MESH (шифр)

MESH

Розробники	Накахара, Реймен, Пренель, Вандевалле
Уперше оприлюднений	2002
Раундів	8.5, 10.5, 12.5
Тип	Підстановлювально-переустановлена мережа

В криптографії, MESH — блочний шифр, що є модифікацією IDEA. Розроблений Жоржем Накахара, Вінсентом Рейменом, Бартом Пренелем і Джусом Вандевалле в 2002 році. На відміну від IDEA, MESH має більш складну раундову структуру. Інший алгоритм генерації ключів дозволяє MESH уникати проблеми слабких ключів ^[1].

Структура шифру[ред. | ред. код]

Кожен раунд в IDEA і MESH складається з операцій додавання та множення. Послідовність таких обчислень в межах одного раунду утворює MA-бокс. Всі MA-бокси в MESH використовують мінімум три чергових рівнів додавань і множень (за схемою «зигзаг»), в той час, як в IDEA таких тільки два. Це робить MESH більш стійким проти диференціальної і лінійної криптоатак. Також, з метою уникнення проблеми слабких ключів, в MESH використовуються два наступних принципи:

• Кожне підключення залежить від багатьох подключень, точнішео — як мінімум від шести попередніх ключів нелінійно.
• Використовуються фіксовані константи. Без них, наприклад, ключ з усіх нулів перейшов би в підключі, кожна з яких дорівнювала б нулю в будь-якому раунді.

Як і в IDEA, MESH використовує такі операції:

• Множення по модулю ${\displaystyle 2^{16}+1}$, при чому замість нуля використовується ${\displaystyle 2^{16}}$ (${\displaystyle \odot }$)
• Бітовий зсув вліво на ${\displaystyle n}$ бит (${\displaystyle \lll \ n}$)
• Складання по модулю ${\displaystyle 2^{16}}$ (${\displaystyle \boxplus }$)
• Побітова Виключна диз'юнкція (${\displaystyle \oplus }$)

Операції розташовані в порядку зменшення пріоритету. В обчисленнях запис ${\displaystyle A_{k}^{(i)}}$ позначає 16-ти бітове слово. Індекси описуються далі.

MESH описується в трьох варіаціях за розмірами блоку: 64, 96, 128 біт. Розмір ключа при цьому береться вдвічі більший ^[2].

MESH-64[ред. | ред. код]

У даній варіації розмір блоку становить 64 біт, ключ — 128 біт. Шифрування проходить в 8.5 раундів. Половина раунду відноситься до вихідних перетворень ^[3].

Раундові перетворення[ред. | ред. код]

Позначимо вхідну інформацію для ${\displaystyle i}$ -го раунду:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)}),\ i=1...9}$

Кожен раунд складається з двох частин: перемішування вхідних даних з підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)})\ =\ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)})}$.

• Для парних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)})\ =\ (X_{1}^{(i)}\ \ boxplus\ Z_{1}^{(i)},\ X_{2}^{(i)}\ \ odot\ Z_{2}^{(i)},\ X_{3}^{(i)}\ \ odot\ Z_{3}^{(i)},\ X_{4}^{(i)}\ \ boxplus\ Z_{4}^{(i)})}$.

Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{3}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{4}^{(i)})}$

МА-обчислення описуються наступними формулами:
${\displaystyle Y_{7}^{(i)}\ =\ ((Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}\ \boxplus \ Y_{6}^{(i)})\ \odot \ Z_{6}^{(i)}\ \boxplus \ (Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}))\ \odot \ Z_{7}^{(i)}}$
${\displaystyle Y_{8}^{(i)}\ =\ Y_{7}^{(i)}\ \boxplus \ ((Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}\ \boxplus \ Y_{6}^{(i)})\ \odot \ Z_{6}^{(i)})}$

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{8}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{8}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{7}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{7}^{(i)})}$

Згідно зі схемою, для отримання зашифрованого повідомлення, необхідно після восьмого раунду провести перемішування по непарній схемі ${\displaystyle (i=9)}$^[4]

Генерація ключів[ред. | ред. код]

Для генерації ключів використовується 128-бітний, призначений для користувача ключ, а також 16-бітові константи ${\displaystyle c_{i}}$: ${\displaystyle c_{0}\ =\ 1}$, ${\displaystyle c_{i}\ =\ 3c_{i-1}}$, вони обчислюються в Полі Галуа ${\displaystyle GF(2^{16})}$ по модулю багаточлена ${\displaystyle x^{16}\ +\ x^{5}\ +\ x^{3}\ +\ x^{2}\ +\ 1}$. Призначений для користувача ключ, розбивається на 8 16-бітових слів ${\displaystyle K_{i},\ 0\ \ leqslant\ i\ \ leqslant\ 7}$.

Обчислення підключів відбувається наступним чином: ^[5]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 6}$
${\displaystyle Z_{1}^{(2)}\ =\ K_{7}\ \oplus \ c_{7}}$
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-8)}^{(h(i-8))}\ \boxplus \ Z_{l(i-7)}^{(h(i-7))})\ \oplus \ Z_{l(i-6)}^{(h(i-6))})\ \boxplus \ Z_{l(i-3)}^{(h(i-3))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 7\ \oplus \ c_{i},}$
где ${\displaystyle 8\ \leqslant \ i\ \leqslant \ 59,\ h(i)\ =\ i\ div\ 7\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}7\ +\ 1}$.

Розшифровка[ред. | ред. код]

Для розшифровки MESH, як і IDEA, використовують вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_{1}^{(r)},\ ...\ Z_{7}^{(r)}),\ 1\ \ leqslant\ r\ \ leqslant\ 8}$ — підключі повних раундів;
${\displaystyle (Z_{1}^{(9)},\ ...\ Z_{4}^{(9)})}$ — підключі вихідних перетворень.

Тоді підключі розшифровки задаються наступним чином ^[6]: ^[6]:

• ${\displaystyle ((Z_{1}^{(9)})^{-1},\ -Z_{2}^{(9)},\ -Z_{3}^{(9)},\ (Z_{4}^{(9)})^{-1},\ Z_{5}^{(8)},\ Z_{6}^{(8)},\ Z_{7}^{(8)})}$, — первий раунд розшифровки;
• ${\displaystyle (-Z_{1}^{(10-r)},\ (Z_{3}^{(10-r)})^{-1},\ (Z_{2}^{(10-r)})^{-1},\ -Z_{4}^{(10-r)},\ Z_{5}^{(9-r)},\ Z_{6}^{(9-r)},\ Z_{7}^{(9-r)})}$, — ${\displaystyle r}$-й парний раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8\}}$;
• ${\displaystyle ((Z_{1}^{(9-r)})^{-1},\ -Z_{3}^{(9-r)},\ -Z_{2}^{(9-r)},\ (Z_{4}^{(9-r)})^{-1},\ Z_{5}^{(8-r)},\ Z_{6}^{(8-r)},\ Z_{7}^{(8-r)})}$, — ${\displaystyle r}$-й непарний раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7\}}$;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ -Z_{3}^{(1)},\ (Z_{4}^{(1)})^{-1})}$, — вихідні перетворення.

MESH-96[ред. | ред. код]

У даній варіації розмір блоку становить 96 біт, ключ — 192 біт. Шифрування проходить в 10.5 раундів. Половина раунду відноситься до вихідних перетворень ^[7].

Раундові перетворення[ред. | ред. код]

Позначимо вхідну інформацію для ${\displaystyle i}$ -го раунду:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)},\ X_{5}^{(i)},\ X_{6}^{(i)}),\ i=1...11}$

Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \odot \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \boxplus \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \odot \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \boxplus \ Z_{6}^{(i)})}$

• Для парних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (X_{1}^{(i)}\ \boxplus \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \odot \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \boxplus \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \odot \ Z_{6}^{(i)})}$ Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_{7}^{(i)},\ Y_{8}^{(i)},\ Y_{9}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{4}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{5}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{6}^{(i)})}$

МА-обчислення описуються наступними формулами:
${\displaystyle Y_{10}^{(i)}\ =\ (((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})\ \odot \ (Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \boxplus \ Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)})\ \odot \ Z_{9}^{(i)}}$
${\displaystyle Y_{11}^{(i)}\ =\ Y_{10}^{(i)}\ \boxplus \ ((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})\ \odot \ (Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})}$
${\displaystyle Y_{12}^{(i)}\ =\ Y_{11}^{(i)}\ \odot \ ((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})}$

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{12}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{12}^{(i)},\ Y_{5}^{(i)}\ \oplus \ Y_{11}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{11}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{10}^{(i)},\ Y_{6}^{(i)}\ \oplus \ Y_{10}^{(i)})}$

Для отримання зашифрованого повідомлення, необхідно після 10-го раунду провести перемішування за непарною схемою ${\displaystyle (i=9)}$ ^[8]

Генерація ключів[ред. | ред. код]

Для генерації ключів використовується 192-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як і для MESH-64.

Обчислення подключів відбувається наступним чином: ^[9]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 8}$
${\displaystyle Z_{1}^{(2)}\ =\ K_{9}\ \oplus \ c_{9}}$
${\displaystyle Z_{2}^{(2)}\ =\ K_{10}\ \oplus \ c_{10}}$
${\displaystyle Z_{3}^{(2)}\ =\ K_{11}\ \oplus \ c_{11}}$
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-12)}^{(h(i-12))}\ \boxplus \ Z_{l(i-8)}^{(h(i-8))})\ \oplus \ Z_{l(i-6)}^{(h(i-6))})\ \boxplus \ Z_{l(i-4)}^{(h(i-4))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 9\ \oplus \ c_{i},}$
где ${\displaystyle 12\ \leqslant \ i\ \leqslant \ 95,\ h(i)\ =\ i\ div\ 9\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}9\ +\ 1}$.

Розшифровка[ред. | ред. код]

Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_{1}^{(r)},\ ...\ Z_{9}^{(r)}),\ 1\ \ leqslant\ r\ \ leqslant\ 10}$ — підключі повних раундів;
${\displaystyle (Z_{1}^{(11)},\ ...\ Z_{6}^{(11)})}$ — підключі вихідних перетворень.

Тоді підключі розшифровки задаються наступним чином ^[10]:

• ${\displaystyle ((Z_{1}^{(11)})^{-1},\ -Z_{2}^{(11)},\ (Z_{3}^{(11)})^{-1},\ -Z_{4}^{(11)},\ (Z_{5}^{(11)})^{-1},\ -Z_{6}^{(11)},\ Z_{7}^{(10)},\ Z_{8}^{(10)},\ Z_{9}^{(10)})}$, — перший раунд розшифровки;
• ${\displaystyle (-Z_{1}^{(12-r)},\ (Z_{4}^{(12-r)})^{-1},\ -Z_{5}^{(12-r)},\ (Z_{2}^{(12-r)})^{-1},\ -Z_{3}^{(12-r)},\ (Z_{6}^{(12-r)})^{-1},\ Z_{7}^{(11-r)},\ Z_{8}^{(11-r)},\ Z_{9}^{(11-r)})}$, — ${\displaystyle r}$-й парний раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8,\ 10\}}$;
• ${\displaystyle ((Z_{1}^{(11-r)})^{-1},\ -Z_{4}^{(11-r)},\ (Z_{5}^{(11-r)})^{-1},\ -Z_{2}^{(11-r)},\ (Z_{3}^{(11-r)})^{-1},\ -Z_{6}^{(11-r)},\ Z_{7}^{(10-r)},\ Z_{8}^{(10-r)},\ Z_{9}^{(10-r)})}$, — ${\displaystyle r}$-й непарний раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7,\ 9\}}$;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ (Z_{3}^{(1)})^{-1},\ -Z_{4}^{(1)},\ (Z_{5}^{(1)})^{-1},\ -Z_{6}^{(1)})}$, — вихідні перетворення.

MESH-128[ред. | ред. код]

У даній варіації розмір блоку становить 128 біт, ключ — 256 біт. Шифрування проходить в 12.5 раундів. Половина раунду відноситься до вихідних перетворень ^[11].

Ранундові перетворення[ред. | ред. код]

Позначимо вхідну інформацію для ${\displaystyle i}$ -го раунду:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)},\ X_{5}^{(i)},\ X_{6}^{(i)},\ X_{7}^{(i)},\ X_{8}^{(i)}),\ i=1...13}$ Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)},\ Y_{7}^{(i)},\ Y_{8}^{(i)})\ =}$
${\displaystyle \ \ \ \ \ \ \ \ \ \ \ \ \ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \odot \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \boxplus \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \odot \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \boxplus \ Z_{6}^{(i)},\ X_{7}^{(i)}\ \odot \ Z_{7}^{(i)},\ X_{8}^{(i)}\ \boxplus \ Z_{8}^{(i)})}$

• Для парних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)},\ Y_{7}^{(i)},\ Y_{8}^{(i)})\ =}$
${\displaystyle \ \ \ \ \ \ \ \ \ \ \ \ \ (X_{1}^{(i)}\ \boxplus \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \odot \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \boxplus \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \odot \ Z_{6}^{(i)},\ X_{7}^{(i)}\ \boxplus \ Z_{7}^{(i)},\ X_{8}^{(i)}\ \odot \ Z_{8}^{(i)})}$

Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_{9}^{(i)},\ Y_{10}^{(i)},\ Y_{11}^{(i)},\ Y_{12}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{5}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{6}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{7}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{8}^{(i)})}$
.

МА-обчислення описуються наступними формулами:

${\displaystyle Y_{13}^{(i)}\ =\ Y_{9}^{(i)}\ \odot \ Z_{9}^{(i)},\ \ \ \ \ Y_{14}^{(i)}\ =\ Y_{13}^{(i)}\ \boxplus \ Y_{10}^{(i)},}$
${\displaystyle Y_{15}^{(i)}\ =\ Y_{14}^{(i)}\ \odot \ Y_{11}^{(i)},\ \ \ \ \ Y_{16}^{(i)}\ =\ Y_{15}^{(i)}\ \boxplus \ Y_{12}^{(i)},}$
${\displaystyle Y_{17}^{(i)}\ =\ Y_{16}^{(i)}\ \odot \ Z_{10}^{(i)},\ \ \ \ \ Y_{18}^{(i)}\ =\ Y_{15}^{(i)}\ \boxplus \ Y_{17}^{(i)},}$
${\displaystyle Y_{19}^{(i)}\ =\ Y_{14}^{(i)}\ \odot \ Y_{18}^{(i)},\ \ \ \ \ Y_{20}^{(i)}\ =\ Y_{13}^{(i)}\ \boxplus \ Y_{19}^{(i)},}$
${\displaystyle Y_{21}^{(i)}\ =\ Y_{20}^{(i)}\ \odot \ Z_{11}^{(i)},\ \ \ \ \ Y_{22}^{(i)}\ =\ Y_{19}^{(i)}\ \boxplus \ Y_{21}^{(i)},}$
${\displaystyle Y_{23}^{(i)}\ =\ Y_{18}^{(i)}\ \odot \ Y_{22}^{(i)},\ \ \ \ \ Y_{24}^{(i)}\ =\ Y_{17}^{(i)}\ \boxplus \ Y_{23}^{(i)},}$
${\displaystyle Y_{25}^{(i)}\ =\ Y_{24}^{(i)}\ \odot \ Z_{12}^{(i)},\ \ \ \ \ Y_{26}^{(i)}\ =\ Y_{23}^{(i)}\ \boxplus \ Y_{25}^{(i)},}$
${\displaystyle Y_{27}^{(i)}\ =\ Y_{22}^{(i)}\ \odot \ Y_{26}^{(i)},\ \ \ \ \ Y_{28}^{(i)}\ =\ Y_{21}^{(i)}\ \boxplus \ Y_{27}^{(i)}.}$

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{25}^{(i)},\ Y_{5}^{(i)}\ \oplus \ Y_{25}^{(i)},\ Y_{6}^{(i)}\ \oplus \ Y_{26}^{(i)},\ Y_{7}^{(i)}\ \oplus \ Y_{27}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{26}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{27}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{28}^{(i)},\ Y_{8}^{(i)}\ \oplus \ Y_{28}^{(i)})}$

Для отримання зашифрованого повідомлення необхідно після 12-го раунду провести перемішування за непарною схемою ${\displaystyle (i=9)}$ ^[12]

Генерація ключів[ред. | ред. код]

Для генерації ключів використовується 256-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як для MESH-64 і для MESH-96.

Обчислення подключів відбувається наступним чином: ^[13]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 11}$
${\displaystyle Z_{j\ {\bmod {\ }}12\ +\ 1}^{(2)}\ =\ K_{j}\ \oplus \ c_{j},\ 12\ \leqslant \ j\ \leqslant \ 15}$
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-16)}^{(h(i-16))}\ \boxplus \ Z_{l(i-13)}^{(h(i-13))})\ \oplus \ Z_{l(i-12)}^{(h(i-12))})\ \boxplus \ Z_{l(i-8)}^{(h(i-8))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 11\ \oplus \ c_{i},}$
где ${\displaystyle 16\ \leqslant \ i\ \leqslant \ 151,\ h(i)\ =\ i\ div\ 12\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}12\ +\ 1}$.

Розшифровка[ред. | ред. код]

Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_{1}^{(r)},\ ...\ Z_{12}^{(r)}),\ 1\ \ leqslant\ r\ \ leqslant\ 12}$ — підключі повних раундів;
${\displaystyle (Z_{1}^{(13)},\ ...\ Z_{8}^{(13)})}$ — підключі вихідних перетворень.

^[14]:

• ${\displaystyle ((Z_{1}^{(13)})^{-1},\ -Z_{2}^{(13)},\ (Z_{3}^{(13)})^{-1},\ -Z_{4}^{(13)},\ -Z_{5}^{(13)},\ (Z_{6}^{(13)})^{-1},\ -Z_{7}^{(13)},\ (Z_{8}^{(13)})^{-1},\ Z_{9}^{(12)},\ Z_{10}^{(12)},\ Z_{11}^{(12)},\ Z_{12}^{(12)})}$, — перший раунд розшифровки;
• ${\displaystyle (-Z_{1}^{(14-r)},\ (Z_{5}^{(14-r)})^{-1},\ -Z_{6}^{(14-r)},\ (Z_{7}^{(14-r)})^{-1},\ (Z_{2}^{(14-r)})^{-1},\ -Z_{3}^{(14-r)},\ (Z_{4}^{(14-r)})^{-1},\ -Z_{8}^{(14-r)},\ Z_{9}^{(13-r)},\ Z_{10}^{(13-r)},\ Z_{11}^{(13-r)},\ Z_{12}^{(13-r)})}$, — ${\displaystyle r}$-й парний раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8,\ 10,\ 12\}}$;
• ${\displaystyle ((Z_{1}^{(13-r)})^{-1},\ -Z_{5}^{(13-r)},\ (Z_{6}^{(13-r)})^{-1},\ -Z_{7}^{(13-r)},\ -Z_{2}^{(13-r)},\ (-Z_{3}^{(13-r)})^{-1},\ -Z_{4}^{(13-r)},\ (Z_{8}^{(13-r)})^{-1},\ Z_{9}^{(12-r)},\ Z_{10}^{(12-r)},\ Z_{11}^{(12-r)},\ Z_{12}^{(12-r)})}$, — ${\displaystyle r}$-й непарний раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7,\ 9,\ 11\}}$;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ (Z_{3}^{(1)})^{-1},\ -Z_{4}^{(1)},\ -Z_{5}^{(1)},\ (Z_{6}^{(1)})^{-1},\ -Z_{7}^{(1)},\ (Z_{8}^{(1)})^{-1})}$, — вихідні перетворення.

Криптоаналіз[ред. | ред. код]

Нижче наводиться таблиця, яка містить розрахункову інформацію щодо можливих криптоатак. У ній розглядаються урізані алгоритми, кількість раундів можна побачити у відповідній колонці. За дані приймаються вибрані підібрані відкриті тексти, вказується необхідна кількість таких (в блоках). Час оцінюється в кількості обчислень. Пам'ять відображає кількість елементів пам'яті, необхідних для зберігання будь-яких даних під час криптоатаки. Як видно з таблиці, всі варіанти MESH більш складні для злому представленими криптоатаками, ніж IDEA, на якому він базується ^{[15] [16]}.

Таблиця 1. Узагальнення складнощів криптоатак на IDEA і MESH^[17]

Шифр	Криптоаналіз	#Раундів	Дані	Пам'ять	Час
IDEA (8.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 23}$	${\displaystyle 23}$	${\displaystyle 2^{64}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{32}}$	${\displaystyle 2^{67}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{38.5}}$	${\displaystyle 2^{37}}$	${\displaystyle 2^{53}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{38.5}}$	${\displaystyle 2^{37}}$	${\displaystyle 2^{70}}$
MESH-64 (8.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 2^{50.5}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{76}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{32}}$	${\displaystyle 2^{78}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{39.5}}$	${\displaystyle 2^{61}}$	${\displaystyle 2^{64}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{39.5}}$	${\displaystyle 2^{61}}$	${\displaystyle 2^{112}}$
MESH-96 (10.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 2^{50}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{96}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{96}}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{109}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{93}}$	${\displaystyle 2^{96}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{93}}$	${\displaystyle 2^{144}}$
MESH-128 (12.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 2^{50}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{128}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{128}}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{142}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{65}}$	${\displaystyle 2^{157}}$	${\displaystyle 2^{128}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{65}}$	${\displaystyle 2^{157}}$	${\displaystyle 2^{192}}$

Примітки[ред. | ред. код]

Література[ред. | ред. код]

• J. Nakahara, Jr; V. Rijmen; B. Preneel; J. Vandewalle. The MESH Block Ciphers : [англ.]. — 2002.
• J. Nakahara, Jr. Cryptanalysis And Design Of Block Ciphers : [англ.]. — 2003. — Помилка: неправильний час. — ISBN 90-5682-407-4.

п о р Блокові алгоритми шифрування SP-мережа, блок 64 біт : SAFER | SHARK Мережа Файстеля, блок 64 біт  : ГОСТ 28147-89 (Magma) | 3-DES | Blowfish | DES | FEAL | IDEA | KASUMI | RC5 | TEA SP-мережа, блок від 128 біт : Калина | AES | Anubis | CRYPTON | Hierocrypt-3 | Kuznechik | PRESENT | SQUARE | Serpent | Threefish Мережа Файстеля, блок від 128 біт : Camellia | CAST-256 | MARS | RC6 | Sinople | Twofish