第2章之對稱加密_8040_1175_20100916162350

1、第二章 密碼技術(shù)簡介對稱加密4學(xué)時學(xué)時二、對稱數(shù)據(jù)加密技術(shù)n分組密碼發(fā)展n數(shù)據(jù)加密標(biāo)準(zhǔn)DESnDES的安全性和面臨的攻擊n其他對稱密碼算法n高級加密標(biāo)準(zhǔn)AESn分組密碼設(shè)計n分組加密操作模式對稱加密加密和解密過程均采用同一把秘密鑰匙（密鑰）。Alice發(fā)送加密的信息給Bob的情況：（1）Alice和Bob協(xié)商用同一密碼系統(tǒng)。（2）Alice和Bob協(xié)商同一密鑰。（3）Alice用加密算法和選取的密鑰加密她的明文信息，得到了密文信息。（4）Alice發(fā)送密文信息給Bob。（5）Bob用同樣的算法和密鑰解密密文，然后讀它。 利用對稱密碼體制通信利用對稱密碼體制通信1、分組密碼發(fā)展分組加密: 是指對

2、一個個定長的數(shù)據(jù)塊進(jìn)行加密，數(shù)據(jù)塊之間的關(guān)系不依賴于加密過程，即當(dāng)兩個數(shù)據(jù)塊內(nèi)容一樣時，加密后所得到的密文也完全一樣。序列加密: 是指數(shù)據(jù)流的加密，加密過程帶有反饋性，即前一個字節(jié)加密的結(jié)果作為后一字節(jié)加密的密鑰?？梢?，流加密方式具有更強的安全性。Shannon 與代換置換密碼n1949 Claude Shannon 提出了代換置換的思想，現(xiàn)代代換-移位乘積密碼的基礎(chǔ)nS-P 基于兩個經(jīng)典密碼技術(shù): n代換(S-box)n置換 (P-box)n消息的混亂和擴散 加密的兩個基本要素n代換/替代Substitution: 制造混亂(confusion)，使得確定消息和密鑰是怎樣轉(zhuǎn)換成密文的嘗試變得

3、困難。n置換Transposition:重新排列消息中的字母，將消息或密鑰外的信息擴散(diffusion)到整個密文，從而打破密文的結(jié)構(gòu)特性。 多階段混合使用替代和置換加密能夠產(chǎn)生使密碼分析極為困難的算法。混亂和擴散n需要密碼完全掩蓋原始消息的統(tǒng)計特性n一次一密鑰的密碼本掩蓋了統(tǒng)計特性n實際上 Shannon建議綜合使用各種技術(shù)和原理以實現(xiàn) :n擴散擴散 在大量的密文中消除明文的統(tǒng)計結(jié)構(gòu)n混亂混亂 使密文與密鑰的關(guān)系盡可能復(fù)雜化2、數(shù)據(jù)加密標(biāo)準(zhǔn)（DES Data Encryption Standard）1) DES的發(fā)展歷程n1973.5.15美國聯(lián)邦注冊大會上，美國國家標(biāo)準(zhǔn)局（NBS）公開

4、征集標(biāo)準(zhǔn)密碼算法n1974.8.27第二次征集n候選算法是從IBM（國際商用機器）公司1970初Feistel領(lǐng)導(dǎo)開發(fā)的Lucifer算法發(fā)展而來，W. Tuchman 和 C. Meyer 1971-1972年研制成功。nNBS請NSA幫助評估n70-90 密碼學(xué)家與NSA之間的爭辯n1975.3.17 NBS公布算法細(xì)節(jié)，征求評論n1976年11月23日，DES被采納作為美國聯(lián)邦的一個標(biāo)準(zhǔn)，并授權(quán)在非密級政府通信中使用n 1977年1月15日由美國國家標(biāo)準(zhǔn)局頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard），于1977年7月15日生效n在此之前，沒有一個NSA執(zhí)行算法被

5、公布n目前世界上應(yīng)用最廣泛的分組密碼2) DES設(shè)備的鑒定和認(rèn)證n鑒定工作是由美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）來完成，到1995年3月，有45種不同的實現(xiàn)方法已通過鑒定 nDES標(biāo)準(zhǔn)的條款中規(guī)定每五年對標(biāo)準(zhǔn)重新審查一次， NBS提出了三個審查結(jié)果供人參考：再使用該標(biāo)準(zhǔn)三年，取消該標(biāo)準(zhǔn)或者修改該標(biāo)準(zhǔn)的適用性n有專家在1993年聲稱DES的壽命將在20世紀(jì)90年代末期結(jié)束 DES分組加密算法n對稱算法，加密和解密用的是同一種算法，只是加密和解密時所采用的密鑰編排不同n分組算法，以64-位為分組n混亂和擴散的組合，一次加密或解密總共有16輪，也就是要完成一次加密（解密）過程，必須在明文（密文）分

6、組上實施16次相同的組合技術(shù) n密鑰長度：56位，密鑰通常表示為64位的數(shù)，但每個字節(jié)的第8位都用作奇偶校驗，可以忽略 4) DES算法的描述 Li = Ri-1 Ri = Li-1 XOR f(Ri-1,Ki)明文IPL0R0K1L1= R0R1= L0 f(R0, K1)K2L2= R1R2= L1 f(R1, K2)L15= R14R15= L14 f(R14, K15)R16= L15 f(R15, K16)L16= R15K16IP-1密文5) 總體過程描述初始置換（IP）- 16輪完全相同的運算-初始置換的逆（IP-1） 每一輪DES： Li = Ri-1， Ri = Li-1 X

7、OR f(Ri-1,Ki) Li-1 Ri-1F+Li RiKiF（1）初始置換（Initial Permutation IP）nIP 重新排列輸入數(shù)據(jù)比特 n結(jié)構(gòu)上很有規(guī)律 (易于實現(xiàn)硬件加密)n例如: IP= 1 2 3 4 5 6 7 8 2 6 3 1 4 8 5 7IP-1= 1 2 3 4 5 6 7 8 4 1 3 5 7 2 8 6易見IP-1(IP(X)=X 初始變換IP輸入（64位）58 50 42 34 26 18 10 260 52 44 36 28 20 12 462 54 46 38 30 22 14 664 56 48 40 32 24 16 857 49 41

8、33 25 17 9 159 51 43 35 27 19 11 361 53 45 37 29 21 13 563 55 47 39 31 23 15 7輸出（64位）L0（32位）R0（32位）置換碼組 輸入（64位）40 8 48 16 56 24 64 3239 7 47 15 55 23 63 3138 6 46 14 54 22 62 3037 5 45 13 53 21 61 2936 4 44 12 52 20 60 2835 3 43 11 51 19 59 2734 2 42 10 50 18 58 2633 1 41 9 49 17 57 25輸出（64位）逆初始變換IP

9、-1（2）16輪運算函數(shù)f的細(xì)節(jié)：數(shù)據(jù)右半部分通過擴展（expansion permutation）由32位擴展為48位，并通過一個異或操作與經(jīng)過移位和置換的48位密鑰結(jié)合，其結(jié)果通過8個S-盒（substitution box）將這48位替代成新的32位數(shù)據(jù)，再將其置換一次 （3）每一輪DES中f函數(shù)的細(xì)節(jié)長度為長度為32的比特串的比特串R（32bits）作第一個輸入，作第一個輸入，以長度為以長度為48的比特串的比特串K(48bits)作第二個輸入。作第二個輸入。產(chǎn)生的輸出為長度為產(chǎn)生的輸出為長度為32的位串。的位串。Li-1Ri-1密鑰移位移位P-盒置換LiRi密鑰（3）函數(shù)細(xì)節(jié)擴展置換E

10、P盒置換S盒代替A32位32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 1312 13 14 15 16 1716 17 18 19 20 2120 21 22 23 24 2524 25 26 27 28 2928 29 30 31 32 1選擇運算E選擇運算E的結(jié)果48位（4）擴展置換運算E雪崩效應(yīng) n輸入明文或密鑰中一個比特的變化會導(dǎo)致輸出中一半比特的密文發(fā)生變化n使得窮舉試湊成為不可能nDES的擴展置換使其具有很強的雪崩效應(yīng)（5 5）S S盒子盒子n(1)把E函數(shù)的輸出結(jié)果寫成連續(xù)的8個6位串, B=B1B2B3B4B5B6B7B8n(2)使用8個S盒，每個

11、Sj是一個固定的416矩陣，它的元素取015的整數(shù)。給定長度為6的比特串，如Bj=b1b2b3b4b5b6計算Sj(Bj)如下：nb1b6兩個比特確定了Sj的行數(shù), r(0=r=3); nb2b3b4b5四個比特確定了Sj的列數(shù)c（0=c=15）。n最后Sj(Bj)的值為S-盒矩陣Sj中r行c列的元素（r,c）, 得Cj=Sj(Bj)。S-box-11234567891011121314151611441312151183106125907201574142131106121195383411481362111512973105041512824917511314100613 0 1 2 3

12、4 5 6 7 8 9 10 11 12 13 14 150 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 71 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 82 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 03 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13S11 0 1 1 0 0 1020 0 1 0輸入6位輸出4位使用使用S1的例子的例子盒函數(shù)方案nDES的核心是S盒，除此之外的計算都是線性的。S盒作為該密碼體制的非線性組件對安全性至關(guān)重要。n1976年美國NSA提出了下列幾條

13、S盒的設(shè)計準(zhǔn)則：n S盒的每一行是整數(shù)0，15的一個置換n 沒有一個S盒是它輸入變量的線性函數(shù)n改變S盒的一個輸入位至少要引起兩位的輸出改變n對任何一個S盒和任何一個輸入X，S（X）和S(X001100）至少有兩個比特不同n對任何一個S盒，對任何一個輸入對e,f屬于0,1,S(X) S(X11ef00)n對任何一個S盒，如果固定一個輸入比特，來看一個固定輸出比特的值，這個輸出比特為0的輸入數(shù)目將接近于這個輸出比特為1的輸入數(shù)目。K是長度為64的位串，其中56位是密鑰，8位是奇偶校驗（為了檢錯），在密鑰編排的計算中，這些校驗位可略去。 給定64位的密鑰K，放棄奇偶校驗位（8，16，64）并根據(jù)固

14、定置換PC-1來排列K中剩下的位。 PC-1(K)=C0D0其中C0由PC-1（K）的前28位組成；D0由后28位組成。對1=i=16，計算Ci=LSi(Ci-1) Di=LSi(Di-1)LSi表示循環(huán)左移2或1個位置，取決于i的值。i=1,2,9和16 時移1個位置，否則移2位置。Ki=PC-2(CiDi), PC-2為固定置換（6 6）從密鑰）從密鑰K K計算子密鑰計算子密鑰輪密鑰編排輪密鑰編排KPC-1C0 D0LS1LS1C1 D1LS2LS2LS16LS16C16 D16PC-2PC-2K1K16 循環(huán)左移：1 1 9 12 1 10 23 2 11 24 2 12 25 2 13

15、 26 2 14 27 2 15 28 2 16 1密鑰置換1：PC157, 49, 41, 33, 25, 17, 9, C Half 1, 58, 50, 42, 34, 26, 18, 10, 2, 59, 51, 43, 35, 27, 19, 11, 3, 60, 52, 44, 36, 63, 55, 47, 39, 31, 23, 15, D Half 7, 62, 54, 46, 38, 30, 22, 14, 6, 61, 53, 45, 37, 29, 21, 13, 5, 28, 20, 12, 4 14, 17, 11, 24, 1, 5, C half 14, 17,

16、 11, 24, 1, 5, C half 3, 28, 15, 6, 21, 10, (bits 1-28) 3, 28, 15, 6, 21, 10, (bits 1-28) 23, 19, 12, 4, 26, 8, 23, 19, 12, 4, 26, 8, 16, 7, 27, 20, 13, 2,16, 7, 27, 20, 13, 2, 41, 52, 31, 37, 47, 55, D half 41, 52, 31, 37, 47, 55, D half 30, 40, 51, 45, 33, 48, (bits 29-56) 30, 40, 51, 45, 33, 48,

17、(bits 29-56) 44, 49, 39, 56, 34, 53, 44, 49, 39, 56, 34, 53, 46, 42, 50, 36, 29, 3246, 42, 50, 36, 29, 32 密鑰置換2： PC26）DES操作過程的總結(jié)n預(yù)置初始值n外部提供64比特密鑰n構(gòu)造16個密鑰向量n外部提供64比特明文n從X求出 L(0),R(0)n置迭代計數(shù)器i=1，迭代in求擴展函數(shù)E，從R(i-1)得出E(R(i-1) n加密用K(i),解密用K(17-i).n將上兩步結(jié)果模二加，結(jié)果為48比特An構(gòu)成S盒，得出32比特向量Bn利用置換函數(shù)P置換B ，導(dǎo)出P(B)nP(B)與

18、L(i-1)相加，得出R(i)n定義L(i)=R(i-1)n迭代計數(shù)器i+1n計數(shù)器=16,迭代，否則產(chǎn)生輸出。7） DES 解密nDES的設(shè)計使得解密就是重復(fù)加密的步驟n以相反的順序使用各輪加密密鑰 n(K16 , K15 K1)n注意開始和最后的置換3 DES安全性和面臨的攻擊n互補性互補性n弱密鑰弱密鑰n攻擊攻擊n差分密碼分析差分密碼分析n相關(guān)密鑰密碼分析相關(guān)密鑰密碼分析n線性密碼分析線性密碼分析n強力攻擊強力攻擊互補性若 y=E(k,x)，則有：y=E(k,x)逐位互補n互補性由DES中兩次以獲運算配置決定n使DES在選擇明文破譯下所需工作量減半弱密鑰和半弱密鑰nDES算法數(shù)學(xué)上的復(fù)雜

19、度也就是它的密鑰強度。n弱密鑰: k(1)=k(2)=k(16) 存在4種：64bit 0101010101010101 1F1F1F1F1F1F1F1F E0E0E0E0E0E0E0E0 FEFEFEFEFEFEFEFE 半弱密鑰n只產(chǎn)生兩種不同的內(nèi)部密鑰，每種出現(xiàn)8次。n條件：1）寄存器C（或D）：01010101 或 10101010 2）另一寄存器D（或C）：00000000，11111111，01010101，或10101010 n說明： 弱密鑰和半弱密鑰并不構(gòu)成對算法保密性的威脅。 差分密碼分析差分密碼分析考查那些有特定差分的明文對，分析通過DES的論擴散時差分的演變。（選擇明文）

20、對較少輪DES有效的分析方法是由E.Biham和A.Shamir提出的。見Differential Cryptanalysis of DES-like Cryptosystems. E.Biham A.Shamir 1990 The Weizmann Institute of Science Department of Aplied Mathematics 該文給出選擇性明文攻擊，是一個很有效的方法。對于攻擊8輪DES，在486那樣的計算機上，只需2分鐘可攻破。 相關(guān)密鑰密碼分析相關(guān)密鑰密碼分析考查不同密鑰間的差分?jǐn)?shù)據(jù)用兩個密鑰加密DES密鑰的環(huán)移位數(shù)：除在1、2、9、16輪后左移1位外，其余

21、都是左移2位。若修改為每輪后左移2位，則安全性就會降低意義：該攻擊方法與輪數(shù)無關(guān)第一個攻擊子密鑰產(chǎn)生算法的密碼分析方法n使用線性近似值來描述DES的操作n把明文的一些位和密文的一些位分別進(jìn)行異或運算，然后將這兩個結(jié)果異或，得到的位是密鑰的一些位的異或結(jié)果nMatsui. M, Linear Cryptanalytic Method for DES Cipher,Advances in Cryptology-Eurocrypt93,Springer-Verlag, PP.398-409, 1994.線性密碼分析線性密碼分析DES的強度強力攻擊：255次嘗試差分密碼分析法：247次嘗試（選擇明文）

22、q已知明文攻擊需255.1次嘗試線性密碼分析法：243次嘗試DES 密鑰長度n56-bit 密鑰有 256 = 7.2 x 1016 可能值n窮舉攻擊比較難,一些記錄：n1997 在Internet 上是幾個月 n1998 在專門的硬件上是幾天 n1999以上二者聯(lián)合是22小時對DES攻擊結(jié)果及其啟示n1997年1月28日美國RSA數(shù)據(jù)安全公司懸賞“秘密密鑰挑戰(zhàn)”競賽n1997年3月13日Rocke Verser設(shè)計一個攻擊程序（DESCHALL），參加的志愿者有78516個，第96天（6月17日晚10：39）Michael Sanders破譯成功，獲1萬美圓獎金。搜索量為24.6%。n199

23、8年7月17日，電子邊境協(xié)會（ Electronic Frontier Foundation (EFF) ）使用一臺價值25萬美元的 電腦在56小時破解了56bit的DESn1999年，22小時15分密鑰長度(bit)窮舉時間4078秒485 小時5659天6441年7210，696年802，738，199年88700，978，948年96179，450，610，898年11211，760，475，235，863，837年128770，734，505，057，572，442，069年DES CHALL搜索速度估算搜索速度估算對DES算法的思考16輪的DES可抗差分密碼分析;為了獲得差分分析所不

24、可少的數(shù)據(jù)，需對選擇明文的速度為1.5M/秒的數(shù)據(jù)序列加密達(dá)3年;對已知明文攻擊，需255.1次運算S-盒子的設(shè)計對抗差分分析是最優(yōu)的，任何修改都會減弱其安全性S-盒子的設(shè)計對抗線性分析不是最優(yōu)的，但盲目地修改同樣會減弱其安全性4. 其他對稱分組加密算法一種是對DES進(jìn)行復(fù)合，強化它的抗攻擊能力；一種是開辟新的方法，既象DES那樣加解密速度快，又具有抗差分攻擊和其他方式攻擊的能力。1） Triple DES2） IDEA3） RC54） RC6雙重DES (Double DES) nC = EK2(EK1(P) P = DK1(DK2(C)雙重DES的討論n假設(shè)對于 DES和所有56比特密鑰，

25、給定任意兩個密鑰K1和K2，都能找到一個密鑰K3使得EK2(EK1(P) = EK3 (P) 。如果這個假設(shè)是事實，則DES的兩重加密或者多重加密都將等價于用一個56比特密鑰的一次加密。 n從直觀上看，上面的假設(shè)不可能為真。因為DES的加密事實上就是做一個從64比特分組到一個64分組的置換， 而64比特分組共有264可能的狀態(tài)，因而可能的置換個數(shù)為n另一方面， DES的每個密鑰確定了一個置換，因而總的置換個數(shù)為 。n直到1992年才有人證明了這個結(jié)果。17561022010000000000003473800000641010!2中間相遇攻擊C = EK2(EK1(P) X = EK1(P)

26、= DK2(C)給定明文密文對(P,C) 對所有256個密鑰,加密P,對結(jié)果排序 對所有256個密鑰,解密C,對結(jié)果排序 逐個比較,找出K1,K2使得EK1(P) = DK2(C)密鑰長度知識n如果一個茶匙足夠容納所有可能的 40 位的密鑰組合，那么所有 56 位的密鑰組合需要一個游泳池來容納，而容納所有可能的 128 位的密鑰組合的體積將會粗略地與地球的體積相當(dāng)。一個用十進(jìn)制表示的 128 位的值大概是 3.4E38Triple-DES的四種模型nDES-EEE3：三個不同密鑰，順序使用三次加密算法nDES-EDE3：三個不同密鑰，依次使用加密-解密-加密算法nDES-EEE2：K1=K3，

27、同上nDES-EDE2：K1=K3，同上雙密鑰的三重DESnC=EK1(DK2(EK1(P) P=DK1(EK2( DK1(C)對雙密鑰的三重DES的分析n該模式由IBM設(shè)計, 可與常規(guī)加密算法兼容n這種替代DES的加密較為流行并且已被采納用于密鑰管理標(biāo)準(zhǔn)（ANSX9.17和ISO8732).n到目前為止，還沒有人給出攻擊三重DES的有效方法。對其密鑰空間中密鑰進(jìn)行蠻干搜索，那么由于空間太大為2112=51033，這實際上是不可行的。若用差分攻擊的方法，相對于單一DES來說復(fù)雜性以指數(shù)形式增長，要超過1052。2)國際數(shù)據(jù)加密IDEA（International Data Encryption

28、 Algorithm)n1990年瑞士聯(lián)邦技術(shù)學(xué)院的來學(xué)嘉和Massey提出，PES，91年修訂，92公布細(xì)節(jié)設(shè)計目標(biāo)從兩個方面考慮n加密強度n易實現(xiàn)性n強化了抗差分分析的能力， PGPIDEA算法特點64位分組,128位密鑰運算: XOR ,模216（65536）加 ,模 (216+1)（65537）乘 三種運算均不滿足分配律與結(jié)合律有大量弱密鑰難以直接擴展到128位塊3)RC5n作者為Ron Rivest 1994設(shè)計、1995公開1. 適用于軟件或者硬件實現(xiàn)2. 運算速度快3. 能適應(yīng)于不同字長的程序（一個字的bit數(shù)是RC5的一個參數(shù)；）n加密的輪數(shù)可變（輪數(shù)是RC5的第二個參數(shù)）n密

29、鑰長度是可變的（密鑰長度是RC5的第三個參數(shù)）6. 對內(nèi)存要求低7. 依賴于數(shù)據(jù)的循環(huán)移位（增強抗攻擊能力）RC5參數(shù)三個參數(shù)參數(shù)w：表示字長，RC5加密兩字長分組，可用值為16、32、64參數(shù)r：表示輪數(shù)，可用值0,1,255參數(shù)b：表示密鑰K的字節(jié)數(shù)，可用值0,1,255RC5版本：RC5-w/r/b算法作者建議標(biāo)定版本為RC5-32/12/16（明文分組長度64，加密輪數(shù)12，密鑰長度128 bits)4)RC6n被選為21世紀(jì)加密標(biāo)準(zhǔn)算法。RC6是RC5的進(jìn)一步改進(jìn)。像RC5那樣，RC6實際上是利用數(shù)據(jù)的循環(huán)移位。nRC5自1995年公布以來，盡管至今為止還沒有發(fā)現(xiàn)實際攻擊的有效手段，

30、然而一些理論攻擊的文章先后也分析出RC5的一些弱點。nRC6的加密程序：RC6-w/r/bnsimple,fast, and secure.其它加密算法nCAST-128nCarlisle Adams & Stafford Tavares 1997（加拿大）nBLOWFISHnBruce Schneier 1995發(fā)表nRC2nRon Rivest1997開發(fā)5. 分組密碼的一般設(shè)計原理n針對安全性的一般原則:n混亂n擴散n重要的設(shè)計原理:必須能抵抗現(xiàn)有的攻擊方法n針對實現(xiàn)的原則n軟件n硬件1）分組密碼設(shè)計原理n循環(huán)次數(shù)循環(huán)次數(shù)越多進(jìn)行密碼分析的難度就越大nF的設(shè)計準(zhǔn)則(S盒子的設(shè)計準(zhǔn)

31、則)n非線性的且線性近似很難nSAC（Strict Avalanche Criterion）嚴(yán)格雪崩準(zhǔn)則即一個輸入比特的變化應(yīng)該在多個輸出比特中體現(xiàn)nBIC（Bit Independence Criterion）比特獨立準(zhǔn)則即一個輸入比特的變化時。兩個輸出比特的變化是獨立的n密鑰調(diào)度（密鑰的SAC和BIC）2）分組密碼的整體結(jié)構(gòu)nSP網(wǎng)絡(luò)nFeistel 網(wǎng)絡(luò)Shannon 與代換置換密碼n1949 Claude Shannon 提出了代換置換的思想，現(xiàn)代代換-移位乘積密碼的基礎(chǔ)nS-P 基于兩個經(jīng)典密碼技術(shù): n代換(S-box)n置換 (P-box)n消息的混亂和擴散 加密的兩個基本要素n

32、代換/替代Substitution: 制造混亂(confusion)，使得確定消息和密鑰是怎樣轉(zhuǎn)換成密文的嘗試變得困難。n置換Transposition:重新排列消息中的字母，將消息或密鑰外的信息擴散(diffusion)到整個密文，從而打破密文的結(jié)構(gòu)特性。 多階段混合使用替代和置換加密能夠產(chǎn)生使密碼分析極為困難的算法?；靵y和擴散n需要密碼完全掩蓋原始消息的統(tǒng)計特性n一次一密鑰的密碼本掩蓋了統(tǒng)計特性n實際上 Shannon建議綜合使用各種技術(shù)和原理以實現(xiàn) :n擴散擴散 在大量的密文中消除明文的統(tǒng)計結(jié)構(gòu)n混亂混亂 使密文與密鑰的關(guān)系盡可能復(fù)雜化S盒的設(shè)計準(zhǔn)則nS-盒首次出現(xiàn)在Lucifer算法中

33、,因DES的使用而流行.nS-盒是許多密碼算法的唯一非線性部件,因此,它的密碼強度決定了整個算法的安全強度.n提供了密碼算法所必須的混亂作用.n如何全面準(zhǔn)確地度量S-盒的密碼強度和設(shè)計有效的S-盒是分組密碼設(shè)計和分析中的難題.n非線性度、差分均勻性、嚴(yán)格雪崩準(zhǔn)則、可逆性、沒有陷門P置換的設(shè)計準(zhǔn)則nP置換的目的是提供雪崩效應(yīng)（明文或密鑰的一點小的變動都引起密文的較大變化）輪函數(shù)的設(shè)計準(zhǔn)則n安全性n速度n靈活性：能在多種平臺實現(xiàn)輪函數(shù)的構(gòu)造n加法、減法和異或n固定循環(huán)/移位n數(shù)據(jù)依賴循環(huán)n乘法密鑰擴展算法的設(shè)計n子密鑰的統(tǒng)計獨立性和靈活性n實現(xiàn)簡單n速度n不存在簡單關(guān)系：( 給定兩個有某種關(guān)系的種

34、子密鑰,能預(yù)測它們輪子密鑰之間的關(guān)系)n種子密鑰的所有比特對每個子密鑰比特的影響大致相同n從一些子密鑰比特獲得其他的子密鑰比特在計算上是難的n沒有弱密鑰3）分組密碼的分析方法n根據(jù)攻擊者所掌握的信息,可將分組密碼的攻擊分為以下幾類:唯密文攻擊已知明文攻擊選擇明文攻擊攻擊的復(fù)雜度數(shù)據(jù)復(fù)雜度:實施該攻擊所需輸入的數(shù)據(jù)量處理復(fù)雜度:處理這些數(shù)據(jù)所需要的計算量分組密碼的典型攻擊方法n最可靠的攻擊辦法:強力攻擊n最有效的攻擊:差分密碼分析,通過分析明文對的差值對密文對的差值的影響來恢復(fù)某些密鑰比特.n線性密碼分析:本質(zhì)上是一種已知明文攻擊方法,通過尋找一個給定密碼算法的有效的線性近似表達(dá)式來破譯密碼系統(tǒng)

35、n插值攻擊方法n密鑰相關(guān)攻擊強力攻擊n窮盡密鑰搜索攻擊:n唯密文,2kn已知(選擇)明文, 2k, k-密鑰長度n字典攻擊:n明密文對編成字典, 2n,n-分組長度n查表攻擊:n選擇明文攻擊, 給定明文,用所有的2k個密鑰,預(yù)計算密文, k-密鑰長度n時間存儲權(quán)衡攻擊:n選擇明文攻擊,由窮盡密鑰搜索和查表攻擊混合而成,它在選擇明文攻擊中以時間換取空間6. 先進(jìn)加密標(biāo)準(zhǔn)AESn由于DES安全性一再遭到質(zhì)疑，需要替代標(biāo)準(zhǔn)n可以使用 Triple-DES ，但是速度很慢nNIST 在 1997年發(fā)出征集n1998年6月接受15 候選方案n1999年8月最后候選方案定為5個 n2000年10月最后選定

36、Rijndael 為AESn2001年11月發(fā)布標(biāo)準(zhǔn) FIPS PUB 197AES 成就的最初目標(biāo)n可供政府和商業(yè)使用的功能強大的加密算法 n支持標(biāo)準(zhǔn)密碼本方式n要明顯比 3DES 有效 n密鑰大小可變，這樣就可在必要時增加安全性 n以公正和公開的方式進(jìn)行選擇 n可以公開定義 n可以公開評估 1997 年 4 月1) AES 要求n私鑰、對稱、分組加密 n128-bit 數(shù)據(jù), 128/192/256-bit 密鑰 n比 T-DES 強壯而且比T-DES快n有效期 20-30 年n提供詳細(xì)的說明和設(shè)計細(xì)節(jié) n可用 C 和 Java 實現(xiàn)2) AES 評價標(biāo)準(zhǔn)n初始標(biāo)準(zhǔn):n安全n成本n算法和實

37、現(xiàn)n最終標(biāo)準(zhǔn):n常規(guī)安全n軟件和硬件實現(xiàn)容易n對攻擊的抵御n靈活 (in en/decrypt, keying, other factors)3) AES 最后候選方案nin Aug-99: nMARS (IBM) - complex, fast, high security margin nRC6 (USA) - v. simple, v. fast, low security margin nRijndael (Belgium) - clean, fast, good security margin nSerpent (Euro) - slow, clean, v. high securi

38、ty margin nTwofish (USA) - complex, v. fast, high security margin 4) AES加密算法 - Rijndaeln比利時的Rijmen-Daemen設(shè)計n可以是128/192/256 bit 密鑰, 128 bit 數(shù)據(jù) n設(shè)計目標(biāo):n可以抵抗已知的攻擊n在很多CPU上編碼和速度很快n設(shè)計簡單5) Rijndaeln把數(shù)據(jù)分為4組,每組4字節(jié)(信息塊)n在每輪加密中信息塊經(jīng)過: nbyte substitutionnshift rowsnmix columnsnadd round keyn所有的加密操作都可以歸于異或和查表,所以非常

39、快捷有效高級加密標(biāo)準(zhǔn)AESSP網(wǎng)絡(luò)結(jié)構(gòu)在這種密碼的每一輪中，輪輸入首先被一個由子密鑰控在這種密碼的每一輪中，輪輸入首先被一個由子密鑰控制的可逆函數(shù)制的可逆函數(shù)S作用，然后再對所得結(jié)果用置換（或可逆作用，然后再對所得結(jié)果用置換（或可逆線性變換）線性變換）P作用。作用。S和和P分別被稱為混亂層和擴散層，主分別被稱為混亂層和擴散層，主要起混亂和擴散作用。要起混亂和擴散作用。 AES算法結(jié)構(gòu)AES算法的輪變換中沒有Feistel結(jié)構(gòu)，輪變換是由三個不同的可逆一致變換組成，稱之為層， 線性混合層：確保多輪之上的高度擴散。非線性層：S - 盒的并行應(yīng)用。密鑰加層：輪密鑰簡單地異或到中間狀態(tài)上AES算法結(jié)構(gòu)Rijndael安全性沒有發(fā)現(xiàn)弱密鑰或補密鑰n能有效抵抗目前已知的攻擊算法n線性攻擊n差分攻擊7. 分組密碼的操作模式n電子密碼