MESH (шифр)

В криптографії, MESH — блочний шифр, що є модифікацією IDEA. Розроблений Жоржем Накахара, Вінсентом Рейменом, Бартом Пренелем і Джусом Вандевалле в 2002 році. На відміну від IDEA, MESH має більш складну раундову структуру. Інший алгоритм генерації ключів дозволяє MESH уникати проблеми слабких ключів ^[1].

MESH

Розробники	Накахара, Реймен, Пренель, Вандевалле
Уперше оприлюднений	2002
Раундів	8.5, 10.5, 12.5
Тип	Підстановлювально-переустановлена мережа

Структура шифру

Кожен раунд в IDEA і MESH складається з операцій додавання та множення. Послідовність таких обчислень в межах одного раунду утворює MA-бокс. Всі MA-бокси в MESH використовують мінімум три чергових рівнів додавань і множень (за схемою «зигзаг»), в той час, як в IDEA таких тільки два. Це робить MESH більш стійким проти диференціальної і лінійної криптоатак. Також, з метою уникнення проблеми слабких ключів, в MESH використовуються два наступних принципи:

• Кожне підключення залежить від багатьох подключень, точнішео — як мінімум від шести попередніх ключів нелінійно.
• Використовуються фіксовані константи. Без них, наприклад, ключ з усіх нулів перейшов би в підключі, кожна з яких дорівнювала б нулю в будь-якому раунді.

Як і в IDEA, MESH використовує такі операції:

• Множення по модулю ${\displaystyle 2^{16}+1}$ , при чому замість нуля використовується ${\displaystyle 2^{16}}$  (${\displaystyle \odot }$ )
• Бітовий зсув вліво на ${\displaystyle n}$  бит (${\displaystyle \lll \ n}$ )
• Складання по модулю ${\displaystyle 2^{16}}$  (${\displaystyle \boxplus }$ )
• Побітова Виключна диз'юнкція (${\displaystyle \oplus }$ )

Операції розташовані в порядку зменшення пріоритету. В обчисленнях запис ${\displaystyle A_{k}^{(i)}}$  позначає 16-ти бітове слово. Індекси описуються далі.

MESH описується в трьох варіаціях за розмірами блоку: 64, 96, 128 біт. Розмір ключа при цьому береться вдвічі більший ^[2].

MESH-64

У даній варіації розмір блоку становить 64 біт, ключ — 128 біт. Шифрування проходить в 8.5 раундів. Половина раунду відноситься до вихідних перетворень ^[3].

Раундові перетворення

Позначимо вхідну інформацію для ${\displaystyle i}$  -го раунду:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)}),\ i=1...9}$ 

Кожен раунд складається з двох частин: перемішування вхідних даних з підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)})\ =\ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)})}$ .

• Для парних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)})\ =\ (X_{1}^{(i)}\ \ boxplus\ Z_{1}^{(i)},\ X_{2}^{(i)}\ \ odot\ Z_{2}^{(i)},\ X_{3}^{(i)}\ \ odot\ Z_{3}^{(i)},\ X_{4}^{(i)}\ \ boxplus\ Z_{4}^{(i)})}$ .

Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{3}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{4}^{(i)})}$ 

МА-обчислення описуються наступними формулами:
${\displaystyle Y_{7}^{(i)}\ =\ ((Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}\ \boxplus \ Y_{6}^{(i)})\ \odot \ Z_{6}^{(i)}\ \boxplus \ (Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}))\ \odot \ Z_{7}^{(i)}}$ 
${\displaystyle Y_{8}^{(i)}\ =\ Y_{7}^{(i)}\ \boxplus \ ((Y_{5}^{(i)}\ \odot \ Z_{5}^{(i)}\ \boxplus \ Y_{6}^{(i)})\ \odot \ Z_{6}^{(i)})}$ 

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{8}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{8}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{7}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{7}^{(i)})}$ 

Згідно зі схемою, для отримання зашифрованого повідомлення, необхідно після восьмого раунду провести перемішування по непарній схемі ${\displaystyle (i=9)}$ ^[4]

Генерація ключів

Для генерації ключів використовується 128-бітний, призначений для користувача ключ, а також 16-бітові константи ${\displaystyle c_{i}}$ : ${\displaystyle c_{0}\ =\ 1}$ , ${\displaystyle c_{i}\ =\ 3c_{i-1}}$ , вони обчислюються в Полі Галуа ${\displaystyle GF(2^{16})}$  по модулю багаточлена ${\displaystyle x^{16}\ +\ x^{5}\ +\ x^{3}\ +\ x^{2}\ +\ 1}$ . Призначений для користувача ключ, розбивається на 8 16-бітових слів ${\displaystyle K_{i},\ 0\ \ leqslant\ i\ \ leqslant\ 7}$ .

Обчислення підключів відбувається наступним чином: ^[5]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 6}$ 
${\displaystyle Z_{1}^{(2)}\ =\ K_{7}\ \oplus \ c_{7}}$ 
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-8)}^{(h(i-8))}\ \boxplus \ Z_{l(i-7)}^{(h(i-7))})\ \oplus \ Z_{l(i-6)}^{(h(i-6))})\ \boxplus \ Z_{l(i-3)}^{(h(i-3))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 7\ \oplus \ c_{i},}$ 
где ${\displaystyle 8\ \leqslant \ i\ \leqslant \ 59,\ h(i)\ =\ i\ div\ 7\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}7\ +\ 1}$ .

Розшифровка

Для розшифровки MESH, як і IDEA, використовують вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_{1}^{(r)},\ ...\ Z_{7}^{(r)}),\ 1\ \ leqslant\ r\ \ leqslant\ 8}$  — підключі повних раундів;
${\displaystyle (Z_{1}^{(9)},\ ...\ Z_{4}^{(9)})}$  — підключі вихідних перетворень.

Тоді підключі розшифровки задаються наступним чином ^[6]: ^[6]:

• ${\displaystyle ((Z_{1}^{(9)})^{-1},\ -Z_{2}^{(9)},\ -Z_{3}^{(9)},\ (Z_{4}^{(9)})^{-1},\ Z_{5}^{(8)},\ Z_{6}^{(8)},\ Z_{7}^{(8)})}$ , — первий раунд розшифровки;
• ${\displaystyle (-Z_{1}^{(10-r)},\ (Z_{3}^{(10-r)})^{-1},\ (Z_{2}^{(10-r)})^{-1},\ -Z_{4}^{(10-r)},\ Z_{5}^{(9-r)},\ Z_{6}^{(9-r)},\ Z_{7}^{(9-r)})}$ , — ${\displaystyle r}$ -й парний раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8\}}$ ;
• ${\displaystyle ((Z_{1}^{(9-r)})^{-1},\ -Z_{3}^{(9-r)},\ -Z_{2}^{(9-r)},\ (Z_{4}^{(9-r)})^{-1},\ Z_{5}^{(8-r)},\ Z_{6}^{(8-r)},\ Z_{7}^{(8-r)})}$ , — ${\displaystyle r}$ -й непарний раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7\}}$ ;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ -Z_{3}^{(1)},\ (Z_{4}^{(1)})^{-1})}$ , — вихідні перетворення.

MESH-96

У даній варіації розмір блоку становить 96 біт, ключ — 192 біт. Шифрування проходить в 10.5 раундів. Половина раунду відноситься до вихідних перетворень ^[7].

Раундові перетворення

Позначимо вхідну інформацію для ${\displaystyle i}$  -го раунду:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)},\ X_{5}^{(i)},\ X_{6}^{(i)}),\ i=1...11}$ 

Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \odot \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \boxplus \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \odot \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \boxplus \ Z_{6}^{(i)})}$ 

• Для парних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)})\ =\ (X_{1}^{(i)}\ \boxplus \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \odot \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \boxplus \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \odot \ Z_{6}^{(i)})}$  Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_{7}^{(i)},\ Y_{8}^{(i)},\ Y_{9}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{4}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{5}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{6}^{(i)})}$ 

МА-обчислення описуються наступними формулами:
${\displaystyle Y_{10}^{(i)}\ =\ (((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})\ \odot \ (Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \boxplus \ Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)})\ \odot \ Z_{9}^{(i)}}$ 
${\displaystyle Y_{11}^{(i)}\ =\ Y_{10}^{(i)}\ \boxplus \ ((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})\ \odot \ (Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})}$ 
${\displaystyle Y_{12}^{(i)}\ =\ Y_{11}^{(i)}\ \odot \ ((Y_{7}^{(i)}\ \odot \ Z_{7}^{(i)}\ \boxplus \ Y_{8}^{(i)})\ \odot \ Y_{9}^{(i)}\ \boxplus \ Z_{8}^{(i)})}$ 

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{12}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{12}^{(i)},\ Y_{5}^{(i)}\ \oplus \ Y_{11}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{11}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{10}^{(i)},\ Y_{6}^{(i)}\ \oplus \ Y_{10}^{(i)})}$ 

Для отримання зашифрованого повідомлення, необхідно після 10-го раунду провести перемішування за непарною схемою ${\displaystyle (i=9)}$  ^[8]

Генерація ключів

Для генерації ключів використовується 192-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як і для MESH-64.

Обчислення подключів відбувається наступним чином: ^[9]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 8}$ 
${\displaystyle Z_{1}^{(2)}\ =\ K_{9}\ \oplus \ c_{9}}$ 
${\displaystyle Z_{2}^{(2)}\ =\ K_{10}\ \oplus \ c_{10}}$ 
${\displaystyle Z_{3}^{(2)}\ =\ K_{11}\ \oplus \ c_{11}}$ 
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-12)}^{(h(i-12))}\ \boxplus \ Z_{l(i-8)}^{(h(i-8))})\ \oplus \ Z_{l(i-6)}^{(h(i-6))})\ \boxplus \ Z_{l(i-4)}^{(h(i-4))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 9\ \oplus \ c_{i},}$ 
где ${\displaystyle 12\ \leqslant \ i\ \leqslant \ 95,\ h(i)\ =\ i\ div\ 9\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}9\ +\ 1}$ .

Розшифровка

Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_{1}^{(r)},\ ...\ Z_{9}^{(r)}),\ 1\ \ leqslant\ r\ \ leqslant\ 10}$  — підключі повних раундів;
${\displaystyle (Z_{1}^{(11)},\ ...\ Z_{6}^{(11)})}$  — підключі вихідних перетворень.

Тоді підключі розшифровки задаються наступним чином ^[10]:

• ${\displaystyle ((Z_{1}^{(11)})^{-1},\ -Z_{2}^{(11)},\ (Z_{3}^{(11)})^{-1},\ -Z_{4}^{(11)},\ (Z_{5}^{(11)})^{-1},\ -Z_{6}^{(11)},\ Z_{7}^{(10)},\ Z_{8}^{(10)},\ Z_{9}^{(10)})}$ , — перший раунд розшифровки;
• ${\displaystyle (-Z_{1}^{(12-r)},\ (Z_{4}^{(12-r)})^{-1},\ -Z_{5}^{(12-r)},\ (Z_{2}^{(12-r)})^{-1},\ -Z_{3}^{(12-r)},\ (Z_{6}^{(12-r)})^{-1},\ Z_{7}^{(11-r)},\ Z_{8}^{(11-r)},\ Z_{9}^{(11-r)})}$ , — ${\displaystyle r}$ -й парний раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8,\ 10\}}$ ;
• ${\displaystyle ((Z_{1}^{(11-r)})^{-1},\ -Z_{4}^{(11-r)},\ (Z_{5}^{(11-r)})^{-1},\ -Z_{2}^{(11-r)},\ (Z_{3}^{(11-r)})^{-1},\ -Z_{6}^{(11-r)},\ Z_{7}^{(10-r)},\ Z_{8}^{(10-r)},\ Z_{9}^{(10-r)})}$ , — ${\displaystyle r}$ -й непарний раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7,\ 9\}}$ ;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ (Z_{3}^{(1)})^{-1},\ -Z_{4}^{(1)},\ (Z_{5}^{(1)})^{-1},\ -Z_{6}^{(1)})}$ , — вихідні перетворення.

MESH-128

У даній варіації розмір блоку становить 128 біт, ключ — 256 біт. Шифрування проходить в 12.5 раундів. Половина раунду відноситься до вихідних перетворень ^[11].

Ранундові перетворення

Позначимо вхідну інформацію для ${\displaystyle i}$  -го раунду:
${\displaystyle X^{(i)}\ =\ (X_{1}^{(i)},\ X_{2}^{(i)},\ X_{3}^{(i)},\ X_{4}^{(i)},\ X_{5}^{(i)},\ X_{6}^{(i)},\ X_{7}^{(i)},\ X_{8}^{(i)}),\ i=1...13}$  Кожен раунд складається з двох частин: перемішування вхідних даних із підключами і MA-обчислення. На парних і непарних раундах перемішування відбувається по-різному:

• Для непарних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)},\ Y_{7}^{(i)},\ Y_{8}^{(i)})\ =}$ 
${\displaystyle \ \ \ \ \ \ \ \ \ \ \ \ \ (X_{1}^{(i)}\ \odot \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \boxplus \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \odot \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \boxplus \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \odot \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \boxplus \ Z_{6}^{(i)},\ X_{7}^{(i)}\ \odot \ Z_{7}^{(i)},\ X_{8}^{(i)}\ \boxplus \ Z_{8}^{(i)})}$ 

• Для парних раундів:

${\displaystyle (Y_{1}^{(i)},\ Y_{2}^{(i)},\ Y_{3}^{(i)},\ Y_{4}^{(i)},\ Y_{5}^{(i)},\ Y_{6}^{(i)},\ Y_{7}^{(i)},\ Y_{8}^{(i)})\ =}$ 
${\displaystyle \ \ \ \ \ \ \ \ \ \ \ \ \ (X_{1}^{(i)}\ \boxplus \ Z_{1}^{(i)},\ X_{2}^{(i)}\ \odot \ Z_{2}^{(i)},\ X_{3}^{(i)}\ \boxplus \ Z_{3}^{(i)},\ X_{4}^{(i)}\ \odot \ Z_{4}^{(i)},\ X_{5}^{(i)}\ \boxplus \ Z_{5}^{(i)},\ X_{6}^{(i)}\ \odot \ Z_{6}^{(i)},\ X_{7}^{(i)}\ \boxplus \ Z_{7}^{(i)},\ X_{8}^{(i)}\ \odot \ Z_{8}^{(i)})}$ 

Перетворення, що виконуються MA-боксами, однакові для всіх раундів. Вхідні дані для них виходять наступним чином:
${\displaystyle (Y_{9}^{(i)},\ Y_{10}^{(i)},\ Y_{11}^{(i)},\ Y_{12}^{(i)})\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{5}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{6}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{7}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{8}^{(i)})}$ 
.

МА-обчислення описуються наступними формулами:

${\displaystyle Y_{13}^{(i)}\ =\ Y_{9}^{(i)}\ \odot \ Z_{9}^{(i)},\ \ \ \ \ Y_{14}^{(i)}\ =\ Y_{13}^{(i)}\ \boxplus \ Y_{10}^{(i)},}$ 
${\displaystyle Y_{15}^{(i)}\ =\ Y_{14}^{(i)}\ \odot \ Y_{11}^{(i)},\ \ \ \ \ Y_{16}^{(i)}\ =\ Y_{15}^{(i)}\ \boxplus \ Y_{12}^{(i)},}$ 
${\displaystyle Y_{17}^{(i)}\ =\ Y_{16}^{(i)}\ \odot \ Z_{10}^{(i)},\ \ \ \ \ Y_{18}^{(i)}\ =\ Y_{15}^{(i)}\ \boxplus \ Y_{17}^{(i)},}$ 
${\displaystyle Y_{19}^{(i)}\ =\ Y_{14}^{(i)}\ \odot \ Y_{18}^{(i)},\ \ \ \ \ Y_{20}^{(i)}\ =\ Y_{13}^{(i)}\ \boxplus \ Y_{19}^{(i)},}$ 
${\displaystyle Y_{21}^{(i)}\ =\ Y_{20}^{(i)}\ \odot \ Z_{11}^{(i)},\ \ \ \ \ Y_{22}^{(i)}\ =\ Y_{19}^{(i)}\ \boxplus \ Y_{21}^{(i)},}$ 
${\displaystyle Y_{23}^{(i)}\ =\ Y_{18}^{(i)}\ \odot \ Y_{22}^{(i)},\ \ \ \ \ Y_{24}^{(i)}\ =\ Y_{17}^{(i)}\ \boxplus \ Y_{23}^{(i)},}$ 
${\displaystyle Y_{25}^{(i)}\ =\ Y_{24}^{(i)}\ \odot \ Z_{12}^{(i)},\ \ \ \ \ Y_{26}^{(i)}\ =\ Y_{23}^{(i)}\ \boxplus \ Y_{25}^{(i)},}$ 
${\displaystyle Y_{27}^{(i)}\ =\ Y_{22}^{(i)}\ \odot \ Y_{26}^{(i)},\ \ \ \ \ Y_{28}^{(i)}\ =\ Y_{21}^{(i)}\ \boxplus \ Y_{27}^{(i)}.}$ 

Використовуючи результати, отримані MA-боксами, знаходимо вхідні дані для наступного раунду:
${\displaystyle X^{(i+1)}\ =\ (Y_{1}^{(i)}\ \oplus \ Y_{25}^{(i)},\ Y_{5}^{(i)}\ \oplus \ Y_{25}^{(i)},\ Y_{6}^{(i)}\ \oplus \ Y_{26}^{(i)},\ Y_{7}^{(i)}\ \oplus \ Y_{27}^{(i)},\ Y_{2}^{(i)}\ \oplus \ Y_{26}^{(i)},\ Y_{3}^{(i)}\ \oplus \ Y_{27}^{(i)},\ Y_{4}^{(i)}\ \oplus \ Y_{28}^{(i)},\ Y_{8}^{(i)}\ \oplus \ Y_{28}^{(i)})}$ 

Для отримання зашифрованого повідомлення необхідно після 12-го раунду провести перемішування за непарною схемою ${\displaystyle (i=9)}$  ^[12]

Генерація ключів

Для генерації ключів використовується 256-бітний, призначений для користувача, ключ, а також 16-бітові константи, такі ж, як для MESH-64 і для MESH-96.

Обчислення подключів відбувається наступним чином: ^[13]:
${\displaystyle Z_{i+1}^{(1)}\ =\ K_{i}\ \oplus \ c_{i},\ 0\ \leqslant \ i\ \leqslant \ 11}$ 
${\displaystyle Z_{j\ {\bmod {\ }}12\ +\ 1}^{(2)}\ =\ K_{j}\ \oplus \ c_{j},\ 12\ \leqslant \ j\ \leqslant \ 15}$ 
${\displaystyle Z_{l(i)}^{(h(i))}\ =\ (((((Z_{l(i-16)}^{(h(i-16))}\ \boxplus \ Z_{l(i-13)}^{(h(i-13))})\ \oplus \ Z_{l(i-12)}^{(h(i-12))})\ \boxplus \ Z_{l(i-8)}^{(h(i-8))})\ \oplus \ Z_{l(i-2)}^{(h(i-2))})\ \boxplus \ Z_{l(i-1)}^{(h(i-1))})\ \lll \ 11\ \oplus \ c_{i},}$ 
где ${\displaystyle 16\ \leqslant \ i\ \leqslant \ 151,\ h(i)\ =\ i\ div\ 12\ +\ 1,\ l(i)\ =\ i\ {\bmod {\ }}12\ +\ 1}$ .

Розшифровка

Для розшифровки MESH, як і IDEA, використовує вже існуючу схему, але зі зміненими раундовими підключами. Позначимо підключі, що використовувалися при шифруванні, в такий спосіб:
${\displaystyle (Z_{1}^{(r)},\ ...\ Z_{12}^{(r)}),\ 1\ \ leqslant\ r\ \ leqslant\ 12}$  — підключі повних раундів;
${\displaystyle (Z_{1}^{(13)},\ ...\ Z_{8}^{(13)})}$  — підключі вихідних перетворень.

^[14]:

• ${\displaystyle ((Z_{1}^{(13)})^{-1},\ -Z_{2}^{(13)},\ (Z_{3}^{(13)})^{-1},\ -Z_{4}^{(13)},\ -Z_{5}^{(13)},\ (Z_{6}^{(13)})^{-1},\ -Z_{7}^{(13)},\ (Z_{8}^{(13)})^{-1},\ Z_{9}^{(12)},\ Z_{10}^{(12)},\ Z_{11}^{(12)},\ Z_{12}^{(12)})}$ , — перший раунд розшифровки;
• ${\displaystyle (-Z_{1}^{(14-r)},\ (Z_{5}^{(14-r)})^{-1},\ -Z_{6}^{(14-r)},\ (Z_{7}^{(14-r)})^{-1},\ (Z_{2}^{(14-r)})^{-1},\ -Z_{3}^{(14-r)},\ (Z_{4}^{(14-r)})^{-1},\ -Z_{8}^{(14-r)},\ Z_{9}^{(13-r)},\ Z_{10}^{(13-r)},\ Z_{11}^{(13-r)},\ Z_{12}^{(13-r)})}$ , — ${\displaystyle r}$ -й парний раунд, ${\displaystyle r\ \in \ \{2,\ 4,\ 6,\ 8,\ 10,\ 12\}}$ ;
• ${\displaystyle ((Z_{1}^{(13-r)})^{-1},\ -Z_{5}^{(13-r)},\ (Z_{6}^{(13-r)})^{-1},\ -Z_{7}^{(13-r)},\ -Z_{2}^{(13-r)},\ (-Z_{3}^{(13-r)})^{-1},\ -Z_{4}^{(13-r)},\ (Z_{8}^{(13-r)})^{-1},\ Z_{9}^{(12-r)},\ Z_{10}^{(12-r)},\ Z_{11}^{(12-r)},\ Z_{12}^{(12-r)})}$ , — ${\displaystyle r}$ -й непарний раунд, ${\displaystyle r\ \in \ \{3,\ 5,\ 7,\ 9,\ 11\}}$ ;
• ${\displaystyle ((Z_{1}^{(1)})^{-1},\ -Z_{2}^{(1)},\ (Z_{3}^{(1)})^{-1},\ -Z_{4}^{(1)},\ -Z_{5}^{(1)},\ (Z_{6}^{(1)})^{-1},\ -Z_{7}^{(1)},\ (Z_{8}^{(1)})^{-1})}$ , — вихідні перетворення.

Криптоаналіз

Нижче наводиться таблиця, яка містить розрахункову інформацію щодо можливих криптоатак. У ній розглядаються урізані алгоритми, кількість раундів можна побачити у відповідній колонці. За дані приймаються вибрані підібрані відкриті тексти, вказується необхідна кількість таких (в блоках). Час оцінюється в кількості обчислень. Пам'ять відображає кількість елементів пам'яті, необхідних для зберігання будь-яких даних під час криптоатаки. Як видно з таблиці, всі варіанти MESH більш складні для злому представленими криптоатаками, ніж IDEA, на якому він базується ^{[15] [16]}.

Таблиця 1. Узагальнення складнощів криптоатак на IDEA і MESH^[17]

Шифр	Криптоаналіз	#Раундів	Дані	Пам'ять	Час
IDEA (8.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 23}$	${\displaystyle 23}$	${\displaystyle 2^{64}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{32}}$	${\displaystyle 2^{67}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{38.5}}$	${\displaystyle 2^{37}}$	${\displaystyle 2^{53}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{38.5}}$	${\displaystyle 2^{37}}$	${\displaystyle 2^{70}}$
MESH-64 (8.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 2^{50.5}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{76}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{32}}$	${\displaystyle 2^{78}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{39.5}}$	${\displaystyle 2^{61}}$	${\displaystyle 2^{64}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{39.5}}$	${\displaystyle 2^{61}}$	${\displaystyle 2^{112}}$
MESH-96 (10.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 2^{50}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{96}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{96}}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{109}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{93}}$	${\displaystyle 2^{96}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{56}}$	${\displaystyle 2^{93}}$	${\displaystyle 2^{144}}$
MESH-128 (12.5 раундів)	Інтегральний	${\displaystyle 2.5}$	${\displaystyle 2^{50}}$	${\displaystyle 2^{16}}$	${\displaystyle 2^{128}}$
	Усічений диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{128}}$	${\displaystyle 2^{64}}$	${\displaystyle 2^{142}}$
	Неможливий диф.[en]	${\displaystyle 3.5}$	${\displaystyle 2^{65}}$	${\displaystyle 2^{157}}$	${\displaystyle 2^{128}}$
	Неможливий диф.[en]	${\displaystyle 4}$	${\displaystyle 2^{65}}$	${\displaystyle 2^{157}}$	${\displaystyle 2^{192}}$

Примітки

1. The MESH Block Ciphers, 2002, с. 1-2.
2. Cryptanalysis And Design Of Block Ciphers, 2003, с. 124.
3. Cryptanalysis And Design Of Block Ciphers, 2003, с. 125.
4. Cryptanalysis And Design Of Block Ciphers, 2003, с. 125-126.
5. The MESH Block Ciphers, 2002, с. 3.
6. The MESH Block Ciphers, 2002, с. 4.
7. Cryptanalysis And Design Of Block Ciphers, 2003, с. 127.
8. Cryptanalysis And Design Of Block Ciphers, 2003, с. 127-129.
9. Cryptanalysis And Design Of Block Ciphers, 2003, с. 129.
10. Cryptanalysis And Design Of Block Ciphers, 2003, с. 129-130.
11. Cryptanalysis And Design Of Block Ciphers, 2003, с. 130.
12. Cryptanalysis And Design Of Block Ciphers, 2003, с. 130-132.
13. Cryptanalysis And Design Of Block Ciphers, 2003, с. 132.
14. Cryptanalysis And Design Of Block Ciphers, 2003, с. 132-133.
15. Cryptanalysis And Design Of Block Ciphers, 2003, с. 10-11.
16. Cryptanalysis And Design Of Block Ciphers, 2003, с. 178-180.
17. Cryptanalysis And Design Of Block Ciphers, 2003, с. 179.

Література

• J. Nakahara, Jr; V. Rijmen; B. Preneel; J. Vandewalle. The MESH Block Ciphers : [англ.]. — 2002.
• J. Nakahara, Jr. Cryptanalysis And Design Of Block Ciphers : [англ.]. — 2003. — Помилка: неправильний час. — ISBN 90-5682-407-4.