五、分組密碼-DES

1、分組密碼分組密碼主要內(nèi)容 概述 分組密碼的設(shè)計原則 分組密碼常見的設(shè)計方法 數(shù)據(jù)加密標準DES概述設(shè)明文消息編碼表示后的二元數(shù)字序列為M=x0,x1,xk,分組密碼首先將M劃分成長為m的塊M=B0,B1,Bi,，其中，Bi=(xim,xim+1,xim+m-1)然后分別在密鑰K的控制下加密成長度為n的塊Ci =(yin,yin+1,yin+n-1)Ci=Ek(Bi)(1)若nm，則為有數(shù)據(jù)擴展數(shù)據(jù)擴展的分組密碼；(2)若nm，則為有數(shù)據(jù)壓縮數(shù)據(jù)壓縮的分組密碼；(3)若n=m，則為無數(shù)據(jù)擴展也無壓縮無數(shù)據(jù)擴展也無壓縮的分組密碼。概述 數(shù)學(xué)模型Ek()為密鑰為k時的加密函數(shù)，稱Dk()解密函數(shù)概述

2、 DES加密算法的特點速度快、易于標準化、便于軟硬件實現(xiàn)。通常是信息與網(wǎng)絡(luò)安全中實現(xiàn)數(shù)據(jù)加密和認證的核心體制，有著廣泛的應(yīng)用。分組密碼的設(shè)計原則分組密碼的設(shè)計原則 針對安全性的設(shè)計原則 針對實現(xiàn)的設(shè)計原則分組密碼的設(shè)計原則 針對安全性的設(shè)計原則（1）分組長度和密鑰長度 當(dāng)明文分組長度為n時，至多需要2n個明文-密文對就徹底破解了密碼。同理，當(dāng)密鑰長度為n位時，對一個截獲的密文，至多需要試驗2n個密鑰就破解了該密文。 因此從安全性角度考慮，明文分組長度和密鑰明文分組長度和密鑰長度盡可能大長度盡可能大。分組密碼的設(shè)計原則 針對安全性的設(shè)計原則（2）擾亂原則 又稱混淆（confusion）原則。所設(shè)

3、計的密碼應(yīng)使密鑰、明文和密文之間的依賴關(guān)系相當(dāng)復(fù)雜，掩蓋明文和密文之間的關(guān)系，以至于這種依賴性對密碼分析者來說無法利用。分組密碼的設(shè)計原則 針對安全性的設(shè)計原則（3）擴散原則 所設(shè)計的密碼應(yīng)使得密鑰的每一位影響密文的許多位以防止對密鑰進行逐段破譯，而且明文的每一位也應(yīng)影響密文的許多位以便隱藏明文的統(tǒng)計特性。 小擾動的影響波及到全局 明文中的一位影響到密文的多位，增加密文與明文之間的復(fù)雜性 密文沒有統(tǒng)計特性分組密碼的設(shè)計原則 針對安全性的設(shè)計原則（4）密碼體制必須能抵抗現(xiàn)有的所有攻擊方法。分組密碼的設(shè)計原則 針對實現(xiàn)的設(shè)計原則從安全性角度來說，用一個足夠大的S-盒盒就能夠提供較高的安全性，但這并

4、不利于計算機的軟硬件實現(xiàn)，如由64比特明文到64比特密文可構(gòu)成一個相當(dāng)安全的加密算法，但是需要1020字節(jié)的存儲空間來實現(xiàn)。因此，在計算機中靈活有效地實現(xiàn)是一個重要的設(shè)計原則。一般實現(xiàn)方式有兩種：軟件方式和硬件方式。硬件實現(xiàn)的優(yōu)點是運算快，軟件的優(yōu)點是靈活、代價小。分組密碼的設(shè)計原則 針對實現(xiàn)的設(shè)計原則(1)軟件實現(xiàn)的設(shè)計原則：使用子塊和簡單的計算，在將分組劃分子塊時，一般將子塊分為8、16、32比特等。另外，軟件實現(xiàn)中按位置換是難于實現(xiàn)的，盡量避免。還有，密碼運算應(yīng)多使用標準處理器的基本指令，如加法、乘法和移位等，以使得提交的算法能在多種平臺上運行。分組密碼的設(shè)計原則 針對實現(xiàn)的設(shè)計原則(2

5、)硬件實現(xiàn)的設(shè)計原則：為了節(jié)約成本，減少硬件邏輯門的數(shù)量，一般將算法設(shè)計成加解密相似，即同樣的器件又可加密也可解密，所在的區(qū)別只是密鑰的使用方式不同。另外，盡量將密碼設(shè)計成迭代型，通過使用較為簡單的輪函數(shù)來達到足夠的安全性。分組密碼常見的設(shè)計方法分組密碼常見的設(shè)計方法三種結(jié)構(gòu)： S-P網(wǎng)絡(luò)結(jié)構(gòu) Feistel（法伊斯特爾）結(jié)構(gòu) LM結(jié)構(gòu)分組密碼常見的設(shè)計方法 S-P網(wǎng)絡(luò) S-P網(wǎng)絡(luò)的設(shè)計思想于1949年由Shannon提出，是構(gòu)成現(xiàn)代分組密碼的基礎(chǔ)。 每一輪中，輸入數(shù)據(jù)先作用于一個由子密鑰控制的函數(shù)S，然后將所得結(jié)果再作用于一個置換P。S是由密鑰控制的非線性變換非線性變換；P是與密鑰無關(guān)的可逆

6、的線性變換線性變換。分組密碼常見的設(shè)計方法 S-P網(wǎng)絡(luò)S-也稱為代替層代替層，主要起擾亂作用P-也稱為置換層置換層，主要起擴散作用S-P網(wǎng)絡(luò)是基于古典密碼學(xué)的兩個基本操作： 代替substitution(S-box，S盒) 置換permutation(P-box，P盒)S-P網(wǎng)絡(luò)的一個典型應(yīng)用。 Feistel分組密碼的基本結(jié)構(gòu)1.初始輸入：2L位明文和初始密鑰K2. 2L位明文分成等長兩個部分L0和R03.加密過程分為n輪進行，其中第i輪的輸入包括：第i-1輪的輸出Li-1和Ri-1以及從初始密鑰K產(chǎn)生的子密鑰Ki。4.加密分成兩步：第一步使用輪函數(shù)F對Ri-1和子密鑰Ki進行變換，將結(jié)果與

7、Li-1進行異或，結(jié)果作為Ri。（代換過程代換過程）第二步將Ri-1直接作為Li。（置換過程置換過程）分組密碼常見的設(shè)計方法分組密碼常見的設(shè)計方法 Feistel（法伊斯特爾）結(jié)構(gòu)第i輪加密過程如下：分組密碼常見的設(shè)計方法進一步說明：（1）給定明文P=L0R0，運算r輪后加密完成，輸出密文C=RrLr。（2）每一輪的運算為：Li=Ri-1，Ri=Li-1 F(Ri-1,Ki)F為輪函數(shù)，Ki是子密鑰。（3）加密過程具有可逆性，因為：Ri-1=Li，Li-1=Ri F(Li,Ki)分組密碼常見的設(shè)計方法 Feistel分組密碼的解密過程因加密過程具有可逆性，所以Feistel分組密碼的解密過程與

8、加密過程完成相同：解密過程將密文作為輸入，再進行r論加密運算即得到明文，但是解密過程中使用子密鑰的次序與加密過程相反。即第1輪使用Kr，第2輪使用Kr-1，第r輪使用K1。分組密碼常見的設(shè)計方法 F函數(shù)的設(shè)計準則輪函數(shù)F是分組密碼的核心，對消息序列進行混淆操作。1. F函數(shù)非線性：非線性程度越強，安全性越高2. 嚴格雪崩準則：當(dāng)任何一個輸入位i發(fā)生改變時，任何輸出位j的值發(fā)生改變的概率為1/2.3. 獨立準則：當(dāng)任何一個輸入位i發(fā)生改變時，輸出位j和k的值獨立地發(fā)生改變。分組密碼常見的設(shè)計方法 Feistel結(jié)構(gòu)的特點1. 分組大?。涸酱蟀踩栽礁?，但速度下降，64bit較合理2. 密鑰位數(shù)：

9、越大安全性越高，但速度下降，64bit廣泛使用，但現(xiàn)在不夠用。3. Feistel結(jié)構(gòu)中算法至少需要兩輪才能改變輸入的每一位，因此Feistel型密碼的擴散稍慢，要求輪數(shù)不少于16次4. 子密鑰產(chǎn)生算法：算法越復(fù)雜，就越增加密碼分析的難度5. 輪函數(shù)：函數(shù)越復(fù)雜，就越增加密碼分析的難度6. 能夠快速軟件實現(xiàn)，包括加密和解密算法7. 易于分析算法的保密強度以及擴展方法分組密碼常見的設(shè)計方法總結(jié)： Feistel（法伊斯特爾）結(jié)構(gòu)的基本思想 （1）交替使用“代替”和“置換” （2）混亂和擴散概念的應(yīng)用分組密碼常見的設(shè)計方法 LM結(jié)構(gòu)Xuejia Lai和James Massey提出將明文P分成等長

10、的兩個部分L0和R0。第i輪的運算規(guī)則：T=F(Li-1 Ri-1，Ki)；Li=Li-1 T；Ri=Ri-1 T。分組密碼常見的設(shè)計方法 LM結(jié)構(gòu) 特點：MA結(jié)構(gòu)采用的數(shù)學(xué)運算較多，軟件實現(xiàn)的效率將不是太高，但是對算法的分析變得困難。數(shù)據(jù)加密標準DES歷史1972年，美國國家標準局(NBS)制定計劃對標準的密碼算法進行開發(fā)，來規(guī)范密碼技術(shù)應(yīng)用的混亂局面，用于保護計算機和通信。要求： 算法能夠被測試和驗證 不同設(shè)備間可以互相操作 實現(xiàn)成本低1973年5月15日，NBS在聯(lián)邦紀事上公布消息公開征集加密算法，提出相關(guān)要求：（1）算法具有較高的安全性，安全性僅依賴于密鑰，不依賴于算法（2）算法完全確

11、定，易于理解（3）算法對任何用戶沒有區(qū)別，適用于各種用途（4）實現(xiàn)算法的電子器件必須很經(jīng)濟（5）算法必須能夠驗證、出口歷史歷史起初，由于公眾對密碼知識的缺乏，雖響應(yīng)激烈，但提交的方案并不理想。1974年8月27日，NBS再次發(fā)表征集公告，IBM提交良好算法。算法由Host Feistel 1971年設(shè)計，是對Luciffer密碼算法的改進。1975年3月17日，NBS在聯(lián)邦紀事上公布算法的細節(jié)，隨后發(fā)表通知，征求公眾的評論。1975年11月23日，這一算法被采納為聯(lián)邦標準，盡管受到強烈的批評和指責(zé)。歷史標準的正式文本FIPS PUB48(DES)在1977年1月15日公布。其他文件 FIPS

12、PUB81(DES工作方式) FIPS PUB74(DES實現(xiàn)和使用指南) FIPS PUB112(DES口令加密) FIPS PUB113(DES計算機數(shù)據(jù)鑒別)相繼于80年代初公布。歷史1981年，美國國家標準研究所（ANST）批準DES作為私營部門的數(shù)據(jù)加密標準，稱為DEA，有關(guān)文件： ANSI X3.92(DEA) ANSI X3.106(DEA工作方式) ANSI X3.105(網(wǎng)絡(luò)加密標準)等相繼公布。 總體結(jié)構(gòu)分組長度為64位循環(huán)次數(shù)為16密鑰長度為64位（包括8位奇偶校驗位） 總體描述(1)初始置換IP，將64為明文分成兩個部分。IP只進行一次。(2)之后進行16輪加密運算，稱

13、為函數(shù)函數(shù)f(3)最后進行末尾置換IP-1，為初始置換的逆置換。 總體描述：函數(shù)函數(shù)f的運算包括四個部分(1)首先進行密鑰序列移位，從移位后的56位密鑰序列中選出48位；(2)其次通過擴展置換將輸入序列的32位的右半部分擴展成48位，之后與48位的輪密鑰進行異或(3)第三步通過8個S-盒將異或運算后獲得的48位序列替代成一個32位的序列(4)最后對32位的序列應(yīng)用P-盒進行置換得到f的32位輸出序列。將函數(shù)f的輸出與輸入序列的左半部分進行異或的結(jié)果作為新一輪輸入序列的右半部分，且輸入序列的右半部分作為左半部分。上述過程重復(fù)16輪。假設(shè)Bi是第i輪計算結(jié)果，Li和Ri分別是Bi的左半部分和右半部

14、分，Ki是密鑰，f函數(shù)為函數(shù)為代代換、置換、異或等換、置換、異或等運算的函數(shù)運算的函數(shù)。加密的具體過程為：Li=Ri-1Ri=Li-1 f(Ri-1,Ki)第i輪的具體過程詳細操作過程(1)初始置換IP（Initial Permutation）初始置換如表1所示。58 50 42 34 26 18 10260 52 44 36 28 20 12462 54 46 38 30 22 14664 56 48 40 32 24 16857 49 41 33 25 179159 51 43 35 27 19 11361 53 45 37 29 21 13563 55 47 39 31 23 157詳細

15、操作過程(2)密鑰置換初始密鑰大小為8個字節(jié)，共64位，每個字節(jié)的第8位為校驗位，實際為56位。首先對密鑰進行如下置換操作。57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124詳細操作過程(2)密鑰置換之后，從置換后的密鑰中產(chǎn)生子密鑰：1.循環(huán)左移：先將56位分成長度都是28位的兩部分，再根據(jù)加密輪數(shù)，兩部分密鑰分別循環(huán)左移1位或2位，如下表：輪數(shù)12345678位數(shù)11222222輪數(shù)910111213141516位數(shù)1222222157

16、494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124詳細操作過程(2)密鑰置換2.壓縮置換（Compression Permutation）：從56位密鑰中選出48位作為當(dāng)前加密的輪密鑰。表格中數(shù)字為56位密鑰中的位數(shù)，表格的位置為48位當(dāng)前密鑰的位置。如原密鑰中第33位是當(dāng)前密鑰的35位，原密鑰的18位在當(dāng)前密鑰中不出現(xiàn)。1417112415328156211023191242681672720132415231374755304051453

17、34844493956345346425036293249413325179158504234261810259514335271911360524436575547393123157625446383022146615345372921135282012463詳細操作過程子密鑰生成過程子密鑰生成過程子密鑰產(chǎn)生過程中，由于每一次進行壓縮置換之前都包含一個循環(huán)移位操作，因此產(chǎn)生每一個子密鑰時，使用了不同的初始密鑰子集。初始密鑰的所有位在子密鑰中出現(xiàn)的次數(shù)并不完全相同，每一位大約會被14個子密鑰使用詳細操作過程(3)擴展變換（Expansion Permutation, E-盒）將64位輸入序列的

18、右半部分Ri從32位擴展到48位。不僅改變了32位輸入序列中的次序，而且重復(fù)了某些位。3212345456789891011121312131415161716171819202120212223242524252627282928293031321詳細操作過程(3)擴展變換（Expansion Permutation, E-盒）三個基本目的：1. 產(chǎn)生一個與輪密鑰長度相同的48位序列，實現(xiàn)與論密鑰的異或運算2. 將32位擴展成48位，使得在接下來的替代運算中進行壓縮，從而達到更好的安全性3. 由于輸入序列的每一位將影響到兩個替換，體現(xiàn)出良好的“雪崩效應(yīng)”詳細操作過程(4)S-盒替代48位輪密

19、鑰與擴展后的分組序列進行異或運算，得到48位的結(jié)果序列，接下來應(yīng)用S-盒對該序列進行替代運算 。每個S-盒對應(yīng)6位輸入，得到相應(yīng)4位輸出。8個S-盒各不相同。詳細操作過程(4)S-盒替代S-盒1如下：每個S-盒對應(yīng)一個4行、16列的表，表中的每個項都是16進制的數(shù)，相應(yīng)的對應(yīng)一個4位的序列。通過S-盒的6個位輸入確定S-盒中輸出序列所在的行和列。假定將S-盒的6位輸入標記為b1、b2、b3、b4、b5、b6，則b1b6組成一個二進制數(shù)，對應(yīng)03的十進制數(shù)字，該數(shù)表示S-盒的行數(shù)。 b2b3b4b5構(gòu)成一個015之間的十進制數(shù)，對應(yīng)S-盒的列數(shù)。根據(jù)行和列確定輸入項。S-盒為非線性運算，提供了更

20、好的安全性。1441312151183106125907015741421311061211953841148136211151297310501512824917511314100613詳細操作過程(4)S-盒替代例如：假設(shè)對應(yīng)第1個S-盒的輸入序列為110011。第1位和最后一位組合構(gòu)成11，對應(yīng)十進制3，對應(yīng)S-盒的第3行。中間4位為1001，對應(yīng)十進制9，對應(yīng)S-盒的第9列。S-盒第3行第9列對應(yīng)的十六進制數(shù)是11，對應(yīng)二進制1011。即輸入110011，輸出1011。14413121511831061259070157414213110612119538411481362111512

21、97310501512824917511314100613詳細操作過程(4)S-盒替代S-盒的設(shè)計是關(guān)鍵步驟，其他運算都是線性的，而S-盒的運算是非線性的，比其他的任何操作都能提供更好的安全性。詳細操作過程(5)P-盒置換（P-boxes Permutation）經(jīng)S-盒代替運算后的32位輸出依照P-盒進行置換，如下：表中數(shù)字為輸入序列的位，表格的位置為輸出序列的位置。1672021291228171152326518311028241432273919133062211425詳細操作過程(5)P-盒置換（ P-boxes Permutation ）將P-盒置換的結(jié)果與該輪輸入的64位分組的左

22、半部分進行異或運算后，得到本輪加密輸出序列的右半部分，本輪加密輸入序列的右半部分直接輸出，作為本輪加密輸出序列的左半部分，相應(yīng)得到64位的輸出序列。詳細操作過程(6)逆初始置換（末尾置換）初始置換的逆過程(IP-1)。 末尾置換IP-1如下： 初始置換IP如下：4081816562464323974715552363313864614542262303754513532161293644412522060283534311511959273424210501858263314194917572558504234261810260524436282012462544638302214664564

23、840322416857494133251791595143352719113615345372921135635547393123157詳細操作過程(6)逆初始置換（末尾置換）初始置換IP和對應(yīng)的逆初始置換IP-1操作的目的：IP置換將原來明文的檢驗位變成IP輸出的一個字節(jié)；打亂原來輸入的ASCII碼字劃分的關(guān)系；可使算法同時用于加密和解密；更容易地將明文和密文數(shù)據(jù)以字節(jié)大小放入DES芯片中。詳細操作過程(7)DES解密DES算法經(jīng)過精心選擇各種操作而獲得一個非常好的性質(zhì)：加密和解密可使用相同的算法，即解密過程將密文作為輸入序列進行相應(yīng)的DES加密，與加密過程不同之處是解密過程使用的輪密鑰與

24、加密過程使用的次序相反。解密過程產(chǎn)生各輪子密鑰的算法與加密過程生成輪密鑰的算法相同，不同的是解密過程進行循環(huán)右移操作。例1 已知明文m=computer，密鑰k=program，相應(yīng)的ASCII表示為m=01100011 01101111 01101101 01110000 01110101 01110100 01100101 01110010k=01110000 01110010 01101111 01100111 01110010 01100001 01101101k只有56位，不包括8位的奇偶校驗位。例1m經(jīng)過IP置換得到L0=11111111 10111000 01110110 010

25、10111R0=00000000 11111111 00000110 10000011密鑰k經(jīng)過置換后得到C0=11101100 10011001 00011011 1011D0=10110100 01011000 10001110 0110循環(huán)左移一位，得到48位的子密鑰k1：k1 =00111101 10001111 11001101 00110100 00111111 01001000例1 R0經(jīng)過擴展變換得到的48為序列為10000000 00010111 1111111010000000 11010100 00000110結(jié)果再和k1進行異或運算，得到的結(jié)果為10111101 100

26、11000 0011001110110111 11101011 01111110將得到的結(jié)果分成8組：101111 011001 100000 110011101101 111110 101101 001110例1通過8個S-盒得到32序列為01110110 00110100 00100110 10100001對S-盒的輸出序列進行P-置換，得到01000100 00100000 10011110 10011111經(jīng)過以上操作，得到經(jīng)過第1輪加密的結(jié)果序列為00000000 11111111 00000110 1000001110111011 10011000 11101000 1100100

27、0以上加密過程進行16輪，得到最終密文為01011000 10101000 01000001 1011100001101001 11111110 10101110 00110011總結(jié)：DES的加密結(jié)果可以看做是明文m和密鑰k之間的一種復(fù)雜函數(shù)，即使是對明文和密鑰的微小改變，產(chǎn)生的密文序列都將會發(fā)生很大的變化。DES運用了置換、替代、代數(shù)等多種密碼技術(shù)，算法結(jié)構(gòu)緊湊，條理清楚，而且加密和解密算法類似，便于工程實現(xiàn)。DES的出現(xiàn)是密碼學(xué)史上的一個創(chuàng)舉，具有劃時代的意義，在此之前任何設(shè)計者對于密碼算法的細節(jié)都是嚴格保密的，而DES公開發(fā)表后由任何人進行研究和分析，DES的安全性完全依賴于所用的密鑰

28、。DES的分析DES的分析1.DES的雪崩效應(yīng)雪崩效應(yīng)定義為：明文或密鑰的一點小的變動應(yīng)該使密文發(fā)生一個大的變化。右邊實例中明文改變1bit，密鑰不變。DES的分析1.DES的雪崩效應(yīng)右邊實例中密鑰改變1bit，明文不變。DES的分析2.S-盒的設(shè)計準則問題涉及美國國家安全局（NSA）， NSA修改了IBM最初設(shè)計的S-盒，雖然仍然滿足最初的S-盒設(shè)計原則。人們懷疑NSA在S-盒中嵌入陷門，使得NSA借助于這個陷門及56位的短密鑰可以解密。DES的分析2.S-盒的設(shè)計準則在1990年以前，S-盒的設(shè)計準則一直沒有公布，直到差分密碼分析方法發(fā)表后才公布，公布的S-盒設(shè)計準則為如下幾個：P1:S-

29、盒的每一行是整數(shù)0,15的一個置換P2:沒有一個S-盒是輸入的線性或仿射函數(shù)P3:改變S-盒的一個輸入比特至少要引起兩個輸出比特的改變P4:如果固定輸入的最左邊和最右邊的2個比特，變換中間4個比特（S-盒只有6個輸入），每個可能的4比特輸出只能得到一次（S-盒只有4個輸出）P5:如果兩個輸入僅中間2個比特不同，則輸出至少有2個比特不同DES的分析2.S-盒的設(shè)計準則P6:對于任何一個S-盒，如果兩個輸入的前兩不同，而最后兩位相同，兩個輸出必須不同。P7:對任何一個S-盒，如果固定一個輸入比特保持不變，而其他5比特輸入變換，觀察一個固定輸出比特的值，使這個輸出比特為D的輸入的數(shù)目與使這個輸出比特

30、位I的輸入的數(shù)目總數(shù)接近相等。P8:在有相同且非零的差分的32對輸入中，至多有8對具有相同的輸出差分。DES的分析3.56位有效密鑰太短在IBM最初向NSA提交的方案當(dāng)中，密鑰的長度為112位，但在DES成為標準時，被消減到56位。56位密鑰確實太短： 分布式窮舉攻擊1997年1月28日，美國RSA數(shù)據(jù)安全公司在互聯(lián)網(wǎng)上開展一項競賽，懸賞1萬美元來破解一段DES密文。科羅拉多州的程序員R. Verser設(shè)計了一個通過互聯(lián)網(wǎng)分段運行的密鑰搜索程序，組織了一個稱為DESCHALL的搜索行動，成千上萬的志愿者加入到計劃中。DES的分析3.56位有效密鑰太短(1)1997年6月17日晚上，美國鹽湖城的

31、M.Sanders成功找到密鑰解除明文，歷時96天，僅搜索24.6%的密鑰空間。競賽公布后的140天。(2)專用搜索機：1998年7月，美國電子前沿基金會（Electronic Frontier Foundation, EFF）宣布，他們用一臺價值25萬美元的計算機改裝成專用設(shè)備，56小時就破譯了DES。(3)1999年1月，RSA數(shù)據(jù)安全會議期間，EFF用22小時15分鐘破解DES的一個密鑰。更加直接地說明了56位密鑰太短，宣布DES的終結(jié)。DES的分析4.弱密鑰和半弱密鑰如果對于初始密鑰，所產(chǎn)生的子密鑰都是一樣，這樣的密鑰稱為弱密鑰。初始密鑰被分兩部分，每部分都單獨做移位，如果密鑰的每一個

32、部分都是0或1，則每一圈的子密鑰都相同，則存在4個弱密鑰：0000000 00000000000000 FFFFFFF FFFFFFF 0000000 FFFFFFF FFFFFFF弱密鑰的存在使得DES在遭受選擇明文攻擊時的搜索量減半DES的分析4.弱密鑰和半弱密鑰若給定密鑰k，相應(yīng)的16個子密鑰只有兩種，且每種都出現(xiàn)8次，稱為半弱密鑰。至少有12個半弱密鑰，組成6對。半半弱密鑰：有些密鑰只產(chǎn)生4種密鑰，每種出現(xiàn)4次，稱為半半弱密鑰，共48個。01 FE 01 FE 01 FE 01 FEFE 01 FE 01 FE 01 FE 011F E0 1F E0 1F E0 1F E0E0 1F

33、E0 1F E0 1F E0 1F01 E0 01 E0 01 E0 01 E0E0 01 E0 01 E0 01 E0 011F FE 1F FE 1F FE 1F FEFE 1F FE 1F FE 1F FE 1F01 1F 01 1F 01 1F 01 1F1F 01 1F 01 1F 01 1F 01E0 FE E0 FE E0 FE E0 FEFE E0 FE E0 FE E0 FE e0DES的分析4.弱密鑰和半弱密鑰弱密鑰和半弱密鑰以及半半弱密鑰的數(shù)量與密鑰總量相比很少，隨機選中的概率可以忽略不計，另外，在產(chǎn)生密鑰時，可以人為進行檢查進行過濾。DES的分析5.互補對稱性由DES中函數(shù)f的結(jié)構(gòu)可知再考慮DES的結(jié)構(gòu)，有稱為互補對稱性。由于互補對稱性，窮舉攻擊時僅需試驗所有256個密鑰的一半。iiiiKRfKRf,11 MDESMDESKKDES的攻擊 攻擊方法1. 窮舉攻擊（1）嘗試所有的可能情況（2）字典攻擊：明密文對編成字典，嘗試字典中所有