第四講單鑰體制二分組密碼課件

36、“不可能”這個字(法語是一個字)，只在愚人的字典中找得到。--拿破侖。37、不要生氣要爭氣，不要看破要突破，不要嫉妒要欣賞，不要托延要積極，不要心動要行動。38、勤奮，機(jī)會，樂觀是成功的三要素。(注意：傳統(tǒng)觀念認(rèn)為勤奮和機(jī)會是成功的要素，但是經(jīng)過統(tǒng)計學(xué)和成功人士的分析得出，樂觀是成功的第三要素。39、沒有不老的誓言，沒有不變的承諾，踏上旅途，義無反顧。40、對時間的價值沒有沒有深切認(rèn)識的人，決不會堅韌勤勉。第四講單鑰體制二分組密碼第四講單鑰體制二分組密碼36、“不可能”這個字(法語是一個字)，只在愚人的字典中找得到。--拿破侖。37、不要生氣要爭氣，不要看破要突破，不要嫉妒要欣賞，不要托延要積極，不要心動要行動。38、勤奮，機(jī)會，樂觀是成功的三要素。(注意：傳統(tǒng)觀念認(rèn)為勤奮和機(jī)會是成功的要素，但是經(jīng)過統(tǒng)計學(xué)和成功人士的分析得出，樂觀是成功的第三要素。39、沒有不老的誓言，沒有不變的承諾，踏上旅途，義無反顧。40、對時間的價值沒有沒有深切認(rèn)識的人，決不會堅韌勤勉。第四講單鑰體制二分組密碼第四講單鑰體制（二）——分組密碼一、分組密碼概述二、代換網(wǎng)絡(luò)三、迭代分組密碼四、DES五、IDEA六、其它重要分組密碼七、分組密碼運(yùn)行模式八、分組密碼的組合九、分組密碼的分析十、AES2021/3/202第四講單鑰體制（二）——分組密碼分組密碼：單鑰分組密碼是許多系統(tǒng)安全的一個重要組成部分。分組密碼易于構(gòu)造擬隨機(jī)數(shù)生成器、流密碼、消息認(rèn)證碼(MAC)和雜湊函數(shù)等，還可進(jìn)而成為消息認(rèn)證技術(shù)、數(shù)據(jù)完整性機(jī)構(gòu)、實體認(rèn)證協(xié)議以及單鑰數(shù)字簽字體制的核心組成部分。實際應(yīng)用中對于分組碼可能提出多方面的要求，除了安全性外，還有運(yùn)行速度、存儲量(程序的長度、數(shù)據(jù)分組長度、高速緩存大小)、實現(xiàn)平臺(硬、軟件、芯片)、運(yùn)行模式等限制條件。這些都需要與安全性要求之間進(jìn)行適當(dāng)?shù)恼壑赃x擇。內(nèi)容：分組密碼的基本概念、設(shè)計原理、工作原理、運(yùn)行模式、以及一些標(biāo)準(zhǔn)算法，DES、IDEA、SAFERK-64、、RC-5、Twofish等。2021/3/20336、“不可能”這個字(法語是一個字)，只在愚人的字典中找得第四講單鑰體制二分組密碼課件第四講單鑰體制二分組密碼課件第四講單鑰體制二分組密碼課件第四講單鑰體制二分組密碼課件第四講單鑰體制（二）——分組密碼

一、分組密碼概述置換的選擇由密鑰k決定。所有可能置換構(gòu)成一個對稱群SYM(2n)，其中元素個數(shù)或密鑰數(shù)為(4—1—4)例如n=64bit時,(264)!>10347380000000000000000>(1010)20為表示任一特定置換所需的二元數(shù)字位數(shù)為

log2(2n!)(n－1.44)2n=O(n2n)(bit)(4—1—5)即密鑰長度達(dá)n2nbit，n=64時的值為64264=270

bit，DES的密鑰僅為56bit，IDEA的密鑰也不過為128bit。實用中的各種分組密碼(如后面要介紹的DES、IDEA、RSA和背包體制等)所用的置換都不過是上述置換集中的一個很小的子集。2023/1/46第四講單鑰體制（二）——分組密碼

一、分組密碼概述置換的第四講單鑰體制（二）——分組密碼

一、分組密碼概述

分組密碼的設(shè)計問題在于找到一種算法，能在密鑰控制下從一個足夠大且足夠好的置換子集中，簡單而迅速地選出一個置換，用來對當(dāng)前輸入的明文的數(shù)字組進(jìn)行加密變換。設(shè)計的算法應(yīng)滿足下述要求：(1)分組長度n要足夠大，防止明文窮舉攻擊法奏效。(2)密鑰量要足夠大，盡可能消除弱密鑰并使所有密鑰同等地好，以防止密鑰窮舉攻擊奏效。(3)由密鑰確定置換的算法要足夠復(fù)雜，充分實現(xiàn)明文與密鑰的擴(kuò)散和混淆，沒有簡單的關(guān)系可循，要能抗擊各種已知的攻擊。2023/1/47第四講單鑰體制（二）——分組密碼

一、分組密碼概述第四講單鑰體制（二）——分組密碼

一、分組密碼概述設(shè)計的算法應(yīng)滿足下述要求：(4)加密和解密運(yùn)算簡單，易于軟件和硬件高速實現(xiàn)。(5)數(shù)據(jù)擴(kuò)展。一般無數(shù)據(jù)擴(kuò)展，在采用同態(tài)置換和隨機(jī)化加密技術(shù)時可引入數(shù)據(jù)擴(kuò)展。(6)差錯傳播盡可能地小。

實現(xiàn)上述幾點要求并不容易。首先，圖8-1-1的代換網(wǎng)絡(luò)的復(fù)雜性隨分組長度n呈指數(shù)增大，常常會使設(shè)計變得復(fù)雜而難以控制和實現(xiàn)；實際中常常將n分成幾個小段，分別設(shè)計各段的代換邏輯實現(xiàn)電路，采用并行操作達(dá)到總的分組長度n足夠大，這將在下面討論。其次，為了便于實現(xiàn)，實際中常常將較簡單易于實現(xiàn)的密碼系統(tǒng)進(jìn)行組合，構(gòu)成較復(fù)雜的、密鑰量較大的密碼系統(tǒng)。2023/1/48第四講單鑰體制（二）——分組密碼

一、分組密碼概述設(shè)計的算第四講單鑰體制（二）——分組密碼

一、分組密碼概述

Shannon曾提出了以下兩種可能的組合方法：“概率加權(quán)和”的方法。設(shè)有r個子系統(tǒng)，以T1,T2,…,Tr表示，相應(yīng)被選用的概率為p1,p2,…,pr，其中。其概率和系統(tǒng)可表示成T=p1T1+p2T2+…+prTr(4—1—6)顯然，系統(tǒng)T的密鑰量將是各子系統(tǒng)密鑰量之和?！俺朔e”方法。設(shè)有兩個子密碼系統(tǒng)T1和T2，則先以T1對明文進(jìn)行加密，然后再以T2對所得結(jié)果進(jìn)行加密。其中，T1的密文空間需作為T2的“明文”空間。乘積密碼可表示成

T=T1T2(4—1—7)利用這兩種方法可將簡單易于實現(xiàn)的密碼組合成復(fù)雜的更為安全的密碼。2023/1/49第四講單鑰體制（二）——分組密碼

一、分組密碼概述第四講單鑰體制（二）——分組密碼二、代換網(wǎng)絡(luò)代換網(wǎng)絡(luò)。在密碼學(xué)研究中，代換網(wǎng)絡(luò)起著中心作用。明文和密文字母之間的雙射變換可以由一個輸入和輸出字母表相同的代換網(wǎng)絡(luò)實現(xiàn)。一個代換網(wǎng)絡(luò)可看作是有n個多元輸入和n個多元輸出變量的黑盒子，其每個輸出變量都是n個輸入的布爾函數(shù)。代換網(wǎng)絡(luò)的研究涉及電話交換、開關(guān)函數(shù)理論和密碼學(xué)等多個領(lǐng)域。

代換是輸入集A到輸出A＇上的雙射變換：

fk：AA＇(4—2—1)式中，k是控制輸入變量，在密碼學(xué)中則為密鑰。實現(xiàn)代換fk的網(wǎng)絡(luò)稱作代換網(wǎng)絡(luò)。雙射條件保證在給定k下可從密文惟一地恢復(fù)出原明文。2023/1/410第四講單鑰體制（二）——分組密碼二、代換網(wǎng)絡(luò)代換網(wǎng)絡(luò)。第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)代換fk的集合：S={fkkK}(4—2—2)K是密鑰空間。S完全表示了一個代換網(wǎng)絡(luò)特性。如果網(wǎng)絡(luò)可以實現(xiàn)所有可能的2n!個代換，則稱其為全代換網(wǎng)絡(luò)。顯然，密鑰個數(shù)必須滿足條件：＃{k}2n!(4—2—3)密碼設(shè)計中需要先定義代換集S，即確定加密用的代換網(wǎng)絡(luò)，而后還需定義解密變換集，即逆代換網(wǎng)絡(luò)S-1，它以密文y作為輸入矢量，其輸出為恢復(fù)的明文矢量x。如前所述，實用密碼體制的集合S中的元素個數(shù)都遠(yuǎn)小于2n!。要實現(xiàn)全代換網(wǎng)絡(luò)并不容易。因此實用中常常利用一些簡單的基本代換，通過組合實現(xiàn)較復(fù)雜的、元素個數(shù)較多的代換集。2023/1/411第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)代換fk的第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)常用的基本代換有下述幾種。1．左循環(huán)移位(Shiftleftcircular)

2．右循環(huán)移位(Shiftrightcircular)代換3．模2n加1(Additionwithmodule)代換4．線性變換(Lineartransformation)A5．換位(Transposition)代換6．連線交叉或坐標(biāo)置換T7．仿射變換(Affinetransform)一般二元代換網(wǎng)絡(luò)可用布爾函數(shù)描述。2023/1/412第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)常用的基第四講單鑰體制（二）——分組密碼二、代換網(wǎng)絡(luò)代換盒：簡稱為S盒。在密碼設(shè)計中，可選n=rn0，其中r和n0都為正整數(shù)，將設(shè)計n個變量的代換網(wǎng)絡(luò)化為設(shè)計r個較小的子代換網(wǎng)絡(luò)，而每個子代換網(wǎng)絡(luò)只有n0個輸入變量。稱每個子代換網(wǎng)絡(luò)為代換盒(SubstitutionBox)，例如，在DES的S盒

x5x4x3x2x1x0

S盒圖4-2-3S盒

y3

y2

y1y0

2023/1/413第四講單鑰體制（二）——分組密碼二、代換網(wǎng)絡(luò)代換盒第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)

DES的S盒設(shè)計經(jīng)驗表明，實現(xiàn)代換所需最小的邏輯單元電路(如小項)數(shù)目可作為排除弱(安全性差)盒函數(shù)的指標(biāo)或直觀依據(jù)。如果實現(xiàn)盒的邏輯函數(shù)的小項個數(shù)低于某個確定的閾值，其安全性就值得懷疑。對S盒提出的設(shè)計準(zhǔn)則越嚴(yán)格，其邏輯表達(dá)式中的小項數(shù)就越大，最多可達(dá)64項(即所有可能達(dá)26個選取)。以DES體制中的8個S盒之一，即第一個S1－盒為例說明其輸入輸出之間的代換關(guān)系，參看圖4-2-4。DES的S盒的最終設(shè)計，其小項表達(dá)式中的項數(shù)在55左右，比開始的增加了10項。從LSI設(shè)計角度出發(fā)，應(yīng)使其盡可能在一個基片上實現(xiàn)。小項數(shù)越多，實現(xiàn)也就越復(fù)雜。有了小項表達(dá)式后，還要進(jìn)行布爾式化簡，以利于實現(xiàn)。2023/1/414第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)圖4-2-4DES的S1-盒的輸入和輸出關(guān)系x5x0x5x4x3x2x1x010101100

列號0123456789101112131415行號01441312151183106125907101574142131106121195382411481362111512973105031512824917511214100613(y3,

y2,

y1,

y0)=(0,0,1,0)2023/1/415第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)圖4-2-4第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)根據(jù)什么準(zhǔn)則設(shè)計S盒以保障安全性是一個復(fù)雜問題。迄今為止，有關(guān)方面未曾完全公開有關(guān)DES的S盒的設(shè)計準(zhǔn)則。Branstead等曾披露過下述準(zhǔn)則：P1S盒的輸出都不是其輸入的線性或仿射函數(shù)。P2

改變S盒的一個輸入比特，其輸出至少有兩比特產(chǎn)生變化，即近一半產(chǎn)生變化。P3

當(dāng)S盒的任一輸入位保持不變，其它5位輸入變化時(共有25=32種情況)，輸出數(shù)字中的0和1的總數(shù)近于相等。這三點使DES的S盒能夠?qū)崿F(xiàn)較好的混淆。2023/1/416第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)當(dāng)S盒設(shè)計之后，下一個問題是如何將幾個S盒組合起來構(gòu)成一個n值較大的組。一般是將幾個S盒的輸入端并行，并通過坐標(biāo)置換(P-盒)將各S盒輸出比特次序打亂，再送到下一級各S盒的輸入端，起到了Shannon所謂的“擴(kuò)散”作用。S盒提供非線性變換，將來自上一級不同的S盒的輸出進(jìn)行“混淆”。例如，對于重量為1的輸入矢量，經(jīng)過S盒的混淆作用使1的個數(shù)增加，經(jīng)過P-盒的擴(kuò)散作用使1均勻地分散到整個輸出矢量中，從而保證了輸出密文統(tǒng)計上的均勻性，這就是Shannon的乘積密碼的作用。這種用S盒和P-盒交替在密鑰控制下組成的復(fù)雜的、分組長度n足夠大的密碼設(shè)計方法是由IBM的研究人員根據(jù)Shannon思想提出的，最初在LUCIFER密碼系統(tǒng)中實現(xiàn)，選用n=128，n0=4，后發(fā)展成為DES。2023/1/417第四講單鑰體制（二）——分組密碼

二、代換網(wǎng)絡(luò)第四講單鑰體制（二）——分組密碼二、代換網(wǎng)絡(luò)

Feistel網(wǎng)絡(luò)：Feistel提出，將nbit明文分成為左右各半、長為n/2bit的段，以L和R表示。然后進(jìn)行多輪迭代，其第i輪迭代的輸出為前輪輸出的函數(shù)

Li=Ri-1

Ri=Li-1f(Ri-1,Ki)式中，Ki是第i輪用的子密鑰，f是任意密碼輪函數(shù)。稱這種分組密碼算法為Feistel網(wǎng)絡(luò)（FeistelNetwork），它保證加密和解密可采用同一算法實施，因而被廣泛用于多種分組密碼體制中。在設(shè)計整個分組密碼的代換網(wǎng)絡(luò)時，要求輸出的每比特密文都和輸入的明文及密鑰各比特有關(guān)，這對增加密碼強(qiáng)度有好處。2023/1/418第四講單鑰體制（二）——分組密碼二、代換網(wǎng)絡(luò)Feist第四講單鑰體制（二）——分組密碼

三、迭代分組密碼

迭代分組密碼

迭代密碼：若以一個簡單函數(shù)f，進(jìn)行多次迭代，如圖4-3-1所示，就稱其為迭代密碼。每次迭代稱作一輪(Round)。相應(yīng)函數(shù)f稱作輪函數(shù)。每一輪輸出都是前一輪輸出的函數(shù)，即y(i)=f[y(i-1),

k(i)]，其中k(i)是第i輪迭代用的子密鑰，由秘密密鑰k通過密鑰生成算法(產(chǎn)生。DES為16輪，IDEA為8輪。

y(0)=x

y(1)

y(2)

y(r-1)

y(r)=y圖4-3-1以輪函數(shù)f

f

f

f構(gòu)造的r輪迭代密碼k(1)

k(2)

k(r)

子密鑰產(chǎn)生器

k2023/1/419第四講單鑰體制（二）——分組密碼

三、迭代分組密碼迭第四講單鑰體制（二）——分組密碼

三、迭代分組密碼

對合密碼(InvolutionCipher)。它是加密所用的一種加密函數(shù)f(x,k)，實現(xiàn)F2n×F2t

F2n的映射。其中，n是分組長，t是密鑰長。若對每個密鑰取值都有f[f(x,

k)，k]=x，即f(x,

k)2=I(恒等置換)(4—3—1)則稱其為對合密碼，以fI表示。

I型迭代分組密碼:以對合密碼函數(shù)構(gòu)造的多輪迭代分組密碼。顯然，對合加密函數(shù)fI，在子密鑰k(1)，...，k(r)控制下對明文x進(jìn)行r輪迭代加密運(yùn)算E(x,k)得到密文y；而以密碼函數(shù)fI在逆序子密鑰k(r)，…，k(1)作用下，進(jìn)行r輪迭代運(yùn)算，就給出恢復(fù)的明文x。后r輪運(yùn)算就作為解密運(yùn)算D(y,

k)。即有D[E[x,

k]，k]=fI[fI[x,

k]，k]=fI

2[x,

k]=I[x]=x

(4—3—2)2023/1/420第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼

其中

E[x,

k]=fI[fI[

fI[fI[x,

k(1)]，k(2)]，k(r-1)]，k(r)](4—3—3)D[y,

k]=fI[fI[

fI[fI[y,

k(r)]，k(r-1)]，k(2)]，k(1)](4—3—4)

缺點：對任意偶數(shù)輪變換，若對所有i選擇k(2i-1)=k(2i)，則加密的變換等價于恒等變換，在實用中需要避免這類密鑰選擇。對合置換：令P是對x的置換，即P：F2n

F2n

，若對所有xGF(2n)，有P[P[x]]=x，即PP=I(恒等置換)，以PI表示。II型迭代分組密碼：每輪采用對合密碼函數(shù)和對合置換級連，即F[x,

k]＝PI[fI

[x,

k]](4—3—5)并選解密子密鑰與加密子密鑰逆序，則加密解密可用同一器件完成。DES、FEAL和LOKI等都屬此類。2023/1/421第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼群密碼：若密鑰與明文、密文取自同一空間GF(2n)，且y=xk

(4—3—6)式中，是群運(yùn)算，則稱其為群密碼。顯然x可通過k的逆元求得x=yk-1(4—3—7)III型迭代分組密碼：令xk為一群密碼，令fI(x,

kB)為一對合密碼，以F[x,

k]＝fI(xkA,kB)(4—3—8)為迭代函數(shù)，可以構(gòu)造一種新的多輪迭代分組密碼，如圖4-3-2所示。注意，在最后一輪中，另外加了一次群密碼運(yùn)算，用以保證整個加、解密的對合性。2023/1/422第四講單鑰體制（二）——分組密碼

三、迭代分組密碼群密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼輪函數(shù)F

F

y(1)y(r-1)(a)加密

x

fI···

fI

y

kA(1)kB(1)kA(r)kB(r)kA(r+1)F

F

y

fI···fI

x

(b)解密

kA(r+1))-1

kB(r)(kA(r))-1

kB(1)(kA)-1

圖4-3-2型迭代分組密碼2023/1/423第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼

IV型迭代分組密碼：

顯然，若以

kA(1),kB(1),kA(2),kB(2),…,kA(r),kB(r),kA(r+1)作為加密子密鑰，以(kA(r+1))-1,kB(r),(kA(r))-1,kB(r-1),···,(kA(2))-1,kB(1),(kA(1))-1為解密鑰，則加、解密類似，可用同一器件實現(xiàn)。PES(ProposalBlockEncryptionStandard)屬此類。

在這類密碼的輪函數(shù)基礎(chǔ)上，再增加一個對合置換PI，構(gòu)成IV型迭代分組密碼的輪函數(shù)

F[x,

k]＝PI[fI[xkA,kB]](4—3—9)2023/1/424第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼輪函數(shù)F

y(1)y(r-1)

F

x

fIPI···

fI

PIPI

y

kA(1)kB(1)

kA(r)

kB(r)

kA(r+1)a)加密

FF

y

fIPI···

fI

x

(b)解密(kA(r+1))-1kB(r)

PI[kA(r)]-1

PI[kA(2)]-1

kB(1)(kA(1))-1圖4-3-3型迭代分組密碼2023/1/425第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼在最后一輪迭代后，附加了一次對合置換和群密碼運(yùn)算，IDEA屬此類，關(guān)于它的對合性將在§4.5中討論。現(xiàn)有大多數(shù)分組密碼都屬于迭代分組密碼，迭代分組密碼的核心是輪函數(shù)F，或稱之為Feistel網(wǎng)絡(luò)。輪函數(shù)的基礎(chǔ)是對合函數(shù)fI的選擇以及和其它變換的有機(jī)地結(jié)合。大多數(shù)分組密碼的非線性主要依賴于對合函數(shù)fI中的S盒的非線性，S盒的強(qiáng)度在很大程度上決定了分組密碼的強(qiáng)度，S盒的運(yùn)行速度也在很大程度上決定了算法的運(yùn)行速度，因此S盒的設(shè)計是迭代分組密碼算法成功的關(guān)鍵。DES出現(xiàn)后人們對S盒的研究極為重視，因為它既可以強(qiáng)化密碼，又可以設(shè)置“機(jī)關(guān)”，為設(shè)計者提供一個很好的舞臺。但是設(shè)計一個好的S盒決非易事。2023/1/426第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼

好的S盒其布爾函數(shù)應(yīng)滿足以下一些基本條件(1)平衡性(Balance)。函數(shù)f:Z2nZ2，當(dāng)輸入取遍所有可能值，若輸出為0的數(shù)目等于為1的數(shù)目就稱函數(shù)f滿足平衡性準(zhǔn)則。一般對f:Z2nZ2m,nm，當(dāng)輸入取遍所有可能值，若每一輸出圖樣y=f(x)Z2m出現(xiàn)次數(shù)相等，即為2

n-m次時，稱f滿足平衡準(zhǔn)則。(2)嚴(yán)格雪崩準(zhǔn)則(SAC—StrictAvalancheCriterion)。函數(shù)f:Z2nZ2，若輸入任一位取補(bǔ)，其輸出位將以概率1/2取補(bǔ)則稱f滿足SAC。(3)高階SAC。函數(shù)f:Z2nZ2，若使f任意k個輸入位保持不變下所得到的任意函數(shù)都滿足SAC，則稱f滿足k階SAC。2023/1/427第四講單鑰體制（二）——分組密碼

三、迭代分組密碼好第四講單鑰體制（二）——分組密碼

三、迭代分組密碼

好的S盒其布爾函數(shù)應(yīng)滿足以下一些基本條件

(4)非線性性(Nonlinearily)。函數(shù)f:Z2nZ2，若對常數(shù)aZ2n，f(x)=a·x，則稱f為線性函數(shù)，而f(x)=a·xb為仿射函數(shù)，其中常數(shù)bZ2n。

對函數(shù)f=(f1

f2…fm)：Z2nZ2m，fi:Z2nZ2，i=1,…,n。其非線性度定義為其wZ2n，cZ2m\{0}，bZ2，w·x表示GF(2)上w與x的點積，且式中，c=(c1

c2,…cm)=Z2m。

f

的非線性度就是仿射函數(shù)集和f的輸出坐標(biāo)的每個非零線性組合之間的最小Hamming距離。

2023/1/428第四講單鑰體制（二）——分組密碼

三、迭代分組密碼好

好的S盒其布爾函數(shù)應(yīng)滿足以下一些基本條件

(5)線性結(jié)構(gòu)。函數(shù)f:Z2nZ2，的線性結(jié)構(gòu)定義為一個矢量aZ2n/{0}，使對所有xZ2n，f(xa)f(x)取同樣值(0或1)。(6)輸出bit獨立準(zhǔn)則。函數(shù)f:Z2nZ2m，當(dāng)一個輸入bit取補(bǔ)時，每二個輸出bit之間的相關(guān)系數(shù)變?yōu)?，則稱f滿足BIC(BitIndependenceCriterion)。(7)完備性。函數(shù)f:Z2nZ2m，若其每個輸出bit都與所有輸入變量有關(guān)，就稱f滿足完備性準(zhǔn)則。(8)輸入/輸出的差分分布。最初曾追求均勻，后來發(fā)現(xiàn)應(yīng)使差分最大值盡量小為好。抗差分攻擊能力請參看§4.5。(9)線性近似和抗線性攻擊能力。第四講單鑰體制（二）——分組密碼三、迭代分組密碼2023/1/429好的S盒其布爾函數(shù)應(yīng)滿足以下一些基本條件第四講單鑰體制第四講單鑰體制（二）——分組密碼

三、迭代分組密碼按一定的準(zhǔn)則構(gòu)造的S盒肯定可以抗擊現(xiàn)有已知的各種攻擊，但對于尚未提出的攻擊是否能抗？這是難于定論的事，DES的S盒曾為抗差分攻擊進(jìn)行最佳化設(shè)計，但后來發(fā)現(xiàn)，它對抗線性攻擊的能力不夠強(qiáng)。因此有人提出，采用隨機(jī)選擇的S盒也許是更好的方法。當(dāng)然，如果S盒的輸入和輸出的規(guī)模太小，隨機(jī)選擇S盒的性能肯定不會好。但當(dāng)S盒的輸入和輸出的規(guī)模足夠大時，就很可能不僅能抗擊各種已知的攻擊，而且很可能也能抗擊未知的攻擊。研究表明，輸入為8bit或更大的隨機(jī)選擇的S盒的密碼性能是相當(dāng)強(qiáng)的。S盒應(yīng)選得盡可能地大些、隨機(jī)且可用密鑰控制。以隨機(jī)方式生成S盒，經(jīng)過一組準(zhǔn)則測試，具有好的性質(zhì)代數(shù)構(gòu)造或組合這類方法是構(gòu)造S盒的途經(jīng)。2023/1/430第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

三、迭代分組密碼現(xiàn)有的大多數(shù)分組密碼是采用S盒結(jié)構(gòu)實現(xiàn)的，而且所用的S盒是固定的，如DES、CAST、FEAL、SAFERK-64等。有些方案所用的S盒可以在密鑰控制下動態(tài)地改變，如IDEA、Blowfish、RC-4，以及Ritter提出的動態(tài)代換[Ritter1997]。S盒的實現(xiàn)需要較多的存儲空間以存儲S盒。也有用代換-置換網(wǎng)絡(luò)或其它技術(shù)而不采用S盒的分組密碼。如RC-5、TEA，其輪函數(shù)由簡單的固定邏輯移位運(yùn)算或由數(shù)據(jù)相依旋轉(zhuǎn)構(gòu)成。

2023/1/431第四講單鑰體制（二）——分組密碼

三、迭代分組密碼第四講單鑰體制（二）——分組密碼

四、DES美國數(shù)據(jù)加密標(biāo)準(zhǔn)——DES（DataEncryptionStandard）。1.美國制定數(shù)據(jù)加密標(biāo)準(zhǔn)簡況

通信與計算機(jī)相結(jié)合是人類步入信息社會的一個階梯，它始于六十年代末，完成于90年代初。計算機(jī)通信網(wǎng)的形成與發(fā)展，要求信息作業(yè)標(biāo)準(zhǔn)化，安全保密亦不例外。只有標(biāo)準(zhǔn)化，才能真正實現(xiàn)網(wǎng)的安全，才能推廣使用加密手段，以便于訓(xùn)練、生產(chǎn)和降低成本。

美國NBS在1973年5月15公布了征求建議。1974年8月27日NBS再次出公告征求建議，對建議方案提出如下要求：（1）算法必須完全確定而無含糊之處；（2）算法必須有足夠高的保護(hù)水準(zhǔn)，即可以檢測到威脅，恢復(fù)密鑰所必須的運(yùn)算時間或運(yùn)算次數(shù)足夠大；（3）保護(hù)方法必須只依賴于密鑰的保密；（4）對任何用戶或產(chǎn)品供應(yīng)者必須是不加區(qū)分的。2023/1/432第四講單鑰體制（二）——分組密碼

四、DES美國第四講單鑰體制（二）——分組密碼

四、DES，標(biāo)準(zhǔn)簡況

IBM公司從60年代末即看到通信網(wǎng)對于這種加密標(biāo)準(zhǔn)算法的需求，投入了相當(dāng)?shù)难芯苛α块_發(fā)，成立了以Tuchman博士為領(lǐng)導(dǎo)的小組，包括A.Konkeim,E.Grossman,N.Coppersmith和L.Smith等(后二人做實現(xiàn)工作)的研究新密碼體制的小組，H.Fistel進(jìn)行設(shè)計，并在1971年完成的LUCIFER密碼(64bit分組，代換-置換，128bit密鑰)的基礎(chǔ)上，改進(jìn)成為建議的DES體制。NSA組織有關(guān)專家對IBM的算法進(jìn)行了鑒定，而成為DES的基礎(chǔ)。

1975年3月17日NBS公布了這個算法，并說明要以它作為聯(lián)邦信息處理標(biāo)準(zhǔn)，征求各方意見。1977年1月15日建議被批準(zhǔn)為聯(lián)邦標(biāo)準(zhǔn)[FIPSPUB46]，并設(shè)計推出DES芯片。DES開始在銀行、金融界廣泛應(yīng)用。1981年美國ANSI將其作為標(biāo)準(zhǔn)，稱之為DEA[ANSIX3.92]。1983年國際標(biāo)準(zhǔn)化組織(ISO)采用它作為標(biāo)準(zhǔn)，稱作DEA-1。

2023/1/433第四講單鑰體制（二）——分組密碼

四、DES，標(biāo)準(zhǔn)簡況第四講單鑰體制（二）——分組密碼

四、DES，標(biāo)準(zhǔn)簡況

1984年9美國總統(tǒng)簽署145號國家安全決策令(NSDD)，命令NSA著手發(fā)展新的加密標(biāo)準(zhǔn)，用于政府系統(tǒng)非機(jī)密數(shù)據(jù)和私人企事業(yè)單位。NSA宣布每隔5年重新審議DES是否繼續(xù)作為聯(lián)邦標(biāo)準(zhǔn)，1988年（FIPS46-1）、1993年（FIPS46-2），1998年不再重新批準(zhǔn)DES為聯(lián)邦標(biāo)準(zhǔn)。

雖然DES不會長期地作為數(shù)據(jù)加密標(biāo)準(zhǔn)算法，但它仍是迄今為止得到最廣泛應(yīng)用的一種算法，也是一種最有代表性的分組加密體制。因此，詳細(xì)地研究這一算法的基本原理、設(shè)計思想、安全性分析以及實際應(yīng)用中的有關(guān)問題，對于掌握分組密碼理論和當(dāng)前的實際應(yīng)用都是很有意義的。1993年4月，Clinton政府公布了一項建議的加密技術(shù)標(biāo)準(zhǔn)，稱作密鑰托管加密技術(shù)標(biāo)準(zhǔn)EES(EscrowedEncryptionStandard)。其開發(fā)設(shè)計始于1985年，由NSA負(fù)責(zé)研究。1990年完成評價工作。其算法為SKIPJACK。已由Mykotronix公司開發(fā)芯片產(chǎn)品，編程后為MYK-78(26美元/片)。算法屬美國政府SECRET密級。但安全性與算法是否公開無關(guān)。2023/1/434第四講單鑰體制（二）——分組密碼

四、DES，標(biāo)準(zhǔn)簡況第四講單鑰體制（二）——分組密碼

四、DES，標(biāo)準(zhǔn)簡況

DES發(fā)展史確定了發(fā)展公用標(biāo)準(zhǔn)算法模式，而EES的制定路線與DES的背道而馳。雖然由美國政府精心選定的五人小組評估意見，不能解除人們對算法安全性的疑慮。人們懷疑有陷門和政府部門肆意侵犯公民權(quán)利。此舉遭到廣為反對，1995年5月AT&TBellLab的M.Blaze博士在PC機(jī)上用45分鐘時間使SKIPJACK的LEAF協(xié)議失敗，偽造ID碼獲得成功。雖NSA聲稱已彌補(bǔ)，但喪失了公眾對此體制的信心。1995年7月美國政府宣布放棄用EES來加密數(shù)據(jù)，只將它用于語音通信。

重新回到制定DES標(biāo)準(zhǔn)立場。1997年1月美國NIST著手進(jìn)行AES（AdvancedEncryptionStandard）的研究，成立了標(biāo)準(zhǔn)工作室。1997年4月15日討論了AES的評估標(biāo)準(zhǔn)，開始在世界范圍征集AES的建議算法，截止時間為1998年6月15日。1998年8月20~22日經(jīng)評審選定并公布了15個候選算法。1999年3月經(jīng)評審篩選出5個算法,2001：2023/1/435第四講單鑰體制（二）——分組密碼

四、DES，標(biāo)準(zhǔn)簡況第四講單鑰體制（二）——分組密碼

四、DES，算法

算法：分組長度為64bits(8bytes)，密文分組長度也是64bits。密鑰長度為64bits，有8bits奇偶校驗，有效密鑰長度為56bits。算法主要包括：初始置換IP、16輪迭代的乘積變換、逆初始置換IP-1以及16個子密鑰產(chǎn)生器。

初始置換IP：將64bit明文的位置進(jìn)行置換，得到一個亂序的64bit明文組，而后分成左右兩段，每段為32bit，以L0和R0表示，IP中各列元素位置號數(shù)相差為8，相當(dāng)于將原明文各字節(jié)按列寫出，各列比特經(jīng)過偶采樣和奇采樣置換后，再對各行進(jìn)行逆序。將陣中元素按行讀出構(gòu)成置換輸出。

逆初始置換IP-1。將16輪迭代后給出的64bit組進(jìn)行置換，得到輸出的密文組。輸出為陣中元素按行讀得的結(jié)果。2023/1/436第四講單鑰體制（二）——分組密碼

四、DES，算法第四講單鑰體制（二）——分組密碼

四、DES，算法

輸入64bit明文數(shù)據(jù)初始置換IP乘積變換（16輪迭代）逆初始置換IP-164bit密文數(shù)據(jù)輸出圖4-4-1DES算法框圖標(biāo)準(zhǔn)數(shù)據(jù)加密算法2023/1/437第四講單鑰體制（二）——分組密碼

四、DES，算法第四講單鑰體制（二）——分組密碼

四、DES，算法

IP和IP-1在密碼意義上作用不大，因為輸入組x與其輸出組y=IP(x)(或IP-1(x))是已知的一一對應(yīng)關(guān)系。它們的作用在于打亂原來輸入x的ASCII碼字劃分的關(guān)系，并將原來明文的校驗位x8,x16,,x64變成為IP輸出的一個字節(jié)。

乘積變換。圖4-4-4中給出乘積變換的框圖，它是DES算法的核心部分。將經(jīng)過IP置換后的數(shù)據(jù)分成32bit的左右兩組，在迭代過程中彼此左右交換位置。每次迭代時只對右邊的32bit進(jìn)行一系列的加密變換，在此輪迭代即將結(jié)束時，把左邊的32bit與右邊得到的32bit逐位模2相加，作為下一輪迭代時右邊的段，并將原來右邊未經(jīng)變換的段直接送到左邊的寄存器中作為下一輪迭代時左邊的段。在每一輪迭代時，右邊的段要經(jīng)過選擇擴(kuò)展運(yùn)算E、密鑰加密運(yùn)算、選擇壓縮運(yùn)算S、置換運(yùn)算P和左右混合運(yùn)算。2023/1/438第四講單鑰體制（二）——分組密碼

四、DES，算法

Li-1(32bit)Ri-1(32bit)

選擇擴(kuò)展運(yùn)算E48bit寄存器按bit模2加密48bit寄存器選擇壓縮運(yùn)算S32bit寄存器置換運(yùn)算P按bit模2和

Li(32bit)Ri(32bit)圖4-4-4乘積變換框圖密鑰產(chǎn)生器2023/1/439密鑰產(chǎn)生器2022/12/1139第四講單鑰體制（二）——分組密碼

四、DES，算法

選擇擴(kuò)展運(yùn)算E。將輸入的32bitRi-1擴(kuò)展成48bit的輸出，其變換表在圖4-4-5中給出。令s表示E原輸入數(shù)據(jù)比特的原下標(biāo)，則E的輸出是將原下標(biāo)s0或1(mod4)的各比特重復(fù)一次得到的，即對原第32,1,4,5,8,9,12,13,16,17,20,21,24,25,28,29各位都重復(fù)一次,實現(xiàn)數(shù)據(jù)擴(kuò)展。將表中數(shù)據(jù)按行讀出得到48bit輸出。

密鑰加密運(yùn)算。將子密鑰產(chǎn)生器輸出的48bit子密鑰ki與選擇擴(kuò)展運(yùn)算E輸出的48bits數(shù)據(jù)按位模2相加。

選擇壓縮運(yùn)算S。將前面送來的48bit數(shù)據(jù)自左至右分成8組，每組為6bit。而后并行送入8個S一盒，每個S盒為一非線性代換網(wǎng)絡(luò)，有4個輸出，如§4-1中所述。盒S1至S8的選擇函數(shù)關(guān)系如表4-4-1所示。運(yùn)算S的框圖在圖4-4-6中給出。

p.186

圖4-4-6選擇壓縮運(yùn)算S

置換運(yùn)算P。對S1至S8盒輸出的32bit數(shù)據(jù)進(jìn)行坐標(biāo)置換，如圖4-4-7所示。置換P輸出的32bit數(shù)據(jù)與左邊32bit即Ri-1逐位模2相加，所得到的32bit作為下一輪迭代用的右邊的數(shù)字段。并將Ri-1并行送到左邊的寄存器，作為下一輪迭代用的左邊的數(shù)字段。子密鑰產(chǎn)生器。將64bit初始密鑰經(jīng)過置換選擇PC1、循環(huán)移位置換、置換選擇PC2給出每次迭代加密用的子密鑰ki，參看圖4-4-8。在64bit初始密鑰中有8位為校驗位，其位置號為8、16、32、48、56和64。其余56位為有效位，用于子密鑰計算。將這56位送入置換選擇PC1，參看圖4-4-9。經(jīng)過坐標(biāo)置換后分成兩組，每級為28bit，分別送入C寄存器和D寄存器中。在各次迭代中，C和D寄存器分別將存數(shù)進(jìn)行左循環(huán)移位置換，移位次數(shù)在表4-4-2中給出。每次移位后，將C和D寄存器原存數(shù)送給置換選擇PC2，見圖4-4-10。置換選擇PC2將C中第9、18、22、25位和D中第7、9、15、26位刪去，并將其余數(shù)字置換位置后送出48bit數(shù)字作為第i次迭代時所用的子密鑰ki。p.186p.186

圖4-4-7置換運(yùn)算P

圖4-4-8子密鑰產(chǎn)生器框圖

表4-4-2移位次數(shù)表第i次迭代12345678910111213141516循環(huán)左移次數(shù)1122222212222221

p.187

圖4-4-9置換選擇PC1

至此，我們已將DES算法的基本構(gòu)成作了介紹，加密過程可歸結(jié)如下：令I(lǐng)P表示初始置換，KS表示密鑰運(yùn)算，i為迭代次數(shù)變量，KEY為64bit密鑰，f為加密函數(shù)，表示逐位模2求和。2023/1/440第四講單鑰體制（二）——分組密碼

四、DES，算法選第四講單鑰體制（二）——分組密碼

四、DES，算法

6bit選擇函數(shù)組4bit

圖4-4-6選擇壓縮運(yùn)算S

48bit寄存器32bit寄存器S1S2S3S4S5S6S7S82023/1/441第四講單鑰體制（二）——分組密碼

四、DES，算法第四講單鑰體制（二）——分組密碼

四、DES，算法

置換運(yùn)算P。對S1至S8盒輸出的32bit數(shù)據(jù)進(jìn)行坐標(biāo)置換，如圖4-4-7所示。置換P輸出的32bit數(shù)據(jù)與左邊32bit即Ri-1逐位模2相加，所得到的32bit作為下一輪迭代用的右邊的數(shù)字段。并將Ri-1并行送到左邊的寄存器，作為下一輪迭代用的左邊的數(shù)字段。

子密鑰產(chǎn)生器。將64bit初始密鑰經(jīng)過置換選擇PC1、循環(huán)移位置換、置換選擇PC2給出每次迭代加密用的子密鑰ki，參看圖4-4-8。在64bit初始密鑰中有8位為校驗位，其位置號為8、16、32、48、56和64。其余56位為有效位，用于子密鑰計算。將這56位送入置換選擇PC1，參看圖4-4-9。經(jīng)過坐標(biāo)置換后分成兩組，每級為28bit，分別送入C寄存器和D寄存器中。在各次迭代中，C和D寄存器分別將存數(shù)進(jìn)行左循環(huán)移位置換，移位次數(shù)在表4-4-2中給出。每次移位后，將C和D寄存器原存數(shù)送給置換選擇PC2，見圖4-4-10。置換選擇PC2將C中第9、18、22、25位和D中第7、9、15、26位刪去，并將其余數(shù)字置換位置后送出48bit數(shù)字作為第i次迭代時所用的子密鑰ki。2023/1/442第四講單鑰體制（二）——分組密碼

四、DES，算法第四講單鑰體制（二）——分組密碼

四、DES，算法

密鑰（64bit）置換選擇1，PC1置換選擇2，PC2

Ci(28bit)

Di(28bit)循環(huán)左移ti+1bit循環(huán)左移ti+1bit除去第8,16,,64位(8個校驗位)ki圖4-4-8子密鑰產(chǎn)生器框圖2023/1/443第四講單鑰體制（二）——分組密碼

四、DES，算法第四講單鑰體制（二）——分組密碼

四、DES，算法表4-4-2移位次數(shù)表第i次迭代12345678910111213141516循環(huán)左移次數(shù)1122222212222221

至此，我們已將DES算法的基本構(gòu)成作了介紹，加密過程可歸結(jié)如下：令I(lǐng)P表示初始置換，KS表示密鑰運(yùn)算，i為迭代次數(shù)變量，KEY為64bit密鑰，f為加密函數(shù)，表示逐位模2求和。

2023/1/444第四講單鑰體制（二）——分組密碼

第四講單鑰體制（二）——分組密碼

四、DES，算法加密過程:式(4-4-1)和式(4-4-2)的運(yùn)算進(jìn)行16次后就得到密文組。

L0R0IP(〈64bit輸入碼〉)

LiRi-1i=1,...,16(4—4—1)

RiLi-1f(Ri-1,

ki)i=1,...,16(4—4—2)〈64bit密文〉IP-1(R16L16)解密過程:DES的加密運(yùn)算是可逆的，其解密過程可類似地進(jìn)行。

R16L16IP(〈64bit密文〉)

Ri-1Lii=16,...,1(4—4—3)

Li-1Rif(Li-1,ki)i=16,...,1(4—4—4)〈64bit明文〉IP-1(R0L0)

2023/1/445第四講單鑰體制（二）——分組密碼第四講單鑰體制（二）——分組密碼

四、DES，算法DES算法的可逆性證明：令T(L,Ｒ)＝(R,L)(4—4—5)即T是將64bit組的左、右半邊交換位置。并令

Fk1(L,Ｒ)＝(Lf(R,ki),Ｒ)(4—4—6)則第i次迭代實現(xiàn)的變換為Tki=TFki(4—4—7)這是因為TFki(L,Ｒ)=T(Lf(R,ki),Ｒ)=(L,Ｒf(R,ki))因為T2(L,Ｒ)=T(Ｒ,L)=I(L,Ｒ)(4—4—8)式中，I是恒等變換，所以有T=T-1(4—4—9)同樣有Fki2(L,Ｒ)=Fki(Lf(R,ki),Ｒ)=(Lf(R,ki)f(R,ki),Ｒ)=(L,Ｒ)即Fki2=I(4—4—10)2023/1/446第四講單鑰體制（二）——分組密碼四、DES，算法DES第四講單鑰體制（二）——分組密碼

四、DES，算法或Fki=Fki-1(4—4—11)我們稱T和Fki這類換為對合(Involution)變換，其逆變換就是它自己。因為(FkiT)(TFki)=FkiFki=I(4—4—12)所以有(TFki)-1=FkiT(4—4—13)由此可知在密鑰k作用下的DES加密過程可寫成

DESk=(IP-1)FK16TFK15T···FK2TFK1(IP)(4—4—14)解密過程可寫成

DESk-1=(IP-1)FK1TFK2T···FK15TFK16(IP)(4—4—15)因而可證得(DESk-1)(DESk)=I(4—4—16)2023/1/447第四講單鑰體制（二）——分組密碼四、DES，算法或第四講單鑰體制（二）——分組密碼

四、DES，安全性安全性DES的安全性完全依賴于所用的密鑰。從DES誕生起，對它的安全性就有激烈的爭論，一直延續(xù)到現(xiàn)在。?；パa(bǔ)性。DES算法具有下述性質(zhì)。若明文組x逐位取補(bǔ)，密鑰k逐位取補(bǔ)，且y=DESk(x)(4—4—17)則有(4—4—18)式中，是y的逐位取補(bǔ)。稱這種特性為算法上的互補(bǔ)性。這種互補(bǔ)性會使DES在選擇明文破譯下所需的工作量減半。弱密鑰和半弱密鑰。DES算法在每次迭代時都有一個子密鑰供加密用。如果給定初始密鑰k，各輪的子密鑰都相同，即有

k1=k2=…=k16(4—4—19)就稱給定密鑰k為弱密鑰(Weakkey)。2023/1/448第四講單鑰體制（二）——分組密碼四、DES，安全性安全第四講單鑰體制（二）——分組密碼四、DES，安全性若k為弱密鑰，則有

DESk(DESk(x))=x

(4—4—20)DESk-1(DESk-1(x))=x(4—4—21)即以k對x加密兩次或解密兩次都可恢復(fù)出明文。其加密運(yùn)算和解密運(yùn)算沒有區(qū)別。而對一般密鑰只滿足

DESk-1(DESk(x))=DESk(DESk-1(x))=x(4—4—22)弱密鑰下使DES在選擇明文攻擊下的搜索量減半。如果隨機(jī)地選擇密鑰，則在總數(shù)256個密鑰中，弱密鑰所占比例極小，而且稍加注意就不難避開。因此，弱密鑰的存在不會危及DES的安全性。2023/1/449第四講單鑰體制（二）——分組密碼四、DES，安全性若k第四講單鑰體制（二）——分組密碼

四、DES，安全性密文與明文、密文與密鑰的相關(guān)性。Meyer[1978]詳細(xì)研究了DES的輸入明文與密文及密鑰與密文之間的相關(guān)性。表明每個密文比特都是所有明文比特和所有密鑰比特的復(fù)合函數(shù)，并且指出達(dá)到這一要求所需的迭代次數(shù)至少為5。Konheim[1981]用2檢驗證明，迭代8次后輸出和輸入就可認(rèn)為是不相關(guān)的了。S盒設(shè)計。DES靠S盒實現(xiàn)非線性變換。密鑰搜索機(jī)。對DES安全性批評意見中，較為一致的看法是DES的密鑰短了些。IBM最初向NBS提交的建議方案采用112bits密鑰，但公布的DES標(biāo)準(zhǔn)采用64bits密鑰。有人認(rèn)為NSA故意限制DES的密鑰長度。2023/1/450第四講單鑰體制（二）——分組密碼

四、DES，安全性密第四講單鑰體制（二）——分組密碼四、DES，安全性

DES的密鑰量為256=7.2×1016=720575940379279361017個。若要對DES進(jìn)行密鑰搜索破譯，分析者在得到一組明文-密文對條件下，可對明文用不同的密鑰加密，直到得到的密文與已知的明文-密文對中的相符，就可確定所用的密鑰了。密鑰搜索所需的時間取決于密鑰空間的大小和執(zhí)行一次加密所需的時間。若假定DES加密操作需時為100s(一般微處理器能實現(xiàn))，則搜索整個密鑰空間需時為7.2×1015秒，近似為2.28×108年。若以最快的LSI器件，DES加密操作時間可降到5s，也要1.1×104年才能窮盡密鑰。但是由于差分和線性攻擊法的出現(xiàn)以及計算技術(shù)的發(fā)展，按Wiener介紹，在1993年破譯DES的費(fèi)用為100萬美元，需時3個半小時。如果將密鑰加大到80bits，采用這類搜索機(jī)找出一個密鑰所需的時間約為6700年。

2023/1/451第四講單鑰體制（二）——分組密碼四、DES，安全性第四講單鑰體制（二）——分組密碼四、DES，安全性

RSA數(shù)據(jù)安全公司提供10000美元獎金?，F(xiàn)已被DESCHALL小組經(jīng)過近四個月的努力，通過Internet搜索了3×1016個密鑰，找出了DES的密鑰，恢復(fù)出明文。1998年5月美國EFF(ElectronicFrontierFoundation)宣布，他們以一臺價值20萬美元的計算機(jī)改裝成的專用解