內容來源論文The Galois/Counter Mode of Operation(GCM)，本文主要根據第4.1章軟體實現進行原理推導。

問題：已知 f = 1 + α + α² + α⁷ + α¹²⁸求 H · X，其中X、H都是128位的位元串

一、查表1

The operation H ·X is linear in the bits of X, over the field GF(2). This property can be exploited tomakeefficient table-driven implementations,in which tables computedforaparticular valueof H can be used to multiply H byan arbitrary elementX. The simplest method computes Z = X·H as

Z = M₀[byte(X, 0)] ⊕ M₁[byte(X, 1)] ⊕ ... ⊕ M₁₅[byte(X, 15)]

解釋：實際上就是將 X 拆分成16個獨立的操作進行查表。

X · H = (x₀+ x₁α + x₂α²+ x₃α³ + ···· + x₁₂₆α¹²⁶ + x₁₂₇α¹²⁷) · H

= (x₀+ x₁α + x₂α²+ x₃α³+ ···· + x₇α⁷+ 0α⁸ + ···+ 0α¹²⁷) · H +

(0+ 0α + ···· + 0α⁷+ x₈α⁸+ x₉α⁹ + ··· + x₁₅α¹⁵ + 0α¹⁶ +···+ 0α¹²⁷) · H +

··· +

(0+ 0α + ···· + 0α¹¹⁹

這樣就可以轉化為16次乘法 + 16次加法操作，對於每個乘法操作，由於只有1個位元組不為0，所以我們可以預先遍歷256種取值，對於每一個取值 x，計算 x · H。當後續需要時直接查表即可，因此可以轉化為16次查表 + 16次加法操作。具體可以再配製金鑰完成後，先計算出H，再進行預計算。

所需要的空間：16（表的數量）· 256（每張表中元素的個數）· 16（每個元素的位元組數，為128位元） = 2⁴·2⁸·2⁴ = 64KBytes。

另外一種方法可以按照 4位元 拆分，因此一共需要32次查表 + 32次加法。

所需要的空間：32（表的數量）· 16（每張表中元素的個數）· 16（每個元素的位元組數，為128位元） = 2⁵·2⁴·2⁴= 8KBytes。

二、查表2

1、With a small increase in the amount of computation, we can reduce the storage requirements considerably, as describedby Shoup[9].We can use only the table M0 defined above to multiply an arbitrary element X ∈ GF(2¹²⁸) by H as follows.Wefirstexpresstheproductas

X · H = (x₀+ x₁α + x₂α²+ x₃α³+ ···· + x₁₂₆α¹²⁶+ x₁₂₇α¹²⁷) · H

= (x₀+ x₁α + x₂α²+ x₃α³+ ···· + x₇α⁷+ 0α⁸+ ···+ 0α¹²⁷) · H +

(0+ 0α + ···· + 0α⁷+ x₈α⁸+ x₉α⁹+ ··· + x₁₅α¹⁵+ 0α¹⁶+···+ 0α¹²⁷) · H +

··· +

(0+ 0α + ···· + 0α¹¹⁹+ x₁₂₀α¹²⁰+ x₁₂₁α¹²¹+ ··· + x₁₂₇α¹²⁷) · H

= (x₀+ x₁α + x₂α²+ x₃α³+ ···· + x₇α⁷+ 0α⁸+ ···+ 0α¹²⁷) · H +

(0+ 0α + ···· + 0α⁷+ x₈α⁰+ x₉α¹+ ··· + x₁₅α⁷+ 0α¹⁶+···+ 0α¹²⁷) · α⁸· H +

··· +

(0+ 0α + ···· + 0α¹¹⁹+ x₁₂₀α⁰+ x₁₂₁α¹+ ··· + x₁₂₇α⁷) · α¹²⁰·H -- 公式2

論文中轉換後的演算法如下

演算法1

Z = 0

for i = 15 to 1 do
Z = Z⊕ (X_i · H)
Z = Z · α⁸

end for

Z = Z⊕ (X₀ · H)

return Z

2、解釋：這裡演算法中的X_i分別對應16個位元組（等價於x_i*8+0x_i*8+1x_i*8+2x_i*8+3x_i*8+4x_i*8+5x_i*8+6x_i*8+7）。

論文中對演算法1進行了解釋，但期初看起來可能比較費解。這裡我們詳細計算驗證演算法的等價性。

i = 15結束後：Z = X₁₅ · H ·α⁸

i = 14結束後：Z = (X₁₅· H ·α⁸⊕ X₁₄· H) ·α⁸

= X₁₅· H ·α¹⁶⊕ X₁₄· H ·α⁸

i = 13結束後：Z = (X₁₅· H ·α¹⁶⊕ X₁₄· H ·α⁸ ⊕ X₁₃· H) ·α⁸

= X₁₅· H ·α²⁴⊕ X₁₄· H ·α¹⁶⊕ X₁₃· H·α⁸

···

i = 1結束後：Z = X₁₅· H ·α¹²⁰⊕ X₁₄· H ·α¹¹²⊕ X₁₃· H·α¹⁰⁴⊕ ···⊕ X₂· H·α¹⁶⊕ X₁· H·α⁸

演算法結束後：Z = X₁₅· H ·α¹²⁰⊕ X₁₄· H ·α¹¹²⊕ X₁₃· H·α¹⁰⁴⊕ ···⊕ X₂· H·α¹⁶⊕ X₁· H·α⁸⊕ X₀· H -- 公式3

以位元串的形式表示，我們可以發現公式3和公式2是等價的，因此可以證明演算法1是正確的。

3、演算法1的求解

1）X_i· H 可以通過查表得到，其中X_i只有第1個位元組不為0，其餘120位元全為0，因此我們只需要遍歷256種情況即可。16次查表操作均可以只使用1個表格，再通過移位實現。

2）Z⊕ (X_i· H)對應的二進位制位元串將不再是隻有第1個位元組不為0，重點求解Z = Z ·α⁸

Z = Z ·α⁸

= Z ·α·α⁷

= ((Z >> 1)⊕ x₁₂₇R) ·α⁷（其中，R = 0xe1000···0，高 8 位元為 e1，後 120 位元為全 0；x₁₂₇R 表示若 Z 的第 127 位元為 0，則 x₁₂₇R 為 0，否則為 R）

=(Z' ⊕ x₁₂₇R) ·α⁷（記 Z' 表示 Z 右移 1 位）

=(Z' ⊕ x₁₂₇R)·α·α⁶

= ((Z' ⊕ x₁₂₇R)'⊕ x₁₂₇R) ·α⁶

= ((Z'' ⊕ x₁₂₇R'⊕ x₁₂₆R)·α⁶

= ((Z''' ⊕ x₁₂₇R''⊕ x₁₂₆R'⊕ x₁₂₅R)·α⁵

···

= Z'''''''' ⊕ x₁₂₇R'''''''⊕ x₁₂₆R''''''⊕ x₁₂₅R'''''⊕ ···⊕ x₁₂₀R -- 公式4

其中Z'''''''' 可以直接通過迴圈右移 8 位元得到；對於x₁₂₇R'''''''⊕ x₁₂₆R''''''⊕ x₁₂₅R'''''⊕ ···⊕ x₁₂₀R，由於 R 本身是常量，因此我們可以遍歷x₁₂₇、x₁₂₆、 x₁₂₅、···、x₁₂₀共256種取值進行預計算，最終通過查表得到實際結果。

所需要的空間：1（X_i· H表的數量，只對第1個位元組預計算）· 256（每張表中 X_i 取值的情況）· 16（每個結果的位元組數，為128位元）+ 1（R表的數量）· 256 (x₁₂₇、x₁₂₆、 x₁₂₅、···、x₁₂₀256種取值）+ 2（由於R只有最高8位元非0，最多右移8次，因此只需要16位元即可表示） = 4KBytes + 512 Bytes。

同理，若按照 4位元 拆分，所需要的空間：1（X_i· H表的數量，只對 x₀x₁x₂x₃預計算）· 16（每張表中x₀x₁x₂x₃ 取值的情況）· 16（每個結果的位元組數，為128位元）+ 1（R表的數量）· 16 (x₁₂₇、x₁₂₆、x₁₂₅、x₁₂₄共16種取值）+ 2（由於R只有最高8位元非0，最多右移8次，因此只需要16位元即可表示） = 256Bytes + 32 Bytes。

4）這裡給出按照 4位元 拆分時，R表的構造方法。8 位元拆分的計算方法同理

根據公式4，可以容易的推匯出

Z = Z ·α⁴

=Z'''' ⊕ x₁₂₇R'''⊕ x₁₂₆R''⊕ x₁₂₅R'⊕ ···⊕ x₁₂₄R -- 公式5

x₁₂₄x₁₂₅x₁₂₆x₁₂₇ 結果

0 0 0 0 0

0 0 0 1 R''' = 0xe1 >> 3 = 0x1c20

0 0 1 0 R'' = 0xe1 >> 2 =0x3840

0 0 1 1 R'''⊕ R'' = 0x1c20⊕ 0x3840 = 0x2460

0 1 0 0 R'= 0xe1 >> 1 = 0x7080

0 1 0 1 R'''⊕ R' = 0x1c20⊕0x7080= 0x6ca0

0 1 1 0 R''⊕ R' = 0x3840⊕ 0x7080= 0x48c0

0 1 1 1 R'''⊕ R'' ⊕ R'= 0x2460⊕ 0x7080=0x54e0

1 0 0 0 R=0xe100

1 0 0 1 R'''⊕ R = 0x1c20⊕ 0xe100=0xfd20

1 0 1 0 R''⊕ R = 0x3840⊕ 0xe100=0xd940

1 0 1 1 R'''⊕ R'' ⊕ R= 0x2460⊕ 0xe100=0xc560

1 1 0 0 R'⊕ R =0x7080⊕ 0xe100=0x9180

1 1 0 1 R'''⊕R'⊕ R = 0x6ca0⊕ 0xe100=0x8da0

1 1 1 0 R''⊕ R' ⊕ R= 0x48c0⊕ 0xe100=0xa9c0

1 1 1 1 R'''⊕ R''⊕ R'⊕ R = 0x54e0⊕ 0xe100=0xb5e0