home *** CD-ROM | disk | FTP | other *** search
/ Internet Core Protocols / Oreilly-InternetCoreProtocols.iso / RFCs / rfc2612.txt < prev    next >
Encoding:
Text File  |  1999-10-14  |  37.6 KB  |  1,068 lines

  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                        C. Adams
  8. Request for Comments: 2612                               J. Gilchrist
  9. Category: Informational                          Entrust Technologies
  10.                                                             June 1999
  11.  
  12.  
  13.                    The CAST-256 Encryption Algorithm
  14.  
  15. Status of this Memo
  16.  
  17.    This memo provides information for the Internet community.  It does
  18.    not specify an Internet standard of any kind.  Distribution of this
  19.    memo is unlimited.
  20.  
  21. Copyright Notice
  22.  
  23.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  24.  
  25. Abstract
  26.  
  27.    There is always a desire in the Internet community for unencumbered
  28.    encryption algorithms with a range of key sizes that can provide
  29.    security for a variety of cryptographic applications and protocols.
  30.  
  31.    This document describes an existing algorithm that can be used to
  32.    satisfy this requirement.  Included are a description of the cipher
  33.    and the key scheduling algorithm, the s-boxes, and a set of test
  34.    vectors (Appendix A).
  35.  
  36. Table of Contents
  37.  
  38.    Abstract........................................................1
  39.    1. Introduction.................................................2
  40.    2. CAST-256 Algorithm Specification.............................2
  41.    3. Cipher Naming................................................8
  42.    4. Cipher Usage.................................................8
  43.    5. Security Considerations......................................8
  44.    6. References...................................................9
  45.    7. Authors' Addresses...........................................9
  46.    Appendix A. Test Vectors.......................................10
  47.    Full Copyright Statement.......................................19
  48.  
  49.  
  50.  
  51.  
  52.  
  53.  
  54.  
  55.  
  56.  
  57.  
  58. Adams & Gilchrist            Informational                      [Page 1]
  59.  
  60. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  61.  
  62.  
  63. 1. Introduction
  64.  
  65.    This document describes the CAST-256 encryption algorithm, a DES-like
  66.    Substitution-Permutation Network (SPN) cryptosystem built upon the
  67.    CAST-128 encryption algorithm [1] which appears to have good
  68.    resistance to differential cryptanalysis, linear cryptanalysis, and
  69.    related-key cryptanalysis.  This cipher also possesses a number of
  70.    other desirable cryptographic properties, including avalanche, Strict
  71.    Avalanche Criterion (SAC), Bit Independence Criterion (BIC), no
  72.    complementation property, and an absence of weak and semi-weak keys.
  73.    It thus appears to be a good candidate for general-purpose use
  74.    throughout the Internet community wherever a cryptographically-
  75.    strong, freely-available encryption algorithm is required.
  76.  
  77.    CAST-256 has a block size of 128 bits and a variable key size (128,
  78.    160, 192, 224, or 256 bits).
  79.  
  80. 2. CAST-256 Algorithm Specification
  81.  
  82. 2.1 CAST-128 Notation
  83.  
  84.    The following notation from CAST-128 [1] is relevant to CAST-256.
  85.  
  86.       CAST-128 uses a pair of subkeys per round:  a 5-bit quantity Kri
  87.       is used as a "rotation" key for round i and a 32-bit quantity Kmi
  88.       is used as a "masking" key for round i.
  89.  
  90.       Three different round functions are used in CAST-128.  The rounds
  91.       are as follows (where D is the data input to the operation, Ia -
  92.       Id are the most significant byte through least significant byte of
  93.       I, respectively, Si is the ith s-box (see Section 2.1.1 for s-box
  94.       contents), and O is the output of the operation).  Note that "+"
  95.       and "-" are addition and subtraction modulo 2**32, "^" is bitwise
  96.       eXclusive-OR, and "<<<" is the circular left-shift operation.
  97.  
  98.            Type 1:  I = ((Kmi + D) <<< Kri)
  99.                     O = ((S1[Ia] ^ S2[Ib]) - S3[Ic]) + S4[Id]
  100.  
  101.            Type 2:  I = ((Kmi ^ D) <<< Kri)
  102.                     O = ((S1[Ia] - S2[Ib]) + S3[Ic]) ^ S4[Id]
  103.  
  104.            Type 3:  I = ((Kmi - D) <<< Kri)
  105.                     O = ((S1[Ia] + S2[Ib]) ^ S3[Ic]) - S4[Id]
  106.  
  107.        Let f1, f2, f3 be keyed round function operations of Types 1, 2,
  108.        and 3 (respectively) above.
  109.  
  110.  
  111.  
  112.  
  113.  
  114. Adams & Gilchrist            Informational                      [Page 2]
  115.  
  116. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  117.  
  118.  
  119.        CAST-128 uses four round function substitution boxes (s-boxes),
  120.        S1 - S4.  These are defined as follows (entries -- written in
  121.        hexadecimal notation -- are to be read left-to-right, top-to-
  122.        bottom).
  123.  
  124. 2.1.1 S-Boxes
  125.  
  126.  S-Box S1
  127.  30fb40d4 9fa0ff0b 6beccd2f 3f258c7a 1e213f2f 9c004dd3 6003e540 cf9fc949
  128.  bfd4af27 88bbbdb5 e2034090 98d09675 6e63a0e0 15c361d2 c2e7661d 22d4ff8e
  129.  28683b6f c07fd059 ff2379c8 775f50e2 43c340d3 df2f8656 887ca41a a2d2bd2d
  130.  a1c9e0d6 346c4819 61b76d87 22540f2f 2abe32e1 aa54166b 22568e3a a2d341d0
  131.  66db40c8 a784392f 004dff2f 2db9d2de 97943fac 4a97c1d8 527644b7 b5f437a7
  132.  b82cbaef d751d159 6ff7f0ed 5a097a1f 827b68d0 90ecf52e 22b0c054 bc8e5935
  133.  4b6d2f7f 50bb64a2 d2664910 bee5812d b7332290 e93b159f b48ee411 4bff345d
  134.  fd45c240 ad31973f c4f6d02e 55fc8165 d5b1caad a1ac2dae a2d4b76d c19b0c50
  135.  882240f2 0c6e4f38 a4e4bfd7 4f5ba272 564c1d2f c59c5319 b949e354 b04669fe
  136.  b1b6ab8a c71358dd 6385c545 110f935d 57538ad5 6a390493 e63d37e0 2a54f6b3
  137.  3a787d5f 6276a0b5 19a6fcdf 7a42206a 29f9d4d5 f61b1891 bb72275e aa508167
  138.  38901091 c6b505eb 84c7cb8c 2ad75a0f 874a1427 a2d1936b 2ad286af aa56d291
  139.  d7894360 425c750d 93b39e26 187184c9 6c00b32d 73e2bb14 a0bebc3c 54623779
  140.  64459eab 3f328b82 7718cf82 59a2cea6 04ee002e 89fe78e6 3fab0950 325ff6c2
  141.  81383f05 6963c5c8 76cb5ad6 d49974c9 ca180dcf 380782d5 c7fa5cf6 8ac31511
  142.  35e79e13 47da91d0 f40f9086 a7e2419e 31366241 051ef495 aa573b04 4a805d8d
  143.  548300d0 00322a3c bf64cddf ba57a68e 75c6372b 50afd341 a7c13275 915a0bf5
  144.  6b54bfab 2b0b1426 ab4cc9d7 449ccd82 f7fbf265 ab85c5f3 1b55db94 aad4e324
  145.  cfa4bd3f 2deaa3e2 9e204d02 c8bd25ac eadf55b3 d5bd9e98 e31231b2 2ad5ad6c
  146.  954329de adbe4528 d8710f69 aa51c90f aa786bf6 22513f1e aa51a79b 2ad344cc
  147.  7b5a41f0 d37cfbad 1b069505 41ece491 b4c332e6 032268d4 c9600acc ce387e6d
  148.  bf6bb16c 6a70fb78 0d03d9c9 d4df39de e01063da 4736f464 5ad328d8 b347cc96
  149.  75bb0fc3 98511bfb 4ffbcc35 b58bcf6a e11f0abc bfc5fe4a a70aec10 ac39570a
  150.  3f04442f 6188b153 e0397a2e 5727cb79 9ceb418f 1cacd68d 2ad37c96 0175cb9d
  151.  c69dff09 c75b65f0 d9db40d8 ec0e7779 4744ead4 b11c3274 dd24cb9e 7e1c54bd
  152.  f01144f9 d2240eb1 9675b3fd a3ac3755 d47c27af 51c85f4d 56907596 a5bb15e6
  153.  580304f0 ca042cf1 011a37ea 8dbfaadb 35ba3e4a 3526ffa0 c37b4d09 bc306ed9
  154.  98a52666 5648f725 ff5e569d 0ced63d0 7c63b2cf 700b45e1 d5ea50f1 85a92872
  155.  af1fbda7 d4234870 a7870bf3 2d3b4d79 42e04198 0cd0ede7 26470db8 f881814c
  156.  474d6ad7 7c0c5e5c d1231959 381b7298 f5d2f4db ab838653 6e2f1e23 83719c9e
  157.  bd91e046 9a56456e dc39200c 20c8c571 962bda1c e1e696ff b141ab08 7cca89b9
  158.  1a69e783 02cc4843 a2f7c579 429ef47d 427b169c 5ac9f049 dd8f0f00 5c8165bf
  159.  
  160.  S-Box S2
  161.  1f201094 ef0ba75b 69e3cf7e 393f4380 fe61cf7a eec5207a 55889c94 72fc0651
  162.  ada7ef79 4e1d7235 d55a63ce de0436ba 99c430ef 5f0c0794 18dcdb7d a1d6eff3
  163.  a0b52f7b 59e83605 ee15b094 e9ffd909 dc440086 ef944459 ba83ccb3 e0c3cdfb
  164.  d1da4181 3b092ab1 f997f1c1 a5e6cf7b 01420ddb e4e7ef5b 25a1ff41 e180f806
  165.  1fc41080 179bee7a d37ac6a9 fe5830a4 98de8b7f 77e83f4e 79929269 24fa9f7b
  166.  e113c85b acc40083 d7503525 f7ea615f 62143154 0d554b63 5d681121 c866c359
  167.  
  168.  
  169.  
  170. Adams & Gilchrist            Informational                      [Page 3]
  171.  
  172. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  173.  
  174.  
  175.  3d63cf73 cee234c0 d4d87e87 5c672b21 071f6181 39f7627f 361e3084 e4eb573b
  176.  602f64a4 d63acd9c 1bbc4635 9e81032d 2701f50c 99847ab4 a0e3df79 ba6cf38c
  177.  10843094 2537a95e f46f6ffe a1ff3b1f 208cfb6a 8f458c74 d9e0a227 4ec73a34
  178.  fc884f69 3e4de8df ef0e0088 3559648d 8a45388c 1d804366 721d9bfd a58684bb
  179.  e8256333 844e8212 128d8098 fed33fb4 ce280ae1 27e19ba5 d5a6c252 e49754bd
  180.  c5d655dd eb667064 77840b4d a1b6a801 84db26a9 e0b56714 21f043b7 e5d05860
  181.  54f03084 066ff472 a31aa153 dadc4755 b5625dbf 68561be6 83ca6b94 2d6ed23b
  182.  eccf01db a6d3d0ba b6803d5c af77a709 33b4a34c 397bc8d6 5ee22b95 5f0e5304
  183.  81ed6f61 20e74364 b45e1378 de18639b 881ca122 b96726d1 8049a7e8 22b7da7b
  184.  5e552d25 5272d237 79d2951c c60d894c 488cb402 1ba4fe5b a4b09f6b 1ca815cf
  185.  a20c3005 8871df63 b9de2fcb 0cc6c9e9 0beeff53 e3214517 b4542835 9f63293c
  186.  ee41e729 6e1d2d7c 50045286 1e6685f3 f33401c6 30a22c95 31a70850 60930f13
  187.  73f98417 a1269859 ec645c44 52c877a9 cdff33a6 a02b1741 7cbad9a2 2180036f
  188.  50d99c08 cb3f4861 c26bd765 64a3f6ab 80342676 25a75e7b e4e6d1fc 20c710e6
  189.  cdf0b680 17844d3b 31eef84d 7e0824e4 2ccb49eb 846a3bae 8ff77888 ee5d60f6
  190.  7af75673 2fdd5cdb a11631c1 30f66f43 b3faec54 157fd7fa ef8579cc d152de58
  191.  db2ffd5e 8f32ce19 306af97a 02f03ef8 99319ad5 c242fa0f a7e3ebb0 c68e4906
  192.  b8da230c 80823028 dcdef3c8 d35fb171 088a1bc8 bec0c560 61a3c9e8 bca8f54d
  193.  c72feffa 22822e99 82c570b4 d8d94e89 8b1c34bc 301e16e6 273be979 b0ffeaa6
  194.  61d9b8c6 00b24869 b7ffce3f 08dc283b 43daf65a f7e19798 7619b72f 8f1c9ba4
  195.  dc8637a0 16a7d3b1 9fc393b7 a7136eeb c6bcc63e 1a513742 ef6828bc 520365d6
  196.  2d6a77ab 3527ed4b 821fd216 095c6e2e db92f2fb 5eea29cb 145892f5 91584f7f
  197.  5483697b 2667a8cc 85196048 8c4bacea 833860d4 0d23e0f9 6c387e8a 0ae6d249
  198.  b284600c d835731d dcb1c647 ac4c56ea 3ebd81b3 230eabb0 6438bc87 f0b5b1fa
  199.  8f5ea2b3 fc184642 0a036b7a 4fb089bd 649da589 a345415e 5c038323 3e5d3bb9
  200.  43d79572 7e6dd07c 06dfdf1e 6c6cc4ef 7160a539 73bfbe70 83877605 4523ecf1
  201.  
  202.  S-Box S3
  203.  8defc240 25fa5d9f eb903dbf e810c907 47607fff 369fe44b 8c1fc644 aececa90
  204.  beb1f9bf eefbcaea e8cf1950 51df07ae 920e8806 f0ad0548 e13c8d83 927010d5
  205.  11107d9f 07647db9 b2e3e4d4 3d4f285e b9afa820 fade82e0 a067268b 8272792e
  206.  553fb2c0 489ae22b d4ef9794 125e3fbc 21fffcee 825b1bfd 9255c5ed 1257a240
  207.  4e1a8302 bae07fff 528246e7 8e57140e 3373f7bf 8c9f8188 a6fc4ee8 c982b5a5
  208.  a8c01db7 579fc264 67094f31 f2bd3f5f 40fff7c1 1fb78dfc 8e6bd2c1 437be59b
  209.  99b03dbf b5dbc64b 638dc0e6 55819d99 a197c81c 4a012d6e c5884a28 ccc36f71
  210.  b843c213 6c0743f1 8309893c 0feddd5f 2f7fe850 d7c07f7e 02507fbf 5afb9a04
  211.  a747d2d0 1651192e af70bf3e 58c31380 5f98302e 727cc3c4 0a0fb402 0f7fef82
  212.  8c96fdad 5d2c2aae 8ee99a49 50da88b8 8427f4a0 1eac5790 796fb449 8252dc15
  213.  efbd7d9b a672597d ada840d8 45f54504 fa5d7403 e83ec305 4f91751a 925669c2
  214.  23efe941 a903f12e 60270df2 0276e4b6 94fd6574 927985b2 8276dbcb 02778176
  215.  f8af918d 4e48f79e 8f616ddf e29d840e 842f7d83 340ce5c8 96bbb682 93b4b148
  216.  ef303cab 984faf28 779faf9b 92dc560d 224d1e20 8437aa88 7d29dc96 2756d3dc
  217.  8b907cee b51fd240 e7c07ce3 e566b4a1 c3e9615e 3cf8209d 6094d1e3 cd9ca341
  218.  5c76460e 00ea983b d4d67881 fd47572c f76cedd9 bda8229c 127dadaa 438a074e
  219.  1f97c090 081bdb8a 93a07ebe b938ca15 97b03cff 3dc2c0f8 8d1ab2ec 64380e51
  220.  68cc7bfb d90f2788 12490181 5de5ffd4 dd7ef86a 76a2e214 b9a40368 925d958f
  221.  4b39fffa ba39aee9 a4ffd30b faf7933b 6d498623 193cbcfa 27627545 825cf47a
  222.  61bd8ba0 d11e42d1 cead04f4 127ea392 10428db7 8272a972 9270c4a8 127de50b
  223.  
  224.  
  225.  
  226. Adams & Gilchrist            Informational                      [Page 4]
  227.  
  228. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  229.  
  230.  
  231.  285ba1c8 3c62f44f 35c0eaa5 e805d231 428929fb b4fcdf82 4fb66a53 0e7dc15b
  232.  1f081fab 108618ae fcfd086d f9ff2889 694bcc11 236a5cae 12deca4d 2c3f8cc5
  233.  d2d02dfe f8ef5896 e4cf52da 95155b67 494a488c b9b6a80c 5c8f82bc 89d36b45
  234.  3a609437 ec00c9a9 44715253 0a874b49 d773bc40 7c34671c 02717ef6 4feb5536
  235.  a2d02fff d2bf60c4 d43f03c0 50b4ef6d 07478cd1 006e1888 a2e53f55 b9e6d4bc
  236.  a2048016 97573833 d7207d67 de0f8f3d 72f87b33 abcc4f33 7688c55d 7b00a6b0
  237.  947b0001 570075d2 f9bb88f8 8942019e 4264a5ff 856302e0 72dbd92b ee971b69
  238.  6ea22fde 5f08ae2b af7a616d e5c98767 cf1febd2 61efc8c2 f1ac2571 cc8239c2
  239.  67214cb8 b1e583d1 b7dc3e62 7f10bdce f90a5c38 0ff0443d 606e6dc6 60543a49
  240.  5727c148 2be98a1d 8ab41738 20e1be24 af96da0f 68458425 99833be5 600d457d
  241.  282f9350 8334b362 d91d1120 2b6d8da0 642b1e31 9c305a00 52bce688 1b03588a
  242.  f7baefd5 4142ed9c a4315c11 83323ec5 dfef4636 a133c501 e9d3531c ee353783
  243.  
  244.  S-Box S4
  245.  9db30420 1fb6e9de a7be7bef d273a298 4a4f7bdb 64ad8c57 85510443 fa020ed1
  246.  7e287aff e60fb663 095f35a1 79ebf120 fd059d43 6497b7b1 f3641f63 241e4adf
  247.  28147f5f 4fa2b8cd c9430040 0cc32220 fdd30b30 c0a5374f 1d2d00d9 24147b15
  248.  ee4d111a 0fca5167 71ff904c 2d195ffe 1a05645f 0c13fefe 081b08ca 05170121
  249.  80530100 e83e5efe ac9af4f8 7fe72701 d2b8ee5f 06df4261 bb9e9b8a 7293ea25
  250.  ce84ffdf f5718801 3dd64b04 a26f263b 7ed48400 547eebe6 446d4ca0 6cf3d6f5
  251.  2649abdf aea0c7f5 36338cc1 503f7e93 d3772061 11b638e1 72500e03 f80eb2bb
  252.  abe0502e ec8d77de 57971e81 e14f6746 c9335400 6920318f 081dbb99 ffc304a5
  253.  4d351805 7f3d5ce3 a6c866c6 5d5bcca9 daec6fea 9f926f91 9f46222f 3991467d
  254.  a5bf6d8e 1143c44f 43958302 d0214eeb 022083b8 3fb6180c 18f8931e 281658e6
  255.  26486e3e 8bd78a70 7477e4c1 b506e07c f32d0a25 79098b02 e4eabb81 28123b23
  256.  69dead38 1574ca16 df871b62 211c40b7 a51a9ef9 0014377b 041e8ac8 09114003
  257.  bd59e4d2 e3d156d5 4fe876d5 2f91a340 557be8de 00eae4a7 0ce5c2ec 4db4bba6
  258.  e756bdff dd3369ac ec17b035 06572327 99afc8b0 56c8c391 6b65811c 5e146119
  259.  6e85cb75 be07c002 c2325577 893ff4ec 5bbfc92d d0ec3b25 b7801ab7 8d6d3b24
  260.  20c763ef c366a5fc 9c382880 0ace3205 aac9548a eca1d7c7 041afa32 1d16625a
  261.  6701902c 9b757a54 31d477f7 9126b031 36cc6fdb c70b8b46 d9e66a48 56e55a79
  262.  026a4ceb 52437eff 2f8f76b4 0df980a5 8674cde3 edda04eb 17a9be04 2c18f4df
  263.  b7747f9d ab2af7b4 efc34d20 2e096b7c 1741a254 e5b6a035 213d42f6 2c1c7c26
  264.  61c2f50f 6552daf9 d2c231f8 25130f69 d8167fa2 0418f2c8 001a96a6 0d1526ab
  265.  63315c21 5e0a72ec 49bafefd 187908d9 8d0dbd86 311170a7 3e9b640c cc3e10d7
  266.  d5cad3b6 0caec388 f73001e1 6c728aff 71eae2a1 1f9af36e cfcbd12f c1de8417
  267.  ac07be6b cb44a1d8 8b9b0f56 013988c3 b1c52fca b4be31cd d8782806 12a3a4e2
  268.  6f7de532 58fd7eb6 d01ee900 24adffc2 f4990fc5 9711aac5 001d7b95 82e5e7d2
  269.  109873f6 00613096 c32d9521 ada121ff 29908415 7fbb977f af9eb3db 29c9ed2a
  270.  5ce2a465 a730f32c d0aa3fe8 8a5cc091 d49e2ce7 0ce454a9 d60acd86 015f1919
  271.  77079103 dea03af6 78a8565e dee356df 21f05cbe 8b75e387 b3c50651 b8a5c3ef
  272.  d8eeb6d2 e523be77 c2154529 2f69efdf afe67afb f470c4b2 f3e0eb5b d6cc9876
  273.  39e4460c 1fda8538 1987832f ca007367 a99144f8 296b299e 492fc295 9266beab
  274.  b5676e69 9bd3ddda df7e052f db25701c 1b5e51ee f65324e6 6afce36c 0316cc04
  275.  8644213e b7dc59d0 7965291f ccd6fd43 41823979 932bcdf6 b657c34d 4edfd282
  276.  7ae5290c 3cb9536b 851e20fe 9833557e 13ecf0b0 d3ffb372 3f85c5c1 0aef7ed2
  277.  
  278.  
  279.  
  280.  
  281.  
  282. Adams & Gilchrist            Informational                      [Page 5]
  283.  
  284. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  285.  
  286.  
  287. 2.2 CAST-256 Notation
  288.  
  289.    The following notation is employed in the specification of CAST-256.
  290.  
  291.        Let f1, f2, f3 be as defined for CAST-128.
  292.  
  293.        Let BETA = (ABCD) be a 128-bit block where A, B, C and D are each
  294.        32 bits in length.
  295.  
  296.        Let "BETA <- Qi(BETA)" be short-hand notation for the following:
  297.            C = C ^ f1(D, Kr0_(i), Km0_(i))
  298.            B = B ^ f2(C, Kr1_(i), Km1_(i))
  299.            A = A ^ f3(B, Kr2_(i), Km2_(i))
  300.            D = D ^ f1(A, Kr3_(i), Km3_(i))
  301.  
  302.        Let "BETA <- QBARi(BETA)" be short-hand notation for the
  303.        following:
  304.            D = D ^ f1(A, Kr3_(i), Km3_(i))
  305.            A = A ^ f3(B, Kr2_(i), Km2_(i))
  306.            B = B ^ f2(C, Kr1_(i), Km1_(i))
  307.            C = C ^ f1(D, Kr0_(i), Km0_(i))
  308.  
  309.        (Q(*) is called a "forward quad-round" and QBAR(*) is called a
  310.        "reverse quad-round".)
  311.  
  312.        Let Kr_(i) = {Kr0_(i), Kr1_(i), Kr2_(i), Kr3_(i)} be the set of
  313.        rotation keys for the ith quad-round, where Krj_(i) is a 5-bit
  314.        rotation key for f1, f2, or f3 (as specified above).
  315.  
  316.        Let Km_(i) = {Km0_(i), Km1_(i), Km2_(i), Km3_(i)} be the set of
  317.        masking keys for the ith quad-round, where Kmj_(i) is a 32-bit
  318.        masking key for f1, f2, or f3 (as specified above).
  319.  
  320.        Let KAPPA = (ABCDEFGH) be a 256-bit block where A, B, ..., H are
  321.        each 32 bits in length.
  322.  
  323.        Let "KAPPA <- Wi(KAPPA)" be short-hand notation for the
  324.        following:
  325.            G = G ^ f1(H, Tr0_(i), Tm0_(i))
  326.            F = F ^ f2(G, Tr1_(i), Tm1_(i))
  327.            E = E ^ f3(F, Tr2_(i), Tm2_(i))
  328.            D = D ^ f1(E, Tr3_(i), Tm3_(i))
  329.            C = C ^ f2(D, Tr4_(i), Tm4_(i))
  330.            B = B ^ f3(C, Tr5_(i), Tm5_(i))
  331.            A = A ^ f1(B, Tr6_(i), Tm6_(i))
  332.            H = H ^ f2(A, Tr7_(i), Tm7_(i))
  333.  
  334.            (W(*) is called a "forward octave".)
  335.  
  336.  
  337.  
  338. Adams & Gilchrist            Informational                      [Page 6]
  339.  
  340. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  341.  
  342.  
  343.            Let "Kr_(i) <- KAPPA" be short-hand notation for the
  344.            following:  Kr0_(i) = 5LSB(A), Kr1_(i) = 5LSB(C), Kr2_(i) =
  345.            5LSB(E), Kr3_(i) = 5LSB(G)
  346.        where 5LSB(x) denotes "the five least significant bits of x".
  347.  
  348.        Let "Km_(i) <- KAPPA" be short-hand notation for the following:
  349.            Km0_(i) = H, Km1_(i) = F, Km2_(i) = D, Km3_(i) = B
  350.  
  351. 2.3 The CAST-256 Cipher
  352.  
  353.    BETA = 128bits of plaintext.
  354.  
  355.        for (i=0; i<6; i++)
  356.            BETA <- Qi(BETA)
  357.        for (i=6; i<12; i++)
  358.            BETA <- QBARi(BETA)
  359.  
  360.    128bits of ciphertext = BETA
  361.  
  362.    Round Key Re-Ordering for Decryption
  363.  
  364.       The cipher employs a 256-bit primary key K.  Decryption is
  365.       identical to encryption except that the sets of quad-round keys
  366.       Kr_(i), Km_(i) derived from K are used in reverse order as
  367.       follows.
  368.  
  369.        for (i=0; i<12; i++)
  370.        {
  371.            KrNEW_(i) = Kr_(11-i)
  372.            KmNEW_(i) = Km_(11-i)
  373.        }
  374.  
  375. 2.4 The CAST-256 Key Schedule
  376.  
  377.    Initialization:
  378.  
  379.        Cm = 2**30 * SQRT(2) = 5A827999 (base 16)
  380.        Mm = 2**30 * SQRT(3) = 6ED9EBA1 (base 16)
  381.        Cr = 19
  382.        Mr = 17
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. Adams & Gilchrist            Informational                      [Page 7]
  395.  
  396. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  397.  
  398.  
  399.        for (i=0; i<24; i++)
  400.        {
  401.            for (j=0; j<8; j++)
  402.            {
  403.                Tmj_(i) = Cm
  404.                Cm = (Cm + Mm) mod 2**32
  405.                Trj_(i) = Cr
  406.                Cr = (Cr + Mr) mod 32
  407.            }
  408.        }
  409.  
  410.    Key Schedule:
  411.  
  412.        KAPPA = ABCDEFGH = 256 bit of primary key, K.
  413.  
  414.        for (i=0; i<12; i++)
  415.        {
  416.            KAPPA <- W2i(KAPPA)
  417.            KAPPA <- W2i+1(KAPPA)
  418.            Kr_(i) <- KAPPA
  419.            Km_(i) <- KAPPA
  420.        }
  421.  
  422.        Note:  (|K| = 128) => (E = F = G = H = 0)
  423.               (|K| = 160) => (F = G = H = 0)
  424.               (|K| = 192) => (G = H = 0)
  425.               (|K| = 224) => (H = 0)
  426.  
  427. 3. Cipher Naming
  428.  
  429.    In order to avoid confusion when variable keysize operation is used,
  430.    the name CAST-256 is to be considered synonymous with the name CAST6;
  431.    this allows a keysize to be appended without ambiguity.  Thus, for
  432.    example, CAST-256 with a 192-bit key is to be referred to as CAST6-
  433.    192; where a 256-bit key is explicitly intended, the name CAST6-256
  434.    should be used.
  435.  
  436. 4. Cipher Usage
  437.  
  438.    The CAST-256 cipher described in this document is available worldwide
  439.    on a royalty-free and licence-free basis for commercial and non-
  440.    commercial uses.
  441.  
  442. 5. Security Considerations
  443.  
  444.    This entire memo is about security since it describes an algorithm
  445.    which is specifically intended for cryptographic purposes.
  446.  
  447.  
  448.  
  449.  
  450. Adams & Gilchrist            Informational                      [Page 8]
  451.  
  452. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  453.  
  454.  
  455. 6. References
  456.  
  457.    [1] Adams, C., "The CAST-128 Encryption Algorithm", RFC 2144, May
  458.        1997.
  459.  
  460. 7. Authors' Addresses
  461.  
  462.    Carlisle Adams
  463.    Entrust Technologies
  464.    750 Heron Road, Suite E08
  465.    Ottawa, Ontario, Canada
  466.    K1V 1A7
  467.  
  468.    Phone: 613-247-3180
  469.    Fax:   613-247-3690
  470.    EMail: carlisle.adams@entrust.com
  471.  
  472.  
  473.    Jeff Gilchrist
  474.    Entrust Technologies
  475.    750 Heron Road, Suite E08
  476.    Ottawa, Ontario, Canada
  477.    K1V 1A7
  478.  
  479.    Phone: 613-248-3074
  480.    Fax:   613-247-3450
  481.    EMail: jeff.gilchrist@entrust.com
  482.  
  483.  
  484.  
  485.  
  486.  
  487.  
  488.  
  489.  
  490.  
  491.  
  492.  
  493.  
  494.  
  495.  
  496.  
  497.  
  498.  
  499.  
  500.  
  501.  
  502.  
  503.  
  504.  
  505.  
  506. Adams & Gilchrist            Informational                      [Page 9]
  507.  
  508. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  509.  
  510.  
  511. Appendix A: Test Vectors
  512.  
  513.    Intermediate Values Known Answer Test. The data listed is:
  514.  
  515.     KEYSIZE=the current key length in bits
  516.     KEY=the key in hexadecimal format
  517.     PT=the plaintext to be encrypted
  518.     R=the quad-round number (1 to 12)
  519.     ROTK1,ROTK2,ROTK3,ROTK4=the rotation keys for the current quad-round
  520.     MASK1,MASK2,MASK3,MASK4=the masking keys for the current quad-round
  521.     OUT=the output of the quad-round
  522.     CT=the ciphertext corresponding to the given plaintext.
  523.  
  524.    For each key size, an encryption and the corresponding decryption are
  525.    shown.
  526.  
  527.    KEYSIZE=128
  528.    KEY=2342bb9efa38542c0af75647f29f615d
  529.  
  530.    PT=00000000000000000000000000000000
  531.  
  532.    R=1
  533.    ROTK1=1c          ROTK2=1d          ROTK3=18          ROTK4=06
  534.    MASK1=f364d7f9    MASK2=233500c0    MASK3=83cee501    MASK4=01f857c6
  535.    OUT=e2c604af966715811b377f12de19e459
  536.  
  537.    R=2
  538.    ROTK1=1e          ROTK2=18          ROTK3=13          ROTK4=02
  539.    MASK1=ae877786    MASK2=ef78852e    MASK3=0aa1c41f    MASK4=a28ec9c4
  540.    OUT=5375c3be208f38eed0419d98f50dd9b3
  541.  
  542.    R=3
  543.    ROTK1=02          ROTK2=1d          ROTK3=01          ROTK4=0b
  544.    MASK1=a3eedefb    MASK2=ac426ecf    MASK3=2e8220ec    MASK4=cd92c34a
  545.    OUT=732e4ec0f205e39afaf407c956d83728
  546.  
  547.    R=4
  548.    ROTK1=0d          ROTK2=1d          ROTK3=04          ROTK4=12
  549.    MASK1=3046827f    MASK2=568ab6b9    MASK3=b86e7c10    MASK4=ef290a58
  550.    OUT=af23fd837033dc81a60be8a69865c543
  551.  
  552.    R=5
  553.    ROTK1=01          ROTK2=14          ROTK3=0c          ROTK4=06
  554.    MASK1=302e76c3    MASK2=cf429964    MASK3=e9ecad47    MASK4=8850a515
  555.    OUT=8b5e011401e1124f731135fa780c59ef
  556.  
  557.    R=6
  558.    ROTK1=17          ROTK2=1d          ROTK3=0e          ROTK4=09
  559.  
  560.  
  561.  
  562. Adams & Gilchrist            Informational                     [Page 10]
  563.  
  564. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  565.  
  566.  
  567.    MASK1=bb903fdc    MASK2=a9915d2f    MASK3=0974e50a    MASK4=0c1708f1
  568.    OUT=bdea3985cd08c7902096561b76f20944
  569.  
  570.    R=7
  571.    ROTK1=03          ROTK2=13          ROTK3=07          ROTK4=0e
  572.    MASK1=13330f06    MASK2=5e1906f5    MASK3=fb2bce75    MASK4=8331aed4
  573.    OUT=438053fe465c299bcb35f273b10ea71a
  574.  
  575.    R=8
  576.    ROTK1=07          ROTK2=02          ROTK3=14          ROTK4=14
  577.    MASK1=a29189c1    MASK2=d1aeff98    MASK3=c9b55ba7    MASK4=c149f70c
  578.    OUT=172c3a9a2791509d5939f58b703f2533
  579.  
  580.    R=9
  581.    ROTK1=1c          ROTK2=08          ROTK3=1f          ROTK4=1f
  582.    MASK1=5687e118    MASK2=bc4f5d80    MASK3=cca4c042    MASK4=bab3fb68
  583.    OUT=79178d5f90187732f8007fd3884cc309
  584.  
  585.    R=10
  586.    ROTK1=15          ROTK2=12          ROTK3=04          ROTK4=0f
  587.    MASK1=cdb18671    MASK2=f06a3c64    MASK3=0c7031f9    MASK4=7dfbff4e
  588.    OUT=e9e2b1f23e82479baec3b3b35fdf890f
  589.  
  590.    R=11
  591.    ROTK1=1f          ROTK2=1a          ROTK3=01          ROTK4=0e
  592.    MASK1=317654b5    MASK2=a1433222    MASK3=f6d8c69f    MASK4=304dfbeb
  593.    OUT=1f3270101b2b38adc4818ca2aafc334a
  594.  
  595.    R=12
  596.    ROTK1=0b          ROTK2=11          ROTK3=0f          ROTK4=18
  597.    MASK1=9339b14f    MASK2=971d14bb    MASK3=f3b7ca97    MASK4=2b8a06f9
  598.    OUT=c842a08972b43d20836c91d1b7530f6b
  599.  
  600.    CT=c842a08972b43d20836c91d1b7530f6b
  601.  
  602.    R=1
  603.    ROTK1=0b          ROTK2=11          ROTK3=0f          ROTK4=18
  604.    MASK1=9339b14f    MASK2=971d14bb    MASK3=f3b7ca97    MASK4=2b8a06f9
  605.    OUT=1f3270101b2b38adc4818ca2aafc334a
  606.  
  607.    R=2
  608.    ROTK1=1f          ROTK2=1a          ROTK3=01          ROTK4=0e
  609.    MASK1=317654b5    MASK2=a1433222    MASK3=f6d8c69f    MASK4=304dfbeb
  610.    OUT=e9e2b1f23e82479baec3b3b35fdf890f
  611.  
  612.    R=3
  613.    ROTK1=15          ROTK2=12          ROTK3=04          ROTK4=0f
  614.    MASK1=cdb18671    MASK2=f06a3c64    MASK3=0c7031f9    MASK4=7dfbff4e
  615.  
  616.  
  617.  
  618. Adams & Gilchrist            Informational                     [Page 11]
  619.  
  620. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  621.  
  622.  
  623.    OUT=79178d5f90187732f8007fd3884cc309
  624.  
  625.    R=4
  626.    ROTK1=1c          ROTK2=08          ROTK3=1f          ROTK4=1f
  627.    MASK1=5687e118    MASK2=bc4f5d80    MASK3=cca4c042    MASK4=bab3fb68
  628.    OUT=172c3a9a2791509d5939f58b703f2533
  629.  
  630.    R=5
  631.    ROTK1=07          ROTK2=02          ROTK3=14          ROTK4=14
  632.    MASK1=a29189c1    MASK2=d1aeff98    MASK3=c9b55ba7    MASK4=c149f70c
  633.    OUT=438053fe465c299bcb35f273b10ea71a
  634.  
  635.    R=6
  636.    ROTK1=03          ROTK2=13          ROTK3=07          ROTK4=0e
  637.    MASK1=13330f06    MASK2=5e1906f5    MASK3=fb2bce75    MASK4=8331aed4
  638.    OUT=bdea3985cd08c7902096561b76f20944
  639.  
  640.    R=7
  641.    ROTK1=17          ROTK2=1d          ROTK3=0e          ROTK4=09
  642.    MASK1=bb903fdc    MASK2=a9915d2f    MASK3=0974e50a    MASK4=0c1708f1
  643.    OUT=8b5e011401e1124f731135fa780c59ef
  644.  
  645.    R=8
  646.    ROTK1=01          ROTK2=14          ROTK3=0c          ROTK4=06
  647.    MASK1=302e76c3    MASK2=cf429964    MASK3=e9ecad47    MASK4=8850a515
  648.    OUT=af23fd837033dc81a60be8a69865c543
  649.  
  650.    R=9
  651.    ROTK1=0d          ROTK2=1d          ROTK3=04          ROTK4=12
  652.    MASK1=3046827f    MASK2=568ab6b9    MASK3=b86e7c10    MASK4=ef290a58
  653.    OUT=732e4ec0f205e39afaf407c956d83728
  654.  
  655.    R=10
  656.    ROTK1=02          ROTK2=1d          ROTK3=01          ROTK4=0b
  657.    MASK1=a3eedefb    MASK2=ac426ecf    MASK3=2e8220ec    MASK4=cd92c34a
  658.    OUT=5375c3be208f38eed0419d98f50dd9b3
  659.  
  660.    R=11
  661.    ROTK1=1e          ROTK2=18          ROTK3=13          ROTK4=02
  662.    MASK1=ae877786    MASK2=ef78852e    MASK3=0aa1c41f    MASK4=a28ec9c4
  663.    OUT=e2c604af966715811b377f12de19e459
  664.  
  665.    R=12
  666.    ROTK1=1c          ROTK2=1d          ROTK3=18          ROTK4=06
  667.    MASK1=f364d7f9    MASK2=233500c0    MASK3=83cee501    MASK4=01f857c6
  668.    OUT=00000000000000000000000000000000
  669.  
  670.    PT=00000000000000000000000000000000
  671.  
  672.  
  673.  
  674. Adams & Gilchrist            Informational                     [Page 12]
  675.  
  676. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  677.  
  678.  
  679.    ==========
  680.  
  681.  
  682.    KEYSIZE=192
  683.    KEY=2342bb9efa38542cbed0ac83940ac298bac77a7717942863
  684.  
  685.    PT=00000000000000000000000000000000
  686.  
  687.    R=1
  688.    ROTK1=1e          ROTK2=1a          ROTK3=1b          ROTK4=16
  689.    MASK1=21daa501    MASK2=fcdfc612    MASK3=62f629b3    MASK4=9ec93bfa
  690.    OUT=4d468c8ca43c1ab66eae0bb9062fe876
  691.  
  692.    R=2
  693.    ROTK1=1a          ROTK2=1d          ROTK3=19          ROTK4=1f
  694.    MASK1=d7f04aaf    MASK2=76a4b0c2    MASK3=7364327b    MASK4=fe0602c3
  695.    OUT=1fd808cfd82ac7354728e719a4cc0ebe
  696.  
  697.    R=3
  698.    ROTK1=13          ROTK2=19          ROTK3=15          ROTK4=18
  699.    MASK1=c5b5a24e    MASK2=20577cc0    MASK3=e58b12aa    MASK4=a87da0f1
  700.    OUT=d3507d51934db5335cebdbb550b774b6
  701.  
  702.    R=4
  703.    ROTK1=0f          ROTK2=00          ROTK3=15          ROTK4=08
  704.    MASK1=5b1b847c    MASK2=3d700297    MASK3=310383e1    MASK4=a1a19785
  705.    OUT=fab3a20243c1c67bf1759f40c4b732e8
  706.  
  707.    R=5
  708.    ROTK1=01          ROTK2=0f          ROTK3=0f          ROTK4=11
  709.    MASK1=34422fa1    MASK2=745d0d3c    MASK3=0804535e    MASK4=42de73d8
  710.    OUT=cf003a27ba91d2346ddfa8ec76bdf029
  711.  
  712.    R=6
  713.    ROTK1=06          ROTK2=10          ROTK3=06          ROTK4=07
  714.    MASK1=ae5e85f6    MASK2=d1f789b0    MASK3=e2113794    MASK4=db8768c0
  715.    OUT=b4fb78a74bbacccbfa45c36c23ed997e
  716.  
  717.    R=7
  718.    ROTK1=09          ROTK2=1d          ROTK3=08          ROTK4=1f
  719.    MASK1=1a000d83    MASK2=dc6d0e51    MASK3=3b65ccaf    MASK4=b0470998
  720.    OUT=1cedb6d94abb223765f0fb9364a8f07f
  721.  
  722.    R=8
  723.    ROTK1=09          ROTK2=0a          ROTK3=01          ROTK4=0d
  724.    MASK1=d500ec2c    MASK2=77e23f6f    MASK3=3d1422b2    MASK4=0e4c04aa
  725.    OUT=b3289009a03b021d54cec6628712c165
  726.  
  727.  
  728.  
  729.  
  730. Adams & Gilchrist            Informational                     [Page 13]
  731.  
  732. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  733.  
  734.  
  735.    R=9
  736.    ROTK1=1b          ROTK2=0d          ROTK3=0b          ROTK4=14
  737.    MASK1=f9b1a192    MASK2=aded6200    MASK3=0fc10d02    MASK4=d8bdb797
  738.    OUT=a4d8f6d0abd8613d241fff3c2ba02882
  739.  
  740.    R=10
  741.    ROTK1=17          ROTK2=1d          ROTK3=1c          ROTK4=17
  742.    MASK1=a81550e2    MASK2=44e56b22    MASK3=ac97284c    MASK4=e1021ad2
  743.    OUT=61a3f74a9a5da18d53a25ce8f3302357
  744.  
  745.    R=11
  746.    ROTK1=19          ROTK2=1e          ROTK3=11          ROTK4=02
  747.    MASK1=b09d0346    MASK2=15167c69    MASK3=19990bbd    MASK4=a9258551
  748.    OUT=ca5ad45111a662f740c9a94b1d43dfb6
  749.  
  750.    R=12
  751.    ROTK1=10          ROTK2=0d          ROTK3=08          ROTK4=01
  752.    MASK1=69d0c348    MASK2=c8a3d81d    MASK3=d2714d62    MASK4=8cc3f35a
  753.    OUT=1b386c0210dcadcbdd0e41aa08a7a7e8
  754.  
  755.    CT=1b386c0210dcadcbdd0e41aa08a7a7e8
  756.  
  757.    R=1
  758.    ROTK1=10          ROTK2=0d          ROTK3=08          ROTK4=01
  759.    MASK1=69d0c348    MASK2=c8a3d81d    MASK3=d2714d62    MASK4=8cc3f35a
  760.    OUT=ca5ad45111a662f740c9a94b1d43dfb6
  761.  
  762.    R=2
  763.    ROTK1=19          ROTK2=1e          ROTK3=11          ROTK4=02
  764.    MASK1=b09d0346    MASK2=15167c69    MASK3=19990bbd    MASK4=a9258551
  765.    OUT=61a3f74a9a5da18d53a25ce8f3302357
  766.  
  767.    R=3
  768.    ROTK1=17          ROTK2=1d          ROTK3=1c          ROTK4=17
  769.    MASK1=a81550e2    MASK2=44e56b22    MASK3=ac97284c    MASK4=e1021ad2
  770.    OUT=a4d8f6d0abd8613d241fff3c2ba02882
  771.  
  772.    R=4
  773.    ROTK1=1b          ROTK2=0d          ROTK3=0b          ROTK4=14
  774.    MASK1=f9b1a192    MASK2=aded6200    MASK3=0fc10d02    MASK4=d8bdb797
  775.    OUT=b3289009a03b021d54cec6628712c165
  776.  
  777.    R=5
  778.    ROTK1=09          ROTK2=0a          ROTK3=01          ROTK4=0d
  779.    MASK1=d500ec2c    MASK2=77e23f6f    MASK3=3d1422b2    MASK4=0e4c04aa
  780.    OUT=1cedb6d94abb223765f0fb9364a8f07f
  781.  
  782.  
  783.  
  784.  
  785.  
  786. Adams & Gilchrist            Informational                     [Page 14]
  787.  
  788. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  789.  
  790.  
  791.    R=6
  792.    ROTK1=09          ROTK2=1d          ROTK3=08          ROTK4=1f
  793.    MASK1=1a000d83    MASK2=dc6d0e51    MASK3=3b65ccaf    MASK4=b0470998
  794.    OUT=b4fb78a74bbacccbfa45c36c23ed997e
  795.  
  796.    R=7
  797.    ROTK1=06          ROTK2=10          ROTK3=06          ROTK4=07
  798.    MASK1=ae5e85f6    MASK2=d1f789b0    MASK3=e2113794    MASK4=db8768c0
  799.    OUT=cf003a27ba91d2346ddfa8ec76bdf029
  800.  
  801.    R=8
  802.    ROTK1=01          ROTK2=0f          ROTK3=0f          ROTK4=11
  803.    MASK1=34422fa1    MASK2=745d0d3c    MASK3=0804535e    MASK4=42de73d8
  804.    OUT=fab3a20243c1c67bf1759f40c4b732e8
  805.  
  806.    R=9
  807.    ROTK1=0f          ROTK2=00          ROTK3=15          ROTK4=08
  808.    MASK1=5b1b847c    MASK2=3d700297    MASK3=310383e1    MASK4=a1a19785
  809.    OUT=d3507d51934db5335cebdbb550b774b6
  810.  
  811.    R=10
  812.    ROTK1=13          ROTK2=19          ROTK3=15          ROTK4=18
  813.    MASK1=c5b5a24e    MASK2=20577cc0    MASK3=e58b12aa    MASK4=a87da0f1
  814.    OUT=1fd808cfd82ac7354728e719a4cc0ebe
  815.  
  816.    R=11
  817.    ROTK1=1a          ROTK2=1d          ROTK3=19          ROTK4=1f
  818.    MASK1=d7f04aaf    MASK2=76a4b0c2    MASK3=7364327b    MASK4=fe0602c3
  819.    OUT=4d468c8ca43c1ab66eae0bb9062fe876
  820.  
  821.    R=12
  822.    ROTK1=1e          ROTK2=1a          ROTK3=1b          ROTK4=16
  823.    MASK1=21daa501    MASK2=fcdfc612    MASK3=62f629b3    MASK4=9ec93bfa
  824.    OUT=00000000000000000000000000000000
  825.  
  826.    PT=00000000000000000000000000000000
  827.  
  828.  
  829.    ==========
  830.  
  831.  
  832.    KEYSIZE=256
  833.    KEY=2342bb9efa38542cbed0ac83940ac2988d7c47ce264908461cc1b5137ae6b604
  834.  
  835.    PT=00000000000000000000000000000000
  836.  
  837.  
  838.  
  839.  
  840.  
  841.  
  842. Adams & Gilchrist            Informational                     [Page 15]
  843.  
  844. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  845.  
  846.  
  847.    R=1
  848.    ROTK1=08          ROTK2=12          ROTK3=0e          ROTK4=17
  849.    MASK1=420b1cef    MASK2=03f07e80    MASK3=cd2ab3ee    MASK4=15371a16
  850.    OUT=f6c3b9a6ffd8a31ce04dbcf7772f1536
  851.  
  852.    R=2
  853.    ROTK1=0a          ROTK2=04          ROTK3=01          ROTK4=13
  854.    MASK1=bc6025e3    MASK2=d54f5aba    MASK3=17fa667a    MASK4=bb8a840e
  855.    OUT=9477ef6fd7d6fce3dcaa27d6132465ee
  856.  
  857.    R=3
  858.    ROTK1=1e          ROTK2=0d          ROTK3=10          ROTK4=01
  859.    MASK1=446c0950    MASK2=b4542da0    MASK3=523baa91    MASK4=4a914503
  860.    OUT=c056ec5748ecd90f992cf07f3529160f
  861.  
  862.    R=4
  863.    ROTK1=15          ROTK2=0e          ROTK3=0d          ROTK4=09
  864.    MASK1=4106d4de    MASK2=9ce441e7    MASK3=2c390c3b    MASK4=52d1b516
  865.    OUT=7bcc57d80603b6c7b9ca75eea5cb1c2d
  866.  
  867.    R=5
  868.    ROTK1=09          ROTK2=16          ROTK3=08          ROTK4=16
  869.    MASK1=2827db72    MASK2=7920623f    MASK3=10948a1a    MASK4=b639f290
  870.    OUT=d62686a2b01d11837fb6a46c79fc1816
  871.  
  872.    R=6
  873.    ROTK1=1f          ROTK2=11          ROTK3=17          ROTK4=0a
  874.    MASK1=85fcd124    MASK2=c567c5fe    MASK3=a4113025    MASK4=ce949239
  875.    OUT=1b03a108d6f1878e03a62e72c9c97662
  876.  
  877.    R=7
  878.    ROTK1=1d          ROTK2=06          ROTK3=0b          ROTK4=1c
  879.    MASK1=c0e98900    MASK2=8832532c    MASK3=d7403525    MASK4=26ed4609
  880.    OUT=b11d972f22ed26d085189ca3b6c79d36
  881.  
  882.    R=8
  883.    ROTK1=0b          ROTK2=04          ROTK3=0e          ROTK4=19
  884.    MASK1=69b1d027    MASK2=e628d930    MASK3=4904b3cd    MASK4=51fad71a
  885.    OUT=4265774a393a8a32ed78c5c1571893e4
  886.  
  887.    R=9
  888.    ROTK1=1a          ROTK2=0f          ROTK3=09          ROTK4=10
  889.    MASK1=4b81b846    MASK2=9f1d941b    MASK3=ebb8fe8a    MASK4=6616847e
  890.    OUT=f4f1322a076d4f5eb2d14dc75815ccf1
  891.  
  892.  
  893.  
  894.  
  895.  
  896.  
  897.  
  898. Adams & Gilchrist            Informational                     [Page 16]
  899.  
  900. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  901.  
  902.  
  903.    R=10
  904.    ROTK1=1b          ROTK2=00          ROTK3=01          ROTK4=01
  905.    MASK1=2cf3fd07    MASK2=75580ec1    MASK3=513614b9    MASK4=478097ef
  906.    OUT=57c3a554eafe71dc6a33fe0bda83f566
  907.  
  908.    R=11
  909.    ROTK1=1c          ROTK2=0b          ROTK3=1b          ROTK4=1f
  910.    MASK1=4fdf26fe    MASK2=a4850785    MASK3=615eadd0    MASK4=9b507d47
  911.    OUT=dd9940f4f2e1786ab6f2bdee519a407e
  912.  
  913.    R=12
  914.    ROTK1=0f          ROTK2=09          ROTK3=1d          ROTK4=02
  915.    MASK1=4bd673d3    MASK2=36399d66    MASK3=63385006    MASK4=0579675f
  916.    OUT=4f6a2038286897b9c9870136553317fa
  917.  
  918.    CT=4f6a2038286897b9c9870136553317fa
  919.  
  920.    R=1
  921.    ROTK1=0f          ROTK2=09          ROTK3=1d          ROTK4=02
  922.    MASK1=4bd673d3    MASK2=36399d66    MASK3=63385006    MASK4=0579675f
  923.    OUT=dd9940f4f2e1786ab6f2bdee519a407e
  924.  
  925.    R=2
  926.    ROTK1=1c          ROTK2=0b          ROTK3=1b          ROTK4=1f
  927.    MASK1=4fdf26fe    MASK2=a4850785    MASK3=615eadd0    MASK4=9b507d47
  928.    OUT=57c3a554eafe71dc6a33fe0bda83f566
  929.  
  930.    R=3
  931.    ROTK1=1b          ROTK2=00          ROTK3=01          ROTK4=01
  932.    MASK1=2cf3fd07    MASK2=75580ec1    MASK3=513614b9    MASK4=478097ef
  933.    OUT=f4f1322a076d4f5eb2d14dc75815ccf1
  934.  
  935.    R=4
  936.    ROTK1=1a          ROTK2=0f          ROTK3=09          ROTK4=10
  937.    MASK1=4b81b846    MASK2=9f1d941b    MASK3=ebb8fe8a    MASK4=6616847e
  938.    OUT=4265774a393a8a32ed78c5c1571893e4
  939.  
  940.    R=5
  941.    ROTK1=0b          ROTK2=04          ROTK3=0e          ROTK4=19
  942.    MASK1=69b1d027    MASK2=e628d930    MASK3=4904b3cd    MASK4=51fad71a
  943.    OUT=b11d972f22ed26d085189ca3b6c79d36
  944.  
  945.    R=6
  946.    ROTK1=1d          ROTK2=06          ROTK3=0b          ROTK4=1c
  947.    MASK1=c0e98900    MASK2=8832532c    MASK3=d7403525    MASK4=26ed4609
  948.    OUT=1b03a108d6f1878e03a62e72c9c97662
  949.  
  950.  
  951.  
  952.  
  953.  
  954. Adams & Gilchrist            Informational                     [Page 17]
  955.  
  956. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  957.  
  958.  
  959.    R=7
  960.    ROTK1=1f          ROTK2=11          ROTK3=17          ROTK4=0a
  961.    MASK1=85fcd124    MASK2=c567c5fe    MASK3=a4113025    MASK4=ce949239
  962.    OUT=d62686a2b01d11837fb6a46c79fc1816
  963.  
  964.    R=8
  965.    ROTK1=09          ROTK2=16          ROTK3=08          ROTK4=16
  966.    MASK1=2827db72    MASK2=7920623f    MASK3=10948a1a    MASK4=b639f290
  967.    OUT=7bcc57d80603b6c7b9ca75eea5cb1c2d
  968.  
  969.    R=9
  970.    ROTK1=15          ROTK2=0e          ROTK3=0d          ROTK4=09
  971.    MASK1=4106d4de    MASK2=9ce441e7    MASK3=2c390c3b    MASK4=52d1b516
  972.    OUT=c056ec5748ecd90f992cf07f3529160f
  973.  
  974.    R=10
  975.    ROTK1=1e          ROTK2=0d          ROTK3=10          ROTK4=01
  976.    MASK1=446c0950    MASK2=b4542da0    MASK3=523baa91    MASK4=4a914503
  977.    OUT=9477ef6fd7d6fce3dcaa27d6132465ee
  978.  
  979.    R=11
  980.    ROTK1=0a          ROTK2=04          ROTK3=01          ROTK4=13
  981.    MASK1=bc6025e3    MASK2=d54f5aba    MASK3=17fa667a    MASK4=bb8a840e
  982.    OUT=f6c3b9a6ffd8a31ce04dbcf7772f1536
  983.  
  984.    R=12
  985.    ROTK1=08          ROTK2=12          ROTK3=0e          ROTK4=17
  986.    MASK1=420b1cef    MASK2=03f07e80    MASK3=cd2ab3ee    MASK4=15371a16
  987.    OUT=00000000000000000000000000000000
  988.  
  989.    PT=00000000000000000000000000000000
  990.  
  991.  
  992.  
  993.  
  994.  
  995.  
  996.  
  997.  
  998.  
  999.  
  1000.  
  1001.  
  1002.  
  1003.  
  1004.  
  1005.  
  1006.  
  1007.  
  1008.  
  1009.  
  1010. Adams & Gilchrist            Informational                     [Page 18]
  1011.  
  1012. RFC 2612           The CAST-256 Encryption Algorithm           June 1999
  1013.  
  1014.  
  1015. Full Copyright Statement
  1016.  
  1017.    Copyright (C) The Internet Society (1999).  All Rights Reserved.
  1018.  
  1019.    This document and translations of it may be copied and furnished to
  1020.    others, and derivative works that comment on or otherwise explain it
  1021.    or assist in its implementation may be prepared, copied, published
  1022.    and distributed, in whole or in part, without restriction of any
  1023.    kind, provided that the above copyright notice and this paragraph are
  1024.    included on all such copies and derivative works.  However, this
  1025.    document itself may not be modified in any way, such as by removing
  1026.    the copyright notice or references to the Internet Society or other
  1027.    Internet organizations, except as needed for the purpose of
  1028.    developing Internet standards in which case the procedures for
  1029.    copyrights defined in the Internet Standards process must be
  1030.    followed, or as required to translate it into languages other than
  1031.    English.
  1032.  
  1033.    The limited permissions granted above are perpetual and will not be
  1034.    revoked by the Internet Society or its successors or assigns.
  1035.  
  1036.    This document and the information contained herein is provided on an
  1037.    "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
  1038.    TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
  1039.    BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
  1040.    HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
  1041.    MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
  1042.  
  1043. Acknowledgement
  1044.  
  1045.    Funding for the RFC Editor function is currently provided by the
  1046.    Internet Society.
  1047.  
  1048.  
  1049.  
  1050.  
  1051.  
  1052.  
  1053.  
  1054.  
  1055.  
  1056.  
  1057.  
  1058.  
  1059.  
  1060.  
  1061.  
  1062.  
  1063.  
  1064.  
  1065.  
  1066. Adams & Gilchrist            Informational                     [Page 19]
  1067.  
  1068.