Successivo: Schedulazione delle chiavi Su: Descrizione del DES Precedente: La funzione f

Le S-box di DES

Fino ad ora sono state utilizzate funzioni di tipo lineare (cioè gli xor, le permutazioni e le espansioni), e se un sistema fosse realizzato utilizzando solo funzioni di questo tipo sarebbe molto facile romperlo. Ricordiamo cosa accadeva col cifrario di Hill, che utilizzava una funzione lineare, e poteva essere rotto abbastanza facilmente utilizzando un attacco di tipo known plaintext.

L'unico punto in cui il sistema DES non utilizza funzioni di tipo lineare è nelle S-box, che costituiscono quindi il fulcro dell'algoritmo. Riportiamo qui di seguito le tabelle che specificano le S-box:

14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7

0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8

4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0

15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13

15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10

3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5

0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15

13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9

10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8

13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1

13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7

1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12

7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15

13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9

10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4

3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14

2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9

14 11 2 12 4 7 13 1 5 0 15 10 3 9 8 6

4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14

11 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3

12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11

10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8

9 14 15 5 2 8 12 3 7 0 4 10 1 13 11 6

4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13

4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1

13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6

1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2

6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12

13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7

1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2

7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8

2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11

Vediamo come si leggono. Dato (l'input a 6 bit dell'S-box ), il primo e l'ultimo bit di vengono interpretati come indice di riga, mentre i bit centrali come indice di colonna. La prima riga di è la riga 00, la seconda riga è la 01, la terza riga è la 10 e la quarta riga è la 11. Per le colonne una indicizzazione analoga: la prima colonna è la colonna 0000, la seconda colonna è la colonna 0001, , l'ultima colonna è la colonna 1111. Si consulta la tabella alle coordinate prescritte e il valore in uscita dall'S-box è l'equivalente binario del decimale trovato. In Figura 6 vi è un esempio di applicazione di sull'input .

  
Figura 6: Esempio di applicazione di .

Come abbiamo già detto in precedenza le S-box appaiono a molti come qualcosa di misterioso: alcuni asseriscono addirittura che esse nascondano in sé delle trapdoor. Tali sospetti nascono dal fatto che i criteri di progettazione delle S-box non sono al momento completamente noti.

Ad ogni modo nel '76 l'NSA rese note alcune proprietà di cui le S-box godevano:

1. Ogni riga deve essere una permutazione degli interi 0,..,15.
2. Nessuna S-box è una funzione affine o lineare dei suoi input.
3. Cambiando un solo bit di input ad una S-box devono variare almeno due bit nell'output.
4. Per ogni S-box e per ogni input x a 6 bit, S(x) e differiscono in almeno due bit.
5. Per ogni S-box, per ogni input x e per ogni .
6. Per ogni S-box, se fissiamo un bit di input e osserviamo il valore di un fissato bit di output, il numero degli input per i quali il bit di output vale 0 è circa uguale al numero degli input per i quali tale bit vale 1.

Le ultime due proprietà sono conseguenza dei criteri di progettazione. In tutti i casi non è noto se altre proprietà furono usate nel progetto delle S-box.

Successivo: Schedulazione delle chiavi Su: Descrizione del DES Precedente: La funzione f