Ch02 分組密碼體制

1、網(wǎng)絡(luò)與信息安全網(wǎng)絡(luò)與信息安全Ch02 分組密碼體制2本章學(xué)習(xí)目的本章學(xué)習(xí)目的o 掌握掌握密碼學(xué)的基本概念密碼學(xué)的基本概念n 分組密碼、流密碼、對(duì)稱密碼、非對(duì)稱密碼分組密碼、流密碼、對(duì)稱密碼、非對(duì)稱密碼 o 理解理解經(jīng)典密碼體制的原理經(jīng)典密碼體制的原理o 理解理解分組密碼原理分組密碼原理o 了解數(shù)據(jù)加密標(biāo)準(zhǔn)、高級(jí)加密標(biāo)準(zhǔn)了解數(shù)據(jù)加密標(biāo)準(zhǔn)、高級(jí)加密標(biāo)準(zhǔn)o 了解流密碼了解流密碼 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念31 1 基本概念基本概念 o 加密技術(shù)的基本思想就是偽裝信息，使非法接入者加密技術(shù)的基本思想就是偽裝信息，使非法接入者無(wú)法理解信息的真正含義。無(wú)法理解信息的真正含義。o 偽裝偽裝就是對(duì)

2、信息進(jìn)行一組可逆的數(shù)學(xué)變換。我們稱就是對(duì)信息進(jìn)行一組可逆的數(shù)學(xué)變換。我們稱偽裝前的原始信息為偽裝前的原始信息為明文明文,經(jīng)偽裝的信息為經(jīng)偽裝的信息為密文密文，偽，偽裝的過(guò)程為裝的過(guò)程為加密加密，用于解除偽裝還原出原始信息的，用于解除偽裝還原出原始信息的過(guò)程為過(guò)程為解密解密。o 加密加密Encrypt 解密解密Decrypto 密文密文ciphertext 明文明文plaintext,一般一般m表示表示o 密鑰密鑰Key一一 密碼學(xué)的基本概念密碼學(xué)的基本概念41 1 基本概念基本概念 o 用于對(duì)信息進(jìn)行加密的一組數(shù)學(xué)變換稱為用于對(duì)信息進(jìn)行加密的一組數(shù)學(xué)變換稱為加密加密算法算法。o 用于對(duì)信息進(jìn)行

3、解決的數(shù)學(xué)變換就是用于對(duì)信息進(jìn)行解決的數(shù)學(xué)變換就是解密算法解密算法。o 為了有效控制加密、解密算法的實(shí)現(xiàn)，在這些為了有效控制加密、解密算法的實(shí)現(xiàn)，在這些算法的實(shí)現(xiàn)過(guò)程中，需要有某些只被通信雙方算法的實(shí)現(xiàn)過(guò)程中，需要有某些只被通信雙方所掌握的專門的、關(guān)鍵的信息參與，這些信息所掌握的專門的、關(guān)鍵的信息參與，這些信息就稱為就稱為密鑰密鑰。用作加密的稱。用作加密的稱加密密鑰加密密鑰，用作解，用作解密的稱作密的稱作解密密鑰解密密鑰。一一 密碼學(xué)的基本概念密碼學(xué)的基本概念52 2 密碼學(xué)與密碼體制密碼學(xué)與密碼體制 o 密碼學(xué)兩個(gè)分支：密碼學(xué)兩個(gè)分支：密碼編碼學(xué)密碼編碼學(xué)與與密碼分析學(xué)密碼分析學(xué)：n 密碼編

4、碼學(xué)主要研究對(duì)信息進(jìn)行編碼實(shí)現(xiàn)信息密碼編碼學(xué)主要研究對(duì)信息進(jìn)行編碼實(shí)現(xiàn)信息保密性的科學(xué)，即保密性的科學(xué)，即加密算法加密算法n 密碼分析學(xué)是研究、分析、破譯密碼的科學(xué)，密碼分析學(xué)是研究、分析、破譯密碼的科學(xué)，即如何從密文推出明文、密鑰或即如何從密文推出明文、密鑰或解密算法解密算法的學(xué)的學(xué)問(wèn)問(wèn)n 這兩種技術(shù)相互依存、相互支持、共同發(fā)展這兩種技術(shù)相互依存、相互支持、共同發(fā)展一一 密碼學(xué)的基本概念密碼學(xué)的基本概念62 2 密碼學(xué)與密碼體制密碼學(xué)與密碼體制 o 加密算法的三個(gè)發(fā)展階段：加密算法的三個(gè)發(fā)展階段：n 經(jīng)典密碼體制經(jīng)典密碼體制n 對(duì)稱密鑰密碼（即：?jiǎn)舞€密碼體制）對(duì)稱密鑰密碼（即：?jiǎn)舞€密碼體制）

5、n 公鑰密鑰密碼（即：雙鑰密碼體制）公鑰密鑰密碼（即：雙鑰密碼體制）o 這些算法按密鑰管理的方式可以分為這些算法按密鑰管理的方式可以分為對(duì)稱對(duì)稱算法算法與與非對(duì)稱算法非對(duì)稱算法兩大類，即我們通常所兩大類，即我們通常所說(shuō)的說(shuō)的對(duì)稱密鑰密碼體制對(duì)稱密鑰密碼體制和和非對(duì)稱密鑰密碼非對(duì)稱密鑰密碼體制體制。 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念73 3 對(duì)稱密碼體制對(duì)稱密碼體制 o 加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同（即加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同（即從一個(gè)可以推出另外一個(gè)），我們稱其為從一個(gè)可以推出另外一個(gè)），我們稱其為對(duì)稱對(duì)稱密鑰密鑰或或單鑰密碼體制單鑰密碼體制。o 加密方式有兩種：加密

6、方式有兩種：n對(duì)明文按字符逐位加密，稱為流密碼或序列密碼o 序列密碼是手工和機(jī)械密碼時(shí)代的主流方式。n先對(duì)明文消息分組，再逐組加密，稱為分組密碼o 分組密碼將明文分成固定長(zhǎng)度的組，用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。o 最典型的就是1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布DES算法。一一 密碼學(xué)的基本概念密碼學(xué)的基本概念8單密鑰密碼的加、解密過(guò)程單密鑰密碼的加、解密過(guò)程 3 3 對(duì)稱密碼體制對(duì)稱密碼體制 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念93 3 對(duì)稱密碼體制對(duì)稱密碼體制 o 加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同（即從一加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同（即從一個(gè)可以推出另外一個(gè)）

7、，我們稱其為個(gè)可以推出另外一個(gè)），我們稱其為對(duì)稱密鑰對(duì)稱密鑰或或單單鑰密碼體制鑰密碼體制。o 單鑰密碼體制的單鑰密碼體制的優(yōu)點(diǎn)優(yōu)點(diǎn)：安全性高、加解密速度快：安全性高、加解密速度快o 其其缺點(diǎn)缺點(diǎn)是：是：n進(jìn)行保密通信之前，雙方必須通過(guò)安全信道傳送所用的密進(jìn)行保密通信之前，雙方必須通過(guò)安全信道傳送所用的密鑰。相距較遠(yuǎn)的用戶，較大的代價(jià)，甚至難以實(shí)現(xiàn)。鑰。相距較遠(yuǎn)的用戶，較大的代價(jià)，甚至難以實(shí)現(xiàn)。n例如，在擁有眾多用戶的網(wǎng)絡(luò)環(huán)境中使例如，在擁有眾多用戶的網(wǎng)絡(luò)環(huán)境中使n個(gè)用戶之間相互個(gè)用戶之間相互進(jìn)行保密通信，若使用同一個(gè)對(duì)稱密鑰，一旦密鑰被破解，進(jìn)行保密通信，若使用同一個(gè)對(duì)稱密鑰，一旦密鑰被破解，

8、整個(gè)系統(tǒng)就會(huì)崩潰；使用不同的對(duì)稱密鑰，則密鑰的個(gè)數(shù)整個(gè)系統(tǒng)就會(huì)崩潰；使用不同的對(duì)稱密鑰，則密鑰的個(gè)數(shù)幾乎與通信人數(shù)成正比幾乎與通信人數(shù)成正比需要需要n*(n-1)個(gè)密鑰個(gè)密鑰。由此可。由此可見，若采用對(duì)稱密鑰，大系統(tǒng)的密鑰管理幾乎不可能實(shí)現(xiàn)。見，若采用對(duì)稱密鑰，大系統(tǒng)的密鑰管理幾乎不可能實(shí)現(xiàn)。一一 密碼學(xué)的基本概念密碼學(xué)的基本概念10保密通信系統(tǒng)模型保密通信系統(tǒng)模型 4 4 保密通信系統(tǒng)模型保密通信系統(tǒng)模型 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念115 5 非對(duì)稱密碼體制非對(duì)稱密碼體制 o若加密密鑰和解密密鑰不相同，從其中一個(gè)難以推出另一個(gè)，則若加密密鑰和解密密鑰不相同，從其中一個(gè)難以推出另一

9、個(gè)，則稱為稱為非對(duì)稱密鑰非對(duì)稱密鑰或或雙鑰密碼體制雙鑰密碼體制。o采用雙鑰密碼體制的主要特點(diǎn)是采用雙鑰密碼體制的主要特點(diǎn)是將加密和解密功能分開將加密和解密功能分開，因而可，因而可以實(shí)現(xiàn)多個(gè)用戶加密的消息只能由一個(gè)用戶解讀，或只能由一個(gè)以實(shí)現(xiàn)多個(gè)用戶加密的消息只能由一個(gè)用戶解讀，或只能由一個(gè)用戶加密消息而使多個(gè)用戶可以解讀。用戶加密消息而使多個(gè)用戶可以解讀。o在使用雙鑰體制時(shí)，每個(gè)用戶都有一對(duì)預(yù)先選定的密鑰：一個(gè)是在使用雙鑰體制時(shí)，每個(gè)用戶都有一對(duì)預(yù)先選定的密鑰：一個(gè)是可以公開的可以公開的(公鑰公鑰)，以，以k1表示，另一個(gè)則是秘密的表示，另一個(gè)則是秘密的(私鑰私鑰)，以，以k2表示，公鑰表示，

10、公鑰k1可以像電話號(hào)碼一樣進(jìn)行注冊(cè)公布，私鑰是其可以像電話號(hào)碼一樣進(jìn)行注冊(cè)公布，私鑰是其擁有者自己保存。因此雙鑰體制又稱作擁有者自己保存。因此雙鑰體制又稱作公鑰體制公鑰體制(Public Key System) 。o最有名的雙鑰密碼體制是最有名的雙鑰密碼體制是1977年由年由Rivest、Shamir和和Adleman等三人提出的等三人提出的RSA密碼算法。密碼算法。一一 密碼學(xué)的基本概念密碼學(xué)的基本概念12雙鑰密碼體制的通信模型雙鑰密碼體制的通信模型 5 5 非對(duì)稱密碼體制非對(duì)稱密碼體制 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念13雙鑰密碼體制既可用于實(shí)現(xiàn)公共通信網(wǎng)的保密通信，也可用于認(rèn)證系統(tǒng)

11、雙鑰密碼體制既可用于實(shí)現(xiàn)公共通信網(wǎng)的保密通信，也可用于認(rèn)證系統(tǒng)中對(duì)消息進(jìn)行數(shù)字簽名，同時(shí)實(shí)現(xiàn)信息保密性和對(duì)消息的認(rèn)證，在明文中對(duì)消息進(jìn)行數(shù)字簽名，同時(shí)實(shí)現(xiàn)信息保密性和對(duì)消息的認(rèn)證，在明文消息空間和密文消息空間等價(jià)，且加密、解密運(yùn)算次序可換，即消息空間和密文消息空間等價(jià)，且加密、解密運(yùn)算次序可換，即E Eklkl(D(Dk2k2(m)=D(m)=Dk2k2(E(Ek1k1(m)=m(m)=m。 雙鑰保密和認(rèn)證體制雙鑰保密和認(rèn)證體制 6 6 雙密鑰雙密鑰+ +認(rèn)證系統(tǒng)認(rèn)證系統(tǒng) 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念14實(shí)際網(wǎng)絡(luò)多采用實(shí)際網(wǎng)絡(luò)多采用雙鑰和單鑰密碼雙鑰和單鑰密碼相結(jié)合的混合加密體制，即

12、使用單相結(jié)合的混合加密體制，即使用單鑰密碼進(jìn)行鑰密碼進(jìn)行加解密明文或密文加解密明文或密文，采用雙鑰密碼實(shí)現(xiàn)，采用雙鑰密碼實(shí)現(xiàn)密鑰傳送密鑰傳送。這樣。這樣既解決了密鑰管理的困難，又解決了加、解密速度的問(wèn)題。既解決了密鑰管理的困難，又解決了加、解密速度的問(wèn)題。 7 7 混合加密系統(tǒng)混合加密系統(tǒng) 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念158 8 密碼學(xué)的作用密碼學(xué)的作用 o密碼學(xué)主要的應(yīng)用形式有密碼學(xué)主要的應(yīng)用形式有數(shù)字簽名、身份認(rèn)證、消息認(rèn)證（也數(shù)字簽名、身份認(rèn)證、消息認(rèn)證（也稱數(shù)字指紋）、數(shù)字水印稱數(shù)字指紋）、數(shù)字水印等幾種，這幾種應(yīng)用的關(guān)鍵是密鑰的等幾種，這幾種應(yīng)用的關(guān)鍵是密鑰的傳送，網(wǎng)絡(luò)中一

13、般采用混合加密體制來(lái)實(shí)現(xiàn)。密碼學(xué)的應(yīng)用主傳送，網(wǎng)絡(luò)中一般采用混合加密體制來(lái)實(shí)現(xiàn)。密碼學(xué)的應(yīng)用主要體現(xiàn)了以下幾個(gè)方面的功能。要體現(xiàn)了以下幾個(gè)方面的功能。n（1）維持機(jī)密性）維持機(jī)密性o傳輸中的公共信道和存儲(chǔ)的計(jì)算機(jī)系統(tǒng)容易受到被動(dòng)攻擊傳輸中的公共信道和存儲(chǔ)的計(jì)算機(jī)系統(tǒng)容易受到被動(dòng)攻擊（如截取、偷竊、拷貝信息）和主動(dòng)攻擊（如刪除、更改、（如截取、偷竊、拷貝信息）和主動(dòng)攻擊（如刪除、更改、插入等操作）。加密關(guān)鍵信息，讓人看不懂而無(wú)從攻擊。插入等操作）。加密關(guān)鍵信息，讓人看不懂而無(wú)從攻擊。n（2）可用性）可用性o由于網(wǎng)上的通信雙方互不見面，必須在相互通信時(shí)（交換敏由于網(wǎng)上的通信雙方互不見面，必須在相互

14、通信時(shí)（交換敏感信息時(shí)）確認(rèn)對(duì)方的真實(shí)身份，即消息的接收者應(yīng)該能夠感信息時(shí)）確認(rèn)對(duì)方的真實(shí)身份，即消息的接收者應(yīng)該能夠確認(rèn)消息的來(lái)源，入侵者不可能偽裝成他人。確認(rèn)消息的來(lái)源，入侵者不可能偽裝成他人。一一 密碼學(xué)的基本概念密碼學(xué)的基本概念168 8 密碼學(xué)的作用密碼學(xué)的作用 n（3）保證完整性）保證完整性o 接收者能夠驗(yàn)證在傳送過(guò)程中是否被篡改；入侵者不接收者能夠驗(yàn)證在傳送過(guò)程中是否被篡改；入侵者不可能用假消息代替合法消息?？赡苡眉傧⒋婧戏ㄏ?。n（4）抗抵賴）抗抵賴(不可否認(rèn)性不可否認(rèn)性)o 在網(wǎng)上開展業(yè)務(wù)的各方在進(jìn)行數(shù)據(jù)傳輸時(shí)，必須帶有在網(wǎng)上開展業(yè)務(wù)的各方在進(jìn)行數(shù)據(jù)傳輸時(shí)，必須帶有自身特

15、有的、無(wú)法被別人復(fù)制的信息，以保證發(fā)生糾自身特有的、無(wú)法被別人復(fù)制的信息，以保證發(fā)生糾紛時(shí)有所對(duì)證，發(fā)送者事后不可能否認(rèn)他發(fā)送的消息。紛時(shí)有所對(duì)證，發(fā)送者事后不可能否認(rèn)他發(fā)送的消息。 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念179 9 密碼分析學(xué)密碼分析學(xué) 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念o密碼編碼學(xué)：對(duì)信息進(jìn)行編碼實(shí)現(xiàn)隱蔽信息的一門學(xué)問(wèn)。o密碼分析學(xué)：分析破譯密碼的學(xué)問(wèn)。兩者相互對(duì)立、促進(jìn)。o1、常用的密碼分析攻擊有四類、常用的密碼分析攻擊有四類 ：n前提：前提：加密算法：公開加密算法：公開 。 攻擊目標(biāo)：獲得密鑰攻擊目標(biāo)：獲得密鑰Kn唯密文攻擊（ciphertext only atta

16、cks）。o已知：截獲部分密文n已知明文攻擊（know plaintext attacks）。o已知：截獲部分密文；若干明文密文對(duì)。n選擇明文攻擊（chosen plaintext attacks）。o已知：截獲部分密文；自主選擇的明文密文對(duì)。n選擇密文攻擊o暫時(shí)接近密碼機(jī)，可選擇密文串，并構(gòu)造出相應(yīng)的明文。189 9 密碼分析學(xué)密碼分析學(xué) 一一 密碼學(xué)的基本概念密碼學(xué)的基本概念o 2、算法的安全性、算法的安全性 o 密碼算法具有不同的安全等級(jí) :以下情況可能是安全的n破譯算法的代價(jià)大于加密數(shù)據(jù)的價(jià)值 n破譯算法所需的時(shí)間大于加密數(shù)據(jù)保密的時(shí)間 n用單密鑰加密的數(shù)據(jù)量小于破譯算法需要的數(shù)據(jù)量

17、oShannon理論：僅當(dāng)密鑰至少和明文一樣長(zhǎng)時(shí)才無(wú)條件安全。o 如果不論密碼分析者有多少密文，都沒(méi)有足夠的信息恢復(fù)出明文，那么這個(gè)算法就是無(wú)條件保密的；只有一次一密亂碼本，才是無(wú)條件安全的。o 所有其它的密碼系統(tǒng)在唯密文攻擊中都是可破的 （蠻力攻擊 ）。191 1 經(jīng)典密碼體制經(jīng)典密碼體制 二二 經(jīng)典密碼體制的基本原理經(jīng)典密碼體制的基本原理o單表代換密碼n 密鑰移位固定o多表代換密碼n 密鑰移位周期固定o多字母代換密碼n 明文分組變換201 1 單表代換密碼單表代換密碼 二二 經(jīng)典密碼體制的基本原理經(jīng)典密碼體制的基本原理o 單表代換密碼：對(duì)所有的明文字母都用一個(gè)固定的代換進(jìn)行加密 ，因而稱為

18、單表代換密碼。加密過(guò)程中是從明文字母表到密文字母表的一一映射。例：愷撒（Caesar)密碼。n明文a b c d e f g h I j k l m n o p q r s t u v w x y zn密文X N Y A HP OGZQWB T S F L RC VMU E K J D Io 解決函數(shù)是一個(gè)逆置換，即解密算法：nABC DE F G HI J K L MN O PQRS T U VW XYZnd l r y v o h e z x w p t b g f j q n m u s k a c Io 例：MGZVY ZLGHC MHJMY XSSFM NHAHY CDLMHAo 解

19、：thisc ipher textc annot bedec ryptedo 含義：This ciphertext can not be decrypted211 1 單表代換密碼單表代換密碼 二二 經(jīng)典密碼體制的基本原理經(jīng)典密碼體制的基本原理o 英語(yǔ)26個(gè)字母中，各字母出現(xiàn)的頻率不同而穩(wěn)定，經(jīng)過(guò)大量統(tǒng)計(jì)，可以給出了各字母出現(xiàn)的頻率值。英文明文字母按出現(xiàn)概率大小分組表：o 1 e 0.1o 2 t a o i n s h r 0.05-0.1o 3 d l 0.03-0.05o 4 c u m w f g y p b 0.01-0.03o 5 v k j x q z 0.01221 1 單表代

20、換密碼單表代換密碼 二二 經(jīng)典密碼體制的基本原理經(jīng)典密碼體制的基本原理o 字母、三字母組合是分析單表密碼的有力手段 。o 英語(yǔ)單詞以e、s、t、d雙結(jié)尾的超過(guò)一半；以t、a、s、w 為起始字母的約為一半。o 某些常用用法也會(huì)提供有價(jià)值的線索，如信的開頭寫Dear ；源程序的某一位置是版權(quán)聲明；電子資金傳送報(bào)頭格式。 o 單表密碼的弱點(diǎn)：明文和密文字母之間的一一代替關(guān)系。這使得明文中的一些固有特性和規(guī)律（比如語(yǔ)言的各種統(tǒng)計(jì)特性）必然反映到密文中去。232 2 多表代換密碼多表代換密碼 二二 經(jīng)典密碼體制的基本原理經(jīng)典密碼體制的基本原理o 多表代換密碼多表代換密碼：由多個(gè)單字母密碼構(gòu)成，每個(gè)密鑰加

21、密對(duì)應(yīng)位置的明文。 例：維吉尼亞密碼。o 維吉尼亞（維吉尼亞（Vigenere）密碼：）密碼：典型的多表密碼，即一個(gè)明文字母可表示為多個(gè)密文字母。o 例如：明文為System，密鑰為dog，a,b,cx,y,z分別用0,1,223,24,25來(lái)表示，加密過(guò)程如下：o 明文：S y s t e mo 密鑰：d o g d o go 密文：V m g w r so 在這個(gè)例子中，明文事每三個(gè)字母中的第一、第二、第三個(gè)字母分別移動(dòng)（mod 26）3個(gè)，14個(gè)和6個(gè)位置。243 3 多字母代換密碼多字母代換密碼二二 經(jīng)典密碼體制的基本原理經(jīng)典密碼體制的基本原理o 多字母代替密碼：明文字符串按固定長(zhǎng)度被

22、分組，然后成組加密。如：o 明文：wearediscoveredsaveyourselfabco 首先將明文分成6個(gè)字母長(zhǎng)的明文組：o 分組：weared iscove redsav eyours elfabco 將每6字母長(zhǎng)的明文組按密鑰k重新排列如下：o AEWDRE CVIEOS DARVSE ORESUY FBECALo 密文： AEWDRECVIEOSDARVSEORESUYFBECAL1 2 3 4 5 63 5 1 6 4 2k251 1 分組密碼基本含義分組密碼基本含義三三 分組密碼原理分組密碼原理o 分組密碼系統(tǒng)對(duì)不同的組采用同樣的密鑰K進(jìn)行加、解密。n 設(shè)密文組為y=y1y

23、2ym，n 則對(duì)明文組x=x1x2xm,o 用密鑰k加密可得到:n y=ek(x1) ek(x2) ek(xm).262 2 分組密碼設(shè)計(jì)原理分組密碼設(shè)計(jì)原理三三 分組密碼原理分組密碼原理o 進(jìn)一步分析：n分組密碼將明文消息編碼表示后的明文數(shù)字序列x0、x1、x2、,劃分成長(zhǎng)度為n的組:n X=(x0,x1,x2, xn-1),可看到長(zhǎng)度為n的矢量n 每組分別在密鑰k=(k0,k1,k2, km-1)的控制下變換成等長(zhǎng)的密文序列n Y=(y0,y1,y2, yn-1),也可看到成n維矢量n 加密函數(shù)是E：VnKVn,是n維矢量空間，K為密鑰空間。n 過(guò)程如下圖所示272 2 分組密碼設(shè)計(jì)原理分

24、組密碼設(shè)計(jì)原理三三 分組密碼原理分組密碼原理明文明文(x0,xn-1)y=(y0,yn-1)密鑰密鑰k=(k0,km-1)密鑰密鑰k=(k0,km-1)加密算法密文密文解密算法明文明文(x0,xn-1)y=ek(x0) ek(x2) ek(xn-1)分組密碼模型分組密碼模型283 3 分組密碼設(shè)計(jì)的一般原則分組密碼設(shè)計(jì)的一般原則三三 分組密碼原理分組密碼原理o 分組長(zhǎng)度應(yīng)足夠大，使得不同明文分組的個(gè)數(shù)2n足夠大，以防止明文被窮舉法攻擊。o 密鑰空間應(yīng)足夠大，盡可能消除弱密鑰，從而使所有密鑰同等概率，以防窮舉密鑰攻擊。o 由密鑰確定的算法要足夠復(fù)雜，充分實(shí)現(xiàn)明文與密鑰的擴(kuò)散和混淆。o 軟件實(shí)現(xiàn)的

25、要求：盡量使用適合編程的子塊和簡(jiǎn)單的算法。o 硬件實(shí)現(xiàn)的要求：加密和解密應(yīng)具有相似性，即加密和解決過(guò)程的不同應(yīng)僅僅在于密鑰的使用方式上，以便采用同樣的器件來(lái)實(shí)現(xiàn)加密和解密，以節(jié)省費(fèi)用和體積。盡可能采用標(biāo)準(zhǔn)的組件結(jié)構(gòu)，以便能在超大規(guī)模集成電路中實(shí)現(xiàn)。294 4 分組密碼的一般結(jié)構(gòu)分組密碼的一般結(jié)構(gòu)三三 分組密碼原理分組密碼原理o 一般有兩種：n Feistel網(wǎng)絡(luò)結(jié)構(gòu)o 由Feistel發(fā)明，被DES采用n SP網(wǎng)絡(luò)結(jié)構(gòu)o 可逆函數(shù)S，置換作用P，是一種重要的結(jié)構(gòu)o AES標(biāo)準(zhǔn)采用此結(jié)構(gòu)301 DES1 DES加密標(biāo)準(zhǔn)加密標(biāo)準(zhǔn)四四 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)o 發(fā)明人：IBM公司W(wǎng). Tuchma

26、n 和 C. Meyer 1971-72年研制。o 產(chǎn)生：美國(guó)商業(yè)部的國(guó)家標(biāo)準(zhǔn)局NBS1973年5月到1974年8月兩次發(fā)布通告，公開征求用于電子計(jì)算機(jī)的加密算法。IBM的LUCIFER的改進(jìn)方案被采納。o 標(biāo)準(zhǔn)化：于1976年11月被美國(guó)政府采用，DES隨后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(American National Standard Institute， ANSI) 承認(rèn)。1977年1月以數(shù)據(jù)加密標(biāo)準(zhǔn)DES（Data Encryption Standard）的名稱正式向社會(huì)公布。于1977年7月15日生效。o DES的發(fā)展：如衍生出可抗差分分析攻擊的變形DES以及密鑰長(zhǎng)度為128

27、比特的三重DES等。311 DES1 DES加密標(biāo)準(zhǔn)加密標(biāo)準(zhǔn)四四 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)o 破解：發(fā)明人在1977年，人們估計(jì)要耗資兩千萬(wàn)美元才能建成一個(gè)專門計(jì)算機(jī)用于DES的解密，而且需要12個(gè)小時(shí)的破解才能得到結(jié)果。 o 1997年開始，RSA公司發(fā)起了一個(gè)稱作“向DES挑戰(zhàn)”的競(jìng)技賽。o 1997年1月，用了96天時(shí)間，成功地破解了用DES加密的一段信息；一年之后，在第二屆賽事上，這一記錄41天 ；1998年7月， “第2-2屆DES挑戰(zhàn)賽（DES Challenge II-2）” 把破解DES的時(shí)間縮短到了只需56個(gè)小時(shí)； “第三屆DES挑戰(zhàn)賽（DES Challenge III）”

28、把破解DES的時(shí)間縮短到了只需22.5小時(shí) 。322 DES2 DES算法框圖算法框圖四四 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)輸入64位比特明文數(shù)據(jù)初始變換IP初始逆變換IP-1在密鑰控制下16輪迭代交換左右32比特輸出64位比特密文數(shù)據(jù)333 DES3 DES的問(wèn)題討論的問(wèn)題討論四四 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)o DES算法中，除S盒外，所有計(jì)算都是線性的。有人質(zhì)疑S盒可能存在陷門，但至今沒(méi)發(fā)現(xiàn)。o 擔(dān)心實(shí)際56比特的密鑰長(zhǎng)度不足以抵抗窮舉攻擊，因?yàn)槊荑€量只有2561017個(gè)。事實(shí)也如此，1997年即被破解。343 DES3 DES的問(wèn)題討論的問(wèn)題討論四四 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)o DES算法中，除S

29、盒外，所有計(jì)算都是線性的。有人質(zhì)疑S盒可能存在陷門，但至今沒(méi)發(fā)現(xiàn)。o 擔(dān)心實(shí)際56比特的密鑰長(zhǎng)度不足以抵抗窮舉攻擊，因?yàn)槊荑€量只有2561017個(gè)。事實(shí)也如此，1997年即被破解。354 DES4 DES的變形的變形四四 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)o 雙重DESn已知明文P和兩個(gè)密鑰K1和K2，密文為C=EK2(EK1(P),解決過(guò)程做逆運(yùn)算：P=DK1(DK2(C)n問(wèn)題：o 是否存在K3,使得EK2(EK1(P)=EK3(P)? o 直到1992年，這個(gè)結(jié)論才被證明是不成立的。o 中途攻擊n已知明文、密文對(duì)（P,C）,是可能找到K1和K2的；o 三重DESn為解決中途攻擊而設(shè)計(jì)，密鑰長(zhǎng)度2112.361 1 高級(jí)加密標(biāo)準(zhǔn)高級(jí)加密標(biāo)準(zhǔn)五五 高級(jí)加密標(biāo)準(zhǔn)高級(jí)加密標(biāo)準(zhǔn)o NIST(國(guó)家標(biāo)準(zhǔn)技術(shù)研究所)1997年9月12日發(fā)出征集高級(jí)加密標(biāo)準(zhǔn)的通知 。n1998年8月首次選出15個(gè)候選者，1999年3月遴選出5個(gè)，包括：E2、MARS、RC6、Rijndael、Twofish。n2000年10月2日，美國(guó)商務(wù)部部長(zhǎng)宣布比利時(shí)的Rijndael算法成為新的AES。o 選擇的基本條件：公開；分組單鑰，分組長(zhǎng)度128；密鑰可為128，192，256；可軟硬件實(shí)現(xiàn)。o 優(yōu)劣標(biāo)準(zhǔn)：安