Đồ án Bảo mật thông tin - Hệ mã Des

ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 I.2 LẬP MÃ DES Đây là ví dụ về việc lập mã sử dụng DES. Giả sử ta mã hóa bản rõ sau trong dạng thập lục phân (Hexadecimal) 0123456789ABCDEF sử dụng khóa thập lục phân 133457799BBCDFF1 Khóa trong dạng nhị phân không có các bit kiểm tra sẽ là: 00010010011010010101101111001001101101111011011111111000. Aùp dụng IP, ta nhận được L0 và R0 (trong dạng nhị phân) : L0 L1 = R0 = = 11001100000000001100110011111111 11110000101010101111000010101010 16 vòng lập mã được thể hiện như sau: E(R0) K1 E(R0) ⊕ K1 Output S-hộp f(R0,K1) L2 = R1 = = = = = = 011110100001010101010101011110100001010101010101 000110110000001011101111111111000111000001110010 011000010001011110111010100001100110010100100111 01011100100000101011010110010111 00100011010010101010100110111011 11101111010010100110010101000100 E(R1) = 011101011110101001010100001100001010101000001001 ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 K2 E(R1) ⊕ K2 Output S-hộp f(R1, K2) L3 = R2 = = = = = 011110011010111011011001110110111100100111100101 000011000100010010001101111010110110001111101100 11111000110100000011101010101110 00111100101010111000011110100011 11001100000000010111011100001001 E(R2) K3 E(R2) ⊕ K3 S-box output f(R2, K3) L4 = R3 = = = = = = 111001011000000000000010101110101110100001010011 010101011111110010001010010000101100111110011001 101100000111110010001000111110000010011111001010 00100111000100001110000101101111 01001101000101100110111010110000 10100010010111000000101111110100 E(R3) K4 E(R3) ⊕ K4 S-box output f(R3, K4) L5 = R4 = = = = = = 010100000100001011111000000001010111111110101001 011100101010110111010110110110110011010100011101 001000101110111100101110110111100100101010110100 00100001111011011001111100111010 10111011001000110111011101001100 011101110 E(R4) K5 E(R4) ⊕ K5 Xuất S-hộp f(R4, K5) L6 = R5 = = = = = = 101110101110100100000100000000000000001000001010 011111001110110000000111111010110101001110101000 110001100000010100000011111010110101000110100010 01010000110010000011000111101011 00101000000100111010110111000011 10001010010011111010011000110111 E(R5) K6 E(R5) ⊕ K6 S-box output f(R5, K6) L7 = R6 = = = = = = 110001010100001001011111110100001100000110101111 011000111010010100111110010100000111101100101111 101001101110011101100001100000001011101010000000 01000001111100110100110000111101 10011110010001011100110100101100 11101001011001111100110101101001 E(R6) K7 E(R6) ⊕ K7 S-box output f(R6, K7) L8 = R7 = = = = = = 111101010010101100001111111001011010101101010011 111011001000010010110111111101100001100010111100 000110011010111110111000000100111011001111101111 00010000011101010100000010101101 10001100000001010001110000100111 00000110010010101011101000010000 E(R7) = 000000001100001001010101010111110100000010100000 ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 K8 E(R7) ⊕ K8 S-box output f(R7, K8) L9 = R8 = = = = = 111101111000101000111010110000010011101111111011 111101110100100001101111100111100111101101011011 01101100000110000111110010101110 00111100000011101000011011111001 11010101011010010100101110010000 E(R8) K9 E(R8) ⊕ K9 S-box output f(R8, K9) L10 = R9 = = = = = = 011010101010101101010010101001010111110010100001 111000001101101111101011111011011110011110000001 100010100111000010111001010010001001101100100000 00010001000011000101011101110111 00100010001101100111110001101010 00100100011111001100011001111010 E(R9) K10 E(R9) ⊕ K10 S-box output f(R9, K10) L11 = R10 = = = = = = 000100001000001111111001011000001100001111110100 101100011111001101000111101110100100011001001111 101000010111000010111110110110101000010110111011 11011010000001000101001001110101 01100010101111001001110000100010 10110111110101011101011110110010 E(R10) K11 E(R10) ⊕ K11 S-box output f(R10, K11) L12 = R11 = = = = = = 010110101111111010101011111010101111110110100101 001000010101111111010011110111101101001110000110 011110111010000101111000001101000010111000100011 01110011000001011101000100000001 11100001000001001111101000000010 11000101011110000011110001111000 E(R11) K12 E(R11) ⊕ K12 S-box output f(R11, K12) L13 = R12 011000001010101111110000000111111000001111110001 011101010111000111110101100101000110011111101001 000101011101101000000101100010111110010000011000 01111011100010110010011000110101 11000010011010001100111111101010 01110101101111010001100001011000 E(R12) K13 E(R12)⊕ K13 S-box output f(R12, K13) L14 = R13 = = = = = = 001110101011110111111010100011110000001011110000 100101111100010111010001111110101011101001000001 101011010111100000101011011101011011100010110001 10011010110100011000101101001111 11011101101110110010100100100010 00011000110000110001010101011010 E(R13) K14 E(R13)⊕ K14 = = = 000011110001011000000110100010101010101011110100 010111110100001110110111111100101110011100111010 010100000101010110110001011110000100110111001110 ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 S-box output f(R13, K14) L15 = R14 = = = 01100100011110011001101011110001 10110111001100011000111001010101 11000010100011001001011000001101 E(R14) K15 E(R14)⊕ K15 S-box output f(R14, K15) L16 = R15 = = = = = = 111000000101010001011001010010101100000001011011 101111111001000110001101001111010011111100001010 010111111100010111010100011101111111111101010001 10110010111010001000110100111100 01011011100000010010011101101110 01000011010000100011001000110100 E(R15) K16 E(R15)⊕ K16 S-box output f(R15, K16) R16 = = = = = = 001000000110101000000100000110100100000110101000 110010110011110110001011000011100001011111110101 111010110101011110001111000101000101011001011101 10100111100000110010010000101001 11001000110000000100111110011000 00001010010011001101100110010101 Cuối cùng, áp dụng IP-1 cho R16L16 ta nhận được bản mã trong dạng thập lục phân như sau: 85E813540F0AB405 I. 3 THÁM MÃ DES Một phương pháp rất nổi tiếng trong thám mã DES là “thám mã vi sai“ (differential cryptanalysic) do Biham và Shamir đề xuất. Đó là phương pháp thám với bản rõ được chọn. Nó không được sử dụng trong thực tế để thám mã DES 16 vòng, mà chỉ được sử dụng để thám các hệ DES có ít vòng hơn. Bây giờ ta sẽ mô tả những ý tưởng cơ bản của kỹ thuật này. Để đạt mục đích thám mã, ta có thể bỏ qua hoán vị khởi tạo IP và hoán vị đảo của nó (bởi vì điều đó không cần thiết cho việc thám mã). Như đã nhận xét ở trên, ta xét các hệ DES n vòng, với n ≤ 16. Trong cài đặt ta có thể coi L0R0 là bản rõ và LnRn như là bản mã. Thám mã vi sai đòi hỏi phải so sánh x-or (exclusive-or) của hai bản rõ với x-or của hai bản mã tương ứng. Nói chung, ta sẽ quan sát hai bản rõ L0R0 và L0*R0* với trị x-or được đặc tả L0’R0’ = L0R0 ⊕ L0*R0*. Trong những thảo luận sau ta sẽ sử dụng ký hiệu (‘) để chỉ x-or của hai xâu bit. Định nghĩa 3.1: Cho Sj là một S-hộp (1 ≤ j ≤ 8). Xét một cặp xâu 6-bit là (Bj,Bj* ). Ta nói rằng, xâu nhập x-or (của Sj) là Bj ⊕ Bj* và xâu xuất x-or (của Sj) là Sj(Bj) ⊕ Sj(Bj*). Chú ý là xâu nhập x-or là xâu bit có độ dài 6, còn xâu xuất x-or có độ dài 4. Định nghĩa 3.2: Với bất kỳ Bj ’ ∈ (Z2) 6, ta định nghĩa tập Δ(Bj’) gồm các cặp (Bj,Bj*) có x-or nhập là Bj’. Dễ dàng thấy rằng, bất kỳ tập Δ(Bj’) nào cũng có 26 = 64 cặp, và do đó ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 Δ(Bj’) = {(Bj, Bj ⊕ Bj’) : Bj ∈ (Z2) 6 } Với mỗi cặp trong Δ(Bj’), ta có thể tính xâu x-or xuất của Sj và lập được phân bố kết quả. Có 64 xâu xuất x-or, được phân bố trong 24 = 16 giá trị có thể có. Tính không đồng đều của các phân bố đó là cơ sở để mã thám. Ví dụ 3.1: Giả sử ta xét S1 là S-hộp đầu tiên và xâu nhập x-or là 110100. Khi đó Δ(110100) = {(000000, 110100), (000001, 110101), ..., (111111, 001011)} Với mỗi cặp trong tập Δ(110100), ta tính xâu xuất x-or của S1. Chẳng hạn, S1(000000) = E16 = 1110, S1(110100) = 1001, như vậy xâu xuất x-or cho cặp (000000,110100) là 0111. Nếu thực hiện điều đó cho 64 cặp trong Δ(110100) thì ta nhận được phân bố của các xâu x-or xuất sau: 000 0 000 1 001 0 001 1 010 0 010 1 011 0 011 1 100 0 100 1 101 0 101 1 110 0 110 1 111 0 111 1 0 8 16 6 2 0 0 12 6 0 0 0 0 8 0 6 Trong ví dụ 3.1, chỉ có 8 trong số 16 xâu x-or xuất có thể có xuất hiện thật sự. Ví dụ cụ thể này đã chỉ ra sự phân bố rất không đều của các xâu x-or xuất. Nói chung, nếu ta cố định S-hộp Sj và xâu nhập x-or Bj’, thì trung bình có khoảng 75 - 80% các xâu x-or xuất có thể có xuất hiện thực sự. Để mô tả các phân bô đó ta đưa ra định nghĩa sau. Định nghĩa 3.3: Với 1 ≤ j ≤ 8 và với các xâu bit Bj’ độ dài 6 và Cj’ độ dài 4, ta định nghĩa: INj(Bj’,Cj’) = {Bj ∈ (Z2)6 : Sj(Bj) ⊕ Sj(Bj ⊕ Bj’) = Cj’} và Nj(Bj’, Cj’) = ⎮INj(Bj’, Cj’)⎮ Bảng sau sẽ cho các xâu nhập có thể có với xâu x-or nhập 110100 Xâu xuất x-or Các xâu nhập có thể có 0000 0001 000011, 001111, 011110, 011111 101010, 101011, 110111, 111011 0010 000100, 000101, 001110, 010001 010010, 010100, 011010, 011011 100000, 100101, 010110, 101110 101111, 110000, 110001, 111010 0011 000001, 000010, 010101, 100001 110101, 110110 0100 010011, 100111 ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 0101 0110 0111 000000, 001000, 001101, 010111 011000, 011101, 100011, 101001 101100, 110100, 111001, 111100 1000 001001, 001100, 011001, 101101 111000, 111101 1001 1010 1011 1100 1101 000110, 010000, 010110, 011100 110010, 100100, 101000, 110010 1110 1111 000111, 001010, 001011, 110011 111110, 111111 Nj(Bj’, Cj’) tính số các cặp với xâu nhập x-or bằng Bj’ có xâu xuất x-or bằng Cj’ với S-hộp Sj. Các cặp đó có các xâu nhập x-or được đặc tả và đưa ra cách tính các xâu xuất x-or có thể nhận được từ tập INj(Bj’, Cj’). Để ý rằng, tập này có thể phân thành Nj(Bj’, Cj’) /2 cặp, mỗi cặp có xâu x-or nhập bằng Bj’. Phân bố trong ví dụ 3.1 chứa các trị N1(110100, C1’), C1’∈ (Z2)4. Trong bảng trên chứa các tập IN(110100, C1’). Với mỗi tám S-hộp, có 64 xâu nhập x-or có thể có. Như vậy, có 512 phân bố có thể tính được. Nhắc lại là, xâu nhập cho S-hộp ở vòng thứ i là B= E⊕ J, với E = E(Ri-1) là mở rộng của Ri-1 và J = Ki gồm các bit khóa của vòng i. Bây giờ xâu nhập x-or (cho tất cả tám S-hộp) có thể tính được như sau: B ⊕ B* = (E ⊕ J) ⊕ (E* ⊕ J) = E ⊕ E* Điều này rất quan trọng để thấy rằng, xâu nhập x-or không phụ thuộc vào các bit khóa J. (Do đó, xâu xuất x-or cũng không phụ thuộc vào các bit khóa.) Ta sẽ viết mỗi B, E và J như là nối của tám xâu 6-bit: B = B1B2B3B4B5B6B7B8 E = E1E2E3E4E5E6E7E8 J = J1J2J3J4J5J6J7J8 và ta cũng sẽ viết B* và E* như vậy. Bây giờ giả sử là ta đã biết các trị Ej và Ej* với một j nào đó, 1 ≤ j ≤ 8, và trị của xâu xuất x-or cho Sj, Cj’ = Sj(Bj) ⊕ Sj(Bj* ). Khi đó sẽ là: Ej ⊕ Jj ∈ INj(Ej’, Cj’), với Ej’ = Ej ⊕ Ej*. Định nghĩa 3.4: Giả sử Ej và Ej* là các xâu bit độ dài 6, và Cj’ là xâu bit độ dài 4. Ta định nghĩa: testj(Ej, Ej*, Cj’) = { Bj ⊕ Ej : Bj ∈ INj(Ej’, Cj’) }, với Ej’ = Ej ⊕ Ej*. ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 Định lý 3.1: Giả sử Ej và Ej* là hai xâu nhập cho S-hộp Sj, và xâu xuất x-or cho Sj là Cj’. Ký hiệu Ej’ = Ej ⊕ Ej* . Khi đó các bit khóa Jj có trong tập testj(Ej, Ej*, Cj’). Để ý, đó chính là các xâu bit Nj(Ej’, Cj’) độ dài 6 trong tập testj(Ej, Ej*, Cj’); giá trị chính xác của Jj phải là một trong số đó. Ví dụ 3.2: Giả sử E1 = 000001, E1*= 110101 và C1’= 1101. Do đó N1(110101,1101) = 8, đúng bằng 8 xâu bit trong tập test1(000001, 110101, 1101). Từ bảng trên ta thấy rằng IN1(110100, 1101) = {000110, 010000, 010110, 011100, 100010, 100100, 101000, 110010} Cho nên test1(000001, 110101,1101) = {000111, 010001, 010111, 011101, 100011, 100101, 101001, 110011} Nếu ta có một bộ ba thứ hai như thế E1, E1*, C1’, khi đó ta sẽ nhận được tập thứ hai test1 của các trị cho các bit khóa trong J1. Trị đúng của J1 cần phải nằm trong giao của các S-hộp. Nếu ta có một vài bộ ba như vậy, khi đó ta có thể mau chóng tìm được các bit khóa trong J1. Một cách rõ ràng hơn để thực hiện điều đó là lập một bảng của 64 bộ đếm biểu diễn cho 64 khả năng của của 6 khóa bit trong J1. Bộ đếm sẽ tăng mỗi lần, tương ứng với sự xuất hiện của các bit khóa trong tập test1 cho một bộ ba cụ thể. Cho t bộ ba, ta hy vọng tìm được duy nhất một bộ đếm có trị t; trị đó sẽ tương ứng với trị đúng của các bit khóa trong J1. I.3.1. Thám mã hệ DES - 3 vòng Bây giờ ta sẽ xét ý tưởng vừa trình bày cho việc thám mã hệ DES - ba vòng. Ta sẽ bắt đầu với cặp bản rõ và các bản mã tương ứng: L0R0, L0*R0*, L3R3 và L3*R3*. Ta có thể biểu diễn R3 như sau: R3 = L2 ⊕ f(R2, K3) = R1 ⊕ f(R2, K3) = L0 ⊕ f(R0, K1) ⊕ f(R2, K3) R3* có thể biểu diễn một cách tương tự , do vậy: R3’ = L0’ ⊕ f(R0, K1) ⊕ f(R0*, K1) ⊕ f(R2, K3) ⊕ f(R2*, K3) Bây giờ, giả sử ta đã chọn được các bản rõ sao cho R0 = R0*, chẳng hạn: R0’ = 00...0 Khi đó f(R0, K1) = f(R0*, K1), và do đó: R3’ = L0’⊕ f(R2, K3) ⊕ f(R2*, K3) Ở điểm này R3’ là được biết khi nó có thể tính được từ hai bản mã, và L0’ là biết được khi nó có thể tính được từ hai bản rõ. Nghĩa là ta có thể tính được f(R2,K3)⊕f(R2*,K3) từ phương trình: f(R2, K3) ⊕ f(R2*, K3) = R3’ ⊕ L0’ Bây giờ f(R2, K3) = P(C) và f(R2*, K3) = P(C*), với C và C* tương ứng là ký hiệu của hai xâu xuất của tám S-hộp (nhắc lại, P là cố định, là hoán vị được biết công khai). Nên: ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 P(C) ⊕ P(C*) = R3’ ⊕ L0’ và kết quả là: C’ = C ⊕ C* = P-1(R3’ ⊕ L0’) (1) Đó là xâu xuất x-or cho tám S-hộp trong vòng ba. Bây giờ, R2 = L3 và R2* = L3* là đã biết (chúng là một phần của các bản mã). Từ đây ta có thể tính: E = E(L3) (2) và E* = E(L3*) (3) sử dụng hàm mở rộng E được biết công khai. Chúng là những xâu nhập cho các S-hộp cho vòng ba. Như vậy giờ ta đã biết E, E*, và C’ cho vòng ba và ta có thể tiếp tục xây dựng các tập test1, ..., test8 của các trị có thể có cho các bit khóa trong J1, ..., J8. Giải thuật vừa xét có thể biểu diễn bởi các mã sau: Input: L0R0, L0*R0*, L3R3 và L3*R3*, với R0 = R0* 1. Tính C’ = P-1(R3’ ⊕ L0’) 2. Tính E = E(L3) và E* = E(L*) 3. for j = 1 to 8 do compute testj(Ej, Ej*, Cj’) Việc mã thám sẽ sử dụng một số bộ ba E, E*, C’ như vậy. Ta sẽ lập tám bảng các bộ đếm và do đó xác định được 48 bit trong K3, là khóa cho vòng ba. 56 bit trong khóa khi đó có thể tìm được hoàn toàn từ 28 = 256 khả năng cho 8 bit khóa. Bây giờ ta sẽ minh họa điều đó qua ví dụ sau. Ví dụ 3.3 Giả sử ta có ba cặp bản rõ và bản mã, với các bản mã cùng có các xâu x-or được mã hóa bởi cùng một khóa. Để ngắn gọn ta sử dụng hệ thập lục phân: Bản rõ Bản mã 748502CD38451097 3874756438451097 03C70306D8A09F10 78560A0960E6D4CB 486911026ACDFF31 375BD31F6ACDFF31 45FA285BE5ADC730 134F7915AC253457 357418DA013FEC86 12549847013FEC86 D8A31B2F28BBC5CF 0F317AC2B23CB944 Từ cặp đầu tiên ta tính các xâu nhập của S-hộp (cho vòng 3) từ các phương trình (2) và (3). Chúng là: E = 000000000111111000001110100000000110100000001100 E* = 101111110000001010101100000001010100000001010010 Xâu xuất x-or của S-hộp được tính bằng phương trình (1) sẽ là: C’ = 10010110010111010101101101100111 ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 Từ cặp thứ hai, ta tính được các xâu nhập cho S-hộp là: E = 101000001011111111110100000101010000001011110110 E* = 100010100110101001011110101111110010100010101001 và xâu xuất x-or của S-hộp là: C’ = 10011100100111000001111101010110 Từ cặp thứ ba, các xâu nhập cho S-hộp sẽ là: E = 111011110001010100000110100011110110100101011111 E* = 000001011110100110100010101111110101011000000100 và xâu xuất x-or của S-hộp là: C’ = 11010101011101011101101100101011 Tiếp theo, ta lập bảng các trị trong tám mảng bộ đếm cho mỗi cặp. Ta sẽ minh họa thủ tục với các mảng đếm cho J1 từ cặp đầu tiên. Trong cặp này, ta có E1’= 101111 và C1’ = 1001. Tập: IN1(101111, 1001) = {000000, 000111, 101000, 101111} Do E1 = 000000 ta có: J1 ∈ test1(000000, 101111, 1001) = {000000, 000111, 101000, 101111} Do đó ta tăng các trị 0, 7, 40 và 47 trong các mảng đếm cho J1. Cuối cùng ta sẽ trình bày các bảng. Nếu ta xem các xâu bit độ dài 6 như là biểu diễn của các số nguyên trong khoảng 0-63, thì 64 trị sẽ tương ứng với 0, 1, ..., 63. Các mảng đếm sẽ là như sau: J1 1 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 1 1 0 0 0 0 1 0 0 0 1 0 0 1 0 0 0 0 0 0 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 J2 0 0 0 1 0 3 0 0 1 0 0 1 0 0 0 0 0 1 0 0 0 2 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 1 0 0 1 0 1 0 0 0 1 0 0 0 1 1 0 0 0 0 1 0 1 0 2 0 0 0 J3 0 0 0 0 1 1 0 0 0 0 0 0 0 0 1 0 0 0 0 3 0 0 0 0 0 0 0 0 0 0 1 1 0 2 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 1 0 0 0 0 0 1 0 0 0 J4 3 1 0 0 0 0 0 0 0 0 2 2 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 1 0 1 1 ĐỒ ÁN BẢO MẬT THÔNG TIN HỆ MÃ DES NGÔ THỊ TUYẾT HÀ – T012825 1 1 1 0 1 0 0 0 0 1 1 1 0 0 1 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 2 1 J5 0 0 0 0 0 0 1 0 0 0 1 0 0 0 0 0 0 0 0 0 2 0 0 0 3 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 0 0 0 0 0 0 1 0 0 0 0 2 0 J6 1 0 0 1 1 0 0 3 0 0 0 0 1 0 0 1 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 1 0 0 0 0 0 0 0 0 1 0 0 1 1 0 1 1 0 0 0 0 0 0 0 0 J7 0 0 2 1 0 1 0 3 0 0 0 1 1 0 0 0 0 1 0 0 0 0 0 0 0 0 0 1 0 0 0 1 0 0 2 0 0 0 2 0 0 0 0 1 2 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 J8 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 1 0 1 0 3 0 0 0 0 1 0 0 0 0 0 0 0 0 0 Trong mỗi tám mảng đếm, có duy nhất một bộ đếm có trị là 3. Vị trí của các bộ đếm đó xác định các bit khóa trong J1, ..., J8. Các vị trí đó là: 47, 5, 19, 0, 24, 7, 7, 49. Chuyển các số nguyên đó sang dạng nhị phân, ta nhận được J1, ..., J8: J1 = 101111 J2 = 000101 J3 = 010011 J4 = 000000 J5 = 011000 J6 = 000111 J7 = 000111 J8 = 110001 Bây giờ ta có thể tạo ra 48 bit khóa, bằng cách quan sát lịch khóa cho vòng ba. Suy ra là K có dạng: 0001101 0110001 01?01?0 1?00100 0101001 0000??0 111?11? ?100011 với các bit kiểm tra đã được loại bỏ và “?” ký hiệu bit khóa chưa biết. Khóa đầy đủ (trong dạng thập lục phân, gồm cả bit kiểm tra) sẽ là: 1A624C89520DEC46