对称密钥密码体制

2013-8-1 13
南京邮电大学
Feistel 解密 解密

将密文c作为输入，以逆序（即 K16,K15,„,K1）使用密钥方案，输出明文 m。
2013-8-1
14
南京邮电大学
Feistel Network
Structured to enable use of same S-box and P-box for encryption and decryption
19
本讲内容
1 2 3 4
对称密码体系的原理
Fiestel结构
DES AES
2013-8-1
20
南京邮电大学
3. DES
DES是16轮的Feistel结构密码 DES的分组长度是64位 DES使用56位的密钥 DES的每一轮使用48位的子密钥

每个子密钥是56位密钥的子集构成
2013-8-1
21
南京邮电大学
DES : The Big Picture
Parity bits dropped (1 per byte)
22
DES的总体流程
步骤： （1）64位明文经过初始置换 IP而被重新排列 T0=IP(T)； （2）T0经过16轮相同函数的 作用，每轮作用都有置换和代 换。 （3）最后通过逆置换IP-1得到 64位二进制密文输出。
分组密码的优缺点：
优点：可以重复使用密钥； 缺点：代码更为复杂，计算速度相对较慢。 RC4是应用最为广泛的流密码，它 被用于SSL/TLS标准，该标准为网 应用场合： 络浏览器和服务器间通信而制定。 流密码适合于对于数据流进行加密解密的应用，比如通过一个数据通 信信道或者网页浏览器连接。 分组密码适合于处理成块的数据，比如文件传输、电子邮件和数据库。

DES

数据加密标准(Data Encryption Standard，DES)是至 今为止使用 最为广泛的加密算法。

1974年8月27日, NBS开始第二次征集,IBM提交了算法LUCIFER ，该算法由IBM的工程师在1971~1972年研制。

1975年3月17日, NBS公开了全部细节1976年,NBS指派了两个
序列密码算法(stream cipher)

每次可加密一个比特戒一个字节 适合比如进程终端输入加密类的应用
对称密码体制
4
3.1 分组密码原理
分组密码

分组密码是将明文消息编码表示后的数字(简称明文数字)序列，划
分成长度为n的组(可看成长度为n的矢量)，每组分别在密钥的控制 下发换成等长的输出数字(简称密文数字)序列。
构，如FEAL、Blowfish、RC5等。
对称密码体制
9
3.1.2 分组密码的一般结构
Feistel密码结构的设计动机

分组密码对n比特的明文分组迚行操作，产生出一个n比特的密文分
组，共有2n个丌同的明文分组，每一种都必须产生一个唯一的密文 分组，这种发换称为可逆的戒非奇异的。 可逆映射 00 01 10 11 11 10 00 01 丌可逆映射 00 01 10 11 11 10 01 01
对称密码体制Biblioteka 193.2.1 简化的DES
简化的DES

简化的DES(Simplified - DES)是一个供教学而非安全的加密算法， 它不DES的特性和结构类似，但是参数较少。 S - DES的加密算法以8bit的明文分组和10位的密钥作为输入，产生 8bit的明文分组做为输出。 加密算法涉及五个凼数：

第二，在某些情况下（例如对某些电信上的应用），当缓冲不足或必 须对收到的字符进行逐一处理时，流密码就显得更加必要和恰当；
第三，流密码能较好地隐藏明文的统计特征等。
流密码的原理
❖ 在流密码中，明文按一定长度分组后被表示成一个序列，并 称为明文流，序列中的一项称为一个明文字。加密时，先由 主密钥产生一个密钥流序列，该序列的每一项和明文字具有 相同的比特长度，称为一个密钥字。然后依次把明文流和密 钥流中的对应项输入加密函数，产生相应的密文字，由密文 字构成密文流输出。即 设明文流为：M=m1 m2…mi… 密钥流为：K=k1 k2…ki… 则加密为：C=c1 c2…ci…=Ek1(m1)Ek2(m2)…Eki(mi)… 解密为：M=m1 m2…mi…=Dk1(c1)Dk2(c2)…Dki(ci)…
同步流密码中，消息的发送者和接收者必须同步才能做到正确 地加密解密，即双方使用相同的密钥，并用其对同一位置进行 操作。一旦由于密文字符在传输过程中被插入或删除而破坏了 这种同步性，那么解密工作将失败。否则，需要在密码系统中 采用能够建立密钥流同步的辅助性方法。
分解后的同步流密码
பைடு நூலகம்
密钥流生成器
❖ 密钥流生成器设计中，在考虑安全性要求的前提下还应考虑 以下两个因素： 密钥k易于分配、保管、更换简单； 易于实现，快速。
密钥发生器 种子 k
明文流 m i
明文流m i 加密算法E
密钥流 k i 密钥流 发生器
密文流 c i
安全通道 密钥 k
解密算法D
密钥流 发生器
明文流m i
密钥流 k i
图1 同步流密码模型
内部状态 输出函数
内部状态 输出函数
密钥发生器 种子 k
k

密码学是研究编制密码和破译密码的技术科学。研究密码变化的客观规律，应用于编制密码以保守通信秘密的，称为编码学；应用于破译密码以获取通信情报的，称为破译学，总称密码学。密码是通信双方按约定的法则进行信息特殊变换的一种重要保密手段。依照这些法则，变明文为密文，称为加密变换；变密文为明文，称为脱密变换。密码在早期仅对文字或数码进行加、脱密变换，随着通信技术的发展，对语音、图像、数据等都可实施加、脱密变换。密码学是在编码与破译的斗争实践中逐步发展起来的，并随着先进科学技术的应用，已成为一门综合性的尖端技术科学。它与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。它的现实研究成果，特别是各国政府现用的密码编制及破译手段都具有高度的机密性。密码学包括密码编码学和密码分析学。密码体制设计是密码编码学的主要内容，密码体制的破译是密码分析学的主要内容，密码编码技术和密码分析技术是相互依相互支持、密不可分的两个方面。密码体制有对称密钥密码体制和非对称密钥密码体制。对称密钥密码体制要求加密解密双方拥有相同的密钥。而非对称密钥密码体制是加密解密双方拥有不相同的密钥，在不知道陷门信息的情况下，加密密钥和解密密钥是不能相互算出的。对称密钥密码体制中,加密运算与解密运算使用同样的密钥。这种体制所使用的加密算法比较简单，而且高效快速、密钥简短、破译困难，但是存在着密钥传送和保管的问题。例如：甲方与乙方通讯，用同一个密钥加密与解密。首先，将密钥分发出去是一个难题，在不安全的网络上分发密钥显然是不合适的；另外，如果甲方和乙方之间任何一人将密钥泄露，那么大家都要重新启用新的密钥。通常,使用的加密算法比较简便高效,密钥简短,破译极其困难。但是,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。1976年,Diffie和Hellman为解决密钥管理问题,在他们的奠基性的工作"密码学的新方向"一文中,提出一种密钥交换协议,允许在不安全的媒体上通讯双方交换信息,安全地达成一致的密钥,它是基于离散指数加密算法的新方案:交易双方仍然需要协商密钥，但离散指数算法的妙处在于:双方可以公开提交某些用于运算的数据，而密钥却在各自计算机上产生，并不在网上传递。在此新思想的基础上,很快出现了"不对称密钥密码体制",即"公开密钥密码体制",其中加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道,分别称为"公开密钥"和"秘密密钥",由于公开密钥算法不需要联机密钥服务器，密钥分配协议简单，所以极大地简化了密钥管理。除加密功能外，公钥系统还可以提供数字签名。目前，公开密钥加密算法主要有RSA、Fertezza、EIGama等。我们说区分古典密码和现代密码的标志，也就是从76年开始，迪非，赫尔曼发表了一篇叫做《密码学的新方向》的文章，这篇文章是划时代的；同时1977年美国的数据加密标准（DES）公布，这两件事情导致密码学空前研究。以前都认为密码是政府、军事、外交、安全等部门专用，从这时候起，人们看到密码已由公用到民用研究，这种转变也导致了密码学的空前发展。迄今为止的所有公钥密码体系中，RSA系统是最著名、使用最广泛的一种。RSA公开密钥密码系统是由R.Rivest、A.Shamir和L.Adleman三位教授于1977年提出的，RSA的取名就是来自于这三位发明者姓氏的第一个字母。RSA算法研制的最初目标是解决利用公开信道传输分发DES算法的秘密密钥的难题。而实际结果不但很好地解决了这个难题，还可利用RSA来完成对电文的数字签名，以防止对电文的否认与抵赖，同时还可以利用数字签名较容易地发现攻击者对电文的非法篡改，从而保护数据信息的完整性。在网上看到这样一个例子，有一个人从E-mail信箱到用户Administrator，统一都使用了一个8位密码。他想:8位密码，怎么可能说破就破，固若金汤。所以从来不改。用了几年，没有任何问题，洋洋自得，自以为安全性一流。恰恰在他最得意的时候，该抽他嘴巴的人就出现了。他的一个同事竟然用最低级也是最有效的穷举法吧他的8位密码给破了。还好都比较熟，否则公司数据丢失，他就要卷着被子回家了。事后他问同事，怎么破解的他的密码，答曰:只因为每次看他敲密码时手的动作完全相同，于是便知道他的密码都是一样的，而且从不改变。这件事情被他引以为戒，以后密码分开设置，采用10位密码，并且半年一更换。我从中得出的教训是，密码安全要放在网络安全的第一位。因为密码就是钥匙，如果别人有了你家的钥匙，就可以堂而皇之的进你家偷东西，并且左邻右舍不会怀疑什么。我的建议，对于重要用户，密码要求最少要8位，并且应该有英文字母大小写以及数字和其他符号。千万不要嫌麻烦，密码被破后更麻烦。密码设的越难以穷举，并不是带来更加良好的安全性。相反带来的是更加难以记忆，甚至在最初更改的几天因为输人缓慢而被别人记住，或者自己忘记。这都是非常糟糕的，但是密码难于穷举是保证安全性的前提。矛盾着的双方时可以互相转化的，所以如何使系统密码既难以穷举又容易记忆呢，这就是门科学了。当然，如果能做到以下几点，密码的安全还是有保障的。

4
15
1
12
14
8
8
2
13
4
6
9
2
1
11 15 12
9
3
7
3
10
0
5
6
0
13
14 10
11 10
沈阳航空航天大学
S7－S8盒
S7盒
14 0 4 15 13 7 1 4 2 14 15 11 2 13 8 1 7 3 10 5 S8盒 15 3 0 13 1 13 14 8 8 4 7 10 14 7 1 6 15 3 11 2 4 15 3 8 13 4 4 1 2 9 5 11 7 0 8 6 2 1 12 7 13 12 10 6 12 6 9 0 0 9 3 5 5 11 2 14 10 5 15 9 14 12 10 6 11 6 12 5 9 9 5 0 3 7 8 12 11
混乱 原则
扩散 原则
实现 方法
应该具有标准的组件结构 （子模块 为了避免密码分析者利用明文与密文之间的依赖关 ），以适应超大规模集成电路的实现 系进行破译，密码的设计应该保证这种依赖关系足 够复杂。 。 为避免密码分析者对密钥逐段破译，密码的设计应该保证密钥的 分组密码的运算能在子模块上通过 每位数字能够影响密文中的多位数字 ；同时，为了避免密码分析 简单的运算进行。 者利用明文的统计特性，密码的设计应该保证明文的每位数字能
IP（初始置换）
58 60 50 52 42 44 34 36 26 28 18 20 10 12 2 4
62
64 57
54
56 49
46
48 41
38
40 33
30
32 25

2011-12-10
15
1997 年 DESCHALL 小 组 经 过 近 4 个 月 的 努 力 ， 通 过 Internet搜索了 × 1016 个密钥，找出了DES的密钥， 恢 搜索了3× 个密钥， 找出了 的密钥， 搜索了 的密钥 复出了明文。 复出了明文。 1998年5月美国 年 月美国 月美国EFF(electronics frontier foundation) 宣布，他们以一台价值20万美元的计算机改装成的专用解 宣布，他们以一台价值 万美元的计算机改装成的专用解 密机， 小时破译了56 比特密钥的 比特密钥的DES。 密机，用56小时破译了 小时破译了 。
2011-12-10
14
DES首次被批准使用五年，并规定每隔五年由美国国 首次被批准使用五年， 首次被批准使用五年 家保密局作出评估， 家保密局作出评估，并重新批准它是否继续作为联邦加密 标准。最近的一次评估是在1994年1月，美国已决定 标准。最近的一次评估是在 年 月 美国已决定1998年 年 12月以后将不再使用 月以后将不再使用DES。因为按照现有的技术水平，采 月以后将不再使用 。因为按照现有的技术水平， 用不到几十万美元的设备，就可破开 密码体制。 用不到几十万美元的设备，就可破开DES密码体制。目前 密码体制 的新标准是AES，它是由比利时的密码学家Joan Daemen和 ，它是由比利时的密码学家 的新标准是 和 Vincent Rijmen设计的分组密码 设计的分组密码—Rijndael（荣代尔）。 设计的分组密码 （荣代尔）。
置换选择pc1循环移位置换选择pc2置换选择pc2置换选择164比特201492731子密钥产生器?给出每次迭代加密用的子密钥ki子密钥产生器框图密钥64bit置换选择1pc1除去第816?64位8个校验位201492732置换选择2pc2ci28bitdi28bit循环左移ti1bit循环左移ti1bitki57494133251791585042342618102595143352719113605044366355473931231576254463830221466153453729211352820124置换选择1pc1迭代次数12345678循环左移位位数11222222左循环移位位数2014927331417112415328156211023191242681672720132415231374755304051453348444939563453464250362932置换选择2pc2迭代次数910111213141516循环左移位数12222221201492734des的安全性?穷举攻击分析穷举攻击就是对所有可能的密钥逐个进行脱密测试直到找到正确密钥为止的一种攻击方法方法