信息安全導(dǎo)論（以問題為導(dǎo)向） 課件 03 現(xiàn)代分組密碼

現(xiàn)代分組密碼-Modern

Block

Cipher以DES為例1教學(xué)視頻、國家級一流在線課程鏈接：/course/FUDAN-1206357811本講內(nèi)容分組密碼流密碼2相對的概念本講內(nèi)容現(xiàn)代分組密碼設(shè)計(jì)的一般性原則DES加密算法3回顧：對稱密碼模型AliceBob4本講內(nèi)容現(xiàn)代分組密碼設(shè)計(jì)的一般性原則Shannon理論奠基Feistel結(jié)構(gòu)DES加密算法5乘積密碼單次替代或置換方法構(gòu)造密碼技術(shù)并不安全因此考慮連續(xù)多次使用簡單的加密方法可以構(gòu)造更強(qiáng)的密碼：

兩次替代構(gòu)成一個(gè)更復(fù)雜的替代密碼兩次置換構(gòu)成一個(gè)更復(fù)雜的置換密碼替代與置換的疊加同樣……通向現(xiàn)代密碼技術(shù)的基本道路6Shannon理論奠基Shannon提出利用擾亂（Confusion）和擴(kuò)散（Diffusion）交替的方法來構(gòu)造乘積密碼密碼SPN：SubstitutionPermutationNetwork 替代-置換網(wǎng)絡(luò)目的是：使基于統(tǒng)計(jì)的分析方法不易或者不能實(shí)現(xiàn)Shannon理論是現(xiàn)代分組密碼算法的基礎(chǔ)7SPN的基本操作8SPN9SPN的雪崩效應(yīng)1011Feistel結(jié)構(gòu)由HorstFeistel發(fā)明目的是構(gòu)造可逆的乘積密碼把輸入的分組分成兩個(gè)部分進(jìn)行多輪的變換（替代和置換）輪函數(shù)是關(guān)鍵體現(xiàn)了Shannon的SPN理念12FeistelCipherStructure本講內(nèi)容現(xiàn)代分組密碼設(shè)計(jì)的一般性原則DES加密算法1314分組密碼以分組為加密/解密處理的最小單位-“多”對“一”分組：可以理解為連續(xù)的多個(gè)字母64-bits或更多分組密碼非常廣泛的應(yīng)用于現(xiàn)代加密系統(tǒng)15DataEncryptionStandard(DES)最廣泛使用的密碼系統(tǒng)1977年，被NBS(nowNIST)選為標(biāo)準(zhǔn)asFIPSPUB46分組64-bit，使用56-bitkey它的安全性曾引起了廣泛的爭論NBS(NationalBureauofStandards)NIST(NationalInstituteofStandardsandTechnology)美國國家標(biāo)準(zhǔn)局16DES算法的歷史1969年前后IBM的Feistel研究組的工作NIST1973年開始研究除國防部外的其它部門的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn)，于1973年5月15日和1974年8月27日先后兩次向公眾發(fā)出了征求加密算法的公告加密算法要達(dá)到的目的有四點(diǎn)高質(zhì)量的數(shù)據(jù)保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺的修改；具有相當(dāng)高的復(fù)雜性，使得破譯的開銷超過可能獲得的利益，同時(shí)又要便于理解和掌握；DES密碼體制的安全性應(yīng)該不依賴于算法的保密，其安全性僅以加密密鑰的保密為基礎(chǔ)；實(shí)現(xiàn)經(jīng)濟(jì)，運(yùn)行有效，并且適用于多種完全不同的應(yīng)用17DES算法的原理DES算法的入口參數(shù)有三個(gè)：Key、Data、ModeKey為8個(gè)字節(jié)共64位，是DES算法的工作密鑰Data分組也為8個(gè)字節(jié)64位，被加密或被解密的數(shù)據(jù)Mode為DES的工作方式有兩種：加密或解密18DES算法概貌19DES算法的實(shí)現(xiàn)步驟DES算法實(shí)現(xiàn)加密需要三個(gè)步驟：第一步：變換明文。對給定的64位比特的明文x，首先通過一個(gè)置換IP表來重新排列x，從而構(gòu)造出64位比特的x0，x0=IP(x)=L0R0，其中L0表示x0的前32比特，R0表示x0的后32位第二步：按照規(guī)則迭代。規(guī)則為Li=Ri-1Ri=Li⊕F(Ri-1,Ki)（i=1,2,3…16）20DES算法的實(shí)現(xiàn)步驟第二步：經(jīng)過第一步變換已經(jīng)得到L0和R0的值，其中符號⊕表示的數(shù)學(xué)運(yùn)算是異或，F(xiàn)函數(shù)表示一種密碼變換，由S盒替代構(gòu)成，Ki是一些由密鑰編排函數(shù)產(chǎn)生的比特塊F和Ki將在后面介紹第三步：對L16R16利用IP-1作逆置換，就得到了密文y21（1）IP置換表和IP-1逆置換表輸入的64位數(shù)據(jù)按置換IP表進(jìn)行重新組合，并把輸出分為L0、R0兩部分，每部分各長32位，其置換IP表如表：5850123426181026052443628201246254463830221466456484032241685749413325179159514335271911361534537292113563554739312315722逆置換表IP-1

4084816562464323974715552363313864614542262303754513532161293644412522060283534311511959273424210501858263314194917572523每一輪做什么24F函數(shù)詳解25子密鑰Ki的生成假設(shè)密鑰為K，長度為64位，但是其中第8、16、24、32、40、48、64用作奇偶校驗(yàn)位，實(shí)際上密鑰長度為56位。K的下標(biāo)i的取值范圍是1到16，用16輪來構(gòu)造26子密鑰Ki的生成27DES算法的安全性1993年R.Session和M.Wiener給出了一個(gè)非常詳細(xì)的密鑰搜索機(jī)器的設(shè)計(jì)方案它基于并行的密鑰搜索芯片每個(gè)芯片每秒測試5×107個(gè)密鑰當(dāng)時(shí)這種芯片的造價(jià)是10.5美元5760個(gè)這樣的芯片組成的系統(tǒng)需要10萬美元系統(tǒng)平均1.5天即可找到密鑰，如果利用10個(gè)這樣的系統(tǒng)，費(fèi)用是100萬美元，但搜索時(shí)間可以降到2.5小時(shí)28DES算法的安全性1997年1月28日，RSA公司在互聯(lián)網(wǎng)上開展了一項(xiàng)名為“密鑰挑戰(zhàn)”的競賽，懸賞一萬美元，破解一段用56比特密鑰加密的DES密文一位名叫RockeVerser的程序員設(shè)計(jì)了一個(gè)可以通過互聯(lián)網(wǎng)分段運(yùn)行的密鑰窮舉搜索程序，組織實(shí)施了一個(gè)稱為DESHALL的搜索行動，成千上萬的志愿者加入在行動實(shí)施的第96天，即挑戰(zhàn)賽計(jì)劃公布的第140天，1997年6月17日晚上10點(diǎn)39分，美國鹽湖城Inetz公司的職員MichaelSanders成功地找到了密鑰，在計(jì)算機(jī)上顯示了明文：“Theunknownmessageis:Strongcryptographymakestheworldasaferplace”29AES,AdvancedEncryptionStandard需要DES的替代品理論上實(shí)踐上，窮舉法攻擊的成功3重-DES，但速度慢NIST發(fā)布新的密碼征求令，1997最終，2000年10月，Rijndael被選中成為AES2001年11