第章 信息安全核心：密碼技術(shù)(強(qiáng)烈推薦)

第2章信息安全核心：密碼技術(shù)

海軍工程大學(xué)第2章信息安全核心：密碼技術(shù)

主要內(nèi)容

密碼的起源和相關(guān)概念2.2古典密碼體制2.3對稱密碼體制2.4非對稱密碼體制2.5小結(jié)第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念2.1.1密碼的起源

密碼的起源，尚無確實(shí)可靠的資料。目前公認(rèn)的是公元前五世紀(jì)斯巴達(dá)人使用一種叫“天書”（Skytale）的器械。它用一根木棍，將羊皮條緊緊纏在木棒上，密信自上而下寫在羊皮條上，然后將羊皮條解開送出。除非把羊皮條重新纏在一根同樣直徑的木棍上，才能把密信的內(nèi)容讀出來。這是最早的一種移位密碼。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

公元前兩世紀(jì)，希臘歷史學(xué)家波利比烏斯（Polybius）想出一種信號通信方法。他把字母排列在一個方表內(nèi)，并把各橫行和縱行標(biāo)上數(shù)字，每個字母用它在橫行的數(shù)字和它在縱行的數(shù)字代表，這些數(shù)字可用火把傳送，右手舉的火把數(shù)表示字母的第一個代碼，左手舉的火把數(shù)表示字母的第二個代碼。這種方法可以把信號傳送較遠(yuǎn)的距離。波利比烏斯方表密后來被作為一些密碼體制的基礎(chǔ)而廣泛使用。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

密碼產(chǎn)生以后，發(fā)展非常緩慢。密碼編制較簡單，且都用手工或簡單器械進(jìn)行操作。有線電、無線電的發(fā)明并作為戰(zhàn)爭工具在第一次世界大戰(zhàn)中廣泛應(yīng)用后，密碼才很快地發(fā)展起來。第一次世界大戰(zhàn)期間，出現(xiàn)了各式各樣的機(jī)械密碼機(jī)。

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

第二次世界大戰(zhàn)前后，隨著晶體管的出現(xiàn)和通信技術(shù)的發(fā)展，開始出現(xiàn)電子密碼機(jī)。1970年代初，電子技術(shù)進(jìn)入微電子時代，大規(guī)模集成電路和微型處理機(jī)被引進(jìn)到密碼通信中，進(jìn)一步加快了密碼和密碼機(jī)的發(fā)展進(jìn)程。用程序?qū)崿F(xiàn)編碼的計(jì)算機(jī)密碼也是從這個時代開始的。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

今后密碼裝置和密碼通信的特點(diǎn)是：體積向微型化方向發(fā)展，速度向更高方向發(fā)展，操作向全自動化方向發(fā)展，編碼向程序化方向發(fā)展，密鑰量向無窮方向發(fā)展，加解密向后臺化方向發(fā)展，通信向網(wǎng)絡(luò)化方向發(fā)展，所有操作向?qū)崟r化方向發(fā)展。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念2.1.2密碼學(xué)相關(guān)概念

密碼學(xué)（Cryptology）:是一門關(guān)于發(fā)現(xiàn)、認(rèn)識、掌握和利用密碼內(nèi)在規(guī)律的科學(xué)，由密碼編碼學(xué)和密碼分析學(xué)組成。

密碼編碼學(xué)（Cryptography）:是研究密碼編碼的科學(xué)。

密碼分析學(xué)（Cryptanalytic）:是研究密碼破譯的科學(xué)。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念明文（消息）（Plaintext）:原始數(shù)據(jù)/信息密文（Ciphertext）:經(jīng)過變換的數(shù)據(jù)加密（Encryption）:變換過程解密（Decryption）:實(shí)施與加密變換相反的變換密鑰（Key）:加密和解密通常都是在一組密鑰控制下進(jìn)行，分別稱為加密密鑰和解密密鑰

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

竊聽者（Eavesdropper）:在密碼通信過程中,非授權(quán)用戶通過搭線竊聽、電磁竊聽、聲音竊聽、計(jì)算機(jī)入侵等多種手段來竊取機(jī)密信息

密碼分析（Cryptanalysis）:通過分析有可能從截獲的密文中推斷出原來的明文或密鑰的過程

密碼分析員（Cryptanalyst）:從事密碼分析工作的人

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念被動攻擊（PassiveAttack）:對一個密碼通信系統(tǒng)采取截獲密文進(jìn)行分析的攻擊

主動攻擊（ActiveAttack）:攻擊者采用刪除、增加、重放、偽造等主動手段向密碼通信系統(tǒng)注入假消息的攻擊

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念一個密碼系統(tǒng)，通常簡稱為密碼體制（Cryptosystem）傳統(tǒng)密碼體制（ConventionalCryptographicSystem）所用的加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，即從一個密鑰易于推出另一個，我們稱其為單鑰或?qū)ΨQ密碼體制（One-keyorSymmetricCryptosystem）。如果加密密鑰與解密密鑰不相同，即從一個難以推出另一個，則稱該密碼體制為雙鑰密碼體制（Two-keyCryptosystem）或非對稱密碼體制（AsymmetricCryptosystem）。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念密碼體制（Cryptosystem），由五元組（M,C,K,E,D）構(gòu)成:明文空間M，它是全體明文的集合;密文空間C，它是全體密文的集合；第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念密鑰空間K，它是全體密鑰的集合,其中每一個密鑰K均由加密密鑰Ke和解密密鑰Kd組成，即有K=<Ke,Kd>;加密算法E，它是一簇由M到C的加密變換，即有C=E(M,Ke);解密算法D，它是一簇由C到M的解密變換，即有M=D(C,Kd)=D(E(M,Ke),Kd)第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念由五元組（M,C,K,E,D）構(gòu)成密碼體制模型如圖

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

根據(jù)對明密文的處理方式和密鑰的使用不同，可將密碼體制分為分組密碼（BlockCipher）體制和序列密碼（Streamcipher）體制。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

密碼分析者攻擊密碼的方法主要有窮舉攻擊、統(tǒng)計(jì)分析攻擊和數(shù)學(xué)分析攻擊。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念窮舉攻擊（Exhaustiveattack），是指密碼分析者采用遍歷（ergodic）全部密鑰空間的方式對所獲密文進(jìn)行解密，直到獲得正確的明文；統(tǒng)計(jì)分析攻擊（Statisticalanalysisattack），是指密碼分析者通過分析密文和明文的統(tǒng)計(jì)規(guī)律來破譯密碼；數(shù)學(xué)分析攻擊（Mathematicalanalysisattack），是指密碼分析者針對加解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過數(shù)學(xué)求解的方法來破譯密碼第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

根據(jù)可利用的數(shù)據(jù)資源來分類，密碼分析者破譯密碼的類型可分為僅知密文攻擊、已知明文攻擊、選擇明文攻擊和選擇密文攻擊。

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

僅知密文攻擊（Ciphertext-onlyattack）是指密碼分析者僅根據(jù)截獲的密文來破譯密碼。這是密碼分析者在擁有最少可利用數(shù)據(jù)資源的情況下最強(qiáng)的密碼攻擊。已知明文攻擊（Known/plaintextattack）是指密碼分析者根據(jù)已經(jīng)獲得的某些明文-密文對來破譯密碼。近代密碼學(xué)要求，一個密碼僅當(dāng)它能經(jīng)得起已知明文攻擊時才是可行的。

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

選擇明文攻擊（Chosen-plaintextattack）是指密碼分析者能夠選擇明文并獲得相應(yīng)的密文。這種狀態(tài)對密碼分析者十分有利。選擇密文攻擊（Chosen-ciphertextattack）是指密碼分析者能夠選擇密文并獲得相應(yīng)的明文。這種攻擊主要針對公開密鑰密碼體制，尤其是攻擊數(shù)字簽名。第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念

如果無論密碼分析者截獲了多少密文和用什么技術(shù)方法進(jìn)行攻擊都有不能攻破一個密碼，則稱該密碼為絕對不可破譯的。目前已知的僅有“一次一密”（One-timepad）密碼屬于絕對不可破譯密碼。由于密鑰管理上的困難，“一次一密”密碼是不實(shí)用的。

第2章信息安全核心：密碼技術(shù)

密碼的起源和相關(guān)概念一個密碼不能被密碼分析者根據(jù)可利用的資源所破譯，稱為計(jì)算上不可破譯（Computationallyunbreakable）密碼。對于我們來說，計(jì)算上不可破譯的密碼才是常見的和可實(shí)現(xiàn)的。第2章信息安全核心：密碼技術(shù)

古典密碼體制

古典密碼包括代替密碼和置換密碼兩種，它們大多數(shù)采用手工或機(jī)械操作對明文進(jìn)行加密、對密文進(jìn)行解密。在當(dāng)時有的密碼被認(rèn)為是不可破譯的，在科學(xué)技術(shù)充分發(fā)達(dá)的今天，這些密碼中的絕大多數(shù)已毫無安全性可言了。但現(xiàn)代密碼的設(shè)計(jì)還是離不開簡單的基本密碼。大多數(shù)好的密碼算法仍是代替密碼和置換密碼的精心組合。第2章信息安全核心：密碼技術(shù)

古典密碼體制2.2.1代替密碼

代替密碼（Substitutioncipher）就是發(fā)送者將明文中每一個字符替換為密文中的另外一個字符，然后使用通信手段發(fā)送出去。接收者對密文進(jìn)行逆替換以恢復(fù)出明文的過程

第2章信息安全核心：密碼技術(shù)

古典密碼體制

根據(jù)保密性能，我們歸納經(jīng)典代替密碼有以下三種類型：單表代替密碼、多表代替密碼和一次一密鑰代替密碼。第2章信息安全核心：密碼技術(shù)

古典密碼體制1.單表代替密碼

單表代替密碼（Monoalphabeticsubstitutioncipher）：就是所有的明文字母，都用一個固定的代替表進(jìn)行加密。

第2章信息安全核心：密碼技術(shù)

古典密碼體制

單表代替密碼的特點(diǎn)是：代替表固定不變，重復(fù)使用，因此存在明文相同時，密文必相同；明文相異時，密文必相異的規(guī)律，我們稱為明密異同規(guī)律。運(yùn)用該規(guī)律，結(jié)合文字中字母出現(xiàn)的不平衡性和跟隨性，易于找到代替表的明密字母對應(yīng)關(guān)系。因此，單表代替密碼是一種低級的代替密碼。第2章信息安全核心：密碼技術(shù)

古典密碼體制構(gòu)造單表代替的方法有以下幾種：(1)混字法，就是簡單代替密碼(simplesubstitutioncipher)，將記有字母表中每個字母的卡片打亂秩序后重新排列，并與明文字母相對應(yīng)，可構(gòu)成一張單表代替表(2)移位法，就是移位代替密碼（Shiftsubstitutioncipher），就是將明文字母表字母循環(huán)左移k位，構(gòu)成密文字母表第2章信息安全核心：密碼技術(shù)

古典密碼體制(3)乘法密碼（Multiplicativecipher）又稱為采樣密碼（Decimationcipher），因?yàn)槊芪淖帜副硎菍⒚魑淖帜副戆聪聵?biāo)每隔k位取出一個字母排列而成（字母表首尾相接）。(4)仿射密碼，將移位密碼與乘法密碼組合可得到更多的選擇方式或密鑰。(5)多字符代替密碼，如果每次對L>1個字母進(jìn)行代替就是多字符代替密碼（Polygramsubstitutioncipher），該密碼由Playfair在1854年發(fā)明。第2章信息安全核心：密碼技術(shù)

古典密碼體制2.多表代替密碼多表代替密碼（Polyalphabeticsubstitutioncipher）是以一系列（兩個以上）代替表依次對明文消息的字母進(jìn)行代替的加密方法。設(shè)T是從A到A上的所有一一映射構(gòu)成的變換集合，是由k∈K確定的一個至少由T中的兩個不同元素組成的變換序列，，對于明文加密編碼為

解密譯碼為則稱這種密碼系統(tǒng)是多表代替密碼。

第2章信息安全核心：密碼技術(shù)

古典密碼體制

經(jīng)典的多表代替密碼有：Vigenère、Beaufort、Running-Key、Vernam和轉(zhuǎn)輪密碼（RotorCipher）等。第2章信息安全核心：密碼技術(shù)

古典密碼體制(1)Vigenère密碼Vigenère密碼是法國密碼學(xué)家BlaisedeVigenère于1858年提出的，它是一種以移位代替（當(dāng)然也可用一般的字母代替表）為基礎(chǔ)的周期代替密碼。若，對，，其中的定義同代替密碼，則由確定的密碼就是Vigenère密碼。第2章信息安全核心：密碼技術(shù)

古典密碼體制例

令q=26，m=polyalphabeticcipher，密鑰字k=about，即周期d=5，求密文c。第2章信息安全核心：密碼技術(shù)

古典密碼體制解：

加密密鑰：k=about=(0,1,14,20,19)加密算法：加密代替表參見表密文為：ppzstlqvuueuwwviqvyk由密文可知，同一明文字母p在不同位置被加密為不同的密文字母p和q。第2章信息安全核心：密碼技術(shù)

古典密碼體制(2)Beaufort密碼Beaufort密碼是按modq減法運(yùn)算的一種周期代替密碼，即：

所以，它與Vigenère密碼相似，只是密文字母表為英文字母表逆序排列進(jìn)行循環(huán)右移次而成。

第2章信息安全核心：密碼技術(shù)

古典密碼體制(3)Vernam密碼當(dāng)字母表字母數(shù)q=2時，滾動密鑰密碼就變成Vernam密碼，它是美國電報公司的G.W.Vernam在1917年發(fā)明的。它將英文字母編成5bit二元數(shù)字，稱之為五單元波多碼（BaudotCode）。第2章信息安全核心：密碼技術(shù)

古典密碼體制選擇隨機(jī)二元序列作為密鑰，用表示。明文字母變換成二元碼后也可表示成二元序列加密運(yùn)算就是將k和m的相應(yīng)位逐位相加，即i=1,2,…解密運(yùn)算就是將密文序列與密鑰序列逐位模2加，即i=1,2,…第2章信息安全核心：密碼技術(shù)

古典密碼體制(4)轉(zhuǎn)輪密碼

轉(zhuǎn)輪密碼是用一組轉(zhuǎn)輪或接線編碼輪（WiredCodeWheel）所組成的機(jī)器，用以實(shí)現(xiàn)長周期的多表代替密碼。它是機(jī)械密碼時代的最杰出的成果，曾廣泛應(yīng)用于軍事通信中。

第2章信息安全核心：密碼技術(shù)

古典密碼體制

其中，最著名的兩種轉(zhuǎn)輪密碼機(jī)是Enigma和Hagelin密碼機(jī)。Enigma密碼機(jī)是德國ArthurScherbius發(fā)明，在二次世界大戰(zhàn)中裝備德軍，作為德軍最高級密碼使用。

Hagelin密碼機(jī)是瑞典的BorisCaesarWilhelmHagelin發(fā)明的，在二次世界大戰(zhàn)中曾被廣泛使用。第2章信息安全核心：密碼技術(shù)

古典密碼體制3.一次一密鑰系統(tǒng)

前面提及的Vernam密碼，如果加密用戶能夠使用無限真隨機(jī)密鑰序列，也就是說，不重復(fù)使用密鑰，則可以獲得一種理想的加密方案，叫做一次一密鑰系統(tǒng)（one-timepad）。第2章信息安全核心：密碼技術(shù)

古典密碼體制對任意正整數(shù)N，若是一個獨(dú)立同分布的隨機(jī)變量序列，且在上取值并服從均勻分布，即

對明文，由確定的加密過程為其中，i=0，1，…，N-1，則此密碼系統(tǒng)就是著名的一次一密鑰系統(tǒng)。。對于明文第2章信息安全核心：密碼技術(shù)

古典密碼體制

置換密碼（Permutationcipher），就是按照約定的規(guī)則，將明的字母、數(shù)碼或符號在不改變原來形狀的基礎(chǔ)上，進(jìn)行位置的錯亂。有時也稱為換位密碼（Transpositioncipher）。2.2.2置換密碼，。對于明文第2章信息安全核心：密碼技術(shù)

古典密碼體制

置換密碼表述如下：設(shè)k是上的一個置換，稱是由k導(dǎo)出的上的一個換位變換，若對，。對于明文，由加密編碼所確定的密碼稱為換位密碼。第2章信息安全核心：密碼技術(shù)

古典密碼體制例

應(yīng)用簡單圖形置換密碼加密下列明文：43572585003150304737437724292494第2章信息安全核心：密碼技術(shù)

古典密碼體制解：簡單圖形置換密碼的變化因素是：圖形的選擇，方格的數(shù)量，以及變化的線路。下面我們采用橫填縱讀法進(jìn)行加密，即橫向填寫明文，縱向讀出來為密文。參見表43572585003150304737437724292494密文：48532935074450342700392347251774第2章信息安全核心：密碼技術(shù)

古典密碼體制例

對下列明文用置換密碼加密：Transpositionisthesimplestcipher.第2章信息安全核心：密碼技術(shù)

古典密碼體制解：

將明文長度分為L=5，最后一段不足5則加字母x。將各段位置下標(biāo)按下述置換表：進(jìn)行置換，得到密文如下：Ntsariptsoiisnostiehemslppthicxexxr第2章信息安全核心：密碼技術(shù)

古典密碼體制利用下述代替表：可將密文解密。L=5時可能的代替表總數(shù)為5！=120。可以證明，在給定L下，所有可能的置換構(gòu)成一個L！階對稱群

第2章信息安全核心：密碼技術(shù)

古典密碼體制

置換密碼是原來字母、數(shù)碼或符號的一個重新排列。在對密文進(jìn)行統(tǒng)計(jì)之后，易于判斷該密文是否使用了置換密碼加密方案。因此，置換密碼很難單獨(dú)構(gòu)成保密的密碼。但是，作為密碼編碼的一個環(huán)節(jié)，這種密碼與代替密碼共同工作，是現(xiàn)代電子技術(shù)和計(jì)算機(jī)密碼中常用的編碼方案

第2章信息安全核心：密碼技術(shù)

對稱密碼體制

對稱密碼體制是指所用的解密算法就是加密算法的逆運(yùn)算，加密密鑰就是解密密鑰這樣一類加密體制。它通常用來加密帶有大量數(shù)據(jù)的報文和文卷通信的信息，因?yàn)檫@兩種通信可實(shí)現(xiàn)高速加密算法。

第2章信息安全核心：密碼技術(shù)

對稱密碼體制

該體制的特點(diǎn)是：在秘密密鑰密碼體制中發(fā)送者和接收者之間的密鑰必須安全傳送，而雙方用戶通信所用的秘密密鑰必須妥善保管。

第2章信息安全核心：密碼技術(shù)

對稱密碼體制

該體制代表包括美國的數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard，DES[DES，1977])以及瑞士的國際數(shù)據(jù)加密算法(InternationalDataEncryptionAlgorithm，IDEA[Lai，1990])等。第2章信息安全核心：密碼技術(shù)

對稱密碼體制

2.3.1DES

DES是美國國家標(biāo)準(zhǔn)局在20世紀(jì)70年代開發(fā)的一種新型加密算法。1977年1月15日，DES成為美國聯(lián)邦信息處理標(biāo)準(zhǔn)FIPSPUB46。DES采用分組乘積密碼體制，就是使用多次移位和代替的混合運(yùn)算編制的密碼。DES是世界上最早公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)。

第2章信息安全核心：密碼技術(shù)

對稱密碼體制

根據(jù)FIPSPUB81定義，DES的工作模式有四種：電子密碼本（ECB）、密碼分組鏈接（CBC）、輸出反饋（OFB）和密文反饋（CFB）。ANSI銀行標(biāo)準(zhǔn)中規(guī)定加密用ECB和CBC方式，鑒別用CBC和n-位的CFB方式。第2章信息安全核心：密碼技術(shù)

對稱密碼體制

1.DES的加密原理DES是一種二元數(shù)據(jù)加密的分組算法，即對64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)，使用密鑰為64位，實(shí)用56位，另外8位用作奇偶校驗(yàn)。加密的過程是先對64位明文分組進(jìn)行初始置換，然后分成左、右兩部份，經(jīng)過16次迭代，進(jìn)行循環(huán)移位與變換，最后再進(jìn)行逆變換得出密文。加密與解密使用相同的密鑰，因而屬于對稱密碼體制。第2章信息安全核心：密碼技術(shù)

對稱密碼體制

(1)DES的初始置換IP與初始置換的逆置換

初始置換作用是對輸入進(jìn)行預(yù)白化，達(dá)到消除明文的格式和固定輸入作用。逆初始置換作用是對輸出進(jìn)行后白化，達(dá)到消除密文格式和可能的密鑰泄露。白化，就是對輸入進(jìn)行白噪聲化處理，即高斯化處理，使得結(jié)果呈現(xiàn)白噪聲特征。對輸入進(jìn)行白化叫做預(yù)白化，對輸出進(jìn)行白化叫做后白化。第2章信息安全核心：密碼技術(shù)

對稱密碼體制要加密的輸入塊的64位，首先要經(jīng)過初始置換IP的作用。即置換了的輸入要把原輸入的第58位作為它的第1位，原輸入的第50位作為它的第2位，……，原輸入的第7位作為它的最后一位。逆初始置換，是以預(yù)輸出作為它的輸入,參見表第2章信息安全核心：密碼技術(shù)

對稱密碼體制

(2)密碼函數(shù)密碼函數(shù)的運(yùn)算見圖所示，它是DES密碼的關(guān)鍵部件，它包含四種密碼功能：擴(kuò)展函數(shù)、模2加運(yùn)算、S盒運(yùn)算和置換函數(shù)P運(yùn)算。第2章信息安全核心：密碼技術(shù)

對稱密碼體制①擴(kuò)展函數(shù)E擴(kuò)展函數(shù)E的功能，就是將一個32位的輸入塊，擴(kuò)展為48位的輸出塊。這48位的輸出塊分成8個6位的塊，它是按照下表依次選擇它的輸入中的位取得的第2章信息安全核心：密碼技術(shù)

對稱密碼體制②模2加運(yùn)算

模2加功能是將E(R)的各位與密鑰K各位逐位模2加，得到輸出，具體如下：

第2章信息安全核心：密碼技術(shù)

對稱密碼體制

③S盒運(yùn)算密碼函數(shù)中，共有8個S盒，稱為8個不同的選擇函數(shù)，分別用表示，見下表。每個S盒，都是將6位作為輸入，得到一個4位塊作為輸出。第2章信息安全核心：密碼技術(shù)

對稱密碼體制④置換函數(shù)P運(yùn)算置換函數(shù)P把S盒輸出的32位數(shù)據(jù)打亂重排，得到32位的加密函數(shù)結(jié)果。置換函數(shù)P與S盒互相配合提高了DES的安全性。這種函數(shù)由下表給出。1672021291228171152326518311028241432273919133062211425第2章信息安全核心：密碼技術(shù)

對稱密碼體制具體加密過程是：輸入的明文64位數(shù)據(jù)，首先經(jīng)過初始置換IP后把其左半1至32位記為，右半33至64位記為，即成了置換了的輸入，然后把與密鑰發(fā)生器產(chǎn)生的密鑰進(jìn)行運(yùn)算，其結(jié)果記為，再與進(jìn)行模2加得，把記為放在左邊，把記為放在右邊，從而完成第一次迭代運(yùn)算；在此基礎(chǔ)上，重復(fù)上述迭代過程，一直迭代至第16次，所得的第16次迭代結(jié)果左右不交換，即記為放在左邊，記為放在右邊，成為預(yù)輸出，最后經(jīng)過初始置換的逆置換運(yùn)算后即得密文。第2章信息安全核心：密碼技術(shù)

對稱密碼體制

綜上所述，DES加密過程可用如下的數(shù)學(xué)公式描述：第2章信息安全核心：密碼技術(shù)

對稱密碼體制3.DES的應(yīng)用與意義

DES已經(jīng)使用了二十多年，由于DES存在每五年評估一次的要求，經(jīng)過1982年、1987年、1993年三次評估，DES的使用已經(jīng)面臨較嚴(yán)峻的問題，先后遭到密碼理論分析、密碼硬件破譯、網(wǎng)絡(luò)資源攻擊（DESCHALL）以及DES專用破譯機(jī)攻擊。第2章信息安全核心：密碼技術(shù)

對稱密碼體制

從對密碼學(xué)領(lǐng)域的貢獻(xiàn)來看，DES推動了密碼學(xué)在理論和實(shí)踐技術(shù)上的發(fā)展，具體表現(xiàn)在以下幾個方面：它公開展示了能完全適應(yīng)某一歷史階段中信息安全要求的一種密碼體制的構(gòu)造方法；它是世界上第一個數(shù)據(jù)加密標(biāo)準(zhǔn)，它確立了這樣一個原則，即算法的細(xì)節(jié)可以公開而密碼的使用法仍是保密的；它表明用分組密碼作為對密碼算法標(biāo)準(zhǔn)化這種方法是方便可行的；

第2章信息安全核心：密碼技術(shù)

對稱密碼體制由DES的出現(xiàn)而引起的討論及附帶的標(biāo)準(zhǔn)化工作已經(jīng)確立了安全使用分組密碼的若干準(zhǔn)則；由于DES的出現(xiàn)，推動了密碼分析理論和技術(shù)的快速發(fā)展，出現(xiàn)了差分分析、線性分析等多種新的有效的密碼分析方法。雖然DES已被破譯，但是DES無論是在理論上還是在加密算法的設(shè)計(jì)上都具有重要的意義，它是今后設(shè)計(jì)加密算法的重要借鑒，是密碼學(xué)領(lǐng)域中的一個光輝的里程碑。第2章信息安全核心：密碼技術(shù)

對稱密碼體制2.3.2IDEA1.IDEA概述

IDEA(InternationalDataEncryptionAlgorithm)是由中國密碼學(xué)者來學(xué)嘉(XuejiaLai)于1990年在瑞士蘇黎士聯(lián)邦工業(yè)大學(xué)學(xué)習(xí)期間和JamesL.Massey共同提出的，并于1992年正式使用IDEA名稱。

第2章信息安全核心：密碼技術(shù)

對稱密碼體制該算法在形式上與DES類似，也是使用循環(huán)加密方式，把64位的明文加密成64位的密文，或反之。所不同的是，IDEA使用128位的密鑰，強(qiáng)度高于DES；加密和解密時使用的密鑰不一樣(但從同一個密鑰派生出來，所以仍屬于對稱密碼體制)；而且IDEA的設(shè)計(jì)傾向軟件實(shí)現(xiàn)。到目前為止，從公開發(fā)表的文獻(xiàn)看，除窮舉法外，尚未找到破譯IDEA方法。第2章信息安全核心：密碼技術(shù)

對稱密碼體制2.IDEA基本運(yùn)算

IDEA的基本操作是將兩個16位的值映射成一個16位的值，這些操作是：（1）半加⊕；（2）模216的加法+；（3）修改過以適應(yīng)范圍的乘法×；先計(jì)算32位的結(jié)果，然后用216+1取余。IDEA的基本運(yùn)算可表示為：第2章信息安全核心：密碼技術(shù)

對稱密碼體制3.IDEA工作原理

IDEA的基本工作原理如下圖所示第2章信息安全核心：密碼技術(shù)

對稱密碼體制IDEA的加密過程包含17個循環(huán)，其中奇數(shù)循環(huán)使用4個密鑰，而偶數(shù)循環(huán)使用2個密鑰，它們在處理方法上也不一樣。為了驗(yàn)證IDEA的加密和解密過程，可作如下變換：將新的、、和作為這個循環(huán)的輸入，便可得到舊的、、和的值。因此，IDEA的加密和解密可理解為是對不同的值使用同一個處理過程。第2章信息安全核心：密碼技術(shù)

對稱密碼體制4.IDEA加密過程64位數(shù)據(jù)分組被分成4個16位子分組：x1、x2、x3和x4。這4個子分組成為算法的第一輪的輸入?？偣灿?輪。在每一輪中，這4個子分組相互間相異或，相加，相乘，且與6個16位子密鑰相異或，相加，相乘。在輪與輪間，第二和第三個子分組交換。最后在輸出變換中4個子分組與4個子密鑰進(jìn)行運(yùn)算。第2章信息安全核心：密碼技術(shù)

對稱密碼體制2.3.3高級加密標(biāo)準(zhǔn)AES1997年起，美國NIST在全球范圍內(nèi)組織了旨在代替DES的先進(jìn)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard，AES）評估工作，2000年10月終于誕生了AES。最終推薦的高級加密標(biāo)準(zhǔn)AES是由比利時密碼專家JoanDaemen和VincentRijmen提出的Rijndael（中文音譯“榮代爾”）加解密算法，2001年11月26日，美國NIST正式應(yīng)用AES作為美國FIPSPUB197。第2章信息安全核心：密碼技術(shù)

對稱密碼體制1.Rijndael數(shù)學(xué)基礎(chǔ)定義2.1一個由組成的字節(jié)b可表示為系數(shù)為{0，1}的二進(jìn)制多項(xiàng)式：

定義2.2在上的加法定義為二進(jìn)制多項(xiàng)式的加法，且其系數(shù)模2。定義在上的乘法（用符號·表示）定義為二進(jìn)制多項(xiàng)式的乘積模一個次數(shù)為8的不可約二進(jìn)制多項(xiàng)式，此不可約多項(xiàng)式為（十六進(jìn)制為‘11B’）

上面定義的乘法在上滿足結(jié)合律，且有一個本原元（‘01’）。第2章信息安全核心：密碼技術(shù)

對稱密碼體制定義在上的二進(jìn)制多項(xiàng)式b(x)的乘法逆為滿足方程式的二進(jìn)制多項(xiàng)式a(x)，記為定義函數(shù)xtime(x)定義為上的x·b(x)。其運(yùn)算如下：x·b(x)的結(jié)果就是把字節(jié)b左移一位；若則結(jié)果需異或‘1B’。定義有限域上的多項(xiàng)式是系數(shù)取自元素的多項(xiàng)式，這樣，一個4字節(jié)向量與一個次數(shù)小于4的多項(xiàng)式相對應(yīng)。定義上的多項(xiàng)式的加法定義為相應(yīng)項(xiàng)系數(shù)相加。因?yàn)樵谟蛏系募邮呛唵蔚陌次划惢颍栽谟蛏系膬上蛄康募右簿褪呛唵蔚陌次划惢?。?章信息安全核心：密碼技術(shù)

對稱密碼體制定義2.8上的多項(xiàng)式和相乘模的積（表示為）為，其系數(shù)由下面4個式子得到：，，，，利用定義(2.8)有。第2章信息安全核心：密碼技術(shù)

對稱密碼體制2.Rijndael加密算法

Rijndael算法是一個可變數(shù)據(jù)塊長和可變密鑰長的迭代分組加密算法，數(shù)據(jù)塊長和密鑰長可分別為128、192或256比特。第2章信息安全核心：密碼技術(shù)

對稱密碼體制(1)狀態(tài)、密鑰和圈數(shù)數(shù)據(jù)塊要經(jīng)過多次數(shù)據(jù)變換操作，每一次變換操作產(chǎn)生一個中間結(jié)果，這個中間結(jié)果叫狀態(tài)。狀態(tài)可表示為二維字節(jié)數(shù)組，它有4行，Nb列，且Nb等于數(shù)據(jù)塊長度除以32。如表所示。第2章信息安全核心：密碼技術(shù)

對稱密碼體制密鑰也可類似地表示為二維字節(jié)數(shù)組，它有4行，Nk列，且Nk等于密鑰塊長除32。算法變換的圈數(shù)Nr由Nb和Nk共同決定，具體值列在表中第2章信息安全核心：密碼技術(shù)

對稱密碼體制(2)圈變換加密算法的圈變換由4個不同的變換組成。用偽C語言可寫為：Round(State，RoundKey){ByteSub(State)；ShiftRow(State)；MixColumn(State)；AddRoundKey(State，RoundKey)；}加密算法的最后一圈變換與上面的略有不同，定義如下：FinalRound(State，RoundKey){ByteSub(State)；ShiftRow(State)；AddRoundKey(State，RoundKey)；}第2章信息安全核心：密碼技術(shù)

對稱密碼體制字節(jié)代替（ByteSub）變換ByteSub變換是作用在狀態(tài)中每個字節(jié)上的一種非線性字節(jié)變換。這個變換表（或稱S-box）是可逆的且由以下兩部分組成：1)把字節(jié)的值用它的乘法逆代替，其中‘00’的逆就是它自己。2)經(jīng)上一步處理后的字節(jié)值進(jìn)行如下定義的仿射變換：第2章信息安全核心：密碼技術(shù)

對稱密碼體制行移位（ShiftRow）變換在ShiftRow變換中，狀態(tài)的后3行以不同的移位值循環(huán)右移。行1移C1字節(jié)，行2移C2字節(jié)，行3移C3字節(jié)。移位值C1，C2和C3與加密塊長Nb有關(guān)，具體列在表中按指定位移量進(jìn)行循環(huán)移位的狀態(tài)行移位運(yùn)算記為：ShiftRow（State）第2章信息安全核心：密碼技術(shù)

對稱密碼體制列混合（MixColumn）變換在MixColumn變換中，把狀態(tài)中的每一列看作上的多項(xiàng)式與一固定多項(xiàng)式c(x)相乘然后模多項(xiàng)式，其中c(x)為：

上述多項(xiàng)式與互素，因此是可逆的。這一乘法可寫成矩陣乘法。令我們有：

第2章信息安全核心：密碼技術(shù)

對稱密碼體制這一運(yùn)算在狀態(tài)的所有列上的變換記為：MixColumn(State)。MixColumn變換的逆變換與其類似，每列用一個特定的多項(xiàng)式相乘就得到變換了。定義如下：由此給出：

第2章信息安全核心：密碼技術(shù)

對稱密碼體制圈密鑰加法

在這個操作中，圈密鑰被簡單地使用異或操作按位應(yīng)用到狀態(tài)中，圈密鑰根據(jù)密鑰編制通過密鑰得到。圈密鑰長等于數(shù)據(jù)塊長。第2章信息安全核心：密碼技術(shù)

對稱密碼體制(3)密鑰編制圈密鑰根據(jù)密鑰編制得到。密鑰編制包括密鑰擴(kuò)展和圈密鑰選擇，遵循以下原則：●圈密鑰的比特總數(shù)為數(shù)據(jù)長度與圈數(shù)加1的積?！衩荑€編制為擴(kuò)展密鑰?！袢γ荑€通過如下方法由擴(kuò)展密鑰求得：第一個圈密鑰由前面的個字組成，第二個圈密鑰由接下來的個字組成，以此類推。第2章信息安全核心：密碼技術(shù)

對稱密碼體制密鑰擴(kuò)展

擴(kuò)展密鑰是一個4字節(jié)的數(shù)組，且記為。密鑰包含在開始的個字中，其它的字由它前面的字經(jīng)過處理后得到。有小于等于6和大于6兩種密鑰編制。第2章信息安全核心：密碼技術(shù)

對稱密碼體制圈密鑰選擇圈密鑰i由圈密鑰緩沖區(qū)到的字組成。見表Nb=6且Nk=4的密鑰擴(kuò)展與圈密鑰選取第2章信息安全核心：密碼技術(shù)

對稱密碼體制(4)加密算法

Rijndael加密算法由以下部分組成：●一個初始化了的圈密鑰加法?！馧r－1圈變換?！褡詈笠蝗ψ儞Q。第2章信息安全核心：密碼技術(shù)

對稱密碼體制用偽碼表示有：Rijndael(State，CipherKey){KeyExpansion(CipherKey，ExpandKey)；AddRoundKey(State，ExpandKey)；For(i=1；i<Nr；i++)Round(State，ExpandedKey+Nb﹡i)；FinalRound(State，ExpandedKey+Nb﹡Nr)；}密鑰擴(kuò)展可以事先進(jìn)行，且Rijndael密碼可以用這一擴(kuò)展密鑰來進(jìn)行描述：Rijndael(State，ExpandKey){AddRoundKey(State，ExpandKey)；For(i=1；i<Nr；i++)Round(State，ExpandedKey+Nb﹡i)；FinalRound(State，ExpandedKey+Nb﹡Nr)；}第2章信息安全核心：密碼技術(shù)

對稱密碼體制3.Rijndael解密算法

Rijndael解密算法的結(jié)構(gòu)與Rijndael加密算法的結(jié)構(gòu)相同，其中的變換為加密算法變換的逆變換，且使用了一個稍有改變的密鑰編制。第2章信息安全核心：密碼技術(shù)

對稱密碼體制(1)變換的逆變換ShiftRow的逆是狀態(tài)的后3行分別移動個字節(jié)、個字節(jié)、個字節(jié)。ByteSub的逆是Rijndael的S-box的逆作用到狀態(tài)的每個字節(jié)。MixColumn的逆類似于MixColumn，狀態(tài)的每列都乘以一個固定的多項(xiàng)式：AddRoundKey就是它自己的逆。第2章信息安全核心：密碼技術(shù)

對稱密碼體制(2)逆圈變換的定義逆圈變換的定義如下：I-Round(State，I-RoundKey){InvByteSub(State)；InvShiftRow(State)；InvMixColumn(State)；AddRoundKey(State，I-RoundKey)；}最后一圈的逆變換如下：I-FinalRound(State，I-RoundKey){InvByteSub(State)；InvShiftRow(State)；AddRoundKey(State，I-RoundKey)；}第2章信息安全核心：密碼技術(shù)

對稱密碼體制(3)解密算法現(xiàn)在解密算法可以表述如下：I-Rijndael(State，CipherKey){I-KeyExpansion(CipherKey，I-ExpandKey)；AddRoundKey(State，I-ExpandKey+Nb﹡Nr)；For(i=1；i<Nr；i++)I-Round(State，I-ExpandedKey+Nb﹡i)；I-FinalRound(State，I-ExpandedKey)；}第2章信息安全核心：密碼技術(shù)

對稱密碼體制其中解密算法的密鑰擴(kuò)展定義為：加密算法的密鑰擴(kuò)展；把InvMixColumn應(yīng)用到除第一和最后一圈外的所有圈密鑰上。用偽C碼表示如下：I-KeyExpansion(CipherKey，I-ExpandKey){Key-Expansion(CipherKey，I-ExpandKey)；For(i=1；i<Nr；i++)InvMixColumn(I-ExpandedKey+Nb﹡i)；}第2章信息安全核心：密碼技術(shù)

非對稱密碼體制2.4.1引言傳統(tǒng)的密碼系統(tǒng)所存在的缺點(diǎn)，主要表現(xiàn)為下面兩點(diǎn)：主要存在兩個缺點(diǎn)：一是密鑰管理和分配問題；二是認(rèn)證問題。1976年，Diffie和Hellman發(fā)表了“NewDirectionsinCryptography”[Diffie，1976]，提供了一個新的思想，即密碼系統(tǒng)的加密密鑰、解密密鑰是可以不同的，由加密密鑰和密文不能容易地求得解密密鑰或明文，從而可以公開這種系統(tǒng)的加密算法和加密密鑰可以公開，系統(tǒng)保密安全性完全依賴于秘密的解密密鑰。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制2.4.2公開鑰密碼的基本思想

公開鑰密碼系統(tǒng)的每個用戶Ｕ選擇一對密鑰k、k′，分別稱為公開鑰和秘密鑰，并構(gòu)造出他自己的加密算法Ｅk和解密算法Ｄk′，Ｅk和Ｄk′應(yīng)使得對每個可能的明文m成立：第2章信息安全核心：密碼技術(shù)

非對稱密碼體制每個用戶將他的加密密鑰和加密算法公開，可以象號碼薄一樣公開讓其他用戶查找，而解密密鑰則由用戶自己保密管理。如果用戶Ａ要給用戶Ｂ傳送秘密信息m，Ａ首先從公開密鑰本上查到Ｂ的公開鑰，形成Ｂ的加密算法EB，用EB對明文m加密編碼得密文公開鑰，形成Ｂ的加密算法EB，用EB對明文m加密編碼得密文：第2章信息安全核心：密碼技術(shù)

非對稱密碼體制

并將c發(fā)送給Ｂ。Ｂ接收到密文后，用自己的秘密密鑰確定的解密算法DB來恢復(fù)明文：

這就是一般的公開鑰密碼系統(tǒng)的加密、解密過程。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制一個公開鑰密碼系統(tǒng)滿足前面的三個要求對安全性來說還不充分。Diffie曾建議使用單向陷門函數(shù)來作加密算法。

定義定義在中取值的函數(shù)f稱為一個單向函數(shù)，若它滿足：●對每個x∈，計(jì)算y=f(x)是容易的；●已知方程y=f(x)在中有解，但由y計(jì)算出x是困難的。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制

單向陷門函數(shù)f是有一個秘密陷門的一類特殊的單向函數(shù)。它在一個方向上易于計(jì)算而反方向卻存在計(jì)算是困難的。如果掌握了那個秘密，則容易在另一個方向上計(jì)算出這個函數(shù)。組裝一臺計(jì)算機(jī)對于普通人來說就是單向陷門函數(shù)，對于專業(yè)人員來說則是容易的。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制2.4.3幾個典型的公開鑰密碼系統(tǒng)

Diffie和Hellman在提出公開鑰密碼系統(tǒng)的嶄新概念時，自己還未能解決實(shí)現(xiàn)這種系統(tǒng)的具體方法，但他們的思想很快導(dǎo)致了RSA和背包公開鑰密碼系統(tǒng)的誕生。三十多年來公開鑰密碼系統(tǒng)發(fā)展很快，不斷地有新的或修改的公開鑰密碼系統(tǒng)提出，同時也有很多系統(tǒng)被破譯。下面介紹幾個有代表性的公開鑰密碼系統(tǒng)。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制1.RSA系統(tǒng)

RSA系統(tǒng)是美國麻省理工學(xué)院（MIT）RonRivest、AdiShamir和LeonardAdleman于1978年提出的[RSA，1978]，它是第一個成熟的、迄今為止理論上最成功的公開鑰密碼系統(tǒng)。它的安全性基礎(chǔ)是數(shù)論和計(jì)算復(fù)雜性理論中的下述論斷：求兩個大素數(shù)的乘積是計(jì)算上容易的，但要分解兩個大素數(shù)的積求出它的素因子則是計(jì)算上困難的，它屬于NPI類。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制

★RSA系統(tǒng)的構(gòu)造是選擇兩個大素數(shù)p、q，計(jì)算n=pq，，其中為歐拉函數(shù)，并選擇一個整數(shù)e，它滿足，并求出滿足：的整數(shù)d，這只要用歐幾里德算法通過次運(yùn)算就可求出d。則RSA系統(tǒng)的公開鑰為，秘密鑰為，明文消息m滿足，加密過程為解密過程為第2章信息安全核心：密碼技術(shù)

非對稱密碼體制例

使用RSA算法計(jì)算：如果p=11，q=17，選取e=7，求解密密鑰d。若令明文為m=5，求密文c。驗(yàn)證加解密的正確性。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制解：p=11，q=17，那么n=pq=187加密密鑰e=7，與互素，那么，通過擴(kuò)展的歐幾里德算法（參見節(jié)），可以求得解密密鑰公開e和n，將d作為私鑰保密，舍棄p和q。當(dāng)m=5，則加密為驗(yàn)證解密正確性所以，使用RSA可以正確進(jìn)行公開密鑰加解密。第2章信息安全核心：密碼技術(shù)

非對稱密碼體制2.背包系統(tǒng)

背包系統(tǒng)是第一個公開密鑰加密算法。它由RalphMerkle和MartinHellman于1978年基于求解背包問題的難解性提出，它只能用于加密，后來，Shamir將它改進(jìn)使之也能用于數(shù)字簽名。背包算法的安全性起源于背包問題，它是一個NP完全問題。盡管該算法后來發(fā)現(xiàn)是不安全的，但由于它證明了如何將NP完全問題用于公開密鑰密碼學(xué)，所以背包問題值得進(jìn)行學(xué)習(xí)。第2章信息安全核心：密碼技術(shù)