Skema Lai–Massey

Dalam kriptografi, skema Lai–Massey adalah struktur yang dipakai dalam penyusunan penyandian blok.^[1][2] Skema ini dinamai dari Xuejia Lai dan James L. Massey. Skema ini dipakai dalam IDEA dan IDEA NXT.

Skema Lai–Massey memiliki keamanan yang mirip dengan struktur Feistel. Ia juga memiliki keuntungan yang sama terhadap jaringan substitusi–permutasi, yaitu fungsi ${\displaystyle \operatorname {F} }$ tidak harus bisa diinversi.

Struktur dasar skema Lai–Massey. Perhatikan bahwa struktur untuk enkripsi dan dekripsi sangat mirip serta hanya berbeda urutan subkunci dan fungsi setengah ronde yang diinversi.

Misalkan ${\displaystyle \operatorname {F} }$ sebagai fungsi ronde, ${\displaystyle \operatorname {H} }$ sebagai fungsi setengah ronde, dan ${\displaystyle K_{0},K_{1},\dots ,K_{n}}$ sebagai subkunci untuk ronde ke-${\displaystyle 0,1,\dots ,n.}$

Proses enkripsi dasar adalah sebagai berikut:

1. Bagi blok teks asal menjadi dua bagian sama besar, yaitu ${\displaystyle L_{0}}$ dan ${\displaystyle R_{0}.}$
2. Untuk tiap ronde ke-${\displaystyle i=0,1,\dots ,n}$, hitung

   ${\displaystyle (L_{i+1}',R_{i+1}')=\operatorname {H} (L_{i}'+T_{i},R_{i}'+T_{i})}$

   dengan ${\displaystyle T_{i}=\operatorname {F} (L_{i}'-R_{i}',K_{i})}$ and ${\displaystyle (L_{0}',R_{0}')=\operatorname {H} (L_{0},R_{0}).}$

3. Hasilnya adalah teks tersandi ${\displaystyle (L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}').}$

Proses dekripsi dasar adalah sebagai berikut:

1. Bagi blok teks tersandi menjadi dua bagian sama besar, yaitu ${\displaystyle L_{n+1}}$ dan ${\displaystyle R_{n+1}.}$
2. Untuk tiap ronde ke-${\displaystyle i=n,n-1,\dots ,0}$, hitung

   ${\displaystyle (L_{i}',R_{i}')=\operatorname {H} ^{-1}(L_{i+1}'-T_{i},R_{i+1}'-T_{i})}$

   dengan ${\displaystyle T_{i}=\operatorname {F} (L_{i+1}'-R_{i+1}',K_{i})}$ and ${\displaystyle (L_{i+1}',R_{i+1}')=\operatorname {H} ^{-1}(L_{i+1},R_{i+1}).}$

3. Hasilnya adalah teks asli ${\displaystyle (L_{0},R_{0})=(L_{0}',R_{0}').}$

Fungsi setengah ronde ${\displaystyle \operatorname {H} }$ diperlukan untuk mencegah serangan perbedaan mudah ${\displaystyle (L_{0}-R_{0}=L_{n+1}-R_{n+1}).}$ Biasanya, diberlakukan ortomorfisme ${\displaystyle \sigma }$ pada bagian kiri, yaitu

${\displaystyle \operatorname {H} (L,R)=(\sigma (L),R)}$

dengan ${\displaystyle \sigma }$ dan ${\displaystyle x\mapsto \sigma (x)-x}$ adalah permutasi (bijeksi, bukan kotak permutasi). Karena tidak ada ortomorfisme untuk blok berukuran perpangkatan dua, pendekatan ortomorfisme yang dipakai.

Fungsi ${\displaystyle \operatorname {H} }$ dapat bergantung pada kunci. Jika ia tidak bergantung pada kunci, penggunaan terakhirnya bisa dibuang karena inversinya juga akan mudah diketahui.

Diagram di sebelah menjelaskan enkripsi dan dekripsi. Perhatikan bahwa urutan subkunci dibalik dan fungsi setengah ronde diinversi untuk dekripsi; hal ini satu-satunya perbedaan antara enkripsi dan dekripsi.

• Kriptografi
• Sandi Feistel
• Jaringan substitusi–permutasi

• Lai, Xuejia; Massey, J. L. (1991). Damgård, I.B. (ed.). "A Proposal for a New Block Encryption Standard" (PDF). Advances in Cryptology — EUROCRYPT ’90: 389–404. doi:10.1007/3-540-46877-3_35. ISBN 978-3-540-46877-6.
• Lai, Xuejia (1992). On the design and security of block ciphers (PDF) (doctoral thesis). Konstanz: Hartung-Gorre. doi:10.3929/ethz-a-000646711.