AES和DES分組加密算法的比較

1、AES和DES分組加密算法的比較 1、AES的算法簡(jiǎn)介AES是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所NIST旨在取代DES的新一代的加密標(biāo)準(zhǔn)。NIST對(duì)AES候選算法的基本要求是:對(duì)稱分組密碼體制;密鑰長(zhǎng)度支持128,192,256位;明文分組長(zhǎng)度128 位;算法應(yīng)易于各種硬件和軟件實(shí)現(xiàn)。1998年NIST開始AES第一輪征集、分析、測(cè)試,共產(chǎn)生了15 個(gè)候選算法。1999 年3 月完成了第二輪AES 的分析、測(cè)試。1999 年8 月NIST公布了五種算法(MARS,RC6,Rijndael,Serpent,Twofish) 成為候選算法。最后,Rijndael ,這個(gè)由比利時(shí)人設(shè)計(jì)的算法與其它候選算法在成為

2、高級(jí)加密標(biāo)準(zhǔn)(AES) 的競(jìng)爭(zhēng)中取得成功,于2000 年10月被NIST宣布成為取代DES的新一代的數(shù)據(jù)加密標(biāo)準(zhǔn),即AES。盡管人們對(duì)AES還有不同的看法,但總體來(lái)說(shuō),Rijndael作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn)匯聚了強(qiáng)安全性、高性能、高效率、易用和靈活等優(yōu)點(diǎn)。AES設(shè)計(jì)有三個(gè)密鑰長(zhǎng)度:128,192,256 比特, 相對(duì)而言,AES 的128 比特密鑰比DES的56 比特密鑰強(qiáng)1021倍。對(duì)稱密碼算法根據(jù)對(duì)明文消息加密方式的不同可分為兩大類,即分組密碼和流密碼。分組密碼將消息分為固定長(zhǎng)度的分組,輸出的密文分組通常與輸入的明文分組長(zhǎng)度相同。AES算法屬于分組密碼算法,它的輸入分組、輸出分組以及加/

3、 解密過(guò)程中的中間分組都是128比特。密鑰的長(zhǎng)度K為128,192 或256 比特。用Nk=4,6,8 代表密鑰串的字?jǐn)?shù)(1 字=32 比特) ,在本文編制的程序中由用戶選定。用Nr 表示對(duì)一個(gè)數(shù)據(jù)分組加密的輪數(shù)(加密輪數(shù)與密鑰長(zhǎng)度的關(guān)系見表1) 。每一輪都需要一個(gè)和輸入分組具有同樣長(zhǎng)度(128 比特) 的擴(kuò)展密鑰Ke的參與。由于外部輸入的加密密鑰K長(zhǎng)度有限,所以在AES中要用一個(gè)密鑰擴(kuò)展程序( KeyExpansion) 把外部密鑰K擴(kuò)展成更長(zhǎng)的比特串,以生成各輪的加密密鑰。2、AES和DES的比較自DES算法1977年首次公諸于世以來(lái),學(xué)術(shù)界對(duì)其進(jìn)行了深入的研究,圍繞它的安全性等方面展開了

4、激烈的爭(zhēng)論。在技術(shù)上,對(duì)DES的批評(píng)主要集中在以下幾個(gè)方面:(1) 作為分組密碼,DES的加密單位僅有64位二進(jìn)制,這對(duì)于數(shù)據(jù)傳輸來(lái)說(shuō)太小,因?yàn)槊總€(gè)分組僅含8個(gè)字符,而且其中某些位還要用于奇偶校驗(yàn)或其他通訊開銷。( 2) DES的密鑰的位數(shù)太短,只有56比特,而且各次迭代中使用的密鑰是遞推產(chǎn)生的,這種相關(guān)必然降低密碼體制的安全性, 在現(xiàn)有技術(shù)下用窮舉法尋找密鑰已趨于可行。(3) DES不能對(duì)抗差分和線性密碼分析。迄今為止, DES算法中的S盒8個(gè)選擇函數(shù)矩陣的設(shè)計(jì)原理因美國(guó)政府方面的干預(yù), 不予公布。從這一方面嚴(yán)格地講DES算法并不是一個(gè)真正的公開加密算法。S盒設(shè)計(jì)中利用了重復(fù)因子, 致使加密

5、或解密變換的密鑰具有多值性, 造成使用DES合法用戶的不安全性。而且, 在DES加密算法的所有部件中, S盒是唯一的具有差分?jǐn)U散功能的部件(相對(duì)于逐位異或), 其它都是簡(jiǎn)單的位置交換, 添加或刪減等功能, 毫無(wú)差分?jǐn)U散能力。這樣, DES的安全性幾乎全部依賴于S盒,攻擊者只要集中力量對(duì)付S盒就行了。(4) DES用戶實(shí)際使用的密鑰長(zhǎng)度為56bit, 理論上最大加密強(qiáng)度為256。DES算法要提高加密強(qiáng)度(例如增加密鑰長(zhǎng)度), 則系統(tǒng)開銷呈指數(shù)增長(zhǎng)。除采用提高硬件功能和增加并行處理功能外,從算法本身和軟件技術(shù)方面無(wú)法提高DES算法的加密強(qiáng)度。相對(duì)DES算法來(lái)說(shuō),AES算法則解決了上述問(wèn)題,主要表現(xiàn)

6、在如下幾方面:(1) 運(yùn)算速度快,在有反饋模式、無(wú)反饋模式的軟硬件中,Rijndael都表現(xiàn)出非常好的性能。(2) 對(duì)內(nèi)存的需求非常低,適合于受限環(huán)境。(3) Rijndael是一個(gè)分組迭代密碼,分組長(zhǎng)度和密鑰長(zhǎng)度設(shè)計(jì)靈活。(4) AES標(biāo)準(zhǔn)支持可變分組長(zhǎng)度,分組長(zhǎng)度可設(shè)定為32比特的任意倍數(shù),最小值為128比特,最大值為256比特。(5) AES的密鑰長(zhǎng)度比DES大,它也可設(shè)定為32比特的任意倍數(shù),最小值為128比特,最大值為256比特, 所以用窮舉法是不可能破解的。在可預(yù)計(jì)的將來(lái),如果計(jì)算機(jī)的運(yùn)行速度沒有根本性的提高,用窮舉法破解AES密鑰幾乎不可能。(6) AES算法的設(shè)計(jì)策略是寬軌跡策

7、略(Wide Trail Strategy, WTS)。WTS是針對(duì)差分分析和線性分析提出的,可對(duì)抗差分密碼分析和線性密碼分析?？傊?AES算法匯聚了安全性、效率高、易實(shí)現(xiàn)性和靈活性等優(yōu)點(diǎn),是一種較DES更好的算法。經(jīng)過(guò)對(duì)DES 算法和AES 算法的比較分析,我們可以得出結(jié)論, 后者的效率明顯高于前者, 而且由于AES 算法的簡(jiǎn)潔性,使得它的實(shí)現(xiàn)更為容易。AES 作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn), 其安全性也遠(yuǎn)遠(yuǎn)高于DES 算法。更為重要的是,AES 算法硬件實(shí)現(xiàn)的速度大約是軟件實(shí)現(xiàn)的3倍, 這就給用硬件實(shí)現(xiàn)加密提供了很好的機(jī)會(huì)。3、流密碼存在的問(wèn)題按照對(duì)明文消息加密方式的不同，對(duì)稱密碼體制一般可以分

8、為兩類：分組密碼(block cipher)和流密碼(stream cipher)分組密碼：對(duì)于某一消息m，使用分組密碼對(duì)其執(zhí)行加密操作時(shí)一般是先對(duì)m 進(jìn)行填充得到一個(gè)長(zhǎng)度是固定分組長(zhǎng)度s 的整數(shù)倍的明文串M；然后將M 劃分成一個(gè)個(gè)長(zhǎng)度為s 的分組；最后對(duì)每個(gè)分組使用同一個(gè)密鑰執(zhí)行加密變換。流密碼(也稱序列密碼)：使用流密碼對(duì)某一消息m 執(zhí)行加密操作時(shí)一般是先將m 分成連續(xù)的符號(hào)(一般為比特串) ，m=m1m2m3；然后使用密鑰流k=k1k2k3中的第i 個(gè)元素ki 對(duì)明文消息的第i 個(gè)元素mi 執(zhí)行加密變換，i=1,2,3,；所有的加密輸出連接在一起就構(gòu)成了對(duì)m 執(zhí)行加密后的密文。與分組密碼

9、相比，序列密碼受政治的影響很大，目前應(yīng)用領(lǐng)域主要還是在軍事、外交等部門。雖然也有公開設(shè)計(jì)和研究成果發(fā)表，但作為密碼學(xué)的一個(gè)分支，流密碼的大多設(shè)計(jì)與分析成果還是保密的。目前可以公開見到、較有影響的流密碼方案包括A5、SEAL、RC4、PIKE 等。關(guān)于流密碼加密容易想到，使用流密碼對(duì)消息m 執(zhí)行加密時(shí)，最簡(jiǎn)單的做法就是讓密鑰流中的第i 個(gè)比特與明文串中的對(duì)應(yīng)比特直接做XOR 運(yùn)算，即對(duì)應(yīng)的解密運(yùn)算即為：由于實(shí)現(xiàn) XOR 邏輯運(yùn)算非常簡(jiǎn)單，因此這樣的加解密操作將是快速有效的。如果這里的密鑰流是完全隨機(jī)的(random)、與明文相同長(zhǎng)度的比特串，對(duì)應(yīng)的密碼被稱為一次一密體制(one-time pad

10、)。顯然，此時(shí)明文串與密文串之間就是相互獨(dú)立的。不知道密鑰的攻擊者即便守候在公開信道上從而得到密文串，他也無(wú)法獲得關(guān)于明文的任何信息。事實(shí)上，Shannon 曾證明了“一次一密的密碼體制是不可破解的(unbreakable)”。使用一次一密體制需要解決如何生成隨機(jī)密鑰流的問(wèn)題：密鑰流必須是隨機(jī)出現(xiàn)的，并且合法用戶可以容易地再生該密鑰流。一方面，一個(gè)與明文一樣長(zhǎng)的隨機(jī)位序列很難記?。涣硪环矫妫绻荑€流是重復(fù)的位序列，雖然容易記住，但不安全。因此，這是一個(gè)兩難的處境：如何生成一個(gè)可以用作密鑰流的“隨機(jī)”比特序列，要求易于使用，但又不能太短以至于不安全。在通常使用的流密碼中，加、解密所需要的這種序列是由一個(gè)確定性(deterministic)的密鑰流生成器(key generator)產(chǎn)生的，該生成器的輸入是一個(gè)容易記住的密鑰，稱之為密鑰流生成器的初始密鑰或種子(seed)密鑰。因此，嚴(yán)格來(lái)說(shuō)，密鑰流序列都是偽隨機(jī)序列(pseud