现代密码学课件--第8讲 分组密码
合集下载
现代密码学-分组密码DES
ቤተ መጻሕፍቲ ባይዱ
IP1
40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 13 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25
10
….
轮函数F的设计
轮函数F的结构
Li-1
F(Ri1, Ki):
{0,1}32{0,1}48 {0,1}32
Li
….
Ri-1(32) E
Ki(48)
S1
S2
S3
S4
S5
S6
置换P F(Ri-1, Ki)
….
Ri-1
F
Ki(48)
Ri
….
S7
S8
11
扩展变换E
扩展变换E: 将32位变为48位,扩展了16位
(i)10=b1b6 (0i3), (j)10=b2b3b4b5 (0j15) 输出: Sk-盒的表中第i行j列位置元素(4位二进制) 例: 对于S1,输入b=101011, 有i=11=3, j=0101=5,
输出: S1(b)= S1(3,5)=9=1001.
Sk
0 1 S1 2 3
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
于劳埃德保险公司的现金分配系统 Feistel代换-置换网络主要参数
分组大小: (2w=64) 密钥大小: (|K|=128) 轮数:h 子密钥产生算法: K K1, K2,…, Kh. 轮函数设计: F
IP1
40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 13 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25
10
….
轮函数F的设计
轮函数F的结构
Li-1
F(Ri1, Ki):
{0,1}32{0,1}48 {0,1}32
Li
….
Ri-1(32) E
Ki(48)
S1
S2
S3
S4
S5
S6
置换P F(Ri-1, Ki)
….
Ri-1
F
Ki(48)
Ri
….
S7
S8
11
扩展变换E
扩展变换E: 将32位变为48位,扩展了16位
(i)10=b1b6 (0i3), (j)10=b2b3b4b5 (0j15) 输出: Sk-盒的表中第i行j列位置元素(4位二进制) 例: 对于S1,输入b=101011, 有i=11=3, j=0101=5,
输出: S1(b)= S1(3,5)=9=1001.
Sk
0 1 S1 2 3
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
于劳埃德保险公司的现金分配系统 Feistel代换-置换网络主要参数
分组大小: (2w=64) 密钥大小: (|K|=128) 轮数:h 子密钥产生算法: K K1, K2,…, Kh. 轮函数设计: F
现代密码学--第8讲
第5周第1次课
现代密码学
35
第5周第1次课
现代密码学
36
第5周第1次课
现代密码学
37
第5周第1次课现代密Biblioteka 学38第5周第1次课
现代密码学
39
第5周第1次课
现代密码学
40
第5周第1次课
现代密码学
41
第5周第1次课
现代密码学
42
第5周第1次课
现代密码学
43
第5周第1次课
现代密码学
44
第5周第1次课
现代密码学
15
第5周第1次课
现代密码学
16
第5周第1次课
现代密码学
17
第5周第1次课
现代密码学
18
第5周第1次课
现代密码学
19
第5周第1次课
现代密码学
20
第5周第1次课
现代密码学
21
第5周第1次课
现代密码学
22
第5周第1次课
现代密码学
23
第5周第1次课
现代密码学
24
现代密码学
49
Q&A?
第5周第1次课 现代密码学 50
Thanks For Your Attentions
第5周第1次课
现代密码学
51
现代密码学
4
第5周第1次课
现代密码学
5
第5周第1次课
现代密码学
6
第5周第1次课
现代密码学
7
第5周第1次课
现代密码学
8
第5周第1次课
现代密码学
9
第5周第1次课
现代密码学
《分组密码理论》课件
分组密码的工作模式
ECB模式
电子密码本模式,是最简单的分组密码工作模式。它将明 文分成固定长度的块,然后对每个块进行加密。
CBC模式
密码块链接模式,将前一块的密文作为下一块的加密密钥 ,使得明文中的重复内容在密文中也呈现规律性变化。
CFB模式
密码反馈模式,将前一块的密文作为下一块的加密密钥, 同时将加密后的密文反馈回来与明文进行异或操作,以实 现加密和解密过程。
介绍量子密码学的基本原理, 包括量子态的叠加性和纠缠性 ,以及量子不可克隆定理等。 这些原理为抗量子计算攻击的 分组密码提供了理论基础。
列举一些已经提出的抗量子计 算攻击的分组密码算法,如基 于多线性映射、基于哈希函数 、基于编码理论的算法等。
分析抗量子计算攻击分组密码 研究中面临的挑战,如算法效 率、实现难度和安全性证明等 ,并对未来的研究方向进行展 望。
分组密码的应用场景
通信安全
01
分组密码广泛应用于通信加密领域,如TLS/SSL协议中的AES加
密算法。
存储安全
02
在存储加密中,分组密码也扮演着重要的角色,用于保护数据
的机密性和完整性。
身份认证
03
分组密码还可以用于身份认证,通过加密和验证消息的完整性
来确保通信双方的身份安全。
2023
PART 02
2023
REPORTING
THANKS
感谢观看
基于云计算的分组密码
ห้องสมุดไป่ตู้云计算环境下的 安全需求
随着云计算技术的普及,数 据安全和隐私保护成为重要 需求。因此,研究基于云计 算的分组密码是必要的。
基于云计算的分 组密码算法原理
介绍基于云计算的分组密码 算法的基本原理,包括如何 利用云计算的分布式处理能 力提高加密和解密的速度, 以及如何利用云计算的存储 能力实现密钥的分布式存储 等。
现代密码学课程ppt(完整版)
3
数字签名的基本概念
手写签名与数字签名的区别 手写签名是一种传统的确认方式,如写信、 手写签名是一种传统的确认方式,如写信、签订 协议、支付确认、批复文件等. 协议、支付确认、批复文件等
手写签名是所签文件的物理组成部分;数字签名必须与所签文件捆绑 在一起。 手写签名通过与标准签名比较或检查笔迹来验证,伪造签名比较容易; 数字签名是通过公开的验证算法来验证。好的数字签名算法应该伪造 签名十分困难。 手写签名不易复制;数字签名是一个二进制信息,十分容易复制,所 以必须防止数字签名重复使用。
16
一般数字签名算法一般数字签名算法-DSA
参数 p:满足2L-1<p<2L 的大素数,其中512≤L≤1024且 L是64的倍数. q:p-1的素因子,满足2159<q<2160 ,即q长为160 比特. g:g≡h(p-1)/q mod p,其中h是满足1<h<p-1且使 得h(p-1)/q mod p>1的任一整数. 用户秘密钥x(0<x<q的随机数或伪随机数); 用户的公开钥y:y≡gx mod p.
23
一般数字签名算法
基于离散对数问题的数字签名体制是数字签 基于离散对数问题 名体制中最为常用的一类,其中包括 ElGamal签名体制、DSA签名体制、Okamoto 签名体制等.
24
一般数字签名算法
离散对数签名体制 1) 参数和密钥生成 p:大素数;q:p-1或p-1的大素因子; g:g∈RZ*p,且gq≡1(mod p), g∈R Z*p表示g是从Z*p中随机选取的, Z*p=Zp-{0}; x:用户A的秘密钥,1<x<q; y:用户A的公开钥,y≡gx(mod p).
28
第05-08讲 分组密码 现代密码学 教学课件
– 即使敌手能得到密文的一些统计关系,由于密钥和 密文之间的统计关系复杂化,敌手也无法得到密钥
– 使用复杂的代换算法可以得到预期的混淆效果,而 简单的线性代换函数得到的混淆效果则不够理想。
• 扩散和混淆成功地实现了分组密码的本质属性, 因而成为设计现代分组密码的基础
3.1.3 Feistel密码结构
分组密码的设计要求-5
• 数据扩展尽可能小 – 一般无数据扩展,在采用同态置换和随机化 加密技术时可引入数据扩展
• 差错传播尽可能地小
3.1.1 代换
• 明文分组到密文分组的可逆变换为代换 – 如果明文和密文的分组长都为n比特,则明 文的每一个分组都有2n个可能的取值 – 为使加密运算可逆,明文的每一个分组都应 产生惟一的一个密文分组, – 不同可逆变换的个数有2n!个。
• 这种结构是Shannon提出的代换—置换网络 (Substitution-Permutation Network, SPN)的 特有形式。
3.1.3 Feistel密码结构
Feistel网络的实现与以下参数和特性有关:
1.分组大小:分组越大则安全性越高,但加密速度 就越慢(一般取64bit)
2.密钥大小:密钥越长则安全性越高,但加密速度 就越慢(一般取128bit)
i1
– 这时明文的统计特性将被散布到密文中,每一字母 ቤተ መጻሕፍቲ ባይዱ密文中出现的频率比在明文中出现的频率更接近 相等,双字母及多字母出现的频率也更接近相等。
• 扩散的目的是使明文和密文之间的统计关系变 得尽可能复杂,以使敌手无法得到密钥
3.1.2 扩散和混淆
• 混淆是使密文和密钥之间的统计关系变得尽可 能复杂,以使敌手无法得到密钥。
分组密码的设计要求-4
– 使用复杂的代换算法可以得到预期的混淆效果,而 简单的线性代换函数得到的混淆效果则不够理想。
• 扩散和混淆成功地实现了分组密码的本质属性, 因而成为设计现代分组密码的基础
3.1.3 Feistel密码结构
分组密码的设计要求-5
• 数据扩展尽可能小 – 一般无数据扩展,在采用同态置换和随机化 加密技术时可引入数据扩展
• 差错传播尽可能地小
3.1.1 代换
• 明文分组到密文分组的可逆变换为代换 – 如果明文和密文的分组长都为n比特,则明 文的每一个分组都有2n个可能的取值 – 为使加密运算可逆,明文的每一个分组都应 产生惟一的一个密文分组, – 不同可逆变换的个数有2n!个。
• 这种结构是Shannon提出的代换—置换网络 (Substitution-Permutation Network, SPN)的 特有形式。
3.1.3 Feistel密码结构
Feistel网络的实现与以下参数和特性有关:
1.分组大小:分组越大则安全性越高,但加密速度 就越慢(一般取64bit)
2.密钥大小:密钥越长则安全性越高,但加密速度 就越慢(一般取128bit)
i1
– 这时明文的统计特性将被散布到密文中,每一字母 ቤተ መጻሕፍቲ ባይዱ密文中出现的频率比在明文中出现的频率更接近 相等,双字母及多字母出现的频率也更接近相等。
• 扩散的目的是使明文和密文之间的统计关系变 得尽可能复杂,以使敌手无法得到密钥
3.1.2 扩散和混淆
• 混淆是使密文和密钥之间的统计关系变得尽可 能复杂,以使敌手无法得到密钥。
分组密码的设计要求-4
现代密码学和应用-PPT文档资料
2008-9-21
15
(1) 电码本ECB模式
• 直接利用加/解密算法分别对分组数据组加/解密
• 每个分组之间彼此独立。 • 相同明文(在相同密钥下)得出相同密文。
– 这会暴露明文数据的格式和统计特征。
– 明文数据都有固定的格式,需要以协议的形式定义,重要的数据 常常在同一位置上出现,使密码分析者可以对其进行统计分析、 重传和代换攻击。
• CFB与CBC的区别
– 是反馈的密文分组长度k为1或8 – 不是直接与明文相加,而是反馈至密钥产生器; – 若使用非对称的分组算法,则不能用CFB模式
• 用于要求无延迟的加密和传播的应用中。
2008-9-21
24
2008-9-21
25
特性
• 在相同的密钥和IV下,相同的明文分组会得到相 同的密文分组 (与CBC模式一样) • 各密文组yi不仅与当前明文组xi有关,而且通过反 馈作用还与以前的 6 4 / j 个明文组xi-64/j, xi-64/j+1,…, xi-1有关 • 单个密文分组yi中的一个比特错误会影响分组yi和 后续的 6 4 / j 个密文分组的解密。 • 若单个密文分组 yi 出现错误,则能自同步;只要 后续的 6 4 / j 没有错误,则可自动恢复同步
Ci=EK(Pi);Pi=DK(Ci)
• 单个密文分组中的一个或多个比特错误只会影响 该分组的解密结果。
2008-9-21 16
2008-9-21
17
ECB模式的安全缺陷
k kxDESy源自yDES-1x
• 不能隐藏数据模式 • 易遭受插入、删除等主动攻击
2008-9-21 18
(2) 密码分组链接CBC模式
• 每个明文组xi加密之前,先与反馈至输入端 的前一组密文yi-1按位模2求和后,再送至加 密算法加密
《密码学分组密码》PPT课件
.
8
Feistel结构定义
•加密: Li = Ri-1; Ri = Li-1F(Ri-1,Ki) •解密: Ri-1 = Li
Li-1 = RiF(Ri-1,Ki)
= RiF(Li,Ki.)
9
Feistel结构图
.
10
数据加密标准
DES描述 二重DES 两个密钥的三重DES 三个密钥的三重DES
k57= k49= k41= ……= k9= k1=0 或1
k63= k55= k47= ……= k15= k7=0 或1
• 举例:共有4种,如:0101010.101010101。
33
(2) 半弱密钥:
定义:当存在子密钥K和K’,使得: DESk ( m ) = DESk’ -1 ( m ) 或 DESk ( DESk’ ( m ) ) = m 则K和K’成对构成半弱密钥。
C 1( 28 位 )
D 1( 28 位 )
8 2 16 1
( 56 位 ) 置 换 选 择 2
k1
(48 位 )
循环左移
循环左移
C i( 2 8 位 )
D i( 2 8 位 )
置 换 选 择 2 ki
( 56 位 )
( 48 位 )
.
29
置换选择1和置换选择2
.
30
DES解密
和Feistel密码一样,DES的解密和加密使 用同一算法,只是子密钥的使用顺序相 反。
.
32
关于DES的若干问题:
1. DES的坏密钥问题:
(1)弱密钥:
定义:当密钥K所产生的子密钥满足:K1 = K2 = ……= K16 则有:DESk ( m ) = DESk -1 ( m ) , 或:DESk ( DESk ( m ) ) = m 这样的密钥K称为弱密钥。
现现代密码学 8讲RSA
m=D (c)=DSKB (EPKB(m))
•从公开钥PKB和密文c要推出明文m或解密钥SKB在计算上是
不可行的。
•由于任一用户都可用用户B的公开钥PKB 向他发送机密消息,
因而密文c不具有认证性。
2019/9/23
4
公钥密码认证体制
发送者A m
c 加密算法
解密算法
密码分析员
SK’A m 接收者B
若计算函数时间是an的倍数,则为不可能做到 的。
2019/9/23
8
陷门单向函数
单向函数是求逆困难的函数,而单向陷门函 数(Trapdoor one-way function),是在不知 陷门信息下求逆困难的函数,当知道陷门信 息后,求逆是易于实现的。
陷门单向函数是一族可逆函数fk,满足
mk(n)≡1 mod q,
例题
① 选p=7,q=17。 ② 求n=p×q=119,φ(n)=(p-1)(q-1)=96。 ③ 取e=5,满足1<e<φ(n),且gcd(φ(n),e)=1。 ④ 确定满足d·e=1 mod 96且小于96的d,因为
77×5=385=4×96+1,所以d为77 ⑤ 公开钥为{5,119},秘密钥为{77}。 ⑥ 设明文m=19,则由加密过程得密文为 c≡195 mod 119≡2476099 mod 119≡66 ⑦ 解密为6677mod 119≡19
收方B用自己的秘密钥对密文c解密在计算上是容易的。
敌手由密文c和B的公开密钥恢复明文在计算上是不可 行的。
敌手由密文c和B的公开密钥恢复秘密密钥在计算上是 不可行的
加解密次序可换,即EPKB[DSKB(m)]=DSKB[EPKB(m)] ,不 是对任何算法都做此要求。
现代密码学-分组密码DES
17
DES子密钥生成算法
循环左移LSi 将28位的密钥段作为Ci, Di循环左移1或2位,左移位数由 下表确定. i
1 2 1 3 2 4 2 5 2 6 2 7 2 8 2 9 1 10 11 12 13 14 15 16 2 2 2 2 2 2 1
LSi 1
18
DES子密钥生成算法
置换选择2: PC-2 从56位密钥段Ci||Di中选择48位作为子密钥Ki. PC-2 14 3 23 16 41 30 44 46 17 28 19 7 52 40 49 42 11 15 12 27 31 51 39 50 24 6 4 20 37 45 56 36 1 21 26 13 47 33 34 29 5 10 8 2 55 48 53 32
6
Feistel 密码
密文: y(2w-bit) L0(w-bit) R0(w-bit) F R1 …. …. Ki Ri …. …. K1 Rh Rh+1 明文: x(2w-bit)
7
Feistel解密结构 与加密结构相同 子密钥使用次序相反: Kh, Kh-1,…,K2,K1 输入:密文y 输出:明文x
置换选择2: 从56个密钥比特中取 出48个作为子密钥
20
DES解密算法
与DES加密结构相同 子密钥使用次序相反: K16 K15,…,K2,K1 输入:密文y 输出:明文x
21
DES的解密过程可描述为:
Ri 1 Li Li 1 Ri f ( Li , K i ), i 16,15,1
L1
Kh
Li
F
F
Lh
Lh+1
2 数据加密标准(DES)
分组加密算法课件
密钥k=(k0,… ,kn-1) 密钥k=(k0,… ,kn-1)
明文
加密算法
(x0,… ,xn-1)
原来的明文 密文 解密算法 (x0,… ,xn-1)
(y0,… ,yn-1)
分组加密算法
分组密码的一般设计原理
设计目标
在密钥控制下,从一个足够大、足够好的置换 子集中简单迅速地选出一个置换,对当前输入 的明文数字组进行加密变换;
输入的第58位作为第1位 输入的第50位作为第1位 输入的第42位作为第1位
分组加密算法
输入的第40位作为第1位 输入的第8位作为第1位 输入的第42位作为第1位
IP与IP-1互逆
M=(m1 , m2 ,…..)
1 2 34 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
发明人:
IBM公司 W.Tuchman和C.Meyer.
基础:
1967年美国Horst Feistel提出的理论;
产生:
美国国家标准局1973年开始研究除国防部外的其它部门 的计算机系统的数据加密标准,于1973年5月15日和 1974年8月27日先后两次向公众发出了征求加密算法的 公告,最终选定DES。
S7盒
13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2012-9-21 6
AES的评审
1999年8月9日NIST宣布第二轮筛选出的5个 候选算法为:
MARS(C.Burwick等,IBM), RC6TM(R. Rivest等,RSA Lab.), RIJNDEAL(J. Daemen,比), SERPENT(R. Anderson等,英、以、挪威), TWOFISH(B. Schiener)。
2012-9-21
18
列混合
将每列视为GF(28)上多项式,与固定的 多项式c(x)进行模x4+1乘法,要求c(x) 模x4+1可逆。 表示为MixColumn(State)
3 2
c ( x ) '03 ' x '01 ' x '01 ' x '02 '
2012-9-21
19
密钥加
轮密钥与状态进行逐比特异或。 轮密钥由种子密钥通过密钥编排算法得 到 轮密钥长度与分组密钥长度相同 表示为 AddRoundKey(State,RoundKey)
2012-9-21
20
轮函数的伪C代码
Round(State,RoundKey) { ByteSub(State); ShiftRow(State); MixColumn(State); AddRoundKey(State,Roundkey); }
a. 安全性 b. 计算效率 c. 内存要求 d. 使用简便性 e. 灵活性。
5
2012-9-21
AES的评审
1998年4月15日全面征集AES算法的工作结束。1998年8 月20日举行了首届AES讨论会,对涉及14个国家的密码 学家所提出的候选AES算法进行了评估和测试,初选并 公布了15个被选方案,供大家公开讨论。
2012-9-21
3
AES的要求
(1)AES是公开的;
(2)AES为单钥体制分组密码; (3)AES的密钥长度可变,可按需要增大; (4)AES适于用软件和硬件实现; (5)AES可以自由地使用,或按符合美国国家 标准(ANST)策略的条件使用;
2012-9-21
பைடு நூலகம்
4
算法衡量条件
满足以上要求的AES算法,需按下述条 件判断优劣
算法中间的结果也需要分组,称之为状态,状态可 以用以字节为元素的矩阵阵列表示,该阵列有4行, 列数Nb为分组长度除32
以字节为元素的矩阵阵列描述,阵列为4行,列数 Nk为密钥长度除32
10
种子密钥
2012-9-21
算法说明
算法的输入、输出和种子密钥可看成字 节组成的一维数组。 下标范围
2000年10月2日,NIST宣布Rijndael作为新的 AES
7
2012-9-21
AES算法设计思想
抵抗所有已知的攻击; 在多个平台上速度快,编码紧凑; 设计简单。 Rijndael没有采用Feistel结构,轮函数由 3个不同的可逆均匀变换构成的,称为3 个层 均匀变换是指状态的每个bit都用类似的 方法处理
输入输出:0-4Nb-1, 种子密钥:0-4Nk-1
2012-9-21
11
Nb=6和Nk=4的状态密钥阵列
按此顺序放入和读出
按此顺序放入
2012-9-21
12
分组和阵列中元素对应关系
分组下标n 阵列位置(i,j)
i=n mod 4, j=[n/4];n=i+4j
轮数Nr与Nb和Nk对应关系 Nk=4 Nk=6 Nk=8
0 0 1 1 1 1 1 0
0 0 0 1 1 1 1 1
1 0 0 0 1 1 1 1
1 1 0 0 0 1 1 1
1 1 1 0 0 0 1 1
1 x0 1 1 x1 1 1 x2 0 1 x3 0 0 x4 0 0 x5 1 0 x6 1 1 x7 0
2012-9-21 21
结尾轮的轮函数
Round(State,RoundKey) { ByteSub(State); ShiftRow(State); AddRoundKey(State,Roundkey); }
2012-9-21
22
8
2012-9-21
轮函数的3层
线性混合层
确保多轮之上的高度扩散;
非线性层
将具有最优的“最坏情况非线性特性”的S 盒并行使用; 单轮子密钥简单的异或到中间状态上,实现 一次性掩盖。
9
密钥加层
2012-9-21
算法说明
分组和密钥长度可变,各自可独立指定为128、 192、256比特。 状态
CAST-256, RC-6, FROG, DFC, CRYPTON-128,DEAL-128, LOKI-97, MAGENTA,
MARS,
HPC,
RIJNDAEL,
TWOFISH。
SAFER+,
SERPENT, E-2,
这些算法设计思想新颖,技术水平先进,算法的强度都 超过3-DES,实现速度快于3-DES。
2012-9-21
15
字节代换
y 0 1 y1 1 y 2 1 y3 1 y 1 4 y5 0 y 0 6 y7 0
2012-9-21
0 1 1 1 1 1 0 0
Nb=4 10 12 14 Nb=6 12 12 14 Nb=8 14 14 14
13
2012-9-21
轮函数
字节代换 行移位 列混合 密钥加
2012-9-21
14
字节代换
(1)
(2)
非线性代换,独立地对状态的每个字节 进行,并且代换表(S盒)可逆,记为 ByteSub(State),分两步 将字节作为GF(28)上的元素映射到自 己的逆元 将字节做如下的GF(2)上变换
16
行移位
将状态阵列的各行进行循环移位,不同 行的移位量不同 0行:不动 1行:循环左移C1字节 2行:循环左移C2字节 3行:循环左移C3字节 记为:ShiftRow(State)
17
2012-9-21
行移位
移位量与分组长度的关系
Nb 4 6 8 C1 1 1 1 C2 2 2 3 C3 3 3 4
第四章 分组密码
一、分组密码概述 二、分组密码运行模式 三、DES 四、AES 五、分组密码的分析
2012-9-21
1
四、AES
2012-9-21
2
AES提出
1997年1月,美国NIST向全世界密码学界 发出征集21世纪高级加密标准(AES— —Advanced Encryption Standard)算法 的公告,并成立了AES标准工作研究室, 1997年4月15日的例会制定了对AES的评 估标准。
AES的评审
1999年8月9日NIST宣布第二轮筛选出的5个 候选算法为:
MARS(C.Burwick等,IBM), RC6TM(R. Rivest等,RSA Lab.), RIJNDEAL(J. Daemen,比), SERPENT(R. Anderson等,英、以、挪威), TWOFISH(B. Schiener)。
2012-9-21
18
列混合
将每列视为GF(28)上多项式,与固定的 多项式c(x)进行模x4+1乘法,要求c(x) 模x4+1可逆。 表示为MixColumn(State)
3 2
c ( x ) '03 ' x '01 ' x '01 ' x '02 '
2012-9-21
19
密钥加
轮密钥与状态进行逐比特异或。 轮密钥由种子密钥通过密钥编排算法得 到 轮密钥长度与分组密钥长度相同 表示为 AddRoundKey(State,RoundKey)
2012-9-21
20
轮函数的伪C代码
Round(State,RoundKey) { ByteSub(State); ShiftRow(State); MixColumn(State); AddRoundKey(State,Roundkey); }
a. 安全性 b. 计算效率 c. 内存要求 d. 使用简便性 e. 灵活性。
5
2012-9-21
AES的评审
1998年4月15日全面征集AES算法的工作结束。1998年8 月20日举行了首届AES讨论会,对涉及14个国家的密码 学家所提出的候选AES算法进行了评估和测试,初选并 公布了15个被选方案,供大家公开讨论。
2012-9-21
3
AES的要求
(1)AES是公开的;
(2)AES为单钥体制分组密码; (3)AES的密钥长度可变,可按需要增大; (4)AES适于用软件和硬件实现; (5)AES可以自由地使用,或按符合美国国家 标准(ANST)策略的条件使用;
2012-9-21
பைடு நூலகம்
4
算法衡量条件
满足以上要求的AES算法,需按下述条 件判断优劣
算法中间的结果也需要分组,称之为状态,状态可 以用以字节为元素的矩阵阵列表示,该阵列有4行, 列数Nb为分组长度除32
以字节为元素的矩阵阵列描述,阵列为4行,列数 Nk为密钥长度除32
10
种子密钥
2012-9-21
算法说明
算法的输入、输出和种子密钥可看成字 节组成的一维数组。 下标范围
2000年10月2日,NIST宣布Rijndael作为新的 AES
7
2012-9-21
AES算法设计思想
抵抗所有已知的攻击; 在多个平台上速度快,编码紧凑; 设计简单。 Rijndael没有采用Feistel结构,轮函数由 3个不同的可逆均匀变换构成的,称为3 个层 均匀变换是指状态的每个bit都用类似的 方法处理
输入输出:0-4Nb-1, 种子密钥:0-4Nk-1
2012-9-21
11
Nb=6和Nk=4的状态密钥阵列
按此顺序放入和读出
按此顺序放入
2012-9-21
12
分组和阵列中元素对应关系
分组下标n 阵列位置(i,j)
i=n mod 4, j=[n/4];n=i+4j
轮数Nr与Nb和Nk对应关系 Nk=4 Nk=6 Nk=8
0 0 1 1 1 1 1 0
0 0 0 1 1 1 1 1
1 0 0 0 1 1 1 1
1 1 0 0 0 1 1 1
1 1 1 0 0 0 1 1
1 x0 1 1 x1 1 1 x2 0 1 x3 0 0 x4 0 0 x5 1 0 x6 1 1 x7 0
2012-9-21 21
结尾轮的轮函数
Round(State,RoundKey) { ByteSub(State); ShiftRow(State); AddRoundKey(State,Roundkey); }
2012-9-21
22
8
2012-9-21
轮函数的3层
线性混合层
确保多轮之上的高度扩散;
非线性层
将具有最优的“最坏情况非线性特性”的S 盒并行使用; 单轮子密钥简单的异或到中间状态上,实现 一次性掩盖。
9
密钥加层
2012-9-21
算法说明
分组和密钥长度可变,各自可独立指定为128、 192、256比特。 状态
CAST-256, RC-6, FROG, DFC, CRYPTON-128,DEAL-128, LOKI-97, MAGENTA,
MARS,
HPC,
RIJNDAEL,
TWOFISH。
SAFER+,
SERPENT, E-2,
这些算法设计思想新颖,技术水平先进,算法的强度都 超过3-DES,实现速度快于3-DES。
2012-9-21
15
字节代换
y 0 1 y1 1 y 2 1 y3 1 y 1 4 y5 0 y 0 6 y7 0
2012-9-21
0 1 1 1 1 1 0 0
Nb=4 10 12 14 Nb=6 12 12 14 Nb=8 14 14 14
13
2012-9-21
轮函数
字节代换 行移位 列混合 密钥加
2012-9-21
14
字节代换
(1)
(2)
非线性代换,独立地对状态的每个字节 进行,并且代换表(S盒)可逆,记为 ByteSub(State),分两步 将字节作为GF(28)上的元素映射到自 己的逆元 将字节做如下的GF(2)上变换
16
行移位
将状态阵列的各行进行循环移位,不同 行的移位量不同 0行:不动 1行:循环左移C1字节 2行:循环左移C2字节 3行:循环左移C3字节 记为:ShiftRow(State)
17
2012-9-21
行移位
移位量与分组长度的关系
Nb 4 6 8 C1 1 1 1 C2 2 2 3 C3 3 3 4
第四章 分组密码
一、分组密码概述 二、分组密码运行模式 三、DES 四、AES 五、分组密码的分析
2012-9-21
1
四、AES
2012-9-21
2
AES提出
1997年1月,美国NIST向全世界密码学界 发出征集21世纪高级加密标准(AES— —Advanced Encryption Standard)算法 的公告,并成立了AES标准工作研究室, 1997年4月15日的例会制定了对AES的评 估标准。