密碼學(xué)分組密碼

1、第三章 分組密碼體制n分組密碼概述n數(shù)據(jù)加密標(biāo)準(zhǔn)n差分密碼分析與線性密碼分析n分組密碼的運(yùn)行模式n其他分組密碼體制分組密碼概述 分組密碼因其實(shí)現(xiàn)速度較快，在許多密碼系統(tǒng)中是一個(gè)重要的組成部分。分組密碼與流密碼在區(qū)別在于分組密碼將明文的消息編碼后劃分成長度為n的組，在一個(gè)密鑰的控制下變換成等長（m）的輸出序列。一般情況下，nm。若mn，為由數(shù)據(jù)擴(kuò)充的分組密碼；若m2nt= l0和1互換分組密碼的操作模式n電子密碼本ecb (electronic codebook mode)n密碼分組鏈接cbc (cipher block chaining)n密碼反饋cfb (cipher feedback)n輸

2、出反饋ofb (output feedback)美國nsb在fips pub 74和81中規(guī)定ansi 在ansi x3.106中規(guī)定iso和iso/iec在iso 9732 iso/iec 10116中規(guī)定電子密碼本（ecb）ci = ek(pi) pi = dk(ci) ecb特點(diǎn)簡單和有效可以并行實(shí)現(xiàn)不能隱藏明文的模式信息相同明文相同密文同樣信息多次出現(xiàn)造成泄漏對(duì)明文的主動(dòng)攻擊是可能的信息塊可被替換、重排、刪除、重放誤差傳遞：密文塊損壞僅對(duì)應(yīng)明文塊損壞適合于傳輸短信息密碼分組鏈接cbcci=ek(ci-1pi) pi=ek(ci ) ci-1cbc特點(diǎn)沒有已知的并行實(shí)現(xiàn)算法能隱藏明文的模

3、式信息需要共同的初始化向量iv相同明文不同密文初始化向量iv可以用來改變第一塊對(duì)明文的主動(dòng)攻擊是不容易的信息塊不容易被替換、重排、刪除、重放誤差傳遞：密文塊損壞兩明文塊損壞n安全性好于ecbn適合于傳輸長度大于64位的報(bào)文，還可以進(jìn)行用戶鑒別,是大多系統(tǒng)的標(biāo)準(zhǔn)如 ssl、ipsec 密碼反饋cfbcfb:分組密碼流密碼 si 為移位寄存器,j為流單元寬度 加密: ci =pi(ek(si)的高j位) si+1=(sij)|ci 解密: pi=ci(ek(si)的高j位) si+1=(sij)|ci cfb加密示意圖加密示意圖ci =pi (ek(si)的高的高j位位) ; si+1=(sij)

4、|ci cfb解密示意圖解密示意圖pi=ci (ek(si)的高的高j位位); si+1=(sij)|ci cfb特點(diǎn)分組密碼流密碼沒有已知的并行實(shí)現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值ivn對(duì)于不同的消息，iv必須唯一n誤差傳遞：一個(gè)單元損壞影響多個(gè)單元 輸出反饋ofbofb:分組密碼流密碼 si 為移位寄存器,j為流單元寬度 加密: ci =pi(ek(si)的高j位) si+1=(sij)|(ek(si)的高j位) 解密: pi=ci(ek(si)的高j位) si+1=(sij)|(ek(si)的高j位) ofb加密示意圖加密示意圖ci =pi (ek(si)的高的高j位位);s

5、i+1=(sij)|(ek(si)的高的高j位位) ofb解密示意圖解密示意圖pi=ci (ek(si)的高的高j位位); si+1=(sij)|(ek(si)的高的高j位位)ofb特點(diǎn)nofb:分組密碼流密碼沒有已知的并行實(shí)現(xiàn)算法隱藏了明文模式n需要共同的移位寄存器初始值ivn誤差傳遞：一個(gè)單元損壞只影響對(duì)應(yīng)單元對(duì)明文的主動(dòng)攻擊是可能的信息塊可被替換、重排、刪除、重放安全性較cfb差其他分組密碼體制nidea1.設(shè)計(jì)原理2.加密過程國際數(shù)據(jù)加密idea（international data encryption algorithm)算法n1990年瑞士聯(lián)邦技術(shù)學(xué)院的來學(xué)嘉和massey提出，

6、pes，91年修訂，92公布細(xì)節(jié)設(shè)計(jì)目標(biāo)從兩個(gè)方面考慮n加密強(qiáng)度n易實(shí)現(xiàn)性n強(qiáng)化了抗差分分析的能力， pgp高級(jí)加密標(biāo)準(zhǔn)naes算法rijndael1.數(shù)學(xué)基礎(chǔ)和設(shè)計(jì)思想2.算法描述aes背景-in1997年4月15日，（美國）國家標(biāo)準(zhǔn)技術(shù)研究所（nist）發(fā)起征集高級(jí)加密標(biāo)準(zhǔn)（advanced encryption standard）aes的活動(dòng)，活動(dòng)目的是確定一個(gè)非保密的、可以公開技術(shù)細(xì)節(jié)的、全球免費(fèi)使用的分組密碼算法，作為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。n1997年9月12日，美國聯(lián)邦登記處公布了正式征集aes候選算法的通告。作為進(jìn)入aes候選過程的一個(gè)條件，開發(fā)者承諾放棄被選中算法的知識(shí)產(chǎn)權(quán)。 對(duì)a

7、es的基本要求是：比三重des快、至少與三重des一樣安全、數(shù)據(jù)分組長度為128比特、密鑰長度為128/192/256比特。aes背景-iin1998年8月12日，在首屆aes會(huì)議上指定了15個(gè)候選算法。n1999年3月22日第二次aes會(huì)議上，將候選名單減少為5個(gè)，這5個(gè)算法是rc6，rijndael，serpent，twofish和mars。n2000年4月13日，第三次aes會(huì)議上，對(duì)這5個(gè)候選算法的各種分析結(jié)果進(jìn)行了討論。n2000年10月2日，nist宣布了獲勝者rijndael算法，2001年11月出版了最終標(biāo)準(zhǔn)fips pub197。rijndael簡介n不屬于feistel結(jié)構(gòu)

8、n加密、解密相似但不對(duì)稱n支持128/32=nb數(shù)據(jù)塊大小n支持128/192/256(/32=nk)密鑰長度n有較好的數(shù)學(xué)理論作為基礎(chǔ)n結(jié)構(gòu)簡單、速度快aes參數(shù)sp網(wǎng)絡(luò)結(jié)構(gòu)在這種密碼的每一輪中，輪輸入首先被一個(gè)由子密鑰控在這種密碼的每一輪中，輪輸入首先被一個(gè)由子密鑰控制的可逆函數(shù)制的可逆函數(shù)s作用，然后再對(duì)所得結(jié)果用置換（或可逆作用，然后再對(duì)所得結(jié)果用置換（或可逆線性變換）線性變換）p作用。作用。s和和p分別被稱為混亂層和擴(kuò)散層，主分別被稱為混亂層和擴(kuò)散層，主要起混亂和擴(kuò)散作用。要起混亂和擴(kuò)散作用。 aes算法結(jié)構(gòu)-inaes算法的輪變換中沒有feistel結(jié)構(gòu)，輪變換是由三個(gè)不同的可逆一

9、致變換組成，稱之為層， 線性混合層：確保多輪之上的高度擴(kuò)散。非線性層：具有最優(yōu)最差-情形非線性性的s-盒的并行應(yīng)用。密鑰加層：輪密鑰簡單地異或到中間狀態(tài)上。aes算法結(jié)構(gòu)-iiaes-128加解密過程aes算法描述n假設(shè)：state表示數(shù)據(jù)，以及每一輪的中間結(jié)果roundkey表示每一輪對(duì)應(yīng)的子密鑰n算法如下：n第一輪之前執(zhí)行addroundkey(state,roundkey)nround(state,roundkey) bytesub(state);shiftrow(state);mixcolumn(state);addroundkey(state,roundkey); nfinalrou

10、nd(state,roundkey) bytesub(state);shiftrow(state);addroundkey(state,roundkey); 狀態(tài)、密鑰狀態(tài)/密鑰的矩陣表示s00s01s02s03s04s05s06s07s08s09s10s11s12s13s14s15k00k01k02k03k10k11k12k13k20k21k22k23k30k31k32k33字節(jié)代替(substitute bytes )變換n字節(jié)代替是一個(gè)非線性的字節(jié)代替，獨(dú)立地在每個(gè)狀態(tài)字節(jié)上進(jìn)行運(yùn)算。代替表（s-盒）是可逆的，是一個(gè)1616的矩陣。 example行移位(shift row)變換簡單的置

11、換簡單的置換example列混合mix column變換n代替操作，將狀態(tài)的列看作有限域gf（28）上的4維向量并被有限域gf（28）上的一個(gè)固定可逆方陣a乘 example輪密鑰加（add round key)一個(gè)簡單地按位異或的操作一個(gè)簡單地按位異或的操作aes的密鑰調(diào)度n輪密鑰是通過密鑰調(diào)度算法從密鑰中產(chǎn)生，包括兩個(gè)組成部分：密鑰擴(kuò)展和輪密鑰選取?；驹砣缦拢?所有輪密鑰比特的總數(shù)等于分組長度乘輪數(shù)加1。（如128比特的分組長度和10輪迭代，共需要1408比特的密鑰）。 將種子密鑰擴(kuò)展成一個(gè)擴(kuò)展密鑰。輪密鑰按下述方式從擴(kuò)展密鑰中選取：第一個(gè)輪密鑰由開始nb個(gè)字組成，第二個(gè)輪密鑰由接下來的nb個(gè)字組成，如此繼續(xù)下去。aes的密鑰擴(kuò)展 g變換nrotword執(zhí)行一字節(jié)循環(huán)左移 b0,b1,b2,b3 b1,b2,b3,b0nsubword執(zhí)行使用s-盒實(shí)行字節(jié)替換n前兩步的結(jié)果xor輪常數(shù)rconjexamplerijndael安全性l沒有發(fā)現(xiàn)弱密鑰或補(bǔ)密鑰l能有效抵抗目前已知的攻擊算法n線性攻擊n差分攻擊先進(jìn)對(duì)稱分組加密算法的特點(diǎn)l可變的密鑰長度: rc5l混合的運(yùn)算 ideal數(shù)據(jù)相關(guān)的輪數(shù) rc5l密鑰相關(guān)的輪數(shù) cast-128l密鑰相關(guān)的s盒: blow