第二講 對(duì)稱密鑰密碼體系

第二講對(duì)稱密鑰密碼體系1本章導(dǎo)讀密碼編碼是對(duì)付各種安全威脅的最強(qiáng)有力的工具，加密技術(shù)是信息安全的核心技術(shù)。本章介紹密碼體系的原理和一些基本概念，介紹對(duì)稱密鑰加密的幾種常用算法：數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)、3DES、IDEA、序列密碼A5以及AES。

2內(nèi)容2.1密碼體系的原理和基本概念2.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2.3高級(jí)加密標(biāo)準(zhǔn)（AES）2.4序列密碼2.5其它對(duì)稱密碼算法小結(jié)32.1密碼體系的原理和基本概念

專業(yè)術(shù)語(yǔ)消息和加密：消息被稱為明文。用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱為加密，加了密的消息稱為密文，而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱為解密。4加密解密公式

明文用M（消息）或P（明文）表示，密文用C表示。加密函數(shù)E作用于M得到密文C，用數(shù)學(xué)式子表示為：E（M）=C相反地，解密函數(shù)D作用于C產(chǎn)生MD（C）=M先加密后再解密消息，原始的明文將恢復(fù)出來(lái)，下面的等式必須成立：D（E（M））=M52.1密碼體系的原理和基本概念

專業(yè)術(shù)語(yǔ)鑒別：消息的接收者應(yīng)該能夠確認(rèn)消息的來(lái)源；入侵者不可能偽裝成他人完整性：消息的接收者應(yīng)該能夠驗(yàn)證在傳送過程中消息沒有被修改；入侵者不可能用假消息代替合法消息抗抵賴：發(fā)送者事后不可能虛假地否認(rèn)他發(fā)送的消息算法：密碼算法是用于加密和解密的數(shù)學(xué)函數(shù)。一般情況下，有兩個(gè)相關(guān)的函數(shù)：一個(gè)用作加密，另一個(gè)用作解密62.1密碼體系的原理和基本概念

安全密碼

如果密碼的保密性是基于保持算法的秘密，這種密碼算法稱為受限制的算法。密鑰用K表示.K可以是很多數(shù)值里的任意值。密鑰K的可能值的范圍叫做密鑰空間。加密和解密運(yùn)算都使用這個(gè)密鑰（即運(yùn)算都依賴于密鑰，并用K作為下標(biāo)表示），這樣，加/解密函數(shù)現(xiàn)在變成：EK（M）=CDK（C）=M72.1密碼體系的原理和基本概念

安全密碼82.1密碼體系的原理和基本概念

安全密碼算法安全性所有這些算法的安全性都基于密鑰的安全性，而不是基于算法的細(xì)節(jié)的安全性只有公開的算法才是安全的9對(duì)稱算法有時(shí)又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推算出來(lái)，反過來(lái)也成立在大多數(shù)對(duì)稱算法中，加/解密密鑰是相同的對(duì)稱算法可分為兩類分組算法（分組密碼）序列算法（序列密碼,流密碼）2.1密碼體系的原理和基本概念

對(duì)稱密碼和非對(duì)稱密碼

10112.1密碼體系的原理和基本概念

對(duì)稱密碼和非對(duì)稱密碼非對(duì)稱算法用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計(jì)算出來(lái)（至少在合理假定的有限時(shí)間內(nèi)）

非對(duì)稱算法也叫做公開密鑰算法，是因?yàn)榧用苊荑€能夠公開，即陌生者能用加密密鑰加密信息，但只有用相應(yīng)的解密密鑰才能解密信息12132.1密碼體系的原理和基本概念

密碼分析密碼分析學(xué)是在不知道密鑰的情況下恢復(fù)出明文的科學(xué)對(duì)密碼進(jìn)行分析的嘗試稱為密碼分析攻擊唯密文攻擊已知明文攻擊選擇明文攻擊自適應(yīng)選擇明文攻擊142.1密碼體系的原理和基本概念

密碼分析學(xué)者LarsKnudsen把破譯算法分為不同的類別全部破譯：密碼分析者找出了密鑰全盤推導(dǎo)：密碼分析者找到一個(gè)代替算法，在不知道密鑰的情況下，可用它得到明文實(shí)例推導(dǎo)：密碼分析者從截獲的密文中找出明文信息推導(dǎo)：密碼分析者獲得一些有關(guān)密鑰或明文的信息這些信息可能是密鑰的幾個(gè)比特、有關(guān)明文格式的信息等等152.1密碼體系的原理和基本概念

密碼分析幾乎所有密碼系統(tǒng)在唯密文攻擊中都是可破的，只要簡(jiǎn)單地一個(gè)接一個(gè)地去試每種可能的密鑰，并且檢查所得明文是否有意義。這種方法叫做蠻力攻擊。不同方式衡量攻擊方法的復(fù)雜性：數(shù)據(jù)復(fù)雜性：用作攻擊輸入所需要的數(shù)據(jù)量時(shí)間復(fù)雜性：完成攻擊所需要的時(shí)間存儲(chǔ)復(fù)雜性：進(jìn)行攻擊所需要的存儲(chǔ)量16內(nèi)容2.1密碼體系的原理和基本概念2.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2.3高級(jí)加密標(biāo)準(zhǔn)（AES）2.4序列密碼2.5其它對(duì)稱密碼算法小結(jié)

172.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

分組密碼數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于分組密碼分組密碼將明文消息劃分成固定長(zhǎng)度的分組，各分組分別在密鑰的控制下變換成等長(zhǎng)度的密文分組182.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

分組密碼分組密碼的工作原理19DES的歷史1973年5月15日,NBS開始公開征集標(biāo)準(zhǔn)加密算法,并公布了它的設(shè)計(jì)要求:

(1)算法必須提供高度的安全性(2)算法必須有詳細(xì)的說(shuō)明,并易于理解(3)算法的安全性取決于密鑰,不依賴于算法(4)算法適用于所有用戶(5)算法適用于不同應(yīng)用場(chǎng)合(6)算法必須高效、經(jīng)濟(jì)(7)算法必須能被證實(shí)有效(8)算法必須是可出口的202.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)對(duì)稱密碼算法有兩種類型：分組密碼(BlockCipher)和流密碼(StreamCipher)。分組密碼一次處理一塊輸入，每個(gè)輸入塊生成一個(gè)輸出塊，而流密碼對(duì)輸入元素進(jìn)行連續(xù)處理，同時(shí)產(chǎn)生連續(xù)單個(gè)輸出元素。數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于分組密碼。分組密碼將明文消息劃分成固定長(zhǎng)度的分組，各分組分別在密鑰的控制下變換成等長(zhǎng)度的密文分組。分組密碼的工作原理如圖2-2所示。21圖2-2分組密碼的工作原理22DES的歷史數(shù)據(jù)加密標(biāo)準(zhǔn)成為世界范圍內(nèi)的標(biāo)準(zhǔn)已經(jīng)20多年了。1973年，美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS)在認(rèn)識(shí)到建立數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)既明顯又急迫需要的情況下，開始征集聯(lián)邦數(shù)據(jù)加密標(biāo)準(zhǔn)的方案。1975年3月17日，NBS公布了IBM公司提供的密碼算法，以標(biāo)準(zhǔn)建議的形式在全國(guó)范圍內(nèi)征求意見。經(jīng)過兩年多的公開討論之后，1977年7月15日，NBS宣布接受這個(gè)建議，作為聯(lián)邦信息處理標(biāo)準(zhǔn)46號(hào)[2]，數(shù)據(jù)加密標(biāo)準(zhǔn)(DataEncryptionStandard)，即DES正式頒布，供商業(yè)界和非國(guó)防性政府部門使用。23DES算法的描述

DES加密算法如圖所示，由以下四個(gè)部分組成。

1.初始置換函數(shù)IPDES對(duì)64位明文分組進(jìn)行操作。首先，64位明文分組x經(jīng)過一個(gè)初始置換函數(shù)IP，產(chǎn)生64位的輸出x0，再將分組x0分成左半部分L0和右半部分R0，即：

x0=IP(x)=L0R0

置換表如表2-1所示。此表順序?yàn)閺纳系较拢瑥淖笾劣?。如初始置換把明文的第58位換至第1位，把第50位換至第二位，以此類推。24DES的歷史1974年8月27日,美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS)開始第二次征集,IBM提交了算法LUCIFER，該算法由IBM的工程師在1971~1972年研制。1975年3月17日,NBS公開了全部細(xì)節(jié)。1976年，NBS指派了兩個(gè)小組進(jìn)行評(píng)價(jià)。1976年11月23日，采納為聯(lián)邦標(biāo)準(zhǔn)，批準(zhǔn)用于非軍事場(chǎng)合的各種政府機(jī)構(gòu)。1977年1月15日,“數(shù)據(jù)加密標(biāo)準(zhǔn)”FIPSPUB46發(fā)布,同年7月15日開始生效。該標(biāo)準(zhǔn)規(guī)定每五年審查一次，計(jì)劃十年后采用新標(biāo)準(zhǔn)。最近的一次評(píng)估是在1994年1月，已決定1998年12月以后，DES將不再作為聯(lián)邦加密標(biāo)準(zhǔn)。252.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的應(yīng)用1979年，美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用1980年，美國(guó)國(guó)家標(biāo)準(zhǔn)局（ANSI）贊同DES作為私人使用的標(biāo)準(zhǔn),稱之為DEA（ANSIX.392）1983年，國(guó)際化標(biāo)準(zhǔn)組織ISO贊同DES作為國(guó)際標(biāo)準(zhǔn)，稱之為DEA-1262.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法DES加密算法由以下四個(gè)部分組成：初始置換函數(shù)IP獲取子密鑰Ki密碼函數(shù)F末置換函數(shù)IP-127282.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-初始置換函數(shù)IP

DES對(duì)64位明文分組進(jìn)行操作。首先，64位明文分組x經(jīng)過一個(gè)初始置換函數(shù)IP，產(chǎn)生64位的輸出x0，再將分組x0分成左半部分L0和右半部分R0，即：

x0=IP(x)=L0R0

292.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-初始置換函數(shù)IPM20

→M'14IP302.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-獲取子密鑰KiDES加密算法的密鑰長(zhǎng)度為56位，但一般表示為64位，其中，每個(gè)第8位用于奇偶校驗(yàn)。在DES加密算法中，將用戶提供的64位初始密鑰經(jīng)過一系列的處理得到K1，K2，…，K16，分別作為1～16輪運(yùn)算的16個(gè)子密鑰31322.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F函數(shù)F的操作步驟

密碼函數(shù)F的輸入是32比特?cái)?shù)據(jù)和48比特的子密鑰332.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F擴(kuò)展置換(E)。將數(shù)據(jù)的右半部分Ri從32位擴(kuò)展為48位。位選擇函數(shù)(也稱E盒)342.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F異或。擴(kuò)展后的48位輸出E(Ri)與壓縮后的48位密鑰Ki作異或運(yùn)算S盒替代。將異或得到的48位結(jié)果分成八個(gè)6位的塊，每一塊通過對(duì)應(yīng)的一個(gè)S盒產(chǎn)生一個(gè)4位的輸出352.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)FS盒的具體置換過程為：某個(gè)Si盒的6位輸入的第1位和第6位形成一個(gè)2位的二進(jìn)制數(shù)(從0～3)，對(duì)應(yīng)表中的某一行；同時(shí)，輸入的中間4位構(gòu)成4位二進(jìn)制數(shù)(從0～15)對(duì)應(yīng)表中的某一列(注意：行和列均從0開始計(jì)數(shù))例如，第6個(gè)S盒的輸入為110011，前后2位形成的二進(jìn)制數(shù)為11，對(duì)應(yīng)第8個(gè)S盒的第3行；中間4位為1001，對(duì)應(yīng)同一S盒的第9列

3637S－盒置換輸入6比特:b1b2b3b4b5b6輸出4比特：S(b1b6,b2b3b4b5)S1b1b2b3b4b5b60123456789101112131415S101441312151183106125907101574142131106121195382411481362111512973105031512824917511314100613S2015181461134972131205101..........23舉例：S1(100110)=1000382.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F-P盒置換將八個(gè)S盒的輸出連在一起生成一個(gè)32位的輸出，輸出結(jié)果再通過置換P產(chǎn)生一個(gè)32位的輸出即：F(Ri,Ki)。至此，密碼函數(shù)F的操作就完成了最后，將P盒置換的結(jié)果與最初的64位分組的左半部分異或，然后左、右半部分交換，接著開始下一輪計(jì)算。39P-盒置換32比特輸入，32比特輸出123456789303132167202129122817115......11425P-盒的輸出：40P盒置換

1672021291228171152326518311028241432273919133062211425412.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F-函數(shù)F的設(shè)計(jì)函數(shù)F是DES加密的核心，它依賴于S盒的設(shè)計(jì)。這也適用于其它的對(duì)稱分組加密算法F的設(shè)計(jì)準(zhǔn)則

函數(shù)F的基本功能就是“擾亂(confusion)”輸入，因此，對(duì)于F來(lái)說(shuō)，其非線性越高越好，也就是說(shuō)，要恢復(fù)F所做的“擾亂”操作越難越好422.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F-函數(shù)F的設(shè)計(jì)雪崩準(zhǔn)則(SAC)

就是要求算法具有良好的雪崩效應(yīng)，輸入當(dāng)中的一個(gè)比特發(fā)生變化都應(yīng)當(dāng)使輸出產(chǎn)生盡可能多的比特變化。嚴(yán)格地說(shuō)，就是當(dāng)任何單個(gè)輸入比特位i發(fā)生變換時(shí)，一個(gè)S盒的第j比特輸出位發(fā)生變換的概率應(yīng)為1/2，且對(duì)任意的i,j都應(yīng)成立比特獨(dú)立準(zhǔn)則(BIC)

BIC的意思是當(dāng)單個(gè)輸入比特位i發(fā)生變化時(shí)，輸出比特位j,k的變化應(yīng)當(dāng)互相獨(dú)立，且對(duì)任意的i,j,k均應(yīng)成立432.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F-函數(shù)F的設(shè)計(jì)S盒設(shè)計(jì)本質(zhì)上S盒的作用就是對(duì)輸入向量進(jìn)行處理，使得輸出看起來(lái)更具隨機(jī)性，輸入和輸出之間應(yīng)當(dāng)是非線性的，很難用線性函數(shù)來(lái)逼近S盒的尺寸是一個(gè)很重要的特性。一個(gè)S盒其輸入為n比特，輸出為m比特。DES的S盒大小為6×4。S盒越大，就越容易抵制差分和線性密碼分析442.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-密碼函數(shù)F-函數(shù)F的設(shè)計(jì)Nyberg提出了以下幾種S盒的設(shè)計(jì)和實(shí)踐原則：

隨機(jī)性：采用某些偽隨機(jī)數(shù)發(fā)生器或隨機(jī)數(shù)表格來(lái)產(chǎn)生S盒的各個(gè)項(xiàng)

隨機(jī)測(cè)試：隨機(jī)選擇S盒各個(gè)項(xiàng)，然后按照不同準(zhǔn)則測(cè)試其結(jié)果

數(shù)學(xué)構(gòu)造：根據(jù)某些數(shù)學(xué)原理來(lái)產(chǎn)生S盒。其好處就是可以根據(jù)數(shù)學(xué)上的嚴(yán)格證明來(lái)抵御差分和線性密碼分析，并且可以獲得很好的擴(kuò)散(Diffusion)特性452.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-末置換函數(shù)IP-1末置換是初始置換的逆變換.經(jīng)過一個(gè)末置換函數(shù)就可得到64位的密文c，即：

c=IP-1(R16L16)46IPIP-1472.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-總結(jié)子密鑰生成：

C[0]D[0]=PC–1(K)for1<=i<=16{C[i]=LS[i](C[i?1])D[i]=LS[i](D[i?1])K[i]=PC–2(C[i]D[i])}482.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-總結(jié)加密過程：

L[0]R[0]=IP(x)for1<=i<=16{L[i]=R[i?1]R[i]=L[i?1]XORf?(R[i?1],K[i])}c=IP?1(R[16]L[16])492.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-總結(jié)解密過程：

R[16]L[16]=IP(c)for1<=i<=16{R[i?1]=L[i]L[i?1]=R[i]XORf?(L[i],K[i])}x=IP?1(L[0]R[0])502.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的工作模式電子編碼本ECB密碼分組鏈接CBC密碼反饋CFB輸出反饋OFB51ECB52CBC53OFBCFB54OFB55對(duì)DES的攻擊典型的DES處理時(shí)間（8字節(jié)字組）56對(duì)DES的攻擊目前，最快可用的DES元件需要64ns的時(shí)間來(lái)完成一個(gè)字組的加密。如果有10000個(gè)計(jì)算模塊并行匯集在一起，每個(gè)能獨(dú)立試驗(yàn)密鑰空間的一小部分，又假定平均要搜索一半的密鑰空間以找到正確的密鑰，我們可以算得處理時(shí)間如下：572.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-三重DES三重DES是DES的一種變形的實(shí)現(xiàn)方式

加/解密運(yùn)算為：

加密：c=EK3(DK2(EK1(m)))

解密：m=DK1(EK2(DK3(c)))

其中，K1、K2、K3為56位DES密鑰。為了獲得更高的安全性，三個(gè)密鑰應(yīng)該選擇為互不相同。但在某些情況下，如與原來(lái)的DES保持兼容，則可以選擇K1=K2或K2=K3582.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)

DES的算法-三重DES59內(nèi)容2.1密碼體系的原理和基本概念2.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2.3高級(jí)加密標(biāo)準(zhǔn)（AES）2.4序列密碼2.5其它對(duì)稱密碼算法小結(jié)60AES背景-i1997年4月15日，（美國(guó)）國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）發(fā)起征集高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard）AES的活動(dòng)，活動(dòng)目的是確定一個(gè)非保密的、可以公開技術(shù)細(xì)節(jié)的、全球免費(fèi)使用的分組密碼算法，作為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。1997年9月12日，美國(guó)聯(lián)邦登記處公布了正式征集AES候選算法的通告。作為進(jìn)入AES候選過程的一個(gè)條件，開發(fā)者承諾放棄被選中算法的知識(shí)產(chǎn)權(quán)。對(duì)AES的基本要求是：比三重DES快、至少與三重DES一樣安全、數(shù)據(jù)分組長(zhǎng)度為128比特、密鑰長(zhǎng)度128/192/256比特。61AES背景-ii1998年8月12日，在首屆AES會(huì)議上指定了15個(gè)候選算法。1999年3月22日第二次AES會(huì)議上，將候選名單減少為5個(gè)，這5個(gè)算法是RC6，Rijndael，SERPENT，Twofish和MARS。2000年4月13日，第三次AES會(huì)議上，對(duì)這5個(gè)候選算法的各種分析結(jié)果進(jìn)行了討論。2000年10月2日，NIST宣布了獲勝者—Rijndael算法，2001年11月出版了最終標(biāo)準(zhǔn)FIPSPUB197。622.3高級(jí)加密標(biāo)準(zhǔn)（AES）

Rijndael算法Rijndael算法是比利時(shí)的JoanDaemen和VincentRijmen設(shè)計(jì)的一個(gè)算法，該算法的原形是Square算法。它的設(shè)計(jì)策略是寬軌跡策略。寬軌跡策略是針對(duì)差分分析和線性分析提出的一種新的策略，其最大優(yōu)點(diǎn)是可以給出算法的最佳差分特性的概率及最佳線性逼近的偏差的界。由上述條件可以分析算法抵抗差分密碼分析和線性密碼分析的能力。63內(nèi)容2.1密碼體系的原理和基本概念2.2數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2.3高級(jí)加密標(biāo)準(zhǔn)（AES）2.4序列密碼2.5其它對(duì)稱密碼算法小結(jié)642.4序列密碼

一次一密亂碼本

序列密碼又稱流密碼，它將明文劃分成字符(如單個(gè)字母)或其編碼的基本單元(如0、1)，然后將其與密鑰流作用以加密，解密時(shí)以同步產(chǎn)生的相同密鑰流實(shí)現(xiàn)。652.4序列密碼

一次一密亂碼本序列密碼強(qiáng)度完全依賴于密鑰流產(chǎn)生器所產(chǎn)生的序列的隨機(jī)性和不可預(yù)測(cè)性，其核心問題是密鑰流生成器的設(shè)計(jì)。而保持收發(fā)兩端密鑰流的精確同步是實(shí)現(xiàn)可靠解密的關(guān)鍵技術(shù)迄今為止，只有一種理論上不可破的加密方案，叫做一次一密亂碼本，這是一種序列密碼。其基本思想是讓密鑰和明文一樣長(zhǎng)，密鑰稱為