第三章對稱密碼體制

1、 l密碼的兩個基本方法 替換和移位(substitution 解密時a=li; 擴展運算e 48位結(jié)果ki + 選擇函數(shù)組 (s1s8) 32位結(jié)果 (a,ki) 置換運算p 32位 l0r0 ip(明文) l1r0 r1 l0(r0,k1) l2r1 r2 l1(r1,k2) l16r15 r16 l15(r15,k16) 密文 ip-1(r16l16) 加密方程： l0r0 ip() lnrn-1 rn ln-1(rn-1,kn) ip-1(r16l16) l重復(fù)交替使用選擇函數(shù)s和置換運算p兩種變 換（confusion + diffusion混淆擴散) 混淆(confusion)：使密

2、文與明文的統(tǒng)計關(guān)系復(fù)雜化。使得輸 出是輸入的非線性函數(shù)；用于掩蓋明文和密文間的關(guān)系。 通過替換法實現(xiàn)，如s盒。 擴散 (diffusion)：使每位明文盡可能影響多位密文。擴展輸 出對輸入的相關(guān)性，盡量使密文的每一位受明文中多位影 響。通過換位法實現(xiàn)，如p盒。 解密方程 (請證明請證明) r16l16 ip() 記為 l0 = r16， r0 = l16 li = ri -1 ri=li -1 f(ri -1 ,ki) ip-1(l0r0) 加密方程： l0r0 ip() lnrn-1 rn ln-1(rn-1,kn) ip-1(r16l16) 請證明des的解 密流程： l0 = r16，

3、r0 = l16 因為li = ri -1 ri=li -1 f(ri -1 ,ki) 所以l1 = r0 l16=r15 r1=l0 f(r0 ,k1)=r16 f(l16,k16) =l15 f(r15,k16) f(r15,k16) =l15 l2=r1=l15=r14 r2= =l14 l16=r0 r16=l0 ldes的主要弱點： 密鑰容量：56位不太可能提供足夠的安全性 迭代次數(shù)問題 s盒：可能隱含有陷井（hidden trapdoors） 提高加密強度（如增加密鑰長度），系統(tǒng)開銷呈指數(shù)增 長，除提高硬件、并行處理外，算法本身和軟件技術(shù)無 法提高加密強度。 des的半公開性：s盒

4、的設(shè)計原理至今未公布 s 盒是des 的最敏感部分，其原理至今未公開。人們擔(dān)心s 盒隱 藏陷門，使得只有他們才可以破譯算法，但研究中并沒有找到弱 點。美國國家安全局透露了s 盒的幾條設(shè)計準(zhǔn)則： 1 所有的s 盒都不是它輸入的線性函數(shù)。就是沒有一個線性方程 能將四個輸出比特表示成六個輸入比特的函數(shù)。 2 改變s 盒的1 位輸入，輸出至少改變2 位。這意味著s 盒是經(jīng) 過精心設(shè)計的，它最大程度上增大了擴散量。 3 s 盒的任意一位輸入保持不變時，輸出0 和1 個數(shù)之差極小。 即如果保持一位不變而改變其它五位，那么其輸出0 和1 的個數(shù) 不應(yīng)相差太多。 4 s盒是精心設(shè)計的，它有利于設(shè)計者破譯密碼。

5、 l二重des （二個密鑰，長度112位） ： 加密：c=ek2ek1(p) 解密：p=dk1dk2(c) k = k1k2 要防止中途攻擊 l三重des（二個密鑰） 加密： c=ek1dk2 ek1(p) 解密： p=dk1ek2 dk1(c) l三重des（三個密鑰） des-eee3：三個不同密鑰，順序使用三次加密算法 des-ede3：三個不同密鑰，依次使用加密-解密-加密算法 l雙重雙重des 加密加密 解密解密 問題：下式成立嗎？問題：下式成立嗎？ 12peeckk 21cddpkk 312pepeekkk l沒有針對三重沒有針對三重des的攻擊方法，它是一種較的攻擊方法，它是一種

6、較 受歡迎的受歡迎的des替代方案。替代方案。 lhas been adopted by some internet applications, eg pgp, s/mime 121pedeckkk 電碼本模式 (electronic codebook) ecb模式 密碼分組鏈接模式 (cipher block chaining) cbc模式 密碼反饋模式 (cipher feedback) cfb模式 輸出反饋模式（output feedback） ofb模式 ecb（ electronic codebook電碼本）模式： 各明文組獨立地以同一密鑰加密；傳送短數(shù)據(jù) l相同的明文對應(yīng)于相同的密

7、文 結(jié)構(gòu)化明文 消息有重復(fù)部分 l主要用于發(fā)送少數(shù)量的分組數(shù)據(jù) lcbc模式(cipher block chaining密碼分組鏈接模式) 用途用途：傳送 數(shù)據(jù)；認證 缺點缺點:導(dǎo)致 錯誤傳播 leach ciphertext block depends on all message blocks before lthus a change in the message affects all ciphertext blocks after the change as well as the original block l密文中錯誤傳播 lneed initial value (iv) kn

8、own to sender & receiver hence either iv must be a fixed value (as in eftpos) or it must be sent encrypted in ecb mode before rest of message l可以用于數(shù)據(jù)完整性保護 lcfb方式(cipher feedback 密碼反饋模式) 利用cfb、ofb模式，可將des轉(zhuǎn)換為流密碼。流 密碼無需填充消息，實時運行。流密碼中明文和密 文長度相同。 lappropriate when data arrives in bits/bytes lmost common

9、stream mode lnote that the block cipher is used in encryption mode at both ends lerrors propagate for several blocks after the error 輸出反饋模式輸出反饋模式 l類似于 cfb lfeedback is from the output of cipher and is independent of message l錯誤不會被傳播 ，不能用于完整性服務(wù) lidea加密算法（瑞士） 1990年賴學(xué)佳和james massey of swiss federal ins

10、titute of technology 64位分組，128位密鑰，8圈,同一算法既可加密也可解密 daemen發(fā)現(xiàn)該算法有多達251個弱密鑰 lblowfish bruce schneier 1995發(fā)表, 64位分組, 最大到448位可變長 密鑰(32448bit密鑰密鑰)。 lrc5、rc2 ron rivest開發(fā)，可變長加密算法 1. aes的起源的起源 l1997年年9月，月，nist征集征集aes方案，以替代方案，以替代des。 l1999年年8月，以下月，以下5個方案成為最終候選方案：個方案成為最終候選方案：mars, rc6, rijndael, serpent, twofi

11、sh。 l2000年年10月，由比利時的月，由比利時的joan daemen和和vincent rijmen提出提出 的算法最終勝出。（的算法最終勝出。（ rijndael 讀成讀成rain doll。）。） lhttp:/www.esat.kuleuven.ac.be/rijmen/rijndael/ laes被開發(fā)用于替代des，但nist預(yù)測triple des仍將在近期作 為一種實用的算法，單des將逐步退出。 大體了解p36圖3.11(a) l能抵抗所有已知的攻擊；能抵抗所有已知的攻擊； l在各種平臺上易于實現(xiàn)，速度快；在各種平臺上易于實現(xiàn)，速度快； l設(shè)計簡單。設(shè)計簡單。 rijn

12、dael是一個分組密碼算法，其分組是一個分組密碼算法，其分組 長度和密鑰長度相互獨立，都可以改變。長度和密鑰長度相互獨立，都可以改變。 優(yōu)劣標(biāo)準(zhǔn)：安全性；計算效率；簡便靈活。 分組長度（分組長度（ bit） 128 192 256 密鑰長度密鑰長度 （bit） 128 192 256 表表 1. 分組長度和密鑰長度的不同取值分組長度和密鑰長度的不同取值 l按比特進行數(shù)據(jù)處理 l(偽)隨機密鑰流 lrandomness of stream key completely destroys any statistically properties in the message ci = mi xor stream keyi l同步流密碼 密鑰不依賴于明文 l自同步流密碼 密鑰依賴于明文 l不可重復(fù)使用密鑰流 l設(shè)計流密碼主要的考慮因素： 加密序列的周期要長 密鑰流應(yīng)盡可能地接近一個真正的隨機數(shù)流的特 征 密鑰應(yīng)該足夠長 la proprietary cipher owned by rsa dsi lanother ron rivest design, simple but effective lvariable