序列密码(讲用)
合集下载
第14讲-序列密码3
m序列的定义及性质 不可约多项式及本原多项式
LFSR序列的综合:B-M算法
第六章 序列密码与移位寄存器
——伪随机序列的生成
数学与统计学学院 贾小英 2013.03
主要内容
序列密码简介
线性反馈移位寄存器序列 m序列的伪随机性
B-M 算法 线性移位寄存器的非线性组合
上 节 回 顾
定理:设
a (a 0 a1 ...a N 1 )
是GF(2)上的一个无
穷周期序列。其线性复杂度
- n个LFSR。提供供组合部分使用的周期大且
随机性良好的序列。 滤波部分。
-组合函数f。从GF(2)n到GF(2)的非线性函数。
线性移位寄存器的非线性组合 非线性组合生成器
L F S Rn
L F S Rn-1
…
L F S R2 L F S R1
驱动部分
…
非 线 性 组 合 函 数 f
密钥序列为:
LFSR
驱动部分
非线性滤波函数f
滤波部分
kt
kt 密钥序列为:(k0 , k1 ,...) 。其中, f (at , at 1 ,...at n1 )
线性移位寄存器的非线性组合 例:
密文
an
an-1
…
a2
a1
驱动 部分
c1
AND
c2
AND
cn 1
AND
cn
AND
滤波 部分
明文 明文:
…
线性移位寄存器的非线性组合 非线性滤波生成器 通过非线性地滤波一个LFSR的状态来得到一个非线性 的密钥序列。 驱动部分。
- 一个n阶LFSR。提供供滤波部分使用的周期
大且随机性良好的序列。 滤波部分。
LFSR序列的综合:B-M算法
第六章 序列密码与移位寄存器
——伪随机序列的生成
数学与统计学学院 贾小英 2013.03
主要内容
序列密码简介
线性反馈移位寄存器序列 m序列的伪随机性
B-M 算法 线性移位寄存器的非线性组合
上 节 回 顾
定理:设
a (a 0 a1 ...a N 1 )
是GF(2)上的一个无
穷周期序列。其线性复杂度
- n个LFSR。提供供组合部分使用的周期大且
随机性良好的序列。 滤波部分。
-组合函数f。从GF(2)n到GF(2)的非线性函数。
线性移位寄存器的非线性组合 非线性组合生成器
L F S Rn
L F S Rn-1
…
L F S R2 L F S R1
驱动部分
…
非 线 性 组 合 函 数 f
密钥序列为:
LFSR
驱动部分
非线性滤波函数f
滤波部分
kt
kt 密钥序列为:(k0 , k1 ,...) 。其中, f (at , at 1 ,...at n1 )
线性移位寄存器的非线性组合 例:
密文
an
an-1
…
a2
a1
驱动 部分
c1
AND
c2
AND
cn 1
AND
cn
AND
滤波 部分
明文 明文:
…
线性移位寄存器的非线性组合 非线性滤波生成器 通过非线性地滤波一个LFSR的状态来得到一个非线性 的密钥序列。 驱动部分。
- 一个n阶LFSR。提供供滤波部分使用的周期
大且随机性良好的序列。 滤波部分。
[密码学——基础理论与应用][李子臣][电子课件] 第6讲---祖冲之序列密码算法
![[密码学——基础理论与应用][李子臣][电子课件] 第6讲---祖冲之序列密码算法](https://img.taocdn.com/s3/m/ace9007058fb770bf78a55fe.png)
2020\3\17 Tuesday
密码学---基础理论与应用
13
密钥和初始向量会扩展成16个长度为31位的整数, 加载到每个记忆单元si中。 在LFSR里,si=ki‖di‖IVi(0≤i≤15),其中ki和IVi长度 为8位一个字节,di长度为15位。
128位的密钥K和初始向量IV表示成16个字串级联的 形式k=k0‖k1‖K2‖…‖k15,IV=IV0‖IV1‖IV2‖…‖Iv15 ,16 个di已知字符串级联成一个240位的长字符串 D=d0‖d1‖d2‖L‖d15。
d8 1001101011110002, d9 0101111000100112, d10 1101011110001002, d11 0011010111100012, d12 1011110001001102, d13 0111100010011012, d14 1111000100110102, d15 1000111101011002.
第六章 祖冲之序列密码 (ZUC)
2020\3\17 Tuesday
密码学---基础理论与应用
1
目录
6.1 ZUC算法的概念与原理 6.2 ZUC机密性算法和完整性算法 6.3 ZUC算法的安全性分析 6.4 ZUC算法案例
2020\3\17 Tuesday
密码学---基础理论与应用
2
祖冲之序列密码算法(简称ZUC算法)是由我国自 主设计的密码算法,包括祖冲之算法、加密算法 128-EEA3和完整性算法128-EIA3。
11
接着算法进入产生密钥流阶段,也就是说,将下 面的操作运行一次就会输出一个32位的字Z:
KeystreamGeneration()
(1)Bitreorganization();
第4讲 序列密码
1
0
0
1
1010 1101 0110 0011 1001
0
17
LFSR
举例
1111 0111 1011 0101 → → → → → → → → → → 1 1 1 1 0 1 0 1 1 0
0
1
0
0
1010 1101 0110 0011 1001 0100
0
18
LFSR
举例
1111 0111 1011 0101 → → → → → → → → → → → 1 1 1 1 0 1 0 1 1 0 0
LFSR的周期
上例周期为15 不同的LFSR周期不一定相同
举例:反馈函数仅引入b1,则周期最大为4
阶为n的LFSR的最大周期为2n-1 周期主要与反馈函数有关
26
LFSR的周期
已经证明:当反馈函数是本原多项式时, 周期达到最大为2n-1 本原多项式定义
若阶为n的多项式P(x)能够整除xt+1,其中t = 2n-1,且对于任何d < 2n-1且d| 2n-1 ,P(x)不能 整除xd+1,则称P(x)为本原多项式
41
序列密码的评价标准
周期 统计特性 线性复杂度(局部线性复杂度) 混淆与扩散 非线性特性
42
真随机序列
信息源
电磁辐射,热噪声,人机交互等
不能用于加密,可以用于生成密钥
43
1
1000 1100 1110
LFSR
举例
1111 0111 1011 0101 → → → → → → → → → → → → → → → 1 1 1 1 0 1 0 1 1 0 0 1 0 0 0
24
1
现代密码学小题整理
一一、是非判断题(10分)1.差分分析是一种攻击迭代密码体制的选择明文攻击方法,所以,对于DES和AES都有一定的攻击效果。
(对)2.反馈移位寄存器输出序列生成过程中,抽头位对输出周期长度的影响起着决定性的作用,而初态对输出周期长度没影响。
(对)二、选择题(15分)1.公钥密码体制至少能抵御的攻击是(C.选择明文攻击)2.适合文件加密,而且有少量错误时不会造成同步失败,是软件加密的最好选择,这种分组密码的操作模式是指(D.输出反馈模式)3.按目前的计算能力,RC4算法的密钥长度至少应为(C.128)位才能保证安全强度。
4.密钥在其生命生命周期中处于不同的状态,每种状态包含若干时期,那么密钥备份时期是密钥处于(B.使用状态)5.量子密码更适合实现下面哪项密码技术。
(D.密钥分发)6.当用户收到一个证书是,应当从(C.CRL)中检查证书是否已经被撤销。
(CRL:证书撤销列表)A.在PKI中,关于RA的功能,下面说法正确的是(B.验证申请者身份)。
7.数字水印是信息隐藏技术研究领域的重要分支,现主要应用领域是(A.版权保护)8.在DES算法中,如果给定初始密钥K,经子密钥产生器产生的各个子密钥都相同,则称该密钥K为弱密钥,DES算法中弱密钥的个数为(B.4个)。
9.生日攻击是针对于下面哪种密码算法的分析方法(D.MD5)。
10.指数积分法是针对下面哪种密码算法的分析方法(C.ElGamal)11.密钥存档是密钥处于(C.过期状态)三、填空题(15分)1.关于DES算法的安全性,若Ek(m)=Dk(m),则这样的密钥称为弱密钥,又其互补性使DES在选择明文攻击下所需的工作量减半。
2.选择合适的n级线性反馈移位寄存器可使序列的周期达到最大值2^n-1,这样序列称为m 序列,但敌手知道这序列中一段长为 n 的明密文对即能破译其后序列的密文。
3.密钥分配和协商的最大区别是:密钥分配是通信双方中一方或密钥分配中心选取一个秘密密钥发给双方,而密钥协商是保密通信双方(或更多方)通过公开信道的通信来共同形成秘密密钥的过程。
保密安全与密码技术-2密码学资料
异或运算(不带进位加法):
明文: 0 0 1 1
加密:
密钥: 0 1 0 1
密文: 0 1 1 0
C=P K
解密:
密文: 0 1 1 0 密钥: 0 1 0 1 明文: 0 0 1 1
P=C K
已知明文、密文,怎样求得密钥? K=C P 只知道密文,如何求得密文和密钥?
古典密码学-隐写术
定义:将秘密信息隐藏在其余信息中 举例
保密安全与密码技术
第二讲 密码学基础
密码学基础
密码学概论 古典密码学 现代密码学
对称密码学 非对称密码学 单向散列 数字签名 数字信封
电子商务 安全Email
电子政务 信息安全应用
电子支付 安全Web
访问控制 身份认证 入侵检测 PKI/PMI 防病毒 VPN 操作系统安全 数据库安全 黑客入侵与防范 防火墙
第一次作业
分组学习现代密码学的各种密码算法 内容:
对称密码学:IDEA、SDBI、AES、RC5、 CAST-256
非对称:DSA、ECC、D-H 单向散列:SHA1、RIPE-MD
要求:PPT报告,代表讲解,3-5分钟
古典密码学
古典密码学的起源 早期的密码:隐写术 代换密码术 置换密码术 古典密码学的优缺点
对称密码和非对称密码
非对称密码,又称公开密钥密码算法
加开密,和解解密密密使钥用保不密同:的c=密E钥Kp((mK)p,,
Ks),把加密密钥公 m=DKs (c)
常用算法:RSA, DSA, 背包算法,ElGamal , 椭圆曲线等Fra bibliotek 优点:
密钥分配:不必保持信道的保密性
第6讲 A5序列密码算法
A5- 算法用于用户的手机到基站之间的通信加密, A5-1算法用于用户的手机到基站之间的通信加密, 通信内容到基站后先脱密变成明文, 通信内容到基站后先脱密变成明文,然后再进行基站 到基站之间、以及基站到用户手机之间的信息加密, 到基站之间、以及基站到用户手机之间的信息加密, 完成通信内容在通信过程的加密保护。 完成通信内容在通信过程的加密保护。
S15 = ( x18 , x17 ,⋯, x0 ) = (0,0,⋯, k1 , k2 ,⋯, k14 , k1 ⊕ k15 )
三个移存器各动作64步 完成密钥参与过程。 三个移存器各动作64步,完成密钥参与过程。 64
10
A5-1 序列密码算法 A5-
Step 3:(帧序号参与) 三个LFSR都规则动作22次,每次 LFSR都规则动作22次 : 帧序号参与) 三个LFSR都规则动作22 动作1 在第i步动作时 三个LFSR 步动作时, LFSR的反馈内容都首先与 动作1步。在第 步动作时,三个LFSR的反馈内容都首先与 帧序号的第i比特模 比特模2 并将模2加的结果作为LFSR LFSR反馈 帧序号的第 比特模2加,并将模2加的结果作为LFSR反馈 的内容;帧序号比特的序号是从最低位编到最高位。 的内容;帧序号比特的序号是从最低位编到最高位。 帧序号参与方式:与密钥参与方式相同, 帧序号参与方式:与密钥参与方式相同,不同的明 文数据帧按顺序编号,每个编号为22比特。 22比特 文数据帧按顺序编号,每个编号为22比特。 记帧序号为
第6讲 A5-1 A5-
序列密码算法
A5-1 序列密码算法 RC4序列密码算法 序列密码算法 序列密码 A5算法是用于蜂窝式移动电话系统(GSM) A5算法是用于蜂窝式移动电话系统(GSM)加密 算法是用于蜂窝式移动电话系统 的序列密码算法。 的序列密码算法。
计算机安全保密第七讲
32位的最长周期的LFSR
7.3 序列密码的设计与分析
线性复杂度:能够模拟产生器输出的最 短的LFSR的长度n。
– 低线性复杂度的产生器肯定是不安全的 – 有高的线性复杂度也不一定安全
相关免疫函数
7.4 进位反馈移位寄存器
进位反馈移位寄存器(FCSR):包括一个移 位寄存器,一个反馈函数和一个进位寄存器。 进位寄存器:将选择序列的各位相加,并加 上进位寄存器的内容,结果模2成为新位,结 果除以2成为进位寄存器的新内容。
– Xn = (aXn-1+b) mod m – Xn为序列中第n个数,Xn-1为序列中第n-1个 数 – 变量a,b和m为常数 – X0为密钥或种子 – 最大周期:m-1
不能用于密码学
7.2 线性反馈移位寄存器
移位寄存器:一个二进制位序列。需要 1位时,所有位都向右移动一位,空出 的最左边一位由寄存器中其他位的一个 函数来计算。
计算机安全保密第七讲 序列密码
唐明 武汉大学计算机学院
本次课的内容
7.1 线性同余产生器 7.2 线性反馈移位寄存器 7.3 序列密码的设计与分析 7.4 进位反馈移位寄存器 7.5 非线性反馈移位寄存器 7.6 设计序列密码的方法 本ppt来自董晓梅老师的电子教案
7.1 线性同余产生器
线性同余产生器:伪随机序列产生器
进位寄存器 0 0 0 0 0 0 1 1 1 1 1 0
周期为10 最大周期:q-1 q = 2q1+22q2+23q3+…+2nqn-1, qi对应于各选择位,q只能是 素数,2为其原根 并非所有状态都能给出最大周期
7.5 非线性反馈移位寄存器
反馈函数可以是任意的 问题:
– 可能会有倾向性 – 最大周期可能很低 – 开始值不同,可能周期不同 – 序列可能退化
【安全课件】第14讲—序列密码
17
反馈多项式的含义
一个r级线性移存器的线性递推式表示为:
a n c 1 a n 1 c 2 a n 2 c r a n r( n r )
引进迟延算子D:D k a k 1 ,D ia k a k i,D 0 I 递推式可改写为:c 0 In a c 1 D n c 2 a D 2 a n c r D r a n 0 即:( c 0 c 1 D c 2 D 2 c r D r) a n 0c0 1
8
序列和周期
一般地,一个移存器序列表示为:aa0a1a2ai
• 对于序列 aa0a1a2,ai若存在整数p使得对任 意正整数k有ak akp 成立,称满足该式的最小 正整数p为序列的周期。
r级线性反馈移存器的最长周期: 2r 1 ,能达 到最长周期的线性移存器序列称为m序列。
• 在密码学中,我们希望参与变换的序列周期越 长越好,因此对线性反馈移存器我们更感兴趣 的是能达到最长周期的序列,即m序列。
特例:当q=2时,G(f)中任意两个序列之和仍然 属于G(f)。
5
(不)可约多项式
(不)可约多项式 定义:若存在g(x),h(x),使得f(x)=g(x)h(x),则
称f(x)是可约多项式;否则,称其为不可约多 项式。
6
定理2:若f(x)|h(x),则G(f) G(h).
例1:联结多项式为
将上式中的D用符号x代替,引入多项式:
f(x ) c rx r c r 1 x r 1 c 1 x 1
从而有:f(D )an0,(nr) 那么对于序列a, f (D)a0
18
14
二、m序列特性
(二)移加特性
L(t)(a)是左移变换,就是将序列 a 左移t位所得 到的序列。
反馈多项式的含义
一个r级线性移存器的线性递推式表示为:
a n c 1 a n 1 c 2 a n 2 c r a n r( n r )
引进迟延算子D:D k a k 1 ,D ia k a k i,D 0 I 递推式可改写为:c 0 In a c 1 D n c 2 a D 2 a n c r D r a n 0 即:( c 0 c 1 D c 2 D 2 c r D r) a n 0c0 1
8
序列和周期
一般地,一个移存器序列表示为:aa0a1a2ai
• 对于序列 aa0a1a2,ai若存在整数p使得对任 意正整数k有ak akp 成立,称满足该式的最小 正整数p为序列的周期。
r级线性反馈移存器的最长周期: 2r 1 ,能达 到最长周期的线性移存器序列称为m序列。
• 在密码学中,我们希望参与变换的序列周期越 长越好,因此对线性反馈移存器我们更感兴趣 的是能达到最长周期的序列,即m序列。
特例:当q=2时,G(f)中任意两个序列之和仍然 属于G(f)。
5
(不)可约多项式
(不)可约多项式 定义:若存在g(x),h(x),使得f(x)=g(x)h(x),则
称f(x)是可约多项式;否则,称其为不可约多 项式。
6
定理2:若f(x)|h(x),则G(f) G(h).
例1:联结多项式为
将上式中的D用符号x代替,引入多项式:
f(x ) c rx r c r 1 x r 1 c 1 x 1
从而有:f(D )an0,(nr) 那么对于序列a, f (D)a0
18
14
二、m序列特性
(二)移加特性
L(t)(a)是左移变换,就是将序列 a 左移t位所得 到的序列。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
输出
f(x1,x2,x3)=x1x2⊕x3 一个GF(2)上的3阶非线性反馈移位寄存器
18/32
在初始状态下,即0时刻
第3级 第2级 第1级 输出
1
0
1
f(x1,x2,x3)=x1x2⊕x3 在第一个时钟到来时
第3级 第2级 第1级
S0=(1, 0, 1)
输出
1 1 f(x1,x2,x3)=x1x2⊕x3 x1=1, x2=0, x3=1
12/32
自同步序列密码
自同步序列密码的密钥流的产生和已经产生的固定数量 的密文字符有关,即是一种有记忆变换的序列密码。如图所 示。 密钥流 生成器 密 钥 流 ki 明文流mi 加密算法E 自同步序列密码模型
13/32
密钥流 生成器 密 钥 流 ki 密文流ci 解密算法D 明文流mi
自同步序列密码的特点
输出序列满足: an+t=c1an+t-1+c2an+t-2+…+cnat,t≥0
21/32
例 设一个GF(2)上的5阶线性反馈移位寄存器如图所示,其反 馈函数为f(x1,x2,x3,x4,x5)=x1⊕x4,初始状态为S0= (1,0,0,1,1) x5 x4 x3 x2 x1 输出
+ 容易验证该线性反馈移位寄存器的输出序列为 1001101001000010101110110001111100110…, 这个线性移位寄存器序列是一个周期序列,周期为31。
2/32
容易想到,使用流密码对消息 m 执行加密时,最简单的 做法就是让密钥流中的第 i 个比特与明文串中的对应比特直 接做 XOR 运算,即
对应的解密算法为:
3/32
由于实现XOR逻辑运算非常简单, 因此这 样的加解密操作将是快速有效的。如果这里的 密钥流是完全随机的(random)、与明文相同长 度的比特串,对应的密码被称为一次一密体制 (one-time pad)。显然,此时明文串与密文串之 间就是相互独立的。 不知道密钥的攻击者即 便守候在公开信道上从而得到密文串,他也无 法获得关于明文的任何信息。事实上, Shannon曾证明了“一次一密的密码体制是不 可破解的(unbreakable)”。
同步序列密码的特点
(1)同步要求。在一个同步序列密码中,发送方和接收 方必须是同步的,用同样的密钥且该密钥操作在同样的位置, 才能保证地解密。如果在传输过程中密文字符有插入或删除 导致同步丢失,则解密失败,且只能通过重新同步来实现恢 复。
(2)无错误传输。在传输期间,一个密文字符被改变只 影响该字符的恢复,不会对后继字符产生影响。
4/32
使用一次一密体制需要解决如何生成随机密钥流的问题: 密钥 流必须是随机出现的,并且合法用户可以容易地再生该密钥流。一 方面,一个与明文一样长的随机位序列很难记住;另一方面,如果 密钥流是重复的位序列,虽然容易记住,但不安全。因此,这是一 个两难的处境:如何生成一个可以用作密钥流的“随机”比特序列, 要 求易于使用,但又不能太短以至于不安全。 在通常使用的流密码中,加、解密所需要的这种序列是由一个确 定性(deterministic)的密钥流生成器(key generator)产生的, 该生成器 的输入是一个容易记住的密钥,称之为密钥流生成器的初始密钥或 种子(seed)密钥。因此,严格来说,密钥流序列都是伪随机序列。 完整的流密码系统模型如图:
0
a0 1
S1=(0, 1, 1)
19/32
在第二个时钟到来时
第3级 第2级 第1级 输出
1 1 f(x1,x2,x3)=x1x2⊕x3 x1=1, x2=1, x3=0
1
a0 0
S2=(1, 1, 1)
则其输出序列和状态序列如下 状态序列: (1,0,1) (0,1,1) (1,1,1) (1,1,0) (1,0,1) (0,1,1) …. 输出序列: 1 0 1 1 1 0 …. 由上面的结果可以看出,这个反馈移位寄存器的状态序 列和输出序列都是周期序列,其周期为4。
17/32
此时反馈移位寄存器的输出序列 a0, a1, a2,…,at,…称为反馈移位寄存器序列 S0,S1,S2,…,St,…称为反馈移位寄存器的状态序列 其中S0=(a0,a1,…(2)上的3阶反馈移位寄存器如图所示,其反馈函 数为f(x1,x2,x3)=x1x2⊕x3, 其初始状态为 S0=(1,0,1),求输出序 列及其周期。 x3 x2 x1
15/32
2 线性反馈移位寄存器
移位寄存器是用来产生序列密码中的密钥序列的一种 主要工具。 输出序列 xn xn-1 … x2 x1
f (x1, x2, …, xn) 反馈移位寄存器 反馈移位寄存器的工作原理非常简单。当一个时钟脉冲到来 时,第i级寄存器的内容传送给第i-1级寄存器, i = 2,3,…,n。第一级寄存器的内容为反馈移位寄存器的输 出。反馈函数f(x1,x2,…,xn-1,xn)的值传送给第n级寄存器。
10/32
同步序列密码模型
在同步序列密码中,密钥流的产生独立于明文和密文。分组 加密的OFB模式就是一个同步序列加密的例子。
密钥流 密钥k(基于安全通道传递) 密钥流 生成器 生成器 密 密 钥 钥 流 流 密文流ci ki ki 明文流mi 明文流mi 加密算法E 解密算法D 同步序列密码模型
11/32
16/32
在任意时刻t,第1级寄存器至第n级寄存器的内容所形成 的(x1,x2,…,xn-1,xn)序列称为反馈移位寄存器的 一个状态。反馈移位寄存器在时刻0时的状态称为初始状 态。显然,GF(2)上的n阶反馈移位寄存器共有2n个可能 的不同状态。 设反馈移位寄存器在时刻t≥0时的状态为 St=(at,at+1,…, at+n-1 ), 则在t+1时刻,反馈移位寄存器的状态为 St+1=(at+1,at+2,…,at+n), 其中 at+n=f(at,at+1,…,at+n-1)。
14/32
• 寄存器:在数字电路中,用来存放二进制数据或代码 寄存器:在数字电路中, 的电路称为寄存器。 的电路称为寄存器。 • 寄存器是由具有存储功能的触发器组合起来构成的。 寄存器是由具有存储功能的触发器组合起来构成的。 一个触发器可以存储一位二进制代码,存放N 一个触发器可以存储一位二进制代码,存放N位二进制 代码的寄存器,需用n个触发器来构成。 代码的寄存器,需用n个触发器来构成。 • 按功能可分为:基本寄存器和移位寄存器。 按功能可分为:基本寄存器和移位寄存器。 • 移位寄存器 :移位寄存器中的数据可以在移位脉冲作 用下一次逐位右移或左移,数据既可以并行输入、 用下一次逐位右移或左移,数据既可以并行输入、并 行输出,也可以串行输入、串行输出, 行输出,也可以串行输入、串行输出,还可以并行输 串行输出,串行输入、并行输出,十分灵活, 入、串行输出,串行输入、并行输出,十分灵活,用 途也很广。 途也很广。
(1)自同步 因为解密只取决于先前固定数量的密文字符,自同步序列密码 在同步丢失后能够自动重新建立正确的解密,只有固定数量的 明文字符不能被恢复。
(2)有限的错误传播。 因为自同步序列密码的状态取决于t个已有的密文字符, 如果一个密文字符在传输过程中被修改,则解密时最多影响到 后续t个字符的解密恢复,会发生有限的错误传播。
20/32
定义 如果一个GF(2)上的n阶反馈移位寄存器的反馈函数形如 f (x1,x2,…,xn)=cnx1+cn-1x2+…+c1xn, 其中ci∈GF(2),1≤i≤n,则称其为线性反馈移位寄存器, 否则,称其为非线性反馈移位寄存器。 式中的c1,c2, ...... ,cn为反馈系数。对于二进制作用下, c1,......,cn的作用就相当于一个开关,用断开和闭合来表示0和1。 线性移位寄存器如图: 输出序列 …. an an-1 a2 a1 c1 + + c2 …. + cn-1 + cn
8/32
分组密码与序列密码的对比
分组密码以一定大小的分组作为每次处理的基本单元, 而序列密码则以一个元素(如一个字母或一个比特)作为基 本的处理单元。 序列密码使用一个随时间变化的加密变换,具有转换速 度快、低错误传播的优点,硬件实现电路更简单;其缺点是: 低扩散(意味着混乱不够)、插入及修改的不敏感性。 分组密码使用的是一个不随时间变化的固定变换,具有 扩散性好、插入敏感等优点;其缺点是:加密处理速度慢。
9/32
序列密码 序列密码为一六元组(P,C,K,L,E,D)和函数g,并满足 以下条件: 1. P是由所有可能明文构成的有限集。 2. C是由所有可能密文构成的有限集。 3. K是由所有可能密钥构成的有限集。 4. L是一个称为密钥流字母表的有限集。 5. g是一个密钥流生成器。g使用密钥k和可选的部分密文 作为输入,产生无限的密钥流k1k2…, ki∈L, i ≥ 1。 6. 对于任意的k∈L,都有一个加密规则ek∈E和相应的解 密规则dk∈D。并且对每一明文x∈P,ek:P→C和 dk:C→P是满足dk(ek(x))的函数。 序列密码分为同步序列密码和自同步序列密码两种。
6/32
常见的两种密钥流产生器
7/32
因为确定性算法产生的序列是周期的或准 周期的,为了使序列密码达到要求的安全保密 性,密钥经其扩展成的密钥流序列应该具有如 下性质:极大的周期、良好的统计特性、抗线 性分析、抗统计分析。 我们仅对实用中最感兴趣的二元情形即 GF(2)上的序列密码原理进行介绍,但其理论 是可以在任何有限域GF(q)中进行研究的。
5/32
由此可见, 序列密码的安全性主要依赖于密钥序列k0k1…=A(k), 当k0k1…是离散无记忆的随机序列时,则该系统就是一次一密密 码, 它是不可破的. 但通常A(k)是一个由k通过确定性算法产生的 伪随机序列, 因而此时, 该系统就不再是完全保密的. 设计序列密 码的关键是设计密钥序列A(k),密钥序列A(k)的设计应考虑如 下几个因素: ((1)系统的安全保密性; (2)密钥k易于分配、保管,更换简便; (3)产生密钥序列简单快速。 实用的流密码以少量的、一定长度的种子密钥经过逻辑运算产 生周期较长、可用于加解密运算的伪随机序列。目前最为流行 和实用的密钥流产生器,其驱动部分是一个或多个线性反馈移 位寄存器。
f(x1,x2,x3)=x1x2⊕x3 一个GF(2)上的3阶非线性反馈移位寄存器
18/32
在初始状态下,即0时刻
第3级 第2级 第1级 输出
1
0
1
f(x1,x2,x3)=x1x2⊕x3 在第一个时钟到来时
第3级 第2级 第1级
S0=(1, 0, 1)
输出
1 1 f(x1,x2,x3)=x1x2⊕x3 x1=1, x2=0, x3=1
12/32
自同步序列密码
自同步序列密码的密钥流的产生和已经产生的固定数量 的密文字符有关,即是一种有记忆变换的序列密码。如图所 示。 密钥流 生成器 密 钥 流 ki 明文流mi 加密算法E 自同步序列密码模型
13/32
密钥流 生成器 密 钥 流 ki 密文流ci 解密算法D 明文流mi
自同步序列密码的特点
输出序列满足: an+t=c1an+t-1+c2an+t-2+…+cnat,t≥0
21/32
例 设一个GF(2)上的5阶线性反馈移位寄存器如图所示,其反 馈函数为f(x1,x2,x3,x4,x5)=x1⊕x4,初始状态为S0= (1,0,0,1,1) x5 x4 x3 x2 x1 输出
+ 容易验证该线性反馈移位寄存器的输出序列为 1001101001000010101110110001111100110…, 这个线性移位寄存器序列是一个周期序列,周期为31。
2/32
容易想到,使用流密码对消息 m 执行加密时,最简单的 做法就是让密钥流中的第 i 个比特与明文串中的对应比特直 接做 XOR 运算,即
对应的解密算法为:
3/32
由于实现XOR逻辑运算非常简单, 因此这 样的加解密操作将是快速有效的。如果这里的 密钥流是完全随机的(random)、与明文相同长 度的比特串,对应的密码被称为一次一密体制 (one-time pad)。显然,此时明文串与密文串之 间就是相互独立的。 不知道密钥的攻击者即 便守候在公开信道上从而得到密文串,他也无 法获得关于明文的任何信息。事实上, Shannon曾证明了“一次一密的密码体制是不 可破解的(unbreakable)”。
同步序列密码的特点
(1)同步要求。在一个同步序列密码中,发送方和接收 方必须是同步的,用同样的密钥且该密钥操作在同样的位置, 才能保证地解密。如果在传输过程中密文字符有插入或删除 导致同步丢失,则解密失败,且只能通过重新同步来实现恢 复。
(2)无错误传输。在传输期间,一个密文字符被改变只 影响该字符的恢复,不会对后继字符产生影响。
4/32
使用一次一密体制需要解决如何生成随机密钥流的问题: 密钥 流必须是随机出现的,并且合法用户可以容易地再生该密钥流。一 方面,一个与明文一样长的随机位序列很难记住;另一方面,如果 密钥流是重复的位序列,虽然容易记住,但不安全。因此,这是一 个两难的处境:如何生成一个可以用作密钥流的“随机”比特序列, 要 求易于使用,但又不能太短以至于不安全。 在通常使用的流密码中,加、解密所需要的这种序列是由一个确 定性(deterministic)的密钥流生成器(key generator)产生的, 该生成器 的输入是一个容易记住的密钥,称之为密钥流生成器的初始密钥或 种子(seed)密钥。因此,严格来说,密钥流序列都是伪随机序列。 完整的流密码系统模型如图:
0
a0 1
S1=(0, 1, 1)
19/32
在第二个时钟到来时
第3级 第2级 第1级 输出
1 1 f(x1,x2,x3)=x1x2⊕x3 x1=1, x2=1, x3=0
1
a0 0
S2=(1, 1, 1)
则其输出序列和状态序列如下 状态序列: (1,0,1) (0,1,1) (1,1,1) (1,1,0) (1,0,1) (0,1,1) …. 输出序列: 1 0 1 1 1 0 …. 由上面的结果可以看出,这个反馈移位寄存器的状态序 列和输出序列都是周期序列,其周期为4。
17/32
此时反馈移位寄存器的输出序列 a0, a1, a2,…,at,…称为反馈移位寄存器序列 S0,S1,S2,…,St,…称为反馈移位寄存器的状态序列 其中S0=(a0,a1,…(2)上的3阶反馈移位寄存器如图所示,其反馈函 数为f(x1,x2,x3)=x1x2⊕x3, 其初始状态为 S0=(1,0,1),求输出序 列及其周期。 x3 x2 x1
15/32
2 线性反馈移位寄存器
移位寄存器是用来产生序列密码中的密钥序列的一种 主要工具。 输出序列 xn xn-1 … x2 x1
f (x1, x2, …, xn) 反馈移位寄存器 反馈移位寄存器的工作原理非常简单。当一个时钟脉冲到来 时,第i级寄存器的内容传送给第i-1级寄存器, i = 2,3,…,n。第一级寄存器的内容为反馈移位寄存器的输 出。反馈函数f(x1,x2,…,xn-1,xn)的值传送给第n级寄存器。
10/32
同步序列密码模型
在同步序列密码中,密钥流的产生独立于明文和密文。分组 加密的OFB模式就是一个同步序列加密的例子。
密钥流 密钥k(基于安全通道传递) 密钥流 生成器 生成器 密 密 钥 钥 流 流 密文流ci ki ki 明文流mi 明文流mi 加密算法E 解密算法D 同步序列密码模型
11/32
16/32
在任意时刻t,第1级寄存器至第n级寄存器的内容所形成 的(x1,x2,…,xn-1,xn)序列称为反馈移位寄存器的 一个状态。反馈移位寄存器在时刻0时的状态称为初始状 态。显然,GF(2)上的n阶反馈移位寄存器共有2n个可能 的不同状态。 设反馈移位寄存器在时刻t≥0时的状态为 St=(at,at+1,…, at+n-1 ), 则在t+1时刻,反馈移位寄存器的状态为 St+1=(at+1,at+2,…,at+n), 其中 at+n=f(at,at+1,…,at+n-1)。
14/32
• 寄存器:在数字电路中,用来存放二进制数据或代码 寄存器:在数字电路中, 的电路称为寄存器。 的电路称为寄存器。 • 寄存器是由具有存储功能的触发器组合起来构成的。 寄存器是由具有存储功能的触发器组合起来构成的。 一个触发器可以存储一位二进制代码,存放N 一个触发器可以存储一位二进制代码,存放N位二进制 代码的寄存器,需用n个触发器来构成。 代码的寄存器,需用n个触发器来构成。 • 按功能可分为:基本寄存器和移位寄存器。 按功能可分为:基本寄存器和移位寄存器。 • 移位寄存器 :移位寄存器中的数据可以在移位脉冲作 用下一次逐位右移或左移,数据既可以并行输入、 用下一次逐位右移或左移,数据既可以并行输入、并 行输出,也可以串行输入、串行输出, 行输出,也可以串行输入、串行输出,还可以并行输 串行输出,串行输入、并行输出,十分灵活, 入、串行输出,串行输入、并行输出,十分灵活,用 途也很广。 途也很广。
(1)自同步 因为解密只取决于先前固定数量的密文字符,自同步序列密码 在同步丢失后能够自动重新建立正确的解密,只有固定数量的 明文字符不能被恢复。
(2)有限的错误传播。 因为自同步序列密码的状态取决于t个已有的密文字符, 如果一个密文字符在传输过程中被修改,则解密时最多影响到 后续t个字符的解密恢复,会发生有限的错误传播。
20/32
定义 如果一个GF(2)上的n阶反馈移位寄存器的反馈函数形如 f (x1,x2,…,xn)=cnx1+cn-1x2+…+c1xn, 其中ci∈GF(2),1≤i≤n,则称其为线性反馈移位寄存器, 否则,称其为非线性反馈移位寄存器。 式中的c1,c2, ...... ,cn为反馈系数。对于二进制作用下, c1,......,cn的作用就相当于一个开关,用断开和闭合来表示0和1。 线性移位寄存器如图: 输出序列 …. an an-1 a2 a1 c1 + + c2 …. + cn-1 + cn
8/32
分组密码与序列密码的对比
分组密码以一定大小的分组作为每次处理的基本单元, 而序列密码则以一个元素(如一个字母或一个比特)作为基 本的处理单元。 序列密码使用一个随时间变化的加密变换,具有转换速 度快、低错误传播的优点,硬件实现电路更简单;其缺点是: 低扩散(意味着混乱不够)、插入及修改的不敏感性。 分组密码使用的是一个不随时间变化的固定变换,具有 扩散性好、插入敏感等优点;其缺点是:加密处理速度慢。
9/32
序列密码 序列密码为一六元组(P,C,K,L,E,D)和函数g,并满足 以下条件: 1. P是由所有可能明文构成的有限集。 2. C是由所有可能密文构成的有限集。 3. K是由所有可能密钥构成的有限集。 4. L是一个称为密钥流字母表的有限集。 5. g是一个密钥流生成器。g使用密钥k和可选的部分密文 作为输入,产生无限的密钥流k1k2…, ki∈L, i ≥ 1。 6. 对于任意的k∈L,都有一个加密规则ek∈E和相应的解 密规则dk∈D。并且对每一明文x∈P,ek:P→C和 dk:C→P是满足dk(ek(x))的函数。 序列密码分为同步序列密码和自同步序列密码两种。
6/32
常见的两种密钥流产生器
7/32
因为确定性算法产生的序列是周期的或准 周期的,为了使序列密码达到要求的安全保密 性,密钥经其扩展成的密钥流序列应该具有如 下性质:极大的周期、良好的统计特性、抗线 性分析、抗统计分析。 我们仅对实用中最感兴趣的二元情形即 GF(2)上的序列密码原理进行介绍,但其理论 是可以在任何有限域GF(q)中进行研究的。
5/32
由此可见, 序列密码的安全性主要依赖于密钥序列k0k1…=A(k), 当k0k1…是离散无记忆的随机序列时,则该系统就是一次一密密 码, 它是不可破的. 但通常A(k)是一个由k通过确定性算法产生的 伪随机序列, 因而此时, 该系统就不再是完全保密的. 设计序列密 码的关键是设计密钥序列A(k),密钥序列A(k)的设计应考虑如 下几个因素: ((1)系统的安全保密性; (2)密钥k易于分配、保管,更换简便; (3)产生密钥序列简单快速。 实用的流密码以少量的、一定长度的种子密钥经过逻辑运算产 生周期较长、可用于加解密运算的伪随机序列。目前最为流行 和实用的密钥流产生器,其驱动部分是一个或多个线性反馈移 位寄存器。