第四部分現(xiàn)代常規(guī)的分組加密算法課件

1、第四章 現(xiàn)代常規(guī)的分組加密算法 主要考察較為流行的最重要的幾個對稱密鑰的分組密碼算法。這些算法都是自DES公布之后，人們了解DES的弱點越來越深入的情況下給出的。給出的方式有兩種，一種是對DES進(jìn)行復(fù)合，強化它的抗攻擊能力；另一種是開辟新的方法，即象DES那樣加解密速度快，又具有抗差分攻擊和其他方式攻擊的能力。我們主要考察如下三種加密算法1.Triple DES2.IDEA3.RC5其他一些較實用的算法，自己看書了解，如Blowfish，CAST，以及RC2。1 TRIPLE DESDES算法設(shè)計的優(yōu)點是很多的。如何加強DES的安全性是一個世紀(jì)感興趣的問題。Quisquater等曾建議采用長達(dá)

2、768 bits密鑰的方案。由于已經(jīng)證明DES不能成為群，見 K.W.Campbell and M.J.Wiener Proof that DES is not a group In Advances in CryptologyCrpto92. SpringerVerlag, New York,1993.于是多重DES，尤其是三重DES還在普遍使用。（1）二重DES(Double DES)給定明文P和兩個加秘密鑰k1和k2，采用DES對P進(jìn)行加密E，有 密文 C=EK2(EK1(P) 對C進(jìn)行解密D，有 明文 P=DK1(DK2(C)EEPXCK2K1加密圖DDK2K1CXP解密圖 對于二重D

3、ES的加密，所用密鑰的長度為 562=112 bits 這樣是否真正能增強DES的強度呢？問題在于下式能否成立： EK2(EK1(P) =EK3(P) (4.1) DES是一個從集合A到集合A的一個映射。其中： 映射DES事實上可視為對A的一個作用，作用方式為置換。所有可能的置換數(shù)為 （264)!。 然而，DES對每一個不同的密鑰只決定唯一的映射。而密鑰數(shù)256107，(4.1)式不能成立。關(guān)于DES不是群的詳細(xì)證明見上面給的文獻(xiàn)。注：二重DES很難抵擋住中間相遇攻擊法（Meet-in-the-Middle Attack)EEPCX由 C=EK2(EK1(P)從圖中可見 X=EK1(P)=DK

4、2(C)K1K2DDCPXK1K2加密解密 若給出一個已知的明密文對（P,C)做：對256個所有密鑰K1做對明文P的加密，得到一張密鑰對應(yīng)于密文X的一張表；類似地對256個所有可能的密鑰K2做對密文C的解密，得到相應(yīng)的“明文”X。做成一張X與K2的對應(yīng)表。比較兩個表就會得到真正使用的密鑰對K1,K2。對二重DES的中間相遇攻擊的分析已知，給定一個明文P，經(jīng)二重DES加密有264個可能的密文。而二重DES所用密鑰的長度應(yīng)是112 bits，所以選擇密鑰有2112個可能性。于是對給定明文P加密成密文有2112/264=248種可能。于是，密文是假的比例約為248-64=2-16。這樣，對已知明文-

5、密文對的中間相遇攻擊成功的概率為1-2-16。攻擊用的代價加密或解密所用運算次數(shù) 256+256=2112（2）帶有雙密鑰的三重DES（Triple DES with Two Keys)Tuchman給出雙密鑰的EDE模式（加密-解密-加密）： C=EK1(DK2(EK1(P) 對P加密 P=DK1(EK2(DK1(C) 對C解密 這種替代DES的加密較為流行并且已被采納用于密鑰管理標(biāo)準(zhǔn)（The Key Manager Standards ANSX9.17和ISO8732).EDEDEDCBAPPAB CK1K2K1K1K2K1加密圖解密圖到目前為止，還沒有人給出攻擊三重DES的有效方法。對其

6、密鑰空間中密鑰進(jìn)行蠻干搜索，那么由于空間太大為2112=51033，這實際上是不可行的。若用差分攻擊的方法，相對于單一DES來說復(fù)雜性以指數(shù)形式增長，要超過1052。注意：1*. Merkle和Hellman設(shè)法創(chuàng)造一個條件，想把中間相遇攻擊（meet-in-the-middle attack）的方法用于三重DES，但目前也不太成功。2*. 雖然對上述帶雙密鑰的三重DES到目前為止還沒有好的實際攻擊辦法，但人們還是放心不下，又建議使用三密鑰的三重DES，此時密鑰總長為168bits. C=EK3(DK2(EK1(P)2 RC5 RC5是對稱加密算法，由RSA公司的首席科學(xué)家R.Rivest于1

7、994年設(shè)計，1995年正式公開的一個很實用的加密算法。RC5具有如下的特性：1. 適用于軟件或者硬件實現(xiàn)2. 運算速度快3. 能適應(yīng)于不同字長的程序（一個字的bit數(shù)是RC5的一個參數(shù)；不同字長派生出相異的算法）4. 加密的輪數(shù)可變（輪數(shù)是RC5的第二個參數(shù)，這個參數(shù)用來調(diào)整加密速度和安全性的程度）5. 密鑰長度是可變的（密鑰長度是RC5的第三個參數(shù)）6. RC5形式簡單，易于實現(xiàn)，加密強度可調(diào)節(jié)7. 對記憶度要求不高（使RC5可用于類似Smart Card這類的對記憶度有限定的器件）8. 高保密性（適當(dāng)選擇好參數(shù)）9. 對數(shù)據(jù)實行bit循環(huán)移位（增強抗攻擊能力）對RC5的系統(tǒng)描述：（1）R

8、C5的參數(shù) RC5實際上是由三個參數(shù)決定的一組加密算法。 參數(shù) 定義 允許值 w 字的bit數(shù)大小。RC5加密 16,32,64 的基本單位為2個字塊 r 輪數(shù) 0,1, ,255 b 密鑰字節(jié)的長度（8-bit bytes) 0,1, ,255RC5加密明文塊的長度為32，64，128 bits。并且對應(yīng)同樣長度的密文。密鑰長度為從0到2040 bits。一個特定的RC5表示為 RC5-w/r/b Rivest建議使用的標(biāo)注RC5為 RC5-32/12/16（明文分組長度64，加密輪數(shù)12，密鑰長度128 bits)（2） RC5的密鑰擴展 對給定的密鑰K來說，經(jīng)過一些復(fù)合運算可產(chǎn)生總數(shù)為t

9、的字密鑰，使得每一輪都分配一對密鑰。除此之外的非輪運算部分也要分配一對密鑰?？傆嫯a(chǎn)生 t=2r+2 個子密鑰，每個密鑰的長度為一個字長（w bits)。子密鑰可標(biāo)記在t-字陣列中： s0,s1, ,st-1 它為wt矩陣 這種陣列的產(chǎn)生圖示為：初始化混合轉(zhuǎn)換s0S1 St-1L0L1Lc-1K0K1Kb-1S0S1St-1r,wByteswordswords將參數(shù)r，w輸入，左面標(biāo)出的t-字陣列是一些偽隨機bit，按r,w的規(guī)格選入的。然后把b-bits長的密鑰K0, ,b-1轉(zhuǎn)換成c-字陣列L0, ,c-1（字的bit數(shù)為w，這里c=b8/w；注意：密鑰長度為b個字節(jié)）。如果b不是w的整數(shù)倍

10、，那么L右端的空位用0填入。 下面描述密鑰生成的細(xì)節(jié)：對于給定的參數(shù)r和w，開始初始化運算 Pw=Odd(e-2)2w) Qw=Odd( -1)2w)這里 e =2.718281828459(自然對數(shù)的底） =1.618033988749（黃金分割比率）并且Oddx表示最接近x且可左可右的奇整數(shù)。例： Odde=3, Odd =1用上述兩個常數(shù)，按下述方式得到初始化的陣列S: S0=Pw For i=1 to t-1 do Si=Si-1+Qw其中的加法是模2w的加法運算。 得到初始化陣列S，然后與最后產(chǎn)生的密鑰陣列L做混合，最終得到子密鑰陣列。注1*.為了增強復(fù)雜性，可對陣列S,L做多次處理

11、： i=j=x=y=0 do 3max(t,c) times: Si=(Si+X+Y)3； X=Si；i=(i+1)(mod t); Lj=(Lj+X+Y)(X+Y)； Y=Lj；j=(j+1)(mod c); 2*. Rivest 聲稱，這個擴張函數(shù)具有單向性。（3） RC5的加密整個加密使用了下述3個基本運算和它們的逆運算：模2w加法運算，表示為“+”；逐比特異或運算，表示為“”；字的循環(huán)左移運算：字x循環(huán)左移y比特，表示為xy如（a0,a1,a2, ,an-1)3=(a3,a4, ,an-1,a0,a1,a2)加密運算圖：明文（2w bits)+密文（2w bits)S0Round1S2

12、Round rS2rS1S3S2r+1RErRE1LErLE1LE0RE0AB將明文分組為左右A,B；用變量Lei，Rei參與運算程序為： LE0=A+S0 RE0=B+S1 for i=1 to r do LEi= (LEi-1REi-1)REi-1)+S2i; REi=(REi-1 LEi)LDi) LDi); LDi-1=(LDi-S2*iRDi-1) RDi-1); B=RD0-S1; A=LD0-S0.(5) RC5操作模式 見書119頁-120頁明文（2w 比特）-密文(2w 比特）ABS2rS2S0S1S3S2r+1LDrRDrRound rRound 1LD0RD0RDr-1LDr-13 RC6分組密碼簡介被選為21世紀(jì)加密標(biāo)準(zhǔn)算法。RC6是RC5的進(jìn)一步改進(jìn)。像RC5那樣，RC6實際上是利用數(shù)據(jù)的循環(huán)移位。RC5自1995年公布以來，盡管至今為止還沒有發(fā)現(xiàn)實際攻擊的有效手段，然而一些理論攻擊的文章先后也分析出RC5的一些弱點。RC6的加密程序：RC6-w/r/bInput：明文存入四個w-bit寄存器A,B,C,D輪數(shù)rw-bit輪密鑰S0,1, ,2r+3Output：密文存入寄存器A,B,C,DProcedure: B=B+S0 D=D+S1 for i=1 to r do t=(B(2B+