917825-密码学-第四章 分组密码 4.1分组密码设计原则和设计方法
合集下载
分组密码 4.1分组密码设计原则和设计方法
便于实现是分组密码设计时应考虑的重要 因素。分组密码应符合简单、快速和成本低廉 的原则。
分组密码应适合硬件和(或)软件实现。硬件 实现速度快;软件实现灵活性强、成本低廉。
例: 对高速通信数据的加密----硬件实现; 嵌入到系统软件的加密程序----软件实现
二、分组密码基本设计原则
2.实现原则
硬件 实现原则
p :{1, 2, , lm} {1, 2, , lm} 实现 lm 比特的置换
即P盒
三、分组密码设计方法
S S
P
S
S
P
…… ……
S
S
P
S
S
……
S
k1
k2
kr
非线性代替S一般被称为混乱层,主要起混乱 的作用;线性置换P一般被称为扩散层,主要起扩
散的作用。
三、分组密码设计方法
三、分组密码设计方法
迭代密码的常见模型有 S-P 网络 ( 代
替-置换网络)、 Feistel网络等。
三、分组密码设计方法
(三)代替-置换网络(S-PN)
一个S-PN就是一类特殊的迭代密码。设l和m 都是正整数,明密文都是长为lm的二元向量,一 个S-PN包含两个变换,分别记为πs和πp。
s :{0,1}l {0,1}l 实现 l 比特的代替,即S盒
密钥形式为:K= ( K1,K2 )
三、分组密码设计方法
加密和解密规则定义如下:
EK ( x) E( K1 , K2 ) ( x) EK2 [EK1 ( x)] y DK ( y) D( K1 , K2 ) ( y) DK1 [DK2 ( y)] x
注意:解密次序与加密次序相反
分组密码
7
DES分组密码算法 DES分组密码算法
一、背景简介
该算法是在美国NSA(国家安全局)资助下由IBM公 (国家安全局)资助下由 该算法是在美国 公 司开发的密码算法, 司开发的密码算法,其初衷是为政府非机密的敏感信息提 供较强的加密保护。它是美国政府担保的第一种加密算法, 供较强的加密保护。它是美国政府担保的第一种加密算法, 并在1977年被正式作为美国联邦信息处理标准。DES主要 年被正式作为美国联邦信息处理标准。 并在 年被正式作为美国联邦信息处理标准 主要 提供非军事性质的联邦政府机构和私营部门使用,并迅速 提供非军事性质的联邦政府机构和私营部门使用, 成为名声最大,使用最广的商用密码算法。 成为名声最大,使用最广的商用密码算法。
21
③ P盒置换 将S-盒变换后的32比特数据再进行P盒置换,置 换后得到的32比特即为 f 函数的输出。
P
16 29 1 5 2 32 19 22 7 12 15 18 8 27 13 11 20 28 23 31 24 3 30 4 21 17 26 10 14 9 6 25
含义:P盒输出的第 个元是输入的第 个元。 含义 盒输出的第1个元是输入的第 个元。 盒输出的第 个元是输入的第16个元
DES的第 DES的第 i 圈加密结构图 Li-1(32位) f Ri-1(32位)
Ki
Li(32位)
Ri(32位)
16
DES的 变形函数 的 变形函数F
32位
E
48位
48位子密钥
⊕
S1 S2
S3
S4
S5
S6
S7
S8
P
17
① E盒扩展 盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特 数据
第四章分组密码
2019/4/11
3
应用中对于分组码的要求
安全性
运行速度 存储量(程序的长度、数据分组长度、高速缓 存大小) 实现平台(硬、软件、芯片)
运行模式
2019/4/11
4
分组密码概述
明文序列 x1, x2,…, xi,… 加密函数E: Vn×KVn 这种密码实质上是字长为m的数字序列的代换密码。
缺点:对任意偶数轮变换,若对所有i选择k(2i-1) =k(2i), 则加密的变换等价于恒等变换,在实用中需要避免这 类密钥选择。
2019/4/11
21
对合置换和II型迭代分组密码
对合置换
令P是对x的置换,即P: F2n F2n ,若对所有xGF(2n), 有P[P[x]]=x,即PP=I(恒等置换),以PI表示。
直接利用加密算法分别对分组数据组加密。 在给定的密钥下同一明文组总产生同样的 密文组。这会暴露明文数据的格式和统计 特征。
明文数据都有固定的格式,需要以协议的形式定 义,重要的数据常常在同一位置上出现,使密码 分析者可以对其进行统计分析、重传和代换攻击。
2019/4/11
29
电码本ECB模式
2019/4/11
10
代换网络
代换fk的集合:
S={fkkK}
K 是密钥空间。如果网络可以实现所有可 能的2n!个代换,则称其为全代换网络。 全代换网络密钥个数必须满足条件:# {k}2n!
2019/4/11 11
代换网络
密码设计中需要先定义代换集S,而后还需 定义解密变换集,即逆代换网络 S-1,它以 密文y作为输入矢量,其输出为恢复的明文 矢量x。
分组密码
分组密码
密码类型
01 研究历史
03 设计分析
目录
02 研究内容 04 设计原则
05 AES征集
07 技术总结
目录
06 算法要求
分组密码(block cipher)的数学模型是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为 n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。
研究历史
现代分组密码的研究始于 丰硕的研究成果。
对于分组密码,在早期的研究,基本上是围绕DES进行的,推出了一些类似的算法,例如:LOKI,FEAL, GOST等。进入20世纪90年代,人们对DES算法研究更加深入,特别是差分密码分析(differential cryptanalysis)和线性密码分析(linear cryptanalysis)的提出,迫使人们不得不研究新的密码结构。 IDEA密码打破了DES类密码的垄断局面,随后出现了SQUARE、SHARK、SAFER-64等采用了结构非常清晰的代替— 置换(SP)网络,每一轮由混淆层和扩散层组成,从理论上给出了最大差分特征概率和最佳线性逼近优势的界, 证明了密码对差分密码分析和线性密码分析的安全性。
谢谢观看
1997年-2000年,AES的征集掀起了分组密码研究的新高潮,15个AES候选算法反映了当前分组密码设计的水 平,也可以说是近几年研究成果的一个汇总。
目前分组密码所采用的整体结构可分为Feistel结构(例如CAST—256、DEAL、DFC、E2等)、SP网络(例如 Safer+、Serpent等)及其他密码结构(例如Frog和HPC)。加解密相似是Feistel型密码的一个实现优点,但它 在密码的扩散似乎有些慢,例如需要两轮才能改变输入的每一个比特。SP的网络结构非常清晰,S被称为混淆层 (非线性层),主要起混淆作用。P被称为扩散层,主要起扩散作用。
密码类型
01 研究历史
03 设计分析
目录
02 研究内容 04 设计原则
05 AES征集
07 技术总结
目录
06 算法要求
分组密码(block cipher)的数学模型是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为 n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。
研究历史
现代分组密码的研究始于 丰硕的研究成果。
对于分组密码,在早期的研究,基本上是围绕DES进行的,推出了一些类似的算法,例如:LOKI,FEAL, GOST等。进入20世纪90年代,人们对DES算法研究更加深入,特别是差分密码分析(differential cryptanalysis)和线性密码分析(linear cryptanalysis)的提出,迫使人们不得不研究新的密码结构。 IDEA密码打破了DES类密码的垄断局面,随后出现了SQUARE、SHARK、SAFER-64等采用了结构非常清晰的代替— 置换(SP)网络,每一轮由混淆层和扩散层组成,从理论上给出了最大差分特征概率和最佳线性逼近优势的界, 证明了密码对差分密码分析和线性密码分析的安全性。
谢谢观看
1997年-2000年,AES的征集掀起了分组密码研究的新高潮,15个AES候选算法反映了当前分组密码设计的水 平,也可以说是近几年研究成果的一个汇总。
目前分组密码所采用的整体结构可分为Feistel结构(例如CAST—256、DEAL、DFC、E2等)、SP网络(例如 Safer+、Serpent等)及其他密码结构(例如Frog和HPC)。加解密相似是Feistel型密码的一个实现优点,但它 在密码的扩散似乎有些慢,例如需要两轮才能改变输入的每一个比特。SP的网络结构非常清晰,S被称为混淆层 (非线性层),主要起混淆作用。P被称为扩散层,主要起扩散作用。
《分组密码》PPT课件
一、有限域GF(28) 可以把出b7b6b5b4b3b2b1b0构成的一个字节看成是系数在(0, 1) 中取值的多项式:
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
密码学基础知识(四)分组密码
密码学基础知识(四)分组密码⾸先再说说密码体制那点事,密码体制按密钥分为两派,对称和公钥,不过也可以分为分组密码和流密码(序列密码)。
刚才看了⼀眼,发现忘把图⽚传上来了,下次有功夫的。
说句废话,分组密码主要采⽤混淆原则和扩散原则来抵抗攻击者对该密码体制的统计分析。
那分组密码是什么东西呢?通俗讲就是将明⽂分块,然后分块加密。
分组密码设计的准则:①分组长度分组长度越长意味着安全性越⾼,但是会影响加密解密的速度。
1977年之后,由于计算速度和分析技术的提⾼,建议使⽤分组长度128位。
②密钥长度密钥越长同样意味着安全性越⾼,但会影响加密和解密的速度。
现在⼀般认为64位的密钥是不安全的,通常使⽤的密钥长度为128位。
③轮函数F轮函数F通常之迭代分组密码中单轮加密解密算法的实现部分,是分组密码结构的核⼼,由其实现数据的混乱和扩散。
在设计中,轮函数要遵循雪崩效应准则和位独⽴准则。
评价轮函数实际质量的指标有安全性,速度和灵活性。
④迭代的轮数迭代分组密码的本质是单轮不能提供⾜够的安全性⽽多伦迭代增强其安全性。
⼀般⽽⾔,迭代轮数越多,密码分析越困难,但过多的迭代会使输⼊和输出的关系复杂化,影响加解密速度,⽽安全性增强不明显,⼀般⽽⾔,决定迭代轮数的准则是:是密码分析的难度⼤于简单穷举攻击的难度。
⑤⼦密钥的⽣成⽅法理论设计⽬标是⼦密钥的统计独⽴性和密钥更换的有效性。
包括:实现简单,便于硬件实现,⼦密钥的⽣成不影响迭代轮函数的执⾏;不存在简单关系;种⼦密钥的所有⽐特对每个⼦密钥⽐特影响⼤致相同;没有弱密钥或弱密钥容易避开;保证密钥和密⽂符合位独⽴准则和雪崩效应。
分组密码的设计应满⾜的要求:①分组要⾜够长。
假设n为分组长度,则要使分组代换字母表中的元素个数2n⾜够⼤,以防⽌明⽂穷举攻击。
②密钥长度要⾜够长,以防⽌密钥穷举攻击。
但密钥⼜不能过长,这不利于密钥的管理且影响加解密的速度。
③由密钥确定的置换算法要⾜够复杂,⾜以抵抗各种已知的攻击,如查分攻击和线性攻击等,使攻击者除了利⽤穷举攻击外,⽆其他更好的攻击⽅法。
分组密码介绍
缺点
➢ 无法隐蔽数据模式,同一密钥下,密文相同必有明 文相同
➢ 不能抵抗组的重放、嵌入和删除攻击
通过引入记忆或采用不同的工作模式来克服
分组密码定义
分组密码定义:
➢ 一个私钥分组密码是一种满足下列条件的映射
E:F2m SK F2m 对每个k Sk , E(,k )是从F2m到F2m的一个置换。 一个分组密码简记为Y E( X , K ), 加密函数E (, k ),解密函数D(, k )
混乱:打乱密文、明文、密钥之间的依赖关系 扩散:密钥或明文的一个比特变化要引起密文许多比特的变化;
密文每个比特受多个明文比特影响
使明文的统计特征消散在密文中,例,y=m1+m2+… 雪崩效应:明文一个比特变化引起密文多个比特变化,且变化比
特未知
实现混乱扩散
➢ 多采用“乘积密码”: 交替使用代换(substitution)与置换 (permutation)
左右未交换,便于算法同时用于加解密
数据加密标准 DES
IP和IP-1
➢ 没有密码意义,打乱输入x的ASCII码字划分的关系 ,将明文校验位变为IP的输出的一个字节 L0 m58m50 m8, R0 m57m49 m7
数据加密标准 DES
轮函数f(Ri-1, Ki)
数据加密标准 DES
E:固定的扩展函数, 32 bits->48 bits
迭代分组密码:一个内部函数(轮函数)的连续重复。参数 包括轮数r 、分组的比特长度n 和输入密钥K 的比特长度k , r 个轮密钥Ki 由K 生成。为满足可逆性,对每个Ki , 轮函数在轮输入上是一个双射
Feistel结构
Feistel结构
r轮迭代
将2t比特明文 L0, R0 映射成密文 Rr , Lr 。
➢ 无法隐蔽数据模式,同一密钥下,密文相同必有明 文相同
➢ 不能抵抗组的重放、嵌入和删除攻击
通过引入记忆或采用不同的工作模式来克服
分组密码定义
分组密码定义:
➢ 一个私钥分组密码是一种满足下列条件的映射
E:F2m SK F2m 对每个k Sk , E(,k )是从F2m到F2m的一个置换。 一个分组密码简记为Y E( X , K ), 加密函数E (, k ),解密函数D(, k )
混乱:打乱密文、明文、密钥之间的依赖关系 扩散:密钥或明文的一个比特变化要引起密文许多比特的变化;
密文每个比特受多个明文比特影响
使明文的统计特征消散在密文中,例,y=m1+m2+… 雪崩效应:明文一个比特变化引起密文多个比特变化,且变化比
特未知
实现混乱扩散
➢ 多采用“乘积密码”: 交替使用代换(substitution)与置换 (permutation)
左右未交换,便于算法同时用于加解密
数据加密标准 DES
IP和IP-1
➢ 没有密码意义,打乱输入x的ASCII码字划分的关系 ,将明文校验位变为IP的输出的一个字节 L0 m58m50 m8, R0 m57m49 m7
数据加密标准 DES
轮函数f(Ri-1, Ki)
数据加密标准 DES
E:固定的扩展函数, 32 bits->48 bits
迭代分组密码:一个内部函数(轮函数)的连续重复。参数 包括轮数r 、分组的比特长度n 和输入密钥K 的比特长度k , r 个轮密钥Ki 由K 生成。为满足可逆性,对每个Ki , 轮函数在轮输入上是一个双射
Feistel结构
Feistel结构
r轮迭代
将2t比特明文 L0, R0 映射成密文 Rr , Lr 。
数据结构算法:分组密码的设计原则
分组密码的设计就是找到⼀种算法,能在密钥的控控制下从⼀个⾜够⼤且⾜够好的置换⼦集中简单⽽迅速的选出⼀个置换,⽤来对当前输⼊的明⽂进⾏加密交换。
⼀般地,分组密码的设计准则包括安全性准则和实现性准则两种。
前者主要研究如何设计安全算法,分组长度和密钥长度,后者主要讨论如何提⾼算法的执⾏速度。
1 安全性原则 关于实⽤密码的两个⼀般的设计原则是Shannon提出混乱原则和扩散原则。
1.混乱原则:⼈们所设计的密码应使得密钥和明⽂以及密⽂之间的信赖关系相当复杂以⾄于这种信赖性对密码分析者来说是⽆法利⽤。
2.扩散原则:⼈们所设计密码应使得密钥的每⼀位数字影响密⽂的多位数字以防⽌对密钥进⾏逐段破译,⽽且明⽂的每⼀位数字也影响密⽂的多位数字以便隐藏明⽂数字的统计性性。
影响现代分组密码安全性的因素很多,主要取决于密码算法、分组长度和密钥长度,相应的安全性设计准则也包括三类: 2.密码算法的设计准则 1) 算法可以公开:密码体制的安全性应当仅依赖于对密钥的保密,⽽不应基于对算法的保密,这既是数据加密算法标准化所必需要求的,同时也是络保密通信赖以⽣存的基础。
2) 混乱原则:密码算法应当保证密钥,明⽂和密⽂的依赖关系相当复杂,以⾄于这种依赖性对密码分析者来说使⽆法利⽤的。
3) 扩散原则:⼈们所设计的密码应使得密钥的每⼀位数字影响密⽂的许多位数字,以便隐藏明⽂数字的统计特性。
4) 能抵抗差分分析和线性分析:为使密码算法能抵抗差分分析,通常选取具有“本原转移概率矩阵”的markov 型密码,通过对⼀个“弱”密钥函数进⾏多次迭代,⽽得到⼀个“强密码”,为使密码算法抵抗线性分析,通常要求算法中包含⾼度⾮线性密码函数。
5) 没有弱密钥:当弱密钥或半弱密钥的个数较少时,它们对体制本⾝的安全性影响不在,在算法设计中稍作处理就可避免,⽽且随即选取⼀个密钥是弱密钥的概率随密钥空间的增⼤⽽趋于0。
3.密钥长度的设计准则 为使密码算法能抵抗对密钥强⼒攻击,必须保证密钥长度尽可能⼤,⽐如, 在近⼏年来新出现的各种算法,密钥长度都已经要求⾄少128bits。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
硬件实现原则
用硬件实现的分组密码应遵循下述原则: (1) 加、脱密的相似性; (2) 结构的规则性; (3) 设计成迭代型; (4) 选择易于硬件实现的编码环节,避免硬件 难于实现的编码环节。
二、分组密码基本设计原则
软件实现原则
软件实现分组密码,成本较低且可以灵活地 编程,但其速度一般没有硬件实现快。
M 0123456789 C 1345670982
密文为: 4560 5628
二、分组密码基本设计原则
1
安全原则
2
实现原则
二、分组密码基本设计原则
1
安全原则
安全性是分组密码设计时应考虑的最重要因 素。人们一般将Shannon提出的混乱原则和扩散 原则作为保证分组密码安全性的两个基本设计原 则。
二、分组密码基本设计原则
二、分组密码基本设计原则
2
实现原则
便于实现是分组密码设计时应考虑的重要 因素。分组密码应符合简单、快速和成本低廉 的原则。
分组密码应适合硬件和(或)软件实现。硬件 实现速度快;软件实现灵活性强、成本低廉。
例: 对高速通信数据的加密----硬件实现; 嵌入到系统软件的加密程序----软件实现
二、分组密码基本设计原则
明文分组长度为n,密文分组长度为s,若 n > s,则称其为有数据压缩的分组密码; 若n < s,则称其为有数据扩展的分组密码。
本章我们都取 n = s 例1 移位密码中的电文倒置法 明文为: 2346 3498 密文为: 6432 8943 密钥(4321)
一、分组密码概述
例2 代替密码 明文为: 2346 3498
密码学
第四章 分组密码
第四章 分组密码
主要内容:分组密码的基本概念,分组密码的基本 设计原则和设计方法,典型的分组密码算法,常见 的分组密码攻击方法,以及分组密码的工作模式等。
重点:数据加密标准(DES)、高级加密标准(AES)。
希望大家能理解分组密码设计的原理与方法, 掌握DES、AES等分组密码算法,了解常见的分组 密码安全性分析方法。
p :{1, 2, ,lm} {1, 2, ,lm} 实现 lm 比特的置换 即P盒
三、分组密码设计方法
S
S
……
S
S
S
……
S
P
P
P
S
S
……
S
k1
k2
kr
非线性代替S一般被称为混乱层,主要起混乱
的作用;线性置换P一般被称为扩散层,主要起扩
散的作用。
三、分组密码设计方法
(四)Feistel模型
Feistel模型将输入(2w位)分成相同长度
此外,还要考虑算法的执行速度,设计的算法要 便于分析。
的两部分Li和Ri,按如下方式进行变换。
F (Li1, Ri1, ki ) (Li , Ri )
Li-1(w位)
Ri-1(w位)
f
ki
Li(w位)
Li Ri1
Ri(w位)
Ri Li1 f (Ri1, ki )
三、分组密码设计方法
Feistel 模型的设计要求 分组大小:分组越大安全性越高,但速度也越慢。 密钥大小:密钥越长安全性越高,但速度也越慢。 循环次数:循环越多,安全性越高。 圈函数:复杂性越高则抗击密码分析的能力就越强。 子密钥产生算法:越复杂,密码分析就越困难。
迭代密码通过将一个弱的密码函数(称为圈函 数、轮函数等)迭代若干次,产生一个强的密码函 数,既能快速、有效地实现,又能使明文和密钥 得到必要的混乱和扩散。
三、分组密码设计方法
F 称为圈变换、圈函数或轮
函数,r 称为迭代次数、圈
F
k1
数或轮数。
F
k1, k2, , kr 是 r 个圈子密钥
k2
在设计圈函数时,要充分
扩散原则要求人们设计的密码应使得每个 明文比特和密钥比特影响尽可能多的密文比特。
扩散原则应将明文的统计规律和结构规律 散射到相当长的一段统计中去。
二、分组密码基本设计原则
(1)明文和密钥中的每一位影响密文中的尽 可能多的位;
(2)密文中的每一位都受到明文和密钥中的 尽可能多位的影响。
扩散原则使得每个明文比特和密钥比特均应 影响密文的所有比特。
三、分组密码设计方法
例3: (乘法密码)设 M=C=Z26 K {a Z26 : gcd(a,26) 1} 对于 a K ,明文 x,密文y,定义:
Ea (x) ax(mod 26)
Da ( y) a1 y(mod 26)
例4: (移位密码)设 M=C=K=Z26 对于 k ,K 明文 x,密文 y,定义:
加密过程: w0←x w1←F(w0,k1) w2←F(w1,k2) …………
wr-1←F(wr-2,kr-1) wr←F(wr-1,kr) y←wr
解密过程:
wr←y wr-1←F-1(wr,kr) wr-2←F-1 (wr-1,kr-1) …………
w1←F-1 (w2,k2) w0←F-1 (w1,k1) x←w0
Ek (x) (x k)(mod 26) Dk ( y) ( y k)(mod 26)
三、分组密码设计方法
假设 S1 是乘法密码, S2 是移位密码,很容 易看出 S1× S2 是仿射密码。 对于S1× S2 ,其密钥形式为(a, k)
E(a,k) (x) (ax k)(mod 26)
4.1 分组密码设计原则和设计方法
4.1 分组密码设计原则和设计方法
分组密码概述 分组密码设计原则 分组密码设计方法
一、分组密码概述
分组密码是将明文数据序列按固定长度 进行分组,然后在同一密钥控制下用同一算 法逐组进行加密,从而将各个明文分组变换 成一个长度固定的密文分组的密码。
二进制明文的分组长度称为该分组密码的 分组长度或分组规模。同样,二进制密钥的长 度称为分组密码的密钥长度或密钥规模。
1.安全原则
混乱原则
扩散原则
二、分组密码基本设计原则
混乱原则(又称混淆原则)(Confusion)
c Ek (m) f (k, m)
混乱原则就是将密文、明文、密钥三者之 间的统计关系和代数关系变得尽可能复杂,保 证密钥和明文的任何信息既不能由密文利用统 计关系确定出来,又不能由密文利用代数方法 确定出来。
一、分组密码概述
明文
x1x2 xn xn1xn2
m1
m2
x2n ……
加 密
k算
法
加 密
k算
法
……
密文
c1
c2
y1 y2 ys ys1 ys2
…… y2s
主要特点:同一密钥,同一加密算法,
分组加密,分组长度固定。
加密: ci Ek (mi ), i 1, 2,
c c1 c2
,
m m1 m2
一、分组密码概述
三、分组密码设计方法
(一)乘积密码
Shannon在1949提出,其主要思想就是通过 简单密码的乘积来组合密码体制。
假设 M= C
S1 (M , C, K1, E1, D1) S2 (M ,C, K2 , E2 , D2 )
S1和 S2的乘积密码体制 S1×S2定义为:
S1 S2 (M ,C, K1 K2 , E, D)
利用代替密码(实现混乱)和移位
密码(实现扩散)各自的优点,抵
F
kr
消各自的缺点,保证通过多次
迭代,形成一个强的分组密码
算法。
三、分组密码设计方法
对于一个给定的密钥编排方案,圈函数 F 的输入为圈密钥kr和当前状态wr-1,下一个状态 定义为:wr=F(wr-1,kr)。初态 w0定义为明文 x, 密文y定义为经过 r 轮后的状态。
密钥形式为:K= ( K1,K2 )
三、分组密码设计方法
加密和解密规则定义如下:
EK (x) E(K1,K2 ) (x) EK2 [EK1 (x)] y DK ( y) D(K1,K2 ) ( y) DK1 [DK2 ( y)] x
注意:解密次序与加密次序相反
D(K1,K2 ) ( y) DK1{DK2 [EK2 (EK1 (x))]} DK1 [EK1 (x)] x
如果密码体制是幂等的,使用乘积系统就毫无 意义,这是因为使用多余的密钥,但并不能提高 更多的安全性。
如果密码体制不是幂等的,多次乘积就有可 能提高安全性。通常是将代替密码和置换密码做 乘积。
三、分组密码设计方法
(二)迭代密码
当今大多数分组密码都是乘积密码,乘积密 码通常伴随一系列置换与代替操作,常见的乘积 密码是迭代密码。
二、分组密码基本设计原则
可进一步理解为: (1)当前明文不能由已知的明文、密文及
少许密钥比特代数地或统计地表示出来。 (2)当前密钥不能由已知的明文、密文及
少许密钥比特代数地或统计地表示出来。
混乱原则使得分组密码算法有足够的 “非线性”因素。
二、分组密码基本设计原则
扩散原则(Diffusion)
2.实现原则
硬件 实现原则
软件 实现原则
二、分组密码基本设计原则
硬件实现原则
硬件实现分组密码,通常是将密码算法做 成一个专用的超大规模集成电路芯片。这可使 加、脱信息快速、 实时进行处理的系统,以及可大规模生产的时 候。
二、分组密码基本设计原则
用软件实现的分组密码应遵循下述原则: (1) 加、脱密算法结构的相似性; (2) 使用子块; (3) 设计成迭代型; (4) 使用既简单又易于软件实现的运算。
三、分组密码设计方法
对一个分组密码,安全原则要求其实现足够 的混乱和扩散,实现原则要求其易于软件和(或)硬 件实现。
Shannon提出乘积密码的思想。乘积密码的 基本思想是通过将一个易于实现的具有一定混乱 和扩散结构的较弱的密码函数进行多次迭代来产 生一个强的密码函数。
用硬件实现的分组密码应遵循下述原则: (1) 加、脱密的相似性; (2) 结构的规则性; (3) 设计成迭代型; (4) 选择易于硬件实现的编码环节,避免硬件 难于实现的编码环节。
二、分组密码基本设计原则
软件实现原则
软件实现分组密码,成本较低且可以灵活地 编程,但其速度一般没有硬件实现快。
M 0123456789 C 1345670982
密文为: 4560 5628
二、分组密码基本设计原则
1
安全原则
2
实现原则
二、分组密码基本设计原则
1
安全原则
安全性是分组密码设计时应考虑的最重要因 素。人们一般将Shannon提出的混乱原则和扩散 原则作为保证分组密码安全性的两个基本设计原 则。
二、分组密码基本设计原则
二、分组密码基本设计原则
2
实现原则
便于实现是分组密码设计时应考虑的重要 因素。分组密码应符合简单、快速和成本低廉 的原则。
分组密码应适合硬件和(或)软件实现。硬件 实现速度快;软件实现灵活性强、成本低廉。
例: 对高速通信数据的加密----硬件实现; 嵌入到系统软件的加密程序----软件实现
二、分组密码基本设计原则
明文分组长度为n,密文分组长度为s,若 n > s,则称其为有数据压缩的分组密码; 若n < s,则称其为有数据扩展的分组密码。
本章我们都取 n = s 例1 移位密码中的电文倒置法 明文为: 2346 3498 密文为: 6432 8943 密钥(4321)
一、分组密码概述
例2 代替密码 明文为: 2346 3498
密码学
第四章 分组密码
第四章 分组密码
主要内容:分组密码的基本概念,分组密码的基本 设计原则和设计方法,典型的分组密码算法,常见 的分组密码攻击方法,以及分组密码的工作模式等。
重点:数据加密标准(DES)、高级加密标准(AES)。
希望大家能理解分组密码设计的原理与方法, 掌握DES、AES等分组密码算法,了解常见的分组 密码安全性分析方法。
p :{1, 2, ,lm} {1, 2, ,lm} 实现 lm 比特的置换 即P盒
三、分组密码设计方法
S
S
……
S
S
S
……
S
P
P
P
S
S
……
S
k1
k2
kr
非线性代替S一般被称为混乱层,主要起混乱
的作用;线性置换P一般被称为扩散层,主要起扩
散的作用。
三、分组密码设计方法
(四)Feistel模型
Feistel模型将输入(2w位)分成相同长度
此外,还要考虑算法的执行速度,设计的算法要 便于分析。
的两部分Li和Ri,按如下方式进行变换。
F (Li1, Ri1, ki ) (Li , Ri )
Li-1(w位)
Ri-1(w位)
f
ki
Li(w位)
Li Ri1
Ri(w位)
Ri Li1 f (Ri1, ki )
三、分组密码设计方法
Feistel 模型的设计要求 分组大小:分组越大安全性越高,但速度也越慢。 密钥大小:密钥越长安全性越高,但速度也越慢。 循环次数:循环越多,安全性越高。 圈函数:复杂性越高则抗击密码分析的能力就越强。 子密钥产生算法:越复杂,密码分析就越困难。
迭代密码通过将一个弱的密码函数(称为圈函 数、轮函数等)迭代若干次,产生一个强的密码函 数,既能快速、有效地实现,又能使明文和密钥 得到必要的混乱和扩散。
三、分组密码设计方法
F 称为圈变换、圈函数或轮
函数,r 称为迭代次数、圈
F
k1
数或轮数。
F
k1, k2, , kr 是 r 个圈子密钥
k2
在设计圈函数时,要充分
扩散原则要求人们设计的密码应使得每个 明文比特和密钥比特影响尽可能多的密文比特。
扩散原则应将明文的统计规律和结构规律 散射到相当长的一段统计中去。
二、分组密码基本设计原则
(1)明文和密钥中的每一位影响密文中的尽 可能多的位;
(2)密文中的每一位都受到明文和密钥中的 尽可能多位的影响。
扩散原则使得每个明文比特和密钥比特均应 影响密文的所有比特。
三、分组密码设计方法
例3: (乘法密码)设 M=C=Z26 K {a Z26 : gcd(a,26) 1} 对于 a K ,明文 x,密文y,定义:
Ea (x) ax(mod 26)
Da ( y) a1 y(mod 26)
例4: (移位密码)设 M=C=K=Z26 对于 k ,K 明文 x,密文 y,定义:
加密过程: w0←x w1←F(w0,k1) w2←F(w1,k2) …………
wr-1←F(wr-2,kr-1) wr←F(wr-1,kr) y←wr
解密过程:
wr←y wr-1←F-1(wr,kr) wr-2←F-1 (wr-1,kr-1) …………
w1←F-1 (w2,k2) w0←F-1 (w1,k1) x←w0
Ek (x) (x k)(mod 26) Dk ( y) ( y k)(mod 26)
三、分组密码设计方法
假设 S1 是乘法密码, S2 是移位密码,很容 易看出 S1× S2 是仿射密码。 对于S1× S2 ,其密钥形式为(a, k)
E(a,k) (x) (ax k)(mod 26)
4.1 分组密码设计原则和设计方法
4.1 分组密码设计原则和设计方法
分组密码概述 分组密码设计原则 分组密码设计方法
一、分组密码概述
分组密码是将明文数据序列按固定长度 进行分组,然后在同一密钥控制下用同一算 法逐组进行加密,从而将各个明文分组变换 成一个长度固定的密文分组的密码。
二进制明文的分组长度称为该分组密码的 分组长度或分组规模。同样,二进制密钥的长 度称为分组密码的密钥长度或密钥规模。
1.安全原则
混乱原则
扩散原则
二、分组密码基本设计原则
混乱原则(又称混淆原则)(Confusion)
c Ek (m) f (k, m)
混乱原则就是将密文、明文、密钥三者之 间的统计关系和代数关系变得尽可能复杂,保 证密钥和明文的任何信息既不能由密文利用统 计关系确定出来,又不能由密文利用代数方法 确定出来。
一、分组密码概述
明文
x1x2 xn xn1xn2
m1
m2
x2n ……
加 密
k算
法
加 密
k算
法
……
密文
c1
c2
y1 y2 ys ys1 ys2
…… y2s
主要特点:同一密钥,同一加密算法,
分组加密,分组长度固定。
加密: ci Ek (mi ), i 1, 2,
c c1 c2
,
m m1 m2
一、分组密码概述
三、分组密码设计方法
(一)乘积密码
Shannon在1949提出,其主要思想就是通过 简单密码的乘积来组合密码体制。
假设 M= C
S1 (M , C, K1, E1, D1) S2 (M ,C, K2 , E2 , D2 )
S1和 S2的乘积密码体制 S1×S2定义为:
S1 S2 (M ,C, K1 K2 , E, D)
利用代替密码(实现混乱)和移位
密码(实现扩散)各自的优点,抵
F
kr
消各自的缺点,保证通过多次
迭代,形成一个强的分组密码
算法。
三、分组密码设计方法
对于一个给定的密钥编排方案,圈函数 F 的输入为圈密钥kr和当前状态wr-1,下一个状态 定义为:wr=F(wr-1,kr)。初态 w0定义为明文 x, 密文y定义为经过 r 轮后的状态。
密钥形式为:K= ( K1,K2 )
三、分组密码设计方法
加密和解密规则定义如下:
EK (x) E(K1,K2 ) (x) EK2 [EK1 (x)] y DK ( y) D(K1,K2 ) ( y) DK1 [DK2 ( y)] x
注意:解密次序与加密次序相反
D(K1,K2 ) ( y) DK1{DK2 [EK2 (EK1 (x))]} DK1 [EK1 (x)] x
如果密码体制是幂等的,使用乘积系统就毫无 意义,这是因为使用多余的密钥,但并不能提高 更多的安全性。
如果密码体制不是幂等的,多次乘积就有可 能提高安全性。通常是将代替密码和置换密码做 乘积。
三、分组密码设计方法
(二)迭代密码
当今大多数分组密码都是乘积密码,乘积密 码通常伴随一系列置换与代替操作,常见的乘积 密码是迭代密码。
二、分组密码基本设计原则
可进一步理解为: (1)当前明文不能由已知的明文、密文及
少许密钥比特代数地或统计地表示出来。 (2)当前密钥不能由已知的明文、密文及
少许密钥比特代数地或统计地表示出来。
混乱原则使得分组密码算法有足够的 “非线性”因素。
二、分组密码基本设计原则
扩散原则(Diffusion)
2.实现原则
硬件 实现原则
软件 实现原则
二、分组密码基本设计原则
硬件实现原则
硬件实现分组密码,通常是将密码算法做 成一个专用的超大规模集成电路芯片。这可使 加、脱信息快速、 实时进行处理的系统,以及可大规模生产的时 候。
二、分组密码基本设计原则
用软件实现的分组密码应遵循下述原则: (1) 加、脱密算法结构的相似性; (2) 使用子块; (3) 设计成迭代型; (4) 使用既简单又易于软件实现的运算。
三、分组密码设计方法
对一个分组密码,安全原则要求其实现足够 的混乱和扩散,实现原则要求其易于软件和(或)硬 件实现。
Shannon提出乘积密码的思想。乘积密码的 基本思想是通过将一个易于实现的具有一定混乱 和扩散结构的较弱的密码函数进行多次迭代来产 生一个强的密码函数。