排列之線性特…而 m/r償對可能的元素發生得愈多愈 此人對所有最大絕對値爲四的元素係如 匕。使用產生並測試排列之熟知技術，本彳于人士可㈣期 換之一係來自Z24 — z24之同 :::於4位元排列產生八個此等排列對。或者 準則之不同㈣對P〇、Pl、藉由例如於這地排列二者之 輪出上施加-辞射性轉換自Ρ〇和卜予以建構。這可藉由選 擇一Ζ2上的非獨一性4χ4矩陣八和一向量beZ24並對所有 K V定義P。*⑻:=P。⑻Αφ咏Ρι* (χ): =Ρι⑻Αφ b而完成。 可釭易驗證，依此方式可建構32256〇不同之（順序性）排列 對’其中每-個排列對皆滿足所有上述準則。注意這些轉 性映射，亦即且 -20- 本紙張尺度適用中國國家標準(CNS) A4規格(210X 297公釐)

Claims (1)

1. Wl\' 丨 第090120549號專利申請案 中文♦請夸列範圍替換本(92年1月) 六、申請專利範圍 干則山只^γτ 1. 一種將一輸入資料區塊密碼性地轉換成 之方法，該方法包含使用一基於一排列之S盒於該輸入 資料區塊上執行一非線性運算，其中該方法包含於每次 使用S盒之前，自一與該s盒聯結之至少兩排列之一預定 集合中選擇排列。 2. 如申請專利範圍第1項之方法，其中排列之集合係形成 而使得集合之此等排列之一中的密碼性弱度至少藉由集 合之其它排列之至少一個中之相對應的密碼性強度予以 部分補償。 3_如申請專利範圍第丨項之方法，其中資料區塊由n個資料 位兀所組成且排列集合中的每一個元素係一具有2n個元 素之集合上的排列，以2/予以表示，其中該集合中每一 個排列之每-個㈣細差異性特性具有—至多為咖的 機率，排列集合係由多個排列所形成，此等多個排列的 於在任一排列中具有機率…一每-個非瑣 :=i該差異性特性在集合之至少-其它排列 中具有低於〜设的機率。 m青專利範圍第3項之方法，其中該差異性特性具有 在至少一排列中等於零的機率。 、 5.如申請專利範圍第4項之方法，其中n=4且 資 2n 6· 圍第1項之方法，其中該資料區塊由_ 所=且排列集合中的每一個元 :兀素《集合上的一個排列，該具有2„ 、： 表示為Z/，其中集合中每一個排列之 非集。係 任 皆f有至少為X，"且至多為X+Plin的機率;:：：： 由多個排列所形成，該等多個排列的選擇4,係 本紙張尺度適用中國國豕標準(CNS) A4規格(210X297公嫠) 範圍 一排列中具有機率為X-P…或Κ + 的每一個非瑣細線性 差異性特性，該線性特性在集合之至少一其它排列中具 有一接近X的機率。 7.如申請專利範圍第6項之方法，其中該線性特性在至少 一排列中具有一等於X的機率。 8·如申請專利範圍第6項之方法，其中n=4且户。 9·如申請專利範圍第1項之方法，其中該排列集合由兩個 排列組成。 ⑺·如申請專利範圍第丨項之方法，包含執行在一加密鍵之 控制下之排列之選擇。 1 ·如申’專利範圍弟9或10項之方法，其中該排列之選擇 係在加密鍵之一位元之控制下予以執行。 12· —種電腦程式產品，其中該程式產品係用來使一處理器 執行申凊專利範圍第1項的方法。 13· —種將一輸入資料區塊密碼性地轉換成一輸出資料區塊 之系統’該系統包含： -一用來接收輸入資料區塊的輸入端； -一用來儲存一至少有兩個排列與一 3盒聯結之預定集 合的儲存器； _ 一使用一以一排列為基礎之8盒於輸入資料區塊上執 行一非線性運算之密碼性處理器；該處理器係用來於每 ’人使用S盒之前’自所儲存之與s盒聯結之排列集合（假） 隨機地選擇集合；以及 -一用來輸出處理過之輸入資料區塊之輸出端。 -2- 本紙張尺度適用中國國家標準(CNS) A4規格(210 X 297公釐)