密碼學(xué)與計(jì)算機(jī)安全：第07講 現(xiàn)代分組密碼-des

現(xiàn)代分組加密算法-DES第七講分組密碼理論--DES7.1DES7.2IDEA7.3AES7.1數(shù)據(jù)加密標(biāo)準(zhǔn)（DES)DES的歷史1971IBM，由HorstFeistel領(lǐng)導(dǎo)的密碼研究項(xiàng)目組研究出LUCIFER算法。并應(yīng)用于商業(yè)領(lǐng)域。1973美國(guó)標(biāo)準(zhǔn)局征求標(biāo)準(zhǔn)，IBM提交結(jié)果，在1977年，被選為數(shù)據(jù)加密標(biāo)準(zhǔn)。PC157,49,41,33,25,17,9,CHalf1,58,50,42,34,26,18,10,2,59,51,43,35,27,19,11,3,60,52,44,36,63,55,47,39,31,23,15,DHalf7,62,54,46,38,30,22,14,6,61,53,45,37,29,21,13,5,28,20,12,47.2DES的描述

DES利用56比特串長(zhǎng)度的密鑰K來(lái)加密長(zhǎng)度為64位的明文，得到長(zhǎng)度為64位的密文該算法分三個(gè)階段實(shí)現(xiàn)：

1.給定明文X，通過(guò)一個(gè)固定的初始置換IP來(lái)排列X中的位，得到X0。

X0=IP（X）=L0R0

其中L0由X0前32位組成，R0由X0的后32位組成。

2.計(jì)算函數(shù)F的16次迭代,根據(jù)下述規(guī)則來(lái)計(jì)算LiRi(1<=i<=16）

Li=Ri-1,Ri=Li-1

F(Ri-1,Ki)

其中Ki是長(zhǎng)為48位的子密鑰。子密鑰K1，K2，…，K16是作為密鑰K（56位）的函數(shù)而計(jì)算出的。

3.對(duì)比特串R16L16使用逆置換IP-1得到密文Y。

Y=IP-1（R16L16）IP-初始置換58,50,42,34,26,18,10,2,60,52,44,36,28,20,12,4,62,54,46,38,30,22,14,6,64,56,48,40,32,24,16,8,57,49,41,33,25,17,9,1,59,51,43,35,27,19,11,3,61,53,45,37,29,21,13,5,63,55,47,39,31,23,15,7PC157,49,41,33,25,17,9,CHalf1,58,50,42,34,26,18,10,2,59,51,43,35,27,19,11,3,60,52,44,36,63,55,47,39,31,23,15,DHalf7,62,54,46,38,30,22,14,6,61,53,45,37,29,21,13,5,28,20,12,4S-box-10123456789abcdefCOL

S[1]

14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7,0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8,4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0,15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13

DES一輪加密的簡(jiǎn)圖

Li-1Ri-1F+LiRiKi對(duì)F函數(shù)的說(shuō)明：（類比于S-DES）F（Ri-1,Ki）

函數(shù)F以長(zhǎng)度為32的比特串A=R（32bits）作第一個(gè)輸入，以長(zhǎng)度為48的比特串變?cè)狫=K(48bits)作為第二個(gè)輸入。產(chǎn)生的輸出為長(zhǎng)度為32的位串。

(1)對(duì)第一個(gè)變?cè)狝，由給定的擴(kuò)展函數(shù)E，將其擴(kuò)展成48位串，E（A）

(2)計(jì)算E（A）+J，并把結(jié)果寫成連續(xù)的8個(gè)6位串,

B=b1b2b3b4b5b6b7b8

(3)使用8個(gè)S盒，每個(gè)Sj是一個(gè)固定的416矩陣，它的元素取0~15的整數(shù)。給定長(zhǎng)度為6個(gè)比特串，如

Bj=b1b2b3b4b5b6

計(jì)算Sj(Bj)如下：b1b6兩個(gè)比特確定了Sj的行數(shù),r(0<=r<=3);而b2b3b4b5四個(gè)比特確定了Sj的列數(shù)c（0<=c<=15）。最后Sj(Bj)的值為S-盒矩陣Sj中r行c列的元素（r,c）,得Cj=Sj(Bj)。

(4)最后，P為固定置換。

DES輪函數(shù)F（）DES中使用的其它特定函數(shù)：

初始置換IP：見(jiàn)140頁(yè)圖4-4-3,從圖中看出X的第58個(gè)比特是IP（X）的第一個(gè)比特；X的第50個(gè)比特是IP（X）的第二個(gè)比特…

逆置換IP-1；擴(kuò)展函數(shù)E；置換函數(shù)P。從密鑰K計(jì)算子密鑰：

實(shí)際上，K是長(zhǎng)度為64的位串，其中56位是密鑰，8位是奇偶校驗(yàn)位（為了檢錯(cuò)），在密鑰編排的計(jì)算中，這些校驗(yàn)位可略去。

(1).給定64位的密鑰K，放棄奇偶校驗(yàn)位（8，16，…，64）并根據(jù)固定置換PC-1（見(jiàn)144頁(yè)圖4-4-9）來(lái)排列K中剩下的位。我們寫

PC-1(K)=C0D0

其中C0由PC-1（K）的前28位組成；D0由后28位組成。(2)對(duì)1<=i<=16，計(jì)算

Ci=LSi(Ci-1)

Di=LSi(Di-1)

LSi表示循環(huán)左移2或1個(gè)位置，取決于i的的值。i=1,2,9和16時(shí)移1個(gè)位置，否則移2位置（143頁(yè)表4-4-2）。

Ki=PC-2(CiDi),PC-2為固定置（見(jiàn)145頁(yè)圖4-4-10)。注：一共16輪，每一輪使用K中48位組成一個(gè)48比特密鑰?？伤愠?6個(gè)表，第i個(gè)表中的元素可對(duì)應(yīng)上第i輪密鑰使用K中第幾比特！如：

第7輪的表7：K7取K中的比特情況：

52571112659103444512519

941325035364342336018

2871429474622515636139

4311338536255202337306輪密鑰編排KPC-1C0D0LS1LS1C1D1LS2LS2LS16LS16C16D16PC-2PC-2K1K16

…14,17,11,24,1,5,Chalf3,28,15,6,21,10,(bits1-28)23,19,12,4,26,8,16,7,27,20,13,2,41,52,31,37,47,55,Dhalf30,40,51,45,33,48,(bits29-56)44,49,39,56,34,53,46,42,50,36,29,32ChalfprovidesbitstoS1-S4,DhalftoS5-S8

PC27.3DES加密的一個(gè)例子

取16進(jìn)制明文X：0123456789ABCDEF

密鑰K為：133457799BBCDFF1

去掉奇偶校驗(yàn)位以二進(jìn)制形式表示的密鑰是00010010011010010101101111001001101101111011011111111000

應(yīng)用IP，我們得到：

L0=11001100000000001100110011111111

L1=R0=11110000101010101111000010101010

然后進(jìn)行16輪加密。

最后對(duì)L16,R16使用IP-1得到密文：85E813540F0AB4057.4DES的爭(zhēng)論

DES的核心是S盒，除此之外的計(jì)算是屬線性的。S盒作為該密碼體制的非線性組件對(duì)安全性至關(guān)重要。S盒的設(shè)計(jì)準(zhǔn)則：

1.S盒不是它輸入變量的線性函數(shù)

2.改變S盒的一個(gè)輸入位至少要引起兩位的輸出改變

3.對(duì)任何一個(gè)S盒，如果固定一個(gè)輸入比特，其它輸入變化時(shí)，輸出數(shù)字中0和1的總數(shù)近于相等。公眾仍然不知道S盒的構(gòu)造中是否還使用了進(jìn)一步的設(shè)計(jì)準(zhǔn)則（有陷門？）。密鑰長(zhǎng)度是否足夠？迭代的長(zhǎng)度？（8、16、32？）7.5三重DES7.5.1雙重DES加密解密問(wèn)題：下式成立嗎？7.5.2三重DES(Cont.)兩個(gè)密鑰的三重DES目前，沒(méi)有針對(duì)三重DES的攻擊方法，它是一種較受歡迎的DES替代方案。7.6IDEA簡(jiǎn)介瑞士的XuejiaLai和JamesMassey于1990年公布了IDEA密碼算法第一版，稱為PES(ProposedEncryptionStandard)。為抗擊差分密碼攻擊，他們?cè)鰪?qiáng)了算法的強(qiáng)度，稱IPES（ImprovedPES)，并于1992年改名為IDEA（InternationalDataEncryptionAlgorithm，國(guó)際數(shù)據(jù)加密算法。）7.6.1IDEA(Cont.)IDEA是一個(gè)分組長(zhǎng)度為64位的分組密碼算法，密鑰長(zhǎng)度為128位（抗強(qiáng)力攻擊能力比DES強(qiáng)），同一算法既可加密也可解密。IDEA的“混淆”和“擴(kuò)散”設(shè)計(jì)原則來(lái)自三種運(yùn)算，它們易于軟、硬件實(shí)現(xiàn)（加密速度快）：7.6.2IDEA簡(jiǎn)介(Cont.)異或運(yùn)算（）整數(shù)模216加（+）整數(shù)模216+1乘（）(IDEA的S盒）擴(kuò)散由稱為MA結(jié)構(gòu)的算法基本構(gòu)件提供。Z6F2F1Z5G1G27.6.3IDEA簡(jiǎn)介(Cont.)實(shí)現(xiàn)上的考慮使用子分組：16bit的子分組；使用簡(jiǎn)單操作（易于加法、移位等操作實(shí)現(xiàn)）加密解密過(guò)程類似；規(guī)則的結(jié)構(gòu)（便于VLSI實(shí)現(xiàn)）。

IDEA加密的總體方案圖循環(huán)2循環(huán)8循環(huán)1輸出變換64位密文64位明文Z1Z6Z7Z12Z43Z48Z49Z52子密鑰生成器128位密鑰Z1Z5216

7.6.4IDEA的密鑰生產(chǎn)56個(gè)16bit的子密鑰從128bit的密鑰中生成前8個(gè)子密鑰直接從密鑰中取出；對(duì)密鑰進(jìn)行25bit的循環(huán)左移，接下來(lái)的密鑰就從中取出；重復(fù)進(jìn)行直到52個(gè)子密鑰都產(chǎn)生出來(lái)。IDEA的解密加密解密實(shí)質(zhì)相同，但使用不同的密鑰；解密密鑰以如下方法從加密子密鑰中導(dǎo)出：解密循環(huán)I的頭4個(gè)子密鑰從加密循環(huán)10－I的頭4個(gè)子密鑰中導(dǎo)出；解密密鑰第1、4個(gè)子密鑰對(duì)應(yīng)于1、4加密子密鑰的乘法逆元；2、3對(duì)應(yīng)2、3的加法逆元；對(duì)前8個(gè)循環(huán)來(lái)說(shuō)，循環(huán)I的最后兩個(gè)子密鑰等于加密循環(huán)9－I的最后兩個(gè)子密鑰；7.6.5IDEA簡(jiǎn)介(Cont.)IDEA是PGP的一部分；IDEA能抗差分分析和相關(guān)分析；IDEA似乎沒(méi)有DES意義下的弱密鑰；BruceSchneier認(rèn)為IDEA是DES的最好替代，但問(wèn)題是IDEA太新，許多問(wèn)題沒(méi)解決。7.6.7先進(jìn)分組密碼的特點(diǎn)可變密鑰長(zhǎng)度混合操作依賴數(shù)據(jù)的循環(huán)移位依賴于密鑰的循環(huán)移位依賴密鑰的S盒子冗長(zhǎng)的密鑰調(diào)度算法可變的F函數(shù)和可變的明文/密文長(zhǎng)度可變的循環(huán)次數(shù)在每次循環(huán)中都對(duì)兩半數(shù)據(jù)進(jìn)行操作7.7AES候選算法背景從各方面來(lái)看，DES已走到了它生命的盡頭。其56比特密鑰實(shí)在太小，雖然三重DES可以解決密鑰長(zhǎng)度的問(wèn)題，但是DES的設(shè)計(jì)主要針對(duì)硬件實(shí)現(xiàn)，而今在許多領(lǐng)域，需要用軟件方法來(lái)實(shí)現(xiàn)它，在這種情況下，它的效率相對(duì)較低。鑒于此，1997年4月15日美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）發(fā)起征集AES（AES—AdvancedEncryptionStandard）算法的活動(dòng)，并成立了AES工作組。目的是為了確定一個(gè)非保密的、公開(kāi)披露的、全球免費(fèi)使用的加密算法，用于保護(hù)下一世紀(jì)政府的敏感信息。也希望能夠成為保密和非保密部門公用的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）。AES候選算法（續(xù)）要求該算法應(yīng)比三重DES快而且至少還要一樣的安全，它應(yīng)當(dāng)具有128比特分組長(zhǎng)度和256比特分組密鑰長(zhǎng)度（不過(guò)必須支持128和192比特的密鑰），此外，還應(yīng)該具有較大的靈活性。AES候選算法（續(xù)）評(píng)選過(guò)程中采用的方法1.用量化的或定性的尺度作為選擇的標(biāo)準(zhǔn)；2.選擇一種以上的算法；3.選擇一個(gè)備用算法；4.考慮公眾的建議以改進(jìn)算法。AES候選算法（續(xù)）1998年8月20日，NIST在第一階段討論（AES1）中宣布了由12個(gè)國(guó)家提出的15個(gè)候選算法，1999年3月開(kāi)始的第二階段討論（AES2），1999年8月NIST選出5個(gè)算法候選:MARS、RC6、Rijndael、Serpent和Twofish。AES候選算法-過(guò)程（續(xù)）

在宣布最后的5個(gè)候選算法后，NIST再次懇請(qǐng)公眾參與對(duì)這些算法的評(píng)論。公眾對(duì)這五種候選算法的評(píng)閱期于2000年5月15日結(jié)束。NIST發(fā)布的AES主頁(yè)[2]提供了大量的關(guān)于算法描述、源程序、有關(guān)AES3的論文以及其他公眾評(píng)論