2010-密码学第5周_分组密码
合集下载
分组密码
7
DES分组密码算法 DES分组密码算法
一、背景简介
该算法是在美国NSA(国家安全局)资助下由IBM公 (国家安全局)资助下由 该算法是在美国 公 司开发的密码算法, 司开发的密码算法,其初衷是为政府非机密的敏感信息提 供较强的加密保护。它是美国政府担保的第一种加密算法, 供较强的加密保护。它是美国政府担保的第一种加密算法, 并在1977年被正式作为美国联邦信息处理标准。DES主要 年被正式作为美国联邦信息处理标准。 并在 年被正式作为美国联邦信息处理标准 主要 提供非军事性质的联邦政府机构和私营部门使用,并迅速 提供非军事性质的联邦政府机构和私营部门使用, 成为名声最大,使用最广的商用密码算法。 成为名声最大,使用最广的商用密码算法。
21
③ P盒置换 将S-盒变换后的32比特数据再进行P盒置换,置 换后得到的32比特即为 f 函数的输出。
P
16 29 1 5 2 32 19 22 7 12 15 18 8 27 13 11 20 28 23 31 24 3 30 4 21 17 26 10 14 9 6 25
含义:P盒输出的第 个元是输入的第 个元。 含义 盒输出的第1个元是输入的第 个元。 盒输出的第 个元是输入的第16个元
DES的第 DES的第 i 圈加密结构图 Li-1(32位) f Ri-1(32位)
Ki
Li(32位)
Ri(32位)
16
DES的 变形函数 的 变形函数F
32位
E
48位
48位子密钥
⊕
S1 S2
S3
S4
S5
S6
S7
S8
P
17
① E盒扩展 盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特 数据
密码学之分组密码算法
密码学之分组密码算法密码学之分组密码算法简介分组密码算法(Block Cipher Algorithm)是将输⼊数据划分成固定长度的组进⾏加密和解密的⼀类对称密码算法。
其安全性主要以来于密钥,通信双⽅使⽤相同的密钥加密和解密。
其优势有速度快,易于标准化和便于软硬件实现等特点。
下标集:₀₁₂₃₄₅₆₇₈₉⁻ ¹ ₋DES加密算法DES简介于1977年公布的第⼀个被⼴泛应⽤的商⽤数据加密算法,在抵抗了⼆⼗余年的密码分析后,其安全性已⽆法得到保障。
所以在1998年12⽉以后就不再使⽤DES加密算法。
但是其衍⽣的三重DES加密算法⽬前还有其应⽤场景。
加密过程算法总览DES加密算法就如下图所⽰。
其输⼊为64位(bit)的明⽂,使⽤56位(bit)的密钥,但是附加了8位奇偶校验位(位于8,16,...,64位)组合成64位密钥。
在64位密钥的控制下,最终产⽣了64(bit)的密⽂。
在下图中X=X₁X₂X₃...X₆₄即为输⼊明⽂,在经过初始转换IP的换位处理后,得到⼀个乱序的明⽂组,并将其分为L₀和R₀两部分,每部分各32位。
⽽K₁K₂...K₁₆则是⽣成由初始密钥⽣成的轮密钥,长度有48位。
其次进⾏如下图所⽰与密钥有关的16轮迭代变换。
对R₀在进⾏⼦密钥K₁控制下的f变换,其得到的结果与L₀作逐位异或后,作为下⼀轮的R₁,⽽R₀则作为下⼀轮的L₁。
在经过16轮如上步骤,最后经过逆初始置换P⁻¹处理后得到密⽂Y=Y₁Y₂Y₃...Y₆₄初始置换IP与逆初始置换IP⁻¹IP操作是对原明⽂的位次顺序进⾏打乱,⽽逆初始置换IP⁻¹是IP操作的⼀个逆操作,其⽬的是为了撤销之前的初始置换操作。
其实这两种操作对密码⽅⾯的作⽤并不⼤。
其具体操作正如表格中所⽰,在如下表格中依次填⼊该顺序位次下的bit位,最终组成新的位次顺序。
如第⼀位的的内容即为原明⽂中第58位处的内容。
轮密钥的产⽣初始密钥K在经过选择置换PC_1后同样分为两个部分C₀和D₀,每部分各28位(bit),该选择置换实际是在除去了奇偶校验位的置换。
分组密码原理
分组密码原理
分组密码是一种密码算法,它将明文分为固定大小的块(通常为64位或128位),然后通过一系列的加密操作将每个分组
转换为对应的密文分组。
分组密码的核心原理是使用一个密钥来对每个分组进行加密。
加密过程包括多个轮次,每个轮次都涉及到多个步骤,如替代、置换、混淆和线性变换等。
在每个轮次中,明文分组会与密钥的某个子密钥进行混合,生成一个中间结果,然后再进行下一轮的操作。
最后一轮的结果即为该分组的密文。
在解密过程中,密文分组会经过与加密过程相反的操作,使用相同的密钥和子密钥来逐步还原为原始的明文分组。
分组密码的优势在于它可以处理大量的数据,并且能够抵抗多种密码攻击。
同时,通过不同的密钥和轮次数的组合,可以生成不同的密码变种,提供更高的安全性。
然而,分组密码也存在一些限制。
首先,由于每个分组的加密是独立进行的,所以加密过程中的错误可能会影响整个密文分组的完整性。
其次,分组密码的加密速度相对较慢,不适用于一些实时的应用场景。
总的来说,分组密码通过将明文分组成固定大小的块,并使用密钥和一系列的操作对每个分组进行加密,从而保护数据的机密性和完整性。
《密码学分组密码》PPT课件
.
8
Feistel结构定义
•加密: Li = Ri-1; Ri = Li-1F(Ri-1,Ki) •解密: Ri-1 = Li
Li-1 = RiF(Ri-1,Ki)
= RiF(Li,Ki.)
9
Feistel结构图
.
10
数据加密标准
DES描述 二重DES 两个密钥的三重DES 三个密钥的三重DES
k57= k49= k41= ……= k9= k1=0 或1
k63= k55= k47= ……= k15= k7=0 或1
• 举例:共有4种,如:0101010.101010101。
33
(2) 半弱密钥:
定义:当存在子密钥K和K’,使得: DESk ( m ) = DESk’ -1 ( m ) 或 DESk ( DESk’ ( m ) ) = m 则K和K’成对构成半弱密钥。
C 1( 28 位 )
D 1( 28 位 )
8 2 16 1
( 56 位 ) 置 换 选 择 2
k1
(48 位 )
循环左移
循环左移
C i( 2 8 位 )
D i( 2 8 位 )
置 换 选 择 2 ki
( 56 位 )
( 48 位 )
.
29
置换选择1和置换选择2
.
30
DES解密
和Feistel密码一样,DES的解密和加密使 用同一算法,只是子密钥的使用顺序相 反。
.
32
关于DES的若干问题:
1. DES的坏密钥问题:
(1)弱密钥:
定义:当密钥K所产生的子密钥满足:K1 = K2 = ……= K16 则有:DESk ( m ) = DESk -1 ( m ) , 或:DESk ( DESk ( m ) ) = m 这样的密钥K称为弱密钥。
现代密码学-分组密码DES
17
DES子密钥生成算法
循环左移LSi 将28位的密钥段作为Ci, Di循环左移1或2位,左移位数由 下表确定. i
1 2 1 3 2 4 2 5 2 6 2 7 2 8 2 9 1 10 11 12 13 14 15 16 2 2 2 2 2 2 1
LSi 1
18
DES子密钥生成算法
置换选择2: PC-2 从56位密钥段Ci||Di中选择48位作为子密钥Ki. PC-2 14 3 23 16 41 30 44 46 17 28 19 7 52 40 49 42 11 15 12 27 31 51 39 50 24 6 4 20 37 45 56 36 1 21 26 13 47 33 34 29 5 10 8 2 55 48 53 32
6
Feistel 密码
密文: y(2w-bit) L0(w-bit) R0(w-bit) F R1 …. …. Ki Ri …. …. K1 Rh Rh+1 明文: x(2w-bit)
7
Feistel解密结构 与加密结构相同 子密钥使用次序相反: Kh, Kh-1,…,K2,K1 输入:密文y 输出:明文x
置换选择2: 从56个密钥比特中取 出48个作为子密钥
20
DES解密算法
与DES加密结构相同 子密钥使用次序相反: K16 K15,…,K2,K1 输入:密文y 输出:明文x
21
DES的解密过程可描述为:
Ri 1 Li Li 1 Ri f ( Li , K i ), i 16,15,1
L1
Kh
Li
F
F
Lh
Lh+1
2 数据加密标准(DES)
分组加密算法课件
密钥k=(k0,… ,kn-1) 密钥k=(k0,… ,kn-1)
明文
加密算法
(x0,… ,xn-1)
原来的明文 密文 解密算法 (x0,… ,xn-1)
(y0,… ,yn-1)
分组加密算法
分组密码的一般设计原理
设计目标
在密钥控制下,从一个足够大、足够好的置换 子集中简单迅速地选出一个置换,对当前输入 的明文数字组进行加密变换;
输入的第58位作为第1位 输入的第50位作为第1位 输入的第42位作为第1位
分组加密算法
输入的第40位作为第1位 输入的第8位作为第1位 输入的第42位作为第1位
IP与IP-1互逆
M=(m1 , m2 ,…..)
1 2 34 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
发明人:
IBM公司 W.Tuchman和C.Meyer.
基础:
1967年美国Horst Feistel提出的理论;
产生:
美国国家标准局1973年开始研究除国防部外的其它部门 的计算机系统的数据加密标准,于1973年5月15日和 1974年8月27日先后两次向公众发出了征求加密算法的 公告,最终选定DES。
S7盒
13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
现代密码学课件--第5讲 分组密码
2013-8-8
20
I型迭代分组密码
以对合密码函数构造的多轮迭代分组密码。
E[x, k]=fI[fI [ fI [fI[x, k(1)],k(2)] ,k(r-1)],k(r)] D[y, k] =fI [fI[ fI[fI[y, k(r)],k(r-1)] ,k(2)] ,k(1)]
密钥量要足够大:
尽可能消除弱密钥并使所有密钥同等地好,以防止 密钥穷举攻击奏效。
由密钥确定置换的算法要足够复杂:
充分实现明文与密钥的扩散和混淆,没有简单的关 系可循,要能抗击各种已知的攻击。
2013-8-8 8
分组密码算法应满足的要求
加密和解密运算简单:
易于软件和硬件高速实现。
数据扩展:
一般无数据扩展,在采用同态置换和随机化加密技术时 可引入数据扩展。
2013-8-8
16
S盒的组合
问题: 如何将几个S盒组合起来构成一个n值较 大的组。
将几个S盒的输入端并行,并通过坐标置换(P-盒)将各S 盒输出比特次序打乱,再送到下一级各S盒的输入端,起到 了Shannon所谓的“扩散”作用。S盒提供非线性变换,将 来自上一级不同的S盒的输出进行“混淆”。经过P-盒的扩 散作用使1均匀地分散到整个输出矢量中,从而保证了输出 密文统计上的均匀性,这就是Shannon的乘积密码的作用。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1) 加密算法 密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1)
密文 x=(y0, y1,…, ym-1)
解密算法
2013-8-8
5
《分组密码》PPT课件
一、有限域GF(28) 可以把出b7b6b5b4b3b2b1b0构成的一个字节看成是系数在(0, 1) 中取值的多项式:
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12
Feistel结构的安全性
(1)分组大小:分组越大则安全性越高,但加密速度 就越慢。分组密码设计中最为普遍使用的分组大小是64比特。 (2)密钥大小:密钥越长则安全性越高,但加密速度 就越慢。现在通常使用128比特的密钥长度。 (3)轮数:单轮结构远不足以保证安全性,但多轮结 构可提供足够的安全性。典型地,轮数取为16。 (4)子密钥产生算法:该算法的复杂性越大,则密码 分析的困难性就越大。 (5)轮函数:轮函数的复杂性越大,密码分析的困难 性也越大。
R0(n比特)
密文(2n比特) Feistel网络加密过程
明文(2n比特) Feistel网络解密过程
14
一轮的解密
Feistel 解密的输入密文为 ( Rr , Lr ) ,作为第 1 轮的解密的输入,右半部分的操作是
Rr F ( Lr , Kr ) , 其 中 由 于 Lr Rr 1 以 及 Rr Lr 1 F ( Rr 1 , Kr ) , 因 此 Rr F ( Lr , Kr ) 等价于 Lr 1 F ( Rr 1 , Kr ) F ( Rr 1, Kr ) Lr 1 ,因此第 1 轮解密输出 ( Rr 1 , Lr 1 )
26
CBC模式
原始图
CBC模式
27
ECB 模式与CBC模式
original
ECB
CBC
/wiki/Block_cipher_modes_of_operation 28
j-比特密码反馈CFB模式
初始变量(IV) (移位寄存器) 64-j比特 64 K 分组加密 64 选j比特 j 明文分组P1 j 密文分组C1 j 明文分组P2 丢弃64-j比特 j 选j比特 j j 密文分组C2 (a) 加密 K 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特 j j j 明文分组PN 密文分组CN ... 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特
K
C1 P S j 1
E IV
初始变量(IV) (移位寄存器) 64-j比特 64 K 分组加密 64 选j比特 j j 丢弃64-j比特 j 密文分组C1 选j比特
(移位寄存器) 64-j比特 64 分组加密 64 选j比特 j j 丢弃64-j比特 ... 选j比特
(移位寄存器) 64-j比特 64 分组加密 64 选j比特 j j j j 密文分组C2 明文分组PN 丢弃64-j比特 选j比特
30
CFB模式错误传播
1、明文某一组中有错,会使以后的密文组 都受影响,但经解密后的恢复结果,除原有误 的一组外,其后各组明文都正确地恢复。 2、密文里的一位错误会引起明文的一个单 独错误,此处,错误进入移位寄存器,导致密 文成为无用信息,直到该错误从移位寄存器中 移出。
例:对于8位(1个字节)的加密,则会产生 9字节的错误
这里要严格的照本宣科!!!
15
分组密码的运行模式
16
分组密码的运行模式
即使有了安全的分组密码算法,也需要采用 适当的工作模式来隐蔽明文的统计特性、数据的 格式等,以提高整体的安全性,降低删除、重放、 插入和伪造成功的机会。美国在FIPS中定义了五 种运行模式。 电码本(ECB)
密码分组链接(CBC) 密码反馈(CFB) 输出反馈(OFB) 计数器模式(CTR)
Li(n比特) 第r-1轮 XOR F
Ri(n比特) Kr-1 第r-1轮
Rr-i(n比特) XOR F
Lr-i(n比特) K2
Lr-1(n比特) 第r轮 XOR Rr(n比特) F
Rr-1(n比特) Kr 第r轮
R1(n比特) XOR L0(n比特) F
L1(n比特) K1
Lr(n比特)
密码分组链接CBC模式
初始矢量 IV(Initial Vector):第一组明 文加密时无反馈密文,为此需要在寄存器中预 先置入一个,收发双方必须选用同一IV。 每个明文组加密之前,先与反馈至输入端 的前一组密文按位模2求和后,再送至加密算法 加密 实际上,IV的完整性要比其保密性更为重 要。在CBC模式下,最好是每发一个消息,都改 变IV,比如将其值加一。
25
CBC的错误传播
1. 明文有一组中有错,会使以后的密文组 都受影响,但经解密后的恢复结果,除原有误的 一组外,其后各组明文都正确地恢复。 Never trouble trouble till trouble troubles you. 2.若在传送过程中,某组密文组出错时,则 该组恢复的明文和下一组恢复数据出错。再后面 的组将不会受中错误比特的影响。
To: Bank From: ATM Action: Deposit Amount: $900.00
23
密码分组链接CBC模式
初始变量(IV) K
明文分组P1
明文分组P2
明文分组PN
分组加密
K
分组加密
...
K
分组加密
密文分组C1
密文分组C2 (a) 加密
密文分组CN
密文分组C1
密文分组C2
密文分组CN
第i轮
XOR
Li(n比特) 第r-1轮 XOR F
Ri(n比特) Kr-1
Lr-1(n比特) 第r轮 XOR Lr(n比特) F
Rr-1(n比特) Kr
Rr(n比特)
密文(2n比特)
11
Feistel网络中除了最后一轮,每轮结构相同, 每轮右半部分在子密钥控制下数据先进入轮函数F, 然后与左半部分异或得到下一轮的右半部分,而下 一轮左半部分直接为上一轮的右半部分。最后一轮 的结构则是上一轮右半部分在子密钥控制下数据先 进入轮函数F,然后与左半部分异或得到下一轮的 左半部分,而右半部分是上一轮的右半部分。
K 初始变量(IV)
分组解密
K
分组解密
...
K
分组解密
明文分组P1
明文分组P2 (b) 解密
明文分组PN
Cn EK Cn1 P n
DK Cn Cn 1 DK EK Cn 1 Pn Cn 1 Cn 1 Pn Cn 1 Pn 24
17
电码本ECB模式
明文分组P1 K K 明文分组P2 K 明文分组PN 分组加密 分组加密 ... 分组加密
密文分组C1
密文分组C2 (a) 加密
密文分组CN
密文分组C1
密文分组C2
密文分组CN
K
分组解密
K
分组解密
...
K
分组解密
明文分组P1
明文分组P2 (b) 解密
明文分组PN
18
填充(Padding)
6
代替-变换网络
S S S S
P S S S S
P S
…
S
S
S
代替-置换网络是 由多重代替变换(S)和 置换变换(P),S代 替变换起到混淆的作用, P置换变换起到扩散的 作用。
…
…
…
7
举例说明
以DES和AES为例子,说明扩散(置换)和混 淆(代替变换) 扩散:DES的E扩展和P置换
混淆:DES的S盒
31
输出反馈OFB模式
(移位寄存器) 64-j比特 64 K 分组加密 64 选j比特 j 明文分组P1 j 密文分组C1 j 明文分组P2 丢弃64-j比特 j 选j比特 j j 密文分组C2 (a) 加密 K 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特 j j j 明文分组PN 密文分组CN ... 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特
13
Feistel解密结构
明文(2n比特) 密文(2n比特) L0(n比特) 第1轮 XOR F R0(n比特) K1 第1轮 Rr(n比特) XOR F Lr(n比特) Kr
L1(n比特)
R1(n比特) F Ki 第i轮
Rr-1(n比特)
Lr-1(n比特) F Kr-i
第i轮
XOR
XOR
分组密码概述
1
分组密码
X x0 , x1,, xn2 , xn1 为明文块,在密钥
Y y0 , y1,, ym2 , ym1 ,其中
xi , y j , kr GF (2) ,且
K k0 , k1,, kt 1 的加密作用下得到密文块
0 i n 1 , 0 j m 1, 0 r t 1
9
Feistel一轮的加密
左明文 右明文
Li Ri 1
置换
Ri Li 1 F Ri 1 , Ki
密钥 XOR 替换 F
新的左明文
新的右明文
10
明文(2n比特)
L0(n比特) 第1轮 XOR F
R0(n比特) K1
Feistel结构
L1(n比特)
R1(n比特) F Ki
8
Feistel密码结构
最典型乘积密码是在1973年,Feistel提出的, 整个处理过程包括多个阶段的替代和换位,主密钥 分为一个子密钥集,每个阶段使用一个子密钥。在 每个阶段中,明文被分为左右两部分,两部分分别 进行交换,其中一个部分与子密钥混合,进行相应 变换。在进行完n轮迭代之后,左右两半合并在一起 再产生密文
4
分组密码的基本原则
(4)加密和解密的运算简单,易于软硬件高速 实现。 (5)数据扩展足够小,一般无数据扩展。 (6)差错传播尽可能小,加密或解密某明文或 密文分组出错,对后续密文解密影响尽可能小。
5
分组密码的原理