第8章 对称密码体制
合集下载
对称密码体制和非对称密码体制
对称密码体制和⾮对称密码体制⼀、对称加密 (Symmetric Key Encryption)对称加密是最快速、最简单的⼀种加密⽅式,加密(encryption)与解密(decryption)⽤的是同样的密钥(secret key)。
对称加密有很多种算法,由于它效率很⾼,所以被⼴泛使⽤在很多加密协议的核⼼当中。
⾃1977年美国颁布DES(Data Encryption Standard)密码算法作为美国数据加密标准以来,对称密码体制迅速发展,得到了世界各国的关注和普遍应⽤。
对称密码体制从⼯作⽅式上可以分为分组加密和序列密码两⼤类。
对称加密算法的优点:算法公开、计算量⼩、加密速度快、加密效率⾼。
对称加密算法的缺点:交易双⽅都使⽤同样钥匙,安全性得不到保证。
此外,每对⽤户每次使⽤对称加密算法时,都需要使⽤其他⼈不知道的惟⼀钥匙,这会使得发收信双⽅所拥有的钥匙数量呈⼏何级数增长,密钥管理成为⽤户的负担。
对称加密算法在分布式⽹络系统上使⽤较为困难,主要是因为密钥管理困难,使⽤成本较⾼。
⽽与公开密钥加密算法⽐起来,对称加密算法能够提供加密和认证却缺乏了签名功能,使得使⽤范围有所缩⼩。
对称加密通常使⽤的是相对较⼩的密钥,⼀般⼩于256 bit。
因为密钥越⼤,加密越强,但加密与解密的过程越慢。
如果你只⽤1 bit来做这个密钥,那⿊客们可以先试着⽤0来解密,不⾏的话就再⽤1解;但如果你的密钥有1 MB⼤,⿊客们可能永远也⽆法破解,但加密和解密的过程要花费很长的时间。
密钥的⼤⼩既要照顾到安全性,也要照顾到效率,是⼀个trade-off。
分组密码:也叫块加密(block cyphers),⼀次加密明⽂中的⼀个块。
是将明⽂按⼀定的位长分组,明⽂组经过加密运算得到密⽂组,密⽂组经过解密运算(加密运算的逆运算),还原成明⽂组,有 ECB、CBC、CFB、OFB 四种⼯作模式。
序列密码:也叫流加密(stream cyphers),⼀次加密明⽂中的⼀个位。
对称密码体制
实例二:对压缩文档解密
• 任务描述:
李琳同学在电脑里备份了一份文档,当时 出于安全考虑,所以加了密码,时间久了,密 码不记得了。请帮李琳同学找回密码。
实例二:对压缩文档解密
• 任务分析:
WinRAR对文档的加密方式属于对称性加 密,即加密和解密的密码相同,这种文档的解 密相对来说比较简单,网上有很多专用工具, 可以实现密码的硬解。
推荐:RAR Password Unlocker
实例二:对压缩文档解密
• 操作步骤:
– (1)启动软件; – (2)打开加密的文件; – (3)单击“STRAT”按钮,开始解密; – (4)弹出结果对话框,找到密码。
实例三:Office文档加密
• 操作步骤:
– (1)启动word;
– (2)文件——另存为;
走进加密技术
对称密码体制
知识回顾
• 密码技术的发展经历了三个阶段
• 1949年之前 密码学是一门艺术 (古典密码学) • 1949~1975年 密码学成为科学 • 1976年以后 密码学的新方向
传 统 加 密 方 法
(现代密码学)
——公钥密码学
密码体制
• 密码体制也叫密码系统,是指能完整地解
决信息安全中的机密性、数据完整性、认
小结
对称密码体制 对称密码体制也称为单钥体制、私钥体制或对 称密码密钥体制、传统密码体制或常规密钥密码体 制。 主要特点是:加解密双方在加解密过程中使用 相同或可以推出本质上等同的密钥,即加密密钥与 解密密钥相同,基本原理如图所示。
– (3)文件类型为:2003-07文档; – (4)单击“工具”选择“常规选项”; – (5)设置文档打开密码,存盘。
实例四:Office文档解密
03、对称密码体制
DES
数据加密标准(Data Encryption Standard,DES)是至 今为止使用 最为广泛的加密算法。
1974年8月27日, NBS开始第二次征集,IBM提交了算法LUCIFER ,该算法由IBM的工程师在1971~1972年研制。
1975年3月17日, NBS公开了全部细节1976年,NBS指派了两个
序列密码算法(stream cipher)
每次可加密一个比特戒一个字节 适合比如进程终端输入加密类的应用
对称密码体制
4
3.1 分组密码原理
分组密码
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划
分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制 下发换成等长的输出数字(简称密文数字)序列。
构,如FEAL、Blowfish、RC5等。
对称密码体制
9
3.1.2 分组密码的一般结构
Feistel密码结构的设计动机
分组密码对n比特的明文分组迚行操作,产生出一个n比特的密文分
组,共有2n个丌同的明文分组,每一种都必须产生一个唯一的密文 分组,这种发换称为可逆的戒非奇异的。 可逆映射 00 01 10 11 11 10 00 01 丌可逆映射 00 01 10 11 11 10 01 01
对称密码体制Biblioteka 193.2.1 简化的DES
简化的DES
简化的DES(Simplified - DES)是一个供教学而非安全的加密算法, 它不DES的特性和结构类似,但是参数较少。 S - DES的加密算法以8bit的明文分组和10位的密钥作为输入,产生 8bit的明文分组做为输出。 加密算法涉及五个凼数:
数据加密标准(Data Encryption Standard,DES)是至 今为止使用 最为广泛的加密算法。
1974年8月27日, NBS开始第二次征集,IBM提交了算法LUCIFER ,该算法由IBM的工程师在1971~1972年研制。
1975年3月17日, NBS公开了全部细节1976年,NBS指派了两个
序列密码算法(stream cipher)
每次可加密一个比特戒一个字节 适合比如进程终端输入加密类的应用
对称密码体制
4
3.1 分组密码原理
分组密码
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划
分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制 下发换成等长的输出数字(简称密文数字)序列。
构,如FEAL、Blowfish、RC5等。
对称密码体制
9
3.1.2 分组密码的一般结构
Feistel密码结构的设计动机
分组密码对n比特的明文分组迚行操作,产生出一个n比特的密文分
组,共有2n个丌同的明文分组,每一种都必须产生一个唯一的密文 分组,这种发换称为可逆的戒非奇异的。 可逆映射 00 01 10 11 11 10 00 01 丌可逆映射 00 01 10 11 11 10 01 01
对称密码体制Biblioteka 193.2.1 简化的DES
简化的DES
简化的DES(Simplified - DES)是一个供教学而非安全的加密算法, 它不DES的特性和结构类似,但是参数较少。 S - DES的加密算法以8bit的明文分组和10位的密钥作为输入,产生 8bit的明文分组做为输出。 加密算法涉及五个凼数:
对称密钥密码体制的主要特点
对称密钥密码体制的主要特点
对称密钥密码体制⼜称单密钥密码体制,是指加密密钥和解密密钥相同的密码体制。
这种
密码体制的保密性主要取决于对密钥的保密,其加密和解密算法是公开的。
要保证对称密钥密码
体制的安全性,其加密算法必须⾜够复杂,同时其密钥必须保密并且有⾜够⼤的密钥空间,从⽽使得攻击者在截取密⽂和知道加密算法的情况下,仍然⽆法还原出明⽂。
最有影响的对称密钥密码体制是
1977年美国国家标准局颁布的数据加密标准DES。
对称密码体制
对称密码体制
分组密码的工作模式
电码本模式(1/2) ECB (electronic codebook mode)
P1 K 加密
P2
K
加密
…K
Pn 加密
C1
C2
Cn
C1 K 解密
C2
K
解密
…K
Cn 解密
P1
P2
Pn
Ci = EK(Pi) Pi = DK(Ci)
对称密码体制
分组密码的工作模式
电码本模式(2/2) ECB特点
对称密码体制
分组密码的工作模式
密码反馈模式(2/6)
加密:Ci =Pi(EK(Si)的高j位) Si+1=(Si<<j)|Ci
V1
Shift register 64-j bit |j bit
64
Shift register 64-j bit |j bit
64
Cn-1 Shift register 64-j bit |j bit
对称密码体制
分组密码的工作模式
密码反馈模式(6/6) Pi=Ci(EK(Si)的高j位) 因为: Ci=Pi(EK(Si)的高j位)
则: Pi=Pi(EK(Si)的高j位) (EK(Si)的高j位) =Pi 0 = Pi
CFB的特点 ❖分组密码流密码 ❖没有已知的并行实现算法 ❖隐藏了明文模式 ❖需要共同的移位寄存器初始值V1 ❖对于不同的消息,V1必须唯一 ❖误差传递:一个单元损坏影响多个单元
对称密码体制
分组密码的工作模式
密码分组链接模式(3/3)
CBC特点 ❖没有已知的并行实现算法 ❖能隐藏明文的模式信息 ❖需要共同的初始化向量V1 ❖相同明文不同密文 ❖初始化向量V1可以用来改变第一块 ❖对明文的主动攻击是不容易的 ❖信息块不容易被替换、重排、删除、重放 ❖误差传递:密文块损坏两明文块损坏 ❖安全性好于ECB ❖适合于传输长度大于64位的报文,还可以进行用 户鉴别,是大多系统的标准如 SSL、IPSec
分组密码的工作模式
电码本模式(1/2) ECB (electronic codebook mode)
P1 K 加密
P2
K
加密
…K
Pn 加密
C1
C2
Cn
C1 K 解密
C2
K
解密
…K
Cn 解密
P1
P2
Pn
Ci = EK(Pi) Pi = DK(Ci)
对称密码体制
分组密码的工作模式
电码本模式(2/2) ECB特点
对称密码体制
分组密码的工作模式
密码反馈模式(2/6)
加密:Ci =Pi(EK(Si)的高j位) Si+1=(Si<<j)|Ci
V1
Shift register 64-j bit |j bit
64
Shift register 64-j bit |j bit
64
Cn-1 Shift register 64-j bit |j bit
对称密码体制
分组密码的工作模式
密码反馈模式(6/6) Pi=Ci(EK(Si)的高j位) 因为: Ci=Pi(EK(Si)的高j位)
则: Pi=Pi(EK(Si)的高j位) (EK(Si)的高j位) =Pi 0 = Pi
CFB的特点 ❖分组密码流密码 ❖没有已知的并行实现算法 ❖隐藏了明文模式 ❖需要共同的移位寄存器初始值V1 ❖对于不同的消息,V1必须唯一 ❖误差传递:一个单元损坏影响多个单元
对称密码体制
分组密码的工作模式
密码分组链接模式(3/3)
CBC特点 ❖没有已知的并行实现算法 ❖能隐藏明文的模式信息 ❖需要共同的初始化向量V1 ❖相同明文不同密文 ❖初始化向量V1可以用来改变第一块 ❖对明文的主动攻击是不容易的 ❖信息块不容易被替换、重排、删除、重放 ❖误差传递:密文块损坏两明文块损坏 ❖安全性好于ECB ❖适合于传输长度大于64位的报文,还可以进行用 户鉴别,是大多系统的标准如 SSL、IPSec
公钥密码和对称密码
密码学中两种常见的密码算法为对称密码算法〔单钥密码算法〕和非对称密码算法〔公钥密码算法〕。
对称密码算法有时又叫传统密码算法,就是加密密钥能够从解密密钥中推算出来,反过来也成立。
在大多数对称算法中,加密解密密钥是相同的。
这些算法也叫秘密密钥算法或单密钥算法,它要求发送者和接收者在平安通信之前,商定一个密钥。
对称算法的平安性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加密解密。
只要通信需要保密,密钥就必须保密。
对称算法的加密和解密表示为:Ek(M)=CDk(C)=M对称算法可分为两类。
一次只对明文中的单个位〔有时对字节〕运算的算法称为序列算法或序列密码。
另一类算法是对明文的一组位进行运算,这些位组称为分组,相应的算法称为分组算法或分组密码。
现代计算机密码算法的典型分组长度为64位――这个长度大到足以防止分析破译,但又小到足以方便作用。
这种算法具有如下的特性:Dk(Ek(M))=M常用的采用对称密码术的加密方案有5个组成局部〔如下图〕l〕明文:原始信息。
2)加密算法:以密钥为参数,对明文进行多种置换和转换的规那么和步骤,变换结果为密文。
3)密钥:加密与解密算法的参数,直接影响对明文进行变换的结果。
4)密文:对明文进行变换的结果。
5)解密算法:加密算法的逆变换,以密文为输入、密钥为参数,变换结果为明文。
对称密码术的优点在于效率高〔加/解密速度能到达数十兆/秒或更多〕,算法简单,系统开销小,适合加密大量数据。
尽管对称密码术有一些很好的特性,但它也存在着明显的缺陷,包括:l〕进行平安通信前需要以平安方式进行密钥交换。
这一步骤,在某种情况下是可行的,但在某些情况下会非常困难,甚至无法实现。
2)规模复杂。
举例来说,A与B两人之间的密钥必须不同于A和C两人之间的密钥,否那么给B的消息的平安性就会受到威胁。
在有1000个用户的团体中,A需要保持至少999个密钥〔更确切的说是1000个,如果她需要留一个密钥给他自己加密数据〕。
对称密钥密码体制
第二,在某些情况下(例如对某些电信上的应用),当缓冲不足或必 须对收到的字符进行逐一处理时,流密码就显得更加必要和恰当;
第三,流密码能较好地隐藏明文的统计特征等。
流密码的原理
❖ 在流密码中,明文按一定长度分组后被表示成一个序列,并 称为明文流,序列中的一项称为一个明文字。加密时,先由 主密钥产生一个密钥流序列,该序列的每一项和明文字具有 相同的比特长度,称为一个密钥字。然后依次把明文流和密 钥流中的对应项输入加密函数,产生相应的密文字,由密文 字构成密文流输出。即 设明文流为:M=m1 m2…mi… 密钥流为:K=k1 k2…ki… 则加密为:C=c1 c2…ci…=Ek1(m1)Ek2(m2)…Eki(mi)… 解密为:M=m1 m2…mi…=Dk1(c1)Dk2(c2)…Dki(ci)…
同步流密码中,消息的发送者和接收者必须同步才能做到正确 地加密解密,即双方使用相同的密钥,并用其对同一位置进行 操作。一旦由于密文字符在传输过程中被插入或删除而破坏了 这种同步性,那么解密工作将失败。否则,需要在密码系统中 采用能够建立密钥流同步的辅助性方法。
分解后的同步流密码
பைடு நூலகம்
密钥流生成器
❖ 密钥流生成器设计中,在考虑安全性要求的前提下还应考虑 以下两个因素: 密钥k易于分配、保管、更换简单; 易于实现,快速。
密钥发生器 种子 k
明文流 m i
明文流m i 加密算法E
密钥流 k i 密钥流 发生器
密文流 c i
安全通道 密钥 k
解密算法D
密钥流 发生器
明文流m i
密钥流 k i
图1 同步流密码模型
内部状态 输出函数
内部状态 输出函数
密钥发生器 种子 k
k
第三,流密码能较好地隐藏明文的统计特征等。
流密码的原理
❖ 在流密码中,明文按一定长度分组后被表示成一个序列,并 称为明文流,序列中的一项称为一个明文字。加密时,先由 主密钥产生一个密钥流序列,该序列的每一项和明文字具有 相同的比特长度,称为一个密钥字。然后依次把明文流和密 钥流中的对应项输入加密函数,产生相应的密文字,由密文 字构成密文流输出。即 设明文流为:M=m1 m2…mi… 密钥流为:K=k1 k2…ki… 则加密为:C=c1 c2…ci…=Ek1(m1)Ek2(m2)…Eki(mi)… 解密为:M=m1 m2…mi…=Dk1(c1)Dk2(c2)…Dki(ci)…
同步流密码中,消息的发送者和接收者必须同步才能做到正确 地加密解密,即双方使用相同的密钥,并用其对同一位置进行 操作。一旦由于密文字符在传输过程中被插入或删除而破坏了 这种同步性,那么解密工作将失败。否则,需要在密码系统中 采用能够建立密钥流同步的辅助性方法。
分解后的同步流密码
பைடு நூலகம்
密钥流生成器
❖ 密钥流生成器设计中,在考虑安全性要求的前提下还应考虑 以下两个因素: 密钥k易于分配、保管、更换简单; 易于实现,快速。
密钥发生器 种子 k
明文流 m i
明文流m i 加密算法E
密钥流 k i 密钥流 发生器
密文流 c i
安全通道 密钥 k
解密算法D
密钥流 发生器
明文流m i
密钥流 k i
图1 同步流密码模型
内部状态 输出函数
内部状态 输出函数
密钥发生器 种子 k
k
对称密码体制及其算法研究
 ̄ t J. l t 于学? 94 ) 舅.黑龙江齐齐哙尔人.剐教授,大 W " Hl -. 6 学本科 . 主要从事数学教 、 育 算法分析设计等研究.E a: x 1 1 ㈣ m i . p@ 6 l j1 3 y
.
。
维普资讯
第 6期
对称密码体制及其算法研究
第i 轮
最严重的弱点。 克服短密钥缺陷的一个解决办法是使用不同 的密钥 , 多次运行 D S E 算法 , 这样的一个方案称为三重 D S E
方 案 ,三重 D S是 D S的一种 变形 的实 现方式 。 E E j重 D S 密记 为 E 加
C ( 2 l ) =el ( ( ) ) 解 密记 为
・ 9・ 3
个简单的换位密码 ,目的是获得很大程度的信息分散。可见 ,这一步运算是替代密码和换位密码的结合。 3 将 l 轮迭代后得到的结果进行 逆置换 , ) 6 逆置换
的输出结果 即为密文分组。该过程表示如下
c P R6l =I ( l 6 L) ( 3)
这里在,逆置换之前 , P 1轮迭代输出的两半分组又进行 6 了一次交换。D S [ E ) 密过程如图l J I 所示。
维普资讯
第 2 卷第 6 3 期
20 0 7年 l 月 1
齐 齐 哈 尔 大 学 学 报
J u a o iia n e t o r l f qh r ’ i n O U  ̄ y
V 1 3No6 o. 。 . 2 No . 0 7 v, 0 2
22 序 列密 码 . 221 序 列密码基 本原理 ..
由于语音 、网像和数据等信息都可以经过量化编码转化为二进制数字序列或本身就是二进制数字的序 列 ,因此 ,一个实际的序列密码系统可用 ( ,, , , ) C , D z 的六元组来描述。 为明文空间,C为密文
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防止明文穷举攻击法奏效。
密钥量要足够大:
尽可能消除弱密钥并使所有密钥同等地位,以防止密 钥穷举攻击奏效。
由密钥确定置换的算法要足够复杂:
充分实现明文与密钥的扩散和混淆,没有简单的关系 可循,要能抗击各种已知的攻击。
加密和解密运算简单:
易于软件和硬件高速实现。
8
8.2 美国数据加密标准—DES
30
第8章 对称密码体制
AES的要求
(1)AES是公开的;
(2)AES为单钥体制分组密码; (3)AES的密钥长度可变,可按需要增大; (4)AES适于用软件和硬件实现; ( 5 ) AES 可以自由地使用,或按符合美国国家 标准(ANST)策略的条件使用;
31
第8章 对称密码体制
算法衡量条件
1997年1月美国NIST着手进行AES( Advanced Encryption Standard )的研究,成立了标准工作室。 2001 年 Rijndael 被批准为AES标准。
14
第8章 对称密码体制
美国制定数据加密标准简况
DES(Data Encryption Standard)算法于1977 年得到美国政府的正式许可,是一种用56位密 钥来加密64位数据的方法。这是IBM的研究成 果。 DES是第一代公开的、完全说明细节的商业级 现代算法,并被世界公认。
25
第8章 对称密码体制
DES的56位短密钥面临的另外一个严峻 而现实的问题是:国际互联网Internet的 超级计算能力。1997年1月28日,美国的 RSA数据安全公司在互联网上开展了一项 名为“密钥挑战”的竞赛,悬赏一万美 元,破解一段用56位密钥加密的DES密 文。
26
第8章 对称密码体制
4
第8章 对称密码体制
分组密码概述
明文序列 x1, x2,…, xi,… 将明文划分为m比特长的组 加密函数E: Vm×KVn各组分别在密钥K的控制下变换成等长的输出 这种密码实质上是字长为m的数字序列的代换密码。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1) 加密算法
Feistel还提出了实现代换和置换的方法。代换作用在数据的 左半部分。它通过用轮函数 F作用数据的右半部分后,与左 半部分进行异或来完成。每轮迭代的轮函数是相同的,但是 输入的子密钥Ki不同。代换之后,交换数据的左右两部分完 成置换。这种结构是 Shannon 提出的代换置换网络( SPN , substitution-permutation networks)的一种特别形式。
13
第8章 对称密码体制
美国制定数据加密标准简况
DES 发展史确定了发展公用标准算法模式,而 EES 的制定 路线与 DES 的背道而驰。人们怀疑有陷门和政府部门肆意 侵犯公民权利。此举遭到广为反对。
1995年5月AT&T Bell Lab的M. Blaze博士在PC机上用45分 钟时间使SKIPJACK的 LEAF协议失败,伪造ID码获得成 功。1995年7月美国政府宣布放弃用DES来加密数据,只将 它用于语音通信。
3
第8章 对称密码体制
对称密码体制简介
对称密码体制是历史最为悠久的密码体制,古代和近代 使用的都是这种体制。 根据对明文的加密方式不同,对称密码算法又分为分组 加密算法(Block Cipher)和流密码算法。 分组加密算法将明文分为一组一组的固定长度进行加密。 流密码算法则将明文按字符逐位加密。 二者之间也不是有着不可逾越的鸿沟,很多时候,分组 加密算法也可以用于构建流密码算法。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1)
密文 x=(y0, y1,…, yn-1)
解密算法
5
第8章 对称密码体制
分组密码设计问题
分组密码的设计问题在于找到一种算法, 能在密钥控制下从一个足够大且足够好的置 换子集中,简单而迅速地选出一个置换,用 来对当前输入的明文的数字组进行加密变换。
(Data Encryption Standard)
9
第8章 对称密码体制
美国制定数据加密标准简况
目的
通信与计算机相结合是人类步入信息社会的一个阶梯, 它始于六十年代末,完成于90年代初。计算机通信网的形 成与发展,要求信息作业标准化,安全保密亦不例外。只 有标准化,才能真正实现网的安全,才能推广使用加密手 段,以便于训练、生产和降低成本。
16
第8章 对称密码体制
DES算法框图
输入 64 bit明文数据
初始置换IP
乘积变换 (16轮迭代) 逆初始置换IP-1 64 bit密文数据 输出
标 准 数 据 加 密 算 法
17
Li-1(32bit)
Ri-1(32bit) 选择扩展运算 E 48 bit寄存器 按bit模2加密 48 bit寄存器
1993年R.Session和M.Wiener给出了一个非常 详细的密钥搜索机器的设计方案,它基于并行 的密钥搜索芯片,此芯片每秒测试5×107个密 钥,当时这种芯片的造价是10.5美元,5760个 这样的芯片组成的系统需要10万美元,这一系 统平均1.5天即可找到密钥,如果利用10个这 样的系统,费用是100万美元,但搜索时间可 以降到2.5小时。可见这种机制是不安全的。
11
第8章 对称密码体制
美国制定数据加密标准简况
IBM公司在1971年完成的LUCIFER密码 (64 bit分组, 代换 - 置换, 128 bit 密钥 ) 的基础上,改进成为建议的 DES体制 1975年3月17日NBS(美国国家标准局)公布了这个算 法,并说明要以它作为联邦信息处理标准,征求各方 意见。 1977年1月15日建议被批准为联邦标准[FIPS PUB 46], 并设计推出DES芯片。 1981年美国ANSI(美国国家标准协会)将其作为标准, 称之为DEA[ANSI X3.92] 1983 年国际标准化组织 (ISO) 采用它作为标准,称作 DEA-1
SPN网络(例如 AES、Serpent) Feistel结构(例如DES、 CAST、Skipjack) 其他结构(例如Frog和HPC)
22
第8章 对称密码体制
DES的安全性
S盒设计。
DES靠S盒实现非线性变换。
密钥搜索机。
对 DES 安全性批评意见中,较为一致的看法是 DES的 密钥短了些。IBM最初向NBS提交的建议方案采用 112 bits密钥,但公布的DES标准采用64 bits密钥。有人认 为 NSA 故意限制 DES 的密钥长度。采用穷搜索对已经 对DES构成了威胁.
第8章 对称密码体制
第八章 对称密码体制
8.1 对称密码概述 8.2 DES 8.3 AES
1
一、对称密码体制概述
2
第8章 对称密码体制
对称密码体制简介
对于一个密码体制(M,C,K,E,D)中的K,若加 密密钥Ke与解密密钥Kd相同或者二者之间很容易互相 推出,由于加密密钥和解密密钥地位是对等的,因此称 其为对称密码体制。 而在实际既作为加密密钥又作为解密密钥,因 此又称为单钥体制。而且一般加密算法和解密算法也是 一样的。
23
第8章 对称密码体制
DES算法的安全性
DES算法正式公开发表以后,引起了一场 激烈的争论。1977年Diffie和Hellman提 出了制造一个每秒能测试106个密钥的大 规模芯片,这种芯片的机器大约一天就 可以搜索DES算法的整个密钥空间,制造 这样的机器需要两千万美元。
24
第8章 对称密码体制
12
第8章 对称密码体制
美国制定数据加密标准简况
NSA (美国国家安全局)宣布每隔 5年重新审议 DES是否继 续作为联邦标准, 1988 年( FIPS46-1 )、 1993 年( FIPS462),1998年不再重新批准DES为联邦标准。
虽然DES已有替代的数据加密标准算法,但它仍是迄今为止 得到最广泛应用的一种算法,也是一种最有代表性的分组加 密体制。 1993年4月,Clinton政府公布了一项建议的加密技术标准, 称 作 密 钥 托 管 加 密 技 术 标 准 EES(Escrowed Encryption Standard)。算法属美国政府SECRET密级。
27
第8章 对称密码体制
1998年7月电子前沿基金会(EFF)使用一台 25万美圆的电脑在56小时内破译了56比特密钥 的DES。 1999年1月RSA数据安全会议期间,电子前沿 基金会用22小时15分钟就宣告破解了一个DES 的密钥。 尽管DES有这样那样的不足,但是作为第一个公 开密码算法的密码体制成功地完成了它的使命, 它在密码学发展历史上具有重要的地位。
21
第8章 对称密码体制
SPN
S-P networks are based on the two primitive cryptographic operations we have seen before: substitution (S-box) permutation (P-box) 常见结构及代表算法
第8章 对称密码体制
密 钥 产 生 器
选择压缩运算 S
32 bit寄存器
置换运算 P
按bit模2和 Li (32bit) Ri (32bit)
DES算法一轮迭代过程
18
第8章 对称密码体制
Feistel网络示意图
19
第8章 对称密码体制
Feistel加解密过程
20
第8章 对称密码体制
密钥量要足够大:
尽可能消除弱密钥并使所有密钥同等地位,以防止密 钥穷举攻击奏效。
由密钥确定置换的算法要足够复杂:
充分实现明文与密钥的扩散和混淆,没有简单的关系 可循,要能抗击各种已知的攻击。
加密和解密运算简单:
易于软件和硬件高速实现。
8
8.2 美国数据加密标准—DES
30
第8章 对称密码体制
AES的要求
(1)AES是公开的;
(2)AES为单钥体制分组密码; (3)AES的密钥长度可变,可按需要增大; (4)AES适于用软件和硬件实现; ( 5 ) AES 可以自由地使用,或按符合美国国家 标准(ANST)策略的条件使用;
31
第8章 对称密码体制
算法衡量条件
1997年1月美国NIST着手进行AES( Advanced Encryption Standard )的研究,成立了标准工作室。 2001 年 Rijndael 被批准为AES标准。
14
第8章 对称密码体制
美国制定数据加密标准简况
DES(Data Encryption Standard)算法于1977 年得到美国政府的正式许可,是一种用56位密 钥来加密64位数据的方法。这是IBM的研究成 果。 DES是第一代公开的、完全说明细节的商业级 现代算法,并被世界公认。
25
第8章 对称密码体制
DES的56位短密钥面临的另外一个严峻 而现实的问题是:国际互联网Internet的 超级计算能力。1997年1月28日,美国的 RSA数据安全公司在互联网上开展了一项 名为“密钥挑战”的竞赛,悬赏一万美 元,破解一段用56位密钥加密的DES密 文。
26
第8章 对称密码体制
4
第8章 对称密码体制
分组密码概述
明文序列 x1, x2,…, xi,… 将明文划分为m比特长的组 加密函数E: Vm×KVn各组分别在密钥K的控制下变换成等长的输出 这种密码实质上是字长为m的数字序列的代换密码。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1) 加密算法
Feistel还提出了实现代换和置换的方法。代换作用在数据的 左半部分。它通过用轮函数 F作用数据的右半部分后,与左 半部分进行异或来完成。每轮迭代的轮函数是相同的,但是 输入的子密钥Ki不同。代换之后,交换数据的左右两部分完 成置换。这种结构是 Shannon 提出的代换置换网络( SPN , substitution-permutation networks)的一种特别形式。
13
第8章 对称密码体制
美国制定数据加密标准简况
DES 发展史确定了发展公用标准算法模式,而 EES 的制定 路线与 DES 的背道而驰。人们怀疑有陷门和政府部门肆意 侵犯公民权利。此举遭到广为反对。
1995年5月AT&T Bell Lab的M. Blaze博士在PC机上用45分 钟时间使SKIPJACK的 LEAF协议失败,伪造ID码获得成 功。1995年7月美国政府宣布放弃用DES来加密数据,只将 它用于语音通信。
3
第8章 对称密码体制
对称密码体制简介
对称密码体制是历史最为悠久的密码体制,古代和近代 使用的都是这种体制。 根据对明文的加密方式不同,对称密码算法又分为分组 加密算法(Block Cipher)和流密码算法。 分组加密算法将明文分为一组一组的固定长度进行加密。 流密码算法则将明文按字符逐位加密。 二者之间也不是有着不可逾越的鸿沟,很多时候,分组 加密算法也可以用于构建流密码算法。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1)
密文 x=(y0, y1,…, yn-1)
解密算法
5
第8章 对称密码体制
分组密码设计问题
分组密码的设计问题在于找到一种算法, 能在密钥控制下从一个足够大且足够好的置 换子集中,简单而迅速地选出一个置换,用 来对当前输入的明文的数字组进行加密变换。
(Data Encryption Standard)
9
第8章 对称密码体制
美国制定数据加密标准简况
目的
通信与计算机相结合是人类步入信息社会的一个阶梯, 它始于六十年代末,完成于90年代初。计算机通信网的形 成与发展,要求信息作业标准化,安全保密亦不例外。只 有标准化,才能真正实现网的安全,才能推广使用加密手 段,以便于训练、生产和降低成本。
16
第8章 对称密码体制
DES算法框图
输入 64 bit明文数据
初始置换IP
乘积变换 (16轮迭代) 逆初始置换IP-1 64 bit密文数据 输出
标 准 数 据 加 密 算 法
17
Li-1(32bit)
Ri-1(32bit) 选择扩展运算 E 48 bit寄存器 按bit模2加密 48 bit寄存器
1993年R.Session和M.Wiener给出了一个非常 详细的密钥搜索机器的设计方案,它基于并行 的密钥搜索芯片,此芯片每秒测试5×107个密 钥,当时这种芯片的造价是10.5美元,5760个 这样的芯片组成的系统需要10万美元,这一系 统平均1.5天即可找到密钥,如果利用10个这 样的系统,费用是100万美元,但搜索时间可 以降到2.5小时。可见这种机制是不安全的。
11
第8章 对称密码体制
美国制定数据加密标准简况
IBM公司在1971年完成的LUCIFER密码 (64 bit分组, 代换 - 置换, 128 bit 密钥 ) 的基础上,改进成为建议的 DES体制 1975年3月17日NBS(美国国家标准局)公布了这个算 法,并说明要以它作为联邦信息处理标准,征求各方 意见。 1977年1月15日建议被批准为联邦标准[FIPS PUB 46], 并设计推出DES芯片。 1981年美国ANSI(美国国家标准协会)将其作为标准, 称之为DEA[ANSI X3.92] 1983 年国际标准化组织 (ISO) 采用它作为标准,称作 DEA-1
SPN网络(例如 AES、Serpent) Feistel结构(例如DES、 CAST、Skipjack) 其他结构(例如Frog和HPC)
22
第8章 对称密码体制
DES的安全性
S盒设计。
DES靠S盒实现非线性变换。
密钥搜索机。
对 DES 安全性批评意见中,较为一致的看法是 DES的 密钥短了些。IBM最初向NBS提交的建议方案采用 112 bits密钥,但公布的DES标准采用64 bits密钥。有人认 为 NSA 故意限制 DES 的密钥长度。采用穷搜索对已经 对DES构成了威胁.
第8章 对称密码体制
第八章 对称密码体制
8.1 对称密码概述 8.2 DES 8.3 AES
1
一、对称密码体制概述
2
第8章 对称密码体制
对称密码体制简介
对于一个密码体制(M,C,K,E,D)中的K,若加 密密钥Ke与解密密钥Kd相同或者二者之间很容易互相 推出,由于加密密钥和解密密钥地位是对等的,因此称 其为对称密码体制。 而在实际既作为加密密钥又作为解密密钥,因 此又称为单钥体制。而且一般加密算法和解密算法也是 一样的。
23
第8章 对称密码体制
DES算法的安全性
DES算法正式公开发表以后,引起了一场 激烈的争论。1977年Diffie和Hellman提 出了制造一个每秒能测试106个密钥的大 规模芯片,这种芯片的机器大约一天就 可以搜索DES算法的整个密钥空间,制造 这样的机器需要两千万美元。
24
第8章 对称密码体制
12
第8章 对称密码体制
美国制定数据加密标准简况
NSA (美国国家安全局)宣布每隔 5年重新审议 DES是否继 续作为联邦标准, 1988 年( FIPS46-1 )、 1993 年( FIPS462),1998年不再重新批准DES为联邦标准。
虽然DES已有替代的数据加密标准算法,但它仍是迄今为止 得到最广泛应用的一种算法,也是一种最有代表性的分组加 密体制。 1993年4月,Clinton政府公布了一项建议的加密技术标准, 称 作 密 钥 托 管 加 密 技 术 标 准 EES(Escrowed Encryption Standard)。算法属美国政府SECRET密级。
27
第8章 对称密码体制
1998年7月电子前沿基金会(EFF)使用一台 25万美圆的电脑在56小时内破译了56比特密钥 的DES。 1999年1月RSA数据安全会议期间,电子前沿 基金会用22小时15分钟就宣告破解了一个DES 的密钥。 尽管DES有这样那样的不足,但是作为第一个公 开密码算法的密码体制成功地完成了它的使命, 它在密码学发展历史上具有重要的地位。
21
第8章 对称密码体制
SPN
S-P networks are based on the two primitive cryptographic operations we have seen before: substitution (S-box) permutation (P-box) 常见结构及代表算法
第8章 对称密码体制
密 钥 产 生 器
选择压缩运算 S
32 bit寄存器
置换运算 P
按bit模2和 Li (32bit) Ri (32bit)
DES算法一轮迭代过程
18
第8章 对称密码体制
Feistel网络示意图
19
第8章 对称密码体制
Feistel加解密过程
20
第8章 对称密码体制