云計算與安全-數(shù)據(jù)加密標(biāo)準(zhǔn)

密碼學(xué)基礎(chǔ)（2）數(shù)據(jù)加密標(biāo)準(zhǔn)

（DataEncryptionStandard,DES)背景發(fā)明人：美國IBM公司W(wǎng).Tuchman和C.Meyer1971-1972年研制成功基礎(chǔ)：1967年美國HorstFeistel提出的理論產(chǎn)生：美國國家標(biāo)準(zhǔn)局（NBS)1973年5月到1974年8月兩次發(fā)布通告，公開征求用于電子計算機(jī)的加密算法。經(jīng)評選從一大批算法中采納了IBM的LUCIFER方案標(biāo)準(zhǔn)化：DES算法1975年3月公開發(fā)表，1977年1月15日由美國國家標(biāo)準(zhǔn)局頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard），于1977年7月15日生效背景美國國家安全局（NSA,NationalSecurityAgency)參與了美國國家標(biāo)準(zhǔn)局制定數(shù)據(jù)加密標(biāo)準(zhǔn)的過程。NBS接受了NSA的某些建議，對算法做了修改，并將密鑰長度從LUCIFER方案中的128位壓縮到56位1979年，美國銀行協(xié)會批準(zhǔn)使用DES1980年，DES成為美國標(biāo)準(zhǔn)化協(xié)會(ANSI)標(biāo)準(zhǔn)1984年2月，ISO成立的數(shù)據(jù)加密技術(shù)委員會(SC20)在DES基礎(chǔ)上制定數(shù)據(jù)加密的國際標(biāo)準(zhǔn)工作DES概述分組加密算法：明文和密文為64位分組長度對稱算法：加密和解密除密鑰編排不同外，使用同一算法密鑰長度：56位，但每個第8位為奇偶校驗位，可忽略密鑰可為任意的56位數(shù)，但存在弱密鑰，容易避開采用混亂和擴(kuò)散的組合，每個組合先替代后置換，共16輪只使用了標(biāo)準(zhǔn)的算術(shù)和邏輯運算，易于實現(xiàn)DES加密算法的一般描述輸入64比特明文數(shù)據(jù)初始置換IP在密鑰控制下16輪迭代初始逆置換IP-1輸出64比特密文數(shù)據(jù)交換左右32比特DES加密過程DESRoundStructureDES加密過程令i表示迭代次數(shù)，表示逐位模2求和，f為加密函數(shù)DES解密過程令i表示迭代次數(shù)，表示逐位模2求和，f為加密函數(shù)DES中的各種置換、擴(kuò)展和替代初始置換IP和初始逆置換IP—1

IP和IP—1IPIP—1Li-1（32比特）Ri-1（32比特）Li（32比特）48比特寄存器選擇擴(kuò)展運算E48比特寄存器子密鑰Ki（48比特）32比特寄存器選擇壓縮運算S置換運算PRi（32比特）Li=Ri-1DES的一輪迭代擴(kuò)展置換Ｅ-盒－32位擴(kuò)展到48位擴(kuò)展壓縮替代S-盒－48位壓縮到32位共8個S盒S-盒1S-盒2S-盒3S-盒4S-盒5S-盒6S-盒7S-盒8S-盒的構(gòu)造S-盒的構(gòu)造DES中其它算法都是線性的，而S-盒運算則是非線性的S-盒不易于分析，它提供了更好的安全性所以S-盒是算法的關(guān)鍵所在S-盒的構(gòu)造要求S-盒是許多密碼算法的唯一非線性部件,因此,它的密碼強(qiáng)度決定了整個算法的安全強(qiáng)度提供了密碼算法所必須的擴(kuò)散作用如何全面準(zhǔn)確地度量S-盒的密碼強(qiáng)度和設(shè)計有效的S-盒是分組密碼設(shè)計和分析中的難題非線性度、差分均勻性、嚴(yán)格雪崩準(zhǔn)則、可逆性、沒有陷門置換p-盒的構(gòu)造p-盒的構(gòu)造準(zhǔn)則P置換的目的是提供雪崩效應(yīng)明文或密鑰的一點小的變動都引起密文的較大變化DES中的子密鑰的生成密鑰置換算法的構(gòu)造準(zhǔn)則設(shè)計目標(biāo)：子密鑰的統(tǒng)計獨立性和靈活性實現(xiàn)簡單速度不存在簡單關(guān)系：(給定兩個有某種關(guān)系的種子密鑰,能預(yù)測它們輪子密鑰之間的關(guān)系)種子密鑰的所有比特對每個子密鑰比特的影響大致相同從一些子密鑰比特獲得其他的子密鑰比特在計算上是難的沒有弱密鑰Li-1（32比特）Ri-1（32比特）Li（32比特）48比特寄存器選擇擴(kuò)展運算E48比特寄存器子密鑰Ki（48比特）32比特寄存器選擇壓縮運算S置換運算PRi（32比特）Li=Ri-1DES的一輪迭代DES加密算法的一般描述DES的工作模式電子密碼本ECB(electroniccodebookmode)密碼分組鏈接CBC(cipherblockchaining)密碼反饋CFB(cipherfeedback)輸出反饋OFB(outputfeedback)電子密碼本ECBECB的特點簡單和有效可以并行實現(xiàn)不能隱藏明文的模式信息相同明文生成相同密文，同樣信息多次出現(xiàn)造成泄漏對明文的主動攻擊是可能的信息塊可被替換、重排、刪除、重放誤差傳遞：密文塊損壞僅對應(yīng)明文塊損壞適合于傳輸短信息密碼分組鏈接CBCCBC的特點沒有已知的并行實現(xiàn)算法能隱藏明文的模式信息需要共同的初始化向量IV

相同明文生成不同密文初始化向量IV可以用來改變第一塊對明文的主動攻擊是不容易的信息塊不容易被替換、重排、刪除、重放誤差傳遞：密文塊損壞兩明文塊損壞安全性好于ECB適合于傳輸長度大于64位的報文，還可以進(jìn)行用戶鑒別,是大多系統(tǒng)的標(biāo)準(zhǔn)如SSL、IPSec電子密碼本方式密碼分組鏈接方式密碼反饋CFBCFB:分組密碼流密碼假定：Si為移位寄存器,傳輸單位為jbit

加密:Ci=Pi(EK(Si)的高j位)

Si+1=(Si<<j)|Ci

解密:Pi=Ci(EK(Si)的高j位)

Si+1=(Si<<j)|Ci密碼反饋CFB加密密碼反饋CFB解密CFB的特點分組密碼流密碼沒有已知的并行實現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值IV對于不同的消息，IV必須唯一誤差傳遞：一個單元損壞影響多個單元輸出反饋OFBOFB:分組密碼流密碼假定：Si為移位寄存器,傳輸單位為jbit

加密:Ci=Pi(EK(Si)的高j位)

Si+1=(Si<<j)|(EK(Si)的高j位)

解密:Pi=Ci(EK(Si)的高j位)

Si+1=(Si<<j)|(EK(Si)的高j位)輸出反饋OFB加密輸出反饋OFB解密0FB的特點分組密碼流密碼沒有已知的并行實現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值IV對于不同的消息，IV必須唯一誤差傳遞：一個單元損壞只影響對應(yīng)單元對明文的主動攻擊是可能的信息塊可被替換、重排、刪除、重放安全性較CFB差多重DES兩重DES三重DESDES的安全性

F函數(shù)(S-Box)設(shè)計原理未知密鑰長度的爭論

DES的破譯

DES密鑰長度關(guān)于DES算法的另一個最有爭議的問題就是擔(dān)心實際56比特的密鑰長度不足以抵御窮舉式攻擊，因為密鑰量只有個

早在1977年，Diffie和Hellman已建議制造一個每秒能測試100萬個密鑰的VLSI芯片。每秒測試100萬個密鑰的機(jī)器大約需要一天就可以搜索整個密鑰空間。他們估計制造這樣的機(jī)器大約需要2000萬美元DES密鑰長度在CRYPTO’93上，Session和Wiener給出了一個非常詳細(xì)的密鑰搜索機(jī)器的設(shè)計方案，這個機(jī)器基于并行運算的密鑰搜索芯片，所以16次加密能同時完成?；ㄙM10萬美元，平均用1.5天左右就可找到DES密鑰美國克羅拉多洲的程序員Verser從1997年2月18日起，用了96天時間，在Internet上數(shù)萬名志愿者的協(xié)同工作下，成功地找到了DES的密鑰，贏得了懸賞的1萬美元破譯DES1990年，以色列密碼學(xué)家EliBiham和AdiShamir提出了差分密碼分析法，可對DES進(jìn)行選擇明文攻擊線性密碼分析比差分密碼分析更有效其它常規(guī)分組加密算法TripleDESIDEARC5RC6AES其他一些較實用的算法，如Blowfish，CAST，以及RC2等使用常規(guī)加密進(jìn)行保密通信易受攻擊的位置電話公司市話局接線盒鏈路加密和端到端加密存儲轉(zhuǎn)發(fā)通信的加密覆蓋范圍各種加密策略包含的內(nèi)容鏈路層加密對于在兩個網(wǎng)絡(luò)節(jié)點間的某一次通信鏈路,鏈路加密能為網(wǎng)上傳輸?shù)臄?shù)據(jù)提供安全保證所有消息在被傳輸之前進(jìn)行加密,在每一個節(jié)點對接收到的消息進(jìn)行解密,然后先使用下一個鏈路的密鑰對消息進(jìn)行加密,再進(jìn)行傳輸鏈路層加密的優(yōu)點由于在每一個中間傳輸節(jié)點消息均被解密后重新進(jìn)行加密,因此,包括路由信息在內(nèi)的鏈路上的所有數(shù)據(jù)均以密文形式出現(xiàn)。這樣,鏈路加密就掩蓋了被傳輸消息的源點與終點由于填充技術(shù)的使用以及填充字符在不需要傳輸數(shù)據(jù)的情況下就可以進(jìn)行加密,這使得消息的頻率和長度特性得以掩蓋,從而可以防止對通信業(yè)務(wù)進(jìn)行分析鏈路層加密的缺點鏈路加密通常用在點對點的同步或異步線路上,它要求先對在鏈路兩端的加密設(shè)備進(jìn)行同步,然后使用一種鏈模式對鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行加密。這就給網(wǎng)絡(luò)的性能和可管理性帶來了副作用在一個網(wǎng)絡(luò)節(jié)點,鏈路加密僅在通信鏈路上提供安全性,消息以明文形式存在,因此所有節(jié)點在物理上必須是安全的,否則就會泄漏明文內(nèi)容在傳統(tǒng)的加密算法中,用于解密消息的密鑰與用于加密的密鑰是相同的,該密鑰必須被秘密保存,并按一定規(guī)則進(jìn)行變化。這樣,密鑰分配在鏈路加密系統(tǒng)中就成了一個問題,因為每一個節(jié)點必須存儲與其相連接的所有鏈路的加密密鑰,這就需要對密鑰進(jìn)行物理傳送或者建立專用網(wǎng)絡(luò)設(shè)施。而網(wǎng)絡(luò)節(jié)點地理分布的廣闊性使得這一過程變得復(fù)雜,同時增加了密鑰連續(xù)分配時的費用節(jié)點加密節(jié)點在操作方式上與鏈路加密是類似的:兩者均在通信鏈路上為傳輸?shù)南⑻峁┌踩?都在中間節(jié)點先對消息進(jìn)行解密,然后進(jìn)行加密。因為要對所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,所以加密過程對用戶是透明的然而,與鏈路加密不同,節(jié)點加密不允許消息在網(wǎng)絡(luò)節(jié)點以明文形式存在,它先把收到的消息進(jìn)行解密,然后采用另一個不同的密鑰進(jìn)行加密,這一過程是在節(jié)點上的一個安全模塊中進(jìn)行節(jié)點加密要求報頭和路由信息以明文形式傳輸,以便中間節(jié)點能得到如何處理消息的信息。因此這種方法對于防止攻擊者分析通信業(yè)務(wù)是脆弱的端到端加密端到端加密允許數(shù)據(jù)在從源點到終點的傳輸過程中始終以密文形式存在采用端到端加密(又稱脫線加密或包加密),消息在被傳輸時到達(dá)終點之前不進(jìn)行解密,因為消息在整個傳輸過程中均受到保護(hù),所以即使有節(jié)點被損壞也不會使消息泄露端到端加密的優(yōu)點端到端加密系統(tǒng)的價格便宜些,與鏈路加密和節(jié)點加密相比更可靠,更