виконується XOR кожного біта відвідної послідовності з виходом генератора і заміна його результатом дії, потім результат генератора стає новим крайнім лівим бітом.
Малюнок 2.6 - Регістр Галуа
Таким чином, на відміну від регістра Фібоначчі, де зворотний зв'язок є функцією від всіх осередків в регістрі, а результат поміщається в саму ліву комірку, зворотній зв'язок в регістрі Галуа потенційно застосовна до кожної комірки регістра, хоча є функцією тільки від самої правої комірки. Виграш тут у тому, що всі операції XOR можна виконувати як одну операцію.
Цю схему також можна распараллелить, а окремі многочлени зворотного зв'язку можуть бути різні. Крім того, конфігурація Галуа може працювати швидше і при апаратній реалізації, особливо при використанні замовних VLSI-чіпів.
Підбиваючи загальний підсумок, можна сказати, що якщо використовується елементна база з швидкою реалізацією зрушень, то слід звернутися до регістрів Фібоначчі; якщо ж є можливість застосувати розпаралелювання, то кращий вибір - регістр Галуа.
Але, незважаючи на те, як би хороший не був підібраний поліном зворотного зв'язку, регістр зсуву зі зворотним зв'язком (LFSR) залишається лінійним пристроєм. А такі пристрої зазвичай легко піддаються криптоанализу незалежно від того, наскільки багато параметрів зберігається в таємниці. У сучасній криптографічного літературі регістри зсуву з лінійної зворотним зв'язком, як і лінійні конгруентний генератори, самі по собі не рекомендуються як генераторів псевдовипадкових шифрующих послідовностей.
Водночас, переважна більшість реальних конструкцій для потокового шифрування (гамування) будується на основі LFSR. На зорі радіоелектроніки їх було легко робити, так як регістр зсуву - це просто масив біт пам'яті, а послідовність зворотного зв'язку - ряд XOR-вентилів. І навіть на сучасній елементній базі VLSI-чіпів потоковий шифр на основі LFSR може давати вельми серйозну крипостійкість за допомогою всього декількох логічних вентилів.
Використання LFSR в програмній реалізації кріптосхему набагато проблематичніше. Ефективні за швидкістю лише зріджені поліноми, але вони слабкі щодо кореляційних атак; щільні ж поліноми зворотного зв'язку занадто неефективні. Стандартний потоковий шифр видає по одному біту за раз, і цей алгоритм доводиться ітерованих 64 рази для шифрування того, що DES робить за одну ітерацію. Фактично виявляється, що нескладний LFSR-алгоритм, типу стискає генератора в програмній реалізації виявляється не швидше, ніж значно складніший DES.
2.4.3 Генератор Геффена
У цьому генераторі потоку ключів використовуються три LFSR, об'єднані нелінійним чином. Два LFSR є входами мультиплексора, а третій LFSR управляє виходом мультиплексора. Якщо а1, а2 і а3 - виходи трьох LFSR, вихід генератора Геффена (Geffe) можна описати як:
=(a1 ^ a2) + ((-a1) ^ a3). (2.10)
Якщо довжини LFSR рівні n1 n2 і n3, відповідно, то лінійна складність генератора дорівнює:
(n1 +1) * n2 + n1 * n3. (2.11)
Період генератора дорівнює найменшого спільного делителю періодів трьох генераторів. За умови, що ступеня трьох примітивних многочленів зворотного зв'язку взаємно прості, ...
