一种新的实用安全加密标准算法——Camellia算法(2)

·Ｓ变换

Ｃａｍｅｌｌｉａ算法采用的Ｓ盒（见式（３））是一个ＧＦ（２８）上的可逆变换，它加强了算法的安全性并且适用于小硬件设计。众所周知，ＧＦ（２８）上函数的最大差分概率的最小值被证明为２－６，最大线性概率的最小值推测为２－６。Ｃａｍｅｌｌｉａ算法选择ＧＦ（２８）上能够获得最好的差分和线性概率的可逆函数作Ｓ盒，而且Ｓ盒每个输出比特具有高阶布尔多项式，使得对Ｃａｍｅｌｌｉａ进行高阶差分攻击是困难的。Ｓ盒在ＧＦ（２８）上输入、输出相关函数上的复杂表达式，使得插入攻击对Ｃａｍｅｌｌｉａ无效。

Ｓ：Ｌ→Ｌ

(l'1(8),l'1(8),l'1(8),l'1(8),l'1(8),l'1(8),l'1(8),l'1(8)→

*s1(l'1(8)),s2(l'2(8)),s3(l'3(8)),s4('4(8)),s2(l'5(8)),s3(l'6(8)),

s4(l'7(8),s1(l'8(l8(8)))

其中， ｓ２:ｙ(８)＝ｓ1(x(8))=h(g(f(0xC5 x(8)))) 0x6E

s２:Y(８)＝ｓ2(ｘ(８))=s1(x(8))＜＜＜１ (３)

ｓ３:ｙ(８)＝ｓ３(ｘ(８))＝ｓ１(ｘ(８))＞＞＞１

ｓ４:ｙ(８)＝ｓ４(ｘ(８))＝ｓ１(ｘ(８))＜＜＜１

算法中构造了四个不同的Ｓ盒，提高了Ｃａｍｅｌｌｉａ算法抵抗阶段差分攻击的安全性。为了在小硬件上设计实现，ＧＦ（２８）上的元素可以表示成系数为ＧＦ（２４）上的多项式。这样，在实现Ｓ盒时，只需运用子域ＧＦ（２４）上很少的操作。ｓ１变换中所采用的ｆ、ｈ、ｇ函数分别如（４）、（５）、（６）式所示。