網(wǎng)絡(luò)安全：對稱密碼

單擊此處編輯母版標(biāo)題樣式*網(wǎng)絡(luò)安全：對稱密碼1Chapter

6對稱密碼單擊此處編輯母版副標(biāo)題樣式《密碼編碼學(xué)與網(wǎng)絡(luò)安全》選擇當(dāng)前對稱密碼算法的標(biāo)準(zhǔn)：?密碼強(qiáng)度?廣泛應(yīng)用于Internet上?代表了自DES以來的現(xiàn)代密碼技術(shù)本章介紹算法：?

3DES?

Blowfish?

RC4,

RC5?5/18/2023?2?網(wǎng)絡(luò)安全：對稱密碼§6.1三重DES算法?5/18/2023?3?網(wǎng)絡(luò)安全：對稱密碼§6.1.1

2DES？2DES？?5/18/2023?4?網(wǎng)絡(luò)安全：對稱密碼?

C

=

EK2(EK1(P))＝

EK3(P)？對單步加密進(jìn)行推導(dǎo)?

EK2(EK1(P))＝

EK3(P)？中間相遇攻擊?

已知明文攻擊可以成功對付密鑰長度為112位的2DES?

X

=

EK1(P)

=

DK2(C)?

用所有可能的密鑰加密明文并存儲?

用所有可能的密鑰解密密文，并與存儲的X匹配?

2112/264=248，248/264=2-16，兩組明密對后，正確密鑰的概率是

1-2-16

；三組明密對后，正確密鑰的概率是1-2-80?

付出數(shù)量級為O(256),比攻擊單DES的O(255)多不了多少§6.1.1

2DES？DES關(guān)于密鑰不構(gòu)成群！20(264)！>1010

>>256<1017§6.1.2使用兩個密鑰的3DES??5/18/2023?5?網(wǎng)絡(luò)安全：對稱密碼???三重兩密思路：加密-解密-加密：說明：第二步用解密運算，可適應(yīng)單DES，即當(dāng)k2

＝

k1時，3DES＝1DES安全性：目前無可行攻擊方法應(yīng)用：較多，如密鑰管理標(biāo)準(zhǔn)和ISO

8732。攻擊?5/18/2023?6?網(wǎng)絡(luò)安全：對稱密碼三重三密?思路：加密-解密-加密?應(yīng)用：較多，如PGP和S/MINE。五重三密DES?思路：加密-解密-加密-解密-加密?應(yīng)用：可適應(yīng)單DES或三重兩密的情形§6.1.3使用三個密鑰的3DES?5/18/2023?7?網(wǎng)絡(luò)安全：對稱密碼§6.2

Blowfish算法?5/18/2023?8?網(wǎng)絡(luò)安全：對稱密碼Blowfish——會膨脹的魚?Bruce

Schneier設(shè)計，1993/94算法的性質(zhì)?

快速?

緊湊?

簡單?

安全性可變概況?

分組：64位?

密鑰長度：32位～448位（即1～14個32位字）§6.2.1子密鑰和S盒的產(chǎn)生?5/18/2023?9?網(wǎng)絡(luò)安全：對稱密碼原始密鑰：K，32

to

448

bit18個32位的子密鑰：Pi（i＝1，2，…，18）4個8X32的S盒，每個有256項，每項32位：Si,j

（i＝1,2,3,4

；j＝0,1,…,255）??5/18/2023?10?網(wǎng)絡(luò)安全：對稱密碼??基本運算加法：＋，mod

232按位異或,⊕,XOR查找§6.2.2加密和解密?5/18/2023?11?網(wǎng)絡(luò)安全：對稱密碼§6.2.2加密和解密?5/18/2023?12?網(wǎng)絡(luò)安全：對稱密碼加密?明文分為左右兩個32-bit的分組L0，R0for

i

=1

to

16

doRi

=

Li-1

XOR

Pi;Li

=

F[Ri]

XOR

Ri-1;L17

=

R16

XOR

P18;R17

=

L16

XOR

P17;?其中F[a,b,c,d]

=

((S1,a

+

S2,b)

XOR

S3,c)

+

S4,a?5/18/2023?13?網(wǎng)絡(luò)安全：對稱密碼函數(shù)F?設(shè)F的輸入為x（32

bit），將x分為4個字節(jié)

x＝（a，b，c，d），則F定義為F(x)＝(a，b，c，d)＝§6.2.2加密和解密?5/18/2023?14?網(wǎng)絡(luò)安全：對稱密碼§6.2.2加密和解密?5/18/2023?15?網(wǎng)絡(luò)安全：對稱密碼解密?密文分為左右兩個32-bit的分組L0，R0for

i

=

1

to

16

do

Ri

=

Li-1

XOR

P19-i;

Li

=

F[Ri]

XOR

Ri-1;L17

=

R16

XOR

P1;

R17

=

L16

XOR

P2;其中F[a,b,c,d]=((S+

S )

XOR

S )

+

S1,a

2,b

3,c

4,a?明文M＝（

L17

，R17

）?5/18/2023?16?網(wǎng)絡(luò)安全：對稱密碼??5/18/2023?17?網(wǎng)絡(luò)安全：對稱密碼????■????特點（主要與DES比較）S盒與密鑰有關(guān)；子密鑰和S盒由算法本身生成，故數(shù)據(jù)完全不可辨認(rèn)，對密鑰分析異常困難；每輪運算都是對數(shù)據(jù)的左右兩部分同時執(zhí)行；對窮舉攻擊是安全的（密鑰可達(dá)448位）；執(zhí)行速度快。（可在32-bit

CPUs上快速實現(xiàn)，內(nèi)存的使用可少至5K）（設(shè)計算法時所考慮的）因素窮舉攻擊的難度來自兩個方面：密鑰長度和密鑰產(chǎn)生過程；由函數(shù)F產(chǎn)生了很好的雪崩效應(yīng)；F的每一位輸入僅用作一個S盒的一位輸入；函數(shù)F的形式與迭代輪數(shù)無關(guān)，而CAST（加拿大）則有關(guān)。§6.2.3討論?5/18/2023?18?網(wǎng)絡(luò)安全：對稱密碼RSADSI擁有版權(quán)由Ronald

Rivest設(shè)計用在各種RSADSI的產(chǎn)品中

密鑰長度可變、明文分組大小可變，迭代次數(shù)可變非常明確簡潔的設(shè)計可用于字長不同的處理器安全性高§6.3

RC5?5/18/2023?19?網(wǎng)絡(luò)安全：對稱密碼RC5是由三個參數(shù)確定的一個加密算法族：RC5-w/r/b?5/18/2023?20?網(wǎng)絡(luò)安全：對稱密碼Rivest建議的版本是RC5-32/12/16參數(shù)定義允許的值w字長：以位為單位，分組長度為2個字16，32，64r迭代次數(shù)0,1,…,255b密鑰k的長度：以字節(jié)為單位0,1,…,255§6.3.1

RC5的參數(shù)§6.3.2密鑰擴(kuò)展?5/18/2023?21?網(wǎng)絡(luò)安全：對稱密碼?5/18/2023?22?網(wǎng)絡(luò)安全：對稱密碼加密：明文輸入存入兩個w位的寄存器A和B中L0

=

A

+

S[0];R0

=

B

+

S[1];for

i

=

1

to

r

doLi

=

((Li-1

XOR

Ri-1)

<<<

Ri-1)

+

S[2

x

i];Ri

=

((Ri-1

XOR

Li)

<<<

Li)

+

S[2

x

i

+

1];解密：很容易由加密過程推導(dǎo)出來每一輪像DES的兩輪兩個最顯著特點?算法簡單?移位與數(shù)據(jù)相關(guān)?5/18/2023?23?網(wǎng)絡(luò)安全：對稱密碼?5/18/2023?24?網(wǎng)絡(luò)安全：對稱密碼RC5的運行模式?5/18/2023?25?網(wǎng)絡(luò)安全：對稱密碼RFC2040中定義了RC5的四種運行模式?RC5分組密碼：即電碼本（ECB）模式；?RC5-CBC：即密碼分組鏈接（CBC）模式；?RC5-CBC-Pad：屬CBC模式，可以處理任意長的明文，密文最多比明文長一個RC5的分組長度；?RC5-CTS（密文挪用模式）：屬CBC模式，處理任意長的明文并得到等長的密文。?5/18/2023?26?網(wǎng)絡(luò)安全：對稱密碼?5/18/2023?27?網(wǎng)絡(luò)安全：對稱密碼?5/18/2023?28?網(wǎng)絡(luò)安全：對稱密碼?5/18/2023?29?網(wǎng)絡(luò)安全：對稱密碼§6.4高級對稱分組密碼的特點?5/18/2023?30?網(wǎng)絡(luò)安全：對稱密碼密鑰長度可變：Blowfish和RC5復(fù)合運算：Blowfish、RC5與數(shù)據(jù)相關(guān)的循環(huán)移位：與密鑰相關(guān)的S盒：Blowfish復(fù)雜的密鑰生成算法：Blowfish可變的分組長度：RC5可變的迭代輪數(shù)：RC5每輪迭代同時更新左右兩半數(shù)據(jù)：Blowfish和RC5函數(shù)F可變：CAST-128與密鑰相關(guān)的循環(huán)移位：?5/18/2023?31?網(wǎng)絡(luò)安全：對稱密碼§6.5分組密碼的工作模式?5/18/2023?32?網(wǎng)絡(luò)安全：對稱密碼

FIPS81中定義了4種模式，到800-38A中將其擴(kuò)展為5個?？捎糜谒蟹纸M密碼。DES的工作模式若明文最后一段不足分組長度，則補(bǔ)0或1，或隨機(jī)串。模式描述典型應(yīng)用電碼本（ECB）用相同的密鑰分別對明文組加密單個數(shù)據(jù)的安全傳輸密碼分組鏈接（CBC）加密算法的輸入是上一個密文組和下一個明文組的異或普通目的的面向分組的傳輸；認(rèn)證密碼反饋（CFB）…普通目的的面向分組的傳輸；認(rèn)證輸出反饋（OFB）…噪聲信道上的數(shù)據(jù)流的傳輸計數(shù)器（CTR）…普通目的的面向分組的傳輸；用于高速需求?5/18/2023?33?網(wǎng)絡(luò)安全：對稱密碼DES的工作模式§6.5.1電碼本模式（Electronic

Code

Book，ECB

）?5/18/2023?34?網(wǎng)絡(luò)安全：對稱密碼???工作模式加密：Cj=Ek(Pj),(j=1,2,…,n)解密：Pj=Dk(Cj)應(yīng)用特點錯誤傳播不傳播，即某個Ct的傳輸錯誤只影響到Pt的恢復(fù)，不影響后續(xù)的（j＞t）。Electronic

Codebook

Book

(ECB)?5/18/2023?35?網(wǎng)絡(luò)安全：對稱密碼摘自：NIST

Special

Publication

800-38A

2001

Edition?5/18/2023?36?網(wǎng)絡(luò)安全：對稱密碼§6.5..2密碼分組鏈接模式（Cipher

Block

Chaining

，CBC）????工作模式 加密

解密應(yīng)用加密長度大于64位的明文P認(rèn)證特點錯誤傳播?5/18/2023?37?網(wǎng)絡(luò)安全：對稱密碼Cipher

Block

Chaining

(CBC)?5/18/2023?38?網(wǎng)絡(luò)安全：對稱密碼摘自：NIST

Special

Publication

800-38A

2001

Edition?5/18/2023?39?網(wǎng)絡(luò)安全：對稱密碼工作模式?

加密?

解密??■???■?應(yīng)用保密：加密長度大于64位的明文P；分組隨意；可作為流密碼使用。認(rèn)證：特點分組任意安全性優(yōu)于ECB模式加、解密都使用加密運算（不用解密運算）錯誤傳播有誤碼傳播，設(shè)

，則錯誤的Ct會影響到Pt…,Pt+r?！?.5.3密碼反饋模式（Cipher

FeedBack，CFB）?5/18/2023?40?網(wǎng)絡(luò)安全：對稱密碼Cipher

FeedBack

(CFB)?5/18/2023?41?網(wǎng)絡(luò)安全：對稱密碼摘自：NIST

Special

Publication

800-38A

2001

Edition?5/18/2023?42?網(wǎng)絡(luò)安全：對稱密碼§6.5.4

輸出反饋模式（Output

FeedBack，OFB

）????工作模式 加密

解密應(yīng)用特點缺點：抗消息流篡改攻擊的能力不如CFB。錯誤傳播不傳播?5/18/2023?43?網(wǎng)絡(luò)安全：對稱密碼Output

FeedBack

(OFB)?5/18/2023?44?網(wǎng)絡(luò)安全：對稱密碼摘自：NIST

Special

Publication

800-38A

2001

Edition?5/18/2023?45?網(wǎng)絡(luò)安全：對稱密碼?j=1,2,…,N??工作模式加密： 給定計數(shù)器初值IV，則解密特點優(yōu)點■■■■■硬件效率：可并行處理；軟件效率：并行化；預(yù)處理；隨機(jī)訪問：比鏈接模式好；可證明的安全性：至少與其它模式一樣安全；簡單性：只用到加密算法。?錯誤傳播不傳播§6.5.5計數(shù)器模式（Counter,

CTR）?5/18/2023?46?網(wǎng)絡(luò)安全：對稱密碼Counter

(CTR)?5/18/2023?47?網(wǎng)絡(luò)安全：對稱密碼摘自：NIST

Special

Publication

800-38A

2001

Edition?5/18/2023?48?網(wǎng)絡(luò)安全：對稱密碼§6.6

RC4流密碼?5/18/2023?49?網(wǎng)絡(luò)安全：對稱密碼Stream

Ciphers：RC4消息的處理以bit為單位以流的方式進(jìn)行偽隨機(jī)密鑰流keystream密鑰流與明文進(jìn)行按位的異或運算(XOR)密鑰的隨機(jī)性破壞明文中的統(tǒng)計規(guī)律?

Ci

=

Mi

XOR

StreamKeyi不能重復(fù)使用密鑰流?否則將被破譯流密碼的特性?5/18/2023?50?網(wǎng)絡(luò)安全：對稱密碼設(shè)計流密碼需要考慮的因素:?加密序列的周期要長?統(tǒng)計上滿足隨機(jī)性?密鑰要足夠長，以免窮舉攻擊（>128bits）?要有高的線性復(fù)雜度

通過合理的設(shè)計，可以達(dá)到相同密鑰尺寸下分組密碼的安全性簡單快速?5/18/2023?51?網(wǎng)絡(luò)安全：對稱密碼流密碼的結(jié)構(gòu)?5/18/2023?52?網(wǎng)絡(luò)安全：對稱密碼概述?

RSA

DSI所擁有，1987年Ron

Rivest設(shè)計,1994年9月公開?

流密碼，面向字節(jié)操作；?

密鑰長度可變；?

數(shù)學(xué)基礎(chǔ)：隨機(jī)置換；?

周期T>10100；?

廣泛使用(web

SSL/TLS,WEP)?

特點：算法簡單，易于描述。?

符號?

K[0～L－1]——