现代密码学_第四五讲 分组密码
合集下载
现代密码学与应用
20082008-9-21 18
差分密码分析(Differential cryptanalysis)
差分密码分析是一种攻击迭代分组密码的 选择明文统计分析破译法。 它不是直接分析密文或密钥的统计相关性, 而是分析明文差分和密文差分之间的统计 相关性。
20082008-9-21
19
差分密码分析(Differential cryptanalysis)
20082008-9-21
29
中途相遇攻击
对于给定明文x,以两重DES加密将有264个 可能的密文。 可能的密钥数为2112个。所以,在给定明文 下,将有2112/264 =248个密钥能产生给定的密 文。 这一攻击法所需的存储量为256×8 Byte,最 大试验的加密次数2×256 =257。这说明破译 双重DES的难度为 57量级 难度为2 难度为 量级。
DES的解密过程与加密过程完全相同。唯一的不同是,子密钥的使 的解密过程与加密过程 唯一的不同是, 用顺序完全相反。 用顺序完全相反。
– 加密: k1,k2,k3, … , k16 加密: – 解密:k16, … , k3, k2, k1 解密:
算法主要包括: 算法主要包括:
– 16个子密钥产生器 个子密钥产生器 – 初始置换 初始置换IP – 16轮迭代的乘积变换(E,B,P) 轮迭代的乘积变换( 轮迭代的乘积变换 – 逆初始置换 -1 逆初始置换IP
差分密码分析(Differential cryptanalysis)
以这一方法攻击DES,尚需要用2 47 个选择明文和 247次加密运算。 为什么DES在强有力的差值密码分析攻击下仍能 站住脚?
– 根据Coppersmith[1992内部报告]透露,IBM的DES研究 组早在 早在1974年就已知道这类攻击方法,因此,在设计 年 S盒、P-置换和迭代轮数上都做了充分考虑,从而使 DES能经受住这一有效破译法的攻击。
差分密码分析(Differential cryptanalysis)
差分密码分析是一种攻击迭代分组密码的 选择明文统计分析破译法。 它不是直接分析密文或密钥的统计相关性, 而是分析明文差分和密文差分之间的统计 相关性。
20082008-9-21
19
差分密码分析(Differential cryptanalysis)
20082008-9-21
29
中途相遇攻击
对于给定明文x,以两重DES加密将有264个 可能的密文。 可能的密钥数为2112个。所以,在给定明文 下,将有2112/264 =248个密钥能产生给定的密 文。 这一攻击法所需的存储量为256×8 Byte,最 大试验的加密次数2×256 =257。这说明破译 双重DES的难度为 57量级 难度为2 难度为 量级。
DES的解密过程与加密过程完全相同。唯一的不同是,子密钥的使 的解密过程与加密过程 唯一的不同是, 用顺序完全相反。 用顺序完全相反。
– 加密: k1,k2,k3, … , k16 加密: – 解密:k16, … , k3, k2, k1 解密:
算法主要包括: 算法主要包括:
– 16个子密钥产生器 个子密钥产生器 – 初始置换 初始置换IP – 16轮迭代的乘积变换(E,B,P) 轮迭代的乘积变换( 轮迭代的乘积变换 – 逆初始置换 -1 逆初始置换IP
差分密码分析(Differential cryptanalysis)
以这一方法攻击DES,尚需要用2 47 个选择明文和 247次加密运算。 为什么DES在强有力的差值密码分析攻击下仍能 站住脚?
– 根据Coppersmith[1992内部报告]透露,IBM的DES研究 组早在 早在1974年就已知道这类攻击方法,因此,在设计 年 S盒、P-置换和迭代轮数上都做了充分考虑,从而使 DES能经受住这一有效破译法的攻击。
现代密码学 (5)
2011-4-12
7
分组密码算法应满足的要求
分组长度n要足够大: 分组长度 要足够大: 要足够大
防止明文穷举攻击法奏效。 防止明文穷举攻击法奏效。
密钥量要足够大: 密钥量要足够大:
尽可能消除弱密钥并使所有密钥同等地好, 尽可能消除弱密钥并使所有密钥同等地好,以防止 密钥穷举攻击奏效。
由密钥确定置换的算法要足够复杂: 由密钥确定置换的算法要足够复杂:
第四章 分组密码
一、分组密码概述 二、分组密码运行模式 三、DES 四、AES 五、分组密码的分析
2011-4-12
1
一、分组密码概述
2011-4-12
2
分组密码概述
分组密码是许多系统安全的一个重要组成部分。 分组密码是许多系统安全的一个重要组成部分。 可用于构造
拟随机数生成器 流密码 消息认证码(MAC)和杂凑函数 消息认证码(MAC)和杂凑函数 消息认证技术、数据完整性机构、 消
2011-4-12 22
III型迭代分组密码 型迭代分组密码
群密码:若密钥与明文、密文取自同一空间 群密码:若密钥与明文、密文取自同一空间GF(2 n),且 , y=x⊗k ⊗ 可通过k的逆元 式中, 式中,⊗是群运算,则称其为群密码。显然x可通过 的逆元 群运算,则称其为群密码。显然 可通过 求得 x=y⊗k-1 ⊗ F[x, k]=fI (x⊗kA, kB) = ⊗ 为迭代函数, 可以III型多轮迭代分组密码 。 在最后一轮 为迭代函数 , 可以 型多轮迭代分组密码。 型多轮迭代分组密码 另外加了一次群密码运算, 用以保证整个加、 中 , 另外加了一次群密码运算 , 用以保证整个加 、 解密 的对合性。 的对合性。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1) 加密算法 密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1) 解密算法
现代密码学总结汇总
现代密码学总结第一讲绪论•密码学是保障信息安全的核心•安全服务包括:机密性、完整性、认证性、不可否认性、可用性•一个密码体制或密码系统是指由明文(m或p)、密文(c)、密钥(k)、加密算法(E)和解密算法(D)组成的五元组。
•现代密码学分类:•对称密码体制:(又称为秘密密钥密码体制,单钥密码体制或传统密码体制)密钥完全保密;加解密密钥相同;典型算法:DES、3DES、AES、IDEA、RC4、A5 •非对称密码体制:(又称为双钥密码体制或公开密钥密码体制)典型算法:RSA、ECC第二讲古典密码学•代换密码:古典密码中用到的最基本的处理技巧。
将明文中的一个字母由其它字母、数字或符号替代的一种方法。
(1)凯撒密码:c = E(p) = (p + k) mod (26) p = D(c) = (c –k) mod (26)(2)仿射密码:明文p ∈Z26,密文c ∈Z26 ,密钥k=(a,b) ap+b = c mod (26)(3)单表代换、多表代换Hill密码:(多表代换的一种)——明文p ∈(Z26)m,密文c ∈(Z26)m,密钥K ∈{定义在Z26上m*m的可逆矩阵}——加密c = p * K mod 26 解密p = c * K-1 mod 26Vigenere密码:查表解答(4)转轮密码机:•置换密码•••:将明文字符按照某种规律重新排列而形成密文的过程列置换,周期置换•密码分析:•统计分析法:移位密码、仿射密码和单表代换密码都没有破坏明文的频率统计规律,可以直接用统计分析法•重合指数法• 完全随机的文本CI=0.0385,一个有意义的英文文本CI=0.065• 实际使用CI 的估计值CI ’:L :密文长。
fi :密文符号i 发生的数目。
第三讲 密码学基础第一部分 密码学的信息论基础• Shannon 的保密通信系统模型发送者接收者信源分析者加密解密安全信道无噪信道安全信道MM MCK K密钥源发送者接收者信源分析者加密解密无噪信道安全信道MM MC KK ’密钥源无噪信道•一个密码体制是一个六元组:(P, C, K 1, K 2, E, D )P--明文空间 C--密文空间 K 1 --加密密钥空间K2 --解密密钥空间E --加密变换D --解密变换对任一k∈K1,都能找到k’∈K2,使得D k’ (E k (m))=m,m M. •熵和无条件保密•)(1log)()(≥=∑i iaixpxpXH设随机变量X={xi | i=1,2,…,n}, xi出现的概率为Pr(xi) ≧0, 且, 则X的不确定性或熵定义为熵H(X)表示集X中出现一个事件平均所需的信息量(观察前);或集X中每出现一个事件平均所给出的信息量(观测后).•设X={x i|i=1,2,…,n}, x i出现的概率为p(x i)≥0,且∑i=1,…,n p(x i)=1;Y={y i|i=1,2,…,m}, y i出现的概率为p(y i)≥0,且∑i=1,…,m p(y i)=1;则集X 相对于集Y的条件熵定义为•X视为一个系统的输入空间,Y视为系统的输出空间,通常将条件熵H(X|Y)称作含糊度,X和Y之间的平均互信息定义为:I(X,Y)=H(X)-H(X|Y)表示X熵减少量。
应用编码与计算机密码学 第4章 分组密码
for i ←1 to m
1 算法4.1 .1 SPN(x , πS , πp , (k 1 ,..., k Nr +) )
do y
Output(y)
Nr r v(N i) ←π g (u(i)
←vNr ⊕k Nr+1
1
替代-置换网格 (SPN)
SPN的一般原理: 详见例4.1.1
2
Feistel密码结构
w0 ← x for r ←1 to Nr−1 ⎧ u r ← w r −1 ⊕ k r ⎪ to m ⎪ for i ← 1 do ⎨ r r π do v ( u ← (( i ) s ( i) ) ⎪ r ⎪ w r ← ( v π (1) ,..., v π ) P ( lm ) P ⎩ uNr ←wNr−i ⊕k nr
为非线性构件的S盒对密码体制的安全 性至关重要,对S盒的争议仍在继续。由于 DES中的S盒、迭代次数、密钥长度等参数 都是固定的,人们担心如果在算法中嵌入了 陷门(Trapdoors)
3
数据加密标准DES
弱密钥和半弱密钥
如果给定初始密钥k,各轮的子密钥都相 同,即有 k1=k2= … =k16 ,则密钥k为弱密钥。 如果存在不同密钥,可以把明文加密成 相同的密文,即存在一个不同的密钥 k’ 使 DESk’()= DESk()。这时密钥k,k’为半 弱密钥。
DES框图
3
数据加密标准DES
DES加密过程中的基本运算: 1.DES中的初始置换IP与初始逆置换IP-1 表4-1给出了初始置换IP与初始逆置换IP-1。
3
数据加密标准DES
对于要加密的明文串64比特,初 始置换IP把原来输入的第58位置换为 第1位,原输入的第50位置换为第2 位,……,把原输入的第7位置换为第 64位。同样的初始置换是以预输出作 为它的输入,该置换的输出以预输出 块的第40位作为它的第1位······而以 25位作为它的最后一位。
1 算法4.1 .1 SPN(x , πS , πp , (k 1 ,..., k Nr +) )
do y
Output(y)
Nr r v(N i) ←π g (u(i)
←vNr ⊕k Nr+1
1
替代-置换网格 (SPN)
SPN的一般原理: 详见例4.1.1
2
Feistel密码结构
w0 ← x for r ←1 to Nr−1 ⎧ u r ← w r −1 ⊕ k r ⎪ to m ⎪ for i ← 1 do ⎨ r r π do v ( u ← (( i ) s ( i) ) ⎪ r ⎪ w r ← ( v π (1) ,..., v π ) P ( lm ) P ⎩ uNr ←wNr−i ⊕k nr
为非线性构件的S盒对密码体制的安全 性至关重要,对S盒的争议仍在继续。由于 DES中的S盒、迭代次数、密钥长度等参数 都是固定的,人们担心如果在算法中嵌入了 陷门(Trapdoors)
3
数据加密标准DES
弱密钥和半弱密钥
如果给定初始密钥k,各轮的子密钥都相 同,即有 k1=k2= … =k16 ,则密钥k为弱密钥。 如果存在不同密钥,可以把明文加密成 相同的密文,即存在一个不同的密钥 k’ 使 DESk’()= DESk()。这时密钥k,k’为半 弱密钥。
DES框图
3
数据加密标准DES
DES加密过程中的基本运算: 1.DES中的初始置换IP与初始逆置换IP-1 表4-1给出了初始置换IP与初始逆置换IP-1。
3
数据加密标准DES
对于要加密的明文串64比特,初 始置换IP把原来输入的第58位置换为 第1位,原输入的第50位置换为第2 位,……,把原输入的第7位置换为第 64位。同样的初始置换是以预输出作 为它的输入,该置换的输出以预输出 块的第40位作为它的第1位······而以 25位作为它的最后一位。
现代密码学原理与应用第4章
第4章 分组密码体制
4.1 分组密码概述
所谓分组密码是将明文分成一组一组,在密钥的控制下, 经过加密变换生成一组一组的密文。具体而言,分组密码就是 将明文消息序列 m1, m2, , mi , 划分成等长的消息组
(m1, m2 , , mn ), (mn1, mn2 , , m2n ),
2.差分密码分析法
差分密码分析法与一般统计分析法的本质区别是,不直 接分析密文或密钥的统计相关性,而是通过对明文对的差值 与相应的密文对的差值之间的统计关系的分析,对密钥某些 位进行合理的推断与猜测。
3.线性密码分析
线性密码分析是一种已知明文攻击法。它通过对非线 性函数的线性近似来实现分析密钥的目标。其基本思想是 寻找一个密码算法的有效的线性近似表达式,即寻找分组 密码算法中明文、密文和密钥的若干位之间的线性关系, 最终破译密码系统。
图4-7 子密钥生成过程
① 置换选择PC1 【例4-2】设初始密钥
• K = (123DAB779F658067)16 • = (00010010 00111101 10101011 01110111 10011111
01100101 10000000 01100111)2 • 经过置换选择PC1,并分成左右两部分,结果为
子密钥产生的算法充分实现明文与密钥的扩散和混淆,没 有简单的关系可循,能抗击各种已知的攻击。
6.加密和解密运算简单
在以软件实现时,应选用简单的运算,使密码运算易于以 标准处理器的基本运算。
4.1.2 分组密码算法结构
1.Feistel结构 Feistel结构把任何函数(一般称F函数,又称轮函数)
转化为一个置换。
加密算法的输入是一个分组长度为2n的明文M0和一个种 子密钥K0,将明文M0分成左右两半L0和R0,这里L0是M0的左 半部分nbit,R0是M0的右半部分nbit,在进行完r轮迭代后,
4.1 分组密码概述
所谓分组密码是将明文分成一组一组,在密钥的控制下, 经过加密变换生成一组一组的密文。具体而言,分组密码就是 将明文消息序列 m1, m2, , mi , 划分成等长的消息组
(m1, m2 , , mn ), (mn1, mn2 , , m2n ),
2.差分密码分析法
差分密码分析法与一般统计分析法的本质区别是,不直 接分析密文或密钥的统计相关性,而是通过对明文对的差值 与相应的密文对的差值之间的统计关系的分析,对密钥某些 位进行合理的推断与猜测。
3.线性密码分析
线性密码分析是一种已知明文攻击法。它通过对非线 性函数的线性近似来实现分析密钥的目标。其基本思想是 寻找一个密码算法的有效的线性近似表达式,即寻找分组 密码算法中明文、密文和密钥的若干位之间的线性关系, 最终破译密码系统。
图4-7 子密钥生成过程
① 置换选择PC1 【例4-2】设初始密钥
• K = (123DAB779F658067)16 • = (00010010 00111101 10101011 01110111 10011111
01100101 10000000 01100111)2 • 经过置换选择PC1,并分成左右两部分,结果为
子密钥产生的算法充分实现明文与密钥的扩散和混淆,没 有简单的关系可循,能抗击各种已知的攻击。
6.加密和解密运算简单
在以软件实现时,应选用简单的运算,使密码运算易于以 标准处理器的基本运算。
4.1.2 分组密码算法结构
1.Feistel结构 Feistel结构把任何函数(一般称F函数,又称轮函数)
转化为一个置换。
加密算法的输入是一个分组长度为2n的明文M0和一个种 子密钥K0,将明文M0分成左右两半L0和R0,这里L0是M0的左 半部分nbit,R0是M0的右半部分nbit,在进行完r轮迭代后,
《分组密码》PPT课件
一、有限域GF(28) 可以把出b7b6b5b4b3b2b1b0构成的一个字节看成是系数在(0, 1) 中取值的多项式:
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
现代密码学第四讲:分组密码1
《现代密码学》第四讲
分组密码(一)
上讲内容回顾
问题的定义及分类 算法复杂度定义及分类 P问题和NP问题 密码算法的计算安全性
2012-10-30
北邮现代密码学
2
本节主要内容
分组密码定义 分组密码的发展历史 保密系统的安全性分析及分组密码的攻击 数据加密标准(DES)算法介绍 高级加密标准(AES)算法介绍 中国无限局域网标准(SMS4)算法介绍 分组密码算法的运行模式
2012-10-30
北邮现代密码学
11
分组密码的发展历史
欧洲于2000年1月启动了NESSIE工程, 该 工程的目的是评价出包含分组密码, 流密 码等在内的一系列安全, 高效和灵活的密 码算法. 至2000年9月, 共征集到了17个分组密码 算法, 同时将TDES和AES纳入了评估范围, 并作为分组密码算法的评测基准. 经过3年2个阶段的筛选,最终确定下列算 法为推荐的分组密码算法:MISTY-64、 Camllia-128、AES-128和SHACAL-2。
2012-10-30 北邮现代密码学 8
分组密码的发展历史
理论强度,97年$100000的机器可以在6小 时内用穷举法攻破DES. 实际攻破的例子,97年1月提出挑战,有人 利用Internet的分布式计算能力,组织志愿 军连接了70000多个系统在96天后攻破. 这意味着随着计算能力的增长,必须相应 地增加算法密钥的长度。
2012-10-30 北邮现代密码学 13
回顾分组密码设计准则
迭代结构:选择某个较为简单的密码变换,在密钥控制下以 迭代方式多次利用它进行加密变换,就可以实现预期的扩 散和混乱效果。(轮函数)
分组密码(一)
上讲内容回顾
问题的定义及分类 算法复杂度定义及分类 P问题和NP问题 密码算法的计算安全性
2012-10-30
北邮现代密码学
2
本节主要内容
分组密码定义 分组密码的发展历史 保密系统的安全性分析及分组密码的攻击 数据加密标准(DES)算法介绍 高级加密标准(AES)算法介绍 中国无限局域网标准(SMS4)算法介绍 分组密码算法的运行模式
2012-10-30
北邮现代密码学
11
分组密码的发展历史
欧洲于2000年1月启动了NESSIE工程, 该 工程的目的是评价出包含分组密码, 流密 码等在内的一系列安全, 高效和灵活的密 码算法. 至2000年9月, 共征集到了17个分组密码 算法, 同时将TDES和AES纳入了评估范围, 并作为分组密码算法的评测基准. 经过3年2个阶段的筛选,最终确定下列算 法为推荐的分组密码算法:MISTY-64、 Camllia-128、AES-128和SHACAL-2。
2012-10-30 北邮现代密码学 8
分组密码的发展历史
理论强度,97年$100000的机器可以在6小 时内用穷举法攻破DES. 实际攻破的例子,97年1月提出挑战,有人 利用Internet的分布式计算能力,组织志愿 军连接了70000多个系统在96天后攻破. 这意味着随着计算能力的增长,必须相应 地增加算法密钥的长度。
2012-10-30 北邮现代密码学 13
回顾分组密码设计准则
迭代结构:选择某个较为简单的密码变换,在密钥控制下以 迭代方式多次利用它进行加密变换,就可以实现预期的扩 散和混乱效果。(轮函数)
现代密码学 (7)
2011-4-12
4
美国制定数据加密标准简况
IBM公司在 公司在1971年完成的 年完成的LUCIFER密码 (64 bit分组,代 分组, 公司在 年完成的 密码 分组 置换, 密钥)的基础上 换-置换,128 bit密钥 的基础上,改进成为建议的 置换 密钥 的基础上,改进成为建议的DES体 体 制 1975年3月17日NBS公布了这个算法, 并说明要以它作为 年 月 日 公布了这个算法, 公布了这个算法 联邦信息处理标准,征求各方意见。 联邦信息处理标准,征求各方意见。 1977年1月15日建议被批准为联邦标准 年 月 日建议被批准为联邦标准 日建议被批准为联邦标准[FIPS PUB 46],并 , 设计推出DES芯片。 芯片。 设计推出 芯片 1 9 8 1 年 美 国 ANSI 将 其 作 为 标 准 , 称 之 为 DEA[ANSI X3.92] 1983年国际标准化组织 年国际标准化组织(ISO)采用它作为标准,称作 采用它作为标准, 年国际标准化组织 采用它作为标准 称作DEA1
2011-4-12 5
美国制定数据加密标准简况
NSA宣布每隔 年重新审议 宣布每隔5年重新审议 是否继续作为联邦标准, 宣布每隔 年重新审议DES是否继续作为联邦标准 , 是否继续作为联邦标准 1988年(FIPS46-1)、1993年(FIPS46-2),1998年不再重 年 ) 年 ) 年不再重 新批准DES为联邦标准。 为联邦标准。 新批准 为联邦标准 虽然DES已有替代的数据加密标准算法,但它仍是迄今为止 已有替代的数据加密标准算法, 虽然 已有替代的数据加密标准算法 得到最广泛应用的一种算法, 得到最广泛应用的一种算法,也是一种最有代表性的分组加 密体制。 密体制。 1993年4月,Clinton政府公布了一项建议的加密技术标准, 年 月 政府公布了一项建议的加密技术标准, 政府公布了一项建议的加密技术标准 称 作 密 钥 托 管 加 密 技 术 标 准 EES(Escrowed Encryption Standard)。算法属美国政府 密级。 。算法属美国政府SECRET密级。 密级
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
循环左移
D1 (28位) (56位) 置换选择2 k1 (48位)
14 3 23 16 41 30 44 46
置换方法
17 28 19 7 52 40 49 42 11 15 12 27 31 51 39 50 24 6 4 20 37 45 56 36 1 21 26 13 47 33 34 29 5 10 8 2 55 48 53 32
20
迭代的轮数
分组密码一般采用简单的、安全性弱的密码函数进行多
轮迭代运算,使得安全性增强。一般来说,分组密码迭代轮 数越多,密码分析越困难,但也不是追求迭代轮数越多越好, 过多迭代轮数会使加解密算法的性能下降,而实际的安全性 增强不明显。 决定迭代轮数的准则:密码算法分析的难度大 于简单穷举搜索攻击的难度。分组密码迭代轮数一般采用8、 10、12、16、20的居多。
循环左移
C16 (28位)
循环左移
C16 (28位) (56位) 置换选择2 k16 (48位)
注:去掉9,18,22,25,35,38, 43,54位
注:密钥各位在子密钥出现次数基本相同(12次至15次),平均次数为13.7
30
压缩替代S-盒(48位压缩到32位)
48比特
6比特 6比特 6比特 6比特 6比特 6比特 6比特 6比特
考虑,通常密钥长度t不能太大。当然,密钥长度t不能太小,
否则,难以抵抗对密钥的穷举搜索攻击。
7
分组密码的要求
分组长度要足够大 密钥量要足够大
当分组长度较小时,攻击者通过 穷举明文空间,得到密码变换规 律,难于抵御选择明文攻击。
密码变换足够复杂
加密和解密运算简单 无数据扩展或压缩
21
DES算法
DES算法的简介
DES算法的实现
DES算法的安全性 多重DES算法
22
DES简介
1973年,美国的国家标准局(National Bureau of Stand ards,NBS)认识到建立数据加密标准的迫切性,开始在全国征集 国家数据加密标准。有很多公司着手这项工作并提交了一些建 议,最后IBM公司的Lucifer加密系统获得了胜利。经过两年多 的公开讨论之后,1977年1月15日NBS决定利用这个算法,并 将其更名为数据加密标准(Data Encryption Stand-ards, DES)。不 久,其他组织也认可和采用DES作为加密算法,供商业和非国 防性政府部门使用。当时,确定有效期为5年,随后在1983年、 1988年、1993年三次再度授权该算法续用五年,1997年开始征 集AES(高级加密标准),2000年选定比利时人设计的Rijndael算 法作为新标准(AES)。
6
分组密码的置换
对于一个分组长度为n的分组密码,不同的密钥对应不同的加
密解密变换,即,对于给定的密钥k,加密变换Ek是GF(2)n上 的一个置换,解密变换Dk是Ek的逆变换。
如果密钥长度为t,则密钥量为2t。又由于GF(2)n上共有2n!个
不同的置换,所以必须有2t ≤2n!。为了便于密钥管理和效率
S1
S2
S3
S4
S5
S6
S7
S8
4比特 4比特 4比特 4比特 4比特 4比特 4比特 4比特
32比特
31
S盒的规则
S-盒1 S-盒5
S-盒2 S-盒3 S-盒4
S-盒6 S-盒7 S-盒8
32
S-盒的构造方法(举例)
b1 b2 b3 b4 b5 b6 行 b1b6
密码算法:加密和解密除密钥编排不同外,使用同一算法。
密钥长度:56位,但存在弱密钥,容易避开。
采用混乱和扩散的组合,每个组合先代换后置换,共16轮。
只使用了简单的逻辑运算,易于实现,速度快。
现代密码学诞生的标志之一,揭开了商用密码研究的序幕。
25
DES加密流程图
64位明文m L0 (32位)
17 26 35 4
轮 位 轮 数 数 数
1 2 3 4 5 6 7 8 1 1 2 2 2 2 2 2 9 10 11 12 13 14 15 16
位 数
1 2 2 2 2 2 2 1
注:去掉8位奇偶校验位
循环左移
C1 (28位)
明文混乱以后能得到密文,反之,密文经过逆向的混乱操作
后能恢复出明文。(按照混乱原则,分组密码算法应有复杂 的非线性因素)
12
混乱的举例说明
13
乘积密码
依次使用两个或两个以上的基本密码,所得结果的密
码强度将强于所有单个密码的强度。实际上,乘积密码就
是扩散和混乱两种基本密码操作的组合变换,这样能够产 生比各自单独使用时更强大的密码系统。选择某个较为简 单的密码变换(包含多个基本密码),在密钥控制下以迭代方 式多次利用它进行加密变换,就可以达到预期的扩散和混 乱效果。乘积密码有助于利用少量的软硬件资源实现较好 的扩散和混乱效果,再通过迭代方法,达到预期设计效果, 这种思想在现代密码设计中使用非常广泛。
组密码一词在很多场合指的是对称分组密码,简称分组密码。
由于分组密码加解密速度较快,安全性好,以及得到许多密码
芯片的支持,现代分组密码发展非常快,在许多研究和应用领
域得到了广泛的应用。
5
分组密码的含义
也称块密码,它是将明文消息经编码表示后的二进制序列 p0,p1,…,pi, …划分成若干固定长度(譬如m)的组(或块) p=(p0 , p1 ,…, pm-1),各组分别在密钥k=(k0,k1,…,kt-1)的控制下转换成长 度为n的密文分组c=(c0,c1,…,cn-1)。其本质是一个从明文空间
26
64位密文C
DES加密过程的公式化描述
初始置换
迭代次数
L0 R0 IP ( 64bit明文 ) Li Ri 1 Ri Li 1 F ( Ri 1 , ki )
1
i 1, 2, i 1, 2,
,16 ,16
64bit密文 IP ( R16 L16 )
如果密钥量小,攻击者可以有效地通过 穷举密钥,对密文进行解密,以得到有 意义的明文,难于抵御惟密文攻击。
使攻击者除了穷举法攻击以外, 找不到其它有效的数学破译方法。
便于软件和硬件实现,性能好。
很重要。
8
分组密码的设计思想
扩散
混乱
9
扩散
所谓扩散,是指要将算法设计成明文每一比特的变化尽 可能多地影响到输出密文序列的变化,以便隐蔽明文的统计 特性。形象地称为雪崩效应。
14
乘积密码的实现---SP网络
SP网络是由多重S变换和P变换组合成的变换网络,它是 乘积密码的一种。其基本操作是S变换(代换)和P变换(置换),
前者称为S盒,后者称为P盒。S盒起到混乱作用,P盒起到扩
散的作用。SP网络的构造及S盒、P盒的构造如下图所示:
15
SP网络的性质
SP网络具有雪崩效应。所谓雪崩效应是指,输入(明文或密钥) 即使只有很小的变化,也会导致输出(密文)产生巨大的变化现象。
扩散的另一层意思是密钥每一位的影响尽可能迅速地扩
展到较多的密文比特中去。即扩散的目的是希望密文中的任 一比特都要尽可能与明文、密钥相关联,或者说,明文和密
钥中任何一比特值发生改变,都会在某种程度上影响到密文
值的变化,以防止将密钥分解成若干个孤立的小部分,然后 被各个击破。
10
扩散的举例说明
明文
00000000 00000001
上讲主要内容
密码学的简介 简介香农理论 密码分析学的基本知识
密码系统的安全性
1
第四五讲 分组密码
主讲人:谷利泽
Email:glzisc@ Tel: 010-62283134
本讲主要内容
分组密码的简介
DES密码算法 AES密码算法 分组密码操作模式
3
分组密码的简介
分组密码的含义和要求 分组密码的设计思想
29
扩展
DES子密钥的生成算法
置换方法
64位密钥
置换选择1 C0 (28位) D0 (28位)
57 1 10 19 63 7 14 21
49 58 2 11 55 62 6 13
41 50 59 3 47 54 61 5
33 42 51 60 39 46 53 28
25 34 43 52 31 38 45 20
密文
xxxxxx01 xxxxxx11
扩散技术 差的变换
00000000 00000001
01011010 11101011
扩散技术 好的变换
11
混乱
所谓混乱,指在加解密变换过程中明文、密钥以及密文之 间的关系尽可能地复杂化,以防密码破译者采用解析法(即通 过建立并求解一些方程)进行破译攻击。 混乱可以用“搅拌机”来形象地解释,将一组明文和一 组密钥输入到算法中,经过充分混合,最后变成密文。同时 要求,执行这种“混乱”作业的每一步都必须是可逆的,即
分组密码的基本特点
4
分组密码的概述
分组密码(block cipher)是现代密码学中的重要体制之一,也是应
用最为广泛、影响最大的一种密码体制,其主要任务是提供数 据保密性,也可以用到在许多方面,如构造伪随机数生成器、 序列密码、认证码和哈希函数等。
分组密码又分为对称分组密码和非对称分组密码,习惯上,分
实现简单、速度满足要求;
种子密钥的所有比特对每个子密钥比特的影响应大致相同;
没有弱密钥或弱密钥容易确定。
19
轮函数F的设计准则
轮函数F是分组密码的核心,是分组密码中单轮加解密 函数,其基本准则:
非线性
主要依赖S盒
可逆性
雪崩效应
能够实现解密