祖冲之序列密码算法(ZUC算法)

通用汽车/T 10004.2-2012祖冲之序列密码算法第1部分：算法描述1范围本节介绍了祖冲之序列密码算法，可用于指导祖冲之算法相关产品的开发、检测和使用。条款和惯例以下条款和惯例适用于本节。2.1比特位二进制字符0和1称为位。2.2字节一个8位的字符串称为一个字节。2.3消息由超过2位(包括2位)组成的位串称为一个字。这部分主要使用31位字和32位字。2.4这个词的意思是词语的表达。默认情况下，单词的这一部分用十进制表示。当一个词用另一个二进制系统表示时，指示符总是加在这个词的表示之前或之后。例如，前缀0x表示该单词是十六进制的，后缀右下角2表示该单词是二进制的。2.5位排序本节规定，一个字的最高位总是位于字表示的最左边，最低位总是位于字表示的最右边。3符号和缩写3.1操作员算术加法模整数余数运算逐位异或运算模232加法运算字符串连接器h取单词的最高16位单词的最低16位k个32位字右移k位。Ab矢量a被分配给矢量b，即它被一个分量一个分量地分配。3.2符号以下符号适用于本节：S0，S1，S2，S15线性反馈移位寄存器的16个31位寄存器单元变量X0、X1、X2、X3位重组4个32位字输出R2 R1R1非线性函数F的两个32位存储单元变量w非线性函数f输出的32位字Z算法的每拍32位关键字输出k初始种子密钥Iv初始向量用于算法初始化的d字符串常量3.3缩写以下缩写适用于本节：ZUC祖冲之序列密码算法或祖冲之算法线性反馈移位寄存器BR钻头重组非线性函数4算法描述4.1算法的整体结构祖冲之算法在逻辑上分为三个层次，如图1所示。上层是一个16级线性反馈移位寄存器(LFSR)；中间层是比特重组；下层是非线性函数f。图1祖冲之算法结构图4.2线性反馈移位寄存器LFSR4.2.1概述LFSR包括16个31位寄存器单元变量S0，s 1，S15。LFSR以两种模式运行：初始化模式和运行模式。4.2.2初始化模式在初始化模式下，LFSR接收一个31位字U，U通过从非线性函数f的32位输出W中丢弃最低有效位获得，即u=W 1。在初始化模式下，LFSR计算过程如下：lfsrwithininitialisationmode(u)(1)v=215s 15 217s 13 221s 10 220 S4(1 28)s0 mod(231-1)；(2)s16=(v u)mod(231-1)；(3)如果s16=0，设置S16=231-1；(4) (s1，s2，s15，s16) (s0，s1，s14，s15).4.2.3工作模式在工作模式下，LFSR不接收任何输入。计算过程如下：LFSRWithWorkMode()(1)s16=215 s15 217 S13 221 S10 220 S4(1 28)s0 mod(231-1)；(2)如果s16=0，设置S16=231-1；(3) (s1，s2，s15，s16) (s0，s1，s14，s15).4.3位重组BR位重组从LFSR的寄存器单元提取128位，形成4个32位字X0、X1、X2和X3。BR的具体计算过程如下：比特重建()(1)X0=S15H 14L；(2)X1=S11l S9h；(3)X2=S7l5H；(4)X3=s2L/s0H .4.4非线性函数ff包括两个32位存储单元变量R1和R2。F的输入是3个32位字X0、X1、X2，输出是一个32位字w。F (X0，X1，X2)(1)w=(x0 R1)R2；(2)w1=R1x1；W2=R2X2；(4)R1=S(L1(W1LW2H)；(5)R2=S(L2(W2L W1H)。其中，S是一个32位的S盒变换，其定义见附录A；L1和L2是32位线性变换，定义如下：L1(X)=X (X 2) (X 10) (X 18) (X 24)，L2(X)=X (X 8) (X 14) (X 22) (X 30).4.5钥匙装载密钥加载过程将128位初始密钥K和128位初始向量iv扩展为16个31位字，作为LFSR寄存器单元变量S0、S1，S15。让k和iv成为k0/k1/k15和iv0iv 1iv 15，其中ki和ivi均为8位字节，0i15。关键加载过程如下：(1) D是240位的常数，可分为16个15位子串，如下所示：d=d0/D1/d15，其中：d0=01112，d1=11002，d2=10112，d3=11102，d4=10012，d5=00102，d6=01012，d7=11112，d8=10002，d9=00112，d10=01002，d11=00012，d12=01102，d13=11012，d14=10102，d15=11002 .(2)对于0i15，si=kidiivi。4.6算法操作4.6.1初始化阶段首先，将128位初始密钥K和128位初始向量iv加载到寄存器单元变量S0、S1，S15，根据4.5段密钥加载方法作为LFSR的初始状态，并且32位存储单元变量R1和R2都是零。然后执行以下操作：下列程序重复32次：(1)比特重建()；(2) W=F(X0，X1，X2)；(3)lfsrwithininitialisationmode(w1).4.6.2工作阶段首先，执行以下程序一次，并丢弃输出功率。(1)比特重建()；(2) F (X0，X1，X2)；(3) LFSRWithWorkMode().然后进入按键输出阶段。在键输出阶段，每个节拍执行一次以下过程，并输出一个32位的关键字Z:(1)比特重建()；(2) Z=F (X0，X1，X2)X3；(3) LFSRWithWorkMode().附录a(规范性附录)s盒32位S盒由四个小的88S盒并置而成，即S=(S0，S1，S2，S3)，其中S0=S2，S1=S3。S0和S1的定义分别见表1和表2。设S0(或S1)的8位输入为x。如果x被视为两个十六进制数的连接，即x=h|l，则表1(或表2)中行h和列l相交的元素是S0(或S1)的输出S0 (x)(或S1(x)。让s盒的32位输入x和32位输出y分别为：x=x0/x1/x2/x3，y=y0/y1/y2/y3，其中xi和yi都是8位字节，i=0，1，2，3。那么yi=Si()，i=0，1，2，3。表1 S0方框0123456789ABCDEF03E725B47大约E0003304D1549809B96DCB17B1BF932非常地9D6AA5B82D文件比较1D0853039024D4E8499E4土木工程师D991DDB685488B296E交流电3激光唱片C1F81E734369溴化六烃季胺B5商业发展软驱396320D4384767DB2A7碳纤维艾德57溴化五烃季胺第三子代2CBB142106559B5E3仰角指示器5E314F7F5AA40D8251495F文学士581C64A16D517A892241F8C消防D8声发射2E01D3广告73B4B地方检察官46电子商务补体第九成分德9A8F87D73A806F2FC88B1B437F70A2213287C抄送3C89C7C39656907高炉7E寡霉素敏感比较因子0B2B975235417961A64C10铁A公元前2695888AB0A3FB无着丝粒的1894第二子代E1E5E95DBD0哥伦比亚特区1166645C欧共体59427512F5749C嗜酒者互诫协会23C0E86AB是2A02E767E644主动脉第二声6CC2939F第一子代DF6FA36D250689E6271153DD640补体第四成份缺乏E20FE8E83776B25053F0C30电子艺界游戏公司70B7第一等的E8A965F8D271A数据库81B3A0法乐四联症457A19DF电子工程师783460表2 S1盒子0123456789ABCDEF055C263713BC847869F3C地方检察官5B29嗜酒者互诫协会软驱7718C溴化五烃季胺940CA61A1300E3A8167240F9F84224426689681D9453E1076溴化六烃季胺A78B3943E133AB5562A无着丝粒的6DB3052266高炉哥伦比亚特区0BFA62484DD20110636补体第九成分C1碳纤维F62752BB69F5D48757F844CD29C57A4公元前4F9ADF铁D68D7A电子商务62B53D85C第一等的1417FB23D57D30677308097电子工程师B7703F61B2198E4EE54B938F5D数据库A98广告第一子代声发射2ECB0D文件比较法乐四联症2D466E1D97E8D1E994D37A5755E839EAB829DB91CE0激光唱片4989A01B6商业发展5824主动脉第二声5F387899159050B895E4BD091C7土木工程师艾德0FB46FA0抄送寡霉素敏感比较因子024A79C3德CA3仰角指示器电子艺界游戏公司51E66B18欧共体1B2C80F774E7消防21D5A6A541E41319235补体第四成份缺乏33070A文学士7E0E34E88B1987C第三子代3D606C7B大约D31F32650428F64是859B2F598AD7B025交流电非常地1203E2第二子代注：S0框和S1框的数据均以十六进制表示