序列密码
合集下载
分组密码和序列密码
分组密码和序列密码
分组密码和序列密码是两种常见的对称密码算法。
分组密码是将明文分成固定长度的组(通常为64位或128位),然后对每一组进行加密操作,最终得到密文。
其中最常见的分组密码算法是DES和AES。
序列密码是按照明文或密文的顺序逐个加密或解密。
序列密码算法没有固定的分组长度,而是
根据算法规定的步骤对每个字符或比特进行处理。
最常见的序列密码算法是RC4和Salsa20。
分组密码和序列密码的主要区别在于加密的方式。
分组密码将明文分组加密,而序列密码是逐
个字符或比特加密。
这导致了两者在速度和安全性方面的差异。
分组密码通常比序列密码更安全,因为每个分组的长度固定,使得密码算法能更好地控制和混
淆数据。
而序列密码由于处理的单位是逐个字符或比特,容易受到统计分析等攻击。
然而,序列密码在某些特定的应用场景下具有优势。
由于可以逐个加密或解密,序列密码通常
具有更高的效率,适用于数据流传输和实时加密等场景。
总的来说,分组密码和序列密码都有自己的适用范围和优势,选择哪种密码算法取决于具体的应用需求和安全要求。
序列密码——精选推荐
序列密码序列密码引⾔序列密码⼜称流密码,它是将明⽂串逐位地加密成密⽂字符。
并有实现简单、速度快、错误传播少等特点。
密码按加密形式可分为:分组密码序列密码密码按密钥分为:对称密码(私钥密码)⾮对称密码(公钥密码)1. 加解密算法明⽂序列:m=m1m2……mn……密钥序列:k=k1k2……kn……加密:ci=mi+ki,i=1,2,3,……解密:mi=ci+ki,i=1,2,3,……注:+模2加,0+0=0,0+1=1,1+0=1,1+1=0例 m=101110011,c=m+k=111000110,m=c+k=101110011.1949年,Shannon证明了“⼀次⼀密”密码体制是绝对安全的。
如果序列密码使⽤的密钥是真正随机产⽣的,与消息流长度相同,则是“⼀次⼀密”体制。
但缺点是密钥长度要求与明⽂长度相同,现实情况中不可能实现,故现实中常采⽤较短的种⼦密钥,利⽤密钥序列⽣成器产⽣⼀个伪随机序列。
序列密码的原理分组密码与序列密码都属于对称密码,但两者有较⼤的不同:1. 分组密码将明⽂分组加密,序列密码处理的明⽂长度为1bit;2. 分组密码算法的关键是加密算法,序列密码算法的关键是密钥序列⽣成器。
3. 序列密码分类同步序列密码密钥序列的产⽣仅由密钥源及密钥序列⽣成器决定,与明⽂消息和密⽂消息⽆关,称为同步序列密码。
缺点:如果传输过程中密⽂位被插⼊或删除,则接收⽅与放送⽅之间产⽣了失步,解密即失败。
⾃动同步序列密码密钥序列的产⽣由密钥源、密钥序列⽣成器及固定⼤⼩的以往密⽂位决定,称为⾃同步序列密码(⾮同步密码)。
优点:如果密⽂位被删除或插⼊时,可以再失去同步⼀段时间后,⾃动重新恢复正确解密,只是⼀些固定长度的密⽂⽆法解密。
4. 密钥序列⽣成器的要求(key generation)种⼦密钥k的长度⾜够⼤,⼀般128bit以上,防⽌被穷举攻击;密钥序列{ki}具有极⼤的周期性现代密码机数据率⾼达10^8 bit/s,如果10年内不使⽤周期重复的{ki},则要求{ki}的周期T>=3*106或255;良好的统计特征。
现代密码学之03序列密码
反馈移存器是序列密码设计中常用的一种初始乱源, 其目的是:
(1)以种子密钥为移存器的初态,按照确定的递推关 系,产生周期长、统计特性好的初始乱源序列。
(2)继而利用非线性函数、有记忆变换、采样变换等 手段,产生抗破译能力强的乱数序列。
在序列密码设计中,大多使用周期达到最大的那些 序列,包括:
(1)二元域GF(2)上的线性递归序列 (2)2n元域GF(2n)上的线性递归序列 (3)剩余类环Z/(2n)上的线性递归序列 (4)非线性递归序列
3.2.2 线性反馈移存器(LFSR)简介
c0=1
c1
c2 …
…
x1
x2
am-1
am-2
cn-2 xn-1
cn-1
cn
xn am-n
一、当ci=1时,开关闭合,否则断开;c0=1表示总有 反馈;一般cn=1,否则退化。
二、反馈逻辑函数
f(x1, x2, …, xn)=c1x1+c2x2+…+cnxn 三、线性递推式
= c0am+c1Dam+c2D2am+…+cnDnam) = (c0+c1D+c2D2+…+cnDn)am 因此反馈多项式(也称特征多项式)为:
g(x)= c0+c1x+c2x2+…+cnxn
五、状态转移矩阵
给定两个相邻状态:
则有
Sm=(am+n-1,…,am+1,am) Sm+1=(am+n,…,am+2,am+1)
管理问题!
因而人们设想使用少量的真随机数(种子密钥) 按一定的固定规则生成的“伪随机”的密钥序 列代替真正的随机序列ki,这就产生了序列密 码。
(1)以种子密钥为移存器的初态,按照确定的递推关 系,产生周期长、统计特性好的初始乱源序列。
(2)继而利用非线性函数、有记忆变换、采样变换等 手段,产生抗破译能力强的乱数序列。
在序列密码设计中,大多使用周期达到最大的那些 序列,包括:
(1)二元域GF(2)上的线性递归序列 (2)2n元域GF(2n)上的线性递归序列 (3)剩余类环Z/(2n)上的线性递归序列 (4)非线性递归序列
3.2.2 线性反馈移存器(LFSR)简介
c0=1
c1
c2 …
…
x1
x2
am-1
am-2
cn-2 xn-1
cn-1
cn
xn am-n
一、当ci=1时,开关闭合,否则断开;c0=1表示总有 反馈;一般cn=1,否则退化。
二、反馈逻辑函数
f(x1, x2, …, xn)=c1x1+c2x2+…+cnxn 三、线性递推式
= c0am+c1Dam+c2D2am+…+cnDnam) = (c0+c1D+c2D2+…+cnDn)am 因此反馈多项式(也称特征多项式)为:
g(x)= c0+c1x+c2x2+…+cnxn
五、状态转移矩阵
给定两个相邻状态:
则有
Sm=(am+n-1,…,am+1,am) Sm+1=(am+n,…,am+2,am+1)
管理问题!
因而人们设想使用少量的真随机数(种子密钥) 按一定的固定规则生成的“伪随机”的密钥序 列代替真正的随机序列ki,这就产生了序列密 码。
密码学(范明钰)3.2-序列密码
yi=zi xi。
K
K
安全信道
……
滚动密钥生成器
zi
xi
yi……滚动密钥生器ziyixi
同步序列密码
一次一密密码是加法序列密码的原型。事实上,如 果密钥使用滚动密钥流,则加法序列密码就退化成 一次一密密码。
实际使用中,密码设计者的最大愿望是设计出的滚 动密钥生成器,使得密钥经其扩展成的密钥流序列 具有如下性质:极大的周期、良好的统计特性、抗 线性分析、抗统计分析
基本概念
分组密码与序列密码的区别在于有无记忆性 序列密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指
定的初态σ0完全确定。此后,由于输入加密器的明文 可能影响加密器中内部记忆元件的存储状态,因而 σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1等参数。
同步序列密码
根据加密器中记忆元件的存储状态σi是否依赖 于输入的明(或密)文字符,序列密码可进一 步分成同步和自同步两种。
和σi产生的函数。
9
基本概念
序列密码将明文消息 M连续地分成字符
bit,并用密钥流来 加密每个字符bit
基本上,序列密码体
制只使用混乱技术,
而不使用散布技术。 这使得这种体制没有
错误扩散
基本情况
序列密码有广泛的理论基础,对于其各种设计原则已经 进行了详尽的分析。然而在公开的文献中详尽的序列密 码系统却相对较少 造成这种状况的部分原因是,在实际中使用的大部分序 列密码归私人所有或需要保密。相比之下,大量的分组 密码建议已经出版,其中的一些已经被标准化或公开
却希望它的输出(密钥序列k)对不知情的人来 说象是随机的。 到底该从哪些角度把握随机性等,才使所设计出 来的KG能够具有我们需要的安全程度?
K
K
安全信道
……
滚动密钥生成器
zi
xi
yi……滚动密钥生器ziyixi
同步序列密码
一次一密密码是加法序列密码的原型。事实上,如 果密钥使用滚动密钥流,则加法序列密码就退化成 一次一密密码。
实际使用中,密码设计者的最大愿望是设计出的滚 动密钥生成器,使得密钥经其扩展成的密钥流序列 具有如下性质:极大的周期、良好的统计特性、抗 线性分析、抗统计分析
基本概念
分组密码与序列密码的区别在于有无记忆性 序列密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指
定的初态σ0完全确定。此后,由于输入加密器的明文 可能影响加密器中内部记忆元件的存储状态,因而 σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1等参数。
同步序列密码
根据加密器中记忆元件的存储状态σi是否依赖 于输入的明(或密)文字符,序列密码可进一 步分成同步和自同步两种。
和σi产生的函数。
9
基本概念
序列密码将明文消息 M连续地分成字符
bit,并用密钥流来 加密每个字符bit
基本上,序列密码体
制只使用混乱技术,
而不使用散布技术。 这使得这种体制没有
错误扩散
基本情况
序列密码有广泛的理论基础,对于其各种设计原则已经 进行了详尽的分析。然而在公开的文献中详尽的序列密 码系统却相对较少 造成这种状况的部分原因是,在实际中使用的大部分序 列密码归私人所有或需要保密。相比之下,大量的分组 密码建议已经出版,其中的一些已经被标准化或公开
却希望它的输出(密钥序列k)对不知情的人来 说象是随机的。 到底该从哪些角度把握随机性等,才使所设计出 来的KG能够具有我们需要的安全程度?
第7讲 序列密码体制
2014-2-13 6
事实上,序列密码算法其安全性依赖于简单的异或运算和密钥 序列。密钥流发生器生成的看似随机的密钥流实际上是确定的,在 解密的时候能很好的将其再现。密钥流发生器输出的密钥越接近随 机,对密码分析者来说就越困难。 如果密钥流发生器每次都生成同样的密钥流的话,对攻击来说, 破译该算法就容易了。
2014-2-13
11
2.同步序列密码
密钥流 生产器
密 钥 流 Ki 明文流mi
密钥k(基于安全通道传递
密钥流 生产器
密 钥 流 Ki
加密算法E
密文流ci
解密算法D
明文流mi
同步序列密码模型
同步流密码SSC(Synchronous Stream Cipher): 内部状态 i 与明文消息无关,密钥流将独立于明文。因此, 对于明文而言,这类加密变换是无记忆的,但它是时变的;只有 保 持 两 端 精 确 同 步 才 能 正 常 工 作 ; 无 差 错 传 播 ( Error Propagation)。
目前,最为流行和实用的密钥流产生器大多基于线性反馈移位 寄存器。如下图所示,其驱动部分是一个或多个线性反馈移位寄存
器。
LFSR ……… F LFSR1 LFSR2 LFSRn …… F
zi
zi
2014-2-13
15
预备知识:
布 尔 函 数
一般地,我们把n元布尔函数定义为如下映射:
f : F2n F2
张仕斌 万武南 张金全 孙宣东编著
西安电子科技大学出版社 二00九年十二月
2014-2-13 1
第4章 序列密码体制
2014-2-13
2
知识点:
◇ 序列密码的概念 ◇ 线性反馈移位寄存器 ◇ 序列和周期
事实上,序列密码算法其安全性依赖于简单的异或运算和密钥 序列。密钥流发生器生成的看似随机的密钥流实际上是确定的,在 解密的时候能很好的将其再现。密钥流发生器输出的密钥越接近随 机,对密码分析者来说就越困难。 如果密钥流发生器每次都生成同样的密钥流的话,对攻击来说, 破译该算法就容易了。
2014-2-13
11
2.同步序列密码
密钥流 生产器
密 钥 流 Ki 明文流mi
密钥k(基于安全通道传递
密钥流 生产器
密 钥 流 Ki
加密算法E
密文流ci
解密算法D
明文流mi
同步序列密码模型
同步流密码SSC(Synchronous Stream Cipher): 内部状态 i 与明文消息无关,密钥流将独立于明文。因此, 对于明文而言,这类加密变换是无记忆的,但它是时变的;只有 保 持 两 端 精 确 同 步 才 能 正 常 工 作 ; 无 差 错 传 播 ( Error Propagation)。
目前,最为流行和实用的密钥流产生器大多基于线性反馈移位 寄存器。如下图所示,其驱动部分是一个或多个线性反馈移位寄存
器。
LFSR ……… F LFSR1 LFSR2 LFSRn …… F
zi
zi
2014-2-13
15
预备知识:
布 尔 函 数
一般地,我们把n元布尔函数定义为如下映射:
f : F2n F2
张仕斌 万武南 张金全 孙宣东编著
西安电子科技大学出版社 二00九年十二月
2014-2-13 1
第4章 序列密码体制
2014-2-13
2
知识点:
◇ 序列密码的概念 ◇ 线性反馈移位寄存器 ◇ 序列和周期
密码学3 序列密码
2019/1/25
35
随机性公设说明:
1)说明:序列中0、1出现的概率基本相同 2)说明:0、1在序列中每一位置上出现 的概率相同; 3)说明通过对序列与其平移后的序列作比 较,不能给出其它任何信息。
2019/1/25 36
从密码系统的角度看,一个伪随机序列还 应满足下面的条件: ① {ai}的周期相当大。 ② {ai}的确定在计算上是容易的。 ③ 由密文及相应的明文的部分信息,不能 确定整个{ai}。
2019/1/25 31
该移存器的周期是最长周期。 称能产生m序列的移存器为本原移存器,该 移存器对应的反馈多项式为本原多项式。 本原多项式所产生的序列是最长周期序列, 即 2n-1 ,称为m序列。
m序列在密码学中有广泛的应用。
2019/1/25 32
2、m序列特性
(一)基本定义
定义1:游程 若干个信号连续出现的现象称游程。
2019/1/25
37
(三)m序列的特性
性质1:“0、1”信号频次
r级m序列的一个周期中,1出现 2 r 1 r 1 2 1 个。 0出现
本原多项式
f ( x) x 4 x 1
个,
序列的一个周期:011110101100100
2019/1/25 38
性质2:在r级m序列的一个周期中,没有大于r的游程
2019/1/25
1
2. 单表代换密码 凯撒密码
c E3 (m) m 3(mod26),0 m 25 m D3 (c) c 3(mod26),0 c 25
移位变换
c Ek (m) m k (mod26),0 m, k 25 m Dk (c) c k (mod26),0 c, k 25
现代密码学第5章:序列密码
24
密钥流生成器的分解
k
k
驱动子 系统
非线性 组合子 系统
zi
25
常见的两种密钥流产生器
目前最为流行和实用的密钥流产生器如 图所示,其驱动部分是一个或多个线性反馈 移位寄存器。
LFSR
………
LFSR1
LFSR2 ……
F
zi
F
zi
LFSRn
26
KG的一般结构
通常,人们总是把KG设计得具有一定 的结构特点,从而可以分析和论证其强度, 以增加使用者的置信度。一般有以下模式:
23
同步序列密码密钥流产生器
由于具有非线性的υ的有限状态自动机理 论很不完善,相应的密钥流产生器的分析工 作受到极大的限制。相反地,当采用线性的 φ和非线性的ψ时,将能够进行深入的分析 并可以得到好的生成器。为方便讨论,可将 这类生成器分成驱动部分和非线性组合部分 (如下图)。 驱动部分控制生成器的状态转移,并为 非线性组合部分提供统计性能好的序列;而 非线性组合部分要利用这些序列组合出满足 要求的密钥流序列。
6
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
18
密钥序列生成器(KG)基本要求
人们就目前的想象和预见,对KG提出 了以下基本要求: 种子密钥k的变化量足够大,一般应 在2128以上; KG产生的密钥序列k具极大周期,一 般应不小于255; k具有均匀的n-元分布,即在一个周 期环上,某特定形式的n-长bit串与其求反, 两者出现的频数大抵相当(例如,均匀的游 程分布);
密钥流生成器的分解
k
k
驱动子 系统
非线性 组合子 系统
zi
25
常见的两种密钥流产生器
目前最为流行和实用的密钥流产生器如 图所示,其驱动部分是一个或多个线性反馈 移位寄存器。
LFSR
………
LFSR1
LFSR2 ……
F
zi
F
zi
LFSRn
26
KG的一般结构
通常,人们总是把KG设计得具有一定 的结构特点,从而可以分析和论证其强度, 以增加使用者的置信度。一般有以下模式:
23
同步序列密码密钥流产生器
由于具有非线性的υ的有限状态自动机理 论很不完善,相应的密钥流产生器的分析工 作受到极大的限制。相反地,当采用线性的 φ和非线性的ψ时,将能够进行深入的分析 并可以得到好的生成器。为方便讨论,可将 这类生成器分成驱动部分和非线性组合部分 (如下图)。 驱动部分控制生成器的状态转移,并为 非线性组合部分提供统计性能好的序列;而 非线性组合部分要利用这些序列组合出满足 要求的密钥流序列。
6
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
18
密钥序列生成器(KG)基本要求
人们就目前的想象和预见,对KG提出 了以下基本要求: 种子密钥k的变化量足够大,一般应 在2128以上; KG产生的密钥序列k具极大周期,一 般应不小于255; k具有均匀的n-元分布,即在一个周 期环上,某特定形式的n-长bit串与其求反, 两者出现的频数大抵相当(例如,均匀的游 程分布);
序列密码
+ 容易验证该线性反馈移位寄存器的输出序列为 1001101001000010101110110001111100110…, 这个线性移位寄存器序列是一个周期序列,周期为31。
四川大学电子信息学院 24
3 线性反馈移位寄存器的一元多项式表示
设一个GF(2)上的n阶线性移位寄存器的反馈函数为: f(x1,x2,… , xn)=-cnx1-cn-1x2-…-c1xn, 其中ci∈GF(2), 1≤i≤n。 该线性移位寄存器的输出序列a0a1a2…满足递推关系式 an+t=-c1an+t-1-c2an+t-2-…-cnat,t≥0, 即 an+t+c1an+t-1+c2an+t-2+…+cnat=0,t≥0。
0
a0 1
S1=(1, 1, 0)
四川大学电子信息学院
21
在第二个时钟到来时
第3级 第2级 第1级 输出
1 1 f(x1,x2,x3)=x1x2⊕x3 x1=1, x2=1, x3=0
1
a0 0
S2=(1, 1, 1)
则其输出序列和状态序列如下 状态序列: (1,0,1) (1,1,0) (1,1,1) (0,1,1) (1,0,1) (1,1,0) …. 输出序列: 1 0 1 1 1 0 …. 由上面的结果可以看出,这个反馈移位寄存器的状态序 列和输出序列都是周期序列,其周期为4。
序列密码基础
唐
龙
四川大学电子信息学院
1
主要内容
• 序列密码的概述 • 伪随机序列的常规特性 • 序列密码的分类 • 有限域上的线性反馈移存器(LFSR)
• RC4
四川大学电子信息学院
2
1、序列密码的概述 、
1.1 序列密码定义
• 香农的保密理论提出:一次一密是理论完全保密的密码体 香农的保密理论提出: 但是必须满足随机的密钥序列必须满足与明文等长。 制,但是必须满足随机的密钥序列必须满足与明文等长。 • 设想使用少量的真随机数按一定的固定规则生成“伪随机” 设想使用少量的真随机数按一定的固定规则生成“伪随机” 的密钥序列,代替真正的随机序列。这就产生了序列密码。 的密钥序列,代替真正的随机序列。这就产生了序列密码。 序列密码关键就是如何设计伪随机序列。 序列密码关键就是如何设计伪随机序列。 • 少量的真随机数,就是序列密码的密钥,也有人称为种子 少量的真随机数,就是序列密码的密钥, 密钥。 密钥。 • 序列密码的安全性基础在于如何刻画密钥序列“随机性” 序列密码的安全性基础在于如何刻画密钥序列“随机性”, 如何保障密钥序列的“随机性” 如何保障密钥序列的“随机性”不会造成加密算法在实际 中被攻破。 中被攻破。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
图 2-11 三级线性反馈移位寄存器示例 根据联接多项式可知,该 LFSR 的反馈函数为 f (a1, a2, a3) = a1 ⊕ a3 。假 设初始状态为(a1, a2, a3)=(1,1,1),其状态转移图为:
图 2-12 三级 LFSR 的状态转移图 在状态转移图中,从初始状态开始,沿着箭头所指示的路径依次取出 最左边的分量便得到该 LFSR 的输出序列:1110100 1110100 ……,周期为 7(=23-1)。3 级移位寄存器的所有可能状态数为 23=8(含状态(0,0,0)),而本例 中从初始状态(1,1,1)开始可以得到所有非(0,0,0)的状态。
例. 如图为一个 4 级 LFSR,其联接多项式为 x4 + x3 + x2 + x + 1
图 2-13 四级 LFSR 1. 如取初始状态为(a1, a2, a3, a4)=(1,1,1,1),其状态转移图为:
图 2-14 初始状态转移图一 对应的输出序列为 11110 11110……,周期为 5。 2. 如取初始状态为(a1, a2, a3, a4)=(0,0,0,1),其状态转移图为:
2.3.1 反馈移位寄存器
如图 2-7 所示为一个反馈移位寄存器的流程图,信号从左到右。ai 表示 存储单元,取值为 0 或 1,ai 的个数 n 称为反馈移位寄存器的级。在某一时 刻,这些级的内容构成该反馈移位寄存器的一个状态,共有个 2n 个可能的 状态,每一个状态对应于与 F2 上的一个 n 维向量,用(a1, a2,…,an)表示。函 数 f 是一个 n 元布尔函数,称之为反馈函数。
图 2-8 线性反馈移位寄存器 显然,根据 LFSR 中反馈函数的系数 ci (i = 1,..., n) 取值的不同,这样的 反馈函数有 2n 种。令 ai (t) 表示 t 时刻第 i 级寄存器的内容,则第 t+1 时刻寄 存器的内容为:
ai (t + 1) = ai+1(t), i = 1,2,..., n −1 an (t + 1) = cna1(t) ⊕ cn−1a2 (t) ⊕ ... ⊕ c1an (t) 通常称多项式 cn xn + cn−1xn−1 + ... + c1x + 1 为上述 LFSR 的联接多项式。 显然 LFSR 的联接多项式与它的反馈函数是一一对应的:如果知道了 LFSR 的联接多项式,便立即可以求得该移位寄存器的反馈函数,反之亦然。
2.1 概述 (2 级标题)
第 2 章 序列密码
按照对明文消息加密方式的不同,对称密码体制一般可以分为两类:分 组密码(block cipher)和流密码(stream cipher)
z 分组密码:对于某一消息 m,使用分组密码对其执行加密操作 时一般是先对 m 进行填充得到一个长度是固定分组长度 s 的 整数倍的明文串 M;然后将 M 划分成一个个长度为 s 的分组; 最后对每个分组使用同一个密钥执行加密变换。
序列密码以其易于实现、加解密快速、无错误传播、应用协议简单等优 点,在政府、军事、外交等重要部门的保密通信以及各种移动通信系统中被 广泛使用。
本章重点
♦ 一次一密加密体制; ♦ 线性反馈移位寄存器; ♦ 基于线性反馈移位寄存器的伪随机序列生成器; ♦ 伪随机序列的安全性; ♦ m 序列; ♦ RC4、A5 算法。
2.2 流密码的结构
流密码可以进一步划分成同步流密码和自同步流密码两类。
2.2.1 同步流密码
在同步流密码中,密钥流的产生与明文消息流相互独立。同步流密码的 加密过程形如:
图 2-4 同步流密码加密结构 由于密钥流与明文串无关,所以同步流密码中的每个密文 ci 不依赖于 之前的明文 mi-1,……,m1。从而,同步流密码的一个重要优点就是无错误 传播:在传输期间一个密文字符被改变只影响该符号的恢复,不会对后继的 符号产生影响。 但是,在同步流密码中发送方和接收方必须是同步的,用同样的密钥且 该密钥操作在同样的位置时才能保证正确解密。如果在传输过程中密文字符 有插入或删除导致同步丢失,密文与密钥流将不能对齐,导致无法正确解密。 要正确还原明文,密钥流必须再次同步。 与同步流密码相反,自同步流密码有错误传播现象,但可以自行实现同 步。
序列密码
内容提要(或本章引言)
使用流密码对某一消息 m 执行加密操作时一般是先将 m 分成连续的符 号(一般为比特串),m=m1m2m3……;然后使用密钥流 k=k1k2k3……中的第 i 个元素 ki 对明文消息的第 i 个元素 mi 执行加密变换,i=1,2,3,……;所有的 加密输出连接在一起就构成了对 m 执行加密后的密文。
第 2 章 序列密码
而明文流)参与了密钥流的生成,使得密钥流的理论分析复杂化,目前的流 密码研究结果大部分都是关于同步流密码的,因为这些流密码的密钥流的生 成独立于消息流,从而使它们的理论分析成为可能。
2.3 线性反馈移位寄存器
如前所述,序列密码的安全强度取决于密钥流生成器生成的密钥流的安 全性(周期、游程分布、线性复杂度等,详见 2.4 节)。有多种产生同步密钥 流生成器的方法,最普遍的是使用一种称为线性反馈移位寄存器(linear feedback shift register, LFSR)的设备。采用 LFSR 作为基本部件的主要 原因是:LFSR 的结构非常适合硬件实现;LFSR 的结构便于使用代数方法进 行理论分析;产生的序列的周期可以很大;产生的序列具有良好的统计特性。
2.3.3 LFSR 示例
例. 如图所示为一 4 级线性反馈移位寄存器,状态转移关系为: ai (t + 1) = ai+1(t), i = 1,2,3 a4 (t + 1) = a1(t) ⊕ a4 (t)
第 2 章 序列密码
图 2-9 四级线性反馈移位寄存器示例 假设初始状态为(a1, a2, a3,a4)=(0,1,1,0),则可根据反馈函数计算出该线 性反馈移位寄存器在各时刻的所有状态,如表所示。
t
a4
a34
a3
a2
a1
0
0
1
1
0
1
0
0
1
1
2
1
0
0
1
3
0
1
0
0
4
0
0
1
0
5
0
0
0
1
6
1
0
0
0
7
1
1
0
0
8
1
1
1
0
9
1
1
1
1
10
0
1
1
1
11
1
0
1
1
12
0
1
0
1
13
1
0
1
0
14
1
1
0
1
15
0
1
1
0
由计算过程可见,在 t=15 时刻该寄存器的状态恢复至 t=0 时刻的状态,
因此之后的状态将开始重复。这个移位寄存器输出的序列就是
图 2-1 简单的流密码加密结构 对应的解密运算即为:
第 2 章 序列密码
图 2-2 简单的流密码解密结构 由于实现 XOR 逻辑运算非常简单,因此这样的加解密操作将是快速有效的。 如果这里的密钥流是完全随机的(random)、与明文相同长度的比特串,对应 的密码被称为一次一密体制(one-time pad)。显然,此时明文串与密文串之间 就是相互独立的。不知道密钥的攻击者即便守候在公开信道上从而得到密文 串,他也无法获得关于明文的任何信息。事实上,Shannon 曾证明了“一次 一密的密码体制是不可破解的(unbreakable)”。
与分组密码相比,序列密码受政治的影响很大,目前应用领域主要还是 在军事、外交等部门。虽然也有公开设计和研究成果发表,但作为密码学的 一个分支,流密码的大多设计与分析成果还是保密的。目前可以公开见到、 较有影响的流密码方案包括 A5、SEAL、RC4、PIKE 等。
本章主要讨论流密码加密体制,关于分组密码的知识将在下一章给出。 容易想到,使用流密码对消息 m 执行加密时,最简单的做法就是让密钥流 中的第 i 个比特与明文串中的对应比特直接做 XOR 运算,即
2.2.2 自同步流密码
第 2 章 序列密码
在自同步流密码中,密钥流的产生与之前已经产生的若干密文有关,其 加密过程形如:
图 2-5 自同步序列密码加密结构 其中密钥流 ki 的生成过程形如:
图 2-6 同步流密码的密钥流生成 用函数表示为:
σ i+1 = F (σ i , ci−1,..., ci−k ) zi = G(σ i , k) ci = E(zi , mi ) 其中, σ i 是密钥流生成器的内部状态(初始状态记作 σ 0 ); F 是状态转移函 数;G 是生成密钥流的函数;E 是自同步流密码的加密变换,它是 zi 与 mi 的 函数。 由此可见,如果自同步流密码中某一符号出现传输错误,则将影响到它 之后 k 个符号的解密运算,亦即,自同步流密码有错误传播现象。等到该错 误移出寄存器后寄存器才能恢复同步,因而一个错误至多影响 k 个符号。在 k 个密文字符之后,这种影响将消除,密钥流自行实现同步。由于密文流(从
011001000111101 011001000111101 ……,序列的周期为 15,也称该移位寄 存器的周期为 15(=24-1)。
为了从直观上描述这一 LFSR 的状态转移情况,可以使用一些方框以
及联接这些方框的箭头组成的图形,即为状态转移图。
第 2 章 序列密码
图 2-10 状态转移图 例. 如图所示是一个联接多项式为 x3 + x + 1 的线性反馈移位寄存器。
z 流密码(也称序列密码):使用流密码对某一消息 m 执行加密操 作时一般是先将 m 分成连续的符号(一般为比特串), m=m1m2m3……;然后使用密钥流 k=k1k2k3……中的第 i 个元素 ki 对明文消息的第 i 个元素 mi 执行加密变换,i=1,2,3,……;所 有的加密输出连接在一起就构成了对 m 执行加密后的密文。
图 2-12 三级 LFSR 的状态转移图 在状态转移图中,从初始状态开始,沿着箭头所指示的路径依次取出 最左边的分量便得到该 LFSR 的输出序列:1110100 1110100 ……,周期为 7(=23-1)。3 级移位寄存器的所有可能状态数为 23=8(含状态(0,0,0)),而本例 中从初始状态(1,1,1)开始可以得到所有非(0,0,0)的状态。
例. 如图为一个 4 级 LFSR,其联接多项式为 x4 + x3 + x2 + x + 1
图 2-13 四级 LFSR 1. 如取初始状态为(a1, a2, a3, a4)=(1,1,1,1),其状态转移图为:
图 2-14 初始状态转移图一 对应的输出序列为 11110 11110……,周期为 5。 2. 如取初始状态为(a1, a2, a3, a4)=(0,0,0,1),其状态转移图为:
2.3.1 反馈移位寄存器
如图 2-7 所示为一个反馈移位寄存器的流程图,信号从左到右。ai 表示 存储单元,取值为 0 或 1,ai 的个数 n 称为反馈移位寄存器的级。在某一时 刻,这些级的内容构成该反馈移位寄存器的一个状态,共有个 2n 个可能的 状态,每一个状态对应于与 F2 上的一个 n 维向量,用(a1, a2,…,an)表示。函 数 f 是一个 n 元布尔函数,称之为反馈函数。
图 2-8 线性反馈移位寄存器 显然,根据 LFSR 中反馈函数的系数 ci (i = 1,..., n) 取值的不同,这样的 反馈函数有 2n 种。令 ai (t) 表示 t 时刻第 i 级寄存器的内容,则第 t+1 时刻寄 存器的内容为:
ai (t + 1) = ai+1(t), i = 1,2,..., n −1 an (t + 1) = cna1(t) ⊕ cn−1a2 (t) ⊕ ... ⊕ c1an (t) 通常称多项式 cn xn + cn−1xn−1 + ... + c1x + 1 为上述 LFSR 的联接多项式。 显然 LFSR 的联接多项式与它的反馈函数是一一对应的:如果知道了 LFSR 的联接多项式,便立即可以求得该移位寄存器的反馈函数,反之亦然。
2.1 概述 (2 级标题)
第 2 章 序列密码
按照对明文消息加密方式的不同,对称密码体制一般可以分为两类:分 组密码(block cipher)和流密码(stream cipher)
z 分组密码:对于某一消息 m,使用分组密码对其执行加密操作 时一般是先对 m 进行填充得到一个长度是固定分组长度 s 的 整数倍的明文串 M;然后将 M 划分成一个个长度为 s 的分组; 最后对每个分组使用同一个密钥执行加密变换。
序列密码以其易于实现、加解密快速、无错误传播、应用协议简单等优 点,在政府、军事、外交等重要部门的保密通信以及各种移动通信系统中被 广泛使用。
本章重点
♦ 一次一密加密体制; ♦ 线性反馈移位寄存器; ♦ 基于线性反馈移位寄存器的伪随机序列生成器; ♦ 伪随机序列的安全性; ♦ m 序列; ♦ RC4、A5 算法。
2.2 流密码的结构
流密码可以进一步划分成同步流密码和自同步流密码两类。
2.2.1 同步流密码
在同步流密码中,密钥流的产生与明文消息流相互独立。同步流密码的 加密过程形如:
图 2-4 同步流密码加密结构 由于密钥流与明文串无关,所以同步流密码中的每个密文 ci 不依赖于 之前的明文 mi-1,……,m1。从而,同步流密码的一个重要优点就是无错误 传播:在传输期间一个密文字符被改变只影响该符号的恢复,不会对后继的 符号产生影响。 但是,在同步流密码中发送方和接收方必须是同步的,用同样的密钥且 该密钥操作在同样的位置时才能保证正确解密。如果在传输过程中密文字符 有插入或删除导致同步丢失,密文与密钥流将不能对齐,导致无法正确解密。 要正确还原明文,密钥流必须再次同步。 与同步流密码相反,自同步流密码有错误传播现象,但可以自行实现同 步。
序列密码
内容提要(或本章引言)
使用流密码对某一消息 m 执行加密操作时一般是先将 m 分成连续的符 号(一般为比特串),m=m1m2m3……;然后使用密钥流 k=k1k2k3……中的第 i 个元素 ki 对明文消息的第 i 个元素 mi 执行加密变换,i=1,2,3,……;所有的 加密输出连接在一起就构成了对 m 执行加密后的密文。
第 2 章 序列密码
而明文流)参与了密钥流的生成,使得密钥流的理论分析复杂化,目前的流 密码研究结果大部分都是关于同步流密码的,因为这些流密码的密钥流的生 成独立于消息流,从而使它们的理论分析成为可能。
2.3 线性反馈移位寄存器
如前所述,序列密码的安全强度取决于密钥流生成器生成的密钥流的安 全性(周期、游程分布、线性复杂度等,详见 2.4 节)。有多种产生同步密钥 流生成器的方法,最普遍的是使用一种称为线性反馈移位寄存器(linear feedback shift register, LFSR)的设备。采用 LFSR 作为基本部件的主要 原因是:LFSR 的结构非常适合硬件实现;LFSR 的结构便于使用代数方法进 行理论分析;产生的序列的周期可以很大;产生的序列具有良好的统计特性。
2.3.3 LFSR 示例
例. 如图所示为一 4 级线性反馈移位寄存器,状态转移关系为: ai (t + 1) = ai+1(t), i = 1,2,3 a4 (t + 1) = a1(t) ⊕ a4 (t)
第 2 章 序列密码
图 2-9 四级线性反馈移位寄存器示例 假设初始状态为(a1, a2, a3,a4)=(0,1,1,0),则可根据反馈函数计算出该线 性反馈移位寄存器在各时刻的所有状态,如表所示。
t
a4
a34
a3
a2
a1
0
0
1
1
0
1
0
0
1
1
2
1
0
0
1
3
0
1
0
0
4
0
0
1
0
5
0
0
0
1
6
1
0
0
0
7
1
1
0
0
8
1
1
1
0
9
1
1
1
1
10
0
1
1
1
11
1
0
1
1
12
0
1
0
1
13
1
0
1
0
14
1
1
0
1
15
0
1
1
0
由计算过程可见,在 t=15 时刻该寄存器的状态恢复至 t=0 时刻的状态,
因此之后的状态将开始重复。这个移位寄存器输出的序列就是
图 2-1 简单的流密码加密结构 对应的解密运算即为:
第 2 章 序列密码
图 2-2 简单的流密码解密结构 由于实现 XOR 逻辑运算非常简单,因此这样的加解密操作将是快速有效的。 如果这里的密钥流是完全随机的(random)、与明文相同长度的比特串,对应 的密码被称为一次一密体制(one-time pad)。显然,此时明文串与密文串之间 就是相互独立的。不知道密钥的攻击者即便守候在公开信道上从而得到密文 串,他也无法获得关于明文的任何信息。事实上,Shannon 曾证明了“一次 一密的密码体制是不可破解的(unbreakable)”。
与分组密码相比,序列密码受政治的影响很大,目前应用领域主要还是 在军事、外交等部门。虽然也有公开设计和研究成果发表,但作为密码学的 一个分支,流密码的大多设计与分析成果还是保密的。目前可以公开见到、 较有影响的流密码方案包括 A5、SEAL、RC4、PIKE 等。
本章主要讨论流密码加密体制,关于分组密码的知识将在下一章给出。 容易想到,使用流密码对消息 m 执行加密时,最简单的做法就是让密钥流 中的第 i 个比特与明文串中的对应比特直接做 XOR 运算,即
2.2.2 自同步流密码
第 2 章 序列密码
在自同步流密码中,密钥流的产生与之前已经产生的若干密文有关,其 加密过程形如:
图 2-5 自同步序列密码加密结构 其中密钥流 ki 的生成过程形如:
图 2-6 同步流密码的密钥流生成 用函数表示为:
σ i+1 = F (σ i , ci−1,..., ci−k ) zi = G(σ i , k) ci = E(zi , mi ) 其中, σ i 是密钥流生成器的内部状态(初始状态记作 σ 0 ); F 是状态转移函 数;G 是生成密钥流的函数;E 是自同步流密码的加密变换,它是 zi 与 mi 的 函数。 由此可见,如果自同步流密码中某一符号出现传输错误,则将影响到它 之后 k 个符号的解密运算,亦即,自同步流密码有错误传播现象。等到该错 误移出寄存器后寄存器才能恢复同步,因而一个错误至多影响 k 个符号。在 k 个密文字符之后,这种影响将消除,密钥流自行实现同步。由于密文流(从
011001000111101 011001000111101 ……,序列的周期为 15,也称该移位寄 存器的周期为 15(=24-1)。
为了从直观上描述这一 LFSR 的状态转移情况,可以使用一些方框以
及联接这些方框的箭头组成的图形,即为状态转移图。
第 2 章 序列密码
图 2-10 状态转移图 例. 如图所示是一个联接多项式为 x3 + x + 1 的线性反馈移位寄存器。
z 流密码(也称序列密码):使用流密码对某一消息 m 执行加密操 作时一般是先将 m 分成连续的符号(一般为比特串), m=m1m2m3……;然后使用密钥流 k=k1k2k3……中的第 i 个元素 ki 对明文消息的第 i 个元素 mi 执行加密变换,i=1,2,3,……;所 有的加密输出连接在一起就构成了对 m 执行加密后的密文。