網(wǎng)絡(luò)安全03：分組密碼與數(shù)據(jù)加密標(biāo)準(zhǔn)

1、Chapter 3 分組密碼與數(shù)據(jù)加密標(biāo)準(zhǔn) 密碼編碼學(xué)與網(wǎng)絡(luò)安全2022/9/2613.2 分組密碼原理流密碼每次加密數(shù)據(jù)流的一位或一個(gè)字節(jié)分組密碼將一個(gè)明文組作為整體加密且通常得到的是與之等長(zhǎng)的密文組。2022/9/2622022/9/263分組密碼的一般設(shè)計(jì)原理： 分組密碼是將明文消息編碼表示后的數(shù)字（簡(jiǎn)稱(chēng)明文數(shù)字）序列，劃分成長(zhǎng)度為n的組（可看成長(zhǎng)度為n的矢量），每組分別在密鑰的控制下變換成等長(zhǎng)的輸出數(shù)字（簡(jiǎn)稱(chēng)密文數(shù)字）序列。2022/9/264兩個(gè)基本設(shè)計(jì)方法混亂（confusion）：明文的統(tǒng)計(jì)特征消散在密文中，使得明文和密文之間的統(tǒng)計(jì)關(guān)系盡量復(fù)雜。擴(kuò)散（diffusion）：是使得

2、一位明文的變化影響到盡可能多位數(shù)上的密文Shannon稱(chēng)之為理想密碼系統(tǒng)中，密文的所有統(tǒng)計(jì)特性都與所使用的密鑰獨(dú)立2022/9/265Feistel 密碼結(jié)構(gòu)分組長(zhǎng)度 密鑰長(zhǎng)度 輪數(shù) 子密鑰生成算法輪函數(shù) 快速軟件加解密易于分析2022/9/266實(shí)現(xiàn)的設(shè)計(jì)原則軟件實(shí)現(xiàn)的要求使用子塊和簡(jiǎn)單的運(yùn)算。密碼運(yùn)算在子塊上進(jìn)行，要求子塊的長(zhǎng)度能自然地適應(yīng)軟件編程，如8、16、32比特等。應(yīng)盡量避免按比特置換，在子塊上所進(jìn)行的密碼運(yùn)算盡量采用易于軟件實(shí)現(xiàn)的運(yùn)算。最好是用處理器的基本運(yùn)算，如加法、乘法、移位等。硬件實(shí)現(xiàn)的要求加密和解密的相似性，即加密和解密過(guò)程的不同應(yīng)僅僅在密鑰使用方式上，以便采用同樣的器件

3、來(lái)實(shí)現(xiàn)加密和解密，以節(jié)省費(fèi)用和體積。盡量采用標(biāo)準(zhǔn)的組件結(jié)構(gòu)，以便能適應(yīng)于在超大規(guī)模集成電路中實(shí)現(xiàn)。2022/9/267背景簡(jiǎn)介1973年5月15日，NBS(現(xiàn)在NIST，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所)開(kāi)始公開(kāi)征集標(biāo)準(zhǔn)加密算法，并公布了它的設(shè)計(jì)要求：（1）算法必須提供高度的安全性（2）算法必須有詳細(xì)的說(shuō)明，并易于理解（3）算法的安全性取決于密鑰，不依賴(lài)于算法（4）算法適用于所有用戶(hù)（5）算法適用于不同應(yīng)用場(chǎng)合（6）算法必須高效、經(jīng)濟(jì)（7）算法必須能被證實(shí)有效（8）算法必須是可出口的3.3 數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2022/9/268背景簡(jiǎn)介1974年8月27日，NBS開(kāi)始第二次征集，IBM提交了算法LU

4、CIFER，該算法由IBM的工程師在19711972年研制1975年3月17日，NBS公開(kāi)了全部細(xì)節(jié)1976年，NBS指派了兩個(gè)小組進(jìn)行評(píng)價(jià)1976年11月23日，采納為聯(lián)邦標(biāo)準(zhǔn)，批準(zhǔn)用于非軍事場(chǎng)合的各種政府機(jī)構(gòu)1977年1月25日，“數(shù)據(jù)加密標(biāo)準(zhǔn)”FIPS PUB 46發(fā)布3.3 數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2022/9/269DES的生命期 NBS最終采納了 IBM 的 LUCIFER 方案，于 1975 年公開(kāi)發(fā)表。1977 年正式頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)（DES - Data Encryption Standard）。1979 年，美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用 DES。1980 年，DES 成為美國(guó)標(biāo)準(zhǔn)化

5、協(xié)會(huì) (ANSI) 標(biāo)準(zhǔn)。1984 年，ISO 開(kāi)始在 DES 基礎(chǔ)上制定數(shù)據(jù)加密的國(guó)際標(biāo)準(zhǔn)。美國(guó)國(guó)家安全局NSA每隔年對(duì)該算法進(jìn)行評(píng)估 ，1994年，決定1998年12月之后不再使用DES ?，F(xiàn)已經(jīng)確定了選用Rijndael算法作為高級(jí)加密算法AES。 2022/9/26103.3.1 DES加密加密算法框架CDES（m） 2022/9/26112022/9/2612置換IP(675a6967 5e5a6b5a) = (ffb2194d 004df6fb)2022/9/2613單輪變換的詳細(xì)過(guò)程單輪操作結(jié)構(gòu)加密： Li = Ri1 Ri = Li1 F(Ri1, Ki)解密： Ri1 = L

6、i Li1 = Ri F(Ri1, Ki) Ri F(Li , Ki)2022/9/2614單輪變換的詳細(xì)過(guò)程函數(shù)FExpansion: 32 - 48S-box: 6 - 4Permutation: 32 - 322022/9/2615單輪變換的詳細(xì)過(guò)程擴(kuò)展置換E：32bit48bit第32比特第1比特第01比特第2比特第01比特第48比特2022/9/2616單輪變換的詳細(xì)過(guò)程函數(shù)F2022/9/2617單輪變換的詳細(xì)過(guò)程壓縮置換（S盒）：6bit4bit , 48bit32bit2022/9/26188個(gè)S盒2022/9/2619例： 00 01 02 03 04 05 06 07 08

7、 09 10 11 12 13 14 15012313 02 08 04 06 15 11 01 10 09 03 14 05 00 12 0701 15 13 08 10 03 07 04 12 05 06 11 00 14 09 0207 11 04 01 09 12 14 02 00 06 10 13 15 03 05 0802 01 14 07 04 10 08 13 15 12 09 00 03 05 06 11輸入輸出2022/9/2620單輪變換的詳細(xì)過(guò)程P置換（P盒）：32bit32bit第 16 比特 第 1 比特第 07 比特 第 2 比特第 25 比特 第 32 比特20

8、22/9/2621單輪變換的詳細(xì)過(guò)程函數(shù)F第i 輪輸入第i 輪輸出2022/9/2622子密鑰生成算法框架2022/9/2623子密鑰生成兩個(gè)選擇置換（64bit 56bit，56bit 48bit）第57比特第1比特第49比特第2比特第04比特第56比特（舍棄了奇偶校驗(yàn)位，即第8，16，64位）第14比特第1比特第17比特第2比特第32比特第48比特（舍棄了第9,18,22,25,35,38,43,54比特位）2022/9/2624子密鑰生成循環(huán)移位第38，1015輪，左移2位，其余為1位2022/9/26252022/9/2626加密過(guò)程:(1)(2)運(yùn)算進(jìn)行16次后就得到密文組。 L0R

9、0 IP(64 bit 輸入碼) LiRi-1 i=1,., 16 (1) RiLi-1f(Ri-1, ki) i=1,. , 16 (2)64 bit密文IP-1 (R16L16)解密過(guò)程:(3)(4)運(yùn)算進(jìn)行16次后就得到明文組。 R16L16 IP(64 bit密文) Ri-1 Li i=16,. , 1 (3) Li-1Rif(Li-1, ki) i=16,., 1 (4) 64 bit明文IP-1 (L0R0) 3.3.2 DES解密與加密算法相同，子密鑰倒序。2022/9/26273.3.3 雪崩效應(yīng)2022/9/262856密鑰的使用256 = 7.2 x 10161997 ，幾

10、個(gè)月 1998，幾天 1999，22個(gè)小時(shí)!DES算法的性質(zhì)：S盒構(gòu)造方法未公開(kāi)！弱密鑰弱密鑰：8個(gè)弱密鑰 半弱密鑰：2個(gè)半弱密鑰 3.4 DES的強(qiáng)度2022/9/2629差分密碼分析線(xiàn)性密碼分析3.5 差分分析和線(xiàn)性分析2022/9/2630差分密碼分析2022/9/26312022/9/2632線(xiàn)性密碼分析通過(guò)尋找DES變換的線(xiàn)性近似來(lái)攻擊 。 2022/9/2633DES CrackerThe Electronic Frontier Foundation built the so-called DES Cracker supercomputer in 1998 to crack 56-

11、bit DES encryption. It later won RSA Laboratorys DES Challenge II contest in about 56 hours. DES Cracker had 26 (and later 27) system boards, each with 32 or 64 custom AWT-4500 Deep Crack chips, for a total of about 1,500 to 1,800 chips. 2022/9/2634DES的設(shè)計(jì)準(zhǔn)則（見(jiàn)教材）Feistel密碼的密碼強(qiáng)度來(lái)自于三個(gè)方面迭代輪數(shù)（255.1 255 ）函

12、數(shù)F的設(shè)計(jì)(非線(xiàn)性，S盒, bent函數(shù))嚴(yán)格雪崩效應(yīng)準(zhǔn)則位獨(dú)立準(zhǔn)則密鑰擴(kuò)展算法3.6 分組密碼的設(shè)計(jì)原理2022/9/26353.7 分組密碼的工作模式FIPS 81中定義了4種模式，到800-38A中將其擴(kuò)展為5個(gè)?？捎糜谒蟹纸M密碼。DES的工作模式若明文最后一段不足分組長(zhǎng)度，則補(bǔ)0或1，或隨機(jī)串。 2022/9/2636模式描述典型應(yīng)用電碼本（ECB）單個(gè)數(shù)據(jù)的安全傳輸密碼分組鏈接（CBC）普通目的的面向分組的傳輸；認(rèn)證密碼反饋（CFB）普通目的的面向分組的傳輸；認(rèn)證輸出反饋（OFB）噪聲信道上的數(shù)據(jù)流的傳輸計(jì)數(shù)器（CTR）普通目的的面向分組的傳輸；用于高速需求DES的工作模式（表3.

13、6） 2022/9/26373.7.1 電碼本模式（Electronic Code Book，ECB ）工作模式 加密：Cj=Ek(Pj),(j=1,2,n)解密：Pj=Dk(Cj)應(yīng)用2022/9/2638Electronic Codebook Book (ECB)2022/9/2639摘自：NIST Special Publication 800-38A 2001 Edition2022/9/26403.7.2 密碼分組鏈接模式（Cipher Block Chaining ，CBC）工作模式 加密解密應(yīng)用加密長(zhǎng)度大于64位的明文P認(rèn)證2022/9/2641Cipher Block Chai

14、ning (CBC)2022/9/2642摘自：NIST Special Publication 800-38A 2001 Edition2022/9/2643工作模式加密解密應(yīng)用保密：加密長(zhǎng)度大于64位的明文P；分組隨意；可作為流密碼使用。認(rèn)證：特點(diǎn)分組任意安全性?xún)?yōu)于ECB模式加、解密都使用加密運(yùn)算（不用解密運(yùn)算）3.7.3 密碼反饋模式（Cipher FeedBack，CFB）2022/9/2644Cipher FeedBack (CFB)2022/9/2645摘自：NIST Special Publication 800-38A 2001 Edition2022/9/26463.7.4 輸出反饋模式（Output FeedBack，OFB ）工作模式 加密解密應(yīng)用特點(diǎn)缺點(diǎn)：抗消息流篡改攻擊的能力不如CFB。 2022/9/2647Output FeedBack (OFB)2022/9/2648摘自：NIST Special Publication 800-38A 2001 Edition2022/9/2649工作模式 加密： 給定計(jì)數(shù)器初值IV，則 j=1,2,N 解密特點(diǎn)優(yōu)點(diǎn)硬件效率：可并行處理；軟件效率：并行化；預(yù)處理；隨機(jī)訪(fǎng)問(wèn)：比鏈接模式好；可證明的安全性：至少與其它模式一樣安全；簡(jiǎn)單性：只用到加密算法。3.7.5 計(jì)數(shù)器模式（Counter, CTR）2022