第3章對(duì)稱密碼體制

第3章

對(duì)稱密碼體制主要內(nèi)容分組密碼數(shù)據(jù)加密標(biāo)準(zhǔn)DES高級(jí)加密標(biāo)準(zhǔn)AES序列密碼其他對(duì)稱加密算法概述對(duì)稱密碼體制就是在加密和解密是用到的密鑰相同，或者加密密鑰和解密密鑰之間存在著確定的轉(zhuǎn)換關(guān)系。對(duì)稱密碼體制又有兩種不同的實(shí)現(xiàn)方式，即分組密碼和序列密碼（或稱流密碼）。流密碼與分組密碼流密碼每次加密數(shù)據(jù)流中的一位或一個(gè)字節(jié)。分組密碼，就是先把明文劃分為許多分組，每個(gè)明文分組被當(dāng)作一個(gè)整體來產(chǎn)生一個(gè)等長（通常）的密文分組。通常使用的是64位或128位分組大小。分組密碼的實(shí)質(zhì)，是設(shè)計(jì)一種算法，能在密鑰控制下，把n比特明文簡單而又迅速地置換成唯一n比特密文，并且這種變換是可逆的（解密）。分組密碼的設(shè)計(jì)思想擴(kuò)散(diffusion)

將明文及密鑰的影響盡可能迅速地散布到較多個(gè)輸出的密文中。產(chǎn)生擴(kuò)散的最簡單方法是通過“置換(Permutation)”（比如：重新排列字符）?；煜?confusion)其目的在于使作用于明文的密鑰和密文之間的關(guān)系復(fù)雜化，是明文和密文之間、密文和密鑰之間的統(tǒng)計(jì)相關(guān)特性極小化，從而使統(tǒng)計(jì)分析攻擊不能奏效。通常的方法是“代換（Substitution)”（回憶愷撒密碼）。DES(DataEncryptionStandard)

美國國家標(biāo)準(zhǔn)局NBS于1973年5月發(fā)出通告，公開征求一種標(biāo)準(zhǔn)算法用于對(duì)計(jì)算機(jī)數(shù)據(jù)在傳輸和存儲(chǔ)期間實(shí)現(xiàn)加密保護(hù)的密碼算法。1975年美國國家標(biāo)準(zhǔn)局接受了美國國際商業(yè)機(jī)器公司IBM推薦的一種密碼算法并向全國公布，征求對(duì)采用該算法作為美國信息加密標(biāo)準(zhǔn)的意見。經(jīng)過兩年的激烈爭論，美國國家標(biāo)準(zhǔn)局于1977年7月正式采用該算法作為美國數(shù)據(jù)加密標(biāo)準(zhǔn)。1980年12月美國國家標(biāo)準(zhǔn)協(xié)會(huì)正式采用這個(gè)算法作為美國的商用加密算法。DES的實(shí)質(zhì)DES是一種對(duì)稱密碼體制，它所使用的加密和解密密鑰是相同的，是一種典型的按分組方式工作的密碼。其基本思想是將二進(jìn)制序列的明文分成每64bit一組，用長為64bit(56bit)的密鑰對(duì)其進(jìn)行16輪代換和置換加密，最后形成密文。DES算法原理第一步：要被加密的數(shù)據(jù)被分割成為若干以64bit為單位的數(shù)據(jù)，如果位數(shù)不夠，那么補(bǔ)00或者FF，然后按照表1進(jìn)行置換操作。表1：LiRi第二步：把64位密鑰按表2進(jìn)行置換操作，去除密鑰中作為奇偶校驗(yàn)位的第8、16、24、32、40、48、56、64位，剩下的56位作為有效輸入密鑰。表2：C0D0第三步：將56位有效密鑰按表3左移位，總計(jì)進(jìn)行16輪移位操作，每一輪移位結(jié)束之后，得到的新的56位密鑰作為下一輪移位的有效密鑰?？傆?jì)得到16個(gè)56位的子密鑰。表3：第四步：按照表4對(duì)16個(gè)子密鑰進(jìn)行置換壓縮，壓縮后每個(gè)子密鑰中的第9,18,22,25,35,38,43,54,共8位數(shù)據(jù)會(huì)丟失。此步驟完成后得到16個(gè)48位的子密鑰。表4：第三步和第四步圖解：第五步：將第一步生成的有效數(shù)據(jù)的右半部分R[1]的32位的數(shù)據(jù)根據(jù)表5進(jìn)行置換，由原32位擴(kuò)展到48位。表5：第六步：將擴(kuò)展后的有效數(shù)據(jù)的新的R[1]和K[1]做異或運(yùn)算得到48位加密數(shù)據(jù)。第七步：將第六步產(chǎn)生的48位加密數(shù)據(jù)分為8個(gè)6位的數(shù)據(jù)，按照表6取值，每6位壓縮成4位，最終形成8個(gè)4位的數(shù)據(jù)，再組合成新的32位的數(shù)據(jù)。表6：S盒子內(nèi)部結(jié)構(gòu)第八步：將第七步產(chǎn)生的32位的數(shù)據(jù)按照表7置換，生成新的32位的RR[1]數(shù)據(jù)。表7：第九步：將RR[1]和第一步產(chǎn)生的L[1]按位異或后的值賦給R[2]，然后原來的R[1]值賦給L[2]，得到新的L[2]和R[2]。第十步：回到第五步，重復(fù)運(yùn)算到第九步，每輪計(jì)算有R[i],L[i],K[i]來計(jì)算，總計(jì)重復(fù)16輪結(jié)束，最終生成新的L[16]和R[16]。第十一步：合并L[16]和R[16]為64位數(shù)據(jù)，然后按照表8做置換，生成最終加密數(shù)據(jù)。表8：解密的時(shí)候一樣步驟，只是在做第六步的時(shí)候，將K[16]變?yōu)镵[1]，依次類推倒用K[i]即可。DES的安全性DES在20多年的應(yīng)用實(shí)踐中，沒有發(fā)現(xiàn)嚴(yán)重的安全缺陷，在世界范圍內(nèi)得到了廣泛的應(yīng)用，為確保信息安全做出了不可磨滅的貢獻(xiàn)。存在的安全弱點(diǎn)：密鑰較短：56位密鑰空間約為7.2*1016。1997年1月28日，美國RSA數(shù)據(jù)安全公司在Internet上開展了一項(xiàng)“秘密密鑰挑戰(zhàn)”的競賽，懸賞一萬美圓，破解一段DES密文。6月RockeVerser小組通過因特網(wǎng)利用數(shù)萬臺(tái)微機(jī)歷時(shí)4個(gè)月破譯了DES；1998年7月，EFF用一臺(tái)25萬美元的機(jī)器，歷時(shí)56小時(shí)破譯DES。存在弱密鑰：有的密鑰產(chǎn)生的16個(gè)子密鑰中有重復(fù)者。DES具有良好的雪崩效應(yīng)雪崩效應(yīng)：明文或密鑰的微小改變將對(duì)密文產(chǎn)生很大的影響。特別地，明文或密鑰的某一位發(fā)生變化，會(huì)導(dǎo)致密文的很多位發(fā)生變化。DES顯示了很強(qiáng)的雪崩效應(yīng)兩條僅有一位不同的明文，使用相同的密鑰，僅經(jīng)過3輪迭代，所得兩段準(zhǔn)密文就有21位不同。一條明文，使用兩個(gè)僅一位不同的密鑰加密，經(jīng)過數(shù)輪變換之后，有半數(shù)的位都不相同。多重DESDES在窮舉攻擊下相對(duì)比較脆弱，因此需要用某種算法來替代它。DES一個(gè)致命的缺陷就是密鑰長度短，并且對(duì)于當(dāng)前的計(jì)算能力，56位的密鑰長度已經(jīng)抗不住窮舉攻擊，而DES又不支持變長密鑰。但可以進(jìn)行多次加密，且使用多個(gè)密鑰，即多重DES，從而等同于更長的密鑰。二重DES(DoubleDES)給定明文P和兩個(gè)加秘密鑰k1和k2，采用DES對(duì)P進(jìn)行加密E，有密文C=EK2(EK1(P))對(duì)C進(jìn)行解密D，有明文P=DK1(DK2(C))EEPXCK2K1加密圖DDK2K1CXP解密圖帶有雙密鑰的三重DES

（TripleDESwithTwoKeys)Tuchman給出雙密鑰的EDE模式（加密-解密-加密）：

C=EK1(DK2(EK1(P)))……對(duì)P加密

P=DK1(EK2(DK1(C)))……對(duì)C解密這種替代DES的加密較為流行并且已被采納用于密鑰管理標(biāo)準(zhǔn)（TheKeyManagerStandardsANSX9.17和ISO8732).EDEDEDCBAPPAB

CK1K2K1K1K2K1加密圖解密圖到目前為止，還沒有人給出攻擊三重DES的有效方法。對(duì)其密鑰空間中密鑰進(jìn)行蠻干搜索，那么由于空間太大為2112=5×1033，這實(shí)際上是不可行的。注意：1*.Merkle和Hellman設(shè)法創(chuàng)造一個(gè)條件，想把中間相遇攻擊（meet-in-the-middleattack）的方法用于三重DES，但目前也不太成功。2*.雖然對(duì)上述帶雙密鑰的三重DES到目前為止還沒有好的實(shí)際攻擊辦法，但人們還是放心不下，又建議使用三密鑰的三重DES，此時(shí)密鑰總長為168bits.

C=EK3(DK2(EK1(P)))高級(jí)加密標(biāo)準(zhǔn)AES

1997年1月，美國國家標(biāo)準(zhǔn)局NIST向全世界密碼學(xué)界發(fā)出征集21世紀(jì)高級(jí)加密標(biāo)準(zhǔn)（AES——AdvancedEncryptionStandard）算法的公告，并成立了AES標(biāo)準(zhǔn)工作研究室，1997年4月15日的例會(huì)制定了對(duì)AES的評(píng)估標(biāo)準(zhǔn)。AES的要求（1）AES是公開的；（2）AES為單鑰體制分組密碼；（3）AES的密鑰長度可變，可按需要增大；（4）AES適于用軟件和硬件實(shí)現(xiàn)；（5）AES可以自由地使用，或按符合美國國家標(biāo)準(zhǔn)（ANST）策略的條件使用；算法衡量條件滿足以上要求的AES算法，需按下述條件判斷優(yōu)劣a.安全性b.計(jì)算效率c.內(nèi)存要求d.使用簡便性e.靈活性。AES的評(píng)審1998年4月15日全面征集AES算法的工作結(jié)束。1998年8月20日舉行了首屆AES討論會(huì)，對(duì)涉及14個(gè)國家的密碼學(xué)家所提出的候選AES算法進(jìn)行了評(píng)估和測試，初選并公布了15個(gè)被選方案，供大家公開討論。

CAST-256，RC-6，CRYPTON-128，DEAL-128，

FROG，DFC，LOKI-97，MAGENTA，

MARS，HPC,RIJNDAEL，SAFER+，

SERPENT，E-2，TWOFISH。這些算法設(shè)計(jì)思想新穎，技術(shù)水平先進(jìn)，算法的強(qiáng)度都超過3-DES，實(shí)現(xiàn)速度快于3-DES。

AES的評(píng)審1999年8月9日NIST宣布第二輪篩選出的5個(gè)候選算法為：

MARS(C.Burwick等,IBM），

RC6TM（R.Rivest等,RSALab.)，

RIJNDEAL(J.Daemen,比)，SERPENT(R.Anderson等，英、以、挪威)，

TWOFISH(B.Schiener)。2000年10月2日，NIST宣布Rijndael作為新的AESRIJNDAEL的評(píng)估結(jié)果一般安全性軟件執(zhí)行受限空間環(huán)境硬件執(zhí)行對(duì)執(zhí)行的攻擊加密和解密密鑰靈活性其他的多功能性和靈活性指令級(jí)并行執(zhí)行能力AES加密算法性能分析1.密鑰長度更長，抵御窮舉攻擊的能力更強(qiáng)，而且可依據(jù)信息級(jí)別自由選擇密鑰長度；2.輪密鑰產(chǎn)生隨機(jī)性強(qiáng)；3.均勻?qū)ΨQ結(jié)構(gòu)既可以提高執(zhí)行的靈活度，又可防止差分分析方法的攻擊；4.實(shí)現(xiàn)簡單；5.在所有平臺(tái)都有良好表現(xiàn)。其他對(duì)稱密碼IDEA由旅居瑞士的華人來學(xué)嘉和他的導(dǎo)師J.L.Massey共同開發(fā)的。IDEA使用128位密鑰，明文和密文分組長度為64位。已被用在多種商業(yè)產(chǎn)品中。CLIPPER密碼采用SKIPJACK算法，明文和密文分組長度為64位，密鑰長度為80位。BlowfishBlowfish允許使用最長為448位的不同長度的密鑰，并針對(duì)在32位