TEA算法

我们要讨论的最后一个分组密码加密算法是TEA(Tiny Encryption Algorithm)。到目前为止，我们在前面所呈现的连线图可能会使你得出如下结论：分组密码加密算法必须是复杂的。TEA却能够很好地说明，事实并非如此。

TEA算法使用64位长度的分组和128位长度的密钥。该算法设定基于32位单词的计算结构，其中所有的操作都是内在地模232的，任何第32位之后的二进制位都会被自动地截除。计算的轮数是可变的，但是必须足够大。通常明智的做法是选择32轮以确保安全。不过，TEA算法的每一轮更像Feistel密码结构(类似DES算法那样的结构)的两轮，所以这大约相当于DES算法的64轮，已经很可观了。

分组密码加密算法设计中，在每轮运算的复杂性和需要执行的轮数之间，始终要进行一种内在的权衡。类似DES这样的密码算法力求在二者之间达成平衡。而AES算法则尽可能地减少运算的轮数，其代价就是会有更加复杂的轮函数。某种意义上，TEA算法可以被看做走向了与AES算法设计思路相反的另一个极端，因为TEA算法使用非常简单的轮函数。不过，其轮运算如此简单的直接结果就是，运算的轮数必须足够大才能获得较高的安全水平。图3-7中给出了TEA加密算法的伪码(其中运用了32轮运算)，其中"《"是左移位(非循环)操作，而"》"是右移位(非循环)操作。

关于TEA算法，有种有意思的情况值得引起注意，那就是这个算法不是Feistel密码结构，所以需要分别独立地加密和解密例程。不过，TEA算法在尽可能地接近Feistel密码结构，虽然实际上它并不是--TEA算法使用加法和减法取代了异或运算。即便如此，对于TEA算法来说，需要分别独立地加密和解密例程这件事并不是一个太大的问题，毕竟所需的代码行是如此之少，而且即使执行很多轮次，该算法也仍然是相当高效的。图3-8给出了TEA的解密算法，此处仍设定其执行32轮运算。

对于TEA算法，存在一种稍微有点儿晦涩的相关密钥攻击(见参考文献[163])。也就是说，如果密码分析者了解到两个TEA消息的加密密钥是以某种非常特殊的方式相互关联的，就可以恢复出明文。在绝大多数环境中，这都是一种低概率的攻击，兴许你可以放心地忽略不计。但是，如果你担心的正是这样一种攻击行为，那么还有一种TEA算法的稍微复杂点的变种，称为扩展TEA，或简称为XTEA(见参考文献[218])，该扩展算法可以解决上述潜在的问题。此外，还有TEA的简化版本，称为简版TEA，或简称为STEA，当然这个简版算法非常脆弱，主要用于阐述一些特定类型的攻击手段(见参考文献[208])。