混沌密码介绍

2.5.3混沌密码
自然界的各个现象均可用数学模型来描
述，象数学摆的运动可用方程
ϕ“+g/(l sinϕ)=0来确定。

但是，这是在忽略了很多物理因素的情
况下得到的。

如果考虑到初始条件、随机参数等因素，
就必须在上述确定方程中增加一个随机
项，这样该方程就不是确定性的了。

造成该原因的是外界环境的随机性。

某些方程即使不考虑任何外界随机因素，也有
随机现象，这称为内在随机性。

混沌就是一种内在随机现象，它是一种复杂的
非线性非平衡动力学过程。

混沌具有下面两个特性：
两个几乎一样并具有适当形态的混沌系统，在
同一种相同信号控制或驱动下，它们的输出是
相同的；
混沌系统对初始条件极为敏感，两个几乎相同
的混沌系统，只要初态稍有不同，就会演变成
完全不同的状态。

利用混沌系统的特性，就可构造一个同步系统
进行通信。

混沌系统 可同步混沌子系统
驱动序列 驱动序列
⋯ 混沌序列 同步混沌序列
⊕ 密文…密文 ⊕ 明文
图 混沌密码系统
组件1
组件2组件3组件2
组件3
在实际使用中，混沌序列的生成总是用有限精度器件来实现的。

混沌序列生成器最终还是可归结为有限自动
机。

混沌序列生成器是否超越利用有限自动机和布尔逻辑理论构造的密钥流生成器就值得研
究。

目前的混沌序列其生成序列的周期、伪随机性和复杂性的估计都是通过统计分析和实验测试给出的，因而其安全性并不令人放心。

2.5.4量子密码
量子密码基于量子力学理论，利用量子系统在被测
量时会受到扰动这一特性，创建一个具有这种特性
的通信信道，使得在该信道中想不干扰传输而进行
窃听是不可能的。

粒子实际上不会在任何一个单独的地方存在，它们
同时在几个不同的地方以不同的概率出现。

只在研究并测量粒子时，才突然跌入一个单独的场
所
不能同时测量粒子的每个方面，
例如位置和速度，因为在测量这两个量中的一个时，
就破坏了测量另一个量的任何可能性。

在量子世界中存在一种基本的不确定性，并且是不
可避免的，
不确定性就可用来产生秘密密钥。

当光子传导时会产生振荡，这种振荡是
在某些方向的上下、左右，多数则是按
某个角度。

正常的太阳光是非偏振的，在每个方向
都有光子振荡，当大量的光子在同一方
向振荡时，它们是偏振的，偏振器只允
许某个方向偏振的光子通过，而其余的
光子则不能通过。

如，水平偏振器只允许在水平方向偏振
的光子通过。

而旋转偏振器90度，则只允许垂直方向的偏振光子通过。

利用量子力学特性设计的产生秘密密钥的交互系统
（1）A把一束光子脉冲发送给B，其中每个脉冲都
是随机地在水平(---)、垂直(|)、左对角线(\)和右对角线(/)这四个方向中的一个方向上偏振。

如A给B发送的是：||/------\---|---/
（2）B有一个偏振检测器，能将检测器设置成测量
水平的和垂直的偏振，或设置成测量对角线偏振，
但由于量子力学的特性使得不能同时做这两种测量，
所以只能随机设置检测器。

当B正确地设置了检测器，
就能记录下正确的内容。

而若不正确地设置，则将
得到一个随机结果。

例如B的设置情况是（⨯表示对
角线，+表示水平和垂直）：
⨯++⨯⨯⨯+⨯++
根据这个设置B即可获得一个测量结果。

（3）B在一个公开信道上告诉A，他所使
用的设置情况。

（4）A告诉B哪些设置是正确的，在我们
这个例子中，2、6、7和9是正确的设置。

（5）A和B仅保存正确的设置，并用预先
设置的代码将这些设置转换为比特。

如规
定水平和左对角线是1，垂直和右对角线是
0，则本例中A、B双方都有0011。

A和B产生了4个比特。

类似可产生n个比特，
作为双方使用的单钥密码体制的加密密钥。

在使用这个系统时，其他人是不能窃听的。

在光子传输时一旦C要探测光子，B就会注意到
因此作为窃听者要不让B知道，就只能捕捉和测
量光子，再给B发送相同的光子。

但C同样只能随机设置偏振检测器，这样他的猜
测中有一半是错误的，如果他将有错误的光脉冲
发给B，那么A和B将有不同的比特串。

为了及时检测出这种情况，在协议中增加下面一
条：
（6）A和B在公共信道上比较比特串中的几个比
特，若有差别，就可知道正在被窃听，若无差别，则可放弃用于比较的比特而用剩下的比特。

上述密钥分配的缺陷：光的偏振特性在长距离的
光纤传输中会逐渐退化，造成的误码率增加。

现在解决的办法是基于量子纠缠和EPR效应的。

主流的实验方案是用光子的相位特性进行编码。

研究上进展最快的是英国、瑞士和美国。

2005年，中科院郭光灿院士领导的课题小组，实
现了150公里的室内量子密钥分配，利用网通公
司的实际通信光缆，实现了从北京经河北香河到
天津的量子密钥分配，实际光缆长度为125公里，
系统的长期误差率低于6%，这是国际上公开的
最长距离的实用光纤量子密码系统。

在空气中传输量子密码更难，但也取得了很大的成果。

2002年，德国慕尼黑大学与英军合作，用激光实现了23.4km的量子密钥分配。

目标实现与距地面00~1000km的近地卫星之间的收发密钥，从而建
立一个密码传输网。

003年，日本三菱电机公司也宣布，该公司用防盗
量子密码技术与100公里的光纤成功地传送信息，其
传递距离长度可达到87公里，打破了美国洛斯阿拉摩斯国家实验室(Los Alamos National Laboratory)造48公里的记录。

在光子时代，量子计算机的计算能力可能破译现在普遍采用的各种密码体制，
第3章现代加密算法
分组密码的基本概念、设计原则和设计
方法、运行模式等
（美国）商用数据加密标准即DES算法、
SAFER算法和本世纪替代DES算法的
Rijndael算法
公钥密码体制以及重要的加密算法
3.1 分组密码
分组密码是将明文序列分成长为L 的组
m=(m
0m 1…m L-1)，各组分别在密钥
k=(k
0,k 1,…k s )控制下变换成等长的输出
序列即密文c=(c
0c 1…c n-1)。

在相同密钥下，分组密码对长为L 的输入
明文组所进行的变换是等同的，
只需研究对任一组明文的变换规则。

分组密码实质上是多字母代换密码的推
广，所采用的L 较大。

3.1.1在分组密码中，明密文都采用{0,1}序列。

把长为L 的{0,1}字符串m 和c 表示成小于2L 的整数，即：
m=(m 0m 1…m L-1) ∑-=10
2L i i i
m =‖m‖
c=(c 0c 1…c L-1)
∑-=102L i i i c =
‖c‖
分组密码就是将ǁmǁ∈{0,1,…,2L-1}映射
为ǁcǁ∈{0,1,…,2L-1}，即是{0,1,…,2L-1}到自身的置换。

置换的选择由密钥k决定。

所有可能的置换构成一个对称群S(2L)其中元
素个数或密钥数为2L！。

实际使用中的分组密码所用的置换都是上述
置换集中的一个很小的子集。

设计分组密码的关键是设法找到一种算法，
使得在密钥控制下，能从一个足够大且足够
好的置换子集中，简单而迅速地选出一个置换，用来对当前输入的明文数字组进行加密
变换。

分组密码的设计应满足如下要求：
1)分组长度L应足够大，使分组代换字母
表中的元素个数2L足够大，防止明文穷
举攻击。

例如若采用L=64的分组，在生日攻击下用232分
组密文成功概率为0.5，并需要232×64bit
=215MB存储，因此穷举攻击实际上是不可行
的
2)密钥量要足够大，即置换子集中的元素
足够多，尽可能消除弱密钥并使所有密
3)由密钥确定的置换算法要足够复杂，实现明文
与密文的扩散和混乱，没有简单的关系可循，并能抗差分攻击、线性攻击等已知的密码攻击
方法。

4)设计的算法采用规则的模块结构，加密和解密
运算简单，便于软件和硬件的实现。

在主要以软件实现为手段的密码算法中，应选用
以标准处理器进行运算的基本运算，而避免采用如逐位置换那种较难用软件实现的运算。

在主要以硬件实现为手段的密码算法中，应使得加密和解密过程之间的差别仅在由密钥所生成
在实际设计密码算法时，要实现上述各
要求也不容易。

为了便于实现，通常可将较简单且易实
现的密码系统进行组合，构成比较复杂、密钥量大的密码系统。

Shannon 提出了设计分组密码采用方法的建议：
(1)
“概率加权和”方法，以一定的概率随机从一些简单密码系统中选择一个用于加密当前明文。

设选用的密码系统有r 个，用E 1,E 2,…,E n 表示，被选用的概率是
p 1,p 2,…,p r ，其中11=∑=r i i
p 。

概率和系统可表示成
C=p 1E 1+p 2E 2+…+p r E r 。

(2)“乘积”方法，用两个密码算法E
1和
E 2对明文进行加密。

先用E1对明文进行
加密，然后再用E
2对所得结果加密。

(3)采用扩散和混乱方法。

所谓扩散就是使每位明文和密钥的影响
散布到尽可能多的输出密文中，以隐蔽
明文的统计特性，防止对密钥逐段破译
混乱就是使作用于明文的密钥与密文之
间的关系复杂化，使明文与密文之间、
密文与密钥之间的统计相关性极小化，
以便抗统计分析攻击。

3.1.2 分组密码中的常用函数和S 盒设计在分组密码中，通常采用一些比较简单的函
数，通过多次乘积、迭代强化为一个复杂的
密码体制。

1.常用基本代换
代换是输入集A 到输出A'上的双射变换
f
k :A →A'。

其中k 是控制输入变量，称为密钥。

在密码学中称实现代换f
k 的系统为代换网络。

双射条件保证在给定k 下可从密文唯一恢复出原明文，不知道k 则恢复明文应是难的。

对于给定的代换网络，用F 表示在该系统中可以实现的代换f k 全体：F={f k |k K}。

K 为密钥空间。

m f c
图 代换网络
(1)循环移位代换
循环移位代换分为左循环移位代换λ和右
循环移位代换μ。

λ：(m
0,m 1,…,m n-1)→(m 1,m 2,…,m n-1,m 0)
μ：(m
0,m 1,…,m n-1)→(m n-1,m 0,…,m n-2)
令F
λ为左循环移位代换全体构成的集合，F μ为右循环移位代换全体构成的集合，
则|F
λ|=|F μ|=n ，并且λ和μ互为逆代换，即λ·μ=μ·λ=I(恒等变换)。

(2)模2n 加1代换σ
σ：m →c:ǁc ǁ=ǁm ǁ+1mod2n (这里||x||表示
将字符串转换为十进制数)
令F
σ={σ,σ2,…σ2n-1,σ2n =1}，显然|F σ|=2n
类似可定义
σ-1：m →c:ǁc ǁ≡ǁm ǁ-1mod2n ≡ǁm ǁ+(2n -1)
mod2n
显然σ·σ-1中=σ-1·σ=I(恒等变换)。

(3)线性变换
T
令T 是GF(2)上的n ×n 阶非奇阵，则T 定义
了一个GF(2n )上的变换，它将输入明文矢量
m=(m 0m 1…m n-1)变换为密文矢量c=(c 0c 1…c n-1)，即c=mT 。

令F T 是所有n ×n 阶非奇阵组成的集合，则|F T |=2n-1
！
(4)换位代换γ
⎪⎩⎪⎨⎧+≠≠=+=+===1
||||||||||||1||||1||||||||)(j x j x x j y j x y
j y j x y x j 且若且若且若γγj 将{0,1,…,2n }中第j 个和第j+1个元素交换位置。

2n 个元素中的任意代换均可由该基本换位代换γj 的积实现
(5)坐标置换
坐标置换就是对x=(x
0,x 1,…,x n-1)的各分量进行置换。

设τ为整数集{0,1,…,n-1}中元素的
置换，则有
π
τ：x=(x 0,x 1,…,x n-1)→y=(x τ(0),x τ(1),…,x τ(n-1))
线性变换的特例，即限定T 为每行每列只有
一个非零向量的非奇置换阵。

令F
τ为所有坐标置换组成的集合，则|F τ|=n!。

(6)仿射变换
设T是GF(2)上的n×n阶非奇阵，b为GF(2)
上的n维矢量，则
δ
T
：x→y=xT+b
为仿射变换。

令F
δ为所有仿射变换全体构成的集合。

由于对任意给定的T可有2n个不同的b，因
此仿射变换总数|F
δ|=2n·2n-1！。

许多古典密码都可用上述基本代换来描述
利用基本代换之积可以构成对称群S(2n)中
增次序排列，即输入x=(x 0,x 1,x 2)，y=(y 0,y 1,y 2)。

设与代换网络相应的逻辑真值如表所示，则可写出各输出变量与输入变量的关系式
序号
输入x 0 x 1 x 2输出y 0 y 1 y 20
1
2
3
4
0 0 00 0 10 1 00 1 11 0 0 1 1 00 1 00 0 01 0 11 1 1)()()()(210210210210x x x x x x x x x x x x ⋃⋃⋂⋃⋃⋂⋃⋃⋂⋃⋃=)()()()(210210210210x x x x x x x x x x x x ⋃⋃⋂⋃⋃⋂⋃⋃⋂⋃⋃
2.轮函数
在分组密码中，通常用一个函数f进行多
次迭代，每次迭代就称为一轮，而函数f
就称为轮函数。

每一轮的输入都是前一轮的输出，即
y(i)=f(y(i-1),k(i))，其中k(i)是第i轮迭代用的
子密钥，它由密钥k通过子密钥生成算法
产生。

研究表明，一个好的轮函数，可使破译
1)对合密码函数
设f(x,k)为GF(2n)×GF(2t)→GF(2n)的映射，其中n是分组长，t为密钥长。

若对每个密钥k都有f(f(x,k),k)=x，即f(x,k)2=I，则称f为对合密码函数，用f I表示。

由f
I
构造的多轮分组密码称为I型迭代分组密码。

用f
I 在子密钥k(1),…,k(r)控制下对明文m进行r轮迭代运
算，得到密文c；而用f
I 在逆序子密钥k(r),…,k(1)控制下
对密文c进行r轮迭代运算，就得到明文m。

前r轮运算就称为加密运算E(m,k)，后r轮运算就称为解密运算
D(c,k)。

这种构造密码方法有一个明显的缺陷，即对任意偶数
(2)对合置换
设P 是GF(2n )→GF(2n )的置换，若对所有
x GF(2n )，有P(P(x))=x ，即PP=I ，就称
为对合置换，用P
I 表示。

如果每轮都采用对合密码函数f
I 和对合置
换P
I 的复合，即
E(x,k)=P
I (f I (x,k))，
并选解密子密钥与加密子密钥逆序
称这类轮函数构造的多轮分组密码为Ⅱ
型迭代分组密码。

(3)群密码
若密钥与明文、密文取自同一空间GF(2n )，⊗
为群运算，定义c=m ⊗k ，称为群密码。

c 可通过k 的逆元求m=c ⊗k -1。

令m ⊗k 为一群密码，f
I (x,k)为对合密码函数，
构造轮函数F(m,k)=f
I (m ⊗k A ,k B )，用它进行多
次迭代，由此即得新的多轮分组迭代密码。

为保证整个加、解密的对合性，在迭代的最后
一轮增加一次群密码运算，即：
y (1)=f I (m ⊗)1(A k ,)1(B k ),…,y (r-1)=f I (y (r-2)⊗)1(-r A k ,)1(-r B k )，y (r)=f I (y (r-1)⊗)(r A k ,)(r B k ) ⊗)1(+r A k
称这样的密码为Ⅲ型迭代分组密码。

(4)Ⅳ型迭代分组密码
在上述轮函数基础上，如果再加一个对合置换P
I ，即构成新的轮函数F(m,k)=P I (f I (m ⊗k A ,k B ))，用它
进行多次迭代，由此又得新的多轮分组迭代密码。

为了保证整个加、解密的对合性，在迭代的最后
一轮增加一次群密码运算和对合置换，即：
y (1)= P I (f I (m ⊗)1(A k ,)1(B k )),…,y (r-1)=P I (f I (y (r-2)⊗)1(-r A k ,)1(-r B k ))，
y (r)= P
I (P I (f I (y (r-1)⊗)(r A k ,)(r B k ) )⊗)1(+r A k ))
称这样的密码为Ⅳ型迭代分组密码。

S盒设计
在许多分组密码都属于迭代分组密码，而其核心
是轮函数，而轮函数的基础是对合函数f
I 的选择以
与其他代换的有机结合。

组密码的非线性性通常主要依赖f
I 中的代换网络的
线性性。

于在密码设计时常选择较大的n(n为分组的长度)，
达式中合取式个数随n指数级增大而难以实际应用n划分成较小的段。

如选n=r·n 0，这里r和n0们都是
整数。

设计n个变量的代换网络变为设计r个较小的子代
S盒的强度和运行速度在很大程度上决定了
分组密码的强度和运行速度，故S盒的设计是迭代分组密码成功和实用的关键。

S盒设计经验表明，实现代换所需最小的合
取项数目可作为排除安全性差的盒函数指标
或直观依据，对S盒提出的安全要求越高，
其逻辑表达式中的合取式数目就越大。

DES算法的n
=6，因此其合取式最多可达26=64项。

一个好的S盒，其布尔函数应满足以下一
些基本条件：
(1)平衡性：函数f:Z
2n→Z
2
m,n≥m，当输入取遍
所有可能值，如果每个输出y=f(x)出现次数相
等，称f满足平衡准则。

(2)严格雪崩准则(SAC)：所谓雪崩效应是指改
变输入1bit，则输出将有一半的输出将改变。

函数f:Z
2n→Z
2
,当输入任一位取补，其输出位
将以1/2概率取补，则称f满足严格雪崩准则。

如果对于函数f，其输入x任意i位(1≤i≤k)取补
时，其输出y=f(x)将以1/2概率取补，则称f满足k阶严格雪崩准则。

(3)非线性性：函数f :Z 2n →Z 2，若对常数，f (x)=ax ，则称f 为线性函数，而f (x)=ax ⊕b 即为仿射函数(为常数)。

对函数f =(f 1,f 2,…,f m ):(其中f i :，i=1,2,…,m)定义非线性度为：
NL f =})(|{|min 2,,b x w x cf Z x n w
c b ⊕⋅≠∈|，其中n Z w 2∈，)}0,,0,0{(2 -∈m Z c ，w ·x 表示GF(2)上w 与x 的点积，且)()(1
x f c x f c i i m i =⊕=⋅(c=(c 1,c 2,…c m ))。

在密码线性分析中，关键就是S-盒的线性逼近。

(4)线性结构：函数f :Z
2n →Z 2，它的线性结构定义为矢量a ∈Z 2n -{(0,0,⋯0)}，使得对任意
x ∈Z 2n ,f (x ⊕a)⊕f (x)取同样值(0或1)
(5)输出位独立准则：
对于函数f :Z
2n →Z 2m ,n ≥m ，，若当一个输入位取
补时，每二个输出位之间的相关系数是0，则称函
数f 满足位独立准则。

(6)完备性：
对于函数f :Z
2n →Z 2m ,n ≥m ，若其每个输出都与所有
输入变量有关，则称函数f 满足完备性准则。

(7)输入/输出的差分分布和线性近似：应使差分最
大值尽可能小，以抗差分攻击，增加随机性，以
较好地抗线性攻击。

采用随机选择S盒来实现。

当然若S盒的输
入和输出的规模太小，随机选择S盒的性能就不会好，但当S盒的输入输出规模足够大
时，就有可能抗各种未知攻击。

有研究结果告诉我们，输入为８bit或更大
时，随机选择的S盒的密码性能是很强的。

总之，S盒应选得大些、随机且可用密钥控
制。

用代数构造和组合方法来随机生成S盒，并
经过一系列准则测试，是构造S盒的途径。

S-盒的构造可考虑利用一定规则如数学函数来构造。

使用熟悉的数学函数可以使人确信没有陷门(DES不满足这条)。

(1)指数函数和对数函数
Exp:F
28→F
2
8,
Exp(x)=45x mod257,并规定45128mod257=0。

Log:F
28→F
2
8,
Log(x)=log
45x,并规定log450=128。

这两个函数被SAFER系列函数采用。

它们的非线性性和差分均匀性都达到了8⨯8置换
(2)有限域GF(2n)上的逆映射F定义如下：
⎩
⎨
⎧
=
≠
=
-
)
(
1
x
x
x
x
F
映射也具有良好的非线性性和差分均匀性及代数次但缺陷是在域GF(2n)中的表达式太简单，对插值击可能比较脆弱。

ndael算法中的S-盒就是采用了有限域上的逆映射当然还采用了其他方法来抵抗插值攻击。

有的分组密码多数是采用S盒结构实现的，而且象
3.2 DES加密算法和Rijndael算法
1977年美国国家标准局宣布数据加密标准DES用于非
国家保密机关.
由IBM公司研究提出的，对64bit的数据进行加密和解
密，所用密钥也是64bit。

每隔五年对DES进行一次审查。

最后一次审查在1994年，于1998年到期，此后不再对
该算法的安全性作出保证，
从1997年开始向全世界征求新的替代算法，并于2000
年宣布了新世纪的数据加密标准算法——Rijndael，预
示着使用最广泛的加密算法将逐步被取代。

但不管怎样，DES体制对现代对称密码算法的研究和
发展具有不可替代的作用。

3.2.1 DES加密算法
由Santa Clara大学的Edward Schaefer教授
在一篇论文中提出简化的DES算法，用于
教学目的。

SDES同DES算法结构和特性类似，但是分
组长度（8位）、密码长度（10位）和循环
次数（2次）都大大减少，便于分析和研究。

简化的DES 算法
10 bit 密钥
P10
移位
P8
移位
P8
IP 加密8bit 明文
f k K1
SW f k IP -18bit 密文
IP -1解密8bit 明文
f k SW
f k IP 8bit 密文
K1
K2K2
SDES的密钥生成过程
P10 = { 3,5,2,7,4,10,1,9,8,6 }
P8 = { 6,3,7,4,8,5,10,9 }
例子：
密钥：01001 00011 (01 23)
P10：01100 10100
LS-1：11000 01001
P8->K1：0010 0010 (22)
LS-2:00011 00101
P8->K2：0001 1110 (1e)
10 bit 密钥
P10
LS-1LS-1
10
55
55
P8
8
LS-2LS-2
SDES加密细节
1.初始置换IP = { 2,6,3,1,4,8,5,7 }
2.扩展/置换操作
E/P={4,1,2,3,2,3,4,1}
4 bit 输入8 bit 输出
3.与密钥K1(8 bit)以异或方式相加
4.S盒变换8 bit数据分成2组,分别
输入S0,S1盒,各输出2bit
5.由S0和S1产生的4bit再经P4置
换,P4 = { 2 , 4 , 3 , 1 }
6.SW负责交换最左边和最右边的
8 bit 明文
IP
E/P
4
4
8
⊕
K1
8
44
S0S1
P4
4
22
F
SDES加密细节
1.扩展/置换操作
E/P={4,1,2,3,2,3,4,1}
4 bit 输入8 bit 输出
2.与密钥K2(8 bit)以异或方式相
加
3.S盒变换8 bit数据分成2组,分
别输入S0,S1盒,各输出2bit
4.由S0和S1产生的4bit再经P4置
换,P4 = { 2 , 4 , 3 , 1 }
5.最终置换IP-1＝{ 4,1,3,5,7,2,8,6 }
E/P
4
4
8
⊕
K2
8
44
S0S1
P4
4
22
F
SW
S盒变换
1 0 3
2 0 1 2 3
0= 3 2 1 0 S1= 2 0 1 3
0 2 1 3 3 0 1 0
3 1 3 2 2 1 0 3
入4bit,第1,4bit指定行,第2,3bit指定列
SDES加密的一个例子明文：01 23 ff0000 00010010 00111111 1111【密文生成过程】
IP：0000 01000010 01011111 1111
右边E/P:0010 10001010 10101111 1111
E/P⊕K1：0000 10101000 10001101 1101
S：010*********
P4：100001101001
L0⊕P4 | L1：1000 01000100 01010110 1111
SW：0100 10000101 01001111 0110
右边E/P:0100 00010010 10000011 1100
E/P⊕K2：0101 11110011 01100010 0010
S：011110110001
P4:111001110100
L0⊕P4 | L1：1010 10000010 01001011 0110
IP-1(密文) ：0111 00000010 00011110 1001
SDES解密的一个例子密文：70 21 e90111 00000010 00011110 1001
【明文生成过程】
IP：1010 10000010 01001011 0110
右边E/P:0100 00010010 10000011 1100
E/P⊕K2：0101 11110011 01100010 0010
S：011110110001
P4：111001110100
L0⊕P4 | L1：0100 10000101 01001111 0110
SW：1000 01000100 01010110 1111
右边E/P:0010 10001010 10101111 1111 E/P⊕K1：0000 10101000 10001101 1101
S：010*********
P4：100001101001
L0⊕P4 | L1：0000 01000010 01011111 1111
IP-1(明文)：0000 00010010 00111111 1111。