Security-04-密碼技術(shù)-現(xiàn)代密碼學(xué)-DES-智能信息安全課件

智能信息安全

IntelligentInformationSecurity孫松林北京郵電大學(xué)

Email: slsun@智能信息安全

IntelligentInformatio密碼技術(shù)–

現(xiàn)代密碼學(xué)1，密碼學(xué)簡(jiǎn)介2，密碼系統(tǒng)模型3，古典密碼4，對(duì)稱密鑰（單鑰）密碼體制5，非對(duì)稱密鑰（公鑰）密碼體制密碼技術(shù)–現(xiàn)代密碼學(xué)1，密碼學(xué)簡(jiǎn)介現(xiàn)代密碼學(xué)分類對(duì)稱密鑰密碼(單鑰密碼)DES－3DESFEAL（快速數(shù)據(jù)加密算法）IDEAAES非對(duì)稱密鑰密碼(公鑰密碼/雙鑰密碼)RSA現(xiàn)代密碼學(xué)分類對(duì)稱密鑰密碼(單鑰密碼)古典密碼學(xué)特點(diǎn)要求的計(jì)算強(qiáng)度小DES之前以字母表為主要加密對(duì)象置換和代替技術(shù)數(shù)據(jù)安全基于算法的保密密碼分析方法基于明文的可讀性以及字母及其組合的頻率特性古典密碼學(xué)特點(diǎn)要求的計(jì)算強(qiáng)度小密碼系統(tǒng)模型密碼系統(tǒng)模型現(xiàn)代密碼學(xué)中分組密碼算法

設(shè)計(jì)指導(dǎo)原則Diffusion(發(fā)散)小擾動(dòng)的影響波及到全局明文或密鑰的一位影響密文的多位，密文沒(méi)有統(tǒng)計(jì)特征Confusion(混淆)強(qiáng)調(diào)密鑰的作用增加密文與明文及密鑰之間關(guān)系的復(fù)雜性無(wú)法從數(shù)學(xué)上描述，或從統(tǒng)計(jì)上去分析結(jié)構(gòu)簡(jiǎn)單、易于分析現(xiàn)代密碼學(xué)中分組密碼算法

設(shè)計(jì)指導(dǎo)原則Diffusion(發(fā)4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEALIDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史對(duì)稱密鑰密碼的歷史美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS:NationalBureauofStandards)1973年開始研究除國(guó)防部外的其它部門的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES:DataEncryptionStandard）于1973年5月15日和1974年8月27日先后兩次向公眾發(fā)出了征求加密算法的公告。1975年3月17日DES首次被公布在聯(lián)邦記錄中。對(duì)稱密鑰密碼的歷史美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS:Nationa對(duì)稱密鑰密碼的歷史1977年1月15日美國(guó)政府決定采納IBM公司設(shè)計(jì)的方案作為非機(jī)密數(shù)據(jù)的正式數(shù)據(jù)加密標(biāo)準(zhǔn)DES，被正式批準(zhǔn)并作為美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)，即FIPS-46，同年7月15日開始生效。該方案是在1971年，由HorstFeistel領(lǐng)導(dǎo)的IBM密碼研究項(xiàng)目組研究出的LUCIFER算法，并已應(yīng)用于商業(yè)領(lǐng)域。對(duì)稱密鑰密碼的歷史1977年1月15日美國(guó)政府決定采納IBM對(duì)稱密鑰密碼的歷史規(guī)定日后由美國(guó)國(guó)家保密局（nationalsecurityagency,NSA）作評(píng)估，并重新批準(zhǔn)它是否繼續(xù)作為聯(lián)邦加密標(biāo)準(zhǔn)。在1994年1月的評(píng)估中，美國(guó)決定1998年12月以后將不再使用DES。對(duì)稱密鑰密碼的歷史規(guī)定日后由美國(guó)國(guó)家保密局（nationa對(duì)稱密鑰密碼的歷史1997年4月15日，美國(guó)NIST(NationalInstituteofStandardsandTechnology)發(fā)起征集AES（advancedencryptionstandard）的活動(dòng)，并為此成立了AES工作小組。此次活動(dòng)的目的是確定一個(gè)非保密的、可以公開技術(shù)細(xì)節(jié)的、全球免費(fèi)使用的分組密碼算法，以作為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。1997年9月12日，美國(guó)聯(lián)邦登記處公布了正式征集AES候選算法的通告。對(duì)稱密鑰密碼的歷史1997年4月15日，美國(guó)NIST(Na對(duì)稱密鑰密碼的歷史1998年8月12日，在首屆AES候選會(huì)議（firstAEScandidateconference）上公布了AES的15個(gè)候選算法，任由全世界各機(jī)構(gòu)和個(gè)人攻擊和評(píng)論，這15個(gè)候選算法是CAST256、CRYPTON、E2、DEAL、FROG、SAFER+、RC6、MAGENTA、LOKI97、SERPENT、MARS、Rijndael、DFC、Twofish、HPC。對(duì)稱密鑰密碼的歷史1998年8月12日，在首屆AES候選會(huì)議Security_04_密碼技術(shù)-現(xiàn)代密碼學(xué)-DES-智能信息安全課件對(duì)稱密鑰密碼的歷史1999年3月，在第2屆AES候選會(huì)議（secondAEScandidateconference）上經(jīng)過(guò)對(duì)全球各密碼機(jī)構(gòu)和個(gè)人對(duì)候選算法分析結(jié)果的討論，從15個(gè)候選算法中選出了5個(gè)：RC6、Rijndael、SERPENT、Twofish和MARS。對(duì)稱密鑰密碼的歷史1999年3月，在第2屆AES候選會(huì)議（s對(duì)稱密鑰密碼的歷史2000年4月13日至14日，召開了第3屆AES候選會(huì)議（thirdAEScandidateconference），繼續(xù)對(duì)最后5個(gè)候選算法進(jìn)行討論。2000年10月2日，NIST宣布Rijndael作為新的AES。對(duì)稱密鑰密碼的歷史2000年4月13日至14日，召開了第3屆對(duì)稱密鑰密碼的歷史Rijndael由比利時(shí)的JoanDaemen和VincentRijmen設(shè)計(jì)，開發(fā)者提出以下幾種發(fā)音供選擇“ReignDahl”，“Raindoll”和“RhineDahl”。對(duì)稱密鑰密碼的歷史Rijndael由比利時(shí)的JoanDa4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEALIDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DES概述1973/1974年提出加密算法要達(dá)到的目的（通常稱為DES密碼算法要求）主要為以下四點(diǎn)： （1）提供高質(zhì)量的數(shù)據(jù)保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺(jué)的修改； （2）具有相當(dāng)高的復(fù)雜性，使得破譯的開銷超過(guò)可能獲得的利益，同時(shí)又要便于理解和掌握； （3）DES密碼體制的安全性應(yīng)該不依賴于算法的保密，其安全性僅以加密密鑰的保密為基礎(chǔ)； （4）實(shí)現(xiàn)經(jīng)濟(jì)，運(yùn)行有效，并且適用于多種完全不同的應(yīng)用。DES概述1973/1974年提出加密算法要達(dá)到的目的（通常DES概述1977年由美國(guó)的標(biāo)準(zhǔn)化局(NBS，現(xiàn)為NIST)采納64位數(shù)據(jù)分組、56位密鑰歷史：IBM在60年代啟動(dòng)了LUCIFER項(xiàng)目，當(dāng)時(shí)的算法采用128位密鑰改進(jìn)算法，降低為56位密鑰，IBM提交給NBS(NIST)DES概述1977年由美國(guó)的標(biāo)準(zhǔn)化局(NBS，現(xiàn)為NIST)4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEALIDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史Feistel結(jié)構(gòu)圖Feistel結(jié)構(gòu)圖Feistel結(jié)構(gòu)定義加密:Li=Ri-1;Ri=Li-1F(Ri-1,Ki)解密:Ri-1=LiLi-1=RiF(Ri-1,Ki)=RiF(Li,Ki)Feistel結(jié)構(gòu)定義加密:Li=Ri-1;RiFeistel結(jié)構(gòu)分析數(shù)據(jù)分組Blocksize(64128)密鑰長(zhǎng)度Keysize(56128~256)輪數(shù)Numberofrounds(16)該結(jié)構(gòu)的關(guān)鍵:子密鑰SubkeygenerationF函數(shù)Roundfunction(F)Feistel結(jié)構(gòu)分析數(shù)據(jù)分組Blocksize(64Feistel結(jié)構(gòu)優(yōu)點(diǎn)易于軟硬件實(shí)現(xiàn)結(jié)構(gòu)簡(jiǎn)單易于分析Feistel結(jié)構(gòu)優(yōu)點(diǎn)易于軟硬件實(shí)現(xiàn)4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEALIDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史S-DESSimplifiedDES方案，簡(jiǎn)稱S-DES方案。它是一個(gè)供教學(xué)而非安全的加密算法，它與DES的特性和結(jié)構(gòu)類似，但參數(shù)小。S-DESSimplifiedDES方案，簡(jiǎn)稱S-DES方

加密S-DES方案示意圖10bit密鑰

解密8bit明文P108bit明文IP移位IP-1P8fkfkSWSW移位P8fkfkIPIP-18bit密文8bit密文K2K2K1K1IP:InitialPermutation

初始置換SW:交換函數(shù)P10:10bit置換P8:8bit置換加密S-DES方案示意圖10bit密鑰解密8biIP-1*fk2*SW*fk1*IP

也可寫為

密文=IP-1（fk2(SW(fk1(IP(明文)))))

其中 K1=P8(移位(P10(密鑰K)))

K2=P8(移位(移位(P10(密鑰K))))解密算法的數(shù)學(xué)表示：

明文=IP-1（fk1(SW(fk2(IP(密文)))))S-DES加密算法的數(shù)學(xué)表示IP-1*fk2*SW*fk1*IP

也可寫為

密文=IP-S-DES加解密算法涉及五個(gè)函數(shù)：

(1)初始置換IP(initialpermutation)

(2)復(fù)合函數(shù)fk1，它由密鑰K1確定，具有置換和代換的運(yùn)算。 (3)交換函數(shù)SW

(4)復(fù)合函數(shù)fk2，它由密鑰K2確定，具有置換和代換的運(yùn)算。 (5)初始置換IP的逆置換IP-1S-DES加解密算法涉及五個(gè)函數(shù)：

(1)初始置換IP(in初始置換IP函數(shù):IP=12345678 26314857

末端算法的置換為IP的逆置換:

IP-1=1234567841357286

易見(jiàn)IP-1(IP(X))=XS-DES－－IP函數(shù)初始置換IP函數(shù):S-DES－－IP函數(shù)S-DES－－復(fù)合函數(shù)fk 復(fù)合函數(shù)fk，是加密方案中最重要的部分，它可表示為：

fk(L,R)=(LF(R,SK),R)其中

L、R為8位輸入，左右各為4位。

F為從4位集到4位集的一個(gè)映射，并不要求是單射。

SK（SubKey）為子密鑰，左圖中為K1。IPE/P+S0S1P4+LR4K1844F4fkS-DES－－復(fù)合函數(shù)fk 復(fù)合函數(shù)fk，是加密方案S-DES加密圖IPE/P+S0S1P4+LR4K1844fkF4IP:InitialPermutation初始置換E/P：擴(kuò)張/置換S0、S1：S盒P4：4bit置換8bit明文22S-DES加密圖IPE/P+S0S1P4+LR4K1844fS-DES加密圖(續(xù))

E/P+S0S18K2P4+IP-18-bit密文4844fkF44228SWSW：交換函數(shù)S-DES加密圖(續(xù)) E/P+S0S18K2P4+IP-S-DES－－F函數(shù)1，E/P（R）2，與K1異或運(yùn)算3，S0，S14，P4E/P+S0S1P4R4K1844F22S-DES－－F函數(shù)1，E/P（R）E/P+S0SS-DES－－E/P運(yùn)算 輸入一個(gè)4位數(shù)（n1,n2,n3,n4），進(jìn)行擴(kuò)張/置換（E/P）運(yùn)算：

41232341

直觀表現(xiàn)形式為：

n4,n1,n2,n3 n2,n3,n4,n1S-DES－－E/P運(yùn)算 輸入一個(gè)4位數(shù)（n1,n2S-DES－－子密鑰異或運(yùn)算

8-bit子密鑰K1=(k11,k12,k13,k14,k15,k16,k17,k18)與E/P的結(jié)果作異或運(yùn)算得：n4+k11,n1+k12,n2+k13,n3+k14n2+k15,n3+k16,n4+k17,n1+k18把它們重記為8位：P0,0P0,1P0,2P0,3P1,0P1,1P1,2P1,3

上述第一行輸入進(jìn)S盒S0，產(chǎn)生2位的輸出； 第二行輸入進(jìn)S盒S1，產(chǎn)生2位的輸出。S-DES－－子密鑰異或運(yùn)算 8-bit子密鑰K1=(kS-DES－－S0、S1運(yùn)算S盒按下述規(guī)則運(yùn)算： 將第1和第4的輸入比特做為2位數(shù)，指示為S盒的一個(gè)行；將第2和第3的輸入比特做為S盒的一個(gè)列，如此確定為S盒矩陣的（i,j）數(shù)。例如：（P0,0,P0,3）=(00),(P0,1,P0,2)=(10)

由此確定S0中的第0行2列（0，2）其系數(shù)為3，因此記為（11）輸出。S-DES－－S0、S1運(yùn)算S盒按下述規(guī)則運(yùn)算：S-DES－－P4置換1 2 3 42 4 3 1S-DES－－P4置換1 2 3 4S-DES－－密鑰的生成設(shè)10bit的密鑰為（k1,k2,…,k10) 置換P10(k1,k2,…,k10) =(k3,k5,k2,k7,k4,k10,k1,k9,k8,k6) 置換P8(k1,k2,…,k10) =(k6,k3,k7,k4,k8,k5,k10,k9)

LS-1為循環(huán)左移1位，LS-2為循環(huán)左移2位例： 按照上述條件，若K選為(1010000010)， 產(chǎn)生的兩個(gè)子密鑰分別為 K1=(10100100) K2=(01000011)P10LS-1LS-1LS-2LS-2P8P8K18K25555855S-DES－－密鑰的生成設(shè)10bit的密鑰為（k1

加密S-DES方案示意圖10bit密鑰

解密8bit明文P108bit明文IP移位IP-1P8fkfkSWSW移位P8fkfkIPIP-18bit密文8bit密文K2K2K1K1加密S-DES方案示意圖10bit密鑰課堂練習(xí)用S-DES算法對(duì)下列明文數(shù)據(jù)進(jìn)行加密：Plaintext(8bit):00010111密鑰10bit，生成規(guī)則為班內(nèi)序號(hào)，不足補(bǔ)零！如：班內(nèi)序號(hào)為10號(hào)，則密鑰為0000001010請(qǐng)寫出各步步驟！課堂練習(xí)用S-DES算法對(duì)下列明文數(shù)據(jù)進(jìn)行加密：4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEALIDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DES加密過(guò)程如何解密？DES加密過(guò)程如何解密？DES輪加密的簡(jiǎn)圖

Li=Ri-1 Ri=Li-1F(Ri-1,Ki) i=1,2,…,16Li-1Ri-1F+LiRiKiDES輪加密的簡(jiǎn)圖 Li=Ri-1Li-1Ri-1DES輪加密DES輪加密S-DES的F函數(shù)1，E/P（R）2，與K1異或運(yùn)算3，S0，S14，P4E/P+S0S1P4R4K1844F22S-DES的F函數(shù)1，E/P（R）E/P+S0S1P4R4KDES的關(guān)鍵/重要技術(shù)IP密鑰F函數(shù)DES的關(guān)鍵/重要技術(shù)IPDES算法－－IPDES算法－－IPDES算法－－逆IPDES算法－－逆IPDES算法－－IP&逆IP5850423426181026052443628201246254463830221466456484032241685749413325179159514335271911361534537292113563554739312315740848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725輸入的第58位作為第1位輸入的第50位作為第2位輸入的第42位作為第3位輸入的第40位作為第1位輸入的第8位作為第2位輸入的第48位作為第3位DES算法－－IP&逆IP585042DES算法－－IP&逆IP123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555612345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565850423426181026052443628201246254463830221466456484032241685749413325179161584537292113563554739312315740848165624643239747155523633138646145422623037545135321612936444125220602834242105018582633141949175725IPIP-1DES算法－－IP&逆IP12DES算法－－密鑰KPC-1C0D0LS1LS1C1D1LS2LS2PC-2K1C2D2LS3LS3PC-2K2DES算法－－密鑰KPC-1C0D0LS1LS1C1DES算法－－密鑰64bit密鑰置換選擇1（PC1）C0（28bit）D0（28bit）循環(huán)左移1位循環(huán)左移1位C1（28bit）D1（28bit）循環(huán)左移X位循環(huán)左移X位置換選擇2置換選擇2Ci（28bit）Di（28bit）(56bit)(56bit)Ki

K0

(48bit)(48bit)(56bit)PC－－置換選擇LS－－循環(huán)左移DES算法－－密鑰64bit密鑰置換選擇1（PC1）循環(huán)左移位數(shù)表迭代次數(shù)循環(huán)左移位數(shù)迭代次數(shù)循環(huán)左移位數(shù)119121102321124212252132621427215282161DES算法－－密鑰循環(huán)左移位數(shù)表迭代次數(shù)循環(huán)左移位數(shù)迭代次數(shù)循環(huán)左移位數(shù)119DES算法－－密鑰574941332517915850423426181025951433527191136052443663554739312315762544638302214661534537292113528201241417112415328156211023191242681672720132415231374755304051453348444939563453464250362932PC-1置換PC-2置換DES算法－－密鑰57494133251791585DES算法－－密鑰置換選擇1工作過(guò)程和作用：1，64位密鑰分為8個(gè)字節(jié)，每個(gè)字節(jié)的前7位用于加密過(guò)程，第8位是奇偶校驗(yàn)位。置換選擇1從64位密鑰中去掉這8個(gè)奇偶校驗(yàn)位。2，將其余56位數(shù)據(jù)打亂重排DES算法－－密鑰置換選擇1工作過(guò)程和作用：DES算法－－密鑰將主密鑰K順序地每7bit歸為一組，共計(jì)8組，每一組都按奇校驗(yàn)在后面補(bǔ)上一個(gè)校驗(yàn)bit：0或1。(奇校驗(yàn)：含奇數(shù)個(gè)“1”則校驗(yàn)位為“0”，含偶數(shù)個(gè)“1”則校驗(yàn)位為“1”)這樣，K被擴(kuò)展為一個(gè)長(zhǎng)是64的比特串K+，可用16位十六進(jìn)制數(shù)表示。K+由安全信道傳送，其帶上8個(gè)校驗(yàn)比特（分別在第8位、16位、…、64位）就是為了對(duì)傳輸過(guò)程中可能出錯(cuò)進(jìn)行檢測(cè)和校對(duì)。DES算法－－密鑰將主密鑰K順序地每7bit歸為一組置換選擇1框圖DES算法－－密鑰置換選擇1框圖DES算法－－密鑰DES算法－－密鑰取16進(jìn)制明文X：0123456789ABCDEF密鑰K為：133457799BBCDFF1去掉奇偶校驗(yàn)位以二進(jìn)制形式表示的密鑰是00010010011010010101101111001001101101111011011111111000應(yīng)用IP，我們得到：

L0=11001100000000001100110011111111

L1=R0=11110000101010101111000010101010然后進(jìn)行16輪加密。最后對(duì)L16,R16使用IP-1得到密文：85E813540F0AB405DES算法－－密鑰取16進(jìn)制明文X：01234DES算法－－密鑰去掉奇偶校驗(yàn)位以二進(jìn)制形式表示的密鑰是00010010011010010101101111001001101101111011011111111000其十六進(jìn)制表示為0001001100110100010101110111100110011011101111001101111111110001密鑰K為：133457799BBCDFF1DES算法－－密鑰去掉奇偶校驗(yàn)位以二進(jìn)制形式表示的密DES算法－－F函數(shù)Li-1

（32bit）Ri-1

（32bit）選擇擴(kuò)展運(yùn)算E盒48bit寄存器48bit寄存器選擇壓縮運(yùn)算S盒32bit寄存器置換運(yùn)算P盒Ri=Li-1⊕f(Ri-1,ki)

（32bit）（32bit）⊕⊕Li

=Ri-1輪開始：64bit分成左右兩半子密鑰Ki

（48bit）DES算法－－F函數(shù)Li-1（32bit）Ri-1DES算法－－F函數(shù)

E盒(ExpandBox)將輸入的32bit塊擴(kuò)展到48bit的輸出塊；48bit的輸出塊再分成8個(gè)6bit塊；0102030405060708091011121314151617181920212223242526272829303132010203040506070809101112131415161718192021222324252627282930313232040812162024280509131721252901E盒擴(kuò)展位擴(kuò)展位固定位DES算法－－F函數(shù)

E盒(ExpandBox)將輸DES算法－－F函數(shù)

S盒(SubstitutionBox)48bit塊通過(guò)S盒壓縮成32bit塊48bit寄存器32bit寄存器

S1S2S3S4S5S6S7S86bit4bit共8個(gè)S盒DES算法－－F函數(shù)

S盒(SubstitutionDES算法－－F函數(shù)S1盒1441312151183106125907015741421311061211953841148136211151297310501512824917511314100613S2盒1518146113497213120510313471528141201106911501471110413158126932151381013154211671205149DES算法－－F函數(shù)S1盒144131DES算法－－F函數(shù)S3盒1009146315511312711428137093461028514121115113649815301112125101471101306987415143115212S4盒7131430691012851112415138115615034721211014910690121171315131452843150610113894511127214S5盒2124171011685315130149141121247131501510398642111101378159125630141181271142136150910453DES算法－－F函數(shù)S3盒100914DES算法－－F函數(shù)S6盒1211015926801334147511101542712956113140113891415528123704101131164321295151011141760813S7盒4112141508133129751061130117491101435122158614111312371410156805926111381410795015142312S8盒1328461511110931450127115138103741256110149271141912142061013153582114741081315129035611DES算法－－F函數(shù)S6盒1211015DES算法－－F函數(shù)S1盒1441312151183106125907015741421311061211953841148136211151297310501512824917511314100613S2盒1518146113497213120510313471528141201106911501471110413158126932151381013154211671205149作用：將6個(gè)輸入位映射為4個(gè)輸出位；方法：若定義a1a2a3a4a5a6，將a1a6組成2位二進(jìn)制數(shù)，對(duì)應(yīng)S盒表中的行號(hào)；將a2a3a4a5組成一個(gè)4位的2進(jìn)制數(shù)，對(duì)應(yīng)S盒表中的列號(hào)；映射到交叉點(diǎn)的數(shù)據(jù)就是該S盒的輸出。S1盒輸入為101011的輸出是？？？（11）第3行（0101）第5列表內(nèi)數(shù)據(jù)為13輸出（1101）DES算法－－F函數(shù)S1盒144131DES算法－－F函數(shù)

P盒（Permutaion）P置換的目的是：提供雪崩效應(yīng)（提高Diffusion發(fā)散性能）；明文或密鑰的一點(diǎn)小的變動(dòng)都引起密文的較大變化。1607202129122817011523260518311002082414322703091913300622110425DES算法－－F函數(shù)

P盒（Permutaion）P置換DES算法的幾點(diǎn)討論盒的由來(lái)S盒密鑰DES算法的幾點(diǎn)討論盒的由來(lái)盒的由來(lái)Shannon在1949的文章中，介紹了替換-置換網(wǎng)絡(luò)的思想(S-P)networks這種思想形成了現(xiàn)代密碼的基礎(chǔ)S-Pnetwork替換-置換乘積密碼的現(xiàn)代形式S-Pnetworks是基于下列兩種最基本的密碼運(yùn)算：替換（Substitution）置換（Permutation）盒的由來(lái)Shannon在1949的文章中，介紹了替換-置換S-BOXS盒一個(gè)二進(jìn)制字用其它二進(jìn)制字替換這種替換函數(shù)就構(gòu)成密碼可以看作是一個(gè)大的查表運(yùn)算S-BOXS盒一個(gè)二進(jìn)制字用其它二進(jìn)制字替換這種替換函數(shù)P-BOXP盒二進(jìn)制字次序被打亂，重新排序的方法構(gòu)成密碼P-BOXP盒二進(jìn)制字次序被打亂，重新排序的方法構(gòu)成密盒的本質(zhì)就是空間變換Shannon把這兩種運(yùn)算組合在一起，即一些S-boxes由P-box連接，這種變換叫做混合變換（mixingtransformations）盒的本質(zhì)就是空間變換Shannon把這兩種運(yùn)算組合在一起，實(shí)際實(shí)現(xiàn)實(shí)際中，我們需要加密，也需要解密，因此，有兩種方法：1，定義每個(gè)替換、置換的逆，這樣增加了復(fù)雜度2，定義一種結(jié)構(gòu)，容易求逆，這樣可以使用基本的相同編碼或硬件用于加密和解密實(shí)際實(shí)現(xiàn)實(shí)際中，我們需要加密，也需要解密，因此，有兩種方法：實(shí)際實(shí)現(xiàn)

“好的”密碼設(shè)計(jì)具有:雪崩特性,完備性,不可預(yù)料性(avalanche,completeness,unpredictability)差的密碼設(shè)計(jì)缺乏隨機(jī)性,具有太大的可預(yù)料性幾乎所有現(xiàn)代分組密碼用更小的查表（S盒）合并其他變換（線性變換）模仿這樣一個(gè)大的隨機(jī)查表。這種做法實(shí)際上是安全性和可接受的復(fù)雜性的一個(gè)折中。實(shí)際實(shí)現(xiàn)“好的”密碼設(shè)計(jì)具有:雪崩特性,完備性,不可預(yù)料DES算法－－S盒DES中S盒運(yùn)算是非線性的，不易于分析，它提供了更好的安全性；所以S盒是算法的關(guān)鍵所在。提供了密碼算法所必需的混亂作用。DES算法－－S盒DES中S盒運(yùn)算是非線性的，不易于分析S盒的設(shè)計(jì)原則1976年，美國(guó)NSA披露了S盒的下述幾條設(shè)計(jì)原則：每個(gè)S盒的每一行是整數(shù)0~15的一個(gè)全排列；每個(gè)S盒的輸出都不是其輸入的線性或仿射函數(shù)；改變?nèi)我籗盒任意1bit的輸入，其輸出至少有2bit發(fā)生變化；對(duì)任一S盒的任意6bit輸入x,S(x)與S(x001100)至少有2bit不同；對(duì)任一S盒的任意6bit輸入x，及,{0,1}，都有S(x)≠S(x1100)；對(duì)任一S盒，當(dāng)它的任一位輸入保持不變，其它5位輸入隨意變化時(shí)，所有諸4bit輸出中，0與1的總數(shù)接近相等。S盒的設(shè)計(jì)原則1976年，美國(guó)NSA披露了S盒的下述幾條設(shè)計(jì)S盒的問(wèn)題S盒的設(shè)計(jì)原理未知公眾仍然不知道S盒的構(gòu)造中是否還使用了進(jìn)一步的設(shè)計(jì)準(zhǔn)則。密鑰長(zhǎng)度是否足夠？迭代的長(zhǎng)度？（8、16、32？）S盒的問(wèn)題S盒的設(shè)計(jì)原理未知密鑰密鑰本身的缺陷對(duì)DES的攻擊差分密碼分析線性密碼分析字典攻擊窮舉破譯密鑰密鑰本身的缺陷弱密鑰與半弱密鑰弱密鑰:EKEK=I半弱密鑰:EK1=EK2DES存在4個(gè)弱密鑰至少存在12個(gè)半弱密鑰弱密鑰與半弱密鑰差分密碼分析破解DES:247個(gè)選擇明文(255個(gè)已知明文)破解Lucifer(18輪128位):24個(gè)選擇明文＋221次計(jì)算DES對(duì)差分密碼分析的抵抗力很強(qiáng)差分密碼分析破解DES:247個(gè)選擇明文(255個(gè)已知明文線性密碼分析破解DES:243個(gè)已知明文DES對(duì)線性密碼分析的抵抗力稍弱線性密碼分析破解DES:243個(gè)已知明文字典攻擊考慮選擇明文攻擊DES塊大小:64位,264~1020計(jì)算機(jī)能力為100MIPS(108)/秒,1萬(wàn)臺(tái)計(jì)算機(jī)協(xié)同工作一天，計(jì)算能力為: 108*10000*24*3600~1017 1020/1017=1000天適用于任意64位塊的加密字典攻擊考慮選擇明文攻擊窮舉破譯DES密鑰長(zhǎng)度:56位,256~1017計(jì)算機(jī)能力為100MIPS次(108)/秒,1萬(wàn)臺(tái)計(jì)算機(jī)協(xié)同工作一天，計(jì)算能力為: 108*10000*24*3600~10171017/1017=1天窮舉破譯DES密鑰長(zhǎng)度:56位,256~1017DES算法具有比較高安全性，到目前為止，除了用窮舉搜索法對(duì)DES算法進(jìn)行攻擊外，還沒(méi)有發(fā)現(xiàn)更有效的辦法。DES算法具有比較高安全性，到目前為止，除了用窮舉搜索法對(duì)D密鑰搜索機(jī)而56位長(zhǎng)的密鑰的窮舉空間為256，如果一臺(tái)計(jì)算機(jī)的速度是每一秒種檢測(cè)一百萬(wàn)個(gè)密鑰，則它搜索完全部密鑰就需要將近228.5年的時(shí)間。在對(duì)DES安全性的批評(píng)意見(jiàn)中，較一致的看法是DES的密鑰太短！其長(zhǎng)度56bit，致使密鑰量?jī)H為256≈1017，不能抵抗窮搜攻擊，事實(shí)證明的確如此。密鑰搜索機(jī)1997年1月28日，美國(guó)RSA數(shù)據(jù)安全公司在RSA安全年會(huì)上發(fā)布了一項(xiàng)“秘密密鑰挑戰(zhàn)”競(jìng)賽，分別懸賞1000美金、5000美金和10000美金用于攻破不同長(zhǎng)度的RC5密碼算法；同時(shí)還懸賞10000美金破譯密鑰長(zhǎng)度為56bit的DES。RSA公司發(fā)起這場(chǎng)挑戰(zhàn)賽是為了調(diào)查在Internet上分布式計(jì)算的能力，并測(cè)試不同密鑰長(zhǎng)度的RC5算法和密鑰長(zhǎng)度為56bit的DES算法的相對(duì)強(qiáng)度。1997年1月28日，美國(guó)RSA數(shù)據(jù)安全公司在RSA安全年會(huì)結(jié)果是：密鑰長(zhǎng)度為40bit和48bit的RC5算法被攻破；美國(guó)克羅拉多州的程序員Verser從1997年3月13日起用了96天的時(shí)間，在Internet上數(shù)萬(wàn)名志愿者的協(xié)同工作下，于1997年6月17日成功地找到了DES的密鑰，獲得了RSA公司頒發(fā)的10000美金的獎(jiǎng)勵(lì)。這一事件表明，依靠Internet的分布式計(jì)算能力，用窮搜方法破譯DES已成為可能。因此，隨著計(jì)算機(jī)能力的增強(qiáng)與計(jì)算技術(shù)的提高，必須相應(yīng)地增加密碼算法的密鑰長(zhǎng)度。結(jié)果是：密鑰長(zhǎng)度為40bit和48bit的RC5算法被攻破；1977年，Diffe和Hellman曾建議制造每秒能測(cè)試106個(gè)密鑰的VLSI芯片，將這樣的100×104個(gè)芯片并行操作搜索完整個(gè)密鑰空間大約需1天時(shí)間。他們估計(jì)制造這樣一臺(tái)機(jī)器需耗資大約2000萬(wàn)美金。1977年，Diffe和Hellman曾建議制造每秒能測(cè)試11993年，Wiener給出了一個(gè)詳細(xì)的設(shè)計(jì)密鑰搜索機(jī)的方案。他建議制造每秒能測(cè)試5×107個(gè)密鑰的芯片，基于這種芯片的機(jī)器將流水作業(yè)，使得16次加密同時(shí)發(fā)生。目前制造這種芯片每片需耗資10.5美金，耗資10萬(wàn)美金能建造一個(gè)由5760個(gè)芯片組成的框架，這使得搜索一個(gè)密鑰平均大約需要1.5天。使用十個(gè)這樣框架的機(jī)器將耗資100萬(wàn)美金，搜索一個(gè)密鑰平均大約3.5小時(shí)。1993年，Wiener給出了一個(gè)詳細(xì)的設(shè)計(jì)密鑰搜索機(jī)的方案據(jù)新華社1998年7月22日消息,電子邊境基金學(xué)會(huì)(EFF)使用一臺(tái)25萬(wàn)美金的電腦在56小時(shí)內(nèi)破譯了56位密鑰的DES。據(jù)新華社1998年7月22日消息,電子邊境基金學(xué)會(huì)(EFF)計(jì)算能力（軟件和硬件）的提高使得DES變的越來(lái)越不安全。計(jì)算能力（軟件和硬件）的提高使得DES變的越來(lái)越不安全。MeasuresofcomputationalefficiencyCouldconsiderNumberofadditionsNumberofmultiplicationsAmountofmemoryrequiredScalabilityandregularityForthepresentdiscussionwe’llfocusmostonnumberofmultiplicationsasameasureofcomputationalcomplexityMorecostlythanadditionsforfixed-pointprocessorsSamecostasadditionsforfloating-pointprocessors,butnumberofoperationsiscomparableMeasuresofcomputationaleffi1st:SystemName:JaguarSite:OakRidgeNationalLaboratorySystemFamily:CrayXTSystemComputer:CrayXT5-HEOpteronSixCore2.6GHzVendor:CrayInc.Processor:AMDx86_64OpteronSixCore2600MHz(10.4GFlops)Cores:224162Rpeak(GFlops):2331000OperatingSystem:LinuxRmax(GFlops):17590001st:Rpeakatheoreticalpeakperformance.Itisdeterminedbycountingthenumberoffloating-pointadditionsandmultiplications(infullprecision)thatcanbecompletedduringaperiodoftime,usuallythecycletimeofthemachine.Forexample,anIntelItanium2at1.5GHzcancomplete4floatingpointoperationspercycleoratheoreticalpeakperformanceof6GFlop/s.Rpeakatheoreticalpeakperfor曙光星云2nd:SystemName:NebulaeSite:NationalSupercomputingCentreinShenzhen(NSCS)SystemFamily:DawningClusterSystemComputer:DawningTC3600Blade,IntelX5650,NVidiaTeslaC2050GPUVendor:DawningProcessor:IntelEM64TXeonX56xx(Westmere-EP),SixCore2.6GHz

Cores:120640Rpeak(GFlops):2984300OperatingSystem:LinuxRmax(GFlops):1271000曙光星云2nd:天河一號(hào)7th:SystemName:TianHe-1Site:NationalSuperComputerCenterinTianjin/NUDTSystemFamily:NUDTTH-1ClusterSystemComputer:NUDTTH-1Cluster,XeonE5540/E5450,ATIRadeonHD48702,InfinibandVendor:NUDTProcessor:IntelEM64TXeonE55xx(Nehalem-EP),FourCore2.53GHz

Cores:71680Rpeak(GFlops):1206190OperatingSystem:LinuxRmax(GFlops):563100天河一號(hào)7th:SunSonglinBeijingUniversityofPostsandTelecommunications98銀河一號(hào)1983年12月22日國(guó)防科大，中國(guó)第一臺(tái)每秒鐘運(yùn)算一億次以上的巨型計(jì)算機(jī)1993年，中國(guó)第一臺(tái)10億次巨型銀河計(jì)算機(jī)Ⅱ型通過(guò)鑒定。1994年，在國(guó)家氣象局投入正式運(yùn)行，用于天氣中期預(yù)報(bào)。SunSonglinBeijingUniversityChina24/500兩所高校：吉林大學(xué)、南京大學(xué)China24/500AsiaJapan：18/500Russia：11/500India:5/500HongKong、SouthKorea1/500AsiaJapan：Euro.UnitedKingdom:38/500Germany：24/5005thGermanyFrance:27/500Euro.UnitedKingdom:UnitedStates7/10 282/500Vendors(>10):IBM: 196 39.20%HP: 186 37.20%Cray: 21 4.20%SGI: 17 3.40%Dell: 17 3.40%Sun: 12 2.40%UnitedStates7/10 282/500OSFamily:Linux 455 91.00%Unix 22 4.40%Windows 5 1.00%ProcessorFamily:IntelEM64T 401 80.20%AMDx86_64 49 9.80%Power 42 8.40%OSFamily:WhoseApple？WhoseApple？Computation什么是計(jì)算？根據(jù)圖靈的研究，直觀地說(shuō)所謂計(jì)算就是計(jì)算者人或機(jī)器對(duì)一條兩端可無(wú)限延長(zhǎng)的紙帶上的一串0和1執(zhí)行指令，一步一步地改變紙帶上的0或1經(jīng)過(guò)有限步驟，最后得到一個(gè)滿足預(yù)先規(guī)定的符號(hào)串的變換過(guò)程。Thepurposeofcomputingisinsight，notnumbers----RichardWesleyHammingComputation什么是計(jì)算？4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEALIDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DES危機(jī)計(jì)算能力（軟件和硬件）的提高使得DES變的越來(lái)越不安全。如何解決？DES危機(jī)計(jì)算能力（軟件和硬件）的提高使得DES變的越來(lái)越不多重DES為了提高DES的安全性，并利用實(shí)現(xiàn)DES的現(xiàn)有軟硬件，可將DES算法在多密鑰下多重使用。二重DES（DoubleDES）三重DES（TripleDES）多重DES為了提高DES的安全性，并利用實(shí)現(xiàn)DES的現(xiàn)有軟硬多重DES 使用三個(gè)或兩個(gè)不同的密鑰對(duì)數(shù)據(jù)塊進(jìn)行三次或兩次加密，加密一次要比進(jìn)行普通加密的三次要快，三重DES的強(qiáng)度大約和168bit的密鑰強(qiáng)度相當(dāng)。三重DES有四種模型：1，DES-EEE3使用三個(gè)不同密鑰順序進(jìn)行三次加密變換。2，DES-EDE3使用三個(gè)不同密鑰依次進(jìn)行加密-解密-加密變換。3，DES-EEE2其中密鑰K1=K3順序進(jìn)行三次加密變換。4，DES-EDE2其中密鑰K1=K3依次進(jìn)行加密-解密-加密變換。多重DES 使用三個(gè)或兩個(gè)不同的密鑰對(duì)數(shù)據(jù)塊進(jìn)行三次或兩次加二重DES二重DES是多重使用DES時(shí)最簡(jiǎn)單的形式。其中明文為P，兩個(gè)加密密鑰為K1和K2，密文為C。解密時(shí)，以相反順序使用兩個(gè)密鑰。二重DES所用密鑰長(zhǎng)度為112比特，強(qiáng)度極大地增加。二重DES二重DES是多重使用DES時(shí)最簡(jiǎn)單的形式。二重DES加密加密K1K2PC加密加密K2K1CP二重DES加密邏輯二重DES解密邏輯二重DES加密加密K1K2PC加密加密K2K1CP二重DES二重DES加解密DES解密與加密使用相同的算法，但子密鑰的使用順序相反。EEPXC加密EECXP解密二重DES二重DES加解密DES解密與加密使用相同的算法，但子密鑰的使二重DES的“BUG”?假設(shè)對(duì)任意兩個(gè)密鑰K1和K2，能夠找出另一密鑰K3，使得那么，二重DES以至多重DES都沒(méi)有意義，因?yàn)樗鼈兣c56比特密鑰的單重DES等價(jià)。如何解決？二重DES的“BUG”?假設(shè)對(duì)任意兩個(gè)密鑰K1和K2，能夠找??！好在這種假設(shè)對(duì)DES并不成立?。槭裁?？如何說(shuō)明（證明）？－－明文<->密文－－密鑰??！好在這種假設(shè)對(duì)DES并不成立??！為什么？明文與密文的映射空間將DES加密過(guò)程64比特分組到64比特分組的映射看作一個(gè)置換，如果考慮264個(gè)所有可能的輸入分組，則密鑰給定后，DES的加密將把每個(gè)輸入分組映射到一個(gè)唯一的輸出分組。否則，如果有兩個(gè)輸入分組被映射到同一分組，則解密過(guò)程就無(wú)法實(shí)施。對(duì)264個(gè)輸入分組，總映射個(gè)數(shù)為。明文與密文的映射空間將DES加密過(guò)程64比特分組到64比特分密鑰另一方面，對(duì)每個(gè)不同的密鑰，DES都定義了一個(gè)映射，總映射數(shù)為256<1017。因此，可驗(yàn)證用兩個(gè)不同的密鑰兩次使用DES，可得一個(gè)新映射，而且這一新映射不出現(xiàn)在單重DES定義的映射中。這一假定已于1992年被證明。所以使用二重DES產(chǎn)生的映射不會(huì)等價(jià)于單重DES加密。密鑰另一方面，對(duì)每個(gè)不同的密鑰，DES都定義了一個(gè)映射，總映二重（多重）DES因此就安全了嗎？對(duì)二重DES有一種稱為中途相遇攻擊(meet-in-the-middle)的攻擊方案，這種攻擊不依賴于DES的任何特性，因而可用于攻擊任何分組密碼。其基本思想如下：二重（多重）DES因此就安全了嗎？對(duì)二重DES有一種稱為中途二重DES加解密DES解密與加密使用相同的算法，但子密鑰的使用順序相反。EEPXC加密EECXP解密二重DES二重DES加解密DES解密與加密使用相同的算法，但子密鑰的使二重DES的中途攻擊如果有那么二重DES的中途攻擊如果有中途攻擊步驟如果已知一個(gè)明文密文對(duì)(P,C)，攻擊的實(shí)施可如下進(jìn)行：（1）首先，用256個(gè)所有可能的K1對(duì)P加密，將加密結(jié)果存入一表并對(duì)表按X排序；（2）然后用256個(gè)所有可能的K2對(duì)C解密，在上述表中查找與C解密結(jié)果相匹配的項(xiàng)；（3）如果找到，則記下相應(yīng)的K1和K2。（4）最后再用一新的明文密文對(duì)(P′,C′)檢驗(yàn)上面找到的K1和K2，用K1和K2對(duì)P′兩次加密，若結(jié)果等于C′，就可確定K1和K2是所要找的密鑰。中途攻擊步驟如果已知一個(gè)明文密文對(duì)(P,C)，攻擊的實(shí)施可如有了密碼,信息就安全了嗎?客戶C要銀行B把￥1M轉(zhuǎn)到商家D的賬上,假定C與B之間使用加密算法足夠安全,共享密鑰KCB只有雙方知道,C信任B,轉(zhuǎn)賬過(guò)程為：CB:KCB(Hi,我是C)BC:KCB(Hi,我是銀行)CB:KCB(我要轉(zhuǎn)賬到D)BC:KCB(OK,轉(zhuǎn)多少?)CB:KCB(￥1M)BC:KCB(OK,已經(jīng)轉(zhuǎn)賬完畢)上述方案是否有漏洞？有了密碼,信息就安全了嗎?客戶C要銀行B把￥1M轉(zhuǎn)到商家D的有了密碼,信息就安全了嗎?客戶C與銀行B的認(rèn)證：CB:{C,RC}BC:{RB,KCB(RC)}CB:{KCB(RB)}…...有了密碼,信息就安全了嗎?客戶C與銀行B的認(rèn)證：有了密碼,信息就安全了嗎?客戶C與銀行B認(rèn)證的攻擊：AB:{C,RA}BA:{RB,KCB(RA)}AB:{KCB(RB)}A=>B:{C,RB}B=>A:{RB2,KCB(RB)}A=>B:{KCB(RB)}…...有了密碼,信息就安全了嗎?客戶C與銀行B認(rèn)證的攻擊：中途攻擊的可能性分析 對(duì)已知的明文P，二重DES能產(chǎn)生264個(gè)可能的密文，而可能的密鑰個(gè)數(shù)為2112，所以平均來(lái)說(shuō)，對(duì)一個(gè)已知的明文，有2112/264=248個(gè)密鑰可產(chǎn)生已知的密文（＝3.55e-15）（誤警次數(shù)極多）。 再經(jīng)過(guò)另外一對(duì)明文密文的檢驗(yàn)，誤報(bào)率將下降到248-64=2-16。所以在實(shí)施中途相遇攻擊時(shí)，如果已知兩個(gè)明文密文對(duì)，則找到正確密鑰的概率為1-2-16（＝99.998%）（誤警次數(shù)極少）。中途攻擊的可能性分析 對(duì)已知的明文P，二重DES能產(chǎn)生264抵抗中途相遇攻擊的一種方法是使用3個(gè)不同的密鑰做3次加密，從而可使已知明文攻擊的代價(jià)增加到2112。然而，這樣又會(huì)使密鑰長(zhǎng)度增加到56×3=168比特，因而過(guò)于笨重。一種實(shí)用的方法是僅使用兩個(gè)密鑰做3次加密，實(shí)現(xiàn)方式為加密\|解密\|加密，簡(jiǎn)記為EDE(encryptdecryptencrypt)此方案在密鑰管理標(biāo)準(zhǔn)ANSIX.917和ISO8732中被采用抵抗中途相遇攻擊的一種方法是使用3個(gè)不同的密鑰做3次加密，從兩個(gè)密鑰的三重DES兩個(gè)密鑰的三重DES兩個(gè)密鑰的三重DES加密解密K1PC兩個(gè)密鑰的三重DES加密邏輯兩個(gè)密鑰的三重DES解密邏輯K2解密K1BA解密加密K1CPK2解密K1BA兩個(gè)密鑰的三重DES加密解密K1PC兩個(gè)密鑰的三重DES加密三個(gè)密鑰的三重DES三個(gè)密鑰的三重DES密鑰長(zhǎng)度為168比特，加密方式為令K3=K2或K1=K2，則變?yōu)橐恢谼ES。三個(gè)密鑰的三重DES已在因特網(wǎng)的許多應(yīng)用（如PGP和S/MIME）中被采用。三個(gè)密鑰的三重DES三個(gè)密鑰的三重DES密鑰長(zhǎng)度為168比特三個(gè)密鑰的三重DESEDPAB加密DECBA解密ECDP三個(gè)密鑰的三重DESEDPAB加密DECBA解密ECDP4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEALIDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史FEAL快速數(shù)據(jù)加密算法由日本學(xué)者清水明宏和宮口莊司在DES的基礎(chǔ)上提出。FEAL與DES相比的特點(diǎn)：增大了有效密鑰長(zhǎng)度；增強(qiáng)了密鑰的控制作用；增大了加密函數(shù)f的復(fù)雜性；減少了迭代次數(shù)。FEAL快速數(shù)據(jù)加密算法由日本學(xué)者清水明宏和宮口莊司在DESFEAL與DES的技術(shù)異同都是單密鑰分組密碼，分組長(zhǎng)度為64位密鑰均是64位，但DES密鑰中包含8位奇偶校驗(yàn)位，有效密鑰為56位，因此FEAL的抗窮舉性能大大提高DES的初始置換和逆初始置換與密鑰無(wú)關(guān)，F(xiàn)EAL的初始變換和末尾變換均受密鑰控制，從而提高了保密性FEAL與DES的技術(shù)異同都是單密鑰分組密碼，分組長(zhǎng)度為64FEAL與DES的技術(shù)異同DES使用的變換主要是置換、代替和模2加，非線性由S盒提供；FEAL使用的變換主要是循環(huán)移位、模256加和模2加，非線性由S函數(shù)提供DES迭代次數(shù)為16，F(xiàn)EAL迭代次數(shù)為4，因而FEAL軟件實(shí)現(xiàn)速度更快FEAL不使用置換、代替變換，因此在硬件實(shí)現(xiàn)中可省去大量存儲(chǔ)器FEAL的密鑰長(zhǎng)度仍然不夠，且迭代次數(shù)也少了一些FEAL與DES的技術(shù)異同DES使用的變換主要是置換、代替和4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史DESDES概述Feistel結(jié)構(gòu)圖S-DESDES多重DESFEAL

IDEAAES4.對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼的歷史IDEA簡(jiǎn)介XuejiaLai和JamesMassey（瑞士）于1990年在EuroCrypt’90年會(huì)上公布了IDEA密碼算法第一版，稱為PES(ProposedEncryptionStandard)。為抗擊差分密碼攻擊，他們?cè)贓uroCrypt’91年會(huì)上增強(qiáng)了算法的強(qiáng)度，稱為IPES（ImprovedPES)IDEA簡(jiǎn)介XuejiaLai和JamesMassey（1992年改名為IDEA（InternationalDataEncryptionAlgorithm，國(guó)際數(shù)據(jù)加密算法），并完成了商品化，由瑞士的Ascom公司注冊(cè)專利，以商業(yè)目的使用IDEA算法必須向該公司申請(qǐng)?jiān)S可。1992年改名為IDEA（InternationalDatIDEA簡(jiǎn)介IDEA是一個(gè)分組長(zhǎng)度為64位的分組密碼算法，密鑰長(zhǎng)度為128位（抗強(qiáng)力攻擊能力比DES強(qiáng)），同一算法既可加密也可解密。IDEA的“混淆”和“擴(kuò)散”設(shè)計(jì)原則來(lái)自三種運(yùn)算，它們易于軟、硬件實(shí)現(xiàn)（加密速度快）從理論上講，IDEA屬于“強(qiáng)”加密算法，至今還沒(méi)有出現(xiàn)對(duì)該算法的有效攻擊算法。IDEA簡(jiǎn)介IDEA是一個(gè)分組長(zhǎng)度為64位的分組密碼算法，密IDEA簡(jiǎn)介實(shí)現(xiàn)上的考慮使用子分組：16bit的子分組；使用簡(jiǎn)單操作（易于加法、移位等操作實(shí)現(xiàn)）加密解密過(guò)程類似；規(guī)則的結(jié)構(gòu)（便于VLSI實(shí)現(xiàn)）。IDEA簡(jiǎn)介實(shí)現(xiàn)上的考慮IDEA加密和解密框圖IDEA加密和解密框圖

IDEA加密的總體方案圖循環(huán)2循環(huán)8循環(huán)1輸出變換64位密文64位明文Z1Z6Z7Z12Z43Z48Z49Z52子密鑰生成器128位密鑰Z1Z5216IDEA加密的總體方案圖循環(huán)2循環(huán)8循環(huán)1輸出變換64位

IDEA的密鑰

56個(gè)16bit的子密鑰從128bit的密鑰中生成前8個(gè)子密鑰直接從密鑰中取出；對(duì)密鑰進(jìn)行25bit的循環(huán)左移，接下來(lái)的密鑰就從中取出；重復(fù)進(jìn)行直到52個(gè)子密鑰都產(chǎn)生出來(lái)。IDEA的密鑰 56個(gè)16bit的子密鑰從128bit的密鑰IDEA的解密加密解密實(shí)質(zhì)相同，但使用不同的密鑰；解密密鑰以如下方法從加密子密鑰中導(dǎo)出：解密循環(huán)I的頭4個(gè)子密鑰從加密循環(huán)10－I的頭4個(gè)子密鑰中導(dǎo)出；解密密鑰第1、4個(gè)子密鑰對(duì)應(yīng)于1、4加密子密鑰的乘法逆元；2、3對(duì)應(yīng)2、3的加法逆元；對(duì)前8個(gè)循環(huán)來(lái)說(shuō)，循環(huán)I的最后兩個(gè)子密鑰等于加密循環(huán)9－I的最后兩個(gè)子密鑰；IDEA的解密加密解密實(shí)質(zhì)相同，但使用不同的密鑰；異或運(yùn)算（）整數(shù)模216加（+）整數(shù)模216+1乘（）(IDEA的S盒）擴(kuò)散由稱為MA結(jié)構(gòu)的算法基本構(gòu)件提