第7讲序列密码体制资料
第4章 序列密码体制
2.同步序列密码
密钥流 生产器
密 钥 流 Ki 明文流mi
密钥k(基于安全通道传递
密钥流 生产器
密 钥 流 Ki
加密算法E
密文流ci
解密算法D
明文流mi
同步序列密码模型
同步流密码SSC(Synchronous Stream Cipher): 内部状态i与明文消息无关,密钥流将独立于明文。 •特点: –对于明文而言,这类加密变换是无记忆的。但它是时变的。 –只有保持两端精确同步才能正常工作。 –对主动攻击时异常敏感而有利于检测 –2018/10/9 无差错传播(Error Propagation)
2.使用硬件方法的随机数产生器
目前生成随机数的几种硬件设备都是用于商业用途。得到广泛使 用的设备是 ComScire QNG,它是使用并行端口连接到 PC 的外部设备, 它可以在每秒钟生成 20,000 位,这对于大多数注重安全性的应用程序来 说已经足够了。 另外Intel 公司宣布他们将开始在其芯片组中添加基于热能的硬件 随机数发生器,而且基本上不会增加客户的成本。迄今为止,已经交付 2018/10/9 6 了一些带有硬件 PRNG 的 CPU。
•
•
抗线性分析
抗统计分析。
2018/10/9 14
实际上,序列密码不可能做到“一次一密”
但若密钥流生成器生成的密钥周期足够长,且随机性好,其安 全强度可以得到保证! 因此,序列密码的设计核心在于密钥流生成器的设计,序列密 码的安全强度取决于密钥流生成器生成的密钥周期、复杂度、随机 (伪随机)特性等。
现代密码学之03序列密码
3.2.2 线性反馈移存器(LFSR)简介
c0=1
c1
c2 …
…
x1
x2
am-1
am-2
cn-2 xn-1
cn-1
cn
xn am-n
一、当ci=1时,开关闭合,否则断开;c0=1表示总有 反馈;一般cn=1,否则退化。
二、反馈逻辑函数
f(x1, x2, …, xn)=c1x1+c2x2+…+cnxn 三、线性递推式
第3部分 序列密码
(1)伪随机序列的常规特性 (2)线性移位寄存器序列 (3)序列密码的基本编码技术 (4)序列密码的工作模型 (5)A5序列密码算法 (6)Sosemanuk序列密码算法 (7)RC4序列密码算法
3.1 伪随机序列的常规特性
理论上保密的密码体制是利用随机的密钥序列 ki 对 明 文 序 列 mi 加 密 得 到 密 文 序 列 ci (i=0,1,2,…),密钥序列必须与明文等长。
伪随机性的Golomb三假设
平衡性、游程特性和自相关特性是刻画一条序列的统 计特性的三个基本指标。
一、平衡性 平衡性考查的是在长度为的二元序列中,0信号的个
数与1信号的个数是否相等或者只相差1个。 二、游程 称一条二元序列中形如100…01的片段,为该序列的
一个0游程; 称形如011…10的片段为该序列的一个1游程; 称一个0游程中0的个数为该0游程的长度; 称一个1游程中1的个数为该1游程的长度。
现代密码学第5章:序列密码
1.1 同步序列密码
在同步序列密码中,由于zi=f(k,σi)与明 文字符无关,因而此时密文字符yi=Ezi(xi)也 不依赖于此前的明文字符。因此,可将同步 序列密码的加密器分成密钥流产生器和加密 变换器两个部分。 如果与上述加密变换对应的解密变换为 xi=Dzi(yi),则可给出同步序列密码体制的模 型如下图所示。
19
密钥序列生成器(KG)基本要求
k不可由一个低级(比如,小于106级) 的LFSR产生,也不可与一个低级LFSR产生 的序列只有比率很小的相异项; 利用统计方法由k提取关于KG结构或 K的信息在计算上不可行; 混乱性. 即k的每一bit均与k的大多 数bit有关; 扩散性. 即k任一bit的改变要引起k 在全貌上的变化。
(A , A )
(A , A
(1) 1 ( 2) 1
(1) 3
( 2) 3
S1
)
( ( A1(1) , A3 2) )
百度文库
( ( ( A31) , A22) )
S2
( ( A21) , A1( 2) )
( ( A1(1) , A22) )
S3
( ( A31) , A1( 2) )
( ( ( A21) , A22) )
F的设计:两种典型的基本编码手段
一个特殊情形就是“停停走走 ”(Stop时钟 and-Go)生成器,它的图示如下: n-LFSR1
清华大学出版社 密码学PPT课件
进行解密。
③ 选择明文攻击(Chosen-plaintext attack)
选择明文攻击是指密码分析者不仅可得到一些“明文—密文对”,还
可以选择被加密的明文,并获得相应的密文。这时密码分析者能够选
择特定的明文数据块去加密,并比较明文和对应的密文,已分析和发
现更多的与密钥相关的信息。
密码分析者的任务目标也是推出用来加密的密钥或某种算法,该算法
✓ 二十世纪末的AES算法征集活动使密码学界又掀起了一次分组密码研究的 高潮。同时,在公钥密码领域,椭圆曲线密码体制由于其安全性高、计算 速度快等优点引起了人们的普遍关注和研究,并在公钥密码技术中取得重 大进展。
✓ 在密码应用方面,各种有实用价值的密码体制的快速实现受到高度重视, 许多密码标准、应用软件和产品被开发和应用,美国、德国、日本和我国 等许多国家已经颁布了数字签名法,使数字签名在电子商务和电子政务等
.
15/31
第1章 密码学概述
在上面通信模型中,还存在一个密码攻击者或破译者可从普通信道 上拦截到的密文c,其工作目标就是要在不知道密钥k的情况下,试图从密 文c恢复出明文m或密钥k。
如果密码分析者可以仅由密文推出明文或密钥,或者可以由明文和密 文推出密钥,那么就称该密码系统是可破译的。相反地,则称该密码系统 不可破译。
. 12/31
第1章 密码学概述
几个基本概念与符号。
密码学3 序列密码
2019/1/25
24
二 特征多项式
设n级线性移位寄存器的输出序列{ai}满足递 推关系 an+k=c1an+k-1 c2an+k-2 … cnak 其中ci=0或1。 这种递推关系可用一个一元高次多项式 P(x)=1+c1x+…+cn-1xn-1+cnxn 表示,称这个多项式为LFSR的特征多项式。
1011
0111
27
(2)由特征多项式p(x)=1+x+x2+x3+x4 推得反馈函数f=a1 a2 a3 a4。
所以输出序列是 11110…,周期是5
1110
1111
1101 1011
2019/1/25
0111
28
三、 m序列
一个n级LFSR序列的最大周期为2n-1。 如果n级LFSR序列的非零周期是2n-1,则称 这个序列为m序列。
2019/1/25
26
解:(1)由特征多项式p(x)=1+x+x4 推得反 馈函数f=a1 a4。
0100 1001 0011 0110 1101 1010
2019/1/25
0010
0001 1000 1100 1110 1111
周期是15,输出序列是 011001000111101………
0101
密码学第7章 流密码
流密码的基本概念 线性反馈移位寄存器 线性移位寄存器的一元多项式表示 m序列的伪随机性 m序列密码的破译 非线性序列
流密码的基本概念
流密码又称为序列密码 流密码的基本思想:
利用密钥 k 产生一个密钥流 z z0z1z2 明文串 x x0 x1x2 加密规则: y y0 y1 y2 Ez0 (x0 )Ez1 (x1)Ez2 (x2 ) 密钥流由密钥流发生器 f 产生: zi f (k, i ) i 是加密器中的记忆元件(存储器)在时刻 i 的 状态, f 是由密钥 k 和 i 产生的函数。
而成为构造密钥流生成器的最重要的部件之一。
例:下图是一个 5 级线性反馈移位寄存器,其初始状态为 (a1, a2, a3, a4, a5 ) (1, 0, 0,1,1) ,求输出序列和周期。
输出序列为 1001101001000010101110110001111100110… 周期为 31。
此时 f 可写为 f (a1, a2, , an ) cna1 cn1a2 c1an
其中常数 ci 0 或 1, 是模 2 加法。 ci 0 或 1 可用开关 的断开和闭合来实现。
GF(2)上的 n 级线性反馈移位寄存器
输出序列{at} 满足:ant cnat cn1at1 c1ant1 ,t 为正整数。 LFSR 因其实现简单、速度快、有较为成熟的理论等优点
现代密码学第5章:序列密码
(A , A )
(A , A
(1) 1 ( 2) 1
(1) 3
( 2) 3
S1
)
( ( A1(1) , A3 2) )
( ( ( A31) , A22) )
S2
( ( A21) , A1( 2) )
( ( A1(1) , A22) )
S3
( ( A31) , A1( 2) )
( ( ( A21) , A22) )
时刻i
输出指针初始位 置n00随意选定 (缺省值为0)
N-LFSR作速度因子控制器
be-1
滑动
此时刻输出指针位置
b1
b0
位
D=be-1 ·e-1 ++ b1· b0+c 2 2+
下一时刻输出指针位置
{ xni }
xni
xni 1
被钟控序列
ni+1=ni+D
xni 1
x1
x0
32
定义
x, y Z 26
4 25 21 14 20 18
取K=8 明文为rendezvous 明文对应的整数序列为 17 4 13 3
密钥流为:
密文为:zvrqhdujim
8 17 4 13 3 4 25 21 14 20
20 9 8 12
序列密码(讲用)
0
a0 1
S1=(0, 1, 1)
19/32
在第二个时钟到来时
第3级 第2级 第1级 输出
1 1 f(x1,x2,x3)=x1x2⊕x3 x1=1, x2=1, x3=0
1
a0 0
S2=(1, 1, 1)
则其输出序列和状态序列如下 状态序列: (1,0,1) (0,1,1) (1,1,1) (1,1,0) (1,0,1) (0,1,1) …. 输出序列: 1 0 1 1 1 0 …. 由上面的结果可以看出,这个反馈移位寄存器的状态序 列和输出序列都是周期序列,其周期为4。
14/32
• 寄存器:在数字电路中,用来存放二进制数据或代码 寄存器:在数字电路中, 的电路称为寄存器。 的电路称为寄存器。 • 寄存器是由具有存储功能的触发器组合起来构成的。 寄存器是由具有存储功能的触发器组合起来构成的。 一个触发器可以存储一位二进制代码,存放N 一个触发器可以存储一位二进制代码,存放N位二进制 代码的寄存器,需用n个触发器来构成。 代码的寄存器,需用n个触发器来构成。 • 按功能可分为:基本寄存器和移位寄存器。 按功能可分为:基本寄存器和移位寄存器。 • 移位寄存器 :移位寄存器中的数据可以在移位脉冲作 用下一次逐位右移或左移,数据既可以并行输入、 用下一次逐位右移或左移,数据既可以并行输入、并 行输出,也可以串行输入、串行输出, 行输出,也可以串行输入、串行输出,还可以并行输 串行输出,串行输入、并行输出,十分灵活, 入、串行输出,串行输入、并行输出,十分灵活,用 途也很广。 途也很广。
1、密码体制分类及典型算法描述
1、密码体制分类及典型算法描述
密码体制分为三类:1、换位与代替密码体质2、序列与分组密码体制3、对称与非对称密钥密码体制。
典型算法描述:
2、试对代替密码和换位密码进行安全性分析。
1.单表代替的优缺点
优点: 明文字符的形态一般将面目全非
缺点: (A) 明文的位置不变; (B) 明文字符相同,则密文字符也相同; 从而导致:
(I) 若明文字符e被加密成密文字符a,则明文中e的出现次数就是密文中字符a的出现次数; (II) 明
文的跟随关系反映在密文之中. 因此,明文字符的统计规律就完全暴露在密文字符的统计规律之中.形态变但位置不变 2. 多表代替的优缺点优点: 只要(1) 多表设计合理,即每行中元互不相同,每列中元互不相同.(这样的表称为拉丁方表) (2) 密钥序列是随机序列即具有等概性和独立性。这个多表代替就是完全保密的。等概性:各位置的字符取可能字符的概率相同独立性在其它所有字符都知道时也判断不出未知的字符取哪个的概率更大。
2. 多表代替的优缺点密钥序列是随机序列意味着
1密钥序列不能周期重复
2密钥序列必须与明文序列等长
3这些序列必须在通信前分配完毕
4大量通信时不实用
5分配密钥和存储密钥时安全隐患大。
缺点周期较短时可以实现唯密文攻击。换位密码的优缺点
优点: 明文字符的位置发生变化;
缺点: (A) 明文字符的形态不变;
从而导致: (I) 密文字符e的出现频次也是明文字符e的出现次
数; 有时直接可破! (如密文字母全相同) 换位密码优缺点总结:
位置变但形态不变. 代替密码优缺点总结: 形态变但位置不变
密码学知识点整理
密码学(cryptology)是研究密码编制、密码破译和密钥管理的一门综合性应用科学。
一个密码体制由五部分组成:
明文空间(M);密文空间(C);密钥空间(K);加密变换:E; 脱密变换D。
密码学的三个分支:密码编码学,密码分析学,密钥管理学
对密码体制的基本要求:
(1) 即使达不到理论上是不可破的,也应当是实际上不可破的。
(2)保密性不依赖于对加密体制或算法的保密,而依赖于密钥。(Kerckhoff 假设)
(3)加密算法和脱密算法适用于密钥空间中的所有元素。弱密钥除外!
(4)易于实现和使用。
按敌手可利用的知识的类别的多少,攻击方法可分为:
(1)唯密文攻击
(2)已知明文攻击
(3)选择明文攻击
(4)选择密文攻击
分析方法有:穷举攻击、统计攻击、解析攻击、
代数攻击等
移位密码的特点
优点:明文字符的位置发生变化。移位密码打乱了明文字符之间的跟随关系,使得明文自身具有的结构规律得到了破坏。
缺点:明文字符的形态不变;
一个密文子符的出现次数也是该子符
在明文中的出现次数。
单表代替的特点:
优点:隐蔽了明文字符的原形!
缺点:明文字符相同,则密文字符相同。即
一个密文字符的频次就是它对应的明文字符
的频次,明文字符之间的跟随关系直接反映
在密文之中。
多表代替密码的特点
优点:特殊的多表代替密码可以做到完全保密。
缺点:大量通信时不实用;分配密钥和存储密钥时安全隐患大;密钥序列可能重复使用。
熵表示集X中事件出现的平均不确定性,或为确定集X中出现一个事件平均所需的信息量,或集X中出现一个事件平均给出的信息量。
条件熵定义为:
07密码学与网络安全第七讲
密码学与网络安全第七讲身份鉴别
讨论议题
1.鉴别的基本概念
2.鉴别机制
3.鉴别与交换协议
4.典型鉴别实例
一、鉴别的基本概念
1、鉴别--Authentication
鉴别就是确认实体是它所声明的,也就是确保通信是可信的。鉴别是最重要的安全服务之一,鉴别服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务);鉴别可以对抗假冒攻击的危险。
2、鉴别的需求和目的
1)问题的提出:身份欺诈;
2)鉴别需求:某一成员(声称者)提交一个主体的身份并声称它是
那个主体。
3)鉴别目的:使别的成员(验证者)获得对声称者所声称的事实的
信任。
3、身份鉴别
定义:证实客户的真实身份与其所声称的身份是否相符的过程。依据:
1)密码、口令等;
2)身份证、护照、密钥盘等
3)指纹、笔迹、声音、虹膜、DNA等
4)协议
4、鉴别协议
•双向鉴别(mutual authentication)
• 单向鉴别(one-way authentication)
1)双向鉴别协议:最常用的协议。该协议使得通信各方互相认证鉴别各自的身份,然后交换会话密钥。
• 基于鉴别的密钥交换核心问题有两个:
–保密性:确保信息的机密性,阻止截取、窃听等攻击;
–实效性;阻止冒充、篡改、重放等攻击。
为了防止伪装和防止暴露会话密钥,基本身份信息和会话密钥信息必须以保密形式通信,这就要求预先存在密钥或公开密钥供实现加密使用。第二个问题也很重要,因为涉及防止消息重放攻击。
鉴别的两种情形
• 鉴别用于一个特定的通信过程,即在此过程中需要提交实体的身份。
1)实体鉴别(身份鉴别):某一实体确信与之打交道的实体正是所需要的实体。只是简单地鉴别实体本身的身份,不会和实体想要进行何种活动相联系。
密码学概述与古典密码详解演示文稿
21/02242//210/224
36
第36页,共60页。
eg:通过恺撒(Caesar)密码对明文加密: please
则密文为:sohdvh
21/02242//210/224
37
第37页,共60页。
2、移位变换
c Ek (m) m k(mod 26),0 m, k 25 m Dk (c) c k(mod 26),0 c, k 25
Kd 解密密钥
密钥 K=<Ke,Kd>
图4:加密解密模型
21/02242//210/224
21
第21页,共60页。
重点
示例
eg:分析下列表达式的含义
C=E(M,Ke)=Eke(M) 加密算法E在加密密钥Ke的控制下将明文 M加密成密文C。
M=D(C,Kd)=DKd(C) 解密算法D在密钥Kd的控制下将密文C解 出成明文M。
三、单表代换密码
字母与十进制数字的对应关系:
21/02242//210/224
35
第35页,共60页。
1、凯撒密码
c E3(m) m 3(mod 26),0 m 25 m D3(c) c 3(mod 26),0 c 25
其中:
m是明文,c是密文。
3是加密所用的密钥,加密时,每个字母向后移3位,解 密时,每个字母向前移3位(均为循环移位)。
第10章_密码学的新方向
1. 量子密码学
(1)量子密码学简介
量子密码学(Quantum Cryptography)是量子力学与现代密 码学相结合的产物。 1970年,美国科学家威斯纳(Wiesner)首先将量子力学用于 密码学,指出可以利用单量子状态制造不可伪造的“电子钞票”。 1984年,IBM公司的贝内特(Bennett)和Montreal大学的布 拉萨德(Brassard)在基于威斯纳的思想的基础上研究发现,单 量子态虽然不便于保存但可用于传输信息,提出了第一个量子密 码学方案(即基于量子理论的编码方案及密钥分配协议),称为 BB84协议。它是以量子力学基本理论为基础的量子信息理论领域 的地一个应用,并提供了一个密钥交换的安全协议,称为量子密 钥交换或分发协议,由此迎来了量子密码学的新时期。
2013-11-26 6
1991年,英国牛津大学的Ekert提出的基于EPR的量子密钥分配 协议(E91)充分利用了量子系统的纠缠特性,通过纠缠量子系统 的非定域性来传递量子信息,取代了BB84 协议中用来传递量子位 的量子信道,因而可以更加灵活地实现密钥分配。 1992年,贝内特指出只用两个非正交态即可实现量子密码通信 并提出B92 协议。 至此,量子密码通信三大主流协议已基本形成。 20世纪90 年代以来世界各国的科学家对量子密码通信的研究 投入了大量的精力,并取得了较大的成功。 瑞士University of Geneva 在原有光纤系统中已建立22.8km 量子保密通信线路并投入了实用; 英国BT实验室已实现在常规光缆线路上量子密码通信传输距离 达55km;
密码学
1.密码体制分类:1)对称密码体制(密钥必须完全保密、加密与解密密钥相同,或可由其中一个很容易推出另一个,又称秘密密钥、单钥、传统密码体制,包括分组密码和序列密码)优点:加解密速度较快,有很高的数据吞吐率;使用的密钥相对较短;密文的长度与明文长度相同;缺点:密钥分发需要安全通道;密钥量大,难于管理;难以解决不可否认问题。2)非对称密码体制(使用两个密钥,一个是对外公开的公钥,一个是必须保密的私钥,不能由公钥推出私钥,又称双钥或公开密钥密码体制)优点:密钥的分发相对容易;密钥管理简单;可以有效地实现数字签名。缺点:与对称密码体制相比,非对称密码体制加解密速度较慢;同等安全强度下,非对称密码体制要求的密钥位数要多一些;密文的长度往往大于明文长度。
2.AES与DES对比:1)相似处:二者的圈(轮)函数都是由3层构成:非线性层、线性混合层、子密钥异或,只是顺序不同;AES的子密钥异或对应于DES中S盒之前的子密钥异或;AES的列混合运算的目的是让不同的字节相互影响,而DES中F函数的输出与左边一半数据相加也有类似的效果;AES的非线性运算是字节代换,对应于DES中唯一的非线性运算S盒;行移位运算保证了每一行的字节不仅仅影响其它行对应的字节,而且影响其他行所有的字节,这与DES中置换P相似。2)不同之处:AES的密钥长度(128位192位256位)是可变的,而DES的密钥长度固定为56位;DES是面向比特的运算,AES是面向字节的运算;AES的加密运算和解密运算不一致,因而加密器不能同时用作解密器,DES 则无此限制。
《分组密码》PPT课件
第1章 密码学概述 第2章 古典密码技术 第3章 分组密码 第4章 公钥密码体制 第5章 散列函数与消息鉴别 第6章 数字签名技术 第7章 密钥管理技术 第8章 身份鉴别技术 第9章 序列密码 第10章 密码技术应用
第3章 分组密码
本章主要内容
• 概述 • 分组密码的设计原则与评估 • 分组密码的设计方法 • 数据加密标准-DES • 高级加密标准-AES • 分组密码的工作模式 • 其它分组密码
第3章 分组密码
3.4 数据加密标准-DES DES是一种明文分组为64比特,有效密钥56比特,
输出密文64比特的,具有16轮迭代的分组对称密码算 法,DES由初始置换,16轮迭代,初始逆置换组成。 1.DES的基本运算
(1)初始置换IP和初始逆置换IP-1
精选课件ppt 8/37
第3章 分组密码
精选课件ppt 5/37
第3章 分组密码
3.3 分组密码常见的设计方法 3.3.1 Feistel结构
Li-1
Ri-1
Ki
F
Li = Ri-1
Ri = Li-1 F(Ri-1, Ki)
Feistel结构是典型的迭代密码.Feistel结构的解 密与加密是完全一样的,除了所使用的子密钥的顺序 正好相反。
S盒的构造中是否使用了进一步的设计准则。 ( 2 ) 56位有效密钥太短 这是最致命的缺陷。 ( 3 ) 弱密钥和半弱密钥 ( 4 ) 代数结构存在互补对称性
序列密码(讲用)
5. g是一个密钥流生成器。g使用密钥k和可选的部分密文
作为输入,产生无限的密钥流k1k2…, ki∈L, i ≥ 1。 6. 对于任意的k∈L,都有一个加密规则ek∈E和相应的解
密规则dk∈D。并且对每一明文x∈P,ek:P→C和 dk:C→P是满足dk(ek(x))的函数。 序列密码分为同步序列密码和自同步序列密码两种。
10
同步序列密码模型
在同步序列密码中,密钥流的产生独立于明文和密文。分组 加密的OFB模式就是一个同步序列加密的例子。
密钥流 密钥k(基于安全通道传递) 密钥流
生成器
生成器
密
钥
流
明文流mi
ki
加密算法E
密文流ci
密
钥
流
ki
明文流mi
解密算法D
同步序列密码模型
11
同步序列密码的特点
(1)同步要求。在一个同步序列密码中,发送方和接收 方必须是同步的,用同样的密钥且该密钥操作在同样的位置, 才能保证地解密。如果在传输过程中密文字符有插入或删除 导致同步丢失,则解密失败,且只能通过重新同步来实现恢 复。
与分组密码相比,序列密码受政治的影响很大,目前应用领域主要还是在军 事、外交等部门。虽然也有公开设计和研究成果发表,但作为密码学的一个分 支,流密码的大多设计与分析成果还是保密的。目前可以公开见到、较有影响的 流密码方案包括 A5、SEAL、RC4、PIKE 等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019/6/10
6
事实上,序列密码算法其安全性依赖于简单的异或运算和密钥 序列。密钥流发生器生成的看似随机的密钥流实际上是确定的,在 解密的时候能很好的将其再现。密钥流发生器输出的密钥越接近随 机,对密码分析者来说就越困难。
如果密钥流发生器每次都生成同样的密钥流的话,对攻击来说, 破译该算法就容易了。
① 人们试图以序列密码方式仿效“一次一密”密码 ② 序列密码的理论已经比较成熟,而且具有工程实现容易、效
率高等特点 ③ 采用一个短的种子密钥来控制某种算法产生出长的密钥序列
,供加、解密使用,而短的种子密钥的存储、分配都较容易
2019/6/10
4
序列密码 vs. 分组密码
分组密码以一定大小的分组作为每次处理的基本单元,而序列密 码则以一个元素(如一个字母或一个比特)作为基本的处理单元。
密码设计者的最大愿望是设计出一个滚动密钥生成器,使得密 钥经其扩展成的密钥流序列具有如下性质:
2019/6/10
10
自同步序列密码的特点
- 自同步 自同步的实现依赖于密文被删除或插入,因为解密只取决于
先前固定数量的密文字符。自同步序列密码在同步丢失后能够自 动重新建立正确的解密,只有固定数量的明文字符不能被恢复。 - 有限的错误传播
因为自同步序列密码的状态取决于n个已有的密文字符,如果 一个密文字符在传输过程中被修改,则解密时最多影响到后续n 个字符的解密恢复,会发生有限的错误传播。 - (由于具有自同步能力,)强化了其抗统计分析的能力
2019/6/10
9
密钥k 密钥流 生产器
明文流mi
密 钥 流 Ki
加密算法E
密钥k(基于安 全通道传递
密文流ci
密钥流 生产器
密钥k
密 钥 流 Ki
解密算法D
明文流mi
自同步序列密码模型
•自同步流密码SSSC(Self-Synchronous Stream Cipher)
内部状态i依赖于(kI,i-1,mi),使密文ci不仅与当前输入mi有 关,而且ki对i的关系还与以前的输入m1, m2 ,…,mi-1有关。一般 在有限的n级存储下将与mi-1,…,mi-n有关。
- 对失步的敏感性
- 收方的解密将一直错误,直到重新同步为止 - 容易检测插入、删除、重播等主动攻击
-无错误传播
当通信中某些密文字符产生了错误(如0变成1,或1变成 0),只影响相应字符的解密,不影响其它字符。
- 对主动攻击时异常敏感而有利于检测。
2019/6/10
13
- 序列密码ห้องสมุดไป่ตู้密钥流序列应具备的性质
应用密码学
张仕斌 万武南 张金全 孙宣东编著
西安电子科技大学出版社 二00九年十二月
2019/6/10
1
第4章 序列密码体制
2019/6/10
2
知识点:
◇ 序列密码的概念 ◇ 线性反馈移位寄存器 ◇ 序列和周期 ◇ 非线性序列简介 ◇ 常用序列密码
2019/6/10
3
起源
- 一次一密 无条件安全:在理论上是不可破译的 但:要求密钥与明文具有相同长度、且不可重复使用,增加了 密钥分配与管理的困难 对策:用一个较小的密钥来伪随机地生成密钥流。
假的Alice得到一份密文和相应的明文,她就可以将两者异或 恢复出密钥流。或者,如果她有两个用同一个密钥流加密的密文, 她就可以让两者异或得到两个明文互相异或而成的消息。这是很容 易破译的,接着她就可以用明文跟密文异或得出密钥流。
现在,无论她再拦截到什么密文消息,她都可以用她所拥有的 密钥流进行解密。另外,她还可以解密,并阅读以前截获到的消息 。一旦Alice得到一明文/密文对,她就可以读懂任何东西了。
对于明文而言,这类加密变换是无记忆的,但它是时变的;只有保 持两端精确同步才能正常工作;无差错传播(Error Propagation) 。
2019/6/10
12
同步序列密码的特点
- 在保密通信过程中,通信的双方必须保持精确的同步
对于同步序列密码,只要通信双方的密钥序列产生器具有相 同的种子密钥和相同的初始状态,就能产生相同的密钥序列。
2019/6/10
11
2.同步序列密码
密钥流 生产器
密钥k(基于安全通道传递
密钥流 生产器
明文流mi
密 钥 流 Ki
加密算法E
密文流ci
密 钥 流 Ki
解密算法D
明文流mi
同步序列密码模型
同步流密码SSC(Synchronous Stream Cipher):
内部状态i与明文消息无关,密钥流将独立于明文。因此,
2019/6/10
7
这就是为什么所有序列密码需要随机密钥的原因。密钥流发生 器的输出是密钥的函数。
这样,Alice有一个明文/密文对,但她只能读到用特定密钥加 密的消息。
更换密钥,攻击者就不得不重新分析。
流密码是将明文划分成字符(如单个字母),或其编码的基本单元( 如0, 1数字),字符分别与密钥流作用进行加密,解密时以同步产生 的同样的密钥流实现。
• 流密码强度完全依赖于密钥序列的随机性(Randomness)和不 可预测性(Unpredictability)。
• 核心问题是密钥流生成器的设计。
• 2保019持/6/1收0 发两端密钥流的精确同步是实现可靠解密的关键技8 术。
- 序列密码的分类:
1.自同步序列密码
自同步序列密码就是密钥流的每一位是前面固定数量密文位的 函数,下图和下页图描述了其工作原理。其中,内部状态是前面n 比特密文的函数。该算法的密码复杂性在于输出函数,它收到内部 状态后生成密钥序列位。
序列密码算法将明文逐位转换成密文,如下图所示。
密钥流发生器(也称为滚动密钥发生器)输出一系列比特流:K1, K2,K3,……Ki 。密钥流(也称为滚动密钥)跟明文比特流(m1,m2, m3,……mi ) ,进行异或运算产生密文比特流。
加密: C i =mi⊕K i
在解密端,密文流与完全相同的密钥流异或运算恢复出明文流。
序列密码使用一个随时间变化的加密变换,具有转换速度快、低 错误传播的优点,硬件实现电路更简单;其缺点是:低扩散(意味 着混乱不够)、插入及修改的不敏感性。
分组密码使用的是一个不随时间变化的固定变换,具有扩散性好、 插入敏感等优点;其缺点是:加密处理速度慢。
2019/6/10
5
4.1 序列密码的概念