分组密码体制简介
分组密码 4.1分组密码设计原则和设计方法
便于实现是分组密码设计时应考虑的重要 因素。分组密码应符合简单、快速和成本低廉 的原则。
分组密码应适合硬件和(或)软件实现。硬件 实现速度快;软件实现灵活性强、成本低廉。
例: 对高速通信数据的加密----硬件实现; 嵌入到系统软件的加密程序----软件实现
二、分组密码基本设计原则
2.实现原则
硬件 实现原则
p :{1, 2, , lm} {1, 2, , lm} 实现 lm 比特的置换
即P盒
三、分组密码设计方法
S S
P
S
S
P
…… ……
S
S
P
S
S
……
S
k1
k2
kr
非线性代替S一般被称为混乱层,主要起混乱 的作用;线性置换P一般被称为扩散层,主要起扩
散的作用。
三、分组密码设计方法
三、分组密码设计方法
迭代密码的常见模型有 S-P 网络 ( 代
替-置换网络)、 Feistel网络等。
三、分组密码设计方法
(三)代替-置换网络(S-PN)
一个S-PN就是一类特殊的迭代密码。设l和m 都是正整数,明密文都是长为lm的二元向量,一 个S-PN包含两个变换,分别记为πs和πp。
s :{0,1}l {0,1}l 实现 l 比特的代替,即S盒
密钥形式为:K= ( K1,K2 )
三、分组密码设计方法
加密和解密规则定义如下:
EK ( x) E( K1 , K2 ) ( x) EK2 [EK1 ( x)] y DK ( y) D( K1 , K2 ) ( y) DK1 [DK2 ( y)] x
注意:解密次序与加密次序相反
分组密码
7
DES分组密码算法 DES分组密码算法
一、背景简介
该算法是在美国NSA(国家安全局)资助下由IBM公 (国家安全局)资助下由 该算法是在美国 公 司开发的密码算法, 司开发的密码算法,其初衷是为政府非机密的敏感信息提 供较强的加密保护。它是美国政府担保的第一种加密算法, 供较强的加密保护。它是美国政府担保的第一种加密算法, 并在1977年被正式作为美国联邦信息处理标准。DES主要 年被正式作为美国联邦信息处理标准。 并在 年被正式作为美国联邦信息处理标准 主要 提供非军事性质的联邦政府机构和私营部门使用,并迅速 提供非军事性质的联邦政府机构和私营部门使用, 成为名声最大,使用最广的商用密码算法。 成为名声最大,使用最广的商用密码算法。
21
③ P盒置换 将S-盒变换后的32比特数据再进行P盒置换,置 换后得到的32比特即为 f 函数的输出。
P
16 29 1 5 2 32 19 22 7 12 15 18 8 27 13 11 20 28 23 31 24 3 30 4 21 17 26 10 14 9 6 25
含义:P盒输出的第 个元是输入的第 个元。 含义 盒输出的第1个元是输入的第 个元。 盒输出的第 个元是输入的第16个元
DES的第 DES的第 i 圈加密结构图 Li-1(32位) f Ri-1(32位)
Ki
Li(32位)
Ri(32位)
16
DES的 变形函数 的 变形函数F
32位
E
48位
48位子密钥
⊕
S1 S2
S3
S4
S5
S6
S7
S8
P
17
① E盒扩展 盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特 数据
第3章 分组密码体制
13/129
当将若干P盒、S盒串联起来,组成乘积密码,即可使输 出成为输入非常复杂的函数。
0 S1 P1 11 S2 S3 S4 P2 S5 S6 S7 S8 P3 S9 S10 S11 S12 P4 11 0 输出
输入
图中第一站P1盒对12根输入线作变序处理,从理论上 讲第2站可以为一个S盒,由它把12bit数据替换为另外一个 12bit数据,但这样的S盒中需要212=4096根跨接线,为此可 将12bit分为4个3bit分组,各组独立地进行替换处理,从而 可减少S盒的复杂性。
理想的密码: 密文的任何一位均与明文的每一位相关;而明文的任何
一位的变化将影响到尽量多的密文。
w比特
Li w
Li 1 Ri
w比特
Ri w F Ki
Ri 1 Li F ( Ri , Ki )
网络结构特点: ① 输入为2w比特的分组(称为左半分组和 右半分组); ② 函数F用于产生扩散和扰乱作用,但并 不要求为可逆函数; ③ Ki为由密码密钥K生成的子密钥; ④ Feistel网络由n个基本结构单元构成 (但子密钥Ki互不相同)
四川大学电子信息学院
7/129
扩散原理与扰乱原理 为挫败统计分析,香农提出了两种实用的原则:扩散与扰乱 扩散原理(diffusion): 尽量将每一位明文和密钥的的影响尽可能迅速地分布到较多 的输出密文位中,以便隐藏明文的统计特性。 扩散的目的是希望密文的任一位Ci都尽可能与明文和密钥相 关联,或者说明文和密钥任一位上值的改变都会影响到Ci的值。
0 1 2 3 4 5 6 7
0 1 2 3 4 5 6 7
8-3 编 码 器
c2 c1 c0
S盒
DES分组密码体制
DES分组密码体制数据加密算法(DES)是由IBM公司于19世纪70年代早期开发的,后来在1977年由“美国国家标准局(NBS)”,即现在的“国家标准化和技术协会(NIST)”所采纳,并批准把它作为飞机要部门使用的资料加密标准。
自公布以来,DES便成为国际上商用保密通信盒计算机通信的最常用的加密算法。
当时规定DES的使用期限为10~15年,后来美国政府宣布延长它的使用期限,其原因有两条:一是DES当时尚未受到严重的威胁;二是一直没有新的资料加密算法问世。
DES在被采用后,大约每5年被评审一次。
DES的最后一次评审在1999年1月;这时它的一个替代品高级加密标准(Advanced Encryption Standand)已经开始使用了,这标志着DES即将退出历史舞台。
这样DES在国际通信保密的舞台上活跃了20余年的时间。
一、DES的特点描述DES的结构闪烁着人类设计思想的精华,其优点和缺点被密码学界淋漓尽致的讨论,以供后人借鉴。
可以说DES是当今研究的最彻底,理论最成熟的密码算法。
(1)DES在硬件中能比在软件中更有效地执行。
(2)DES使用了S盒,而S盒现在已经是几乎所有分组密码算法不可缺少的部分。
(3)DES轮函数结构是Feistel网络,这种结构现在已经是轮函数的经典结构之一。
(4)迭代分组密码是分组密码的主流设计。
(5)DES算法的第一个和最后一个部件都是公开的块置换,在已知明文攻击之下不起任何安全性作用。
以后设计的分组密码都纠正的这一缺点。
(6)DES的S盒设计细节始终没有公布,因此被人们怀疑设有陷门(即密码设计者为自己预留的破译信道)。
这种不透明的设计显然会影响其商业使用前景。
这一缺点引出了商用分组密码设计的一个准则——透明性,即密码的使用者能够确知该密码的安全强度。
二、DES算法描述1977年1月15日的联邦信息处理标准版46中(FIPS PUB46)给出了DES的完整描述。
DES 是一种特殊类型的迭代密码,称为Feistel型密码。
现代密码学_第四五讲 分组密码
循环左移
D1 (28位) (56位) 置换选择2 k1 (48位)
14 3 23 16 41 30 44 46
置换方法
17 28 19 7 52 40 49 42 11 15 12 27 31 51 39 50 24 6 4 20 37 45 56 36 1 21 26 13 47 33 34 29 5 10 8 2 55 48 53 32
20
迭代的轮数
分组密码一般采用简单的、安全性弱的密码函数进行多
轮迭代运算,使得安全性增强。一般来说,分组密码迭代轮 数越多,密码分析越困难,但也不是追求迭代轮数越多越好, 过多迭代轮数会使加解密算法的性能下降,而实际的安全性 增强不明显。 决定迭代轮数的准则:密码算法分析的难度大 于简单穷举搜索攻击的难度。分组密码迭代轮数一般采用8、 10、12、16、20的居多。
循环左移
C16 (28位)
循环左移
C16 (28位) (56位) 置换选择2 k16 (48位)
注:去掉9,18,22,25,35,38, 43,54位
注:密钥各位在子密钥出现次数基本相同(12次至15次),平均次数为13.7
30
压缩替代S-盒(48位压缩到32位)
48比特
6比特 6比特 6比特 6比特 6比特 6比特 6比特 6比特
考虑,通常密钥长度t不能太大。当然,密钥长度t不能太小,
否则,难以抵抗对密钥的穷举搜索攻击。
7
分组密码的要求
分组长度要足够大 密钥量要足够大
当分组长度较小时,攻击者通过 穷举明文空间,得到密码变换规 律,难于抵御选择明文攻击。
密码变换足够复杂
加密和解密运算简单 无数据扩展或压缩
21
分组密码加密算法的常见算法结构
分组密码加密算法的常见算法结构随着计算机技术的不断发展,信息安全问题也越来越受到关注。
在信息传输过程中,数据的加密是保障信息安全的重要手段之一。
分组密码加密算法是一种常见的加密算法,它将明文数据分成若干个固定长度的分组,通过对每个分组进行加密来实现整个消息的加密。
本文将介绍分组密码加密算法的常见算法结构,以及它们的优缺点和应用场景。
1. 基本结构分组密码加密算法的基本结构由两个部分组成:明文分组和密文分组。
明文分组是指明文数据被分割成固定长度的块,每个块长度通常为64位或128位。
密文分组是指加密后的明文分组,长度与明文分组一致。
加密算法的核心是将明文分组转换为密文分组,这个过程称为加密。
解密的过程是将密文分组转换为明文分组。
分组密码加密算法的常见算法结构包括:ECB、CBC、CFB和OFB。
这些算法结构在加密和解密过程中采用不同的方式来处理明文和密文分组。
2. ECB模式ECB(Electronic Codebook)模式是最简单的分组密码加密算法结构,它将每个明文分组单独加密,得到对应的密文分组。
每个明文分组之间是独立的,因此ECB模式无法处理明文分组之间的关系。
这种模式的缺点是,它容易受到重放攻击,即攻击者可以拦截并重复发送相同的密文分组,从而获得明文数据。
ECB模式的优点是加密和解密过程简单,可以并行处理多个分组。
它适用于每个明文分组的安全性要求不高的情况,例如对称密钥的传输和存储。
3. CBC模式CBC(Cipher Block Chaining)模式是一种常见的分组密码加密算法结构,它采用前一个密文分组来加密当前的明文分组。
具体地,在加密过程中,首先将前一个密文分组和当前明文分组进行异或运算,得到一个新的数据块,然后对这个新数据块进行加密。
解密过程与加密过程相反,将密文分组解密后再与前一个密文分组进行异或运算,得到对应的明文分组。
CBC模式的优点是可以处理明文分组之间的关系,提高安全性。
第5讲第6讲——分组密码的设计原则
k1
S S
k2
SP…… ……kt NhomakorabeaS
S
P
S
S
S
P
……
S
w0←x for r←1 to t-1 do { ur wr 1 kr //ur是该圈S盒的输入 for i←1 to m i i vr s (ur ) //vr是S盒的输出 {do }
wr p (vr )
法、乘法、移位 )
三、分组密码的设计方法
如何设计分组密码算法才能保证其 实现足够的混乱和扩散?
Shannon提出的乘积密码的思想: 通过将一个弱的密码函数迭代若干次,
产生一个强的密码函数。
乘积密码指顺序地执行两个或多个基本密码系 统,使得最后结果的密码强度高于每个基本密 码系统产生的结果.
一、乘积密码
第3章 分组密码体制
3.1 分组密码概述及设计原则 3.2 数据加密标准 3.3 分组密码的运行模式 3.4 AES算法
3.1 分组密码概述及设计原则
主要内容:混乱原则、扩散原则,乘 积密码, S-P网络,Feistel模型 重点:乘积密码,迭代密码, SP网络, Feistel网络。 难点:混乱和扩散。
• 要求密文应当是明文和密钥的足够复杂 的函数,使得攻击者利用各种代数方法 都无法计算出密钥和明文的任何信息! • 密文与其对应的明文和密钥之间不存在 任何形式的统计相关性 !
扩散原则(Diffusion) 目的:在密文中隐蔽明文的统计特性! 扩散原则要求每个明文比特和密钥比特影响 尽可能多的密文比特,或者说让密文中的每一 位都受到明文和密钥中的尽可能多位的影响, 以隐蔽明文的统计特性和结构规律,(即将明 文的统计特性散布到密文中去)。
分组密码体制
两个基本设计方法
由于对称分组密码的缺点是不善于隐藏明文的 统计特性,因而对“统计分析”攻击方式的抵御能 力不强,故Shannon提出了两个抵抗“统计分析” 的方法:混淆和扩散。
◆混淆:目的是为了隐藏明文和密文之间的关系,增加密 钥和密文之间关系的复杂性。可以使用“代替”的方法 来实现。
◆扩散:目的是让密文没有统计特征,也就是将明文中的 统计信息散布到整个密文中,增加密文与明文之间关系 的复杂性,以挫败推测出密钥的尝试。可以使用“置换” 的方法来实现。
对于给定的64位的明文p,通过初始置换IP获得64位的 p320,位并记将为pR00分,为即左p0右=I两P(部p)=分L,0R前0。面IP32置位换记如为图L所0,示后。面
置换表中的数字1~64代表的仅仅是明文 分组中元素所处的位置,而非元素的值!
• 第四步:初始逆置换IP-1 应用初始逆置换IP-1对最后一轮迭代之后得到 的R16L16进行置换,得到密文C。
• 分组加密算法本质上体现了n位明文分组和n位密文分组的一一 映射。
• 分组大小n的选择
1“)统如计果分n较析一码小”般,,方的不则法,同得的对变到攻于换的击的n明。位总文分数空组为间的(和2对n密)!称,文分也空组就间密是有限,容易受到 2)如果n充说分,大密,钥则的由个于数得为到(的2n明)!个文。空间和密文空间足够大, 明文的统计特征将被掩盖,可以抵抗“统计分析”方法的攻击 ;但同时也将导致密钥数目的急剧增加和密钥空间的急剧增大 ,这会给密钥的分配、管理和存储带来很大的困难。
Feistel 密码结构
DES算法的整体结构 ——Feistel密码结构
• 每一轮的迭代算法 加密:对于每一轮 i=1,2,...,n,新 的左右部分根据如下规则重新
分组密码的工作模式及其特点
分组密码的工作模式及其特点第一章分组密码1.1节分组密码的简述分组密码是将明文编码表示后的数字序列划分成长为m组,各组分别在密码的控制下加密成密文。
在相同的密钥下,通常得到的是与明文等长的密文分组,所以只需要研究任一祖的明文数字的变换规则。
这种密码实质上是字长为m的数字序列的代换密码。
1.2节分组密码简单模型1.3节分组密码的工作模型分类根据不同的应用环境,需要对分组密码的加密方式做一些修改,用来增强密码的安全性和适应性。
常见的工作模式包括:分组模式:电码本模式(EBC)密码分组连接模式(CBC)序列模式:输出反馈模式(OFB)密码反馈模式(CFB)计数器模式(CTR)1.4节分组密码的特点分组密码加解密速度较快。
明文,密文组长度为m,密文长度为t,密钥量为2 。
密文中的任意一位数字与该组明文所有数字均有关。
每组明文使用相同的密钥加密。
1.5节分组密码算法的问题和对策分组长度足够大问题:代换网络十分复杂,难以控制与实现。
对策:将分组划分为几个小段,分别设计这些小段的代换网络。
密钥量足够大问题:密码系统十分复杂,同样难以控制与实现。
对策:概率加权法:设计多个子系统,使用时随机抽取。
乘积密码法:设计多个子系统,对明文进行多次加密。
密码变换足够复杂问题:抗统计破译法的要求,难以简单实现。
对策:扩散法:将每一位明文和密钥数字的影响扩散到每一位密文数字。
混淆法:使明文与密文、密钥的统计特性复杂化。
第二章分组密码的工作模式2.1节分组密码的工作模式的简述分组模式的工作模式是指以某个分组密码算法为基础,来解决任意长度的明文的加密问题的方法。
从本质上来说,为了使算法更适应具体的应用的一种技术。
分组密码的工作模式:电码本模式(EBC);密码分组连接模式(CBC);输出反馈模式(OFB);密码反馈模式(CFB);计数器模式(CTR)这五种工作模式适用于不同的应用需求。
电码本模式(EBC)1.定义:ECB模式是将明文的各个分组独立地使用同一密钥加密,互不影响,最后统一拼接在一起,2.优点:(1)最简单,最直接的分组密码工作模式。
安全分组密码的工作模式
VS
叨
叨 叨 st
a
how 的确 these 在此 st on
01
02
03
!! 巫
掏`` st st above
it onthe`` that that, among this on on on on on, on the on萜!,!the
01
on on, as, among too on the for the for the on on, that on,theonthe too on the on the, that on叨`` has, for the member...
02
on`` for.,还行 全员 stith that st too: the OnWist too st too st too member being for how said too vis a- among,, like taken``!! said indeed), “
03
though the st have said sp and for too! said said has that17... real... for how shows these ... that show how... kind too, among as is...!, like these sm
通信安全
分组密码用于加密通信过程中的数据,确保信息传输的机密性和完整性。
存储安全
在数据存储场景中,分组密码用于加密敏感数据,防止未经授权的访问和数据泄露。
身份认证
分组密码也用于身份认证过程,通过加密和验证加密数据的完整性来确认用户身份。
02
分组密码的基本原理
应用密码学第3章分组密码体制
第3章 分组密码体制
(2)密钥量足够大,同时需要尽可能消除弱密钥的使用,
防止密钥穷举攻击,但是由于对称密码体制存在密钥管理问 题,密钥也不能过大。 (3)密钥变换足够复杂,能抵抗各种已知攻击,如差 分攻击、线性攻击、边信道攻击等,即使得攻击者除了穷举 攻击外找不到其它有效的攻击方法。 (4)加密和解密的运算简单,易于软硬件高速实现。 (5)数据扩展足够小,一般无数据扩展。 (6)差错传播尽可能小,加密或解密某明文或密文分 组出错,对后续密文解密的影响也尽可能小。
第3章 分组密码体制
3.Feistel解密结构
如图3-5所示,左边为Feistel加密过程,右边为Feistel 解密过程。从图中可以看出,Feistel解码过程所在的变换与 加密过程完全一样,只是算法的输入不一样。加密输入的数 据为明文,子密钥的顺序为K1,K2,…,Kr-1,Kr,而Feistel解密 过程输入的数据为密文,子密钥的顺序与加密过程刚好相反, 为Kr,Kr-1,…,K2,K1。因此采用Feistel网络结构设计分组密码 算法,加解密可采用同一种算法。
3.6 其他典型的对称密码体制简介
3.7 对称密码体制的工作模式 3.8 对称密码算法的应用
第3章 分组密码体制
3.1
分组密码概述
分组密码是一种广泛使用的对称密码。和对称密码中的
序列密码(流密码stream cipher)不同,分组密码在加密过程 中不是将明文按字符逐位加密,而是首先要将待加密的明文
第3章 分组密码体制
1. 初始置换(IP)
首先输入的64比特的明文块为 0110001101101111011011010111000001110101011101000110 010101110010,按照初始置换(IP)表进行置换,DES的初始 置换表如图3-7所示。
密码学分组密码
13 9
14 0
175 ÷÷÷÷÷
2. 扩散和混淆
扩散和混淆是Shannon提出的设计密码系统的两个基本的 方法,目的是抵抗敌手对密码系统的统计分析。
扩散:就是将明文的统计特性散布到密文中,实现的方法是 使明文的每一位影响密文的多位,等价于说密文的每一位 均受明文中的多位影响。目的是使明文和密文的统计关系 变得尽可能的复杂,使敌手无法得到明文(密文)。
63 64
40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25
E 输出的 48 比特与子密钥异或后,顺序分成 8 组,每组 6 比特,分别通过 S1,S2,…,S8 盒后又缩为 32 比特,即每盒输入为 6比特,输
出为 4 比特。 设 Si 盒的 6 个输入端为 b1 b2 b3 b4 b5
b6,在 Si 表中找出 b1 b6 行,b2 b3 b4 b5 列
的元素:Si ( b1 b6, b2 b3 b4 b5 ) 便是 Si
为了保证一个分组密码算法的有效性——安全、易于实 施。分组密码算法应满足以下要求:
1. 分组n足够大,使得明文空间足够大,防止明文穷举攻 击法奏效。
2. 密钥量足够大,尽可能消除弱密钥,使得所有密钥都一 样好,防止对密钥的穷举攻击成功。
3. 由密钥确定的算法要足够的复杂,充分实现明文与密钥 的扩散和混乱,使得算法能抵抗各种攻击。
第三章 分组密码体制
第3章-分组密码体制(new)
图3.1 分组密码框图
分组密码实质上是字长为n的数字序列的代换密码。
与流密码比较:
与一组长为n的明文数字有关。
在相同密钥下,对长为n的输入明文组所实施的变换是 等同的,所以只需研究对任一组明文数字的变换规则。 用途: 易于构造伪随机数生成器、流密码、消息认证码 (MAC)和杂凑函数等, 消息认证技术、数据完整性机制、实体认证协议以及
价值20万美元的计算机改装成的专用解密机,用56小时破译了56 比特密钥
的DES。 美国国家标准和技术协会(NIST)已征集并进行了几轮评估、筛选,产
生了称之为AES(advanced encryption standard) 的新加密标准。
尽管如此,DES对于推动密码理论的发展和应用毕竟起了重大作用, 对于掌握分组密码的基本理论、设计思想和实际应用仍然有着重要的参考
单钥数字签字体制的核心组成部分。
对分组密码的要求:
安全性、运行速度、存储量(程序的长度、数据分组
长度、高速缓存大小)、实现平台(硬件、软件、芯片)、
运行模式等。 需要与安全性要求之间进行适当的折中选择。
通常取m=n。
若m>n,则为有数据扩展的分组密码; 若m<n,则为有数据压缩的分组密码。 在二元情况下,x和y均为二元数字序列,它们的每个分量 xi,yi∈GF(2)。
采用DES,于是便使用Feistel 网络作为DES 的要素之一。
思想:利用乘积密码可获得简单的代换密码,乘积密 码指顺序地执行两个或多个基本密码系统,使得最后结果 的密码强度高于每个基本密码系统。 Shannon提出的利用乘积密码实现混淆和扩散思想的 具体应用
1.Feistel加密结构
输入:长为2w的明文,分成左右 两半L0和R0,一个密钥K。 在进行完n轮迭代后,左右两半 再合并到一起以产生密文分组。 第i轮迭代的输入为前一轮输出 的函数:
分组密码体制分组密码概述
64bits
4
注意事项
从这章开始,假定加密和认证的文本、图像、音频 等任何格式的原声信息,都存在相应的编码方式, 转话为二进制的数据流。在具体算法中,表示为 messag={0,1}*
1M的大小文件多少bit?若分组密码每组分块长度 为64bits,则1M大小文件需要分成多少块?
1M= 1024*1024*8 bits = 2 23 bits
7
分组密码的发展历史
民用 不存在陷门 足够的安全强度 标准化通信需求
8
分组密码的发展历史
1973年5月美国联邦政府提出征求在传输和存储数据 中保护计算机数据的密码算法的建议;
1975年3月,美国国家标准局(NBS) 首次公布IBM公 司提出的算法Lucifer中选;
1977年1月NBS正式向社会公布,采纳IBM公司设计 的方案作为非机密数据的数据加密标准 (Data Encryption Standard). DES正式成为美国联邦政府 信息处理标准,即FIPS-46标准,同年7月开始生 效。
5
分组密码的定义
定义 一个分组密码体制(P, K, C, E, D),其中 P=C={0,1}l ;K={0,1}t.
加密变换: E:P×K→C, 当k ∈K确定时,Ek 为P →C的一一映射.
解密变换: D: C×K →P, 当k ∈K确定时,Dk 为C →P的一一映射.
D ·E =I k=(k0,k1,…,kt-1)
3
分组密码定义
若分组密码明文块长度为64bits
64bits 明文 students
64bits computer
64bits learning
64bits are this
加密
第8次课 分组密码体制-des
穷举攻击分析
穷举攻击就是对所有可能的密钥逐个进行 脱密测试, 直到找到正确密钥为止的一种攻击 方法.
穷举攻击判断正确密钥的方法:
将利用试验密钥解密得到的可能明文与已 掌握的明文的信息相比较,并将最吻合的那个 试验密钥作为算法输出的正确密钥。
2020/1/6
26
穷举攻击的算法
已知条件:已知密文c及对应的明文m.
度为56 bits。 算法主要包括:初始置换IP、16轮迭代的乘积变换、
逆初始置换IP-1以及16个子密钥产生器。
2020/1/6
9
DES加密算法框图
16轮迭代 的乘积变换
2020/1/6
子密钥产生器
10
DES算法框图
输入 64 bit明文数据
标
初始置换IP
准
数
乘积变换
据
(16轮迭代)
加 密
密钥(64 bit )
除去第8,16, ,64位(8个校验位)
置换选择1,PC1
Ci(28 bit)
Di(28 bit)
循环左移ti+1bit
循环左移ti+1bit
置换选择2,PC2
ki
2020/1/6
23
置换选择1
57 49 41 33 25 17 9 1 58 50 42PC-134 26 18 10 2 59 51 43 35 27 19 11 3 60 50 44 36 5 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
3
15 12 8 2 4 9 1 7 5 11 2 14 10 0 6 13
第3章02--分组密码体制(DES)
10 11 12 13
12 13 14 15 16 17 16 17 18 19 20 21
20 21 22 23 24 25
24 25 26 27 28 29 28 29 30 31 32 1
16
密钥加密运算
将子密钥产生器输出的48 bit子密 钥ki 与选择扩展运算E输出的48 bits 数据按位模2相加。
26
穷举攻击算法的计算复杂性
定理 设密钥在密钥空间K中服从均匀分布, 且没有等效密钥,则穷举攻击平均需要检 K 个密钥后才找到正确密钥。 1 验完
2 2
结论: 对DES算法的穷举攻击平均计算复杂 性为255.
27
讨论:使用二重DES产生的映射是否等价于单 重DES加密?
二重DES
k2 yi yi D
31
30 29 28 27 26 25
38 37 36 35 34 33
初始置换IP
将64 bit明文的位置进行置换,得到一个乱序 的64 bit明文组,而后分成左右两段,每段为 32 bit,以L0和R0表示,IP中各列元素位置号 数相差为8。
逆初始置换IP-1。将16轮迭代后给出的64 bit组 进行置换,得到输出的密文组。输出为阵中元 素按行读得的结果。 IP和 IP-1 在密码意义上作用不大,它们的作用 在于打乱原来输入x的ASCII码字划分的关系。
算法主要包括:初始置换IP、16轮迭代的乘积变换、 逆初始置换IP-1以及16个子密钥产生器。
8
DES加密算法框图
16轮迭代 的乘积变换
子密钥产生器
9
DES算法框图
输入 64 bit明文数据
分组密码体制简介
2 加、解密过程
在每一轮中,执行的顺序如下: (1)X1和第一个子密钥相乘。 (2)x2和第二个子密钥相加。 (3)X3和第三个子密钥相加。 (4)x4和第四个子密钥相乘。 (5)将第(1)步和第(3)步的结果相异或。 . (6)将第(2)步和第(4)步的结果相异或。 (7)将第(5)步的结果与第五个子密钥相乘。 (8)将第(6)步和第(7)步的结果相加。 (9)将第(8)步的结果与第六个子密钥相乘。 (10)将第(7)步和第(9)步的结果相加。 (11)将第(1)步和第(9)步的结果相异或。 (12)将第(3)步和第(9)步的结果相异或。 (13)将第(2)步和第(10)步的结果相异或。 (14)将第(4)步和第(10)步的结果相异或。
IDEA加密算法简介
IDEA(International Data Encryption Algorithm)在密码学 中属于数据块加密算法(Block Cipher)类。IDEA使用长度为 128bit的密钥,数据块大小为 64bit。从理论上讲,IDEA属于 “强”加密算法,至今还没有出 现对该算法的有效攻击算法。
IDEA曾今也是AES算法标准的主 要竞争者,其安全性已经在国际 密码年会上被证明。
在PGP(pretty good privacy)中, IDEA算法被采用。
在1997年的EuroCrypt’97年会上,John Borst等人提出了对圈数减少的IDEA的两种 攻击算法:对3.5圈IDEA的截短差分攻击 (Truncate Diffrential Attack)和对3圈 IDEA的差分线性攻击(Diffrential Linear Attack)。但作者也同时指出,这两种攻击 算法对整8.5圈的IDEA算法不可能取得实质 性的攻击效果。目前尚未出现新的攻击算法, 一般认为攻击整8.5圈IDEA算法唯一有效的 方法是穷尽搜索128bit的密钥空间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
分组密码体制简介
分组密码体制也具有简捷、快速的特点,并且容易标准化,使其成为软硬件加密的主流算法。
目前主流的分组密码有:DES、IDEA…… .
1.分组密码的特点
与序列密码不同,分组密码是将明文序列划分成等长的分组(Block),对每一组用同一加密算法和同一密钥进行加密。
分组密码有其自身的优点,首先分组密码容易被标准化,因为在今天的数据网络通信中,信息通常是被成块的处理和传输的。
其次,使用分组赌东道密码容易实现同步,因为一个密码组的传输错误不会影响到其它的分组,丢失一个密文组不会对随后组的解密产生影响。
这就是说,传输错误不会扩散。
而这些方面恰恰是序列密码的最大缺点。
分组密码与序列密码相比的一个缺点就是算法庞大一些,需要更多的计算资源。
分组密码的另一大缺点是其安全性很难被证明。
尽管“可证明安全性”的研究发展很快,但目前的分组密码大多是“看来安全的”,还没有一个分组密码被证明是真正安全的,至多证明了局部安全性。
这其中的原因是:因商业化而要求分组密码算法的细节全部暴露,因此对分组密码的攻击类型很多,安全性概念也就很多,有人为了统一这些安全性概念,甚至引入了伪随机性和超伪随机性,它们是用概率图灵机来描述的,在实际设计和分析中很难应用。
2.分组密码的设计准则
一、安全性准则
对以下的安全性的描述总是基于以下的假设:加密体制(包括算法的细节)是公开的;安全性完全依赖于密钥;信道是不安全的,即攻击者可以任意的截取密文;攻击者有时也可以截取一些“废弃”的明文。
(1)分组长度和密钥长度:当明文分组长度为n比特时,至多需要2n个明文-密文对就可以彻底破解密钥。
同理当密钥长度为n比特时,对一个截获的密文,至多需要试验2n个密钥就可以破解了密文。
因此从安全性角度来考虑,明文分组长度的密钥长度因尽可能的大。
(2)混淆性:所设计的密码应使得明文、密文、密钥之间的依赖关系相当复杂,以至于这种依赖关系对密码分析者来说是无法利用的。
密码分析者利用这种依赖关系的方法非常多,比如差分密码分析、线性密码分析等,因此混淆性也是一个非常重要的原则。
(3)扩散性:所设计的密码应使得密钥的每一位数字影响密文的许多位数字,以防止对密钥的逐段破解;明文的每一位数字也影响密文的许多位数字,以便最充分的隐藏明文的统计特征。
对扩散性可以有许多种理解,比如“粘连性”指的是明文、密文、密钥每一位都互相依赖;“不连续性”或“雪崩性”指的是当改变明文的任何一个比特时,对应密文改变的比特的个数应是一个随机变量,其平均值是分组长度的一半。
(4)非线性度(抗线性密码分析强度):这一项属于混淆性。
有一个基本数学原理:如果明文和密文的关系是n维线性关系,且系数是密钥,则n个明文-密文对(而不是2n个)就可以破解密钥;如果明文与密文的关系是n维r次函数关系,且系数是密钥,则n r个明文-密文对就可以破解密钥;如果虽然次数r较大,但明文与密文的关系“非常逼近”一个n
维线性关系,则n个明文-密文对就可以“基本上”破解密钥。
这就是线性密码分析的思想,抗线性密码分析的强度就是非线性度。
(5)抗差分密码分析强度:这一项也属于混淆性。
如果明文差分与密文差分的关系比较简单,则可以进行差分密码分析,这种分析或许能部分的解密密钥。
(6)安全强度的稳定性:
还可以给出许多有关安全性的概念。
概括地说安全性就是从任何角度都难以攻破。
其中两个最重要的角度是:①对于一个正在使用的加密算法,即使攻击者获得“许多”精心选择的明文-密文对,他仍无法“接近”密钥,即可以抵抗选择明文攻击。
②即使攻击者获得“许多”精心选择的明文-密文对,他仍无法“接近”任一个新密文所对应的明文。
这里使用的“明文、密文、密码之间的依赖关系”这个术语,传统上的依赖关系是指函数关系和统计关系。
从安全性出发,希望函数关系尽可能复杂,其含义是使得精确破译尽可能困难;希望统计关系尽可能复杂,其含义是使得逼近破译尽可能困难。
二、简捷性准则
简捷性指的是分组密码算法在满足安全性要求的同时尽可能的简单快速。
如果分组密码算法用软件来实现,则要求子块长度尽可能自然的适应软件编程,比如8,16,32,64比特等。
在软件实现中,按比特置换通常是难以实现的,因此应该尽量避免使用它。
子块上的运算应该是易于软件实现的运算,最好使用一些标准的处理器所具有的一些基本指令,比如加法、乘法、移位等。
如果分组密码算法用硬件来实现,则尽量使用规则结构,以便用超大规模集成电路(VLSI)来实现。
三、有效性准则
四、透明性和灵活性准则
透明性即要求算法是可证明安全的。
如果使用迭代分组密码,其安全强度于迭代次数的关系尽可能明确和容易分析。
这就要求算法尽可能使用通用的部件,避免黑盒。
灵活性即要求算法的实现可以适应多种计算环境;明文分组长度可以伸缩;算法可以移植和变形。
五、加解密相似性准则
加解密相似即加密算法和解密算法相同,仅仅密钥的编排不同。
这就是说,如果记E(·,k)和D(·,k)为使用密钥k的加密算法和加密算法,则对于任意密钥k,存在密钥k*,使得D(·,k)=E(·,k*)。
加解密相似性的好处是大大节省存储空间和其它计算资源,并大幅降低成本。
这也是分组密码设计所追求的一个方向。
六、关于密钥的长度
对于密钥长度的各种要求是相互矛盾的。
安全性要求长的密钥,特别是多轮迭代分组密码需要很长的密钥;而简捷性和密钥本身的保密性要求密钥尽量的短。
在分组密码算法中通常的做法是:通信双方共享一个短密钥,成为密钥种子,实际加密时用一个公开的扩散算法将种子扩散成足够长的密钥。
因此有以下的考虑:
①对手未知的只是密钥种子,过短的密钥会使穷举密钥攻击成为可能;
②一个密钥扩散算法实际上是一个伪随机序列发生器,改发生器的优劣对分组密码的安全性优一定的影响。
一般认为只要分组密码算法本身足够坚强,密钥扩散算法并不太重要。
不过仍有针对密钥扩散算法的弱点进行的攻击,称为“密钥相关攻击”。
通常的密钥扩散算法是附属于密钥算法的,利用分组密码算法的某些运算部件简单的搭建而成,当然不能指望所生成的密钥具有序列密码一样的安全性,但为抵抗密钥的相关性攻击,希望所生成的密钥的任一个比特依赖于密钥种子的每一个比特
总之,以上的各设计准则中,安全性是第一位的。