第2章數(shù)據(jù)加密算法NEW 信息安全.ppt

1 第2章數(shù)據(jù)加密算法 2 內(nèi)容 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 3 2 1數(shù)據(jù)加密概念 明文 plaintext 作為加密輸入的原始信息密文 ciphertext 明文變換結(jié)果加密算法 變換函數(shù)密鑰 key 參與變換的參數(shù) 4 加密通信的模型 密碼學(xué)的目的 Alice和Bob兩個(gè)人在不安全的信道上進(jìn)行通信 而破譯者Oscar不能理解他們通信的內(nèi)容 5 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 6 2 2密碼體制 通常一個(gè)完整密碼體制要包括如下五個(gè)要素M C K E DM是可能明文的有限集稱為明文空間C是可能密文的有限集稱為密文空間K是一切可能密鑰構(gòu)成的有限集稱為密鑰空間對(duì)于密鑰空間的任一密鑰 有一個(gè)加密算法和相應(yīng)的解密算法使得ek M C和dk C M 分別為加密解密函數(shù) 滿足 這里 7 一個(gè)密碼體制要是實(shí)際可用的必須滿足如下特性 每一個(gè)加密函數(shù)ek和每一個(gè)解密函數(shù)dk都能有效地計(jì)算破譯者取得密文后 將不能在有效的時(shí)間內(nèi)破解出密鑰k或明文x一個(gè)密碼系統(tǒng)是安全的必要條件窮舉密鑰搜索將是不可行的 即密鑰空間非常大 8 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 9 2 3密碼分類 按發(fā)展進(jìn)程分 古典密碼 基于字符替換的密碼對(duì)稱密鑰密碼公開(kāi)密鑰密碼 10 按密鑰管理的方式分為秘密密鑰算法 對(duì)稱算法的加密密鑰和解密密鑰相同 也叫作秘密密鑰算法或單密鑰算法 如DES算法 公開(kāi)密鑰算法 如果加密和解密的密鑰不同 則稱之為公開(kāi)密鑰算法 如RSA和DH算法 11 按加密模式分 序列密碼 每次加密一位或一字節(jié)的明文 也可以稱為流密碼 分組密碼 將明文分成固定長(zhǎng)度的組 用同一密鑰和算法對(duì)每一塊加密 輸出也是固定長(zhǎng)度的密文 12 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 13 2 4算法分類 經(jīng)典密碼代替密碼 簡(jiǎn)單代替 多名或同音代替 多表代替 多字母或多碼代替換位密碼 對(duì)稱加密算法DES AES非對(duì)稱公鑰算法RSA 背包密碼 McEliece密碼 Rabin 橢圓曲線 EIGamalD H 14 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 15 2 5加密算法 2 5 1簡(jiǎn)單代替密碼或單字母密碼簡(jiǎn)單代替密碼就是將明文字母表M中的每個(gè)字母用密文字母表C中的相應(yīng)字母來(lái)代替 這一類密碼包括移位密碼 替換密碼 仿射密碼 乘數(shù)密碼 多項(xiàng)式代替密碼 密鑰短語(yǔ)密碼等 16 移位密碼 是最簡(jiǎn)單的一類代替密碼 將字母表的字母右移k個(gè)位置并對(duì)字母表長(zhǎng)度作模運(yùn)算形式為ek m k m modq 解密變換為dk c m k modq 其中 q為字母表M的長(zhǎng)度 m 既代表字母表M中的值 也代表其在M中的位置 c 既代表字母表C中的值 也代表其在C中的位置 13mod26 13 27mod26 1 凱撒Caesar密碼是對(duì)英文26個(gè)字母進(jìn)行移位代替的密碼 其M C q 26 這種密碼稱為凱撒密碼是因?yàn)閯P撒使用過(guò)k 3的這種密碼 使用凱撒密碼將明文M meetmeafterthetogaparty加密為C phhwphdiwhowkhwrjdsduwb 17 替換密碼 對(duì)明文字母表的所有字符進(jìn)行所有可能置換得到密文字母表 移位密碼是替換密碼算法一個(gè)特例 設(shè)M C Z 26 K是由26個(gè)符號(hào)0 1 25的所有可能置換組成 任意 定義d y 1 y x 1是 的逆置換 有的是乘法逆元 密鑰空間K很大 K 26 4 1026 破譯者窮舉搜索是不行的 然而 可由統(tǒng)計(jì)的方式破譯它 移位密碼體制是替換密碼體制的一個(gè)特例 它僅含26個(gè)置換做為密鑰空間 18 乘數(shù)密碼 是一種替換密碼 它將每個(gè)字母乘以一個(gè)密鑰k 即ek m kmmodq 其中k和q為互素的 這樣字母表中的字母會(huì)產(chǎn)生一個(gè)復(fù)雜的剩余集合 若k和q不互素 則會(huì)有一些明文字母被加密成相同的密文字母 而且 不是所有的字母都會(huì)出現(xiàn)在密文字母表中 加密函數(shù)取形式為ea x ax mod26 a Z 26 要求唯一解的充要條件是gcd a 26 1 該算法描述為 設(shè)M C Z 26 K a Z 26 gcd a 26 1 對(duì)k a K 定義ek x ax mod26 和dk y a 1 y mod26 x y Z 26 aa 1modq 1a 5 a 1 21a 7 a 1 15 19 例子 a 9 ABCDEFGHIJKLMNOPQRSTUVWXYZAJSBKTCLUDMVENWFOXGPYHQZIR明文密文cipher SUFLKX 20 對(duì)于乘數(shù)密碼 當(dāng)且僅當(dāng)a與 互素時(shí) 加密變換才是一一映射的 因此a的選擇有11種 a 3 5 7 9 11 15 17 19 21 23 25 可能嘗試的密鑰只有11個(gè) 21 仿射密碼 是替換密碼的另一個(gè)特例 加密的形式為ek m k1m k2 modq cmodq 其中k1和q是互素的 22 加密函數(shù)取形式為e x ax b mod26 a b Z 26 要求唯一解的充要條件是gcd a 26 1該算法描述為 設(shè)M C Z 26 K a b Z 26 Z 26 gcd a 26 1 k a b K 定義 ek x ax b mod26 和dk y a 1 y b mod26 x y Z 26 q 26時(shí) 可能的密鑰是26 12 312個(gè) 23 例子 設(shè)k 7 3 注意到7 1 mod26 15 加密函數(shù)是ek x 7x 3 mod26 相應(yīng)的解密函數(shù)是dk y 15 y 3 15y 19 mod26 易見(jiàn)dk ek x dk 7x 3 15 7x 3 19 x 45 19 x mod26 若加密明文 hot 首先轉(zhuǎn)換字母hot成為數(shù)字7 14 19 加密 解密 24 2 5 2單表替換密碼的破譯 簡(jiǎn)單代替密碼由于使用從明文到密文的單一映射 所以明文字母的單字母出現(xiàn)頻率分布與密文中相同 可以很容易地通過(guò)使用字母頻率分析法進(jìn)行只有密文的攻擊 25 2 5 2單表替換密碼的破譯 通過(guò)字母的使用頻率破譯 26 2 5 3多名或同音代替密碼 與簡(jiǎn)單代替密碼類似 只是映射是一對(duì)多的 每個(gè)明文字母可以加密成多個(gè)密文字母 同音代替密碼比簡(jiǎn)單代替密碼難破譯得多 例A可能為3 7 15尤其是當(dāng)對(duì)字母的賦值個(gè)數(shù)與字母出現(xiàn)頻率成比例時(shí) 這是因?yàn)槊芪姆?hào)的相關(guān)分布會(huì)近似于平的 可以挫敗頻率分析 然而 若明文字母的其它統(tǒng)計(jì)信息在密文中仍很明顯時(shí) 那么 同音代替密碼仍然是可破譯的 27 2 5 4多表代替密碼 單字母出現(xiàn)頻率分布與密文中相同 多表代替密碼使用從明文字母到密文字母的多個(gè)映射來(lái)隱藏單字母出現(xiàn)的頻率分布 每個(gè)映射是簡(jiǎn)單代替密碼中的一對(duì)一映射 維吉尼亞Vigenere密碼和博福特Beaufort密碼均是多表代替密碼的例子 多表代替密碼有多個(gè)單字母密鑰 每一個(gè)密鑰被用來(lái)加密一個(gè)明文字母 第一個(gè)密鑰加密明文的第一個(gè)字母 第二個(gè)密鑰加密明文的第二個(gè)字母 等所有密鑰使用完后 密鑰又再循環(huán)使用 維吉尼亞Vigenere密碼算法如下 設(shè)密鑰明文加密變換ek m c1c2 cn 其中 Ci mi ki mod26 密鑰k可以通過(guò)周期性地延長(zhǎng) 反復(fù)進(jìn)行以至無(wú)窮 28 2 5 5多字母或多碼代替密碼 不同于前面介紹的 代替密碼都是每次加密一個(gè)明文字母 多字母代替密碼將明文字符劃分為長(zhǎng)度相同的消息單元 稱為明文組 對(duì)字符塊成組進(jìn)行代替 這樣一來(lái)使密碼分析更加困難 多字母代替的優(yōu)點(diǎn)是容易將字母的自然頻度隱蔽或均勻化 從而 有利于抗擊統(tǒng)計(jì)分析 Playfair密碼Hill密碼都是這一類型的密碼 29 2 5 6換位密碼 在換位密碼中 明文的字母保持相同 但順序被打亂了 由于密文字符與明文字符相同 密文中字母的出現(xiàn)頻率與明文中字母的出現(xiàn)頻率相同 密碼分析者可以很容易地由此進(jìn)行判別 雖然 許多現(xiàn)代密碼也使用換位 但由于它對(duì)存儲(chǔ)要求很大 有時(shí) 還要求消息為某個(gè)特定的長(zhǎng)度 因而比較少用 30 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 31 2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES DataEncryptionStandard 2 6 1DES的產(chǎn)生1973年5月15日 NBS開(kāi)始公開(kāi)征集標(biāo)準(zhǔn)加密算法 并公布了它的設(shè)計(jì)要求 1 算法必須提供高度的安全性 2 算法必須有詳細(xì)的說(shuō)明 并易于理解 3 算法的安全性取決于密鑰 不依賴于算法 4 算法適用于所有用戶 5 算法適用于不同應(yīng)用場(chǎng)合 6 算法必須高效 經(jīng)濟(jì) 7 算法必須能被證實(shí)有效 8 算法必須是可出口的 32 1974年8月27日 NBS開(kāi)始第二次征集 IBM提交了算法LUCIFER 該算法由IBM的工程師在1971 1972年研制1975年3月17日 NBS公開(kāi)了全部細(xì)節(jié)1976年 NBS指派了兩個(gè)小組進(jìn)行評(píng)價(jià)1976年11月23日 采納為聯(lián)邦標(biāo)準(zhǔn) 批準(zhǔn)用于非軍事場(chǎng)合的各種政府機(jī)構(gòu)1977年1月15日 數(shù)據(jù)加密標(biāo)準(zhǔn) FIPSPUB46發(fā)布 33 2 6 2DES的應(yīng)用 1979年 美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用 1980年 美國(guó)國(guó)家標(biāo)準(zhǔn)局 ANSI 贊同DES作為私人使用的標(biāo)準(zhǔn) 稱之為DEA ANSI 392 1983年 國(guó)際化標(biāo)準(zhǔn)組織ISO贊同DES作為國(guó)際標(biāo)準(zhǔn) 稱之為DEA 1 該標(biāo)準(zhǔn)規(guī)定每五年審查一次 計(jì)劃十年后采用新標(biāo)準(zhǔn) 最近的一次評(píng)估是在1994年1月 已決定1998年12月以后 DES將不再作為聯(lián)邦加密標(biāo)準(zhǔn) 34 2 6 3分組密碼的一般設(shè)計(jì)原理 分組密碼是將明文消息編碼表示后的數(shù)字 簡(jiǎn)稱明文數(shù)字 序列 劃分成長(zhǎng)度為n的組 可看成長(zhǎng)度為n的矢量 每組分別在密鑰的控制下變換成等長(zhǎng)的輸出數(shù)字 簡(jiǎn)稱密文數(shù)字 序列 35 2 6 4兩個(gè)基本設(shè)計(jì)方法 Shannon稱之為理想密碼系統(tǒng)中 密文的所有統(tǒng)計(jì)特性都與所使用的密鑰獨(dú)立 擴(kuò)散 Diffusion 明文的統(tǒng)計(jì)結(jié)構(gòu)被擴(kuò)散消失到密文的長(zhǎng)程統(tǒng)計(jì)特性 使得明文和密文之間的統(tǒng)計(jì)關(guān)系盡量復(fù)雜 混亂 confusion 使得密文的統(tǒng)計(jì)特性與密鑰的取值之間的關(guān)系盡量復(fù)雜 36 2 6 5實(shí)現(xiàn)的設(shè)計(jì)原則 軟件實(shí)現(xiàn)的要求 使用子塊和簡(jiǎn)單的運(yùn)算 密碼運(yùn)算在子塊上進(jìn)行 要求子塊的長(zhǎng)度能自然地適應(yīng)軟件編程 如8 16 32比特等 應(yīng)盡量避免按比特置換 在子塊上所進(jìn)行的密碼運(yùn)算盡量采用易于軟件實(shí)現(xiàn)的運(yùn)算 最好是用處理器的基本運(yùn)算 如加法 乘法 移位等 硬件實(shí)現(xiàn)的要求 加密和解密的相似性 即加密和解密過(guò)程的不同應(yīng)僅僅在密鑰使用方式上 以便采用同樣的器件來(lái)實(shí)現(xiàn)加密和解密 以節(jié)省費(fèi)用和體積 盡量采用標(biāo)準(zhǔn)的組件結(jié)構(gòu) 以便能適應(yīng)于在超大規(guī)模集成電路中實(shí)現(xiàn) 37 2 6 6簡(jiǎn)化的DES SimplifiedDES方案 簡(jiǎn)稱S DES方案 加密算法涉及五個(gè)函數(shù) 1 初始置換IP initialpermutation 2 復(fù)合函數(shù)fk1 它是由密鑰K確定的 具有置換和替代的運(yùn)算 3 轉(zhuǎn)換函數(shù)SW 4 復(fù)合函數(shù)fk2 5 初始置換IP的逆置換IP 1 6 置換函數(shù)P8 P10 38 算法如下 39 加密算法的數(shù)學(xué)表示 IP 1 fk2 SW fk1 IP 也可寫(xiě)為 密文 IP 1 fk2 SW fk1 IP 明文 其中K1 P8 移位 P10 密鑰K K2 P8 移位 移位 P10 密鑰K 解密算法的數(shù)學(xué)表示 明文 IP 1 fk1 SW fk2 IP 密文 40 2 6 7對(duì)S DES的深入描述 1 S DES的密鑰生成 設(shè)10bit的密鑰為 k1 k2 k3 k4 k5 k6 k7 k8 k9 k10 置換P10是這樣定義的P10 k1 k10 k3 k5 k2 k7 k4 k10 k1 k9 k8 k6 相當(dāng)于P10 35274101986 LS 1為循環(huán)左移一次 P8 637485109 41 算法如下圖按照上述條件 若K選為 1010000010 產(chǎn)生的兩個(gè)子密鑰分別為K1 10100100 K2 01000011 42 2 S DES的加密運(yùn)算 初始置換用IP函數(shù) IP 末端算法的置換為IP的逆置換 IP 1 易見(jiàn)IP 1 IP X X 43 簡(jiǎn)化的得DES方案加密細(xì)節(jié)如右圖 44 3 函數(shù)fk 是加密方案中的最重要部分 它可表示為 fk L R L F R SK R 其中L R為8位輸入的左右各4位 F為從4位集到4位集的一個(gè)映射 并不要求是1 1的 SK為子密鑰 對(duì)映射F來(lái)說(shuō) 首先輸入是一個(gè)4位數(shù) n1 n2 n3 n4 第一步運(yùn)算是擴(kuò)張 置換 E P 運(yùn)算 E P 41232341 45 E P 41232341 事實(shí)上 它的直觀表現(xiàn)形式為 46 8 bit子密鑰 K1 k11 k12 k13 k14 k15 k16 k17 k18 然后 與E P的結(jié)果作異或運(yùn)算得 47 把它們重記為8位 48 上述第一行的4位輸入進(jìn)S盒S0 產(chǎn)生2 位的輸出 第二行的4位輸入進(jìn)S盒S1 產(chǎn)生2位的輸出 兩個(gè)S盒按如下定義 49 S盒按下述規(guī)則運(yùn)算 將第1和第4的輸入比特做為2bit數(shù) 指示為S盒的一個(gè)行 將第2和第3的輸入比特做為S盒的一個(gè)列 如此確定為S盒矩陣的 i j 數(shù) 例如 P0 0 P0 3 00 并且 P0 1 P0 2 10 確定了S0中的第0行2列 0 2 的系數(shù)為3 記為 11 輸出 由S0 S1輸出4bit經(jīng)置換P4 2431 它的輸出就是F函數(shù)的輸出 50 2 6 8數(shù)據(jù)加密標(biāo)準(zhǔn)DES DataEncryptionStandard DES是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的算法 數(shù)據(jù)分組長(zhǎng)度為64位 密文分組長(zhǎng)度也是64位 使用的密鑰為64位 有效密鑰長(zhǎng)度為56位 有8位用于奇偶校驗(yàn) 解密時(shí)的過(guò)程和加密時(shí)相似 但密鑰的順序正好相反 DES的整個(gè)體制是公開(kāi)的 系統(tǒng)的安全性完全靠密鑰的保密 51 DES算法的過(guò)程 是在一個(gè)初始置換IP initialpermutation 后 明文組被分成右半部分和左半部分 每部分32位以L0和R0表示 然后 是16輪迭代的乘積變換 稱為函數(shù)f 將數(shù)據(jù)和密鑰結(jié)合起來(lái) 16輪之后 左右兩部分再連接起來(lái) 經(jīng)過(guò)一個(gè)初始逆置換IP 1算法結(jié)束 52 53 54 初始置換與初始逆置換在密碼意義上作用不大 他們的作用在于打亂原來(lái)輸入x的ASCII碼字劃分關(guān)系 并將原來(lái)明文的校驗(yàn)位變成置換輸出的一個(gè)字節(jié) 55 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 56 2 7密碼分組操作模式 共四種操作模式電子編碼本ECB密碼分組鏈接CBC密碼反饋CFB輸出反饋OFB 57 2 7 1電子編碼本ECB electroniccodebook 在ECB方式中 對(duì)于相同的密鑰 相同的明文產(chǎn)生相同的密文 58 特點(diǎn) 簡(jiǎn)單和有效可以并行實(shí)現(xiàn)不能隱藏明文的模式信息相同明文相同密文同樣信息多次出現(xiàn)造成泄漏對(duì)明文的主動(dòng)攻擊是可能的信息塊可被替換 重排 刪除 重放誤差傳遞 密文塊損壞 僅對(duì)應(yīng)明文塊損壞 適合于傳輸短信息 59 2 7 2密碼分組鏈接CBC cipherblockchaining 60 特點(diǎn) 沒(méi)有已知的并行實(shí)現(xiàn)算法能隱藏明文的模式信息需要共同的初始化向量IV相同明文不同密文初始化向量IV可以用來(lái)改變第一塊對(duì)明文的主動(dòng)攻擊是不容易的信息塊不容易被替換 重排 刪除 重放誤差傳遞 密文塊損壞兩明文塊損壞安全性好于ECB適合于傳輸長(zhǎng)度大于64位的報(bào)文 還可以進(jìn)行用戶鑒別 是大多系統(tǒng)的標(biāo)準(zhǔn)如SSL IPSec 61 2 7 3密碼反饋CFB cipherfeedback 62 CFB特點(diǎn) 分組密碼流密碼沒(méi)有已知的并行實(shí)現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值IV對(duì)于不同的消息 IV必須唯一誤差傳遞 一個(gè)單元損壞影響兩個(gè)單元 63 2 7 4輸出反饋OFB outputfeedback 64 65 OFB特點(diǎn) OFB 分組密碼流密碼沒(méi)有已知的并行實(shí)現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值IV誤差傳遞 一個(gè)單元損壞只影響對(duì)應(yīng)單元對(duì)明文的主動(dòng)攻擊是可能的 信息塊可被替換 重排 刪除 重放安全性較CFB差 66 2 1數(shù)據(jù)加密概念2 2密碼體制2 3密碼分類2 4算法分類2 5加密算法2 6數(shù)據(jù)加密標(biāo)準(zhǔn)DES2 7密碼分組操作模式2 8其它分組加密算法2 9破譯時(shí)間 67 2 8其它分組加密算法 下面主要考察較為流行的最重要的幾個(gè)對(duì)稱密鑰的分組密碼算法 這些算法都是自DES公布之后 人們了解DES的弱點(diǎn)越來(lái)越深入的情況下給出的 給出的方式有兩種 一種是對(duì)DES進(jìn)行復(fù)合強(qiáng)化它的抗攻擊能力 另一種是開(kāi)辟新的方法 即象DES那樣加解密速度快 又具有抗差分攻擊和其他方式攻擊的能力 這些算法有三重DES IDEA RC5 RC6 Blowfish CAST RC2 68 2 8 1三重DES 這種方式里 使用三或兩個(gè)不同的密鑰對(duì)數(shù)據(jù)塊進(jìn)行三次或兩次加密 加密一次要比進(jìn)行普通加密的三次要快 三重DES的強(qiáng)度大約和112 bit的密鑰強(qiáng)度相當(dāng) 三重DES有四種模型 1DES EEE3使用三個(gè)不同密鑰順序進(jìn)行三次加密變換 2DES EDE3使用三個(gè)不同密鑰依次進(jìn)行加密 解密 加密變換 3DES EEE2其中密鑰K1 K3順序進(jìn)行三次加密變換 4DES EDE2其中密鑰K1 K3依次進(jìn)行加密 解密 加密變換 69 到目前為止 還沒(méi)有人給出攻擊三重DES的有效方法 對(duì)其密鑰空間中密鑰進(jìn)行蠻干搜索 那么由于空間太大這實(shí)際上是不可行的 若用差分攻擊的方法 相對(duì)于單一DES來(lái)說(shuō)復(fù)雜性以指數(shù)形式增長(zhǎng)要超過(guò)1052 70 2 8 2RC5 RC5是由RSA公司的首席科學(xué)家RonRivest于1994年設(shè)計(jì) 95年正式公開(kāi)的一個(gè)很實(shí)用的加密算法 它是一種分組長(zhǎng) 2倍字長(zhǎng)w位 密鑰長(zhǎng) 按字節(jié)數(shù)計(jì) 和迭代輪數(shù)都可變的一種分組迭代密碼 它以RC5 w r b表示 Rivest建議使用的標(biāo)準(zhǔn)RC5為RC5 32 12 16 71 該算法具有如下特性 a 形式簡(jiǎn)單易于軟件或者硬件實(shí)現(xiàn) 運(yùn)算速度快 b 能適應(yīng)于不同字長(zhǎng)的程序 不同字長(zhǎng)派生出相異的算法 c 加密的輪數(shù)可變 這個(gè)參數(shù)用來(lái)調(diào)整加密速度和安全性的程度 d 密鑰長(zhǎng)度是可變的 加密強(qiáng)度可調(diào)節(jié) e 對(duì)記憶度要求不高 使RC5可用于類似SmartCard這類對(duì)記憶度有限定的器件 f 具有高保密性 適當(dāng)選擇好參數(shù) g 對(duì)數(shù)據(jù)實(shí)行bit循環(huán)移位 增強(qiáng)了抗攻擊能力 72 RC5自1995年公布以來(lái) 盡管至今為止還沒(méi)有發(fā)現(xiàn)實(shí)際攻擊的有效手段 然而 一些理論攻擊的文章先后也分析出RC5的一些弱點(diǎn) 73 2 8 3IDEA IDEA是InternationalDataEncryptionAlgorithm的縮寫(xiě) 是1990年由瑞士聯(lián)邦技術(shù)學(xué)院來(lái)學(xué)嘉 X J Lai 和Massey提出的建議標(biāo)準(zhǔn)算法 稱作PES ProposedEncryptionStandard Lai和Massey在1992年進(jìn)行了改進(jìn) 強(qiáng)化了抗差分分析的能力 改稱為IDEA 它也是對(duì)64bit大小的數(shù)據(jù)塊加密的分組加密算法 密鑰長(zhǎng)度為128位 它基于 相異代數(shù)群上的混合運(yùn)算 設(shè)計(jì)思想 算法用硬件和軟件實(shí)現(xiàn)都很容易 它比DES在實(shí)現(xiàn)上快得多 74 2 8 4AES算法 1997年4月15日美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所NIST發(fā)起了征集AES算法的活動(dòng) 并成立了專門的AES工作組 目的是為了確定一個(gè)非保密的公開(kāi)披露的全球免費(fèi)使用的分組密碼算法 用于保護(hù)下一世紀(jì)政府的敏感信息 并希望成為秘密和公開(kāi)部門的數(shù)據(jù)加密標(biāo)準(zhǔn) 75 1997年9月12日在聯(lián)邦登記處公布了征集AES候選算法的通告 AES的基本要求是比三重DES快 而且 至少和三重DES一樣安全 分組長(zhǎng)度128比特 密鑰長(zhǎng)度為128 192 256比特 1998年8月20日NIST召開(kāi)了第一次候選大會(huì)并公布了15個(gè)候選算法 1999年3月22日舉行了第二次AES候選會(huì)議 從中選出5個(gè) 76 AES將成為新的公開(kāi)的聯(lián)邦信息處理標(biāo)準(zhǔn) FIPS FederalInformationProcessingStandard 用于美國(guó)政府組織保護(hù)敏感信息的一種特殊的加密算法 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所 NIST 預(yù)測(cè) AES會(huì)被廣泛地應(yīng)用于組織學(xué)院及個(gè)人 入選AES的五種算法是MARS RC6 Serpent Twofish Rijndael 2000年10月2日美國(guó)商務(wù)部部長(zhǎng)NormanY