杨波,_《现代密码学(第2版)》第三章 3.5节
现代密码学杨波课后习题讲解
选择两个不同的大素数p和q, 计算n=p*q和φ(n)=(p-1)*(q-1)。 选择整数e,使得1<e<φ(n)且e 与φ(n)互质。计算d,使得 d*e≡1(mod φ(n))。公钥为 (n,e),私钥为(n,d)。
将明文信息M(M<n)加密为 密文C,加密公式为 C=M^e(mod n)。
将密文C解密为明文信息M,解 密公式为M=C^d(mod n)。
课程特点
杨波教授的现代密码学课程系统介绍了密码学的基本原 理、核心算法和最新进展。课程注重理论与实践相结合, 通过大量的案例分析和编程实践,帮助学生深入理解和 掌握密码学的精髓。
课后习题的目的与意义
01 巩固课堂知识
课后习题是对课堂知识的有效补充和延伸,通过 解题可以帮助学生加深对课堂内容的理解和记忆。
不要重复使用密码
避免在多个账户或应用中使用相同的密码, 以减少被攻击的风险。
注意网络钓鱼和诈骗邮件
数字签名与认证技术习题讲
05
解
数字签名基本概念和原理
数字签名的定义
数字签名的应用场景
数字签名是一种用于验证数字文档或 电子交易真实性和完整性的加密技术。
电子商务、电子政务、电子合同、软 件分发等。
数字签名的基本原理
利用公钥密码学中的私钥对消息进行签 名,公钥用于验证签名的正确性。签名 过程具有不可抵赖性和不可伪造性。
Diffie-Hellman密钥交换协议分析
Diffie-Hellman密钥交换协议的原理
该协议利用数学上的离散对数问题,使得两个通信双方可以在不安全的通信通道上协商出一个共 享的密钥。
Diffie-Hellman密钥交换协议的安全性
该协议在理论上被证明是安全的,可以抵抗被动攻击和中间人攻击。
《现代密码学(第2版)杨波 01
保密通信系统的组成
明文消息空间M,密文消息空间C,密钥空间 K1和K2,在单钥体制下K1=K2=K,此时密钥K需 经安全的密钥信道由发送方传给接收方; 加密变换Ek1:M→C,其中k1∈K1,由加密器 完成; 解密变换Dk2:C→M,其中k2∈K2,由解密器 实现. 称总体(M,C,K1,K2,EK1,DK2)为保密通信系统.对 于给定明文消息m∈M,密钥k1∈K1,加密变 换将明文m变换为密文c,即 c=f(m,k )=E (m)m∈M,k ∈K
20世纪90年代,因特网爆炸性的发展把人类 带进了一个新的生存空间.因特网具有高度 分布,边界模糊,层次欠清,动态演化,而 用户又在其中扮演主角的特点,如何处理好 这一复杂而又巨大的系统的安全,成为信息 安全的主要问题.由于因特网的全球性,开 放性,无缝连通性,共享性,动态性发展, 使得任何人都可以自由地接入,其中有善者, 也有恶者.恶者会采用各种攻击手段进行破 坏活动.
如何产生满足保密要求的密钥以及如何将密 钥安全可靠地分配给通信双方是这类体制设 计和实现的主要课题. 密钥产生,分配,存储,销毁等问题,统称 为密钥管理.这是影响系统安全的关键因素. 单钥体制可用于数据加密,也可用于消息的 认证. 单钥体制有两种加密方式:
– 明文消息按字符(如二元数字)逐位地加密,称 之为流密码; – 将明文消息分组(含有多个字符),逐组地进行 加密,称之为分组密码.
在信息传输和处理系统中,除了预定的接收 者外,还有非授权者,他们通过各种办法 (如搭线窃听,电磁窃听,声音窃听等)来 窃取机密信息,称其为截收者. 截收者虽然不知道系统所用的密钥,但通过 分析可能从截获的密文推断出原来的明文或 密钥,这一过程称为密码分析,ห้องสมุดไป่ตู้事这一工 作的人称为密码分析员,研究如何从密文推 演出明文,密钥或解密算法的学问称为密码 分析学.
现代密码学 课后答案 第二版
f)反馈移位寄存器输出序列生成过程中,对输出序列周期长度起着决定性的作用,而对输出的序列起着决定性的作用。
g)选择合适的n级线性反馈函数可使序列的周期达到最大值2的n次方-1,并具有m序列特性,但敌手知道一段长为n的明密文对时即能破译这n级线性反馈函数。
2.经典的信息安全三要素--机密性,完整性和可用性,是信息安全的核心原则。
3.根据对信息流造成的影响,可以把攻击分为5类中断、截取、篡改、伪造和重放,进一步可概括为两类主动攻击和被动攻击。
4.1949年,香农发表《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成为了一门学科。
5.密码学的发展大致经历了两个阶段:传统密码学和现代密码学。
6.1984年,Shamir提出了一种基于身份的加密方案IBE的思想,方案中不使用任何证书,直接将用户的身份作为公钥,以此来简化公钥基础设施PKI中基于公钥证书维护的过程。
4.10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。
第三章
5.判断
6.选择题
7.填空题
a)在1949年香农发表《保密系统的通信理论》之前,密码学算法主要通过字符间的简单置换和代换实现,一般认为密码体制属于传统密码学范畴。
b)传统密码体制主要有两种,分别是指置换密码和代换密码。
c)置换密码又叫换位密码,最常见的置换密码有列置换和周期转置换密码。
6.1976年,W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
7.密码学的发展过程中,两个质的飞跃分别指1949年香农发表的《保密系统的通信理论》和1978年,Rivest,Shamir和Adleman提出RSA公钥密码体制。
杨波, 《现代密码学(第2版)》02
• 初始状态由用户确定。 • 当第i个移位时钟脉冲到来时,每一级存储器ai都将 其内容向下一级ai-1传递,并计算f(a1,a2,…,an)作为 下一时刻的an。 • 反馈函数f(a1,a2,…,an)是n元布尔函数,即n个变元 a1,a2,…,an可以独立地取0和1这两个可能的值,函数 中的运算有逻辑与、逻辑或、逻辑补等运算,最后 的函数值也为0或1。
例2.3 图2.11是一个5级线性反馈移位寄存器,其 初始状态为(a1,a2,a3,a4,a5)=(1,0,0,1,1),可求出输 出序列为: 1001101001000010101110110001111100110… 周期为31。
图2.11 一个5级线性反馈移位寄存器
n级线性反馈移位寄存器的状态周期小于等于2n-1。 输出序列的周期与状态周期相等,也小于等于2n-1。
又由p(x)A(x)=φ(x)可得p(x)q(x)A(x)=φ(x)q(x)。
所以(xp-1)A(x)=φ(x)q(x)。 由于q(x)的次数为 p-n,φ(x)的次数不超过n-1,
所以(xp-1)A(x)的次数不超过(p-n)+(n-1)=p-1。
将(xp-1)A(x)写成 xp A(x)- A(x),可看出对于任意正整 数i都有ai+p=ai。 设p=kr+t, 0≤t<r,则ai+p=ai+kr+t=ai+t=ai,所以t=0,即 r | p。(证毕)
分组密码与流密码的区别就在于有无记忆性。 流密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指定 的初态σ0完全确定。 由于输入加密器的明文可能影响加密器中内部记忆 元件的存储状态,σi(i>0)可能依赖于k,σ0,x0, x1,…,xi-1等参数。
现代密码学 课后答案 第二版
5.Rabin公钥密码体制是1979你M.O.Rabin在论文《Digital Signature Public-Key as Factorization》中提出的一种新的公钥密码体制,它是基于合数模下求解平方根的困难性(等价于分解大整数)构造的一种公钥密码体制。
4.1949年,香农发表《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成为了一门学科。
5.密码学的发展大致经历了两个阶段:传统密码学和现代密码学。
6.1976年,W.Diffie和M.Hellman在《密码学的新方向》一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。
7.密码学的发展过程中,两个质的飞跃分别指1949年香农发表的《保密系统的通信理论》和1978年,Rivest,Shamir和Adleman提出RSA公钥密码体制。
现代密码学教程 第二版
谷利泽 郑世慧 杨义先
欢迎私信指正,共同奉献
第一章
1.判断题
2.选择题
3.填空题
1.信息安全的主要目标是指机密性、完整性、可用性、认证性和不可否认性。
2.经典的信息安全三要素--机密性,完整性和可用性,是信息安全的核心原则。
3.根据对信息流造成的影响,可以把攻击分为5类中断、截取、篡改、伪造和重放,进一步可概括为两类主动攻击和被动攻击。
h)门限发生器要求:LFSR的数目是奇数,确信所有的LFSR的长度互素,且所有的反馈多项式都是本原的,这样可达到最大周期。
第六章
1.判断题
答案:√√X√√ √√X*√ √X√√*
现代密码学(第二版)重点概念整理
现代密码学(第⼆版)重点概念整理第⼀章1.被动攻击获取消息的真实内容进⾏业务流分析2.主动攻击中断、篡改、伪造3.安全业务1、保密业务:保护数据以防被动攻击。
2、认证业务:⽤于保证通信的真实性。
3、完整性业务:防⽌对消息流的篡改和业务拒绝。
4、不可否认业务:⽤于防⽌通信双⽅中的某⼀⽅对所传输消息的否认。
5、访问控制:访问控制的⽬的是防⽌对⽹络资源的⾮授权访问,控制的实现⽅式是认证,即检查欲访问某⼀资源的⽤户是否具有访问权。
4.安全通信需考虑加密算法⽤于加密的秘密信息秘密信息的分布与共享安全服务所需的协议5.信息安全可分为系统安全、数据安全、内容安全,密码技术是保障数据安全的关键技术。
6.密码体制从原理上分为单钥体制和双钥体制,单钥体制包括对明⽂消息按字符逐位加密的流密码和将明⽂消息分组加密的分组密码。
双钥特点是将加密和解密能⼒分开。
7.密码攻击类型唯密⽂攻击、已知明⽂攻击、选择明⽂攻击、选择密⽂攻击8.加密算法是⽆条件安全的,仅当密钥⾄少和明⽂⼀样长时,才能达到⽆条件安全9.多表代换密码的计算问题,课后习题3、4第⼆章1.流密码的概念:利⽤密钥k产⽣⼀个密钥流z=z0z1…,并使⽤如下规则对明⽂串x=x0x1x2…加密:y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。
密钥流由密钥流发⽣器f产⽣:zi=f(k,σi),σi:加密器中的记忆元件(存储器)在时刻i的状态,f:由密钥k和σi产⽣的函数。
2.分组密码与流密码的区别: 有⽆记忆性3.密码设计者的最⼤愿望是设计出⼀个滚动密钥⽣成器,使得密钥经其扩展成的密钥流序列具有如下性质:极⼤的周期、良好的统计特性、抗线性分析、抗统计分析4.同步流密码的关键是密钥流产⽣器。
5.如果移位寄存器的反馈函数f(a1,a2,…,an)是a1,a2,…,an的线性函数,则称之为线性反馈移位寄存器LFSR(linear feedback shift register)。
现代密码学 (杨波 著) 清华大学出版社_khdaw
am +3 = c1am + 2 + c2 am +1 + c3am + c4am −1 + L + cm −1a4 + cm a3
.c
而第 m+3 比特应为:
om
j =1
.c
输出 1 1
注:s个01
k ≥1
om
da
课后答案网
NCUT 密码学 – 习题与答案
2010
三、分组密码 (1,2,3,4)
1. (1) 设 M’是 M 的逐比特取补,证明在 DES 中,如果对明文分组和密文分组都逐比特取补, 那么得到的密文也是原密文的逐比特取补,即 如果 Y = DESK(X),那么 Y’=DESK’(X’) 提示:对任意两个长度相等的比特串 A 和 B,证明(A⊕B)’=A’⊕B。
20
21
22
23
24
25
w .c
1. 设仿射变换的加密是 E11,23(m)≡11m+23 (mod 26),对明文“THE NATIONAL SECURITY AGENCY”加密,并使用解密变换 D11,23(c)≡11-1(c-23) (mod 26) 验证你的加密结果。 解:明文用数字表示:M=[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24] 密文 C= E11,23(M)≡11*M+23 (mod 26) =[24 22 15 10 23 24 7 21 10 23 14 13 15 19 9 2 7 24 1 23 11 15 10 19 1] = YWPKXYHVKXONPTJCHYBXLPKTB ,或者直接穷举 1~25) ∵ 11*19 ≡ 1 mod 26 (说明:求模逆可采用第 4 章的“4.1.6 欧几里得算法” ∴ 解密变换为 D(c)≡19*(c-23)≡19c+5 (mod 26) 对密文 C 进行解密: M’=D(C)≡19C+5 (mod 26) =[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24] = THE NATIONAL SECURITY AGENCY
杨波,_《现代密码学(第2版)》第五章 5.1-5.2节
存储会话密钥, 转发E ③ A存储会话密钥,并向 转发 KB[KS‖IDA]。因 存储会话密钥 并向B转发 。 为转发的是由K 加密后的密文, 为转发的是由 B加密后的密文,所以转发过程不 会被窃听。B收到后,可得会话密钥KS,并从IDA 会被窃听。 收到后,可得会话密钥 并从 收到后 可知另一方是A,而且还从E 知道K 可知另一方是 ,而且还从 KB知道 S的确来自 KDC。 。 这一步完成后,会话密钥就安全地分配给了 、 。 这一步完成后,会话密钥就安全地分配给了A、B。 然而还能继续以下两步工作: 然而还能继续以下两步工作:
两个用户A和 获得共享密钥的方法包括: 获得共享密钥的方法包括 两个用户 和B获得共享密钥的方法包括: 密钥由A选取并通过物理手段发送给 选取并通过物理手段发送给B。 ① 密钥由 选取并通过物理手段发送给 。 密钥由第三方选取并通过物理手段发送给A和 。 ② 密钥由第三方选取并通过物理手段发送给 和B。 如果A、 事先已有一密钥 事先已有一密钥, ③ 如果 、B事先已有一密钥,则其中一方选取新密 钥后,用已有的密钥加密新密钥并发送给另一方。 钥后,用已有的密钥加密新密钥并发送给另一方。 如果A和 与第三方 分别有一保密信道, 与第三方C分别有一保密信道 ④ 如果 和B与第三方 分别有一保密信道,则C为A、 为 、 B选取密钥后,分别在两个保密信道上发送给 、B。 选取密钥后, 选取密钥后 分别在• 假定两个用户 、B分别与密钥分配中心 假定两个用户A、 分别与密钥分配中心 分别与密钥分配中心KDC (key distribution center)有一个共享的主密钥 A和KB, 有一个共享的主密钥K 有一个共享的主密钥 A希望与 建立一个共享的一次性会话密钥,可通 希望与B建立一个共享的一次性会话密钥 希望与 建立一个共享的一次性会话密钥, 过以下几步来完成( 过以下几步来完成(图5.1 ): • ① A向KDC发出会话密钥请求。表示请求的消息由 发出会话密钥请求。 向 发出会话密钥请求 两个数据项组成, 项是A和 的身份 的身份, 两个数据项组成,第1项是 和B的身份,第2项是 项是 项是 这次业务的惟一识别符N1, 为一次性随机数, 这次业务的惟一识别符 ,称N1为一次性随机数, 为一次性随机数 可以是时戳、计数器或随机数。每次请求所用的N1 可以是时戳、计数器或随机数。每次请求所用的 都应不同,且为防止假冒,应使敌手对N1难以猜测 难以猜测。 都应不同,且为防止假冒,应使敌手对 难以猜测。 因此用随机数作为这个识别符最为合适。 因此用随机数作为这个识别符最为合适。
现代密码学教程第2版复习题非答案
现代密码学教程第二版谷利泽郑世慧杨义先欢迎私信指正,共同奉献1.4 习题1. 判断题(1)现代密码学技术现仅用于实现信息通信保密的功能。
()(2)密码技术是一个古老的技术,所以,密码学发展史早于信息安全发展史。
()(3)密码学是保障信息安全的核心技术,信息安全是密码学研究与发展的目的。
()(4)密码学是对信息安全各方面的研究,能够解决所有信息安全的问题。
()(5)从密码学的发展历史可以看出,整个密码学的发展史符合历史发展规律和人类对客观事物的认识规律。
()(6)信息隐藏技术其实也是一种信息保密技术。
()(7)传统密码系统本质上均属于对称密码学范畴。
()(8)早期密码的研究基本上是秘密地进行的,而密码学的真正蓬勃发展和广泛应用源于计算机网络的普及和发展。
()(9)1976 年后,美国数据加密标准(DES)的公布使密码学的研究公开,从而开创了现代密码学的新纪元,是密码学发展史上的一次质的飞跃。
()(10 )密码标准化工作是一项长期的、艰巨的基础性工作,也是衡量国家商用密码发展水平的重要标志。
()2. 选择题(1)1949 年,()发表题为《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成了一门科学。
A. ShannonB.DiffieC.HellmanD.Shamir3)篡改的攻击形式是针对信息()的攻击。
(2)截取的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D. 不可抵赖性3)篡改的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D. 不可抵赖性(4)伪造的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D. 不可抵赖性(5)在公钥密码思想提出大约一年后的1978 年,美国麻省理工学院的Rivest 、()和Adleman 提出RSA的公钥密码体制,这是迄今为止第一个成熟的、实际应用最广的公钥密码体制。
A. ShannonB.DiffieC.HellmanD.Shamir3. 填空题(1)信息安全的主要目标是指、、和、可用性。
现代密码学教程第2版 习题 非答案
现代密码学教程第二版谷利泽郑世慧杨义先欢迎私信指正,共同奉献1.4习题1.判断题(1)现代密码学技术现仅用于实现信息通信保密的功能。
()(2)密码技术是一个古老的技术,所以,密码学发展史早于信息安全发展史。
()(3)密码学是保障信息安全的核心技术,信息安全是密码学研究与发展的目的。
()(4)密码学是对信息安全各方面的研究,能够解决所有信息安全的问题。
()(5)从密码学的发展历史可以看出,整个密码学的发展史符合历史发展规律和人类对客观事物的认识规律。
()(6)信息隐藏技术其实也是一种信息保密技术。
()(7)传统密码系统本质上均属于对称密码学范畴。
()(8)早期密码的研究基本上是秘密地进行的,而密码学的真正蓬勃发展和广泛应用源于计算机网络的普及和发展。
()(9)1976年后,美国数据加密标准(DES)的公布使密码学的研究公开,从而开创了现代密码学的新纪元,是密码学发展史上的一次质的飞跃。
()(10)密码标准化工作是一项长期的、艰巨的基础性工作,也是衡量国家商用密码发展水平的重要标志。
()2.选择题(1)1949年,()发表题为《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成了一门科学。
A.ShannonB.DiffieC.HellmanD.Shamir(2)截取的攻击形式是针对信息()的攻击。
A.机密性B.完整性C.认证性D.不可抵赖性(3)篡改的攻击形式是针对信息()的攻击。
A.机密性B.完整性C.认证性D.不可抵赖性(4)伪造的攻击形式是针对信息()的攻击。
A.机密性B.完整性C.认证性D.不可抵赖性(5)在公钥密码思想提出大约一年后的1978年,美国麻省理工学院的Rivest、()和Adleman提出RSA的公钥密码体制,这是迄今为止第一个成熟的、实际应用最广的公钥密码体制。
A.ShannonB.DiffieC.HellmanD.Shamir3.填空题(1)信息安全的主要目标是指、、和、可用性。
杨波,_《现代密码学(第2版)》第三章 3.1-3.4节
图3.1 分组密码框图
通常取m=n。 。 通常取 若m>n,则为有数据扩展的分组密码; ,则为有数据扩展的分组密码; 若m<n,则为有数据压缩的分组密码。 ,则为有数据压缩的分组密码。
设计的算法应满足下述要求: 设计的算法应满足下述要求: 分组长度n要足够大 要足够大, ① 分组长度 要足够大,使分组代换字母表中的元素 个数2 足够大,防止明文穷举攻击法奏效。 个数 n足够大,防止明文穷举攻击法奏效。 DES、IDEA、FEAL和LOKI等分组密码都采用 、 等分组密码都采用n=64, 、 和 等分组密码都采用 , 在生日攻击下用232组密文成功概率为1/2,同时要求 在生日攻击下用 组密文成功概率为 , 存贮, 232×64b=215MB存贮,故采用穷举攻击是不现实的。 存贮 故采用穷举攻击是不现实的。
• 如将分组 化分为子段,每段长为 、16或者 。 如将分组n化分为子段 每段长为8、 或者 化分为子段, 或者32。 • 软件实现时,应选用简单的运算,使作用于子段上 软件实现时,应选用简单的运算, 的密码运算易于以标准处理器的基本运算,如加、 的密码运算易于以标准处理器的基本运算,如加、 移位等实现, 乘、移位等实现,避免用以软件难于实现的逐比特 置换。 置换。 • 为了便于硬件实现,加密和解密过程之间的差别应 为了便于硬件实现, 仅在于由秘密密钥所生成的密钥表不同而已。这样, 由秘密密钥所生成的密钥表不同而已 仅在于由秘密密钥所生成的密钥表不同而已。这样, 加密和解密就可用同一器件实现。 加密和解密就可用同一器件实现。 • 设计的算法采用规则的模块结构,如多轮迭代等, 设计的算法采用规则的模块结构,如多轮迭代等, 以便于软件和VLSI快速实现。 快速实现。 以便于软件和 快速实现
数据扩展尽可能地小。一般无数据扩展, ⑤ 数据扩展尽可能地小。一般无数据扩展,在采用同 态置换和随机化加密技术时可引入数据扩展。 态置换和随机化加密技术时可引入数据扩展。 差错传播尽可能地小。 ⑥ 差错传播尽可能地小。
现代密码学教程第2版复习题非答案
现代密码学教程第二版谷利泽郑世慧杨义先欢迎私信指正,共同奉献1.4习题1.判断题(1)现代密码学技术现仅用于实现信息通信保密的功能。
()(2)密码技术是一个古老的技术,所以,密码学发展史早于信息安全发展史。
()(3)密码学是保障信息安全的核心技术,信息安全是密码学研究与发展的目的。
()(4)密码学是对信息安全各方面的研究,能够解决所有信息安全的问题。
()(5)从密码学的发展历史可以看出,整个密码学的发展史符合历史发展规律和人类对客观事物的认识规律。
()(6)信息隐藏技术其实也是一种信息保密技术。
()(7)传统密码系统本质上均属于对称密码学范畴。
()(8)早期密码的研究基本上是秘密地进行的,而密码学的真正蓬勃发展和广泛应用源于计算机网络的普及和发展。
()(9)1976年后,美国数据加密标准( DES的公布使密码学的研究公开,从而开创了现代密码学的新纪元,是密码学发展史上的一次质的飞跃。
()( 10)密码标准化工作是一项长期的、艰巨的基础性工作,也是衡量国家商用密码发展水平的重要标志。
()2.选择题(1)1949 年,()发表题为《保密系统的通信理论》,为密码系统建立了理论基础,从此密码学成了一门科学。
A.ShannonB.DiffieC.HellmanD.Shamir( 2 )截取的攻击形式是针对信息()的攻击。
3 )篡改的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D.不可抵赖性3 )篡改的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D.不可抵赖性(4)伪造的攻击形式是针对信息()的攻击。
A. 机密性B.完整性C. 认证性D.不可抵赖性(5)在公钥密码思想提出大约一年后的1978年,美国麻省理工学院的Rivest、()和Adleman提出RSA的公钥密码体制,这是迄今为止第一个成熟的、实际应用最广的公钥密码体制。
A.Sha nnon B.Diffie C.Hellman D.Shamir3.填空题(1)信息安全的主要目标是指 ___________ 、_____________ 、 __________________________ 和_______________ 、可用性。
现代密码学第3章:密码学的信息论基础
估计一个系统的实际保密性
理论上,当截获的密报量大于唯一解距 离时,原则上就可破译。 由于自然语言的复杂性,没有任何一种 分析方法能够假定分析者能利用明文语言的 全部统计知识,所以,一般破译所需的密文 量都远大于理论值。 没有涉及为了得到唯一解需完成多少 计算量。从实际破译来看,有时虽然截获的 密文量远大于唯一解距离,但由于所需的工 作量还太大而难以实现破译。
25
估计一个系统的实际保密性
理论保密性是假定密码分析者有无限的时间、 设备和资金的条件下,研究唯密文攻击时密码系 统的安全性。比如一次一密体制。 实际安全性又称为计算上的安全性,这个方法 关心的是破译一个具体的密码系统所需的计算量。 在实际中,人们说一个密码系统是“计算上 安全的”,意指利用已有的最好的方法破译该系 统所需要的努力超过了敌手的破译能力(诸如时 间、空间、和资金等资源)或破译该系统的难度 等价于解数学上的某个已知难题
21
理论安全性和实际安全性
图 密钥,消息和密钥显现含糊度作为S的函数
22
语言的多余度
定义4 假如L是一种自然语言,语言L的熵 为 语言的多余度定义为 其中A表示语言L的字母集,表示A中字 母的个数, 表示所有明文n-字母报构成 的全体。
23
密钥含糊度
定理6 密钥含糊度有下列下界 其中,S表示接受到的密文序列长度, 表示明文语言的冗余度, 表示密文空间中 符号或字母的数目。 定理7 当明文由一个离散独立信源产生,如 果 ,其中 是字母表的大小。 密钥的含糊度能变为零。
26
估计一个系统的实际保密性
密码分析者的计算能力; 他所采用的破译算法的有效性。
27
Shannon关于设计密码的一些基本观点 关于设计密码的一些基本观点 通过合并简单密码系统而形成它们的 “积”挫败统计分析的观点: 在加密之前将语言的一些多余度除去。 采用所谓的“扩散(Diffusion)”和 “混淆(Confusion)”这两种加密技术扩 散或混淆多余度。
信息安全概论大作业-密钥管理技术
信息安全概论⼤作业-密钥管理技术密钥管理技术⼀、摘要密钥管理是处理密钥⾃产⽣到最终销毁的整个过程的的所有问题,包括系统的初始化,密钥的产⽣、存储、备份/装⼊、分配、保护、更新、控制、丢失、吊销和销毁等。
其中分配和存储是最⼤的难题。
密钥管理不仅影响系统的安全性,⽽且涉及到系统的可靠性、有效性和经济性。
当然密钥管理也涉及到物理上、⼈事上、规程上和制度上的⼀些问题。
密钥管理包括:1、产⽣与所要求安全级别相称的合适密钥;2、根据访问控制的要求,对于每个密钥决定哪个实体应该接受密钥的拷贝;3、⽤可靠办法使这些密钥对开放系统中的实体是可⽤的,即安全地将这些密钥分配给⽤户;4、某些密钥管理功能将在⽹络应⽤实现环境之外执⾏,包括⽤可靠⼿段对密钥进⾏物理的分配。
⼆、正⽂(⼀)密钥种类1、在⼀个密码系统中,按照加密的内容不同,密钥可以分为⼀般数据加密密钥(会话密钥)和密钥加密密钥。
密钥加密密钥还可分为次主密钥和主密钥。
(1)、会话密钥, 两个通信终端⽤户在⼀次会话或交换数据时所⽤的密钥。
⼀般由系统通过密钥交换协议动态产⽣。
它使⽤的时间很短,从⽽限制了密码分析者攻击时所能得到的同⼀密钥加密的密⽂量。
丢失时对系统保密性影响不⼤。
(2)、密钥加密密钥(Key Encrypting Key,KEK), ⽤于传送会话密钥时采⽤的密钥。
(3)、主密钥(Mater Key)主密钥是对密钥加密密钥进⾏加密的密钥,存于主机的处理器中。
2、密钥种类区别(1)、会话密钥会话密钥(Session Key),指两个通信终端⽤户⼀次通话或交换数据时使⽤的密钥。
它位于密码系统中整个密钥层次的最低层,仅对临时的通话或交换数据使⽤。
会话密钥若⽤来对传输的数据进⾏保护则称为数据加密密钥,若⽤作保护⽂件则称为⽂件密钥,若供通信双⽅专⽤就称为专⽤密钥。
会话密钥⼤多是临时的、动态的,只有在需要时才通过协议取得,⽤完后就丢掉了,从⽽可降低密钥的分配存储量。
基于运算速度的考虑,会话密钥普遍是⽤对称密码算法来进⾏的(2)、密钥加密密钥密钥加密密钥(Key Encryption Key)⽤于对会话密钥或下层密钥进⾏保护,也称次主密钥(Submaster Key)、⼆级密钥(Secondary Key)。
现代密码学杨波课后习题讲解
1
1
1
1
1
0
0
1
1
1
1
1
….
….
习题
6.已知流密码的密文串1010110110和相应的明文串 0100010001,而且还已知密钥流是使用3级线性反馈移位 寄存器产生的,试破译该密码系统。
解:由已知可得相应的密钥流序列为 1010110110⊕0100010001 =1110100111,又因为是3级线 性反馈移位寄存器,可得以下方程:
Li Ri1 Ri Li1 f (Ri1, Ki )
习题
习题
3. 在 DES 的 ECB 模式中,如果在密文分组中有一个错误,解密后 仅相应的明文分组受到影响。然而在 CBC 模式中,将有错误传播。 例如在图 3-11 中 C1 中的一个错误明显地将影响到 P1和 P2 的结 果。 (1) P2 后的分组是否受到影响? (2) 设加密前的明文分组 P1 中有 1 比特的错误,问这一错误将在 多少个密文分组中传播? 对接收者产生什么影响?
c3c2c1 0101
0
1
101
1 1 0
由此可得密钥流的递推关系为:
ai3 c3ai c1ai2 ai ai2
第三章 分组密码体 制
习题
2. 证明 DES 的解密变换是加密变换的逆。 明文分组、密钥
加密阶段:初始置换、16轮变换、逆初始置换
每轮迭代的结构和Feistel结构一样:
定义2.2 设p(x)是GF(2)上的多项式,使p(x)|(xp-1) 的最小p称为p(x)的周期或阶。 定理2.3 若序列{ai}的特征多项式p(x)定义在GF(2) 上,p是p(x)的周期,则{ai}的周期r | p。
习题
杨波,_《现代密码学(第2版)》第四章 4.2-4.6节
单向函数是两个集合 、 之间的一个映射 之间的一个映射, 单向函数是两个集合X、Y之间的一个映射,使 是两个集合 中每一元素y都有惟一的一个原像 得Y中每一元素 都有惟一的一个原像 ∈X,且由 中每一元素 都有惟一的一个原像x∈ ,且由x 易于计算它的像y, 计算它的原像x是不可行的 易于计算它的像 ,由y计算它的原像 是不可行的。 计算它的原像 是不可行的。 这里所说的易于计算是指函数值能在其输入长 这里所说的易于计算是指函数值能在其输入长 度的多项式时间内求出,即如果输入长n比特 比特, 度的多项式时间内求出,即如果输入长 比特,则求 函数值的计算时间是n 的某个倍数,其中a是一固定 函数值的计算时间是 a的某个倍数,其中 是一固定 的常数。这时称求函数值的算法属于多项式类 多项式类P, 的常数。这时称求函数值的算法属于多项式类 ,否 则就是不可行的。 则就是不可行的。 例如,函数的输入是n比特 比特, 例如,函数的输入是 比特,如果求函数值所用 的时间是2 的某个倍数, 的时间是 n的某个倍数,则认为求函数值是不可行 的。
以上认证过程中, 以上认证过程中,由于消息是由用户自己的秘密钥 加密的,所以消息不能被他人篡改, 加密的,所以消息不能被他人篡改,但却能被他人 窃听。 窃听。这是因为任何人都能用用户的公开钥对消息 解密。为了同时提供认证功能 保密性, 认证功能和 解密。为了同时提供认证功能和保密性,可使用双 重加、解密。如图4.3所示 所示。 重加、解密。如图 所示。来自ˆ m ˆ SKB
m
c
m
PK B
SK B
图4-1 公钥体制加密的框图
加密过程有以下几步: 加密过程有以下几步:
要求接收消息的端系统, ① 要求接收消息的端系统,产生一对用来加密和 解密的密钥,如图中的接收者B,产生一对密钥PK 解密的密钥,如图中的接收者 ,产生一对密钥 B, SKB,其中 B是公开钥,SKB是秘密钥。 其中PK 是公开钥, 是秘密钥。 ② 端系统B将加密密钥(如图中的PKB)予以公开。 端系统 将加密密钥(如图中的 予以公开。 将加密密钥 另一密钥则被保密(图中的SK 另一密钥则被保密(图中的 B)。 要想向B发送消息 的公开钥加密m, ③ A要想向 发送消息 ,则使用 的公开钥加密 , 要想向 发送消息m,则使用B的公开钥加密 其中c是密文 是加密算法。 表示为c=EPKB[m],其中 是密文,E是加密算法。 表示为 其中 是密文, 是加密算法 收到密文c后 用自己的秘密钥SKB解密,表 解密, ④ B收到密文 后,用自己的秘密钥 收到密文 解密 示为m=DSKB[c],其中 是解密算法。 是解密算法。 示为 ,其中D是解密算法
杨波现代密码学复习
信息的载体有媒介和信道.对信息载体的两种攻击为主动攻击和被动攻击.密码学的两个分支为密码编码学和密码分析学.密码体制有单钥密码体制和双钥密码体制.现代流密码的设计思想来源于古典密码中的维吉尼亚密码.现代分组密码的设计思想来源于古典密码中的多字母代换密码.在信息保密系统中,攻击者EVE拥有的基本资源是密文C,加密算法E和解密算法D;EVE可能拥有的更多资源为:可能知道密文C对应的明文M;可能拥有强大的计算能力;可能缴获了一台加密机.EVE不可能拥有的资源是:加密密钥Z和解密密钥K.已知明文攻击:EVE截获了密文C,并且知道了密文C对应的明文M,于是:在解密方程中EVE知道M,C 仅仅不知道K在加密方程中EVE知道M,C 仅仅不知道Z如果EVE从方程中解出K和Z,以后就可以像BOB一样对任何密文进行解密,像ALICE一样对任何明文进行加密.还可以给出更宽松的条件,EVE如果获得以往废弃的N组明文/密文对,就可以得到关于K的方程组.以上就是已知明文攻击.无条件安全性:对密码体制的任何攻击,都不优于对明文完全盲目的猜测,这样的密码体制就称为无条件安全的(完善保密的).一次一密的加密方式容易实现无条件安全.计算安全性:1.对密码体制的任何攻击,虽然可能优于完全盲目的猜测,但超出了攻击者的计算能力,这是最高级别的计算安全;2.对密码体制的任何攻击,虽然可能没有超过攻击者的计算能力,但所付出的代价远大于破译成功所得到的利益,这是第二级别的计算安全; 3.对密码体制的任何攻击,虽然可能没有超出攻击者的计算能力,但破译成功所需要的时间远远大于明文本身的有效期限,这也是第二级别的计算安全.Golomb随机性假设:1.N充分大时,比特流中的01个数各占约一半;2.N充分大时,在比特流中,长度为L的0游程个数约有N/2L个;N充分大时,在比特流中,长度为L的1游程个数约有N/2L个;3.若K>0,当N充分大时,以下的值(异自相关函数值)约为O:(1/N)*[(-1的KL+K(L+K)次方)L从1到N求和].一个周期的布尔序列一定是一个线性反馈移位寄存器序列.设比特流K周期为N,则L>N后,KL=KL-N.因此比特流K为N阶线性反馈移位寄存器序列,抽头系数为{C1,C2,}={0,0,......1}极小多项式为F(X)=1'+'XN次方.初始状态为K1K2......KN.N阶线性反馈移位寄存器序列的最小周期的上确界是2N次方-1,最小周期达到此上确界时称K为N阶M序列.完全满足GOLOMB随机性假设.不能直接作为密钥流的原因为:EVE如果得到任何一段连续2N个比特,就获得了一个关于抽头系数的方程组,由于加法和乘法都是在域GF(2)上进行(MOD2运算),容易计算出抽头系数,从而被攻破.使用的算法为B-M算法和GAMES-CHAN算法.非线性前馈序列做密钥流时,初始状态,极小多项式和非线性布尔函数可以作为通信伙伴的原始密钥.分组密码与流密码相比,优点:加解密算法简洁快速,占用的计算资源小,易于软件和硬件的实现;加解密算法参数固定,比流密码容易实现标准化;由于明文流被分段加密,因此容易实现同步,而且传输错误不会向后扩散;缺点:不容易使用硬件实现,安全性很难被证明,至多证明局部安全性.五个设计准则:安全性,简洁性,有效性,透明性和灵活性,加解密的相似性.Feistel网络的算法步骤:1.将明文M分为等长的两部分M=(L(0),R(0));2.使用由密钥K控制的高度非线性函数F,(1)计算(L',R')=(L(0)'+'F(R(0),K) , R(0));(2)计算密文C=(L(1),R(1))=(R',L').杂凑函数应满足的三条性质:1.等长性,2.单向性.3.无碰撞性.数字签名应满足的三条性质:1.完整性,2.身份唯一性(不可伪造性),3.不可否认性(公开可验证性).互联网五种基本服务:电子邮件,信息浏览,文件传输,远程登录,电子公告牌.IPSec属于网络层,两个协议是认证报头协议AH和封装安全负载协议ESP,两个数据库是安全策略数据库SPD和安全关联数据库SAD.S/MIME处理非文本课文时,采用MIME增加非文本的对象到邮件主体中去,按照S/MIME,发送者将普通的MIME格式的消息封装成为S/MIME安全对象,并将其按照普通消息的发送方式发送出去,接收者把S/MIME安全对象解封装为普通的MIME格式消息.PGP利用电子邮件兼容性服务将被加密或被签名的邮件每三个字节为一组,扩充为四个字节,扩充后的每个字节都是一个ASCII字符.这种转换称为基数64变换,为消息扩展了33%.消息认证码不同于对称加密函数,对称加密函数的逆函数就是解密函数,而消息认证码函数是不存在逆函数的,这就是说,消息认证码函数具有单向性,只能"加密",不能"解密".即使知道密钥Z,也只能由消息M的值计算消息认证码C的值,而不能由C的值计算M的值.消息认证码不同于杂凑函数,杂凑函数没有密钥的作用,因而是完全公开的,而消息认证码有密钥Z的参与.比没有密钥的杂凑函数具有更强的安全性,使敌方更难篡改和伪造.在相同的安全性要求下,消息认证码更容易设计.但是消息认证码需要收发双方协调一次密钥.SET协议的双重签名的功能.使得消费者的支付信息和订单信息分别被阅读,即商家只能看到消费者的订单信息,看不到消费者的支付信息,金融机构只能阅读支付和帐户信息而看不到消费者的交易内容.SET协议的双重签名的具体步骤.略零知识证明协议.P使用一种证明方法,使V相信他知道该秘密,而又能保证不泄露该秘密.。
杨波,_《现代密码学(第2版)》第三章 3.6节
构成的字节b看成系数在 看成系数在{0, 将b7b6b5b4b3b2b1b0构成的字节 看成系数在 1} 中的多项式 b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0 例如: 十六进制数‘57’对应的二进制为 例如: 十六进制数‘ 对应的二进制为01010111, , 对应的二进制为 看成一个字节,对应的多项式为x 看成一个字节,对应的多项式为 6+x4+x2+x+1。 。
第3章 分组密码体制 章
• • • • • • 分组密码概述 数据加密标准 差分密码分析与线性密码分析 分组密码的运行模式 IDEA AES算法 算法——Rijndael 算法
3.6 AES算法 算法——Rijndael 算法
• 1997年4月15日,美国 年 月 日 美国ANSI发起征集 发起征集AES 发起征集 (Advanced Encryption Standard)的活动,并为 )的活动, 此成立了AES工作小组。此次活动的目的是确定一 此成立了 工作小组。此次活动的目的是确定一 工作小组 个非保密的、可以公开技术细节的、 个非保密的、可以公开技术细节的、全球免费使用 的分组密码算法,以作为新的数据加密标准。 的分组密码算法,以作为新的数据加密标准。 • 1997年9月12日,美国联邦登记处公布了正式征集 年 月 日 AES候选算法的通告。对AES的基本要求是: 比 候选算法的通告。 的基本要求 候选算法的通告 的基本要求是 三重DES快、至少与三重 一样安全、 三重 快 至少与三重DES一样安全、数据分组 一样安全 长度为128比特、密钥长度为 比特、 比特。 长度为 比特 密钥长度为128/192/256比特。 比特
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
混淆是通过使用以下 种运算而获得 混淆是通过使用以下3种运算而获得,3种运算都有 是通过使用以下 种运算而获得, 种运算都有 两个16比特的输入和一个 比特的输出: 比特的输入和一个16比特的输出 两个 比特的输入和一个 比特的输出: 逐比特异或, ① 逐比特异或,表示为⊕。 ② 模216(即65536)整数加法,表示为 ,其输入 )整数加法,表示为+ 和输出作为16位无符号整数处理 位无符号整数处理。 和输出作为 位无符号整数处理。 ③ 模216+1(即65537)整数乘法,表示为⊙,其输 ( )整数乘法,表示为⊙ 输出中除16位全为 作为2 处理外, 位全为0作为 入、输出中除 位全为 作为 16处理外,其余都作 位无符号整数处理。 为16位无符号整数处理。例如 位无符号整数处理
下面验证解密过程的确可以得到正确的结果。 下面验证解密过程的确可以得到正确的结果。图 3.18中左边为加密过程,由上至下,右边为解密过 中左边为加密过程, 中左边为加密过程 由上至下, 由下至上。将每一轮进一步分为两步, 程,由下至上。将每一轮进一步分为两步,第1步 步 是变换,其余部分作为第2步 称为子加密。 是变换,其余部分作为第 步,称为子加密。
பைடு நூலகம்
3. 解密过程
解密过程和加密过程基本相同, 解密过程和加密过程基本相同,但子密钥的选取不 解密子密钥U 同。解密子密钥 1,U2,…,U52是由加密子密钥 , 按如下方式得到( 按如下方式得到(将加密过程最后一步的输出变换 当作第9轮 当作第 轮):
轮解密的前4个子密钥由加密过程第 ① 第i(i=1,…,9)轮解密的前 个子密钥由加密过程第 轮解密的前 (10-i)轮的前 个子密钥得出: 轮的前4个子密钥得出 轮的前 个子密钥得出: 其中第1和第 个解密子密钥取为相应的第1和第 其中第 和第4个解密子密钥取为相应的第 和第4 和第 个解密子密钥取为相应的第 和第 个加密子密钥的模2 乘法逆元, 和第3个子密钥 个加密子密钥的模 16+1乘法逆元,第2和第 个子密钥 乘法逆元 和第 的取法为:当轮数i=2,…,8时,取为相应的第 个和第 的取法为:当轮数 时 取为相应的第3个和第 2个加密子密钥的模 16加法逆元。i=1和9时,取为相 个加密子密钥的模2 个加密子密钥的模 加法逆元。 和 时 应的第2个和第 个加密子密钥的模2 加法逆元。 个和第3个加密子密钥的模 应的第 个和第 个加密子密钥的模 16加法逆元。 ② 第i(i=1,…,8)轮解密的后两个子密钥等于加密过程 轮解密的后两个子密钥等于加密过程 轮的后两个子密钥。 第(9-i)轮的后两个子密钥。 轮的后两个子密钥
是对以上关系的总结。 表3.7是对以上关系的总结。其中 j的模 16+1乘法 是对以上关系的总结 其中Z 的模2 乘法 逆元为Z 满足(见表3.7) 逆元为 -1j,满足(见表 ) Zj⊙Z-1j=1mod(216+1) 是一素数, 因216+1是一素数,所以每一个不大于 16的非 整数 是一素数 所以每一个不大于2 的非0整数 都有一个惟一的模2 乘法逆元。 的模2 都有一个惟一的模 16+1乘法逆元。Zj的模 16加法逆 乘法逆元 元为-Z 满足: 元为 j,满足: -Zj + Zj=0 mod (216)
0000000000000000⊙1000000000000000=1000000000000001 ⊙
这是因为2 这是因为 16×215 mod (216+1)=215+1。 。
给出了操作数为2比特长时 种运算的运算表。 表3.6给出了操作数为 比特长时 种运算的运算表。 给出了操作数为 比特长时3种运算的运算表 在以下意义下, 种运算是不兼容的 种运算是不兼容的: 在以下意义下,3种运算是不兼容的: 种运算中任意两种都不满足分配律, ① 3种运算中任意两种都不满足分配律,例如 种运算中任意两种都不满足分配律 a + (b ⊙ c)≠(a + b ) ⊙ (a + c ) ) 种运算中任意两种都不满足结合律, ② 3种运算中任意两种都不满足结合律,例如 种运算中任意两种都不满足结合律 a +(b + c)≠ (a + b ) + c ( ) 三种运算结合起来使用可对算法的输入提供复杂的 变换,从而使得对IDEA的密码分析比对仅使用异或 变换,从而使得对 的密码分析比对仅使用异或 运算的DES更为困难。 更为困难。 运算的 更为困难
3.5.1 设计原理
算法中明文和密文分组长度都是64比特,密钥长 算法中明文和密文分组长度都是 比特,密钥长128 比特 比特。其设计原理可从强度和实现两方面考虑 两方面考虑。 比特。其设计原理可从强度和实现两方面考虑。 1. 密码强度 算法的强度主要是通过有效的混淆 扩散特性而得 混淆和 算法的强度主要是通过有效的混淆和扩散特性而得 以保证。 以保证。
第3章 分组密码体制 章
• • • • • • 分组密码概述 数据加密标准 差分密码分析与线性密码分析 分组密码的运行模式 IDEA AES算法 算法——Rijndael 算法
3.5 IDEA
• 来学嘉(X. J. Lai)和J. L. Massey提出的第 版 来学嘉( 提出的第1版 ) 提出的第 IDEA(International Data Encryption Algorithm, ( , 国际数据加密算法)于1990年公布,当时称为PES 国际数据加密算法) 年公布,当时称为 年公布 (proposed encryption standard,建议加密标准)。 ,建议加密标准)。 • 1991年,在Biham和Shamir提出差分密码分析之后, 提出差分密码分析之后, 年 和 提出差分密码分析之后 设计者推出了改进算法IPES,即改进型建议加密标 设计者推出了改进算法 , 改名为IDEA。这是 准。1992年,设计者又将 年 设计者又将IPES改名为 改名为 。 近年来提出的各种分组密码中一个很成功的方案, 近年来提出的各种分组密码中一个很成功的方案, 已在PGP中采用。 中采用。 已在 中采用
最后的输出变换也产生4个 比特的子段 比特的子段, 最后的输出变换也产生 个16比特的子段,链接起来 后形成64比特的密文分组 比特的密文分组。 后形成 比特的密文分组。 每轮迭代还需使用6个 比特的子密钥 比特的子密钥, 每轮迭代还需使用 个16比特的子密钥,最后的输出 变换需使用4个 比特的子密钥 比特的子密钥, 变换需使用 个16比特的子密钥,所以子密钥总数为 52。 。 的右半部分表示由初始的128比特密钥产生 比特密钥产生52 图3.15的右半部分表示由初始的 的右半部分表示由初始的 比特密钥产生 个子密钥的子密钥产生器。 个子密钥的子密钥产生器。
图3.14 MA结构 结构
2. 实现
IDEA可方便地通过软件和硬件实现。 可方便地通过软件和硬件实现。 可方便地通过软件和硬件实现 软件实现采用16比特子段处理 比特子段处理, ① 软件实现采用16比特子段处理,可通过使用容易 编程的加法、移位等运算实现算法的3种运算 种运算。 编程的加法、移位等运算实现算法的 种运算。 硬件由于加、解密相似, ② 硬件由于加、解密相似,差别仅为使用密钥的方 因此可用同一器件实现。再者, 式,因此可用同一器件实现。再者,算法中规则的 模块结构,可方便VLSI的实现。 的实现。 模块结构,可方便 的实现
图3.18 IDEA加密和解密框图 加密和解密框图
现在从下往上考虑。 现在从下往上考虑。对加密过程的最后一个输出变 以下关系成立: 换,以下关系成立: Y1=W81⊙ Z49 Y2=W83 + Z50 Y3=W82 + Z51 Y4=W84⊙Z52
解密过程中第1轮的第 步产生以下关系 解密过程中第 轮的第1步产生以下关系: 轮的第 步产生以下关系: J11=Y1⊙U1 J12=Y2 + U2 J13=Y3 + U3 J14=Y4⊙U4
算法中扩散是由称为乘加 算法中扩散是由称为乘加 (Multiplication/Addition, MA)结构的基本单元 ) 实现的。 实现的。 该结构的输入是两个16比特的子段和两个 比特 该结构的输入是两个 比特的子段和两个16比特 比特的子段和两个 的子密钥,输出也为两个16比特的子段 比特的子段。 的子密钥,输出也为两个16比特的子段。 这一结构在算法中重复使用了8次 这一结构在算法中重复使用了 次,获得了非常有 效的扩散效果。 效的扩散效果。
图3.15 IDEA的加密框图 的加密框图
1. 轮结构 轮的结构示意图, 图3.16是IDEA第1轮的结构示意图,以后各轮也都 是 第 轮的结构示意图 是这种结构,但所用的子密钥和轮输入不同。 是这种结构,但所用的子密钥和轮输入不同。从结 构图可见, 不是传统的Feistel密码结构。每轮 密码结构。 构图可见,IDEA不是传统的 不是传统的 密码结构 开始时有一个变换,该变换的输入是4个子段和 个子段和4个 开始时有一个变换,该变换的输入是 个子段和 个 子密钥,变换中的运算是两个乘法和两个加法, 子密钥,变换中的运算是两个乘法和两个加法,输 出的4个子段经过异或运算形成了两个 个子段经过异或运算形成了两个16比特的子 出的 个子段经过异或运算形成了两个 比特的子 段作为MA结构的输入。MA结构也有两个输入的子 结构的输入。 段作为 结构的输入 结构也有两个输入的子 密钥,输出是两个16比特的子段 比特的子段。 密钥,输出是两个 比特的子段。
3.5.2 加密过程
如图3.15所示,加密过程由连续的8轮迭代和一个输 所示,加密过程由连续的 轮迭代和一个输 如图 所示 出变换组成; 出变换组成; 算法将64比特的明文分组分成 个 比特的子段 比特的子段, 算法将 比特的明文分组分成4个16比特的子段,每 比特的明文分组分成 轮迭代以4个 比特的子段作为输入 输出也为4个 比特的子段作为输入, 轮迭代以 个16比特的子段作为输入,输出也为 个 16比特的子段; 比特的子段; 比特的子段