網(wǎng)絡(luò)信息安全課件PPT課件

1、2021-11-19現(xiàn)代密碼學理論與實踐-061/576.1 多重加密與三重DES算法 尋找代替DES的新密碼的理由是顯然的 密鑰的窮舉攻擊是可行的 AES是一種新的安全的密碼 在AES之前，還可以用DES進行多次加密，且使用多個密鑰 三重DES(Triple-DES)被廣泛接受第1頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-062/576.1.1 雙重DES 多次加密的最簡單形式是進行兩次加密，每次使用不同的密鑰 C = EK2(EK1(P) P = DK1(DK2(C) 這種方法的密鑰長度是56x2=112位 雖然雙重DES對應(yīng)的映射與單DES對應(yīng)的映射不同，但是有中途相遇攻擊

2、“meet-in-the-middle” 只要連續(xù)使用密碼兩次，這種攻擊總是有效 因為X = EK1(P) = DK2(C) 用所有可能的密鑰加密明文P并把結(jié)果存儲起來 然后用所有可能的密鑰解密密文C，尋找匹配的X值 因此復雜度只有O(256)第2頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-063/57雙重DES和三重DES 雙重DES (Double DES)給定明文P和加密密鑰K1和K2,加密：C=EK2EK1P解密：P=DK1DK2C密鑰長度為56x2=112位存在中途相遇攻擊問題第3頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-064/57 這種攻擊對使用兩次加密的分

3、組密碼都有效 C=EK2EK1P，則X=EK1P=DK2C 若已知(P, C)，則 對256個可能的K1加密P，結(jié)果存入表中，按X值排序 對256個可能的K2解密C，在表中尋找匹配 如果產(chǎn)生匹配，則用一個新的明文密文對檢測所得兩個密鑰 如果兩密鑰產(chǎn)生正確的密文，則接受為正確密鑰 對任意給定的明文P，雙重DES產(chǎn)生的密文有264可能，密鑰空間為2112。對給定明文P，可產(chǎn)生給定密文C的密鑰的個數(shù)平均為2112/264=248。上述攻擊過程對第一個(P,C)對將產(chǎn)生248個錯誤的結(jié)果，而對第二個(P,C)對，錯誤結(jié)果的概率就降為248-64 =2-16，即中途相遇攻擊使用兩組已知明密文對就可以檢測

4、到正確密鑰的概率是1-2-16，攻擊雙重DES，工作量僅為256，與攻擊單DES所需的255差不多。中途相遇攻擊(Meet-in-the-Middle Attack)第4頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-065/576.1.2 使用兩個密鑰的三重DES 使用兩個密鑰進行三次加密：E-D-E sequence C=EK1DK2EK1P 如果K1=K2，則相當于單次DES 已被用于密鑰管理標準ANSI X9.17和ISO8732 當前還沒有對三重DES的可行攻擊方法第5頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-066/576.1.3 使用三個密鑰的三重DES 雖然對

5、于使用兩個密鑰的Triple-DES還沒有實際的成功攻擊，但是仍然令人有些擔心 因此可以考慮使用三個密鑰的Triple-DES，這樣，密鑰的長度就是168位 C = EK3DK2EK1P 使用三個密鑰的Triple-DES如今已被廣泛采用，如PGP, S/MIME 當然還有使用更多重DES的，如5DES第6頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-067/576.2 分組密碼的工作模式第7頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-068/57電子密碼本模式Electronic Codebook, ECB 明文分成64的分組進行加密，必要時填充，每個分組用同一密鑰加密，同

6、樣明文分組加密得相同密文第8頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-069/57 ECB模式特別適合數(shù)據(jù)較少的情況，如安全傳輸DES密鑰 一段明文消息中若有幾個相同的明文組，則密文也將出現(xiàn)幾個相同的片段 對于很長的消息，ECB是不安全的，如果消息是非常結(jié)構(gòu)化的，密碼分析可能利用其結(jié)構(gòu)特征來破解 ECB的弱點來源于其加密過的密文分組是互相獨立的 ECB模式的局限性第9頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0610/57密文分組鏈接模式Cipher Block Chaining (CBC) 加密輸入是當前明文分組和前一密文分組的異或，形成一條鏈，使用相同的密鑰， 這樣

7、每個明文分組的加密函數(shù)輸入與明文分組之間不再有固定的關(guān)系第10頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0611/57CBC的優(yōu)點和局限 每個密文分組依賴于所有明文分組 明文消息中的任何一點變化都會影響所有的密文分組 發(fā)送方和接收方需要共享初始向量Initial Value(IV) 如果IV被明文傳送，則攻擊者可以改變第一個分組的某些位，然后預(yù)先改變IV中的某些位，則接收者收到的P1也就相應(yīng)改變了 因此，IV必須是一個固定的值或者必須用ECB方式在消息之前加密傳送 在消息的最后，還要處理不夠長度的分組 可以填充已知非數(shù)據(jù)值，或者在最后一塊補上填充位長度 eg. b1 b2 b3 0

8、 0 0 0 5 - 3 data bytes, then 5 bytes pad+count 第11頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0612/57CBC的優(yōu)點和局限 兩種計算IV的方法：1.用加密函數(shù)加密一個時變值，所用密鑰和明文加密所用密鑰相同。這個時變值對每次加密運算來說必須唯一。例如：時變值可以是一個計數(shù)器，一個時間戳或者消息數(shù)目。2.第二種方法是用隨機數(shù)發(fā)生器產(chǎn)生一個隨機數(shù)分組。11111111(,)(,) (,) (,) CE KIVPPIVD K CX ibXiP iIV iD K CiXORP iIV iD K Ci用表示 位 的第 位，則使用的性質(zhì)，我們

9、將上式重寫為第12頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0613/57 是一種將DES轉(zhuǎn)化成流密碼的技術(shù)，不再要求報文被填充成整個分組，可以實時運行，如果要傳輸一個字符流，每個字符都可以使用面向字符的流密碼加密后立即傳輸。 加密：加密函數(shù)的輸入是一個64位的移位寄存器，產(chǎn)生初始向量IV。加密函數(shù)高端j位與明文P1的第一單元異或，產(chǎn)生j位密文C1進入移位寄存器低端，繼續(xù)加密，與P2輸入異或，如此重復直到所有明文單元都完成加密。 解密：采用相同方案，但是使用加密函數(shù)而非解密函數(shù)。密碼反饋模式Cipher FeedBack (CFB)第13頁/共55頁2021-11-19現(xiàn)代密碼學理

10、論與實踐-0614/57第14頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0615/57密碼反饋模式Cipher FeedBack (CFB) 解密：采用相同方案，但是使用加密函數(shù)而非解密函數(shù)。設(shè)MSNs(X)表示X的最左邊s位。則1111 (,) (,)ssCPMSB E K IVPCMSB E K IV從而有第15頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0616/57CFB模式的優(yōu)點和局限 當數(shù)據(jù)以位或字節(jié)形式到達時使用都是適當?shù)?最通用的是流密碼形式 第16頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0617/57 輸出反饋模式Output FeedBa

11、ck (OFB) 結(jié)構(gòu)上類似CFB，但是OFB中加密函數(shù)輸出被反饋回移位寄存器，CFB中是密文單元被反饋回移位寄存器。優(yōu)點是傳輸中的比特差錯不會傳播，缺點是比CFB更容易受報文流篡改攻擊。輸出反饋模式Output FeedBack (OFB)第17頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0618/57第18頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0619/57OFB的優(yōu)點和局限 OFB的一個優(yōu)點是傳輸過程中在某位上發(fā)生的錯誤不會影響到其他位。比如，C1中有1位發(fā)生了錯誤，只會影響到P1的恢復，后續(xù)的明文單元不受影響。 OFB的缺點是，抗消息流篡改攻擊的能力不如CFB

12、。即密文中的某位取反，恢復出的明文相應(yīng)位也取反第19頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0620/57 Counter (CTR) 是一種新模式，雖然早就提出來了 與OFB很像，但是加密的是計數(shù)器的值而不是任何反饋回來的值 每一個明文分組都必須使用一個不同的密鑰和計數(shù)器值，決不要重復使用Ci = Pi XOR Oi Oi = DESK1(i) 可以用于高速網(wǎng)絡(luò)加密中計數(shù)器模式Counter (CRT)第20頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0621/57Counter (CTR)第21頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0622/57CT

13、R的優(yōu)點和局限 高效 可以做并行加密 對高速鏈路的突發(fā)數(shù)據(jù)加密尤其有效 可以對被加密的分組進行隨機存取 相當安全 簡潔 必須決不重復使用密鑰和計數(shù)器值第22頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0623/576.3 流密碼和RC4 按位處理明文消息(as a stream) 典型做法是用一個偽隨機流密鑰與明文按位異或 流密鑰的隨機性完全摧毀了明文消息的統(tǒng)計特性 Ci = Mi XOR StreamKeyi 不能重復使用流密鑰，不然系統(tǒng)可能被破解第23頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0624/57流密碼的結(jié)構(gòu)第24頁/共55頁2021-11-19現(xiàn)代密碼學理

14、論與實踐-0625/57流密碼設(shè)計方面的一些考慮 無重復的長周期 統(tǒng)計上是隨機的 依賴于足夠長的密鑰 線性復雜性要大 對于相關(guān)性要有免疫性 擾亂 擴散 采用高度非線性的布爾函數(shù) 第25頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0626/576.3.2 RC4算法 由RSA在1987提出 Ron Rivest設(shè)計，簡單且高效 密鑰長度可變，面向字節(jié)的流密碼 使用廣泛(web SSL/TLS, wireless WEP) 對所有8位的值以密鑰實現(xiàn)隨機置換 用置換加密輸入消息，每次一個字節(jié) 第26頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0627/57RC4密鑰安排 從數(shù)組S

15、開始，S為0.255 使用密鑰充分進行變換 S形成密碼的內(nèi)在狀態(tài)internal state 密鑰k的長度為l字節(jié) for i = 0 to 255 doSi = ij = 0for i = 0 to 255 do j = (j + Si + ki mod l) (mod 256) swap (Si, Sj)第27頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0628/57RC4的加密 加密過程是繼續(xù)進行數(shù)組值的置換 如果密鑰K的長度是256字節(jié)，則將K賦予臨時向量T，否則將K的值keylen賦予T的前keylen個元素 與消息的下一個字節(jié)異或，進行加解密i = j = 0 for e

16、ach message byte Mii = (i + 1) (mod 256)j = (j + Si) (mod 256)swap(Si, Sj)t = (Si + Sj) (mod 256) Ci = Mi XOR St 第28頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0629/57第29頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0630/57RC4的安全性 可以抵御已知的各種攻擊 加密結(jié)果是非?！胺蔷€性”的 RC4是流密碼，決不重復使用密鑰 用于為802.11無線局域網(wǎng)提供安全性的WEP協(xié)議，易受一種特殊攻擊，問題不在RC4本身，而是RC4中輸入的密鑰的產(chǎn)生途徑有

17、漏洞 第30頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0631/57RC5 RC5是Ronald Rivest設(shè)計的一種對稱加密算法，具有如下特點 適于軟件和硬件實現(xiàn) 快速：設(shè)計成面向字的簡單算法，加快運算速度 可用于字長不同的處理器 迭代次數(shù)可變 密鑰長度可變 簡單，易于實現(xiàn)和確定算法強度 對存儲量要求低 安全性高 與數(shù)據(jù)相關(guān)的循環(huán)第31頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0632/57RC5密碼 RC5 實際上是一個系列的密碼RC5-w/r/b w = word size in bits (16/32/64) nb data=2w r = number of

18、rounds (0.255) b = number of bytes in key (0.255) 常見的版本形式是 RC5-32/12/16 i.e., 32-bit words so encrypts 64-bit data blocks using 12 rounds with 16 bytes (128-bit) secret key第32頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0633/57RC5 Key Expansion RC5使用2r+2子密鑰字(w-bits) 子密鑰存儲在數(shù)組Si, i=0.t-1 密鑰產(chǎn)生過程包括 將S初始化成一個固定長度的偽隨機數(shù)，基于常數(shù)

19、e和phi 字節(jié)密鑰復制到c-word數(shù)組L 對L和S的混合操作最終形成S數(shù)組第33頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0634/57RC5 Key Expansion第34頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0635/57RC5 Encryption 將輸入分成A和B兩部分L0 = A + S0;R0 = B + S1;for i = 1 to r doLi = (Li-1 XOR Ri-1) Ri-1) + S2 x i;Ri = (Ri-1 XOR Li) Li) + S2 x i + 1; 每一輪就像是2DES的輪 非線性主要來自于循環(huán)移位 需要適當

20、的輪數(shù)(e.g. 12-16) 第35頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0636/57第36頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0637/57RC5 Modes RFC2040 定義了RC5使用的4種模式 RC5 Block Cipher, ECB模式 RC5-CBC, CBC模式 RC5-CBC-PAD, CBC加字節(jié)填充的模式 RC5-CTS, CBC模式的一種變形，采樣密文挪用方法使得密文大小保持與原始態(tài)一致第37頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0638/57RC5密文挪用模式第38頁/共55頁2021-11-19現(xiàn)代密碼學理論

21、與實踐-0639/57分組密碼的特點 變長的密鑰、分組大小、輪數(shù) 混合各種操作，數(shù)據(jù)和密鑰依賴循環(huán)移位 密碼依賴S盒 更加復雜的密鑰處理過程 每一輪都對全部數(shù)據(jù)進行操作 多樣性的非線性功能第39頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0640/57 Blowfish,1993年由Bruce Schneier提出，對稱分組密碼，特性： 快速：在32位處理器上加密每字節(jié)18時鐘周期 緊湊：可在少于5K的內(nèi)存上運行 簡單：結(jié)構(gòu)簡單、容易實現(xiàn) 可變的安全性：密鑰長度可變，從32位到448位 子密鑰和S盒的產(chǎn)生 使用32位可變到448位的密鑰，存儲在K數(shù)組中：Kj，用來產(chǎn)生18個32-bi

22、t的子密鑰，存儲在P數(shù)組中：Pj， 4個8x32的包含1024個32位項的S盒，存儲在Si,jBlowfish第40頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0641/57 產(chǎn)生P數(shù)組和S數(shù)組的步驟 用常數(shù)的小數(shù)部分初始化P數(shù)組和4個S盒 對P數(shù)組和K數(shù)組逐位異或 使用當前的P和S數(shù)組對64位分組加密，把P1和P2用加密的輸出替代 使用當前的P和S數(shù)組對第三步的輸出加密，用所得密文替代P3和P4 重復這個過程以更新P和S數(shù)組的所有元素，每一步都使用不斷變化的Blowfish算法的輸出，總共執(zhí)行512次加密算法 Blowfish對密鑰經(jīng)常變化的應(yīng)用不適合，也不適合存儲空間有限的應(yīng)用B

23、lowfish Key Schedule第41頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0642/57 Blowfish的加密 兩個基本操作: 模232的加和逐位異或 數(shù)據(jù)被分成左右兩部分L0 & R0for i = 1 to 16 doRi = Li-1 XOR Pi;Li = FRi XOR Ri-1;L17 = R16 XOR P18;R17 = L16 XOR i17;這里：Fa,b,c,d=(S1,a + S2,b)XOR S3,c)+S4,aBlowfish Encryption第42頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0643/57第43頁/

24、共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0644/57第44頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0645/57 Blowfish的S盒依賴于密鑰，子密鑰和S盒通過重復使用Blowfish本身產(chǎn)生，使得各比特徹底糾纏在一起，密碼分析非常困難 在每一循環(huán)中對數(shù)據(jù)的兩部分進行操作，增大了密碼強度 通過選擇適當?shù)拿荑€長度(最長448位)，對窮舉攻擊來說，Blowfish幾乎是不可破的 Blowfish的算法執(zhí)行是很快的所以，Blowfish可能是最難破譯的常規(guī)加密算法。討 論第45頁/共55頁2021-11-19現(xiàn)代密碼學理論與實踐-0646/57 國際數(shù)據(jù)加密算法IDEA (International Data Encryption Algorithm)1990年由瑞士蘇黎世聯(lián)邦工業(yè)大學的Lai Xuejia和James Messey提出，1992年最終完成。算法形式同DES，用循環(huán)加密方式。 設(shè)計原理 使用128位密鑰加密64位明文分組，窮舉分析需要1038次試探，目前尚無破譯方法。算法本身傾向于軟