费斯妥密码

在密码学中，费斯妥密码（英語：Feistel cipher）是用于构造分组密码的对称结构，以德国出生的物理学家和密码学家霍斯特·费斯妥（Horst Feistel）命名，他在美国IBM工作期间完成了此项开拓性研究。通常也称为费斯妥网络（Feistel network）。大部分分组密码使用该方案，包括数据加密标准（DES）。费斯妥结构的优点在于加密和解密操作非常相似，在某些情况下甚至是相同的，只需要逆转密钥编排。因此，实现这种密码所需的代码或电路大小能几乎减半。

费斯妥网络是一种迭代密码，其中的内部函数称为轮函数。^[1]

历史

Feistel网络最初在IBM的Lucifer密码中商业化，这种密码由霍斯特·费斯妥和Don Coppersmith于1973年设计。美国联邦政府在设计DES（基于Lucifer密码，由NSA进行修改）时采用了Feistel网络。像DES的其他组件一样，Feistel构造中的迭代特性使得在硬件中（特别是在设计DES时已有的硬件上）实现密码系统更容易。

理论工作

许多现代及一些较旧的对称分组密码基于Feistel网络（例如GOST 28147-89分组密码），且密码学家已经深入研究了Feistel密码的结构和性质。具体而言，Michael Luby和Charles Rackoff分析了Feistel密码的构造，证明了如果轮函数是一个密码安全的伪随机函数，使用K_i作为种子，那么3轮足以使这种分组密码成为伪随机置换，而4轮可使它成为“强”伪随机置换（这意味着，对可以得到其逆排列谕示的攻击者，它仍然是伪随机的）^[2]。

由于Luby和Rackoff的结果非常重要，Feistel密码有时也称为Luby-Rackoff分组密码。进一步的理论工作对其进行了推广，给出了更加精确的安全界限^[3][4]。

构造细节

 

令${\displaystyle {\rm {F}}}$ 为轮函数，并令${\displaystyle K_{0},K_{1},\ldots ,K_{n}}$ 分别为轮${\displaystyle 0,1,\ldots ,n}$ 的子密钥。

基本操作如下：

将明文块拆分为两个等长的块，(${\displaystyle L_{0}}$ , ${\displaystyle R_{0}}$ )

对每轮${\displaystyle i=0,1,\dots ,n}$ ，计算

${\displaystyle L_{i+1}=R_{i}\,}$ 

${\displaystyle R_{i+1}=L_{i}\oplus {\rm {F}}(R_{i},K_{i}).}$ 

则密文为${\displaystyle (R_{n+1},L_{n+1})}$ 。

解密密文${\displaystyle (R_{n+1},L_{n+1})}$ 则通过计算${\displaystyle i=n,n-1,\ldots ,0}$ 

${\displaystyle R_{i}=L_{i+1}\,}$ 

${\displaystyle L_{i}=R_{i+1}\oplus \operatorname {F} (L_{i+1},K_{i}).}$ 

则${\displaystyle (L_{0},R_{0})}$ 就是明文。

与代换-置换网络相比，Feistel模型的一个优点是轮函数${\displaystyle \operatorname {F} }$ 不必是可逆的。

右图显示了加密和解密的过程。注意解密时子密钥顺序反转，这是加密和解密之间的唯一区别。

非平衡Feistel密码

非平衡Feistel密码相比其有所修改，其中${\displaystyle L_{0}}$ 和${\displaystyle R_{0}}$ 的长度不等^[5]。Skipjack密码就是这种密码的一个例子。德州仪器数字签名转发器使用专有的非平衡Feistel密码来执行挑战-响应认证^[6]。

Thorp shuffle是一种非平衡Feistel密码的极端情况，其中一边只有一位。这比平衡Feistel密码具有更好的可证明安全性，但需要更多轮^[7]。

其他用途

除了分组密码外，Feistel结构也用于其他密码算法。例如，最优非对称加密填充（OAEP）在某些非对称密钥加密方案中，使用简单的Feistel网络对密文进行随机化。

一个广义的Feistel算法可以用来在大小不是2的幂的小域上创建强排列（参见保留格式加密）。^[7]

Feistel网络作为设计组件

无论整个密码是否是Feistel密码，类Feistel网络都可以在设计密码时用作其中一个组成部分。例如，MISTY1是一个使用三轮Feistel网络的Feistel密码函数，Skipjack是一个修改的Feistel密码，在它的G置换中使用Feistel网络，Threefish（Skein）是一个非Feistel的分组密码，其一部分使用了类Feistel的MIX函数。

Feistel密码列表

Feistel或修改过的Feistel密码：

Blowfish Camellia CAST-128 DES FEAL GOST 28147-89 ICE

KASUMI LOKI97 Lucifer MARS MAGENTA MISTY1

RC5 Simon TEA 三重DES Twofish XTEA

广义Feistel：

CAST-256 CLEFIA MacGuffin RC2

RC6 Skipjack SMS4

参见

• 密码学
• 流密码
• 代换-置换网络
• 提升方案，用于离散小波变换，具有几乎相同的结构
• 保留格式加密
• 莱-马西方案

参考

1. Menezes, Alfred J.; Oorschot, Paul C. van; Vanstone, Scott A. Handbook of Applied Cryptography Fifth. 2001: 251. ISBN 0849385237. 
2. Luby, Michael; Rackoff, Charles, How to Construct Pseudorandom Permutations from Pseudorandom Functions, SIAM Journal on Computing, April 1988, 17 (2): 373–386 [2017-11-21], ISSN 0097-5397, doi:10.1137/0217022, （原始内容存档于2019-02-12） 
3. Patarin, Jacques, Boneh, Dan , 编, Luby–Rackoff: 7 Rounds Are Enough for 2^n(1−ε) Security (PDF), Advances in Cryptology—CRYPTO 2003, Lecture Notes in Computer Science, October 2003, 2729: 513–529 [2009-07-27], doi:10.1007/b11817, （原始内容存档 (PDF)于2017-02-01） 
4. Zheng, Yuliang; Matsumoto, Tsutomu; Imai, Hideki. On the Construction of Block Ciphers Provably Secure and Not Relying on Any Unproved Hypotheses. Advances in Cryptology — CRYPTO’ 89 Proceedings (Springer, New York, NY). 1989-08-20: 461–480 [2017-11-21]. doi:10.1007/0-387-34805-0_42. （原始内容存档于2018-06-09） （英语）. 
5. Schneier, Bruce; Kelsey, John. Unbalanced Feistel networks and block cipher design. Fast Software Encryption (Springer, Berlin, Heidelberg). 1996-02-21: 121–144 [2017-11-21]. doi:10.1007/3-540-60865-6_49. （原始内容存档于2017-09-22） （英语）. 
6. Bono, Stephen; Green, Matthew; Stubblefield, Adam; Juels, Ari; Rubin, Aviel; Szydlo, Michael. Security Analysis of a Cryptographically-Enabled RFID Device (PDF). Proceedings of the USENIX Security Symposium. 2005-08-05 [2017-11-21]. 
7. Morris, Ben; Rogaway, Phillip; Stegers, Till. How to Encipher Messages on a Small Domain (PDF). Advances in Cryptology - CRYPTO 2009 (Springer, Berlin, Heidelberg). 2009: 286–302 [2017-11-21]. doi:10.1007/978-3-642-03356-8_17. （原始内容存档 (PDF)于2020-10-23） （英语）.