8-序列密码
合集下载
分组密码和序列密码
分组密码和序列密码
分组密码和序列密码是两种常见的对称密码算法。
分组密码是将明文分成固定长度的组(通常为64位或128位),然后对每一组进行加密操作,最终得到密文。
其中最常见的分组密码算法是DES和AES。
序列密码是按照明文或密文的顺序逐个加密或解密。
序列密码算法没有固定的分组长度,而是
根据算法规定的步骤对每个字符或比特进行处理。
最常见的序列密码算法是RC4和Salsa20。
分组密码和序列密码的主要区别在于加密的方式。
分组密码将明文分组加密,而序列密码是逐
个字符或比特加密。
这导致了两者在速度和安全性方面的差异。
分组密码通常比序列密码更安全,因为每个分组的长度固定,使得密码算法能更好地控制和混
淆数据。
而序列密码由于处理的单位是逐个字符或比特,容易受到统计分析等攻击。
然而,序列密码在某些特定的应用场景下具有优势。
由于可以逐个加密或解密,序列密码通常
具有更高的效率,适用于数据流传输和实时加密等场景。
总的来说,分组密码和序列密码都有自己的适用范围和优势,选择哪种密码算法取决于具体的应用需求和安全要求。
序列密码算法和分组密码算法的不同
序列密码算法和分组密码算法的不同
序列密码算法和分组密码算法的主要区别在于加密的方式。
具体来说,它们的不同点如下:
1. 加密方式:
- 序列密码算法:序列密码算法是逐位或逐字符地对待加密数据进行处理,也就是说,它是按顺序对数据中的每个元素进行加密。
常见的序列密码算法有凯撒密码、仿射密码、Vigenère 密码等。
- 分组密码算法:分组密码算法将待加密的数据分成固定长度的数据块,然后对每个数据块进行加密处理。
常见的分组密码算法有DES、AES等。
2. 加密速度:
- 序列密码算法:因为序列密码算法是逐个处理数据的,所以每个字符或位都需要进行相应的加密操作,因此速度较慢。
- 分组密码算法:分组密码算法是按数据块进行加密的,对每个数据块进行加密操作的时间相对较短,速度较快。
3. 安全性:
- 序列密码算法:由于序列密码算法是逐个处理数据的,因此在一些情况下,可以通过分析其中特定的模式或规律来猜测出加密算法或破解出密钥,从而降低了安全性。
- 分组密码算法:分组密码算法通过将数据分组,并对每个数据块进行加密处理,使得攻击者很难通过分析直接猜测出加密算法或破解出密钥,提高了安全性。
4. 密钥管理:
- 序列密码算法:序列密码算法通常使用相对简单的密钥,密钥的管理相对容易。
- 分组密码算法:分组密码算法通常使用较长的密钥,密钥的管理相对复杂。
总体来说,分组密码算法在安全性和加密效率方面优于序列密码算法,因此在实际应用中更为常见和广泛使用。
03、对称密码体制
DES
数据加密标准(Data Encryption Standard,DES)是至 今为止使用 最为广泛的加密算法。
1974年8月27日, NBS开始第二次征集,IBM提交了算法LUCIFER ,该算法由IBM的工程师在1971~1972年研制。
1975年3月17日, NBS公开了全部细节1976年,NBS指派了两个
序列密码算法(stream cipher)
每次可加密一个比特戒一个字节 适合比如进程终端输入加密类的应用
对称密码体制
4
3.1 分组密码原理
分组密码
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划
分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制 下发换成等长的输出数字(简称密文数字)序列。
构,如FEAL、Blowfish、RC5等。
对称密码体制
9
3.1.2 分组密码的一般结构
Feistel密码结构的设计动机
分组密码对n比特的明文分组迚行操作,产生出一个n比特的密文分
组,共有2n个丌同的明文分组,每一种都必须产生一个唯一的密文 分组,这种发换称为可逆的戒非奇异的。 可逆映射 00 01 10 11 11 10 00 01 丌可逆映射 00 01 10 11 11 10 01 01
对称密码体制Biblioteka 193.2.1 简化的DES
简化的DES
简化的DES(Simplified - DES)是一个供教学而非安全的加密算法, 它不DES的特性和结构类似,但是参数较少。 S - DES的加密算法以8bit的明文分组和10位的密钥作为输入,产生 8bit的明文分组做为输出。 加密算法涉及五个凼数:
数据加密标准(Data Encryption Standard,DES)是至 今为止使用 最为广泛的加密算法。
1974年8月27日, NBS开始第二次征集,IBM提交了算法LUCIFER ,该算法由IBM的工程师在1971~1972年研制。
1975年3月17日, NBS公开了全部细节1976年,NBS指派了两个
序列密码算法(stream cipher)
每次可加密一个比特戒一个字节 适合比如进程终端输入加密类的应用
对称密码体制
4
3.1 分组密码原理
分组密码
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划
分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制 下发换成等长的输出数字(简称密文数字)序列。
构,如FEAL、Blowfish、RC5等。
对称密码体制
9
3.1.2 分组密码的一般结构
Feistel密码结构的设计动机
分组密码对n比特的明文分组迚行操作,产生出一个n比特的密文分
组,共有2n个丌同的明文分组,每一种都必须产生一个唯一的密文 分组,这种发换称为可逆的戒非奇异的。 可逆映射 00 01 10 11 11 10 00 01 丌可逆映射 00 01 10 11 11 10 01 01
对称密码体制Biblioteka 193.2.1 简化的DES
简化的DES
简化的DES(Simplified - DES)是一个供教学而非安全的加密算法, 它不DES的特性和结构类似,但是参数较少。 S - DES的加密算法以8bit的明文分组和10位的密钥作为输入,产生 8bit的明文分组做为输出。 加密算法涉及五个凼数:
序列密码非线性反馈移位寄存器
身份验证:非线性反馈移位寄存器可以用于生成动 态口令,用于身份验证和授权控制
PART.6
总结
总结
序列密码-非线性反馈移位 寄存器是一种高效、安全、 易于实现的密码学模块,广 泛应用于各种安全应用场景
在未来,随着对安全性和性 能需求的不断提高,非线性 反馈移位寄存器的研究和应 用将进一步深化和拓展
PART.4
非线性反馈移位寄存器的优 点
非线性反馈移位寄存器的优点
非线性反馈移位寄存器的优点包括
非线性反馈移位寄存器的优点
01
产生的密钥序列 具有较高的复杂 性和不可预测性: 因此具有较强的 安全性
02
非线性反馈移位 寄存器的设计可 以灵活地适应不 同的安全需求和 性能要求
03
非线性反馈移位 寄存器的实现简 单:易于大规模 生产
非线性反馈移位寄存器的未来研究方向
形式化验证和测试
形式化验证和测试是确保密码学模块安全性和正确性的重要手段。需要进一步研究和开发 更为高效、准确的形式化验证和测试方法,对非线性反馈移位寄存器进行更为严格的验证 和测试,以确保其安全性和正确性
PART.8
总结
总结
序列密码-非线性反 馈移位寄存器是一种 重要的密码学模块, 具有广泛的反馈移位寄存器的未来研究方向
随着互联网和物联网 技术的不断发展,需 要适应新的应用场景 ,研究和开发更为高 效、安全、灵活的非 线性反馈移位寄存器 ,以满足各种新的安 全需求
非线性反馈移位寄存器的未来研究方向
轻量级设计
随着移动设备和物联网设备的普及,需要研 究和设计更为轻量级的非线性反馈移位寄存 器,以降低功耗和成本,适应各种资源受限 的设备和应用场景
2
非线性反馈移位寄存器 (Nonlinear Feedback Shift Register,NFSR)是 用于生成序列密码的常见模
PART.6
总结
总结
序列密码-非线性反馈移位 寄存器是一种高效、安全、 易于实现的密码学模块,广 泛应用于各种安全应用场景
在未来,随着对安全性和性 能需求的不断提高,非线性 反馈移位寄存器的研究和应 用将进一步深化和拓展
PART.4
非线性反馈移位寄存器的优 点
非线性反馈移位寄存器的优点
非线性反馈移位寄存器的优点包括
非线性反馈移位寄存器的优点
01
产生的密钥序列 具有较高的复杂 性和不可预测性: 因此具有较强的 安全性
02
非线性反馈移位 寄存器的设计可 以灵活地适应不 同的安全需求和 性能要求
03
非线性反馈移位 寄存器的实现简 单:易于大规模 生产
非线性反馈移位寄存器的未来研究方向
形式化验证和测试
形式化验证和测试是确保密码学模块安全性和正确性的重要手段。需要进一步研究和开发 更为高效、准确的形式化验证和测试方法,对非线性反馈移位寄存器进行更为严格的验证 和测试,以确保其安全性和正确性
PART.8
总结
总结
序列密码-非线性反 馈移位寄存器是一种 重要的密码学模块, 具有广泛的反馈移位寄存器的未来研究方向
随着互联网和物联网 技术的不断发展,需 要适应新的应用场景 ,研究和开发更为高 效、安全、灵活的非 线性反馈移位寄存器 ,以满足各种新的安 全需求
非线性反馈移位寄存器的未来研究方向
轻量级设计
随着移动设备和物联网设备的普及,需要研 究和设计更为轻量级的非线性反馈移位寄存 器,以降低功耗和成本,适应各种资源受限 的设备和应用场景
2
非线性反馈移位寄存器 (Nonlinear Feedback Shift Register,NFSR)是 用于生成序列密码的常见模
密码学(范明钰)3.2-序列密码
yi=zi xi。
K
K
安全信道
……
滚动密钥生成器
zi
xi
yi……滚动密钥生器ziyixi
同步序列密码
一次一密密码是加法序列密码的原型。事实上,如 果密钥使用滚动密钥流,则加法序列密码就退化成 一次一密密码。
实际使用中,密码设计者的最大愿望是设计出的滚 动密钥生成器,使得密钥经其扩展成的密钥流序列 具有如下性质:极大的周期、良好的统计特性、抗 线性分析、抗统计分析
基本概念
分组密码与序列密码的区别在于有无记忆性 序列密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指
定的初态σ0完全确定。此后,由于输入加密器的明文 可能影响加密器中内部记忆元件的存储状态,因而 σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1等参数。
同步序列密码
根据加密器中记忆元件的存储状态σi是否依赖 于输入的明(或密)文字符,序列密码可进一 步分成同步和自同步两种。
和σi产生的函数。
9
基本概念
序列密码将明文消息 M连续地分成字符
bit,并用密钥流来 加密每个字符bit
基本上,序列密码体
制只使用混乱技术,
而不使用散布技术。 这使得这种体制没有
错误扩散
基本情况
序列密码有广泛的理论基础,对于其各种设计原则已经 进行了详尽的分析。然而在公开的文献中详尽的序列密 码系统却相对较少 造成这种状况的部分原因是,在实际中使用的大部分序 列密码归私人所有或需要保密。相比之下,大量的分组 密码建议已经出版,其中的一些已经被标准化或公开
却希望它的输出(密钥序列k)对不知情的人来 说象是随机的。 到底该从哪些角度把握随机性等,才使所设计出 来的KG能够具有我们需要的安全程度?
K
K
安全信道
……
滚动密钥生成器
zi
xi
yi……滚动密钥生器ziyixi
同步序列密码
一次一密密码是加法序列密码的原型。事实上,如 果密钥使用滚动密钥流,则加法序列密码就退化成 一次一密密码。
实际使用中,密码设计者的最大愿望是设计出的滚 动密钥生成器,使得密钥经其扩展成的密钥流序列 具有如下性质:极大的周期、良好的统计特性、抗 线性分析、抗统计分析
基本概念
分组密码与序列密码的区别在于有无记忆性 序列密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指
定的初态σ0完全确定。此后,由于输入加密器的明文 可能影响加密器中内部记忆元件的存储状态,因而 σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1等参数。
同步序列密码
根据加密器中记忆元件的存储状态σi是否依赖 于输入的明(或密)文字符,序列密码可进一 步分成同步和自同步两种。
和σi产生的函数。
9
基本概念
序列密码将明文消息 M连续地分成字符
bit,并用密钥流来 加密每个字符bit
基本上,序列密码体
制只使用混乱技术,
而不使用散布技术。 这使得这种体制没有
错误扩散
基本情况
序列密码有广泛的理论基础,对于其各种设计原则已经 进行了详尽的分析。然而在公开的文献中详尽的序列密 码系统却相对较少 造成这种状况的部分原因是,在实际中使用的大部分序 列密码归私人所有或需要保密。相比之下,大量的分组 密码建议已经出版,其中的一些已经被标准化或公开
却希望它的输出(密钥序列k)对不知情的人来 说象是随机的。 到底该从哪些角度把握随机性等,才使所设计出 来的KG能够具有我们需要的安全程度?
分组密码和序列密码的概念
分组密码和序列密码是两种不同的加密方法。
分组密码,也称为块加密,将明文消息编码表示后的数字序列划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字序列。
在加密过程中,利用密钥产生一个密钥流,然后利用此密钥流依次对明文进行加密。
如ECB、CBC、CFB、OFB等都是分组加密的算法模式。
序列密码,也称为流加密,利用少量的密钥(制乱元素)通过某种复杂的运算(密码算法)产生大量的伪随机位流,用于对明文位流的加密。
序列密码是以一个元素作为基本的处理单元,具有转换速度快、低错误传播的优点,硬件实现电路更简单。
其缺点是低扩散、插入及修改的不敏感性。
总之,分组密码和序列密码的主要区别在于处理方式、基本单元和优缺点。
典型密码算法
14
m1 m2…………m64
初始置换
Round1
K1
迭 代
: : :
16
圈
Round16
K16
逆初始置换
C1 C2……C64
DES加密框图
15
二 圈函数
DES算法的第 i(i=1,2, … ,15) 圈加密结构图
圈变换的数学描述如下: Li-1 (32位) Ri-1 (32位)
Li=Ri-1
F
Ri=Li-1 F(Ri-1, Ki)
8
5、典型的密码算法
序列密码:RC4、A5、E0; 分组密码:AES、DES、IDEA; 公钥密码:RSA、ECC; HASH函数:MD5、SHA-1;
9
DES分组密码算法
(Data Encipher Standard)
DES算法概述 圈函数 密钥生成算法
10
一、DES算法概述
DES算法是迭代型分组密码算法。 基本参数:
3 0 1 10 13 00 06 09 08 07 0 4 15 14 0 3 11 05 0 2 12
0 0 7 13 14 03 00 06 0 9 10 01 02 08 0 5 11 12 0 4 15
S4
1 2
13 0 8 11 05 0 6 15 00 03 04 07 0 2 12 0 1 10 14 09 10 06 09 0 0 12 11 0 7 13 15 01 0 3 14 05 02 08 04
b6
b1 b 2 b 3 b 4 b5 b6
行:b1 b6 =112=3
1100112
列:b2b3b4b5=10012=9
即: S6 (1100112)=11102
分组密码体制
5
两个基本设计方法
由于对称分组密码的缺点是不善于隐藏明文的 统计特性,因而对“统计分析”攻击方式的抵御能 力不强,故Shannon提出了两个抵抗“统计分析” 的方法:混淆和扩散。
◆混淆:目的是为了隐藏明文和密文之间的关系,增加密 钥和密文之间关系的复杂性。可以使用“代替”的方法 来实现。
◆扩散:目的是让密文没有统计特征,也就是将明文中的 统计信息散布到整个密文中,增加密文与明文之间关系 的复杂性,以挫败推测出密钥的尝试。可以使用“置换” 的方法来实现。
对于给定的64位的明文p,通过初始置换IP获得64位的 p320,位并记将为pR00分,为即左p0右=I两P(部p)=分L,0R前0。面IP32置位换记如为图L所0,示后。面
置换表中的数字1~64代表的仅仅是明文 分组中元素所处的位置,而非元素的值!
• 第四步:初始逆置换IP-1 应用初始逆置换IP-1对最后一轮迭代之后得到 的R16L16进行置换,得到密文C。
• 分组加密算法本质上体现了n位明文分组和n位密文分组的一一 映射。
• 分组大小n的选择
1“)统如计果分n较析一码小”般,,方的不则法,同得的对变到攻于换的击的n明。位总文分数空组为间的(和2对n密)!称,文分也空组就间密是有限,容易受到 2)如果n充说分,大密,钥则的由个于数得为到(的2n明)!个文。空间和密文空间足够大, 明文的统计特征将被掩盖,可以抵抗“统计分析”方法的攻击 ;但同时也将导致密钥数目的急剧增加和密钥空间的急剧增大 ,这会给密钥的分配、管理和存储带来很大的困难。
Feistel 密码结构
DES算法的整体结构 ——Feistel密码结构
• 每一轮的迭代算法 加密:对于每一轮 i=1,2,...,n,新 的左右部分根据如下规则重新
两个基本设计方法
由于对称分组密码的缺点是不善于隐藏明文的 统计特性,因而对“统计分析”攻击方式的抵御能 力不强,故Shannon提出了两个抵抗“统计分析” 的方法:混淆和扩散。
◆混淆:目的是为了隐藏明文和密文之间的关系,增加密 钥和密文之间关系的复杂性。可以使用“代替”的方法 来实现。
◆扩散:目的是让密文没有统计特征,也就是将明文中的 统计信息散布到整个密文中,增加密文与明文之间关系 的复杂性,以挫败推测出密钥的尝试。可以使用“置换” 的方法来实现。
对于给定的64位的明文p,通过初始置换IP获得64位的 p320,位并记将为pR00分,为即左p0右=I两P(部p)=分L,0R前0。面IP32置位换记如为图L所0,示后。面
置换表中的数字1~64代表的仅仅是明文 分组中元素所处的位置,而非元素的值!
• 第四步:初始逆置换IP-1 应用初始逆置换IP-1对最后一轮迭代之后得到 的R16L16进行置换,得到密文C。
• 分组加密算法本质上体现了n位明文分组和n位密文分组的一一 映射。
• 分组大小n的选择
1“)统如计果分n较析一码小”般,,方的不则法,同得的对变到攻于换的击的n明。位总文分数空组为间的(和2对n密)!称,文分也空组就间密是有限,容易受到 2)如果n充说分,大密,钥则的由个于数得为到(的2n明)!个文。空间和密文空间足够大, 明文的统计特征将被掩盖,可以抵抗“统计分析”方法的攻击 ;但同时也将导致密钥数目的急剧增加和密钥空间的急剧增大 ,这会给密钥的分配、管理和存储带来很大的困难。
Feistel 密码结构
DES算法的整体结构 ——Feistel密码结构
• 每一轮的迭代算法 加密:对于每一轮 i=1,2,...,n,新 的左右部分根据如下规则重新
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
极大的周期 良好的统计特性 抗线性分析 抗统计分析。
15
基于移位寄存器的流密码算法
rn rn-1 … r2 r1 bn bn-1 … b2 b1
bn bn-1 … b2
挪威政府的首席密码学家Ernst Selmer 于1965年提出了移位寄存 器理论,它是序列密码中研究随机密钥流的主要数学工具.
移位寄存器是指有n个寄存器(称为n-级移位寄存器)r1,r2,…,rn从 右到左排列,每个寄存器中能存放1位二进制数,所有寄存器中的数可以 统一向右(或向左)移动1位,称为进动1拍. 即r1的值(b1)右移1位后输出, 然后r2的值(b2)送r1 , r3的值(b3)送r2,……最后, rn的值(bn)送rn-1.
下图是一个5级线性反馈移位寄存器,其初始状 态为(a1,a2,a3,a4,a5)=(1,0,0,1,1),可求出输出序列 为1001101001000010101110110001111100110…,周 期为31。
29
序列的周期性
当一个无限序列{si}是由一个有限序列重复而成 时,这个序列是有周期的。即存在一个正整数r, 使得对所有的正整数k,有:sk+r= sk。
序列密码
1
主要内容
• 流密码(序列密码)起源 • 流密码的分类 • 线性反馈寄存器 • RC4密码算法
2
流密码的思想起源
种子密钥
密钥流生成器
k12
c12
明文
m12
加密过程
3
流密码的思想起源
种子密钥
密钥流生成器
k12
m12
密文
c12
解密过程
4
流密码的思想起源
• 设明文为m=m1m2… mi∈GF(2), i>0
19
基于移位寄存器的流密码算法
线性反馈移位寄存器LFSR(linear feedback shift register)的反馈函数为线性函数
作为密钥流的序列{ai}的周期一定要大 否则密钥流的空间太小,利用穷举搜索可以
得到密钥流{ai}
n级LFSR输出的序列的周期r不依赖于寄存器的 初始值,而依赖于特征多项式p(x)
20
基于移位寄存器的流密码算法
定义 设n级LFSR的输出序列{ai}满足递推关系
f (a1, a2 , an ) cna1 cn1a2 c1an
ank cnank1 c a n1 nk2
bn
… bn1
b2
c1ak (k 1).
输出序列
b1
c1
c2
缺点:一旦接收端和发送端的种子密钥和内部状态不同步,解密 就会失败,两者必须立即借助外界手段重新建立同步。
10
流密码技术的发展及分类
k
k
密钥流 生成器
密钥流 生成器
zi
E(zi,mi) mi
ci
信道
ci
zi E(zi,mi)
mi
自同步流密码SSSC(Self-Synchronous Stream Cipher)
例: 5级线性反馈移位寄存器产生的密钥序列 加密得到的明文串为011001111111001,对应的密 文串为101101011110011。求该LFSR的反馈函数。
解:由明密文得相应的密钥序列为 110100100001010;
利用前10个密钥序列比特建立如下方程:
37
基于移位寄存器的流密码算法
也可以说无限序列{si}具有如下结构: s0s1s2…sr-1s0s1s2…sr-1s0s1s2…
所以具有此性质的最小正整数r,称为这个序列的 周期。s0s1…sr-1称为这个周期序列的生成序列。
若序列{si}中除了开始几项外,以后的剩余部 分是周期序列,则此序列称为准周期序列。
30
基于移位寄存器的流密码算法
n级LFSR输出的序列的最大周期是2n 1 为什么?
LFSR的寄存器状态遍历2n 1个非零状态 初始状态为全零,则输出序列为0的循环
定义 当LFSR的寄存器状态遍历2n 1个非零状 态时,序列的周期达到最大2n 1,这种序列被称为 m序列。
31
基于移位寄存器的流密码算法
定义 若n次不可约多项式p(x)的阶为2n-1,则称 p(x)为n次本原多项式。
的优点是即使接收端和发送端不同步,只要接收端能连 续地正确地接受到n个密文符号,就能重新建立同步。因此 自同步流密码具有有限的差错传播 ,且分析较同步流密码的 分析困难得多
11
流密码技术的发展及分类
思考:假设j=n/4,n为分组长度 对于DES,n=64, j=16;对AES,n=128,j=32
p(x) 1 x x4
则其级联多项式对应的线性反馈寄存器图? 和反馈函数?
f (a1,a2,a3,a4 ) a1 a4
27
例题
已知一个5级的LFSR的联结多项式为: p(x) 1 x2 x5
则其级联多项式对应的线性反馈寄存器图?
a5
a4
a3
a2
输出序列
a1
28
LFSR举例
18
反馈移位寄存器
例4-1:左图是一个3级 反馈移位寄存器,其初始状
态为(a1,a2,a3)=(1,0,1),输
出可由右表求出。
即输出序列为 101110111011…,周期为4。
a3 a2 a1 101 11 0 1 11 011
1 01 1 10 1 11 …….
输出 1 0 1 1 1 0 1 …..
定理 {ai}是周期为2n 1的m-序列的充要条件是 其特征多项式f(x)为n阶本原多项式
32
基于移位寄存器的流密码算法
定义 设 p(x) 是GF(2) 上的多项式,使p(x)|(x p 1) 的最小的p称为 p(x) 的周期或者阶。
例: f (x) x4 x3 x2 x 1 为 GF(2) 上多项
密文对 M {m1, m2 ,, m2n},C {c1,c2,,c2n},则可确 定一段2n位长的密钥序列 K {k1, k2,, k2,n}由此可以 完全确定反馈多项式的系数。
35
基于移位寄存器的流密码算法
kn1 k1an k2an1 kna1
kn 2
k6 k1 k2 k3
k7 k2 k3 k4
k8
k3
k4
k5
kk19反0 馈 kk函54 数kk65 为kk76
输出序列
a5
a4
a3
a2
a1
反馈多项式?则其输出序列为?
f (a1, a2 , a3, a4 , a5 ) a1 a2 a4
24
LFSR的形式化表示
a5
a4
a3
a2
a1
输出序列
则其联结多项式为?
p(x) 1 c1x cn1xn1 cn xn c2 1, c4 1, c5 1 p(x) 1 x2 x4 x5
bn
… bn1
b2
输出序列
b1
c1
c2
cn1
cn
…
22
注意:
LFSR与联结多项式是一一对应的,如
果知道了线性反馈移位寄存器的结构, 可以写出它的联结多项式,同样可以根 据联结多项式画出移位寄存器的结构。
23
LFSR举例
下图为一个5级线性反馈移位寄存器,其初始状态为
(a1, a2 , a3 , a4 , a5 ) (1,1,0,1,0)
rn rn-1 … r2 r1 bn bn-1 … b2 b1
输出位oi
反馈函数 f
17
反馈移位寄存器
初始状态由用户确定,当第i个移位时钟脉冲到 来时,每一级存储器ai都将其内容向下一级ai-1传递, 并计算f(a1,a2,…,an)作为下一时刻的an。
反馈函数f(a1,a2,…,an)是n元布尔函数,即n 个变元a1,a2,…,an 可以独立地取0和1两个可能的值, 函数中的运算有逻辑与、逻辑或、逻辑补等运算, 最后的函数值也为0或1。
k2an
k3an 1
kn 1a1
k2n knan kn1an1 k2n1a1
n个线性方程包含n个未知数:a1,a2,...,an,所以
可惟一解出ai (i=0,1,…,n)
从而可确定该线性反馈移位寄存器接下来的状
态,也就能够得到余下的密钥序列。
36
基于移位寄存器的流密码算法
• 设密钥为k=k1k2…
ki∈GF(2), i>0
• 设密文为c=c1c2…
ci∈GF(2), i>0
• 则加密变换为ci= mi + ki (mod 2)
i>0
• 则解密变换为mi= ci&
流密码的思想起源
密钥流生成、存储和分
• 思想起源:20世纪发2困0难年代的Vernam体制, 即“一次一密”密码体制。香农利用信息 论证明“一次随机一序列密实计现算”机密无法码体制在理论上不 可破译
34
基于移位寄存器的流密码算法
1 若LFSR的反馈函数已知,破译者已知连续n 位明密文对{m1, m2,, mn}和{c1, c2 ,, cn} 则可以推导
出n比特密钥流 {k1, k2 ,, kn},ki mi ci 继而由反
馈函数得到整个密钥流{ki} 2 已知明文攻击下,假设破译者已知了2n位明
25
例题
一个3-级的反馈移位寄存器,反馈函数 f(x)=b1⊕b3,初态为100,输出序列?
状态 100 110 111 011 101 010 001 100
输出位 0 0
1 1 1 0 1 0
15
基于移位寄存器的流密码算法
rn rn-1 … r2 r1 bn bn-1 … b2 b1
bn bn-1 … b2
挪威政府的首席密码学家Ernst Selmer 于1965年提出了移位寄存 器理论,它是序列密码中研究随机密钥流的主要数学工具.
移位寄存器是指有n个寄存器(称为n-级移位寄存器)r1,r2,…,rn从 右到左排列,每个寄存器中能存放1位二进制数,所有寄存器中的数可以 统一向右(或向左)移动1位,称为进动1拍. 即r1的值(b1)右移1位后输出, 然后r2的值(b2)送r1 , r3的值(b3)送r2,……最后, rn的值(bn)送rn-1.
下图是一个5级线性反馈移位寄存器,其初始状 态为(a1,a2,a3,a4,a5)=(1,0,0,1,1),可求出输出序列 为1001101001000010101110110001111100110…,周 期为31。
29
序列的周期性
当一个无限序列{si}是由一个有限序列重复而成 时,这个序列是有周期的。即存在一个正整数r, 使得对所有的正整数k,有:sk+r= sk。
序列密码
1
主要内容
• 流密码(序列密码)起源 • 流密码的分类 • 线性反馈寄存器 • RC4密码算法
2
流密码的思想起源
种子密钥
密钥流生成器
k12
c12
明文
m12
加密过程
3
流密码的思想起源
种子密钥
密钥流生成器
k12
m12
密文
c12
解密过程
4
流密码的思想起源
• 设明文为m=m1m2… mi∈GF(2), i>0
19
基于移位寄存器的流密码算法
线性反馈移位寄存器LFSR(linear feedback shift register)的反馈函数为线性函数
作为密钥流的序列{ai}的周期一定要大 否则密钥流的空间太小,利用穷举搜索可以
得到密钥流{ai}
n级LFSR输出的序列的周期r不依赖于寄存器的 初始值,而依赖于特征多项式p(x)
20
基于移位寄存器的流密码算法
定义 设n级LFSR的输出序列{ai}满足递推关系
f (a1, a2 , an ) cna1 cn1a2 c1an
ank cnank1 c a n1 nk2
bn
… bn1
b2
c1ak (k 1).
输出序列
b1
c1
c2
缺点:一旦接收端和发送端的种子密钥和内部状态不同步,解密 就会失败,两者必须立即借助外界手段重新建立同步。
10
流密码技术的发展及分类
k
k
密钥流 生成器
密钥流 生成器
zi
E(zi,mi) mi
ci
信道
ci
zi E(zi,mi)
mi
自同步流密码SSSC(Self-Synchronous Stream Cipher)
例: 5级线性反馈移位寄存器产生的密钥序列 加密得到的明文串为011001111111001,对应的密 文串为101101011110011。求该LFSR的反馈函数。
解:由明密文得相应的密钥序列为 110100100001010;
利用前10个密钥序列比特建立如下方程:
37
基于移位寄存器的流密码算法
也可以说无限序列{si}具有如下结构: s0s1s2…sr-1s0s1s2…sr-1s0s1s2…
所以具有此性质的最小正整数r,称为这个序列的 周期。s0s1…sr-1称为这个周期序列的生成序列。
若序列{si}中除了开始几项外,以后的剩余部 分是周期序列,则此序列称为准周期序列。
30
基于移位寄存器的流密码算法
n级LFSR输出的序列的最大周期是2n 1 为什么?
LFSR的寄存器状态遍历2n 1个非零状态 初始状态为全零,则输出序列为0的循环
定义 当LFSR的寄存器状态遍历2n 1个非零状 态时,序列的周期达到最大2n 1,这种序列被称为 m序列。
31
基于移位寄存器的流密码算法
定义 若n次不可约多项式p(x)的阶为2n-1,则称 p(x)为n次本原多项式。
的优点是即使接收端和发送端不同步,只要接收端能连 续地正确地接受到n个密文符号,就能重新建立同步。因此 自同步流密码具有有限的差错传播 ,且分析较同步流密码的 分析困难得多
11
流密码技术的发展及分类
思考:假设j=n/4,n为分组长度 对于DES,n=64, j=16;对AES,n=128,j=32
p(x) 1 x x4
则其级联多项式对应的线性反馈寄存器图? 和反馈函数?
f (a1,a2,a3,a4 ) a1 a4
27
例题
已知一个5级的LFSR的联结多项式为: p(x) 1 x2 x5
则其级联多项式对应的线性反馈寄存器图?
a5
a4
a3
a2
输出序列
a1
28
LFSR举例
18
反馈移位寄存器
例4-1:左图是一个3级 反馈移位寄存器,其初始状
态为(a1,a2,a3)=(1,0,1),输
出可由右表求出。
即输出序列为 101110111011…,周期为4。
a3 a2 a1 101 11 0 1 11 011
1 01 1 10 1 11 …….
输出 1 0 1 1 1 0 1 …..
定理 {ai}是周期为2n 1的m-序列的充要条件是 其特征多项式f(x)为n阶本原多项式
32
基于移位寄存器的流密码算法
定义 设 p(x) 是GF(2) 上的多项式,使p(x)|(x p 1) 的最小的p称为 p(x) 的周期或者阶。
例: f (x) x4 x3 x2 x 1 为 GF(2) 上多项
密文对 M {m1, m2 ,, m2n},C {c1,c2,,c2n},则可确 定一段2n位长的密钥序列 K {k1, k2,, k2,n}由此可以 完全确定反馈多项式的系数。
35
基于移位寄存器的流密码算法
kn1 k1an k2an1 kna1
kn 2
k6 k1 k2 k3
k7 k2 k3 k4
k8
k3
k4
k5
kk19反0 馈 kk函54 数kk65 为kk76
输出序列
a5
a4
a3
a2
a1
反馈多项式?则其输出序列为?
f (a1, a2 , a3, a4 , a5 ) a1 a2 a4
24
LFSR的形式化表示
a5
a4
a3
a2
a1
输出序列
则其联结多项式为?
p(x) 1 c1x cn1xn1 cn xn c2 1, c4 1, c5 1 p(x) 1 x2 x4 x5
bn
… bn1
b2
输出序列
b1
c1
c2
cn1
cn
…
22
注意:
LFSR与联结多项式是一一对应的,如
果知道了线性反馈移位寄存器的结构, 可以写出它的联结多项式,同样可以根 据联结多项式画出移位寄存器的结构。
23
LFSR举例
下图为一个5级线性反馈移位寄存器,其初始状态为
(a1, a2 , a3 , a4 , a5 ) (1,1,0,1,0)
rn rn-1 … r2 r1 bn bn-1 … b2 b1
输出位oi
反馈函数 f
17
反馈移位寄存器
初始状态由用户确定,当第i个移位时钟脉冲到 来时,每一级存储器ai都将其内容向下一级ai-1传递, 并计算f(a1,a2,…,an)作为下一时刻的an。
反馈函数f(a1,a2,…,an)是n元布尔函数,即n 个变元a1,a2,…,an 可以独立地取0和1两个可能的值, 函数中的运算有逻辑与、逻辑或、逻辑补等运算, 最后的函数值也为0或1。
k2an
k3an 1
kn 1a1
k2n knan kn1an1 k2n1a1
n个线性方程包含n个未知数:a1,a2,...,an,所以
可惟一解出ai (i=0,1,…,n)
从而可确定该线性反馈移位寄存器接下来的状
态,也就能够得到余下的密钥序列。
36
基于移位寄存器的流密码算法
• 设密钥为k=k1k2…
ki∈GF(2), i>0
• 设密文为c=c1c2…
ci∈GF(2), i>0
• 则加密变换为ci= mi + ki (mod 2)
i>0
• 则解密变换为mi= ci&
流密码的思想起源
密钥流生成、存储和分
• 思想起源:20世纪发2困0难年代的Vernam体制, 即“一次一密”密码体制。香农利用信息 论证明“一次随机一序列密实计现算”机密无法码体制在理论上不 可破译
34
基于移位寄存器的流密码算法
1 若LFSR的反馈函数已知,破译者已知连续n 位明密文对{m1, m2,, mn}和{c1, c2 ,, cn} 则可以推导
出n比特密钥流 {k1, k2 ,, kn},ki mi ci 继而由反
馈函数得到整个密钥流{ki} 2 已知明文攻击下,假设破译者已知了2n位明
25
例题
一个3-级的反馈移位寄存器,反馈函数 f(x)=b1⊕b3,初态为100,输出序列?
状态 100 110 111 011 101 010 001 100
输出位 0 0
1 1 1 0 1 0