分组密码体制简介
分组密码 4.1分组密码设计原则和设计方法
便于实现是分组密码设计时应考虑的重要 因素。分组密码应符合简单、快速和成本低廉 的原则。
分组密码应适合硬件和(或)软件实现。硬件 实现速度快;软件实现灵活性强、成本低廉。
例: 对高速通信数据的加密----硬件实现; 嵌入到系统软件的加密程序----软件实现
二、分组密码基本设计原则
2.实现原则
硬件 实现原则
p :{1, 2, , lm} {1, 2, , lm} 实现 lm 比特的置换
即P盒
三、分组密码设计方法
S S
P
S
S
P
…… ……
S
S
P
S
S
……
S
k1
k2
kr
非线性代替S一般被称为混乱层,主要起混乱 的作用;线性置换P一般被称为扩散层,主要起扩
散的作用。
三、分组密码设计方法
三、分组密码设计方法
迭代密码的常见模型有 S-P 网络 ( 代
替-置换网络)、 Feistel网络等。
三、分组密码设计方法
(三)代替-置换网络(S-PN)
一个S-PN就是一类特殊的迭代密码。设l和m 都是正整数,明密文都是长为lm的二元向量,一 个S-PN包含两个变换,分别记为πs和πp。
s :{0,1}l {0,1}l 实现 l 比特的代替,即S盒
密钥形式为:K= ( K1,K2 )
三、分组密码设计方法
加密和解密规则定义如下:
EK ( x) E( K1 , K2 ) ( x) EK2 [EK1 ( x)] y DK ( y) D( K1 , K2 ) ( y) DK1 [DK2 ( y)] x
注意:解密次序与加密次序相反
分组密码
7
DES分组密码算法 DES分组密码算法
一、背景简介
该算法是在美国NSA(国家安全局)资助下由IBM公 (国家安全局)资助下由 该算法是在美国 公 司开发的密码算法, 司开发的密码算法,其初衷是为政府非机密的敏感信息提 供较强的加密保护。它是美国政府担保的第一种加密算法, 供较强的加密保护。它是美国政府担保的第一种加密算法, 并在1977年被正式作为美国联邦信息处理标准。DES主要 年被正式作为美国联邦信息处理标准。 并在 年被正式作为美国联邦信息处理标准 主要 提供非军事性质的联邦政府机构和私营部门使用,并迅速 提供非军事性质的联邦政府机构和私营部门使用, 成为名声最大,使用最广的商用密码算法。 成为名声最大,使用最广的商用密码算法。
21
③ P盒置换 将S-盒变换后的32比特数据再进行P盒置换,置 换后得到的32比特即为 f 函数的输出。
P
16 29 1 5 2 32 19 22 7 12 15 18 8 27 13 11 20 28 23 31 24 3 30 4 21 17 26 10 14 9 6 25
含义:P盒输出的第 个元是输入的第 个元。 含义 盒输出的第1个元是输入的第 个元。 盒输出的第 个元是输入的第16个元
DES的第 DES的第 i 圈加密结构图 Li-1(32位) f Ri-1(32位)
Ki
Li(32位)
Ri(32位)
16
DES的 变形函数 的 变形函数F
32位
E
48位
48位子密钥
⊕
S1 S2
S3
S4
S5
S6
S7
S8
P
17
① E盒扩展 盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特 数据
第3章 分组密码体制
13/129
当将若干P盒、S盒串联起来,组成乘积密码,即可使输 出成为输入非常复杂的函数。
0 S1 P1 11 S2 S3 S4 P2 S5 S6 S7 S8 P3 S9 S10 S11 S12 P4 11 0 输出
输入
图中第一站P1盒对12根输入线作变序处理,从理论上 讲第2站可以为一个S盒,由它把12bit数据替换为另外一个 12bit数据,但这样的S盒中需要212=4096根跨接线,为此可 将12bit分为4个3bit分组,各组独立地进行替换处理,从而 可减少S盒的复杂性。
理想的密码: 密文的任何一位均与明文的每一位相关;而明文的任何
一位的变化将影响到尽量多的密文。
w比特
Li w
Li 1 Ri
w比特
Ri w F Ki
Ri 1 Li F ( Ri , Ki )
网络结构特点: ① 输入为2w比特的分组(称为左半分组和 右半分组); ② 函数F用于产生扩散和扰乱作用,但并 不要求为可逆函数; ③ Ki为由密码密钥K生成的子密钥; ④ Feistel网络由n个基本结构单元构成 (但子密钥Ki互不相同)
四川大学电子信息学院
7/129
扩散原理与扰乱原理 为挫败统计分析,香农提出了两种实用的原则:扩散与扰乱 扩散原理(diffusion): 尽量将每一位明文和密钥的的影响尽可能迅速地分布到较多 的输出密文位中,以便隐藏明文的统计特性。 扩散的目的是希望密文的任一位Ci都尽可能与明文和密钥相 关联,或者说明文和密钥任一位上值的改变都会影响到Ci的值。
0 1 2 3 4 5 6 7
0 1 2 3 4 5 6 7
8-3 编 码 器
c2 c1 c0
S盒
DES分组密码体制
DES分组密码体制数据加密算法(DES)是由IBM公司于19世纪70年代早期开发的,后来在1977年由“美国国家标准局(NBS)”,即现在的“国家标准化和技术协会(NIST)”所采纳,并批准把它作为飞机要部门使用的资料加密标准。
自公布以来,DES便成为国际上商用保密通信盒计算机通信的最常用的加密算法。
当时规定DES的使用期限为10~15年,后来美国政府宣布延长它的使用期限,其原因有两条:一是DES当时尚未受到严重的威胁;二是一直没有新的资料加密算法问世。
DES在被采用后,大约每5年被评审一次。
DES的最后一次评审在1999年1月;这时它的一个替代品高级加密标准(Advanced Encryption Standand)已经开始使用了,这标志着DES即将退出历史舞台。
这样DES在国际通信保密的舞台上活跃了20余年的时间。
一、DES的特点描述DES的结构闪烁着人类设计思想的精华,其优点和缺点被密码学界淋漓尽致的讨论,以供后人借鉴。
可以说DES是当今研究的最彻底,理论最成熟的密码算法。
(1)DES在硬件中能比在软件中更有效地执行。
(2)DES使用了S盒,而S盒现在已经是几乎所有分组密码算法不可缺少的部分。
(3)DES轮函数结构是Feistel网络,这种结构现在已经是轮函数的经典结构之一。
(4)迭代分组密码是分组密码的主流设计。
(5)DES算法的第一个和最后一个部件都是公开的块置换,在已知明文攻击之下不起任何安全性作用。
以后设计的分组密码都纠正的这一缺点。
(6)DES的S盒设计细节始终没有公布,因此被人们怀疑设有陷门(即密码设计者为自己预留的破译信道)。
这种不透明的设计显然会影响其商业使用前景。
这一缺点引出了商用分组密码设计的一个准则——透明性,即密码的使用者能够确知该密码的安全强度。
二、DES算法描述1977年1月15日的联邦信息处理标准版46中(FIPS PUB46)给出了DES的完整描述。
DES 是一种特殊类型的迭代密码,称为Feistel型密码。
现代密码学_第四五讲 分组密码
循环左移
D1 (28位) (56位) 置换选择2 k1 (48位)
14 3 23 16 41 30 44 46
置换方法
17 28 19 7 52 40 49 42 11 15 12 27 31 51 39 50 24 6 4 20 37 45 56 36 1 21 26 13 47 33 34 29 5 10 8 2 55 48 53 32
20
迭代的轮数
分组密码一般采用简单的、安全性弱的密码函数进行多
轮迭代运算,使得安全性增强。一般来说,分组密码迭代轮 数越多,密码分析越困难,但也不是追求迭代轮数越多越好, 过多迭代轮数会使加解密算法的性能下降,而实际的安全性 增强不明显。 决定迭代轮数的准则:密码算法分析的难度大 于简单穷举搜索攻击的难度。分组密码迭代轮数一般采用8、 10、12、16、20的居多。
循环左移
C16 (28位)
循环左移
C16 (28位) (56位) 置换选择2 k16 (48位)
注:去掉9,18,22,25,35,38, 43,54位
注:密钥各位在子密钥出现次数基本相同(12次至15次),平均次数为13.7
30
压缩替代S-盒(48位压缩到32位)
48比特
6比特 6比特 6比特 6比特 6比特 6比特 6比特 6比特
考虑,通常密钥长度t不能太大。当然,密钥长度t不能太小,
否则,难以抵抗对密钥的穷举搜索攻击。
7
分组密码的要求
分组长度要足够大 密钥量要足够大
当分组长度较小时,攻击者通过 穷举明文空间,得到密码变换规 律,难于抵御选择明文攻击。
密码变换足够复杂
加密和解密运算简单 无数据扩展或压缩
21
分组密码加密算法的常见算法结构
分组密码加密算法的常见算法结构随着计算机技术的不断发展,信息安全问题也越来越受到关注。
在信息传输过程中,数据的加密是保障信息安全的重要手段之一。
分组密码加密算法是一种常见的加密算法,它将明文数据分成若干个固定长度的分组,通过对每个分组进行加密来实现整个消息的加密。
本文将介绍分组密码加密算法的常见算法结构,以及它们的优缺点和应用场景。
1. 基本结构分组密码加密算法的基本结构由两个部分组成:明文分组和密文分组。
明文分组是指明文数据被分割成固定长度的块,每个块长度通常为64位或128位。
密文分组是指加密后的明文分组,长度与明文分组一致。
加密算法的核心是将明文分组转换为密文分组,这个过程称为加密。
解密的过程是将密文分组转换为明文分组。
分组密码加密算法的常见算法结构包括:ECB、CBC、CFB和OFB。
这些算法结构在加密和解密过程中采用不同的方式来处理明文和密文分组。
2. ECB模式ECB(Electronic Codebook)模式是最简单的分组密码加密算法结构,它将每个明文分组单独加密,得到对应的密文分组。
每个明文分组之间是独立的,因此ECB模式无法处理明文分组之间的关系。
这种模式的缺点是,它容易受到重放攻击,即攻击者可以拦截并重复发送相同的密文分组,从而获得明文数据。
ECB模式的优点是加密和解密过程简单,可以并行处理多个分组。
它适用于每个明文分组的安全性要求不高的情况,例如对称密钥的传输和存储。
3. CBC模式CBC(Cipher Block Chaining)模式是一种常见的分组密码加密算法结构,它采用前一个密文分组来加密当前的明文分组。
具体地,在加密过程中,首先将前一个密文分组和当前明文分组进行异或运算,得到一个新的数据块,然后对这个新数据块进行加密。
解密过程与加密过程相反,将密文分组解密后再与前一个密文分组进行异或运算,得到对应的明文分组。
CBC模式的优点是可以处理明文分组之间的关系,提高安全性。
第5讲第6讲——分组密码的设计原则
k1
S S
k2
SP…… ……kt NhomakorabeaS
S
P
S
S
S
P
……
S
w0←x for r←1 to t-1 do { ur wr 1 kr //ur是该圈S盒的输入 for i←1 to m i i vr s (ur ) //vr是S盒的输出 {do }
wr p (vr )
法、乘法、移位 )
三、分组密码的设计方法
如何设计分组密码算法才能保证其 实现足够的混乱和扩散?
Shannon提出的乘积密码的思想: 通过将一个弱的密码函数迭代若干次,
产生一个强的密码函数。
乘积密码指顺序地执行两个或多个基本密码系 统,使得最后结果的密码强度高于每个基本密 码系统产生的结果.
一、乘积密码
第3章 分组密码体制
3.1 分组密码概述及设计原则 3.2 数据加密标准 3.3 分组密码的运行模式 3.4 AES算法
3.1 分组密码概述及设计原则
主要内容:混乱原则、扩散原则,乘 积密码, S-P网络,Feistel模型 重点:乘积密码,迭代密码, SP网络, Feistel网络。 难点:混乱和扩散。
• 要求密文应当是明文和密钥的足够复杂 的函数,使得攻击者利用各种代数方法 都无法计算出密钥和明文的任何信息! • 密文与其对应的明文和密钥之间不存在 任何形式的统计相关性 !
扩散原则(Diffusion) 目的:在密文中隐蔽明文的统计特性! 扩散原则要求每个明文比特和密钥比特影响 尽可能多的密文比特,或者说让密文中的每一 位都受到明文和密钥中的尽可能多位的影响, 以隐蔽明文的统计特性和结构规律,(即将明 文的统计特性散布到密文中去)。
分组密码体制
两个基本设计方法
由于对称分组密码的缺点是不善于隐藏明文的 统计特性,因而对“统计分析”攻击方式的抵御能 力不强,故Shannon提出了两个抵抗“统计分析” 的方法:混淆和扩散。
◆混淆:目的是为了隐藏明文和密文之间的关系,增加密 钥和密文之间关系的复杂性。可以使用“代替”的方法 来实现。
◆扩散:目的是让密文没有统计特征,也就是将明文中的 统计信息散布到整个密文中,增加密文与明文之间关系 的复杂性,以挫败推测出密钥的尝试。可以使用“置换” 的方法来实现。
对于给定的64位的明文p,通过初始置换IP获得64位的 p320,位并记将为pR00分,为即左p0右=I两P(部p)=分L,0R前0。面IP32置位换记如为图L所0,示后。面
置换表中的数字1~64代表的仅仅是明文 分组中元素所处的位置,而非元素的值!
• 第四步:初始逆置换IP-1 应用初始逆置换IP-1对最后一轮迭代之后得到 的R16L16进行置换,得到密文C。
• 分组加密算法本质上体现了n位明文分组和n位密文分组的一一 映射。
• 分组大小n的选择
1“)统如计果分n较析一码小”般,,方的不则法,同得的对变到攻于换的击的n明。位总文分数空组为间的(和2对n密)!称,文分也空组就间密是有限,容易受到 2)如果n充说分,大密,钥则的由个于数得为到(的2n明)!个文。空间和密文空间足够大, 明文的统计特征将被掩盖,可以抵抗“统计分析”方法的攻击 ;但同时也将导致密钥数目的急剧增加和密钥空间的急剧增大 ,这会给密钥的分配、管理和存储带来很大的困难。
Feistel 密码结构
DES算法的整体结构 ——Feistel密码结构
• 每一轮的迭代算法 加密:对于每一轮 i=1,2,...,n,新 的左右部分根据如下规则重新
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
分组密码体制简介
分组密码体制也具有简捷、快速的特点,并且容易标准化,使其成为软硬件加密的主流算法。
目前主流的分组密码有:DES、IDEA…… .
1.分组密码的特点
与序列密码不同,分组密码是将明文序列划分成等长的分组(Block),对每一组用同一加密算法和同一密钥进行加密。
分组密码有其自身的优点,首先分组密码容易被标准化,因为在今天的数据网络通信中,信息通常是被成块的处理和传输的。
其次,使用分组赌东道密码容易实现同步,因为一个密码组的传输错误不会影响到其它的分组,丢失一个密文组不会对随后组的解密产生影响。
这就是说,传输错误不会扩散。
而这些方面恰恰是序列密码的最大缺点。
分组密码与序列密码相比的一个缺点就是算法庞大一些,需要更多的计算资源。
分组密码的另一大缺点是其安全性很难被证明。
尽管“可证明安全性”的研究发展很快,但目前的分组密码大多是“看来安全的”,还没有一个分组密码被证明是真正安全的,至多证明了局部安全性。
这其中的原因是:因商业化而要求分组密码算法的细节全部暴露,因此对分组密码的攻击类型很多,安全性概念也就很多,有人为了统一这些安全性概念,甚至引入了伪随机性和超伪随机性,它们是用概率图灵机来描述的,在实际设计和分析中很难应用。
2.分组密码的设计准则
一、安全性准则
对以下的安全性的描述总是基于以下的假设:加密体制(包括算法的细节)是公开的;安全性完全依赖于密钥;信道是不安全的,即攻击者可以任意的截取密文;攻击者有时也可以截取一些“废弃”的明文。
(1)分组长度和密钥长度:当明文分组长度为n比特时,至多需要2n个明文-密文对就可以彻底破解密钥。
同理当密钥长度为n比特时,对一个截获的密文,至多需要试验2n个密钥就可以破解了密文。
因此从安全性角度来考虑,明文分组长度的密钥长度因尽可能的大。
(2)混淆性:所设计的密码应使得明文、密文、密钥之间的依赖关系相当复杂,以至于这种依赖关系对密码分析者来说是无法利用的。
密码分析者利用这种依赖关系的方法非常多,比如差分密码分析、线性密码分析等,因此混淆性也是一个非常重要的原则。
(3)扩散性:所设计的密码应使得密钥的每一位数字影响密文的许多位数字,以防止对密钥的逐段破解;明文的每一位数字也影响密文的许多位数字,以便最充分的隐藏明文的统计特征。
对扩散性可以有许多种理解,比如“粘连性”指的是明文、密文、密钥每一位都互相依赖;“不连续性”或“雪崩性”指的是当改变明文的任何一个比特时,对应密文改变的比特的个数应是一个随机变量,其平均值是分组长度的一半。
(4)非线性度(抗线性密码分析强度):这一项属于混淆性。
有一个基本数学原理:如果明文和密文的关系是n维线性关系,且系数是密钥,则n个明文-密文对(而不是2n个)就可以破解密钥;如果明文与密文的关系是n维r次函数关系,且系数是密钥,则n r个明文-密文对就可以破解密钥;如果虽然次数r较大,但明文与密文的关系“非常逼近”一个n
维线性关系,则n个明文-密文对就可以“基本上”破解密钥。
这就是线性密码分析的思想,抗线性密码分析的强度就是非线性度。
(5)抗差分密码分析强度:这一项也属于混淆性。
如果明文差分与密文差分的关系比较简单,则可以进行差分密码分析,这种分析或许能部分的解密密钥。
(6)安全强度的稳定性:
还可以给出许多有关安全性的概念。
概括地说安全性就是从任何角度都难以攻破。
其中两个最重要的角度是:①对于一个正在使用的加密算法,即使攻击者获得“许多”精心选择的明文-密文对,他仍无法“接近”密钥,即可以抵抗选择明文攻击。
②即使攻击者获得“许多”精心选择的明文-密文对,他仍无法“接近”任一个新密文所对应的明文。
这里使用的“明文、密文、密码之间的依赖关系”这个术语,传统上的依赖关系是指函数关系和统计关系。
从安全性出发,希望函数关系尽可能复杂,其含义是使得精确破译尽可能困难;希望统计关系尽可能复杂,其含义是使得逼近破译尽可能困难。
二、简捷性准则
简捷性指的是分组密码算法在满足安全性要求的同时尽可能的简单快速。
如果分组密码算法用软件来实现,则要求子块长度尽可能自然的适应软件编程,比如8,16,32,64比特等。
在软件实现中,按比特置换通常是难以实现的,因此应该尽量避免使用它。
子块上的运算应该是易于软件实现的运算,最好使用一些标准的处理器所具有的一些基本指令,比如加法、乘法、移位等。
如果分组密码算法用硬件来实现,则尽量使用规则结构,以便用超大规模集成电路(VLSI)来实现。
三、有效性准则
四、透明性和灵活性准则
透明性即要求算法是可证明安全的。
如果使用迭代分组密码,其安全强度于迭代次数的关系尽可能明确和容易分析。
这就要求算法尽可能使用通用的部件,避免黑盒。
灵活性即要求算法的实现可以适应多种计算环境;明文分组长度可以伸缩;算法可以移植和变形。
五、加解密相似性准则
加解密相似即加密算法和解密算法相同,仅仅密钥的编排不同。
这就是说,如果记E(·,k)和D(·,k)为使用密钥k的加密算法和加密算法,则对于任意密钥k,存在密钥k*,使得D(·,k)=E(·,k*)。
加解密相似性的好处是大大节省存储空间和其它计算资源,并大幅降低成本。
这也是分组密码设计所追求的一个方向。
六、关于密钥的长度
对于密钥长度的各种要求是相互矛盾的。
安全性要求长的密钥,特别是多轮迭代分组密码需要很长的密钥;而简捷性和密钥本身的保密性要求密钥尽量的短。
在分组密码算法中通常的做法是:通信双方共享一个短密钥,成为密钥种子,实际加密时用一个公开的扩散算法将种子扩散成足够长的密钥。
因此有以下的考虑:
①对手未知的只是密钥种子,过短的密钥会使穷举密钥攻击成为可能;
②一个密钥扩散算法实际上是一个伪随机序列发生器,改发生器的优劣对分组密码的安全性优一定的影响。
一般认为只要分组密码算法本身足够坚强,密钥扩散算法并不太重要。
不过仍有针对密钥扩散算法的弱点进行的攻击,称为“密钥相关攻击”。
通常的密钥扩散算法是附属于密钥算法的,利用分组密码算法的某些运算部件简单的搭建而成,当然不能指望所生成的密钥具有序列密码一样的安全性,但为抵抗密钥的相关性攻击,希望所生成的密钥的任一个比特依赖于密钥种子的每一个比特
总之,以上的各设计准则中,安全性是第一位的。