第3章對稱密碼體制

1、第3章 對稱密碼體制主要內容v分組密碼v數據加密標準DESv高級加密標準AESv序列密碼v其他對稱加密算法概述v對稱密碼體制就是在加密和解密是用到的密鑰相同，或者加密密鑰和解密密鑰之間存在著確定的轉換關系。v對稱密碼體制又有兩種不同的實現方式，即分組密碼和序列密碼（或稱流密碼）。 流密碼與分組密碼v流密碼每次加密數據流中的一位或一個字節(jié)。v分組密碼，就是先把明文劃分為許多分組，每個明文分組被當作一個整體來產生一個等長（通常）的密文分組。通常使用的是64位或128位分組大小。v分組密碼的實質，是設計一種算法，能在密鑰控制下，把n比特明文簡單而又迅速地置換成唯一n比特密文，并且這種變換是可逆的（解

2、密）。分組密碼的設計思想分組密碼的設計思想v擴散(diffusion) 將明文及密鑰的影響盡可能迅速地散布到較多個輸出的密文中。產生擴散的最簡單方法是通過“置換(Permutation)”（比如：重新排列字符）。v混淆(confusion)其目的在于使作用于明文的密鑰和密文之間的關系復雜化，是明文和密文之間、密文和密鑰之間的統(tǒng)計相關特性極小化，從而使統(tǒng)計分析攻擊不能奏效。通常的方法是“代換（Substitution)”（回憶愷撒密碼）。DES(Data Encryption Standard) v美國國家標準局NBS于1973年5月發(fā)出通告，公開征求一種標準算法用于對計算機數據在傳輸和存儲期間

3、實現加密保護的密碼算法。 v1975 年美國國家標準局接受了美國國際商業(yè)機器公司IBM 推薦的一種密碼算法并向全國公布，征求對采用該算法作為美國信息加密標準的意見。v經過兩年的激烈爭論，美國國家標準局于1977年7月正式采用該算法作為美國數據加密標準。1980年12月美國國家標準協(xié)會正式采用這個算法作為美國的商用加密算法。 DES的實質vDES是一種對稱密碼體制，它所使用的加密和解密密鑰是相同的，是一種典型的按分組方式工作的密碼。其基本思想是將二進制序列的明文分成每64bit一組，用長為64bit(56bit)的密鑰對其進行16輪代換和置換加密，最后形成密文。 DES算法原理v第一步：要被加密

4、的數據被分割成為若干以64bit為單位的數據，如果位數不夠，那么補00或者FF，然后按照表1進行置換操作。v表1：LiRiv第二步：把64位密鑰按表2進行置換操作，去除密鑰中作為奇偶校驗位的第8、16、24、32、40、48、56、64位，剩下的56位作為有效輸入密鑰。v表2：57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4 C

5、0D0v第三步：將56位有效密鑰按表3左移位，總計進行16輪移位操作，每一輪移位結束之后，得到的新的56位密鑰作為下一輪移位的有效密鑰?？傆嫷玫?6個56位的子密鑰。v表3：v第四步：按照表4對16個子密鑰進行置換壓縮，壓縮后每個子密鑰中的第9,18,22,25,35,38,43,54,共8位數據會丟失。此步驟完成后得到16個48位的子密鑰。v表4：v第三步和第四步圖解： 64 位密鑰 置換選擇PC-1 C0（28 位） D0（28 位） 循環(huán)左移 循環(huán)左移 C1（28 位） D1（28 位） 循環(huán)左移 循環(huán)左移 Ci（28 位） Di（28 位） 置換選擇PC-2 k1 (48 位) 置換選

6、擇PC-2 ki (48 位) (56 位) (56 位) v第五步：將第一步生成的有效數據的右半部分R1的32位的數據根據表5進行置換，由原32位擴展到48位。v表5：32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 1 1 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 v第六步：將擴展后的有效數據的新的R1和K1做異或運算得到48位加密數據。v第七步：將第六步產生的48位加密數據分為8個6位的數據，按照表6取值，每6位壓縮成4位，最終

7、形成8個4位的數據，再組合成新的32位的數據。v表6：S盒子內部結構v第八步：將第七步產生的32位的數據按照表7置換，生成新的32位的RR1數據。v表7：16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 1 1 4 25 v第九步：將RR1和第一步產生的L1按位異或后的值賦給R2，然后原來的R1值賦給L2，得到新的L2和R2。v第十步：回到第五步，重復運算到第九步，每輪計算有Ri,Li,Ki來計算，總計重復16輪結束，最終生成新的L16和R16。v第十一步：合并L16和R16為64位數據

8、，然后按照表8做置換，生成最終加密數據。v表8：v解密的時候一樣步驟，只是在做第六步的時候，將K16變?yōu)镵1，依次類推倒用Ki即可。40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 DES的安全性vDES在20多年的應用實踐中，沒有發(fā)現嚴重的安全缺陷，在世界范圍內得到了廣泛的應用，為

9、確保信息安全做出了不可磨滅的貢獻。v存在的安全弱點：密鑰較短：56位密鑰空間約為7.2*1016。1997年1月28日，美國RSA數據安全公司在Internet上開展了一項“秘密密鑰挑戰(zhàn)”的競賽，懸賞一萬美圓，破解一段DES密文。6月Rocke Verser小組通過因特網利用數萬臺微機歷時4個月破譯了DES；1998年7月，EFF用一臺25萬美元的機器，歷時56小時破譯DES。存在弱密鑰：有的密鑰產生的16個子密鑰中有重復者。DES具有良好的雪崩效應v雪崩效應：明文或密鑰的微小改變將對密文產生很大的影響。特別地，明文或密鑰的某一位發(fā)生變化，會導致密文的很多位發(fā)生變化。vDES顯示了很強的雪崩效

10、應兩條僅有一位不同的明文，使用相同的密鑰，僅經過3輪迭代，所得兩段準密文就有21位不同。一條明文，使用兩個僅一位不同的密鑰加密，經過數輪變換之后，有半數的位都不相同。多重DESvDES在窮舉攻擊下相對比較脆弱，因此需要用某種算法來替代它。DES一個致命的缺陷就是密鑰長度短，并且對于當前的計算能力，56位的密鑰長度已經抗不住窮舉攻擊，而DES又不支持變長密鑰。但可以進行多次加密，且使用多個密鑰，即多重DES，從而等同于更長的密鑰。二重DES(Double DES)v給定明文P和兩個加秘密鑰k1和k2，采用DES對P進行加密E，有 密文 C=EK2(EK1(P) 對C進行解密D，有 明文 P=DK

11、1(DK2(C)EEPXCK2K1加密圖DDK2K1CXP解密圖帶有雙密鑰的三重DES（Triple DES with Two Keys)vTuchman給出雙密鑰的EDE模式（加密-解密-加密）： C=EK1(DK2(EK1(P) 對P加密 P=DK1(EK2(DK1(C) 對C解密 這種替代DES的加密較為流行并且已被采納用于密鑰管理標準（The Key Manager Standards ANSX9.17和ISO8732).EDEDEDCBAPPAB CK1K2K1K1K2K1加密圖解密圖v到目前為止，還沒有人給出攻擊三重DES的有效方法。對其密鑰空間中密鑰進行蠻干搜索，那么由于空間太大

12、為2112=51033，這實際上是不可行的。注意：注意：v1*. Merkle和Hellman設法創(chuàng)造一個條件，想把中間相遇攻擊（meet-in-the-middle attack）的方法用于三重DES，但目前也不太成功。v2*. 雖然對上述帶雙密鑰的三重DES到目前為止還沒有好的實際攻擊辦法，但人們還是放心不下，又建議使用三密鑰的三重DES，此時密鑰總長為168bits. C=EK3(DK2(EK1(P)高級加密標準高級加密標準AES v1997年年1月，美國國家標準局月，美國國家標準局NIST向全世向全世界密碼學界發(fā)出征集界密碼學界發(fā)出征集21世紀高級加密標世紀高級加密標準（準（AESAd

13、vanced Encryption Standard）算法的公告，并成立了）算法的公告，并成立了AES標準工作研究室，標準工作研究室，1997年年4月月15日的例會日的例會制定了對制定了對AES的評估標準。的評估標準。AES的要求（1）AES是公開的；是公開的；（2）AES為單鑰體制分組密碼；為單鑰體制分組密碼；（3）AES的密鑰長度可變，可按需要增大；的密鑰長度可變，可按需要增大；（4）AES適于用軟件和硬件實現；適于用軟件和硬件實現；（5）AES可以自由地使用，或按符合美國國家標準可以自由地使用，或按符合美國國家標準（ANST）策略的條件使用；）策略的條件使用；算法衡量條件v滿足以上要求的

14、滿足以上要求的AES算法，需按下述條件判算法，需按下述條件判斷優(yōu)劣斷優(yōu)劣a. 安全性安全性b. 計算計算效率效率c. 內內存要求存要求d. 使用使用簡便性簡便性e. 靈活性。靈活性。AES的評審的評審v 1998年年4月月15日全面征集日全面征集AES算法的工作結束。算法的工作結束。1998年年8月月20日舉行了首屆日舉行了首屆AES討論會，對涉及討論會，對涉及14個國家的密碼個國家的密碼學家所提出的候選學家所提出的候選AES算法進行了評估和測試，初選并算法進行了評估和測試，初選并公布了公布了15個被選方案，供大家公開討論。個被選方案，供大家公開討論。 CAST-256， RC-6， CRYP

15、TON-128，DEAL-128， FROG， DFC， LOKI-97， MAGENTA， MARS， HPC, RIJNDAEL， SAFER+， SERPENT， E-2， TWOFISH。v這些算法設計思想新穎，技術水平先進，算法的強度都這些算法設計思想新穎，技術水平先進，算法的強度都超過超過3-DES，實現速度快于，實現速度快于3-DES。 AES的評審的評審v1999年年8月月9日日NIST宣布第二輪篩選出的宣布第二輪篩選出的5個個候選算法為：候選算法為： MARS(C.Burwick等等,IBM）， RC6TM（R. Rivest等等,RSA Lab.)， RIJNDEAL(J.

16、 Daemen,比比)， SERPENT(R. Anderson等，等，英、以、挪威英、以、挪威)， TWOFISH(B. Schiener)。v2000年年10月月2日，日，NIST宣布宣布Rijndael作為新作為新的的AESRIJNDAEL的評估結果v一般安全性v軟件執(zhí)行v受限空間環(huán)境v硬件執(zhí)行v對執(zhí)行的攻擊v加密和解密v密鑰靈活性v其他的多功能性和靈活性v指令級并行執(zhí)行能力AES加密算法性能分析v1.密鑰長度更長，抵御窮舉攻擊的能力更強，而且可依據信息級別自由選擇密鑰長度；v2.輪密鑰產生隨機性強；v3.均勻對稱結構既可以提高執(zhí)行的靈活度，又可防止差分分析方法的攻擊；v4.實現簡單；v5.在所有平臺都有良好表現。其他對稱密碼vIDEA由旅居瑞士的華人來學嘉和他的導師J.L. Massey共同開發(fā)的。IDEA使用128位密鑰，明文和密文分組長度為64位。已被用在多種商業(yè)產品中。vCLIPPER密碼采用SKIPJACK算法，明文和密文分組長度為64位，密鑰長度為80位。vBlowf