北郵精品課程-現(xiàn)代密碼學(xué)課件現(xiàn)代密碼學(xué)第四講：分組密碼1.ppt

1、1,分組密碼（一）,現(xiàn)代密碼學(xué)第四講,2,上講內(nèi)容回顧,問(wèn)題的定義及分類(lèi) 算法復(fù)雜度定義及分類(lèi) P問(wèn)題和NP問(wèn)題 密碼算法的計(jì)算安全性,3,本節(jié)主要內(nèi)容,分組密碼定義 分組密碼的發(fā)展歷史 保密系統(tǒng)的安全性分析及分組密碼的攻擊 數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）算法介紹 高級(jí)加密標(biāo)準(zhǔn)（AES）算法介紹 中國(guó)無(wú)限局域網(wǎng)標(biāo)準(zhǔn)（SMS4）算法介紹 分組密碼算法的運(yùn)行模式,4,分組密碼的定義,分組密碼（block cipher）是現(xiàn)代密碼學(xué)中的重要體制之一，其主要任務(wù)是提供數(shù)據(jù)保密性 分組密碼加解密速度較快 (對(duì)稱(chēng)密碼特點(diǎn)) 現(xiàn)代分組密碼發(fā)展非?？欤夹g(shù)較成熟（公開(kāi)測(cè)評(píng)） ，使用廣泛 其他密碼算法設(shè)計(jì)領(lǐng)域有廣泛應(yīng)用

2、，例如：可以用于構(gòu)造偽隨機(jī)數(shù)生成器、流密碼、認(rèn)證碼和哈希函數(shù)等,5,分組密碼的定義,定義 一個(gè)分組密碼體制(P, K, C, E, D)，其中P=C=0,1l ；K=0,1t. 加密變換： E：PKC, 當(dāng)k K確定時(shí)，Ek為P C的一一映射. 解密變換： D: CK P, 當(dāng)k K確定時(shí)，Dk為C P的一一映射. Dk Ek=I,6,分組密碼的發(fā)展歷史,二十世紀(jì)之前的密碼算法 算法、密鑰保密 二十世紀(jì)之后的密碼算法 Kerokhoffs假設(shè)：密碼分析者已有密碼算法及實(shí)現(xiàn)的全部詳細(xì)資料. Kerckhoff假設(shè)蘊(yùn)涵著密碼的安全性完全依賴于密鑰.,7,分組密碼的發(fā)展歷史,公開(kāi),民用 不存在陷門(mén)

3、足夠的安全強(qiáng)度 標(biāo)準(zhǔn)化通信需求,8,分組密碼的發(fā)展歷史,1973年5月美國(guó)聯(lián)邦政府提出征求在傳輸和存儲(chǔ)數(shù)據(jù)中保護(hù)計(jì)算機(jī)數(shù)據(jù)的密碼算法的建議； 1975年3月，美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS) 首次公布IBM公司提出的算法Lucifer中選； 1977年1月NBS正式向社會(huì)公布，采納IBM公司設(shè)計(jì)的方案作為非機(jī)密數(shù)據(jù)的數(shù)據(jù)加密標(biāo)準(zhǔn) (Data Encryption Standard). DES正式成為美國(guó)聯(lián)邦政府信息處理標(biāo)準(zhǔn)，即FIPS-46標(biāo)準(zhǔn)，同年7月開(kāi)始生效。 此后，每隔5年美國(guó)國(guó)家保密局（NSA）對(duì)DES作新的評(píng)估，并重新審定它是否繼續(xù)作為聯(lián)邦加密標(biāo)準(zhǔn)。,9,分組密碼的發(fā)展歷史,理論強(qiáng)度，97年

4、$100000的機(jī)器可以在6小時(shí)內(nèi)用窮舉法攻破DES. 實(shí)際攻破的例子，97年1月提出挑戰(zhàn)，有人利用Internet的分布式計(jì)算能力，組織志愿軍連接了70000多個(gè)系統(tǒng)在96天后攻破. 這意味著隨著計(jì)算能力的增長(zhǎng)，必須相應(yīng)地增加算法密鑰的長(zhǎng)度。,10,分組密碼的發(fā)展歷史,1997年, 美國(guó)標(biāo)準(zhǔn)技術(shù)研究所（NIST）對(duì)DES進(jìn)行再次評(píng)測(cè)并宣布：DES算法的安全強(qiáng)度已經(jīng)不足以保障聯(lián)邦政府信息數(shù)據(jù)的安全性, 所以NIST建議撤銷(xiāo)相關(guān)標(biāo)準(zhǔn). 同時(shí), NIST開(kāi)始征集新的數(shù)據(jù)加密標(biāo)準(zhǔn)-高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)(Advanced Encryption Standard). 新算法的分組長(zhǎng)度為128, 支持可變密鑰

5、長(zhǎng)度128、192、256比特.,11,分組密碼的發(fā)展歷史,1999年，NIST從提交的15個(gè)候選草案中選取了5個(gè)優(yōu)良的算法作為AES的候選算法：MARS、RC6、Rijndael、Serpent和Twofish， 綜合評(píng)價(jià)最終確定Rijndael算法為新的數(shù)據(jù)加密標(biāo)準(zhǔn)，2001年12月正式公布FIPS-197標(biāo)準(zhǔn)。 /aes,12,分組密碼的發(fā)展歷史,歐洲于2000年1月啟動(dòng)了NESSIE工程, 該工程的目的是評(píng)價(jià)出包含分組密碼, 流密碼等在內(nèi)的一系列安全, 高效和靈活的密碼算法. 至2000年9月, 共征集到了17個(gè)分組密碼算法, 同時(shí)將TDES和AES納入了評(píng)估范

6、圍，并作為分組密碼算法的評(píng)測(cè)基準(zhǔn). 經(jīng)過(guò)3年2個(gè)階段的篩選，最終確定下列算法為推薦的分組密碼算法：MISTY-64、Camllia-128、AES-128和SHACAL-2。,13,分組密碼的發(fā)展歷史,日本政府在2000年成立了密碼研究與評(píng)估委員會(huì)（CRYPTREC）并參考?xì)W洲NESSIE工程的作法對(duì)密碼算法的安全性和效率等問(wèn)題進(jìn)行評(píng)估，以備政府使用. 2002年初步擬定了推薦算法的草案, 2003年3月確定了推薦算法名單, 其中分組密碼算法包括： (1)分組長(zhǎng)度為64比特的算法：CIPHERUNICORN-E、MISTY1和3-key-TDES. (2)分組長(zhǎng)度為128比特的算法：Camel

7、lia、CIPHERUNICORN-A、Hierocrypt-3、SC2000和Rijndael128.,14,回顧分組密碼設(shè)計(jì)準(zhǔn)則,迭代結(jié)構(gòu)：選擇某個(gè)較為簡(jiǎn)單的密碼變換，在密鑰控制下以迭代方式多次利用它進(jìn)行加密變換，就可以實(shí)現(xiàn)預(yù)期的擴(kuò)散和混亂效果。（輪函數(shù)） 混淆：是指在加密變換過(guò)程中是明文、密鑰以及密文之間的關(guān)系盡可能地復(fù)雜化，以防密碼破譯者采用統(tǒng)計(jì)分析法進(jìn)行破譯攻擊。(線性ax+b=c /非線性ax2+b=c) 擴(kuò)散：明文和密鑰中任何一比特值得改變，都會(huì)在某種程度上影響到密文值的變化，以防止將密鑰分解成若干個(gè)孤立的小部分，然后各個(gè)擊破。（擴(kuò)散函數(shù)）,15,保密系統(tǒng)的安全性分析 及分組密碼

8、攻擊手段,攻擊目的 1. 完全破譯：破譯使用者的密鑰 例：備用鑰匙 2. 部分破譯：恢復(fù)某些密文對(duì)應(yīng)的明文 例：猜測(cè)出某些特定格式的明文 信函開(kāi)頭：DEAR *,16,保密系統(tǒng)的安全性分析 及分組密碼攻擊手段,攻擊種類(lèi) 被動(dòng)攻擊：守株待兔 1. 唯密文攻擊：密碼分析者有一個(gè)或更多的用同一個(gè)密鑰加密的密文，通過(guò)對(duì)這些截獲的密文進(jìn)行分析得出明文或密鑰. 2. 已知明文攻擊：除待解的密文外，密碼分析者有一些明文和用同一個(gè)密鑰加密這些明文所對(duì)應(yīng)的密文.,17,保密系統(tǒng)的安全性分析 及分組密碼攻擊手段,主動(dòng)攻擊：主動(dòng)出擊，先發(fā)制人 3. 選擇明文攻擊：密碼分析者可得到所需要的任何明文所對(duì)應(yīng)的密文，這些密

9、文與待解的密文是用同一個(gè)密鑰加密得來(lái)的. 4. 選擇密文攻擊：密碼分析者可得到所需要的任何密文所對(duì)應(yīng)的明文，解密這些密文所使用的密鑰與解密待解的密文的密鑰是一樣的.,18,保密系統(tǒng)的安全性分析 及分組密碼攻擊手段,攻擊手段 1. 窮舉法：當(dāng)分組長(zhǎng)度n較小時(shí)，攻擊者可以有效地窮舉明文空間，得到密鑰。 2. 差分分析 3. 線性分析 4. 相關(guān)密鑰 5. 側(cè)信道攻擊 利用一些先驗(yàn)知識(shí)（如字典攻擊），達(dá)到快速攻擊的目的；攻擊復(fù)雜度小于窮舉攻擊，則理論有效,19,DES算法概述,明文和密文分組長(zhǎng)度為64比特 算法包含兩部分：迭代加解密和密鑰編排 Feistel結(jié)構(gòu)（加解密相似）：加密和解密除密鑰編排不

10、同外, 完全相同 （思考：1 為什么解密函數(shù)不是逆函數(shù)？2 為什么不用逆函數(shù)來(lái)解密） 密鑰長(zhǎng)度：56比特（DES的密鑰空間：256），每7比特后為一個(gè)奇偶校驗(yàn)位（第8位），共64比特 輪函數(shù)采用混亂和擴(kuò)散的組合，共16輪,20,DES算法概述,21,AES算法算法概述,分組加密算法：明文（128/256比特）和密文分組（128/192/256比特）可變長(zhǎng)度。 SPN結(jié)構(gòu)：輪函數(shù)包含代換層-置換層-密鑰混合層。 密鑰長(zhǎng)度：128比特（AES的密鑰空間：2128） 128比特：10輪. AES算法的一個(gè)加密過(guò)程演示,22,無(wú)限局域網(wǎng)密碼算法-SMS4,中國(guó)政府頒布的C0標(biāo)準(zhǔn)算法 分組加密算法：明文和密文分組長(zhǎng)度128比特 結(jié)構(gòu)：類(lèi)似于hash的結(jié)