余艳玮现代密码学与应用序列密码
合集下载
现代密码学与应用
20082008-9-21 18
差分密码分析(Differential cryptanalysis)
差分密码分析是一种攻击迭代分组密码的 选择明文统计分析破译法。 它不是直接分析密文或密钥的统计相关性, 而是分析明文差分和密文差分之间的统计 相关性。
20082008-9-21
19
差分密码分析(Differential cryptanalysis)
20082008-9-21
29
中途相遇攻击
对于给定明文x,以两重DES加密将有264个 可能的密文。 可能的密钥数为2112个。所以,在给定明文 下,将有2112/264 =248个密钥能产生给定的密 文。 这一攻击法所需的存储量为256×8 Byte,最 大试验的加密次数2×256 =257。这说明破译 双重DES的难度为 57量级 难度为2 难度为 量级。
DES的解密过程与加密过程完全相同。唯一的不同是,子密钥的使 的解密过程与加密过程 唯一的不同是, 用顺序完全相反。 用顺序完全相反。
– 加密: k1,k2,k3, … , k16 加密: – 解密:k16, … , k3, k2, k1 解密:
算法主要包括: 算法主要包括:
– 16个子密钥产生器 个子密钥产生器 – 初始置换 初始置换IP – 16轮迭代的乘积变换(E,B,P) 轮迭代的乘积变换( 轮迭代的乘积变换 – 逆初始置换 -1 逆初始置换IP
差分密码分析(Differential cryptanalysis)
以这一方法攻击DES,尚需要用2 47 个选择明文和 247次加密运算。 为什么DES在强有力的差值密码分析攻击下仍能 站住脚?
– 根据Coppersmith[1992内部报告]透露,IBM的DES研究 组早在 早在1974年就已知道这类攻击方法,因此,在设计 年 S盒、P-置换和迭代轮数上都做了充分考虑,从而使 DES能经受住这一有效破译法的攻击。
差分密码分析(Differential cryptanalysis)
差分密码分析是一种攻击迭代分组密码的 选择明文统计分析破译法。 它不是直接分析密文或密钥的统计相关性, 而是分析明文差分和密文差分之间的统计 相关性。
20082008-9-21
19
差分密码分析(Differential cryptanalysis)
20082008-9-21
29
中途相遇攻击
对于给定明文x,以两重DES加密将有264个 可能的密文。 可能的密钥数为2112个。所以,在给定明文 下,将有2112/264 =248个密钥能产生给定的密 文。 这一攻击法所需的存储量为256×8 Byte,最 大试验的加密次数2×256 =257。这说明破译 双重DES的难度为 57量级 难度为2 难度为 量级。
DES的解密过程与加密过程完全相同。唯一的不同是,子密钥的使 的解密过程与加密过程 唯一的不同是, 用顺序完全相反。 用顺序完全相反。
– 加密: k1,k2,k3, … , k16 加密: – 解密:k16, … , k3, k2, k1 解密:
算法主要包括: 算法主要包括:
– 16个子密钥产生器 个子密钥产生器 – 初始置换 初始置换IP – 16轮迭代的乘积变换(E,B,P) 轮迭代的乘积变换( 轮迭代的乘积变换 – 逆初始置换 -1 逆初始置换IP
差分密码分析(Differential cryptanalysis)
以这一方法攻击DES,尚需要用2 47 个选择明文和 247次加密运算。 为什么DES在强有力的差值密码分析攻击下仍能 站住脚?
– 根据Coppersmith[1992内部报告]透露,IBM的DES研究 组早在 早在1974年就已知道这类攻击方法,因此,在设计 年 S盒、P-置换和迭代轮数上都做了充分考虑,从而使 DES能经受住这一有效破译法的攻击。
现代密码学第5章:序列密码
6
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
21
作为有限状态自动机的密钥流生成器
k
i
k
zi
k
22
作为有限状态自动机的密钥流生成器
这种密钥流生成器设计的关键在于找出 适当的状态转移函数φ和输出函数ψ,使得 输出序列z满足密钥流序列z应满足的几个条 件,并且要求在设备上是节省的和容易实现 的。 为了实现这一目标,必须采用非线性函 数。
3
1. 序列密码的基本概念
分组密码与序列密码的区别就在于有无 记忆性(如图)。序列密码的滚动密钥 z0=f(k,σ0)由函数f、密钥k和指定的初态σ0完 全确定。此后,由于输入加密器的明文可能 影响加密器中内部记忆元件的存储状态,因 而σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1 等参数。
序列密码的基本思想是利用密钥k产生 一个密钥流z=z0z1…,并使用如下规则对明 文串x=x0x1x2…加密: y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。 密钥流由密钥流发生器f产生: zi=f(k,σi), 这里σi是加密器中的记忆元件(存储器)在 时刻i的状态,f是由密钥k和σi产生的函数。
28
F的设计:两种典型的基本编码手段
1. 非线性组合生成器 一个非线性组合生成器的图示如下:
F(x1 , x2 , x ) ,t
N1-LFSR
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
21
作为有限状态自动机的密钥流生成器
k
i
k
zi
k
22
作为有限状态自动机的密钥流生成器
这种密钥流生成器设计的关键在于找出 适当的状态转移函数φ和输出函数ψ,使得 输出序列z满足密钥流序列z应满足的几个条 件,并且要求在设备上是节省的和容易实现 的。 为了实现这一目标,必须采用非线性函 数。
3
1. 序列密码的基本概念
分组密码与序列密码的区别就在于有无 记忆性(如图)。序列密码的滚动密钥 z0=f(k,σ0)由函数f、密钥k和指定的初态σ0完 全确定。此后,由于输入加密器的明文可能 影响加密器中内部记忆元件的存储状态,因 而σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1 等参数。
序列密码的基本思想是利用密钥k产生 一个密钥流z=z0z1…,并使用如下规则对明 文串x=x0x1x2…加密: y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。 密钥流由密钥流发生器f产生: zi=f(k,σi), 这里σi是加密器中的记忆元件(存储器)在 时刻i的状态,f是由密钥k和σi产生的函数。
28
F的设计:两种典型的基本编码手段
1. 非线性组合生成器 一个非线性组合生成器的图示如下:
F(x1 , x2 , x ) ,t
N1-LFSR
现代密码学和应用 ——数字签名-精品文档
2019/2/21
13
签名方案的攻击类型
• 敌手的目标是:伪造签名
① 完全攻克:敌手能计算出私钥 ② 选择性伪造:敌手能对一个特殊的消息或 者预先选定的一类消息构造出正确的签名 ③ 存在性伪造:敌手能伪造至少一个消息的 签名,但敌手对被伪造签名所对应的消息 几乎没有控制能力
2019/2/21 14
–数字签名的签名过程 –数字签名的验证过程:不需要签名者的秘密知 识 (任何人都可验证真伪)
2019/2/21 5
数字签名的特点
① 签名是可信( 真实)的: 任何人都可以方便的验证 签名的有效性. ② 签名是不可伪造的:除了合法的签名者外,任何其 它人伪造签名是困难的,这种困难性指计算上是 不可行的。 ③ 签名是不可抵赖的:签名者不能否认自己的签名。 ④ 签名是不可复制的:如果签名是从别的地方复制 的,任何人都可发现消息与签名的不一致,从而 拒绝签名。 ⑤ 签名的消息是不可修改的
二、RSA和相关签名方案
• • • • •
RSA签名方案 有关RSA签名的可能攻击 实际中的RSA签名 ISO/IEC 9796规范 PKCS #1规范
2019/2/21
16
• RSA是以它的三个发明者Ron Rivest,Adi Shamir和Leoard Adleman的名字命名。 • RSA算法既可以用于加密,也可以用于数 字签名。 • RSA的安全性基于大数分解的困难性,该 算法已经经受住了多年深入的密码分析, 密码分析者既不能证明也不能否认RSA的 安全性,这恰恰说明该算法有一定的可信 度。
–DSA、ElGamal和Schnorr签名方案 –消息可以是任意长度
• 带消息恢复的数字签名方案:消息可从签 名自身恢复,不要求初始消息M作为验证算 法的输入
现代密码学和应用-PPT文档资料
2008-9-21
15
(1) 电码本ECB模式
• 直接利用加/解密算法分别对分组数据组加/解密
• 每个分组之间彼此独立。 • 相同明文(在相同密钥下)得出相同密文。
– 这会暴露明文数据的格式和统计特征。
– 明文数据都有固定的格式,需要以协议的形式定义,重要的数据 常常在同一位置上出现,使密码分析者可以对其进行统计分析、 重传和代换攻击。
• CFB与CBC的区别
– 是反馈的密文分组长度k为1或8 – 不是直接与明文相加,而是反馈至密钥产生器; – 若使用非对称的分组算法,则不能用CFB模式
• 用于要求无延迟的加密和传播的应用中。
2008-9-21
24
2008-9-21
25
特性
• 在相同的密钥和IV下,相同的明文分组会得到相 同的密文分组 (与CBC模式一样) • 各密文组yi不仅与当前明文组xi有关,而且通过反 馈作用还与以前的 6 4 / j 个明文组xi-64/j, xi-64/j+1,…, xi-1有关 • 单个密文分组yi中的一个比特错误会影响分组yi和 后续的 6 4 / j 个密文分组的解密。 • 若单个密文分组 yi 出现错误,则能自同步;只要 后续的 6 4 / j 没有错误,则可自动恢复同步
Ci=EK(Pi);Pi=DK(Ci)
• 单个密文分组中的一个或多个比特错误只会影响 该分组的解密结果。
2008-9-21 16
2008-9-21
17
ECB模式的安全缺陷
k kxDESy源自yDES-1x
• 不能隐藏数据模式 • 易遭受插入、删除等主动攻击
2008-9-21 18
(2) 密码分组链接CBC模式
• 每个明文组xi加密之前,先与反馈至输入端 的前一组密文yi-1按位模2求和后,再送至加 密算法加密
现代密码学 课后答案 第二版
4.公钥密码算法一般是建立在对一个特定的数学难题求解上,那么RSA算法是基于大整数因子分解困难性、ElGamal算法是基于有限域乘法群上离散对数的困难性。
5.Rabin公钥密码体制是1979你M.O.Rabin在论文《Digital Signature Public-Key as Factorization》中提出的一种新的公钥密码体制,它是基于合数模下求解平方根的困难性(等价于分解大整数)构造的一种公钥密码体制。
4.1949年,香农发表《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成为了一门学科。
5.密码学的发展大致经历了两个阶段:传统密码学和现代密码学。
6.1976年,W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
7.密码学的发展过程中,两个质的飞跃分别指1949年香农发表的《保密系统的通信理论》和1978年,Rivest,Shamir和Adleman提出RSA公钥密码体制。
现代密码学教程 第二版
谷利泽 郑世慧 杨义先
欢迎私信指正,共同奉献
第一章
1.判断题
2.选择题
3.填空题
1.信息安全的主要目标是指机密性、完整性、可用性、认证性和不可否认性。
2.经典的信息安全三要素--机密性,完整性和可用性,是信息安全的核心原则。
3.根据对信息流造成的影响,可以把攻击分为5类中断、截取、篡改、伪造和重放,进一步可概括为两类主动攻击和被动攻击。
h)门限发生器要求:LFSR的数目是奇数,确信所有的LFSR的长度互素,且所有的反馈多项式都是本原的,这样可达到最大周期。
第六章
1.判断题
答案:√√X√√ √√X*√ √X√√*
5.Rabin公钥密码体制是1979你M.O.Rabin在论文《Digital Signature Public-Key as Factorization》中提出的一种新的公钥密码体制,它是基于合数模下求解平方根的困难性(等价于分解大整数)构造的一种公钥密码体制。
4.1949年,香农发表《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成为了一门学科。
5.密码学的发展大致经历了两个阶段:传统密码学和现代密码学。
6.1976年,W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
7.密码学的发展过程中,两个质的飞跃分别指1949年香农发表的《保密系统的通信理论》和1978年,Rivest,Shamir和Adleman提出RSA公钥密码体制。
现代密码学教程 第二版
谷利泽 郑世慧 杨义先
欢迎私信指正,共同奉献
第一章
1.判断题
2.选择题
3.填空题
1.信息安全的主要目标是指机密性、完整性、可用性、认证性和不可否认性。
2.经典的信息安全三要素--机密性,完整性和可用性,是信息安全的核心原则。
3.根据对信息流造成的影响,可以把攻击分为5类中断、截取、篡改、伪造和重放,进一步可概括为两类主动攻击和被动攻击。
h)门限发生器要求:LFSR的数目是奇数,确信所有的LFSR的长度互素,且所有的反馈多项式都是本原的,这样可达到最大周期。
第六章
1.判断题
答案:√√X√√ √√X*√ √X√√*
现代密码学原理与应用第4章
第4章 分组密码体制
4.1 分组密码概述
所谓分组密码是将明文分成一组一组,在密钥的控制下, 经过加密变换生成一组一组的密文。具体而言,分组密码就是 将明文消息序列 m1, m2, , mi , 划分成等长的消息组
(m1, m2 , , mn ), (mn1, mn2 , , m2n ),
2.差分密码分析法
差分密码分析法与一般统计分析法的本质区别是,不直 接分析密文或密钥的统计相关性,而是通过对明文对的差值 与相应的密文对的差值之间的统计关系的分析,对密钥某些 位进行合理的推断与猜测。
3.线性密码分析
线性密码分析是一种已知明文攻击法。它通过对非线 性函数的线性近似来实现分析密钥的目标。其基本思想是 寻找一个密码算法的有效的线性近似表达式,即寻找分组 密码算法中明文、密文和密钥的若干位之间的线性关系, 最终破译密码系统。
图4-7 子密钥生成过程
① 置换选择PC1 【例4-2】设初始密钥
• K = (123DAB779F658067)16 • = (00010010 00111101 10101011 01110111 10011111
01100101 10000000 01100111)2 • 经过置换选择PC1,并分成左右两部分,结果为
子密钥产生的算法充分实现明文与密钥的扩散和混淆,没 有简单的关系可循,能抗击各种已知的攻击。
6.加密和解密运算简单
在以软件实现时,应选用简单的运算,使密码运算易于以 标准处理器的基本运算。
4.1.2 分组密码算法结构
1.Feistel结构 Feistel结构把任何函数(一般称F函数,又称轮函数)
转化为一个置换。
加密算法的输入是一个分组长度为2n的明文M0和一个种 子密钥K0,将明文M0分成左右两半L0和R0,这里L0是M0的左 半部分nbit,R0是M0的右半部分nbit,在进行完r轮迭代后,
4.1 分组密码概述
所谓分组密码是将明文分成一组一组,在密钥的控制下, 经过加密变换生成一组一组的密文。具体而言,分组密码就是 将明文消息序列 m1, m2, , mi , 划分成等长的消息组
(m1, m2 , , mn ), (mn1, mn2 , , m2n ),
2.差分密码分析法
差分密码分析法与一般统计分析法的本质区别是,不直 接分析密文或密钥的统计相关性,而是通过对明文对的差值 与相应的密文对的差值之间的统计关系的分析,对密钥某些 位进行合理的推断与猜测。
3.线性密码分析
线性密码分析是一种已知明文攻击法。它通过对非线 性函数的线性近似来实现分析密钥的目标。其基本思想是 寻找一个密码算法的有效的线性近似表达式,即寻找分组 密码算法中明文、密文和密钥的若干位之间的线性关系, 最终破译密码系统。
图4-7 子密钥生成过程
① 置换选择PC1 【例4-2】设初始密钥
• K = (123DAB779F658067)16 • = (00010010 00111101 10101011 01110111 10011111
01100101 10000000 01100111)2 • 经过置换选择PC1,并分成左右两部分,结果为
子密钥产生的算法充分实现明文与密钥的扩散和混淆,没 有简单的关系可循,能抗击各种已知的攻击。
6.加密和解密运算简单
在以软件实现时,应选用简单的运算,使密码运算易于以 标准处理器的基本运算。
4.1.2 分组密码算法结构
1.Feistel结构 Feistel结构把任何函数(一般称F函数,又称轮函数)
转化为一个置换。
加密算法的输入是一个分组长度为2n的明文M0和一个种 子密钥K0,将明文M0分成左右两半L0和R0,这里L0是M0的左 半部分nbit,R0是M0的右半部分nbit,在进行完r轮迭代后,
现代密码学与应用
2008-11-3
2
大纲
一、密钥管理的概念 二、机密密钥分发技术 三、公钥分发技术 四、控制密钥使用的技术 五、多个域的密钥管理 六、密钥生命周期问题
2008-11-3
3
一、密钥管理的概念
密钥管理
• 是一组技术和过程,它能够在授权方间提 供密钥关系的建立和维护 • 包括 指通信实体共享密钥
材料(包括公钥、私钥 –域中系统用户的初始化 、初始值以及额外的 –密钥材料的生成、分发和安装 非秘密参数)的状态 –控制密钥材料的使用 –密钥材料的更新、撤销和销毁 –密钥材料的存储、备份/恢复和存档
2008-11-3
10
二、机密密钥分发技术
密钥分层
• 主密钥:不受密码学的保护。它们被手工分发或 在一开始时建立,受程序上的控制以及物理或电 子隔离的保护 (最高层) • 加密密钥的密钥:用于传输或存储其他密钥的对 称密钥或加密公钥,如保护会话密钥的密钥。 • 数据密钥:用于对用户数据提供密钥操作(如加 密、认证)。
2008-11-3 5
密钥分类
统称为秘密密钥
① 对称密钥:对称密码系统中使用的相同的 秘密密钥 ② 公钥和私钥:非对称密码系统中使用的成 对密钥
2008-11-3
6
密钥管理的目标
• 在遇到如下威胁时,仍能保持密钥关系和 密钥材料:
–危及秘密密钥的机密性 –危及秘密密钥或公钥的真实性 –危及密钥或公钥的未授权使用
X.509证书的获取
• 设用户A已从证书颁发机构X1处获取了公钥证书, 用户B已从证书颁发机构X2处获取了证书。如果A 不知X2的公开密钥,他虽然能读取B的证书,但却 无法验证X2的签字,因此B的证书对A来说是没有 用的。 • 若两个CA X1和X2彼此间已经安全地交换了公开密 钥,则A可通过以下过程获取B的公开秘钥:
现代密码学高效教学法探讨
专业的学生则应该着重讲解理论知识和证明过程。 整个现代 密码 学课程概念多 , 算 法多 , 往往让学生感 到杂乱 ,
不 成 体 系 。 因 此 在 授 课 过 程 中必 须 找 到 一 条 主 线 贯 穿 整 个 教 学 过程 。比可以从 密码 的诞生开始讲起 , 介绍基于 战争 中保密发
数字签字 、 杂凑 函数 以及 密码协议等部分 , 各部分要求 学生首先
掌握相关 的数 学基础知识 , 然后学 习和 掌握 各种典型算法 , 如对 称密码算 法要求学生 掌握经典 的流 密码算法 、 D E S 算法、 R S A算 法、 以及 I D E A算 法 等 ; 公钥密码 要求 学生掌 握 R S A算 法 、 E 1 G a m a l 、 椭 圆曲线密码 、 以及背包密码体制等经典算法 。内容非
墼 !
No. 1 l T I 眦 E D U C A T I O N No v e mb e r
现代密码学高效教学法探讨
贾艳 艳
摘要 : 现代 密码 学涉及的 内容 多、 涵盖 面广且 实践性 强 , 传统的 以教师讲授 为主的教 学方 法使 学生很 难真正地领会 掌握所 学知识 难 以将所 学知识应 用到 实际生活中。本 文针对该 问题 , 从教 学内容的安排 、 新教 学法的应用、 实践环 节的强化等 方面对如何提 高现代 密码学的教 学效果进行 了探讨 。
开始讲授一 门课 程之前 , 教师应对学生情况 进行 了解 , 包括 其所学专业 、 先修课程等。如学生之前并没有修过相关 的数学基
础课 , 那 么进行 现代密码 学课程讲授 时必 须加强数 学知识 的讲 解; 若学生 已经修过相关 先修 课程 , 这数学基础知识可 以略讲 甚
至不讲 。针对 信息安全或计算机相关 专业学生可 以侧重讲 经典 算法及其应用 , 对理论推 导可 以略讲或不讲 ; 而对于密码学 相关
不 成 体 系 。 因 此 在 授 课 过 程 中必 须 找 到 一 条 主 线 贯 穿 整 个 教 学 过程 。比可以从 密码 的诞生开始讲起 , 介绍基于 战争 中保密发
数字签字 、 杂凑 函数 以及 密码协议等部分 , 各部分要求 学生首先
掌握相关 的数 学基础知识 , 然后学 习和 掌握 各种典型算法 , 如对 称密码算 法要求学生 掌握经典 的流 密码算法 、 D E S 算法、 R S A算 法、 以及 I D E A算 法 等 ; 公钥密码 要求 学生掌 握 R S A算 法 、 E 1 G a m a l 、 椭 圆曲线密码 、 以及背包密码体制等经典算法 。内容非
墼 !
No. 1 l T I 眦 E D U C A T I O N No v e mb e r
现代密码学高效教学法探讨
贾艳 艳
摘要 : 现代 密码 学涉及的 内容 多、 涵盖 面广且 实践性 强 , 传统的 以教师讲授 为主的教 学方 法使 学生很 难真正地领会 掌握所 学知识 难 以将所 学知识应 用到 实际生活中。本 文针对该 问题 , 从教 学内容的安排 、 新教 学法的应用、 实践环 节的强化等 方面对如何提 高现代 密码学的教 学效果进行 了探讨 。
开始讲授一 门课 程之前 , 教师应对学生情况 进行 了解 , 包括 其所学专业 、 先修课程等。如学生之前并没有修过相关 的数学基
础课 , 那 么进行 现代密码 学课程讲授 时必 须加强数 学知识 的讲 解; 若学生 已经修过相关 先修 课程 , 这数学基础知识可 以略讲 甚
至不讲 。针对 信息安全或计算机相关 专业学生可 以侧重讲 经典 算法及其应用 , 对理论推 导可 以略讲或不讲 ; 而对于密码学 相关
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(Linear Feedback Shift Register)
线性反馈移位寄存器(LFSR)
• 是许多密钥序列生成器的基本部件
LFSR ………
F
ziΒιβλιοθήκη ……LFSR1 LFSR2
LFSRn
F
zi
LFSR的优点
① 非常适合用硬件实现 ② 可以产生大周期序列 ③ 可以产生具有良好统计性质的序列 ④ 易于利用代数方法对其进行分析
大纲
• 序列密码的基本概念 • 密钥序列生成器 • 线性反馈移位寄存器(LFSR) • RC4
参考书籍
• 《Handbook of Applied Cryptography》: Chapter 6
• 《Applied Cryptography: Protocols, algorithms, and source code in C》: Chapter 16, 17
• 非线性部分:将驱动部分所提供的序列组合成密码特性
好的序列。
– 如,可提高密钥序列的线性复杂度(可隐蔽驱动序列与密钥k之间 过分明显的依赖关系)
– 混淆
• 这两部分构成刚好与Shannon早期提出的两条密码原 则——扩散和混淆是一致的。
常见的密钥序列产生器
目前最为流行和实用的密钥流产生器大多 基于线性反馈移位寄存器。如图所示,其驱 动部分是一个或多个线性反馈移位寄存器。
通信双方的精确同步? (zi 与ci一一对应)
序列密码的分类——同步序列密码
① 同步序列密码
• 密钥序列的生成独立于明文和密文
同步序列密码通信模型
同步序列密码的特点
➢ 在保密通信过程中,通信的双方必须保持精确
的同步
• 对于同步序列密码,只要通信双方的密钥序列产生
器具有相同的种子密钥和相同的初始状态,就能
③ 采用一个短的种子密钥来控制某种算法产 生出长的密钥序列,供加、解密使用,而 短的种子密钥的存储、分配都较容易
序列密码 vs. 分组密码
序列密码的基本原理
利用种子密钥k和初始状态σ0产生一个密钥序列 z=z0z1…,并使用如下规则对明文序列 m=m0m1m2…加密,得到密文序列c:
c=c0c1c2…=Ez0(m0)Ez1(m1)Ez2(m2)…。
或
状态σi:位序列
序列密码的基本原理
① 序列密码的关键就是产生密钥序列的算法
② 密钥序列产生算法应能产生的密钥序列z:
– 只能是伪随机序列 – 具有良好的随机性和不可预测性
③ 密钥序列产生算法都采用带存储的时序算法,
其理论模型为有限自动机,其实现电路为时序 电路
④ 序列密码实际应用中的关键技术:如何保持
一、序列密码的基本概念
起源
• 一次一密
– 无条件安全:在理论上是不可破译的 – 但:要求密钥与明文具有相同长度、且不可重
复使用,增加了密钥分配与管理的困难
– 对策:用一个较小的密钥来伪随机地生成密钥
流。
① 人们试图以序列密码方式仿效“一次一密” 密码
② 序列密码的理论已经比较成熟,而且具有 工程实现容易、效率高等特点
• n级LFSR的状态周期≤ 2n-1。其输出序列的周
期与状态周期相等,也≤ 2n-1。 • 只要选择合适的反馈函数便可使输出序列的周期
达到最大值2n-1
• 周期达到最大值的输出序列称为m序列。
例题
• 若其初始状态序列为 (b 1,b2,b3,b4 ,)(1 ,1 ,1 ,1 ) 求:
① 输入位是?
– 状态序列σi :某个时刻移位寄存器存储的位所组成的序列
• σi =(bn,bn-1, … , b1) • 共有2n-1个可能的状态
• 线性反馈函数:f (f是线性函数)
bni f(bni1,bni2,..bi.), cnbni1 cn1bni2 L c1bi
• 其中常数ci=0或1,是模2加法
线性反馈移位寄存器(LFSR)
n-位LFSR:
密钥序列产生器的构成
同步序列密码
• 密钥序列的生成独立于明文和密文
LFSR的组成
• 移位寄存器:是位的序列
– 输入位bn+1:最高有效位 – 输出位b1:最低有效位 – 级数(长度)n:包含的位的数目 – 周期T:输出序列从开始到重复时的长度
• 输出序列:最低有效位串
② 输出位是?
LFSR ………
F
LFSR1 LFSR2
F
zi
……
zi
LFSRn
(1) 非线性组合生成器
F(x1,x2 ,L,xt )
N1-LFSR
N2-LFSR
zi
Nt-LFSR
(2) 非线性滤波生成器
N-LFSR L
F(xi1,xi2,L ,xit ) zi
(3) 钟控生成器
三、线性反馈移位寄存器(LFSR)
习题
下图为一个5级线性反馈移位寄存器,其初始状态为
( a 1 ,a 2 ,a 3 ,a 4 ,a 5 ) ( 1 ,1 ,0 ,1 ,0 )
输出序列
a5
a4
a3
a2
a1
则其输出序列为?
LFSR
• 线性反馈移位寄存器输出序列的性质完全由其反 馈函数决定。
• n级线性反馈移位寄存器最多有2n个不同的状态。 若其初始状态为0,则其状态恒为0。若其初始状 态非0,则其后继状态不会为0。
自同步序列密码通信模型
自同步序列密码的特点
• 自同步 • 有限的错误传播 • 主动攻击 • 明文统计扩散
二、密钥序列产生器
密钥序列产生器的构成
• 驱动部分:控制生成器的状态序列,并为非线性组合部
分提供统计性能良好的序列。 – 如,驱动部分可由一组最大长度线性反馈移位寄存器组成。
(将实际密钥k扩散成周期很大的驱动序列) – 扩散
产生相同的密钥序列。
➢ 对失步的敏感性
• 收方的解密将一直错误,直到重新同步为止 • 容易检测插入、删除、重播等主动攻击
➢ 无错误传播
• 当通信中某些密文字符产生了错误(如0变成1,或1 变成0),只影响相应字符的解密,不影响其它字符
序列密码的分类——自同步序列密码
② 自同步序列密码
• 密钥序列由种子密钥和固定个数的以前的密 文字符的函数所生成
bn
bn1 …
b2
cn
c n1
c2
…
输出序列
b1
c1
例题
• 若其初始状态序列为 (b 1,b2,b3,b4 ,)(1 ,1 ,1 ,1 ) 求:
① 输入位是? ② 输出位是? ③ 级数(长度)n=? ④ 后续的状态序列分别为?共有多少个
不同的状态? ⑤ 输出序列是? ⑥ 周期T=? ⑦ 线性反馈函数f 如何表述?
线性反馈移位寄存器(LFSR)
• 是许多密钥序列生成器的基本部件
LFSR ………
F
ziΒιβλιοθήκη ……LFSR1 LFSR2
LFSRn
F
zi
LFSR的优点
① 非常适合用硬件实现 ② 可以产生大周期序列 ③ 可以产生具有良好统计性质的序列 ④ 易于利用代数方法对其进行分析
大纲
• 序列密码的基本概念 • 密钥序列生成器 • 线性反馈移位寄存器(LFSR) • RC4
参考书籍
• 《Handbook of Applied Cryptography》: Chapter 6
• 《Applied Cryptography: Protocols, algorithms, and source code in C》: Chapter 16, 17
• 非线性部分:将驱动部分所提供的序列组合成密码特性
好的序列。
– 如,可提高密钥序列的线性复杂度(可隐蔽驱动序列与密钥k之间 过分明显的依赖关系)
– 混淆
• 这两部分构成刚好与Shannon早期提出的两条密码原 则——扩散和混淆是一致的。
常见的密钥序列产生器
目前最为流行和实用的密钥流产生器大多 基于线性反馈移位寄存器。如图所示,其驱 动部分是一个或多个线性反馈移位寄存器。
通信双方的精确同步? (zi 与ci一一对应)
序列密码的分类——同步序列密码
① 同步序列密码
• 密钥序列的生成独立于明文和密文
同步序列密码通信模型
同步序列密码的特点
➢ 在保密通信过程中,通信的双方必须保持精确
的同步
• 对于同步序列密码,只要通信双方的密钥序列产生
器具有相同的种子密钥和相同的初始状态,就能
③ 采用一个短的种子密钥来控制某种算法产 生出长的密钥序列,供加、解密使用,而 短的种子密钥的存储、分配都较容易
序列密码 vs. 分组密码
序列密码的基本原理
利用种子密钥k和初始状态σ0产生一个密钥序列 z=z0z1…,并使用如下规则对明文序列 m=m0m1m2…加密,得到密文序列c:
c=c0c1c2…=Ez0(m0)Ez1(m1)Ez2(m2)…。
或
状态σi:位序列
序列密码的基本原理
① 序列密码的关键就是产生密钥序列的算法
② 密钥序列产生算法应能产生的密钥序列z:
– 只能是伪随机序列 – 具有良好的随机性和不可预测性
③ 密钥序列产生算法都采用带存储的时序算法,
其理论模型为有限自动机,其实现电路为时序 电路
④ 序列密码实际应用中的关键技术:如何保持
一、序列密码的基本概念
起源
• 一次一密
– 无条件安全:在理论上是不可破译的 – 但:要求密钥与明文具有相同长度、且不可重
复使用,增加了密钥分配与管理的困难
– 对策:用一个较小的密钥来伪随机地生成密钥
流。
① 人们试图以序列密码方式仿效“一次一密” 密码
② 序列密码的理论已经比较成熟,而且具有 工程实现容易、效率高等特点
• n级LFSR的状态周期≤ 2n-1。其输出序列的周
期与状态周期相等,也≤ 2n-1。 • 只要选择合适的反馈函数便可使输出序列的周期
达到最大值2n-1
• 周期达到最大值的输出序列称为m序列。
例题
• 若其初始状态序列为 (b 1,b2,b3,b4 ,)(1 ,1 ,1 ,1 ) 求:
① 输入位是?
– 状态序列σi :某个时刻移位寄存器存储的位所组成的序列
• σi =(bn,bn-1, … , b1) • 共有2n-1个可能的状态
• 线性反馈函数:f (f是线性函数)
bni f(bni1,bni2,..bi.), cnbni1 cn1bni2 L c1bi
• 其中常数ci=0或1,是模2加法
线性反馈移位寄存器(LFSR)
n-位LFSR:
密钥序列产生器的构成
同步序列密码
• 密钥序列的生成独立于明文和密文
LFSR的组成
• 移位寄存器:是位的序列
– 输入位bn+1:最高有效位 – 输出位b1:最低有效位 – 级数(长度)n:包含的位的数目 – 周期T:输出序列从开始到重复时的长度
• 输出序列:最低有效位串
② 输出位是?
LFSR ………
F
LFSR1 LFSR2
F
zi
……
zi
LFSRn
(1) 非线性组合生成器
F(x1,x2 ,L,xt )
N1-LFSR
N2-LFSR
zi
Nt-LFSR
(2) 非线性滤波生成器
N-LFSR L
F(xi1,xi2,L ,xit ) zi
(3) 钟控生成器
三、线性反馈移位寄存器(LFSR)
习题
下图为一个5级线性反馈移位寄存器,其初始状态为
( a 1 ,a 2 ,a 3 ,a 4 ,a 5 ) ( 1 ,1 ,0 ,1 ,0 )
输出序列
a5
a4
a3
a2
a1
则其输出序列为?
LFSR
• 线性反馈移位寄存器输出序列的性质完全由其反 馈函数决定。
• n级线性反馈移位寄存器最多有2n个不同的状态。 若其初始状态为0,则其状态恒为0。若其初始状 态非0,则其后继状态不会为0。
自同步序列密码通信模型
自同步序列密码的特点
• 自同步 • 有限的错误传播 • 主动攻击 • 明文统计扩散
二、密钥序列产生器
密钥序列产生器的构成
• 驱动部分:控制生成器的状态序列,并为非线性组合部
分提供统计性能良好的序列。 – 如,驱动部分可由一组最大长度线性反馈移位寄存器组成。
(将实际密钥k扩散成周期很大的驱动序列) – 扩散
产生相同的密钥序列。
➢ 对失步的敏感性
• 收方的解密将一直错误,直到重新同步为止 • 容易检测插入、删除、重播等主动攻击
➢ 无错误传播
• 当通信中某些密文字符产生了错误(如0变成1,或1 变成0),只影响相应字符的解密,不影响其它字符
序列密码的分类——自同步序列密码
② 自同步序列密码
• 密钥序列由种子密钥和固定个数的以前的密 文字符的函数所生成
bn
bn1 …
b2
cn
c n1
c2
…
输出序列
b1
c1
例题
• 若其初始状态序列为 (b 1,b2,b3,b4 ,)(1 ,1 ,1 ,1 ) 求:
① 输入位是? ② 输出位是? ③ 级数(长度)n=? ④ 后续的状态序列分别为?共有多少个
不同的状态? ⑤ 输出序列是? ⑥ 周期T=? ⑦ 线性反馈函数f 如何表述?