关于TinyJAMBU的定义和介绍在另一篇博文已经介绍过了,这里只对其动作原理进行描述和说明。
对应的博文链接如下:TinyJAMBU:一种轻量化密码介绍
首先,该密码是一个流密码体系的块密码框架。其加密模式整体上来看是块密码,但是密钥的作用单位确实是比特单位,所以本质是一种流密码。这是一个常见的密码体系,整体上分为初始化,关联数据处理,加密和解密,认证四个阶段。每个阶段的动作过程如上所示。
密钥身份——P盒
首先,TinyJambu和其他的密码中有一个比较大且有趣的局别就是,你很难在动作过程图中看到密钥的相关参与过程。因为这个密码中所有的密钥体系是与P盒绑定的,这里的P盒是置换操作,提供了Confusion和Diffusion的效果。P盒本身的设计是基于非线性LFSR,NLFSR(非线性反馈移位寄存器,Non-Linear Feedback Shift Register)是一种序列生成器,主要用于密码学、伪随机数生成和数字通信中的扩频技术。NLFSR 是线性反馈移位寄存器(LFSR,Linear Feedback Shift Register)的非线性扩展。与 LFSR 使用线性函数不同,NLFSR 使用非线性函数处理位移操作。NLFSR 的工作原理类似于 LFSR,但在反馈函数中引入了非线性组件。NLFSR 包括一系列触发器(或位),这些触发器按顺序排列。在每个时钟周期,寄存器中的每个触发器都会向右移动一个位置。最右边的触发器将其值移出寄存器,而最左边的触发器接收一个新的输入值。这个新值是基于寄存器中其他触发器值的非线性函数。引入非线性组件可以增加密码系统的安全性,因为非线性函数更难以通过频谱分析、线性密码分析等密码攻击来预测。然而,NLFSR 的设计和分析相对复杂,因为非线性函数可能导致更多的不可预测性和混乱。
上图就是P盒的NLFSR过程。可以看到密钥流在这里进行了作用,其加密算法如下:
注意的是,该算法中没进行一次,就更新了一个名为state的状态值,该状态值是128bit。这个状态在tinyjambu密码中至关重要。P盒每执行一次,被称为一轮。Pn意味着P盒执行的第n轮次。由于每次P盒执行都会更新状态值,换句话说Pn表示P盒执行n次以后的密码置换操作。
初始化
以tinyjambu-128为例,初始化阶段我们需要首先生成密钥然后获得一个新的状态值。这个过程我们成为密钥生成阶段。在密钥生成阶段,首先将初始的状态值128bit全部置为0,然后通过P1024生成一个全新的状态值。
下一个阶段是随机值Nonce的生成,该值生成需要使用到一个重要的参数叫Framebits。这个参数在TinyJambu中至关重要,他总共有4个取值,分别是1,3,5,7。在生成nonce的阶段,我们需要使用Fb=1,然后使用P384更新状态值,并进行如下图所示的方法更新并再次更新状态值。
需要注意的是,这里虽然谈到了nonce生成和密钥生成,但是本质上这两个数值的生成都是由外部协议提供的,Tinyjambu并不提供一个专门的协议去生成这两个数。而这个密码重点关心的是对状态值的不断更新从而对明文和密文的操作。
关联数据处理
关联数据是在通信中,需要提供认证但是不需要提供数据加密保护的特殊数据,如使用的协议信息。
对于该数据的处理,在TinyJambu中我们首先将Fb置于3,然后使用P384进行操作并更新状态值。最后状态值的最后一个块(32bit)和相关数据的对应的块进行异或运算,并更新最后一个状态块的值。这样每次异或运算更新的值都是最新的。
需要注意的是,关联数据AD是一个不可定的数据块,每次传输数据时可能长度不等,而并不一定每次对AD都能正好被32整除,可能会有余数。此时和块密码不同的是,由于该密码本质上是一个流密码,所以我们不适用padding去凑整,而是剩余的bit有几个就对几个bit进行第四个状态块的前x为比特进行单独的xor处理。
加密与解密
加密过程如上所示,Fb的值首先被置为5,然后经过P1024更新当前的状态值,然后状态值的第四个块与明文块进行异或运算,其结果更新为第四个状态块;而第三个状态块与对应的明文块进行异或后,更新为密文块。根据循环的增长,每个明文块都会得到对应的密文块。同理,由于是流密码,当密文和明文的长度不是32的倍数时,对剩余的部分bit进行一对一的单独异或操作,不需要使用padding填充数据。
解密过程如下所示:基本是过程是相同的,区别只有更新状态使用的明文块而不是密文块。通过下图应该很好理解,就不多赘述了。
认证阶段
认证阶段,首先将Fb置为7,然后进行分两步的操作。分别使用两个P盒函数,一个是1024一个是384。然后分别使用第三个状态块作为对应的Tag值,每个Tag是32bit。最后将两个Tag组合,就可以获得一个64bit 的认证tag。这也是我们需要的最终Tag
提供认证的方法也很简单,就是在接收方接收到后,本地计算一遍Tag并比较接收到的Tag。如果比较结果现实两个Tag相同则证明数据的完整性是没问题的,否则数据被篡改,本次传输被视为无效的。
整体的制动过程
整体制动过程如上图所示,其中作为一个密码,提供密钥作用的是P盒。其他的过程我们在上面已经详细的说明过了。
此外,除了TinyJambu128,还有192和256两个版本,它们本身的区别不大,只不过是密钥的长度以及使用的P盒有所不同,对应的区别如上图所示。
