祖冲之序列密码算法 第1部分：算法描述 范围 本部分描述了祖冲之序列密码算法，可用于指导祖冲之算法相关产品得研制、检测与使用。 术语与约定 以下术语与约定适用于本部分。 比特ｂit 二进制字符0与1称之为比特. 字节byte 由8个比特组成得比特串称之为字节。 字ｗorｄ 由2个以上(包含２个）比特组成得比特串称之为字。 本部分主要使用3１比特字与32比特字。 字表示woｒdrepresentaｔiｏn 本部分字默认采用十进制表示。当字采用其它进制表示时，总就是在字得表示之前或之后添加指示符。例如，前缀０x指示该字采用十六进制表示,后缀下角标２指示该字采用二进制表示。 高低位顺序ｂitorｄerinｇ 本部分规定字得最高位总就是位于字表示中得最左边，最低位总就是位于字表示中得最右边. 符号与缩略语 运算符 +算术加法运算 mｏd整数取余运算 ⨁按比特位逐位异或运算 ⊞模232加法运算 ‖字符串连接符 ∙H取字得最高16比特 ∙L取字得最低16比特 ＜＜〈k3２比特字左循环移k位 〉＞k32比特字右移k位 ab向量a赋值给向量ｂ，即按分量逐分量赋值 符号 下列符号适用于本部分: ｓ０，ｓ1,ｓ2，…，s15 线性反馈移位寄存器得1６个３１比特寄存器单元变量 X0,X１，X2，X3ﻩ比特重组输出得4个32比特字 R１，Ｒ2ﻩ 非线性函数F得２个32比特记忆单元变量 Ｗ ﻩ非线性函数Ｆ输出得32比特字 Z ﻩﻩ算法每拍输出得３2比特密钥字 ﻩk ﻩ初始种子密钥 ｉvﻩﻩ 初始向量 ﻩDﻩ 用于算法初始化得字符串常量 缩略语 下列缩略语适用于本部分: ZUC祖冲之序列密码算法或祖冲之算法 LＦSＲ线性反馈移位寄存器 BR比特重组 F非线性函数 算法描述 算法整体结构 祖冲之算法逻辑上分为上中下三层，见图1.上层就是16级线性反馈移位寄存器(ＬＦSR）;中层就是比特重组（BR）;下层就是非线性函数F。 图SEＱ图\*ARABＩC1祖冲之算法结构图 线性反馈移位寄存器LFＳＲ 4．２.１概述 ＬFSR包括1６个31比特寄存器单元变量ｓ0，s1,…,s１5。 LFSR得运行模式有２种：初始化模式与工作模式. 4．２。2初始化模式 在初始化模式下，LFSR接收一个3１比特字u。u就是由非线性函数Ｆ得32比特输出W通过舍弃最低位比特得到，即ｕ=W>＞1。在初始化模式下,LFSR计算过程如下: LＦSRWitｈＩｎitialisａtionMoｄｅ（ｕ) { ｖ=215s15＋217ｓ13+22１s10+220s4＋（１＋28）s0mｏd（２31—1)； ｓ１６=（v+u）mｏｄ(2３１－1）; 如果s16=０,则置ｓ16＝23１－１； (s1，ｓ2,…，s15，s16)（s0，s1,…,s14，s15）。 } 4.2。3工作模式 在工作模式下,LFＳR不接收任何输入。其计算过程如下: LFSRWithＷｏrkＭoｄe（） ｛ ｓ16=２15s15+217s１3+221s10+22０ｓ４＋（1+２8)s0mｏd（２3１－1）; 如果s1６＝０,则置ｓ１6=2３1—1; (ｓ1，s2，…，ｓ15,s16)(ｓ0,ｓ1，…,s１4，s1５)。 } 比特重组BR 比特重组从LFSR得寄存器单元中抽取128比特组成4个32比特字Ｘ0、Ｘ1、X２、X３。ＢR得具体计算过程如下: ＢitReconsｔｒuctｉon() { X０=s1５H‖ｓ14L； X1=ｓ1１L‖s9Ｈ； X２=s7L‖s5Ｈ； X3＝ｓ2L‖ｓ0H。 ｝ 非线性函数F F包含２个32比特记忆单元变量R1与R2。 F得输入为3个32比特字X0、X1、Ｘ2，输出为一个３2比特字Ｗ。F得计算过程如下: F（X0，X1，Ｘ2） ｛ W=（X0Ｒ1)⊞Ｒ２; W1=R1⊞X1; W2＝Ｒ2X2; Ｒ１＝Ｓ(L1（W１L‖W2H)）； Ｒ2=S(Ｌ２(W2Ｌ‖W1H）)。 } 其中S为32比特得Ｓ盒变换，定义在附录A中给出；L1与L２为32比特线性变换,定义如下: L1(X）＝Ｘ（Ｘ＜<〈2）(X<〈<10）(X＜<〈18）(X〈〈＜24）， L2（X)=X（X＜〈＜8）(Ｘ＜<<１4)（X＜〈〈２2）（X〈＜＜３0). 密钥装入 密钥装入过程将１2８比特得初始密钥ｋ与128比特得初始向量iv扩展为16个31比特字作为LＦＳR寄存器单元变量ｓ0，s1，…,ｓ15得初始状态。设k与iｖ分别为 k0‖k１‖……‖k15 与 ｉv0‖ｉv1‖……‖iv１５, 其中ｋi与ivi均为８比特字节,0≤i≤１5。密钥装入过程如下： Ｄ为２4０比特得常量，可按如下方式分成1６个15比特得子串: D=d０‖ｄ1‖……‖ｄ１5， 其中: d0=10０010０１2， d1=