祖冲之(ZUC)序列密码

1、术语约定：

1.1 比特 bit

二进制字符0和1称之为比特

1.2 字节 byte

八个比特组成的比特串称为字节

1.3 字 word

有两个以上（包含两个）比特组成的比特串称之为字

1.4 字表示 word representation

本部份字默认采用十进制表示。当字采用其他进制表示时，总是在字的表示之前或之后添加指示符。例如，前缀0x指示该字采用十六进制表示，后缀下角标2指示该字采用二进制表示。

1.5 高低位顺序 bit ordering

本部分规定字的最高位总是位于字表示中的最左边，最低位总是位于字表示中的最右边。

2、符号和缩略语

2.1 运算符

算术加法运算

整数取余运算

按比特位逐位异或运算

模<img src=”http://chart.googleapis.com/chart?cht=tx&chl=2^{32}”tyle=”border:none;”>加法运算

$·H$ 取字的最高 16比 特

$·L$ 取字的最低 16比 特

$«<k$ 32比特字左循环k位

$k$ 32比特字右移k位

$a→b$ 向量a赋值给向量b，即按分量逐分量赋值

#####2.2 符号 $s_0,s_1……s_{15}$ 线性反馈移位寄存器的16个1比特寄存器单元变量

$X_0,X_1,X_2,X_3$ 比特重组输出的4个32比特字

$R_1,R_2$ 非线性函数F的2个32比特记忆单元变量

$W$ 非线性函数F输出的32$bit $

$Z$ 算法每拍输出的32比特密钥字

$K$ 初始种子密钥

$iv$ 初始向量

$D$ 用于算法初始化的字符串向量

#####2.3缩略语 $ZUC$ 祖冲之序列密码算法

$LFSR$ 线性反馈移位寄存器

$BR $ 比特重组

$F$ 非线性函数

3 算法描述

#####3.1算法结构 祖冲之算法结构包含三层，如图1所示。上层为线性反馈移位寄存器$LFSR$ ，中层为比特重组$BR$，下层为非线性函数$F$ 。

​

3.2 LFSR

###### 3.2.1概述

$LFSR$由16个31$b$的单元变量构成，定义在素域上，其特征多项式 $f(x)=x^{16}-(2^{15}x^{15}+2^{17}x^{13}+2^{21}x^{10}+2^{20}x^4+(2^8+1))$

是素域$GF(2^{31}-1)$ 上的本原多项式。

3.2.2初始化模式

$LFSR$ 只接受一个31比特字$u,u=W»1$。

$LFSRWithInitialisationMode(u)$

{

​ $(1)v=2^{15}s_{15}+2^{17}s_{13}+2^{21}s_{10}+2^{20}s_4+(1+2^8)s_0mod(2^{31}-1);$

​ $(2)s_{16}=(v+u)mod(2^{31}-1);$

​ $(3)$$if$ $s_{16}=0,$

​ $then$ $s_{16}=2^{31}-1;$

​ $(4)(s_1,s_2,……s_{16}) \rightarrow (s_0,s_1,……s_{15}); $

}

3.2.3工作模式

$LFSR$不接受任何输入。

$LFSRWithWorkMode()$

{

​ $(1)s_{16}=2^{15}s_{15}+2^{17}s_{13}+2^{21}s_{10}+2^{20}s_4+(1+2^8)s_0mod(2^{31}-1);$

​ $(2)$ $if$ $s_{16}=0,$

​ $then$ $s_{16}=2^{31}-1;$

​ $(3)(s_1,s_2,……s_{16}) \rightarrow (s_0,s_1,……s_{15});$

}

3.3 比特重组BR

比特重组$BR$ 为中间过渡层，其从$LFSR$的寄存器变量$s_0,s_2,s_5,s_7,s_9,s_11,s_14,s_15$ 中抽取128位组成4个32b的字$X_0,X_1,X_2,X_3$ 。$BR$具体算法如下：

$BitReconstruction()$

{

}

3.4 非线性函数F

$F$包含2个32比特记忆单元变量$R_1,R_2$ 。

$F$的输入为3个32比特字$X_0,X_1,X_2$ ,输出为一个32比特字W。

$F(X_0,X_1,X_2)$

{

​ $(1)W=(X_0\oplus R_1)\boxplus R_2;$

​ $(2)W_1=R_1 \boxplus X_1;$

​ $(3)W_2=R_2 \oplus X_2;$

}

$S$为32比特的$S$盒变换，定义见附录$A$；

​ $L_1(X)=X\oplus (X«<2)\oplus (X«<10)\oplus(X«<18)\oplus (X«<24);$

​ $L_2(X)=X\oplus (X«<8)\oplus (X«<14)\oplus(X«<22)\oplus (X«<30);$

3.5密钥装入

密钥装入过程将128比特的初始密钥$k$和128比特的初始向量$iv$扩展为16个31比特字作为$LFSR$寄存器变量$s_0,s_1……s_{15}$ 的初始状态。

其中，$k_i$和$iv _i$均为8比特字节，$0\leq i\leq15$

密钥封装过程：

$(1)D$为240比特的常量，分成16个15比特的子串：

其中：

​ $d_0=100010011010111_2,$

​ $d_1=010011010111100_2,$

​ $d_2=110001001101011_2,$

​ $d_3=001001101011110_2,$

​ $d_4=101011110001001_2,$

​ $d_5=011010111100010_2,$

​ $d_6=111000100110101_2,$

​ $d_7=000100110101111_2,$

​ $d_8=100110101111000_2,$

​ $d_9=010111100010011_2,$

​ $d_{10}=110101111000100_2,$

​ $d_{11}=001101011110001_2,$

​ $d_{12}=101111000100110_2,$

​ $d_{13}=011110001001101_2,$

​ $d_{14}=111100010011010_2,$

​ $d_{15}=100011110101100_2,$

##### 3.6算法运行

3.6.1初始化阶段

首先按照3.5进行密钥封装，并置32比特记忆单元变量$R_1$和$R_2$为全0.

然后重复下述操作32次：

​ $(1)BitReconstruction();$

​ $(2)W=F(X_0，X_1，X_2);$

​ $(3)LFSRWithInitialisationMode(W»1);$

3.6.2工作阶段

首先执行下列操作一次，并将$F$的输出$W$舍弃：

​ $ (1)BitReconstruction();$

​ $(2)F(X_0，X_1，X_2);$

​ $(3)LFSRWithInitialisationMode();$

然后进入密钥输出阶段。执行下述过程一次，并输出一个32比特的密钥字$Z$ :

​ $ (1)BitReconstruction();$

​ $(2)Z=F(X_0，X_1，X_2)\oplus X_3;$

​ $(3)LFSRWithInitialisationMode();$

附录

$S$盒

​ 设$S$盒$S$ 的32比特输入X和32比特输出Y分别为：

​ 其中$x_i$和$y_i$均为8比特字节，$i=0,1,2,3$ 。则有$y_i=S(x_i), i=0,1,2,3$ 。