密碼編碼學(xué)與網(wǎng)絡(luò)安全(第五版)向金海03-分組密碼與d

Chapter3分組密碼與數(shù)據(jù)加密標準 2020 4 19 2 Playfair hill Vigen re的密鑰空間 單表和多表的區(qū)別 2020 4 19 3 本節(jié)課程內(nèi)容 分組密碼一般原理 設(shè)計準則 設(shè)計方法DES加解密算法DES的強度 2020 4 19 4 3 1分組密碼原理 流密碼每次加密數(shù)據(jù)流的一位或一個字節(jié)分組密碼將一個明文組作為整體加密且通常得到的是與之等長的密文組 2020 4 19 5 流密碼模型 加密算法 密文 明文 密鑰K b位 b位 2020 4 19 6 分組密碼的一般設(shè)計原理 分組密碼是將明文消息編碼表示后的數(shù)字 簡稱明文數(shù)字 序列 劃分成長度為n的組 可看成長度為n的矢量 每組分別在密鑰的控制下變換成等長的輸出數(shù)字 簡稱密文數(shù)字 序列理想分組密碼體制2n 個映射大規(guī)模 2020 4 19 7 Feistel網(wǎng)絡(luò) 1 Feistel網(wǎng)絡(luò)的設(shè)計動機密鑰長為k位 分組長為n位 采用2k個變換 一個分組密碼是一種映射 記為E X K 或稱為明文空間 稱為密文空間 為密鑰空間 Feistel網(wǎng)絡(luò) 2 2020 4 19 9 Shannon目的 挫敗基于統(tǒng)計方法的密碼分析混淆 confusion 使得密文的統(tǒng)計特性與密鑰的取值之間的關(guān)系盡量復(fù)雜 擴散 diffusion 明文的統(tǒng)計特征消散在密文中 使得明文和密文之間的統(tǒng)計關(guān)系盡量復(fù)雜 刻畫密碼系統(tǒng)的兩個基本構(gòu)件 Feistel網(wǎng)絡(luò) 3 2020 4 19 10 分組長度密鑰長度輪數(shù)子密鑰生成算法輪函數(shù)F快速軟件加解密易于分析 Feistel網(wǎng)絡(luò) 4 2020 4 19 11 3 2數(shù)據(jù)加密標準DES DES的歷史DES的基本結(jié)構(gòu)DES核心構(gòu)件的細節(jié)描述DES輪密鑰的生成DES的安全性分析 2020 4 19 12 數(shù)據(jù)加密標準 DES 第一個并且是最重要的現(xiàn)代分組密碼算法 2020 4 19 13 歷史 發(fā)明人 美國IBM公司W(wǎng) Tuchman和C Meyer1971 1972年研制成功基礎(chǔ) 1967年美國HorstFeistel提出的理論產(chǎn)生 美國國家標準局 NBS 1973年5月到1974年8月兩次發(fā)布通告 公開征求用于電子計算機的加密算法 經(jīng)評選從一大批算法中采納了IBM的LUCIFER方案標準化 DES算法1975年3月公開發(fā)表 1977年1月15日由美國國家標準局頒布為數(shù)據(jù)加密標準 DataEncryptionStandard 于1977年7月15日生效 2020 4 19 14 DES是一種用56位密鑰來加密64位數(shù)據(jù)的方法 概述 2020 4 19 15 DES算法框圖 DES的核心部件 兩次置換 初始置換和初始逆置換 密鑰控制下的十六輪迭代加密輪密鑰生成 2020 4 19 16 2020 4 19 17 初始置換和初始逆置換 2020 4 19 18 初始置換和初始逆置換 DES中的初始置換和初始逆置換 2020 4 19 19 初始置換與初始逆置換是互逆的嚴格而言不具有加密的意義 Note 2020 4 19 20 DES的十六輪迭代加密 十六輪迭代加密 Roundi 第i輪加密 2020 4 19 21 DES第i輪迭代加密 2020 4 19 22 F函數(shù) 2020 4 19 23 擴展E置換 E 盒 2020 4 19 24 S盒 1 2020 4 19 25 S 盒是DES加密算法的唯一非線性部件 S盒 2 2020 4 19 26 S 盒 S盒 3 2020 4 19 27 輸入 輸出 S 盒的查表操作 S盒 4 2020 4 19 28 DES中其它算法都是線性的 而S 盒運算則是非線性的提供了密碼算法所必須的混亂作用S 盒不易于分析 它提供了更好的安全性S 盒的設(shè)計未公開 Note S盒 5 2020 4 19 29 P置換 2020 4 19 30 直接P置換 P 盒 P置換 2020 4 19 31 F函數(shù) 2020 4 19 32 DES第i輪迭代加密 2020 4 19 33 2020 4 19 34 子密鑰產(chǎn)生器 2020 4 19 35 2020 4 19 36 置換選擇1 循環(huán)左移的次數(shù) 舍棄了奇偶校驗位 即第8 16 64位 2020 4 19 37 壓縮置換2 舍棄了第9 18 22 25 35 38 43 54比特位 2020 4 19 38 加密過程 L0R0 IP Li Ri 1i 1 16 1 Ri Li 1 f Ri 1 ki i 1 16 2 IP 1 R16L16 1 2 運算進行16次后就得到密文組 解密過程 R16L16 IP Ri 1 Lii 1 16 3 Li 1 Ri f Li 1 ki i 1 16 4 IP 1 R0L0 3 4 運算進行16次后就得到明文組 DES加解密的數(shù)學(xué)表達 2020 4 19 39 安全性DES的安全性完全依賴于所用的密鑰 從DES誕生起 對它的安全性就有激烈的爭論 一直延續(xù)到現(xiàn)在弱密鑰和半弱密鑰DES算法在每次迭代時都有一個子密鑰供加密用 如果給定初始密鑰k 各輪的子密鑰都相同 即有k1 k2 k16 就稱給定密鑰k為弱密鑰 Weakkey 3 3DES的強度 2020 4 19 40 若k為弱密鑰 則有DESk DESk x xDESk 1 DESk 1 x x即以k對x加密兩次或解密兩次都可恢復(fù)出明文 其加密運算和解密運算沒有區(qū)別 而對一般密鑰只滿足DESk 1 DESk x DESk DESk 1 x x弱密鑰下使DES在選擇明文攻擊下的搜索量減半 如果隨機地選擇密鑰 則在總數(shù)256個密鑰中 弱密鑰所占比例極小 而且稍加注意就不難避開 因此 弱密鑰的存在不會危及DES的安全性 DES的強度 1 2020 4 19 41 雪崩效應(yīng) DES的強度 2 2020 4 19 42 56位密鑰的使用256 7 2x10161997 幾個月1998 幾天1999 22個小時 DES算法的性質(zhì) S盒構(gòu)造方法未公開 計時攻擊 DES的強度 3 2020 4 19 43 差分密碼分析通過分析明文對的差值對密文對的差值的影響來恢復(fù)某些密文比特線性密碼分析通過尋找DES變換的線性近似來攻擊 DES的強度 4 2020 4 19 44 3 4分組密碼的工作模式 FIPS81中定義了4種模式 到800 38A中將其擴展為5個 可用于所有分組密碼 DES的工作模式若明文最后一段不足分組長度 則補0或1 或隨機串 2020 4 19 45 DES的工作模式 2020 4 19 46 電碼本模式ECB 工作模式加密 Cj Ek Pj j 1 2 n 解密 Pj Dk Cj 應(yīng)用特點錯誤傳播不傳播 即某個Ct的傳輸錯誤只影響到Pt的恢復(fù) 不影響后續(xù)的 j t 2020 4 19 47 ElectronicCodebookBook ECB 2020 4 19 48 摘自 NISTSpecialPublication800 38A2001Edition 2020 4 19 49 密碼分組鏈接模式 工作模式加密解密應(yīng)用加密長度大于64位的明文P認證特點錯誤傳播 2020 4 19 50 CipherBlockChaining CBC 2020 4 19 51 摘自 NISTSpecialPublication800 38A2001Edition 2020 4 19 52 工作模式加密解密應(yīng)用保密 加密長度大于64位的明文P 分組隨意 可作為流密碼使用 認證 特點分組任意安全性優(yōu)于ECB模式加 解密都使用加密運算 不用解密運算 錯誤傳播有誤碼傳播 設(shè) 則錯誤的Ct會影響到Pt Pt r 密碼反饋模式 2020 4 19 53 CipherFeedBack CFB 2020 4 19 54 摘自 NISTSpecialPublication800 38A2001Edition 2020 4 19 55 輸出反饋模式 工作模式加密解密應(yīng)用特點缺點 抗消息流篡改攻擊的能力不如CFB 錯誤傳播不傳播 2020 4 19 56 OutputFeedBack OFB 2020 4 19 57 摘自 NISTSpecialPublication800 38A2001Edition 2020 4 19 58 工作模式加密 給定計數(shù)器初值IV 則j 1 2 N解密特點優(yōu)點硬件效率 可并行處理 軟件效率 并行化 預(yù)處理 隨機訪問 比鏈接模式好 可證明的安全性 至少與其它模式一樣安全 簡單性 只用到加密算法 錯誤傳播不傳播 計數(shù)器模式 2020 4 19 59 Counter CTR 2020