CN107896149A

CN107896149A - 基于三个群运算的128位对称加密方法

Info

Publication number: CN107896149A
Application number: CN201810000488.6A
Authority: CN
Inventors: 苏盛辉; 郑建华; 王箭
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2018-01-02
Filing date: 2018-01-02
Publication date: 2018-04-10

Abstract

基于三个群运算的128位对称加密方法，属于密码技术和计算机技术领域；包括密钥生成、加密和解密三个部分；发送方随机产生一个256位的初始密钥，使用密钥生成部分从它得到各由72个子密钥组成的加密密钥和解密密钥，并通过安全途径把解密密钥传输给接收方；发送方使用加密密钥和加密部分把128位的明文转换成密文(加密)；接收方使用解密密钥和解密部分把128位的密文还原成明文(解密)；该方法具有安全性高、计算速度快、技术可以公开、适用性强等特点，可用于计算机和通信网络中任何文件、数据的保密存储与传输。

Description

基于三个群运算的128位对称加密方法

(一)技术领域

对称加密方法属于密码技术和计算机技术领域，是电子金融安全、电子商务安全、电子政务安全、可信计算和网络信息安全的核心技术之一。

(二)背景技术

密码技术是一门古来而又活跃的技术，其发展大致可分为古典密码技术、对称密码技术和非对称密码技术三个阶段。目前是对称密码和非对称密码共存的局面，且非对称密码主要用来加密对称密码的密钥。对称密码又可进一步分为分组密码和流密码。下文中，如果没有特别说明，则对称密码均指分组密码。

1977年，美国国家标准技术局(National Institute of Standards andTechnology，简称NIST)提出DES数据加密标准——一个对称加密算法(FIPS 46-3，NIST，1977)，其分组长度为64比特，密钥长度为56比特。1990年，来学嘉等学者提出了IDEA对称加密算法(X.Lai and J.Massey，A Proposal for a New BlocK Encryption Standard，Proc.of Advances in Cryptology-EUROCRYPT’90，Berlin：Springer-Verlag，1991)，其分组长度为64比特，密钥长度为128比特。2001年，NIST颁布了DES的替代版本——AES高级加密标准(FIPS 197，NIST，2001)，其分组长度为128比特，密钥长度为128、192或256比特。

2006年，我国颁布SMS4对称密码算法(国家密码管理局公告，第7号，2006年1月。2012年改称为SM4)，其分组长度为128比特，密钥长度为128比特，主要用于无线网。2012年，我国颁布SM1序列密码算法(国家密码管理局公告，第23号，2012年3月)，它是一个流密码，其初始密钥长度为128比特，初始向量长度也为128比特。

上述5个对称密码体制中，DES和IDEA已不再使用，AES在国际上使用最为普遍，SM1和SM4主要在国内使用，且有特定的应用环境要求。

(三)发明内容

本发明用于计算机和通信网络中字符、文字、音频、图像、视频等各种数据与文件的加密和解密，以确保数据、文件内容的保密存储与传输，可广泛应用于电子金融、电子商务、电子政务和互联网中。

密码技术是保障网络安全的核心技术所在，是维护网络主权的关键抓手所在。本发明希望我们国家在对称密码领域能够拥有更多的自主原创技术，以供不同环境、不同条件下的用户选择和应用。

在本文中，符号←表示把右边的常数值或表达式值赋给左边的变量；“位”表示一个二进制位(也称为比特，其值为0或1)；％代表模运算；代表两个16位运算数的模2加法(即比特异或)；[+]代表两个16位运算数的模2¹⁶加法；⊙代表两个16位运算数的模2¹⁶+1乘法；K_i ^(j)和K′_i ^(j)分别代表加密和解密第j轮第i个子密钥；-K_i ^(j)表示K_i ^(j)模2¹⁶的加法逆元；(K_i ^(j))^-1表示K_i ^(j)模2¹⁶+1的乘法逆元。

特别，对于模2¹⁶+1乘法，元素2¹⁶(即65536)的逆元仍然是2¹⁶，又由于2¹⁶的低16位全部是零，因此，我们使用16位全零元素代表2¹⁶以及2¹⁶的乘法逆元，并且，任何一个元素和16位全零元素做模2¹⁶+1乘法运算时，16位全零元素应被视作2¹⁶，任何一个元素和16位全零元素做模2¹⁶加法运算时，16位全零元素仍被视作0。

3.1基于对称加密的保密通信

在对称密码体制中，加密部件与解密部件一般是相同的，加密初始密钥和解密初始密钥也是相同的。在本发明中，亦是这样。

在本文中，把加密之前的文件或数据叫作明文或明文分组，加密之后的文件或数据叫作密文或密文分组。

假设用户U(发送方)欲通过公共网络向用户V(接收方)传输一个文件或数据，且以保密的方式进行。那么，其过程如下：

①密钥生成：用户U随机产生一个256位的初始密钥K，从K得到加密密钥K_i ^(j)，进而，从K_i ^(j)得到解密密钥K′_i ^(j)，并把解密密钥K′_i ^(j)通过安全途径传送给用户V，其中，i(0≤i≤7)代表子密钥的序号，j(0≤j≤8)代表迭代的序号。

②加密操作：用户U输入加密密钥K_i ^(j)和128位的明文分组X到加密部件中，得到128位的密文分组Y，并通过公共网络把Y传送给用户V。

③解密操作：用户V接收到U发来的128位密文分组Y后，输入解密密钥K′_i ^(j)和密文分组Y到解密部件中，恢复出明文分组X。

3.2本发明的技术方案

本技术方案，由密钥生成、加密和解密等三个部分组成。

根据本发明，可制造密钥生成芯片、加密芯片和解密芯片，或者开发密钥生成软件、加密软件和解密软件等。因此，本发明是一种生产对称密码产品所必须遵循的基本原理与技术方案，而不是物理产品本身。

3.2.1密钥生成部分

每个16位子密钥K_i ^(j)或K′_i ^(j)由初始密钥K变换而来。密钥生成部分的实现方法如下：

输入：一个256位的随机初始密钥K；

(1)置j←0；

(2)把K最左边128位划分为8个16位的子密钥，分别赋给K₀ ^(j)，K₁ ^(j)，...，K₇ ^(j)；

(3)把K循环左移25位；

(4)令j←j+1；

(5)如果j≤8，则转至(2)，否则，下一步；

(6)令K′₀ ⁽⁰⁾，K′₀ ⁽¹⁾，...，K′₀ ⁽⁸⁾←-K₀ ⁽⁸⁾，-K₀ ⁽⁷⁾，...，-K₀ ⁽⁰⁾，

令K′₃ ⁽⁰⁾，K′₃ ⁽¹⁾，...，K′₃ ⁽⁸⁾←-K₃ ⁽⁸⁾，-K₃ ⁽⁷⁾，...，-K₃ ⁽⁰⁾，

令K′₄ ⁽⁰⁾，K′₄ ⁽¹⁾，...，K′₄ ⁽⁸⁾←(K₄ ⁽⁸⁾)^-1，(K₄ ⁽⁷⁾)^-1，...，(K₄ ⁽⁰⁾)^-1，

令K′₇ ⁽⁰⁾，K′₇ ⁽¹⁾，...，K′₇ ⁽⁸⁾←(K₇ ⁽⁸⁾)^-1，(K₇ ⁽⁷⁾)^-1，...，(K₇ ⁽⁰⁾)^-1；

(7)令K′₁ ⁽⁰⁾←(K₁ ⁽⁸⁾)^-1，K′₁ ⁽⁸⁾←(K₁ ⁽⁰⁾)^-1，K′₂ ⁽⁰⁾←(K₂ ⁽⁸⁾)^-1，K′₂ ⁽⁸⁾←(K₂ ⁽⁰⁾)^-1，

令K′₅ ⁽⁰⁾←-K₅ ⁽⁸⁾，K′₅ ⁽⁸⁾←-K₅ ⁽⁰⁾，K′₆ ⁽⁰⁾←-K₆ ⁽⁸⁾，K′₆ ⁽⁸⁾←-K₆ ⁽⁰⁾；

(8)令K′₁ ⁽¹⁾，K′₁ ⁽²⁾，...，K′₁ ⁽⁷⁾←(K₂ ⁽⁷⁾)^-1，(K₂ ⁽⁶⁾)^-1，...，(K₂ ⁽¹⁾)^-1，

令K′₂ ⁽¹⁾，K′₂ ⁽²⁾，...，K′₂ ⁽⁷⁾←(K₁ ⁽⁷⁾)^-1，(K₁ ⁽⁶⁾)^-1，...，(K₁ ⁽¹⁾)^-1，

令K′₅ ⁽¹⁾，K′₅ ⁽²⁾，...，K′₅ ⁽⁷⁾←-K₆ ⁽⁷⁾，-K₆ ⁽⁶⁾，...，-K₆ ⁽¹⁾，

令K′₆ ⁽¹⁾，K′₆ ⁽²⁾，...，K′₆ ⁽⁷⁾←-K₅ ⁽⁷⁾，-K₅ ⁽⁶⁾，...，-K₅ ⁽¹⁾；

输出：加密密钥(由72个子密钥组成)

解密密钥(由72个子密钥组成)

即

解密密钥由发送方(用户U)采用安全途径传输给接收方(用户V)。

3.2.2加密部分

加密部分供发送方使用，用来对明文分组进行加密。其实现方法如下：

输入：一个128位的明文分组X，

72个16位的加密子密钥K_i ^(j)(0≤i≤7，0≤j≤8)；

(1)把X划分为8个16位的子分组X₀，X₁，...，X₇，

令X₀ ⁽⁰⁾，X₁ ⁽⁰⁾，...，X₇ ⁽⁰⁾←X₀，X₁，...，X₇；

(2)置j←0；

(3)计算

(4)令j←j+1；

(5)如果j≤7，则转至(3)，否则，下一步；

(6)令T←X₁ ⁽⁸⁾，X₁ ⁽⁸⁾←X₂ ⁽⁸⁾，X₂ ⁽⁸⁾←T，

令T←X₅ ⁽⁸⁾，X₅ ⁽⁸⁾←X₆ ⁽⁸⁾，X₆ ⁽⁸⁾←T；

(7)计算

Y₀←X₀ ⁽⁸⁾[+]K₀ ⁽⁸⁾，Y₁←X₁ ⁽⁸⁾⊙K₁ ⁽⁸⁾，Y₂←X₂ ⁽⁸⁾⊙K₂ ⁽⁸⁾，Y₃←X₃ ⁽⁸⁾[+]K₃ ⁽⁸⁾，

Y₄←X₄ ⁽⁸⁾⊙K₄ ⁽⁸⁾，Y₅←X₅ ⁽⁸⁾[+]K₅ ⁽⁸⁾，Y₆←X₆ ⁽⁸⁾[+]K₆ ⁽⁸⁾，Y₇←X₇ ⁽⁸⁾⊙K₇ ⁽⁸⁾；

(8)连接Y₀，Y₁，...，Y₇为Y；

输出：128位的密文分组Y。

3.2.3解密部分

解密部分供接收方使用，用来对密文分组进行解密。其实现方法如下：

输入：一个128位的密文分组Y，

72个16位的解密子密钥K′_i ^(j)(0≤i≤7，0≤j≤8)；

(1)把Y划分为8个16位的子分组Y₀，Y₁，...，Y₇，

令X′₀ ⁽⁰⁾，X′₁ ⁽⁰⁾，...，X′₇ ⁽⁰⁾←Y₀，Y₁，...，Y₇；

(2)置j←0；

(3)计算

(4)令j←j+1；

(5)如果j≤7，则转至(3)，否则，下一步；

(6)令T←X′₁ ⁽⁸⁾，X′₁ ⁽⁸⁾←X′₂ ⁽⁸⁾，X′₂ ⁽⁸⁾←T，

令T←X′₅ ⁽⁸⁾，X′₅ ⁽⁸⁾←X′₆ ⁽⁸⁾，X′₆ ⁽⁸⁾←T；

(7)计算

Y′₀←X′₀ ⁽⁸⁾[+]K′₀ ⁽⁸⁾，Y′₁←X′₁ ⁽⁸⁾⊙K′₁ ⁽⁸⁾，Y′₂←X′₂ ⁽⁸⁾⊙K′₂ ⁽⁸⁾，Y′₃←X′₃ ⁽⁸⁾[+]K′₃ ⁽⁸⁾，

Y′₄←X′₄ ⁽⁸⁾⊙K′₄ ⁽⁸⁾，Y′₅←X′₅ ⁽⁸⁾[+]K′₅ ⁽⁸⁾，Y′₆←X′₆ ⁽⁸⁾[+]K′₆ ⁽⁸⁾，Y′₇←X′₇ ⁽⁸⁾⊙K′₇ ⁽⁸⁾；

(8)连接Y′₀，Y′₁，...，Y′₇为Y′，令X←Y′；

输出：128位的明文分组X。

3.2.4方法的正确性

假设在输出处理之前只有一轮迭代。这并不影响本对称加密方法的正确性，因为我们只需要说明轮函数和输出变换是可逆的即可。

首先考虑加密。

把明文分组X划分为8个16位的子分组，并赋给X₀ ⁽⁰⁾，X₁ ⁽⁰⁾，...，X₇ ⁽⁰⁾。

以明文分组X_i ⁽⁰⁾和加密子密钥K_i ⁽⁰⁾、K_i ⁽¹⁾(i＝0，1，...，7)作为输入，根据3.2.2节，加密轮运算如下：

注意，由于只有一轮迭代，因此，X₁ ⁽¹⁾、X₂ ⁽¹⁾之间和X₅ ⁽¹⁾、X₆ ⁽¹⁾之间无需做交换。

进一步，做输出处理：

连接Y₀，Y₁，...，Y₇成为密文分组Y。

下面考虑解密。

把密文分组Y划分为8个16位的子分组，即Y₀，Y₁，...，Y₇，并赋给X′₀ ⁽⁰⁾，X′₁ ⁽⁰⁾，...，X′₇ ⁽⁰⁾。以密文分组X′_i ⁽⁰⁾和解密子密钥Z′_i ⁽⁰⁾、Z′_i ⁽¹⁾(i＝0，1，...，7)作为输入，根据3.2.3节，解密轮运算如下：

注意，由于只有一轮迭代，因此，X′₁ ⁽¹⁾、X′₂ ⁽¹⁾之间和X′₅ ⁽¹⁾、X′₆ ⁽¹⁾之间无需做交换。

进一步，做输出处理：

(00)Y′₀＝X′₀ ⁽¹⁾[+](-Z₀ ⁽⁰⁾)＝A[+](-Z₀ ⁽⁰⁾)＝X₀ ⁽⁰⁾[+]Z₀ ⁽⁰⁾[+](-Z₀ ⁽⁰⁾)＝X₀ ⁽⁰⁾

(01)Y′₁＝X′₁ ⁽¹⁾⊙(Z₁ ⁽⁰⁾)^-1＝B⊙(Z₁ ⁽⁰⁾)^-1＝X₁ ⁽⁰⁾⊙Z₁ ⁽⁰⁾⊙(Z₁ ⁽⁰⁾)^-1＝X₁ ⁽⁰⁾

(02)Y′₂＝X′₂ ⁽¹⁾⊙(Z₂ ⁽⁰⁾)^-1＝C⊙(Z₂ ⁽⁰⁾)^-1＝X₂ ⁽⁰⁾⊙Z₂ ⁽⁰⁾⊙(Z₂ ⁽⁰⁾)^-1＝X₂ ⁽⁰⁾

(03)Y′₃＝X′₃ ⁽¹⁾[+](-Z₃ ⁽⁰⁾)＝D[+](-Z₃ ⁽⁰⁾)＝X₃ ⁽⁰⁾[+]Z₃ ⁽⁰⁾[+](-Z₃ ⁽⁰⁾)＝X₃ ⁽⁰⁾

(04)Y′₄＝X′₄ ⁽¹⁾⊙(Z₄ ⁽⁰⁾)^-1＝E⊙(Z₄ ⁽⁰⁾)^-1＝X₄ ⁽⁰⁾⊙Z₄ ⁽⁰⁾⊙(Z₄ ⁽⁰⁾)^-1＝X₄ ⁽⁰⁾

(05)Y′₅＝X′₅ ⁽¹⁾[+](-Z₅ ⁽⁰⁾)＝F[+](-Z₅ ⁽⁰⁾)＝X₅ ⁽⁰⁾[+]Z₅ ⁽⁰⁾[+](-Z₅ ⁽⁰⁾)＝X₅ ⁽⁰⁾

(06)Y′₆＝X′₆ ⁽¹⁾[+](-Z₆ ⁽⁰⁾)＝G[+](-Z₆ ⁽⁰⁾)＝X₆ ⁽⁰⁾[+]Z₆ ⁽⁰⁾[+](-Z₆ ⁽⁰⁾)＝X₆ ⁽⁰⁾

(07)Y′₇＝X′₇ ⁽¹⁾⊙(Z₇ ⁽⁰⁾)^-1＝H⊙(Z₇ ⁽⁰⁾)^-1＝X₇ ⁽⁰⁾⊙Z₇ ⁽⁰⁾⊙(Z₇ ⁽⁰⁾)^-1＝X₇ ⁽⁰⁾

连接Y′₀，Y′₁，...，Y′₇即X₀ ⁽⁰⁾，X₁ ⁽⁰⁾，...，X₇ ⁽⁰⁾成为明文分组X。

因此，本对称加密方法是正确的。

3.3优点和积极效果

3.3.1安全性高

本技术方案采用的明文分组长度为128比特，与AES相同，另外，还继承了IDEA抗差分分析的特征，因此，安全性高。

3.3.2运算速度快

本技术方案用来加密128比特的明文分组只需26个群运算，比IDEA方法少了2个，因此，运算速度较快。

3.3.3技术可以公开

本技术方案完全可以公开，用户只需保证初始密钥不外泄，就可以完全保证密文的安全。

3.3.6适用性强

本技术方案既可用于无线网中数据的加密，也可用于有线网中数据的加密。

(四)具体实施方式

基于三个群运算的128位对称加密方法的特点是加密密钥和解密密钥由同一个初始密钥得到，初始密钥长度为256比特，分组长度为128比特，相对于非对称密码方法来讲，加密速度和解密速度都明显快很多。

发送方随机产生初始密钥，进而推导出加密密钥和解密密钥，并把解密密钥通过秘密途径传输给接收方。

本加密方法可以用逻辑电路芯片或程序语言来实现，它包括三部分：①根据3.2.1节开发出密钥生成芯片或密钥生成软件模块，供发送方(即用户U)使用；②根据3.2.2节开发出加密芯片或加密软件模块，供发送方使用；③根据3.2.3节开发出解密芯片或解密软件模块，供接收方(即用户V)使用。

Claims

1.基于三个群运算的128位对称加密方法，由密钥生成、加密和解密三个部分组成，密钥生成部分供发送方利用随机初始密钥产生加密密钥和解密密钥，并负责把解密密钥通过安全途径传输给接收方，加密部分供发送方利用加密密钥把明文分组转化为密文分组，解密部分供接收方利用解密密钥把密文分组还原成明文分组，在下文中，符号←表示把右边的常数值或表达式值赋给左边的变量，“位”表示一个二进制位(也称为比特，其值为0或1)，％代表模运算，代表两个16位运算数的模2加法(即比特异或)，[+]代表两个16位运算数的模2¹⁶加法，⊙代表两个16位运算数的模2¹⁶+1乘法，和分别代表加密和解密第j轮第i个子密钥，表示模2¹⁶的加法逆元，表示模2¹⁶+1的乘法逆元，特别，使用16位全零元素代表2¹⁶以及2¹⁶的乘法逆元，并且，任何一个元素和16位全零元素做模2¹⁶+1乘法运算时，16位全零元素应被视作2¹⁶，任何一个元素和16位全零元素做模2¹⁶加法运算时，16位全零元素仍被视作0，本方法的特征在于

●密钥生成部分采用了下列步骤：

输入：一个256位的随机初始密钥K

(1)置j←0；

(3)把K循环左移25位；

(4)令j←j+1；

(5)如果j≤8，则转至(2)，否则，下一步；

(6)令

令

(7)令

令

(8)令

令

输出：加密密钥(由72个子密钥组成)

解密密钥(由72个子密钥组成)

<mrow> <mtable> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>0</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>3</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>5</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>6</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>7</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> <mtd> <mrow> <msup> <mi>K</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mn>8</mn> <mo>)</mo> </mrow> </msup> </mrow> </mtd> </mtr> </mtable> <mo>;</mo> </mrow>

即

解密密钥由发送方采用安全途径传输给接收方；

●加密部分采用了下列步骤：

输入：一个128位的明文分组X，

72个16位的加密子密钥(0≤i≤7，0≤j≤8)；

(1)把X划分为8个16位的子分组X₀，X₁，...，X₇，

令

(2)置j←0；

(3)计算

A←X₀ ^(j)[+]K₀ ^(j)，B←X₁ ^(j)⊙K₁ ^(j)，C←X₂ ^(j)⊙K₂ ^(j)，D←X₃ ^(j)[+]K₃ ^(j)，

E←X₄ ^(j)⊙K₄ ^(j)，F←X₅ ^(j)[+]K₅ ^(j)，G←X₆ ^(j)[+]K₆ ^(j)，H←X₇ ^(j)⊙K₇ ^(j)，

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <mi>I</mi> <mo>&LeftArrow;</mo> <mi>A</mi> <mo>&CirclePlus;</mo> <mi>C</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <mi>J</mi> <mo>&LeftArrow;</mo> <mi>B</mi> <mo>&CirclePlus;</mo> <mi>D</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <mi>Z</mi> <mo>&LeftArrow;</mo> <mi>E</mi> <mo>&CirclePlus;</mo> <mi>G</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <mi>L</mi> <mo>&LeftArrow;</mo> <mi>F</mi> <mo>&CirclePlus;</mo> <mi>H</mi> <mo>,</mo> </mrow> </mtd> </mtr> </mtable> </mfenced>

M←I[+]J，N←Z⊙M，Q←L[+]N，P←M⊙Q，

R←I⊙Q，S←L[+]P，

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>A</mi> <mo>&CirclePlus;</mo> <mi>P</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>C</mi> <mo>&CirclePlus;</mo> <mi>P</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>E</mi> <mo>&CirclePlus;</mo> <mi>S</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>G</mi> <mo>&CirclePlus;</mo> <mi>S</mi> <mo>,</mo> </mrow> </mtd> </mtr> </mtable> </mfenced>

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>B</mi> <mo>&CirclePlus;</mo> <mi>R</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>D</mi> <mo>&CirclePlus;</mo> <mi>R</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>F</mi> <mo>&CirclePlus;</mo> <mi>Q</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <msub> <mi>X</mi> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>H</mi> <mo>&CirclePlus;</mo> <mi>Q</mi> <mo>;</mo> </mrow> </mtd> </mtr> </mtable> </mfenced>

(4)令j←j+1；

(5)如果j≤7，则转至(3)，否则，下一步；

令T←X₅ ⁽⁸⁾，X₅ ⁽⁸⁾←X₆ ⁽⁸⁾，X₆ ⁽⁸⁾←T；

(7)计算

(8)连接Y₀，Y₁，...，Y₇为Y；

输出：128位的密文分组Y；

●解密部分采用了下列步骤：

输入：一个128位的密文分组Y，

72个16位的解密子密钥(0≤i≤7，0≤j≤8)；

(1)把Y划分为8个16位的子分组Y₀，Y₁，...，Y₇，

令

(2)置j←0；

(3)计算

M←I[+]J，N←Z⊙M，Q←L[+]N，P←M⊙Q，

R←I⊙Q，S←L[+]P，

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>A</mi> <mo>&CirclePlus;</mo> <mi>P</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>1</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>C</mi> <mo>&CirclePlus;</mo> <mi>P</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>4</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>E</mi> <mo>&CirclePlus;</mo> <mi>S</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>5</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>G</mi> <mo>&CirclePlus;</mo> <mi>S</mi> <mo>,</mo> </mrow> </mtd> </mtr> </mtable> </mfenced>

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>2</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>B</mi> <mo>&CirclePlus;</mo> <mi>R</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>3</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>D</mi> <mo>&CirclePlus;</mo> <mi>R</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>6</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>F</mi> <mo>&CirclePlus;</mo> <mi>Q</mi> <mo>,</mo> </mrow> </mtd> <mtd> <mrow> <msup> <mi>X</mi> <mo>&prime;</mo> </msup> <msup> <msub> <mrow></mrow> <mn>7</mn> </msub> <mrow> <mo>(</mo> <mi>j</mi> <mo>+</mo> <mn>1</mn> <mo>)</mo> </mrow> </msup> <mo>&LeftArrow;</mo> <mi>H</mi> <mo>&CirclePlus;</mo> <mi>Q</mi> <mo>;</mo> </mrow> </mtd> </mtr> </mtable> </mfenced>

(4)令j←j+1；

(5)如果j≤7，则转至(3)，否则，下一步；

(6)令

令

(7)计算

(8)连接Y′₀，Y′₁，...，Y′₇为Y′，令X←Y′；

输出：128位的明文分组X。