BelT

Входными данными алгоритмов зашифрования и расшифрования являются блок ${\displaystyle X\in \{0,1\}^{128}}$и ключ ${\displaystyle \theta \in \{0,1\}^{256}.}$

Выходными данными является блок ${\displaystyle Y\in \{0,1\}^{128}}$— результат зашифрования либо расшифрования слова ${\displaystyle X}$ на ключе ${\displaystyle \theta :Y=F_{\theta }(X)}$ либо ${\displaystyle Y=F_{\theta }^{-1}(X).}$

Входные данные для шифрования подготавливаются следующим образом:

• Слово ${\displaystyle X}$ записывается в виде ${\displaystyle X=X_{1}\|X_{2}\|X_{3}\|X_{4},X_{i}\in \{0,1\}^{32}.}$
• Ключ ${\displaystyle \theta }$ записывается в виде ${\displaystyle \theta =\theta _{1}\|\theta _{2}\|\theta _{3}\|\theta _{4}\|\theta _{5}\|\theta _{6}\|\theta _{7}\|\theta _{8},\theta _{i}\in \{0,1\}^{32}}$, и определяются тактовые ключи ${\displaystyle K_{1}=\theta _{1},K_{2}=\theta _{2},K_{3}=\theta _{3},K_{4}=\theta _{4},K_{5}=\theta _{5},K_{6}=\theta _{6},K_{7}=\theta _{7},K_{8}=\theta _{8},K_{9}=\theta _{1},......,K_{56}=\theta _{8}.}$

Преобразование ${\displaystyle G_{r}:\{0,1\}^{32}\rightarrow \{0,1\}^{32}}$ставит всоответствии слову ${\displaystyle u=u_{1}\parallel u_{1}\parallel u_{2}\parallel u_{3}\parallel u_{4},u_{i}\in \{0,1\}^{8}}$, слово

Таблица 1 - Подстановка ${\displaystyle H}$

${\displaystyle G_{r}(u)=RotHi^{r}(H(u_{1})\parallel H(u_{2})\parallel H(u_{3})\parallel H(u_{4})).}$

${\displaystyle RotHi^{r}-}$циклический сдвиг влево на ${\displaystyle r}$ бит.

${\displaystyle H(u)-}$операция замены 8-битной входной строки подстановкой из таблицы 1.

Подстановка ${\displaystyle H:\{0,1\}^{8}\rightarrow \{0,1\}^{8}}$ задается фиксированной таблицей. В таблице используется шестнадцатеричное представление слов ${\displaystyle u\in \{0,1\}^{8}.}$

${\displaystyle \boxplus }$ и ${\displaystyle \boxminus -}$операции сложения и вычитания по модулю ${\displaystyle 2^{32}.}$

Для зашифрования блока ${\displaystyle X}$ на ключе ${\displaystyle \theta }$ выполняются следующие шаги:

1. Установить ${\displaystyle a\leftarrow X_{1},b\leftarrow X_{2},c\leftarrow X_{3},d\leftarrow X_{4}.}$
   

   Вычисления на ${\displaystyle i-}$ом такте шифрования
2. Для ${\displaystyle i}$ = 1,2,… ,8 выполнить:

1) ${\displaystyle b\leftarrow b\oplus G_{5}(a\boxplus K_{7i-6});}$

2) ${\displaystyle c\leftarrow c\oplus G_{21}(d\boxplus K_{7i-5});}$

3) ${\displaystyle a\leftarrow a\boxminus G_{13}(b\boxplus K_{7i-4});}$

4) ${\displaystyle e\leftarrow G_{21}(b\boxplus c\boxplus K_{7i-3})\oplus \langle i\rangle _{32};}$

5) ${\displaystyle b\leftarrow b\boxplus e;}$

6) ${\displaystyle c\leftarrow c\boxminus e;}$

7) ${\displaystyle d\leftarrow d\boxplus G_{13}(c\boxplus K_{7i-2});}$

8) ${\displaystyle b\leftarrow b\oplus G_{21}(a\boxplus K_{7i-1});}$

9) ${\displaystyle c\leftarrow c\oplus G_{5}(d\boxplus K_{7i});}$

10) ${\displaystyle a\leftrightarrow b;}$

11) ${\displaystyle c\leftrightarrow d;}$

12) ${\displaystyle b\leftrightarrow c;}$

3. Установить ${\displaystyle Y\leftarrow b\|d\|a\|c.}$

4. Возвратить ${\displaystyle Y.}$

Для расшифрования блока ${\displaystyle X}$ на ключе ${\displaystyle \theta }$ выполняются следующие шаги:

1. Установить ${\displaystyle a\leftarrow X_{1},b\leftarrow X_{2},c\leftarrow X_{3},d\leftarrow X_{4}.}$
2. Для ${\displaystyle i=}$8,7,… ,1 выполнить:

1) ${\displaystyle b\leftarrow b\oplus G_{5}(a\boxplus K_{7i});}$

2) ${\displaystyle c\leftarrow c\oplus G_{21}(d\boxplus K_{7i-1});}$

3) ${\displaystyle a\leftarrow a\boxminus G_{13}(b\boxplus K_{7i-2});}$

4) ${\displaystyle e\leftarrow G_{21}(b\boxplus c\boxplus K_{7i-3})\oplus \langle i\rangle _{32};}$

5) ${\displaystyle b\leftarrow b\boxplus e;}$

6) ${\displaystyle c\leftarrow c\boxminus e;}$

7) ${\displaystyle d\leftarrow d\boxplus G_{13}(c\boxplus K_{7i-4});}$

8) ${\displaystyle b\leftarrow b\oplus G_{21}(a\boxplus K_{7i-5});}$

9) ${\displaystyle c\leftarrow c\oplus G_{5}(d\boxplus K_{7i-6});}$

10) ${\displaystyle a\leftrightarrow b;}$

11) ${\displaystyle c\leftrightarrow d;}$

12) ${\displaystyle a\leftrightarrow d;}$

3. Установить ${\displaystyle Y\leftarrow c\|a\|d\|b.}$

4. Возвратить ${\displaystyle Y.}$

• Исходное сообщение произвольной длины, представленное в виде битовой последовательности ${\displaystyle X\in \{0,1\}^{*}}$. Если ${\displaystyle X}$ - непустое слово, то записать его в виде:${\displaystyle {\displaystyle X=X_{1}\|X_{2}\|...\|X_{n}},|X_{1}|=|X_{2}|=...=|X_{n-1}|=128,0<|X_{n}|\leq 128}$. Если же ${\displaystyle X}$- пустое, то ${\displaystyle n=1}$и ${\displaystyle |X_{1}|=0}$.
• Ключ ${\displaystyle \theta \in \{0,1\}^{256}}$- битовая последовательность длины 256.

• Преобразования ${\displaystyle \phi _{1},\phi _{2}}$:${\displaystyle {\{0,1\}}^{128}\rightarrow {\{0,1\}}^{128}}$ , которые действуют на слово ${\displaystyle u=u_{1}||u_{2}||u_{3}||u_{4},u_{i}\in \{0,1\}^{32}}$- битовая последовательность длины 32 . При этом:

${\displaystyle \phi _{1}(u)=u_{2}||u_{3}||u_{4}||(u_{1}\oplus u_{2}),}$

${\displaystyle \phi _{2}(u)=(u_{1}\oplus u_{4})||u_{1}||u_{2}||u_{3}.}$

• Отображение ${\displaystyle \psi }$, которое ставит в соответствие битовой последовательности длины меньше 128, слово длиной 128. Действует по правилу:

${\displaystyle \psi (u)=u||1||0^{127-|u|}}$.

• Вспомогальтельные переменные ${\displaystyle r,s\in \{0,1\}^{256}}$ - битовые последовательности длины 128.

1. Заполнить вспомогательную переменную ${\displaystyle s}$ нулями: ${\displaystyle s\leftarrow 0^{128}}$ и установить результат шифрования ${\displaystyle s}$ на данном ключе ${\displaystyle \theta \in \{0,1\}^{256}}$ в ${\displaystyle r}$: ${\displaystyle r\leftarrow F_{\theta }(s)}$.
2. Для каждого блока входного сообщения ${\displaystyle i=1,2,...,n-1}$ выполнить: ${\displaystyle s\leftarrow F_{\theta }(s\oplus X_{i})}$.
3. Если ${\displaystyle |X_{n}|=128}$, то выполняем ${\displaystyle s\leftarrow s\oplus X_{n}\oplus \phi _{1}(r)}$, иначе ${\displaystyle s\leftarrow s\oplus \psi (X_{n})\oplus \phi _{2}(r)}$.
4. Записать в ${\displaystyle T}$ первые 64 бита слова ${\displaystyle F_{\theta }(s)}$: ${\displaystyle T\leftarrow L_{64}(F_{\theta }(s))}$.
5. Возвратить ${\displaystyle T}$.

Входными данными алгоритма является сообщение произвольной длины, представленное в виде битовой последовательности ${\displaystyle X\in \{0,1\}^{*}}$.

На выходе получается слово ${\displaystyle Y\in \{0,1\}^{256}}$.

Для работы алгоритма исходная битовая последовательность дополняется нулями так, чтобы ее длина делилась на 256, и представляется следующим образом: ${\displaystyle X=X_{1}||X_{2}||...||X_{d},X_{i}\in \{0,1\}^{256}}$. Также нам понадобятся переменные ${\displaystyle s\in \{0,1\}^{128}}$ и ${\displaystyle h\in \{0,1\}^{256}}$.

Пусть есть слово ${\displaystyle u=u_{1}||u_{2}||u_{3}||u_{4},u_{i}\in \{0,1\}^{128}}$.

Определим два отображения:

${\displaystyle \sigma _{1}:{\{0,1\}}^{512}\rightarrow {\{0,1\}}^{128},}$

${\displaystyle \sigma _{2}:{\{0,1\}}^{512}\rightarrow {\{0,1\}}^{256},}$

которые действуют на слово ${\displaystyle u}$ по правилам:

${\displaystyle \sigma _{1}(u)=F_{u_{1}||u_{2}}(u_{3}\oplus u_{4})\oplus u_{3}\oplus u_{4},}$

${\displaystyle \sigma _{2}(u)=(F_{\theta _{1}}(u_{1})\oplus u_{1})||(F_{\theta _{2}}(u_{2})\oplus u_{2}),}$

где ${\displaystyle \theta _{1}=\sigma _{1}(u)||u_{4}}$, ${\displaystyle \theta _{2}=(\sigma _{1}(u)\oplus 1^{128})||u_{3}}$.

Схема одной итерации алгоритма хэширования

Алгоритм выполняется в несколько этапов:

1. Заполняем переменную ${\displaystyle s}$ нулями: ${\displaystyle s\longleftarrow 0^{128}}$.
2. В переменную ${\displaystyle h}$ записываем первые две строки таблицы подстановки ${\displaystyle H}$, двигаясь слева направо и сверху вниз: ${\displaystyle h\longleftarrow B194BAC80A08F53B366D008E584A5DE48504FA9D1BB6C7AC252E72C202FDCE0D_{16}}$.
3. Для каждого блока ${\displaystyle X_{i},i={\overline {1,d}}}$ выполняем операции:
   1. ${\displaystyle s\leftarrow s\oplus \sigma _{1}(X_{i}\|h)}$;
   2. ${\displaystyle h\leftarrow \sigma _{2}(X_{i}||h)}$.
4. Вычисляем ${\displaystyle Y}$: ${\displaystyle Y\longleftarrow \sigma _{2}(\langle |X|\rangle _{128}||s||h)}$.
5. Возвращаем полученное значение ${\displaystyle Y}$, которое и является хэш-значением исходного текста ${\displaystyle X}$.