Ch02-單鑰密碼體制

網(wǎng)絡(luò)集成與平安技術(shù)

——單鑰密碼體制天津工業(yè)大學(xué)計(jì)算機(jī)系丁剛2023/5/61主要內(nèi)容密碼學(xué)的根本概念流密碼分組密碼概述數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕分組密碼的運(yùn)行模式IDEA2023/5/621.密碼學(xué)的根本概念密碼學(xué)概述密碼技術(shù)通過信息的變換或編碼，將機(jī)密的敏感信息變換成黑客難以讀懂的亂碼以到達(dá)兩個(gè)目的：1、使不知道如何解碼的黑客不可能由其截獲的亂碼中得到任何有意義的信息。2、使黑客不可能偽造亂碼型的信息。2023/5/631.密碼學(xué)的根本概念密碼學(xué)概述研究密碼技術(shù)的學(xué)科稱為密碼學(xué)。密碼學(xué)包括兩個(gè)分支：即密碼學(xué)和密碼分析學(xué)。

密碼學(xué)是研究如何實(shí)現(xiàn)對信息如何實(shí)現(xiàn)隱藏。

密碼分析是研究如何對信息進(jìn)行破譯的。兩者相互對立，又相互促進(jìn)。2023/5/641.密碼學(xué)的根本概念保密通信系統(tǒng)明文：不需要任何解密工具就可以讀懂內(nèi)容的信息， 稱為明文，用M表示。密文：將明文變換成一種在通常情況下無法讀懂內(nèi) 容的信息，稱為密文，用C來表示。加密：由明文到密文的變換過程，用E表示。解密：接收者從密文恢復(fù)成原有的明文過程，用D表 示。破譯：非法接收者試圖從密文分析出明文的過程2023/5/651.密碼學(xué)的根本概念保密通信系統(tǒng)加密算法：對明文進(jìn)行加密時(shí)采用的一組規(guī)那么 解密算法：對密文進(jìn)行解密時(shí)采用的一組規(guī)那么；加密密鑰：用于在加密過程中使用的密鑰 解密密鑰：用于在解密過程中使用的密鑰；Ｃ＝ＥK1〔Ｍ〕M=Dk2〔C〕 其中：K1為加密密鑰，K2為解密密鑰，E為加密變換，D為解密變換。EK1表示在密鑰K1的控制下實(shí)現(xiàn)E的加密變換，DK2表示在密鑰K2的控制下實(shí)現(xiàn)D的解密變換2023/5/661.密碼學(xué)的根本概念保密通信系統(tǒng)模型2023/5/671.密碼學(xué)的根本概念保密通信系統(tǒng)——保密系統(tǒng)的條件系統(tǒng)即使達(dá)不到理論上是不可破的，也應(yīng)當(dāng)為實(shí)際上是不可破的。即從截獲的密文或某些明文密文對，要決定密鑰或任意明文在計(jì)算上是不可行的；系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于密鑰；加密和解密算法適用于所有密鑰空間中的元素；系統(tǒng)便于實(shí)現(xiàn)和使用。2023/5/681.密碼學(xué)的根本概念密碼體制分類單鑰體制〔對稱密碼體制〕：加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同，即從一個(gè)易于得出另一個(gè)。雙鑰體制〔非對稱密碼體制〕：加密密鑰和解密密鑰不相同，從一個(gè)難于得出另一個(gè)。2023/5/691.密碼學(xué)的根本概念密碼體制分類——單鑰體制特點(diǎn)：系統(tǒng)的保密性主要取決于密鑰的平安性，與算法的平安性無關(guān)，即由密文和加解密算法不可能得到明文。即算法無需保密，需保密的是密鑰。主要任務(wù)：產(chǎn)生滿足保密要求的密鑰以及如何將密鑰平安可靠的分配給通信雙方。2023/5/6101.密碼學(xué)的根本概念密碼體制分類——單鑰體制單鑰體制的加密方式流密碼：按字符逐位加密。分組密碼：將明文消息分組，逐組加密2023/5/6111.密碼學(xué)的根本概念密碼體制分類——雙鑰體制特點(diǎn)：每個(gè)用戶都有一對選定的密鑰：一個(gè)可以公開；另一個(gè)是秘密的。主要特點(diǎn)：將加密和解密能力分開，可以實(shí)現(xiàn)保密通信：多個(gè)用戶加密的消息只能一個(gè)用戶解讀認(rèn)證：一個(gè)用戶加密的消息由多個(gè)用戶解讀。2023/5/6121.密碼學(xué)的根本概念密碼攻擊概述難易2023/5/6131.密碼學(xué)的根本概念密碼攻擊概述一個(gè)加密算法是無條件平安的僅當(dāng)密鑰至少和明文一樣長時(shí)，才能到達(dá)無條件平安。即除了一次一密外，無其他加密方案是無條件平安的。加密算法的準(zhǔn)那么：破譯密文的代價(jià)超過被加密信息的價(jià)值破譯密文所花的時(shí)間超過信息的有用期2023/5/6142.流密碼流密碼的根本思想利用密鑰K產(chǎn)生一個(gè)密鑰流z=z0z1……，并使用如下規(guī)那么對明文串x=x0x1……加密： y=y0y1..y2=Ez0(x0)Ez1(x1)Ez2(x2)密鑰流由密鑰流發(fā)生器f產(chǎn)生，zi=f(k,σi),σi是加密器中的記憶元件〔存儲器〕在時(shí)刻i的狀態(tài)。2023/5/6152.流密碼流密碼的根本思想分組密鑰與流密碼的區(qū)別：記憶性。流密碼的明文可能影響加密器隨后的σi。2023/5/6162.流密碼同步流密碼根據(jù)加密器中記憶元件的存儲狀態(tài)бi是否依賴于輸入的明文字符，流密碼分為：同步流密碼：бi獨(dú)立于明文字符,密文字符不依 賴于此前的明文字符，加密器可分為 密鑰流產(chǎn)生器和加密變換器兩局部；自同步流密碼：бi依賴于明文字符2023/5/6172.流密碼同步流密碼體制模型2023/5/6182.流密碼同步流密碼體制模型二元加法流密碼體制：yi=zi+xi2023/5/6192.流密碼密鑰流產(chǎn)生器密鑰流產(chǎn)生器是同步流密碼的關(guān)鍵！可看成一個(gè)參數(shù)為K的有限狀態(tài)自動(dòng)機(jī)。2023/5/6202.流密碼密鑰流產(chǎn)生器目前最流行的密鑰流生成器其驅(qū)動(dòng)局部是一個(gè)或多個(gè)線性反響移位存放器〔LFSR〕。2023/5/6212.流密碼線性反響移位存放器序列〔LFSR〕特點(diǎn)：實(shí)現(xiàn)簡單、速度快、理論成熟2023/5/6223.分組密碼概述分組密碼——作用易于構(gòu)造偽隨機(jī)數(shù)生成器、流密碼、消息認(rèn)證碼〔MAC〕和雜湊函數(shù)等成為消息認(rèn)證技術(shù)、數(shù)據(jù)完整性機(jī)制、實(shí)體認(rèn)證協(xié)議以及單鑰數(shù)字簽字體制的核心組成局部。2023/5/6233.分組密碼分組密碼——概念分組密碼是將明文消息編碼表示后的數(shù)字序列x0,x1,…,xi,…劃分成長為n的組x＝(x0,x1,…xn-1)，各組〔長為n的矢量〕分別在密鑰k＝(k0,k1,…ki-1)控制下變換成等長的輸出數(shù)字序列y＝(y0,y1,…ym-1)〔長為m的矢量〕，其加密函數(shù)E:Vn×K->Vm，Vn和Vm分別是n維和m維矢量空間，K為密鑰空間。2023/5/6243.分組密碼分組密碼——框圖m>n，為有數(shù)據(jù)擴(kuò)展的分組密碼；m<n，為有數(shù)據(jù)壓縮的分組密碼。2023/5/6253.分組密碼分組密碼——與流密碼的比較〔異〕分組密碼：輸出的每一位數(shù)字不是只與相應(yīng)時(shí)刻輸入的明文數(shù)字有關(guān)，而是與一組長為n的明文數(shù)字有關(guān)。在相同密鑰下，分組密碼對長為n的輸入明文組所實(shí)施的變換是等同的，所以只需研究對任一組明文數(shù)字的變換規(guī)那么。這種密碼實(shí)質(zhì)上是字長為n的數(shù)字序列的代換密碼。2023/5/6263.分組密碼分組密碼——算法設(shè)計(jì)要求分組長度n要足夠大：使分組代換字母表中的元素個(gè) 數(shù)2n足夠大,防止明文窮舉法攻擊,n＝64密鑰量要足夠大：防止密鑰窮舉法攻擊由密鑰確定置換的算法要足夠復(fù)雜加密和解密運(yùn)算簡單：易于軟件和硬件高速實(shí)現(xiàn)數(shù)據(jù)擴(kuò)展過失傳播盡可能的小2023/5/6273.分組密碼代換——概念如果明文和密文的分組長都是n比特，那么明文的每一個(gè)分組都有2n個(gè)可能的取值。為使加密運(yùn)算可逆〔使機(jī)密運(yùn)算可行〕，明文的每一個(gè)分組都應(yīng)產(chǎn)生唯一的一個(gè)密文分組，這樣的變換稱為可逆的，不同可逆變換的個(gè)數(shù)有2n!個(gè)。2023/5/6283.分組密碼代換——代換結(jié)構(gòu)2023/5/6293.分組密碼代換——分組長度假設(shè)分組長度太小，系統(tǒng)易被攻破，等價(jià)于古典的代換密碼假設(shè)分組長度太長，密鑰需要n*2nbit，可逆代換結(jié)構(gòu)不實(shí)際。用將n分成小段，每個(gè)子代換使用代換盒來解決此問題。2023/5/6303.分組密碼擴(kuò)散和混淆擴(kuò)散和混淆是設(shè)計(jì)密碼系統(tǒng)的兩個(gè)根本方法目的：抗擊敵手對密碼系統(tǒng)的統(tǒng)計(jì)分析2023/5/6313.分組密碼擴(kuò)散和混淆——概念擴(kuò)散：將明文的統(tǒng)計(jì)特性散布到密文中去，實(shí)現(xiàn)方式是使得明文的每一位影響密文中多位的值，使得每一字母在密文中出現(xiàn)的頻率比在明文中出現(xiàn)的頻率更接近于相等。其目的是使明文和密文之間的統(tǒng)計(jì)關(guān)系變得盡可能復(fù)雜，使敵手無法得到密鑰。混淆：目的是使密文和密鑰之間得統(tǒng)計(jì)關(guān)系變得盡可能復(fù)雜，使敵手無法得到密鑰。2023/5/6323.分組密碼Feistel密碼結(jié)構(gòu)——根本概念Feistel提出利用乘積密碼可獲得簡單的代換密碼，乘積密碼指順序的執(zhí)行兩個(gè)或多個(gè)根本密碼系統(tǒng)，使得最后結(jié)果的密碼強(qiáng)度高于每個(gè)根本密碼系統(tǒng)產(chǎn)生的結(jié)果。代換和置換方法：即利用乘積密碼實(shí)現(xiàn)混淆和擴(kuò)散思想。2023/5/6333.分組密碼Feistel密碼結(jié)構(gòu)——加密結(jié)構(gòu)代換置換2023/5/6343.分組密碼Feistel密碼結(jié)構(gòu)——加密結(jié)構(gòu)第I輪迭代的輸入為前輪輸出的函數(shù)：

Li=Ri-1

Ri=Li-1⊕F(Ri-1,Ki)

其中Ki是第i輪用的子密鑰，由加密密鑰K得到。Feistel網(wǎng)絡(luò)中每輪結(jié)構(gòu)都相同，每輪輪函數(shù)的結(jié)構(gòu)也相同，子密鑰Ki不同2023/5/6353.分組密碼Feistel密碼結(jié)構(gòu)——加密網(wǎng)絡(luò)參數(shù)分組大小：分組越大，平安性越高，但加密速度越慢〔多用64比特〕；密鑰大?。好荑€越長，平安性越高，但加密速度越慢〔多用128比特長〕輪數(shù)：多輪結(jié)構(gòu)提供平安性〔典型為16輪〕子密鑰產(chǎn)生算法：算法越復(fù)雜，密碼分析越難輪函數(shù)：函數(shù)設(shè)計(jì)越復(fù)雜，密碼分析越難2023/5/6363.分組密碼Feistel密碼結(jié)構(gòu)——解密結(jié)構(gòu)2023/5/6373.分組密碼Feistel密碼結(jié)構(gòu)——解密結(jié)構(gòu)解密過程本質(zhì)上與加密過程一樣算法采用密文輸入子密鑰的使用與加密過程相反，即第一輪使用Kn，第二輪使用Kn-1，一直下去，最后一輪使用Ki。2023/5/6384.數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)DES——數(shù)據(jù)加密標(biāo)準(zhǔn)DES：DataEncryptionStandard，分組長度為64bit，密鑰長度56bit，IBM公司于1975年公布，1977年生效。自1998年12月以后，不再使用DES。經(jīng)進(jìn)一步優(yōu)化，產(chǎn)生AES〔AdvancedEncryptionStandard〕加密標(biāo)準(zhǔn)。2023/5/6394.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——加密算法框圖2023/5/6404.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——加密算法框圖明文分組長為64比特，密鑰長為56比特16輪變換的功能相同，每輪中均有置換和代換運(yùn)算算法框圖的右側(cè)由于密鑰被重復(fù)迭代，雖然每輪的置換都相同，但產(chǎn)生的每輪子密鑰不同。2023/5/6414.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——初始置換2023/5/6424.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——初始置換2023/5/6434.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——初始置換2023/5/6444.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——輪結(jié)構(gòu)框圖2023/5/6454.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——輪結(jié)構(gòu)左側(cè)明文分組長為64比特，分為各為32比特的左右兩局部后，變換為：Li=Ri-1 Ri=Li-1⊕F(Ri-1,Ki)密鑰Ki為48比特S盒：48比特->32比特

2023/5/6464.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——輪結(jié)構(gòu)函數(shù)F(R,K)的計(jì)算過程2023/5/6474.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕DES描述——S盒的定義每個(gè)S盒的輸入長6比特，輸出長4比特，變換如下圖：輸入25：011001--->輸出：9012023/5/6484.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕二重DES描述將DES算法在兩個(gè)加密密鑰K1、K2下使用加密：C＝EK2[EK1[P]] 解密：P＝DK1[DK2[C]]2023/5/6494.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕二重DES描述密鑰長度為112比特，強(qiáng)度極大增加使用二重DES產(chǎn)生的映射不會等價(jià)于單重DES加密可能受中途相遇攻擊2023/5/6504.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕兩個(gè)密鑰的三重DES描述將DES算法在兩個(gè)加密密鑰K1、K2下做三次加密使用加密：C＝EK1[DK2[EK1[P]]]2023/5/6514.數(shù)據(jù)加密標(biāo)準(zhǔn)〔DES〕三個(gè)密鑰的三重DES描述將DES算法在三個(gè)加密密鑰K1、K2、K3下做三次加密使用密鑰長度為168比特加密：C＝EK3[DK2[EK1[P]]]2023/5/6525.分組密碼的運(yùn)行模式DES的運(yùn)行模式2023/5/6535.分組密碼的運(yùn)行模式電碼本ECB〔ElectronicCodebook〕模式2023/5/6545.分組密碼的運(yùn)行模式電碼本ECB〔ElectronicCodebook〕模式一次對一個(gè)64bit長的明文分組加密〔缺乏那么填充〕每次加密密鑰相同，即密鑰取定時(shí)，對明文的每一個(gè)分組，都有一個(gè)唯一的密文與之對應(yīng)適合短數(shù)據(jù)加密，最適合用于平安的傳遞DES如果同一數(shù)據(jù)反復(fù)出現(xiàn)，那么產(chǎn)生的密文也相同2023/5/6555.分組密碼的運(yùn)行模式密碼分組鏈接CBC模式〔CipherBlockChaining〕2023/5/6565.分組密碼的運(yùn)行模式密碼分組鏈接CBC模式重復(fù)的明文分組產(chǎn)生不同的密文分組一次對一個(gè)明文分組加密，每次加密使用同一密鑰加密算法的輸入是當(dāng)前明文分組和前一次密文分組的異或，因此加密算法的輸入不會顯示出與這次的明文分組之間的固定關(guān)系。適于加密長于64比特的消息2023/5/6575.分組密碼的運(yùn)行模式密碼反響CFB〔CipherFeedback〕模式2023/5/6585.分組密碼的運(yùn)行模式密碼反響CFB〔CipherFeedback〕模式2023/5/6595.分組密碼的運(yùn)行模式密碼反響CFB〔CipherFeedback〕模式64比特的明文分組利用CFB模式可轉(zhuǎn)換為流密碼流密碼不需要對消息填充，運(yùn)行是實(shí)時(shí)的。假設(shè)傳送字母流，可使用流密碼對每個(gè)字母直接加密并傳送流密碼的密文和明文一樣長，那么密鑰也一樣長為好解密時(shí)，將收到的密文單元與加密函數(shù)的輸出進(jìn)行異或，此時(shí)仍使用加密算法而不是解密算法。2023/5/6605.分組密碼的運(yùn)行模式輸出反響OFB〔OutputFeedback〕模式2023/5/6615.分組密碼的運(yùn)行模式輸出反響OFB〔OutputFeedback〕模式2023/5/6625.分組密碼的運(yùn)行模式輸出反響OFB〔CipherFeedback〕模式與CFB類似OFB模式將加密算法的輸出反響到移位存放器，而CFB模式中是將密文單元反響到移位存放器OFB的優(yōu)點(diǎn)：傳輸過程中的比特錯(cuò)誤不會被傳播。而CFB中，比特錯(cuò)誤會影響解密結(jié)果中各明文單元的值OFB的缺點(diǎn)：比CFB更易受到對消息流的篡改攻