對(duì)稱(chēng)加密與消息機(jī)密性

第1部分密碼編碼學(xué)

第2章對(duì)稱(chēng)加密與消息機(jī)密性

第3章公鑰密碼和消息認(rèn)證第2章

對(duì)稱(chēng)加密與

消息機(jī)密性對(duì)稱(chēng)加密概況也叫做私鑰加密(private-key)

/單鑰加密(single-key)

發(fā)送者和接受者共享同一個(gè)鑰匙所有古典加密算法都屬于對(duì)稱(chēng)加密在1970’s末期公鑰加密開(kāi)發(fā)之前是唯一被使用的加密類(lèi)型。現(xiàn)在仍被廣泛使用。一些基本術(shù)語(yǔ)明文plaintext

–

原始消息或數(shù)據(jù)，作為算法的輸入

密文ciphertext

–

產(chǎn)生的已被打亂的消息，作為算法的輸出

密碼算法cipher密鑰key加密encipher(encrypt)解密decipher(decrypt)密碼編碼學(xué)cryptography

–使消息保密的技術(shù)和科學(xué)密碼分析學(xué)cryptanalysis–在不知道密鑰的情況下破譯密文的科學(xué)和技術(shù)。密碼學(xué)cryptology

–包括密碼編碼學(xué)和密碼分析學(xué)對(duì)稱(chēng)加密模型Requirements兩個(gè)安全使用對(duì)稱(chēng)加密的要求：一個(gè)夠強(qiáng)(strong)的加密算法密鑰僅被發(fā)送者和接收者所知道加解密算法的關(guān)系: Y=E(K,X) X=D(K,Y)則：X=D(K,E(K,X))

加密的安全取決于密鑰的保密性而非算法的保密性，即算法公開(kāi)發(fā)送者和接收者必須通過(guò)安全的方式獲取密鑰并保證其安全性。密碼編碼方法分類(lèi)根據(jù)編制原理分為：替換(substitution)：明文的每個(gè)元素都映射到

另外一個(gè)元素排列組合(transposition)：明文的元素都被再排列，也叫做置換。乘積體制(productsystem)：包括多級(jí)替換和排列組合。按照使用的密鑰數(shù)分為：對(duì)稱(chēng)/私鑰/單鑰非對(duì)稱(chēng)/公鑰/雙鑰根據(jù)對(duì)明文的處理方式分為：分組密碼(block)流密碼(stream)密碼分析方法分類(lèi)密碼分析的目的是獲取密鑰，而不是

密文對(duì)應(yīng)的明文。常用的兩種方法：破譯窮舉(brute-force)破譯方法唯密文(ciphertextonly)知道密文已知明文(knownplaintext)知道密文，一個(gè)或多個(gè)用密鑰產(chǎn)生的明文-密文對(duì)選擇明文(chosenplaintext)知道密文，并選定特定明文后用密鑰產(chǎn)生對(duì)應(yīng)的密文選擇密文(chosenciphertext)知道密文，選定密文以及使用密鑰產(chǎn)生對(duì)應(yīng)的解密明文選擇文本(chosentext)知道密文，選定明文用密鑰產(chǎn)生密文，選定密文用密鑰產(chǎn)生明文窮舉可能并且簡(jiǎn)單的攻擊方法取決于密鑰長(zhǎng)度假設(shè)知道或者能夠識(shí)別明文信息密鑰長(zhǎng)度(bits)可選密鑰數(shù)1次/μs加密速度所需時(shí)間106次/μs加密速度所需時(shí)間32232=4.3

109231μs=35.8minutes2.15milliseconds56256=7.2

1016255μs=1142years10.01hours1282128=3.4

10382127μs=5.4

1024years5.4

1018years1682168=3.7

10502167μs=5.9

1036years5.9

1030years26characters(排列組合)26!=4

10262

1026μs=6.4

1012years6.4

106years何謂“計(jì)算安全”破解密文的代價(jià)超出被加密信息的價(jià)值破解密文需要的時(shí)間超出信息的有用壽命

符合上述條件之一或全部，成為是計(jì)算安全的。DES(DataEncryptionStandard)美國(guó)IBM公司的沃爾特.塔奇曼和卡爾.邁歇爾1971-1972年研制成功。1975年3月公開(kāi)發(fā)表，1977年1月15日由美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布為聯(lián)邦數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard），于1977年7月15日生效。主要應(yīng)用領(lǐng)域：商用和計(jì)算機(jī)通信；DES的出現(xiàn)是密碼史上的一個(gè)創(chuàng)舉，是第一個(gè)公開(kāi)發(fā)表的算法，任人測(cè)試、研究和分析，安全性完全依賴(lài)于密鑰的保密。DES(DataEncryptionStandard)數(shù)據(jù)加密標(biāo)準(zhǔn)DES屬于常規(guī)密鑰密碼體制，是一種分組加密算法，是針對(duì)二進(jìn)制編碼數(shù)據(jù)設(shè)計(jì)的。在加密前，先對(duì)整個(gè)明文進(jìn)行分組。每一個(gè)組長(zhǎng)為64bit。然后對(duì)每一個(gè)64bit二進(jìn)制數(shù)據(jù)進(jìn)行加密處理，產(chǎn)生一組64bit密文數(shù)據(jù)。最后將各組密文串接起來(lái)，即得出整個(gè)的密文。使用的密鑰為64bit（實(shí)際密鑰長(zhǎng)度為56bit，有8bit用于奇偶校驗(yàn))，密鑰可以是任意的56位的數(shù)，且可在任意的時(shí)候改變。解密和加密過(guò)程相似，加密和解密用的是同一算法，只是密鑰的順序正好相反。所有的保密性依賴(lài)于密鑰。DES的結(jié)構(gòu)圖

DES算法的入口參數(shù)有3個(gè)：Key、Data和Mode（加密或者解密）。64位明文末置換IP-1

迭代過(guò)程(16輪)初始置換IP64位密文步驟第一步：變化明文。對(duì)給定的64位明文x，首先通過(guò)一個(gè)置換IP表來(lái)重新排列，從而構(gòu)造出64位的x0，x0=IP(x)=L0R0。第二步：按照規(guī)則迭代。規(guī)則為：Li=Ri-1Ri=Li⊕f(Ri-1,ki)(I=1,2,…,16)符號(hào)⊕表示數(shù)學(xué)上的“異或”運(yùn)算。f表示一種置換，由S盒置換構(gòu)成，Ki是一些由密鑰編排函數(shù)產(chǎn)生的子密鑰。第3步：對(duì)L16R16利用IP-1作逆置換，就得到了密文。DES加密過(guò)程：1)對(duì)明文分組，如最后一組不滿64位，可填充數(shù)字(填充位、指示符)；2)對(duì)分組進(jìn)行初始IP置換，并分成左右兩部分L0和R0，各32位；3)子密鑰生成：①PC-1置換（64位變?yōu)?6位，并變換位置）,分為左右兩部分C0、D0,各28位；

fori=1to16

{

②、循環(huán)移位；③、PC-2置換（56位變?yōu)?8位）記為Ki；}4)16輪迭代變換：

fori=1to16

{

Li＝Ri－1

；

Ri＝Li－1+f(Ri－1，Ki)；（

f：擴(kuò)展置換、S盒替換、P盒置換）；

i＝i+1；}5)末置換IP-1

。L0R0L1=R0IPL2=R1L15=R14R1=L0

f(R0,K1)R2=L1

f(R1,K2)R15=L14

f(R14,K15)L16=R15R16=L15

f(R15,K16)IP1f

ff輸出密文Y(64bit)明文X(64bit)輸入K16(48bit)K2(48bit)K1(48bit)X0的左半邊

(32bit)X0(64bit)X0的右半邊(32bit)R16L16(64bit)輸入（64位）58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157輸出（64位）L0（32位）R0（32位）初始變換IP置換碼組輸入（64位）40848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725輸出（64位）逆初始變換IP-1子密鑰的生成PC-1C0D0LS1LS1C1D1LS2LS2C2D2LS16LS16C16D16PC-2K1(48bits)密鑰K,64bits2828PC-2K2(48bits)PC-2K16(48bits)PC1選位表57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124從64位密鑰中選位出56位（8位作為奇偶校驗(yàn)位）拆分：56bits的密鑰分成兩部分，Ci,Di，各28bits子密鑰的生成CiDi移位(LS)移位壓縮置換(PC)Ci+1Di+1Ki子密鑰的生成循環(huán)左移：根據(jù)迭代的輪數(shù)，分別左移一位或兩位123456789101112131415161122222212222221壓縮置換PC2（置換選擇）：從56bits中選擇48bits1417112415328156211023191242681672720132415231374755304051453348444939563453464250362932子密鑰的生成一輪迭代Li-1Ri-1Li＝Ri-1Ri=Li-1f(Ri-1,Ki

)Ki

(48bits)32bits32bits32bitsE-盒置換S-盒代替P-盒置換32bitsf4832擴(kuò)展置換(E)將Ri從32位擴(kuò)展到48位目的：輸入的每一位影響下一步的兩個(gè)替換，使得輸出對(duì)輸入的依賴(lài)性傳播得更快，密文的每一位都依賴(lài)于明文的每一位1234567812345678324832123454567

8989….313211234567891011121314……464748S－盒置換將48比特壓縮成32比特ES1S2S3S4S5S6Ri-1(32bits)Ki

(48bits)48bitsS7S8S－盒置換輸入6比特:b1b2b3b4b5b6輸出4比特：S(b1b6,b2b3b4b5)S1b1b2b3b4b5b60123456789101112131415S101441312151183106125907101574142131106121195382411481362111512973105031512824917511314100613S2015181461134972131205101..........23舉例：S1(100110)=1000P-盒置換32比特輸入，32比特輸出P-盒的輸出：1672021291228171152326518311028241432273919133062211425DES解密過(guò)程DES解密過(guò)程與加密過(guò)程完全相似，只不過(guò)

將16次迭代的子密鑰順序倒過(guò)來(lái)，即

m=DES-1(c)=IP-1?T1?T2?.....T15?T16?IP(c)★加密密鑰產(chǎn)生時(shí)循環(huán)左移位數(shù)依次是：1，1，2，2，2，2，2，2，1，2，2，2，2，2，2，1

解密密鑰產(chǎn)生時(shí)循環(huán)右移位數(shù)依次是：0，1，2，2，2，2，2，2，1，2，2，2，2，2，2，1DES的明顯缺點(diǎn)

DES實(shí)際上就是一種單字符替代，而這種字符的長(zhǎng)度是64bit。對(duì)于DES算法，相同的明文就產(chǎn)生相同的密文。這對(duì)DES的安全性來(lái)說(shuō)是不利的。為了提高DES的安全性，可采用加密分組鏈接的方法。DES的保密性DES的保密性僅取決于對(duì)密鑰的保密，而算法是公開(kāi)的。盡管人們?cè)谄谱gDES方面取得了許多進(jìn)展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。DES是世界上第一個(gè)公認(rèn)的實(shí)用密碼算法標(biāo)準(zhǔn)，它曾對(duì)密碼學(xué)的發(fā)展做出了重大貢獻(xiàn)。目前較為嚴(yán)重的問(wèn)題是DES的密鑰的長(zhǎng)度?，F(xiàn)在已經(jīng)設(shè)計(jì)出來(lái)搜索DES密鑰的專(zhuān)用芯片。Timetobreakacode(106decryptions/μs)三重DES(TripleDES)是Tuchman提出的，并在1985年成為美國(guó)的一個(gè)商用加密標(biāo)準(zhǔn)[RFC2420]。三重DES使用兩個(gè)（或三個(gè)）密鑰，執(zhí)行三次DES算法。

三重DES例：DES-EDE3，是以三把不同的密鑰，以加密-解密-加密的方式依次處理。K1K2K3EDEK1K2K3MCDEDCM三重DES三重DES還可以使用兩個(gè)密鑰執(zhí)行三次DES算法。加密時(shí)是E-D-E，解密時(shí)是D-E-D。EDEK1K2K1明文密文DEDK1K2K1密文明文加密解密三重DESDES及3DES的缺陷軟件運(yùn)行慢使用64比特分組，較小由于上述缺陷，出現(xiàn)了AES分組128比特密鑰長(zhǎng)度可以是128/192/256比特IDEA算法簡(jiǎn)介1990年，瑞士JamesMassey，XuejiaLai(賴(lài)學(xué)家）,InternationalDataEncryptionAlgorithm“依我看來(lái)，該算法是目前一公開(kāi)的最好和最安全的分組密碼算法”——《應(yīng)用密碼學(xué)》，p226目前已經(jīng)成為PGP的一部分早在1990年，XuejiaLai等人在EuroCrypt’90年會(huì)上提出了分組密碼建議PES(ProposedEncryptionStandard)。在EuroCrypt’91年會(huì)上,XuejiaLai等人又提出了PES的修正版IPES(ImprovedPES)。目前IPES已經(jīng)商品化，并改名為IDEA。IDEA已由瑞士的Ascom公司注冊(cè)專(zhuān)利，以商業(yè)目的使用IDEA算法必須向該公司申請(qǐng)?jiān)S可。IDEA算法簡(jiǎn)介分組長(zhǎng)度64bits,密鑰長(zhǎng)度128bits同一算法即可以加密，也可用于解密只需要簡(jiǎn)單的混合運(yùn)算異或模216加模216＋1乘軟件實(shí)現(xiàn)IDEA比DES快兩倍安全性：贏得彩票頭等獎(jiǎng)并在同一天被閃電殺死的可能性1/255IDEA算法簡(jiǎn)介流密碼和RC4典型的流密碼一次加密一個(gè)字節(jié)的明文，

盡管流密碼可以設(shè)計(jì)成一次操作一個(gè)比特或比字節(jié)大的單位。隨機(jī)數(shù)隨機(jī)數(shù)在密碼學(xué)方面應(yīng)用廣泛防重放攻擊的認(rèn)證協(xié)議中會(huì)話密鑰公鑰的產(chǎn)生一次一密的密鑰流安全性取決于統(tǒng)計(jì)隨機(jī)、均勻分布獨(dú)立（當(dāng)前值不能夠通過(guò)之前的值推測(cè)出來(lái)）RC4算法RC4加密算法是大名鼎鼎的RSA三人組中的

頭號(hào)人物RonRivest在1987年設(shè)計(jì)的密鑰長(zhǎng)度可變的

流加密算法。軟件加密速度很快。網(wǎng)絡(luò)瀏覽器和服務(wù)器之間的通信定義的SSL/TLS標(biāo)準(zhǔn)中使用了RC4。802.11WLAN中應(yīng)用了RC4。RC4原本是被RSASecurity公司當(dāng)做商業(yè)秘密，但在1994年9月，該算法被公布在因特網(wǎng)上，不再是秘密。RC4算法算法簡(jiǎn)單有效可變密鑰長(zhǎng)度（一般至少為128bit）基于字節(jié)的流加密算法密鑰流與明文/密文進(jìn)行異或運(yùn)算一次一個(gè)字節(jié)RC4算法初始化算法初始化S數(shù)組，S[0]=0，S[1]=1,……,S[255]=255T是臨時(shí)數(shù)組，K是密鑰算法：fori=0to255doS[i]=iT[i]=K[imodkeylen])j=0fori=0to255doj=(j+