第14讲 分组密码选讲
合集下载
分组密码
7
DES分组密码算法 DES分组密码算法
一、背景简介
该算法是在美国NSA(国家安全局)资助下由IBM公 (国家安全局)资助下由 该算法是在美国 公 司开发的密码算法, 司开发的密码算法,其初衷是为政府非机密的敏感信息提 供较强的加密保护。它是美国政府担保的第一种加密算法, 供较强的加密保护。它是美国政府担保的第一种加密算法, 并在1977年被正式作为美国联邦信息处理标准。DES主要 年被正式作为美国联邦信息处理标准。 并在 年被正式作为美国联邦信息处理标准 主要 提供非军事性质的联邦政府机构和私营部门使用,并迅速 提供非军事性质的联邦政府机构和私营部门使用, 成为名声最大,使用最广的商用密码算法。 成为名声最大,使用最广的商用密码算法。
21
③ P盒置换 将S-盒变换后的32比特数据再进行P盒置换,置 换后得到的32比特即为 f 函数的输出。
P
16 29 1 5 2 32 19 22 7 12 15 18 8 27 13 11 20 28 23 31 24 3 30 4 21 17 26 10 14 9 6 25
含义:P盒输出的第 个元是输入的第 个元。 含义 盒输出的第1个元是输入的第 个元。 盒输出的第 个元是输入的第16个元
DES的第 DES的第 i 圈加密结构图 Li-1(32位) f Ri-1(32位)
Ki
Li(32位)
Ri(32位)
16
DES的 变形函数 的 变形函数F
32位
E
48位
48位子密钥
⊕
S1 S2
S3
S4
S5
S6
S7
S8
P
17
① E盒扩展 盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特 数据
《分组密码理论》课件
分组密码的工作模式
ECB模式
电子密码本模式,是最简单的分组密码工作模式。它将明 文分成固定长度的块,然后对每个块进行加密。
CBC模式
密码块链接模式,将前一块的密文作为下一块的加密密钥 ,使得明文中的重复内容在密文中也呈现规律性变化。
CFB模式
密码反馈模式,将前一块的密文作为下一块的加密密钥, 同时将加密后的密文反馈回来与明文进行异或操作,以实 现加密和解密过程。
介绍量子密码学的基本原理, 包括量子态的叠加性和纠缠性 ,以及量子不可克隆定理等。 这些原理为抗量子计算攻击的 分组密码提供了理论基础。
列举一些已经提出的抗量子计 算攻击的分组密码算法,如基 于多线性映射、基于哈希函数 、基于编码理论的算法等。
分析抗量子计算攻击分组密码 研究中面临的挑战,如算法效 率、实现难度和安全性证明等 ,并对未来的研究方向进行展 望。
分组密码的应用场景
通信安全
01
分组密码广泛应用于通信加密领域,如TLS/SSL协议中的AES加
密算法。
存储安全
02
在存储加密中,分组密码也扮演着重要的角色,用于保护数据
的机密性和完整性。
身份认证
03
分组密码还可以用于身份认证,通过加密和验证消息的完整性
来确保通信双方的身份安全。
2023
PART 02
2023
REPORTING
THANKS
感谢观看
基于云计算的分组密码
ห้องสมุดไป่ตู้云计算环境下的 安全需求
随着云计算技术的普及,数 据安全和隐私保护成为重要 需求。因此,研究基于云计 算的分组密码是必要的。
基于云计算的分 组密码算法原理
介绍基于云计算的分组密码 算法的基本原理,包括如何 利用云计算的分布式处理能 力提高加密和解密的速度, 以及如何利用云计算的存储 能力实现密钥的分布式存储 等。
《密码学分组密码》PPT课件
.
8
Feistel结构定义
•加密: Li = Ri-1; Ri = Li-1F(Ri-1,Ki) •解密: Ri-1 = Li
Li-1 = RiF(Ri-1,Ki)
= RiF(Li,Ki.)
9
Feistel结构图
.
10
数据加密标准
DES描述 二重DES 两个密钥的三重DES 三个密钥的三重DES
k57= k49= k41= ……= k9= k1=0 或1
k63= k55= k47= ……= k15= k7=0 或1
• 举例:共有4种,如:0101010.101010101。
33
(2) 半弱密钥:
定义:当存在子密钥K和K’,使得: DESk ( m ) = DESk’ -1 ( m ) 或 DESk ( DESk’ ( m ) ) = m 则K和K’成对构成半弱密钥。
C 1( 28 位 )
D 1( 28 位 )
8 2 16 1
( 56 位 ) 置 换 选 择 2
k1
(48 位 )
循环左移
循环左移
C i( 2 8 位 )
D i( 2 8 位 )
置 换 选 择 2 ki
( 56 位 )
( 48 位 )
.
29
置换选择1和置换选择2
.
30
DES解密
和Feistel密码一样,DES的解密和加密使 用同一算法,只是子密钥的使用顺序相 反。
.
32
关于DES的若干问题:
1. DES的坏密钥问题:
(1)弱密钥:
定义:当密钥K所产生的子密钥满足:K1 = K2 = ……= K16 则有:DESk ( m ) = DESk -1 ( m ) , 或:DESk ( DESk ( m ) ) = m 这样的密钥K称为弱密钥。
分组加密算法课件
密钥k=(k0,… ,kn-1) 密钥k=(k0,… ,kn-1)
明文
加密算法
(x0,… ,xn-1)
原来的明文 密文 解密算法 (x0,… ,xn-1)
(y0,… ,yn-1)
分组加密算法
分组密码的一般设计原理
设计目标
在密钥控制下,从一个足够大、足够好的置换 子集中简单迅速地选出一个置换,对当前输入 的明文数字组进行加密变换;
输入的第58位作为第1位 输入的第50位作为第1位 输入的第42位作为第1位
分组加密算法
输入的第40位作为第1位 输入的第8位作为第1位 输入的第42位作为第1位
IP与IP-1互逆
M=(m1 , m2 ,…..)
1 2 34 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
发明人:
IBM公司 W.Tuchman和C.Meyer.
基础:
1967年美国Horst Feistel提出的理论;
产生:
美国国家标准局1973年开始研究除国防部外的其它部门 的计算机系统的数据加密标准,于1973年5月15日和 1974年8月27日先后两次向公众发出了征求加密算法的 公告,最终选定DES。
S7盒
13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
《分组密码》PPT课件
一、有限域GF(28) 可以把出b7b6b5b4b3b2b1b0构成的一个字节看成是系数在(0, 1) 中取值的多项式:
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
分组密码
• …(省略)... 00401AB0 |MOV DL,BYTE PTR DS:[ECX+417D9F] 00401AB6 |MOV BYTE PTR DS:[EAX+417BA3],DL 00401ABC |ADD EAX,4 00401ABF |CMP EAX,38这里进行密钥变换 …(省略)... 00401BFF ||MOVSX ECX,BYTE PTR DS:[EAX+412215] 00401C06 ||MOV CL,BYTE PTR DS:[ECX+417D9F] 00401C0C ||MOV BYTE PTR DS:[EAX+417BA5],CL 00401C12 ||ADD EAX,6 00401C15 ||CMP EAX,30这里产生48位的子密钥 00401C18 |\JL SHORT Crackme1.00401BA0 00401C1A |MOV EAX,DWORD PTR SS:[ESP+14] 00401C1E |MOV EDI,EAX 00401C20 |MOV ECX,0C 00401C25 |MOV ESI,Crackme1.00417BA0 00401C2A |REP MOVS DWORD PTR ES:[EDI],DWORD PTR D> 00401C2C |MOV EDI,DWORD PTR SS:[ESP+10] 00401C30 |ADD EAX,30下一组子密钥 00401C33 |INC EDI 00401C34 |CMP EAX,Crackme1.00417B90这里进行16次的生成子密钥过程 00401C39 |MOV DWORD PTR SS:[ESP+10],EDI …(省略)... 可以看到8位密钥为:1,9,8,0,9,1,7,0
安全分组密码的工作模式
thatsignup,成员 on
VS
叨
叨 叨 st
a
how 的确 these 在此 st on
01
02
03
!! 巫
掏`` st st above
it onthe`` that that, among this on on on on on, on the on萜!,!the
01
on on, as, among too on the for the for the on on, that on,theonthe too on the on the, that on叨`` has, for the member...
02
on`` for.,还行 全员 stith that st too: the OnWist too st too st too member being for how said too vis a- among,, like taken``!! said indeed), “
03
though the st have said sp and for too! said said has that17... real... for how shows these ... that show how... kind too, among as is...!, like these sm
通信安全
分组密码用于加密通信过程中的数据,确保信息传输的机密性和完整性。
存储安全
在数据存储场景中,分组密码用于加密敏感数据,防止未经授权的访问和数据泄露。
身份认证
分组密码也用于身份认证过程,通过加密和验证加密数据的完整性来确认用户身份。
02
分组密码的基本原理
VS
叨
叨 叨 st
a
how 的确 these 在此 st on
01
02
03
!! 巫
掏`` st st above
it onthe`` that that, among this on on on on on, on the on萜!,!the
01
on on, as, among too on the for the for the on on, that on,theonthe too on the on the, that on叨`` has, for the member...
02
on`` for.,还行 全员 stith that st too: the OnWist too st too st too member being for how said too vis a- among,, like taken``!! said indeed), “
03
though the st have said sp and for too! said said has that17... real... for how shows these ... that show how... kind too, among as is...!, like these sm
通信安全
分组密码用于加密通信过程中的数据,确保信息传输的机密性和完整性。
存储安全
在数据存储场景中,分组密码用于加密敏感数据,防止未经授权的访问和数据泄露。
身份认证
分组密码也用于身份认证过程,通过加密和验证加密数据的完整性来确认用户身份。
02
分组密码的基本原理
分组密码详解
于劳埃德保险公司的现金分配系统 Feistel代换-置换网络主要参数
分组大小: (2w=64) 密钥大小: (|K|=128) 轮数:h 子密钥产生算法: K K1, K2,…, Kh. 轮函数设计: F
8
Feistel 密码
Feistel解密结构 与加密结构相同 子密钥使用次序相反: Kh, Kh-1,…,K2,K1 输入:密文y 输出:明文x
14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 15 7 4 14 2 13 1 10 6 12 11 9 5 4 1 14 8 13 6 2 11 15 12 9 7 3 10 15 12 8 2 4 9 1 7 5 11 3 14 10 0
07 38 50 6 13
16
S-盒
PC-1
57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
明文: x(2w-bit) L0(w-bit)
F
L1
R0(w-bit) K1
R1
….
….
Li
F
Ki
Ri
….
….
F
Kh
Lh
Rh
Lh+1
Rh+1
密文: y(2w-bit)
7
Feistel 密码
Feistel代换-置换网络(substitution-permutation network) 1971年,IBM的Feistel H. 领导的项目组首次提出,并用
分组大小: (2w=64) 密钥大小: (|K|=128) 轮数:h 子密钥产生算法: K K1, K2,…, Kh. 轮函数设计: F
8
Feistel 密码
Feistel解密结构 与加密结构相同 子密钥使用次序相反: Kh, Kh-1,…,K2,K1 输入:密文y 输出:明文x
14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 15 7 4 14 2 13 1 10 6 12 11 9 5 4 1 14 8 13 6 2 11 15 12 9 7 3 10 15 12 8 2 4 9 1 7 5 11 3 14 10 0
07 38 50 6 13
16
S-盒
PC-1
57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
明文: x(2w-bit) L0(w-bit)
F
L1
R0(w-bit) K1
R1
….
….
Li
F
Ki
Ri
….
….
F
Kh
Lh
Rh
Lh+1
Rh+1
密文: y(2w-bit)
7
Feistel 密码
Feistel代换-置换网络(substitution-permutation network) 1971年,IBM的Feistel H. 领导的项目组首次提出,并用
分组密码 (2)
I4
⊙
输入:
4个16bit子串: I1 , I 2 , I3 , I4 6个16bit子密钥: Z1 , Z2 , Z3 , Z4 , Z5 , Z6
Z2
⊞
⊙
⊞ ⊞
⊙
⊙
Z4 Z3
Z5
输出: 4个16bit子 串
O 1 , O2 , O3 , O4
⊞
Z6
O1 O2
2015-5-2
O3 O4
2015-5-2
RC5解密
解密也是很容易的,把密 文分>>>是循环右移
2015-5-2
BlowFish算法
BlowFish算法用来加密64Bit长度的字符串。 BlowFish算法使用两个“盒”——unsignedlongpbox[18] 和unsignedlongsbox[4,256]。 BlowFish算法中,有一个核心加密函数:BF_En。该函数输 入64位信息,运算后,以64位密文的形式输出。 用BlowFish算法加密信息,需要两个过程:
K1 K6 K7 K12
W11 W12 W13 W14 第2轮 W21 W22 W23 W24 … Y1 W71 W72 W73 W74 第8轮 W81 W82 W83 W84 输出变换 Y2 Y3 Y4 … … …
K43 K48 K49 K52
… …
密文: Y(64bit)
8轮迭代
Z1
I1
I2
I3
2015-5-2
对于密钥扩展的过程如下: (1)将128bit的密钥作为EK的前8byte
(2)将前8byte循环左移25bit,得到下一8byte, 将这个过程循环7次 (3)在第7次循环时,取前4byte作为EK的最后 4byte
分组密码原则
} }
一般公式:
RDi=LDi-1 LDi=RDi-1 XOR F(LDi-1 ,kn-i+1 )
(i=1~n)
分组密码设计原则
基本的原则还是和Feistel在20世纪7 0年代提出的一样
分组大小 密钥长度 加密轮数
函数F
能够混淆 非线性的 雪崩效应
如何选择有问题的S-盒
密钥 使产生子密钥算法复杂 密钥雪崩
void Feistel_Decode(long long &left, long long &right, const long long k[], int n) {
for (int i = n - 1; i >= 0; i--) { ^Feistel_F(left, k[i]); right = newRight;
加密算法的输入是长为2w位的明文组和密钥K。明文分组被分为等长的两部分:L0和R0。这 两部分数据经过n轮迭代后组合成密文组。第i轮迭代的输入Li-1 和Ri-1 来自于上轮迭代的输出; 而输入的子密钥Ki是由整个密钥K推导出的。一般地,Ki不同于K,也互不相同。 每轮迭代都有相同的结构。代换作用在数据的左半部分。它通过用轮函数F作用数据的右半部 分后,与左半部分数据进行异或来完成。每轮迭代的轮函数是相同的,但是输入的密钥Ki不同。
} }
一般公式:
LEi=REi-1 REi=LEi-1 XOR F(REi-1 ,ki)
(i=1~n)
Feistel密码解密过程
假设迭代为n轮
输入密文分为等长的两部分 每一轮的迭代过程如下
左边部分作为下一轮的右边
将左边部分和子密钥代入轮函数F
右边部分与轮函数的结果求异或得到下一轮的左边 如下图
一般公式:
RDi=LDi-1 LDi=RDi-1 XOR F(LDi-1 ,kn-i+1 )
(i=1~n)
分组密码设计原则
基本的原则还是和Feistel在20世纪7 0年代提出的一样
分组大小 密钥长度 加密轮数
函数F
能够混淆 非线性的 雪崩效应
如何选择有问题的S-盒
密钥 使产生子密钥算法复杂 密钥雪崩
void Feistel_Decode(long long &left, long long &right, const long long k[], int n) {
for (int i = n - 1; i >= 0; i--) { ^Feistel_F(left, k[i]); right = newRight;
加密算法的输入是长为2w位的明文组和密钥K。明文分组被分为等长的两部分:L0和R0。这 两部分数据经过n轮迭代后组合成密文组。第i轮迭代的输入Li-1 和Ri-1 来自于上轮迭代的输出; 而输入的子密钥Ki是由整个密钥K推导出的。一般地,Ki不同于K,也互不相同。 每轮迭代都有相同的结构。代换作用在数据的左半部分。它通过用轮函数F作用数据的右半部 分后,与左半部分数据进行异或来完成。每轮迭代的轮函数是相同的,但是输入的密钥Ki不同。
} }
一般公式:
LEi=REi-1 REi=LEi-1 XOR F(REi-1 ,ki)
(i=1~n)
Feistel密码解密过程
假设迭代为n轮
输入密文分为等长的两部分 每一轮的迭代过程如下
左边部分作为下一轮的右边
将左边部分和子密钥代入轮函数F
右边部分与轮函数的结果求异或得到下一轮的左边 如下图
1.分组密码_通信网技术基础_[共2页]
![1.分组密码_通信网技术基础_[共2页]](https://img.taocdn.com/s3/m/b45b0120ba0d4a7303763a8e.png)
通信网技术基础226 型。
在加密模型中,加密密钥公开。
在认证模型中,解密密钥公开。
加密模型如图8-7所示,此时公钥为加密密钥,私钥为解密密钥,这样,通信双方无须事先交换密钥就可进行保密通信。
图中发送者A 拥有许多接收者(包括B )的公钥,当A 需要向B 发送机密信息时,A 就用接收者B 公布的公钥对要发送的明文消息进行加密。
当接收者B 接收到密文后,用自己的私钥解密即可恢复出明文。
由于B 的私钥只有B 自己知道,因此只有B 才能解密被B 的公钥加密过的信息,从而实现保密传输。
认证模型如图8-8所示,此时私钥为加密密钥,公钥为解密密钥。
认证模型用于鉴定一条消息是由特定的用户发送的,而不是其他用户发送的。
图中发送者A 用其私钥对明文进行加密并发送给B ,B 接收到密文后,用A 公布的公钥对其进行解密即可恢复出明文。
由于只有A 才能从该明文生成所传输的密文,而其他人没有A 的私钥,不能生成这条密文,因此B 可以认定该消息是由A 发送的。
发送者A 接收者B发送者A 接收者B图8-7 非对称加密技术的加密模型 图8-8 非对称加密技术的认证模型非对称加密技术以单向函数为理论基础,单向函数在正向计算时比较容易,但其求逆计算在现有计算条件下是不可行的,也可以说,非对称加密技术把安全性押在加密和解密的运算量完全不对等的情况上。
非对称加密技术必须保证目前的计算机处理能力无法从公钥或密文分析出明文,而使用私钥加密时又非常容易。
非对称加密技术的优点是可以适应网络的开放性要求,密钥管理问题也较为简单,尤其可方便地实现认证和数字签名,但其算法复杂,加密数据的速率较低。
在实际应用中,人们通常将对称加密技术和非对称加密结合在一起使用,例如,利用对称加密技术来加密信息,而采用非对称加密技术来传递密钥。
在现代密码学中,加密技术的安全性依赖于密钥的安全性,而不依赖于算法的安全性。
这也就是说,只要密钥不公开,即使加密算法公开并被分析,不知道密钥的人也无法解密。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
轮
1
第
Nr
字节代替
行移位 …
轮
密文C(4 Word)
轮密钥K[Nr]
密文C(4 Word)
Cryptography
轮密钥加就是逐比特模二加,轮密钥加的逆是其自身。
在AES的加脱密主过程中,加密或脱密均需(Nr+1)个子密钥。
密码学课件
23
2016/9/20
40 39 38 37 36 35 34 33
08 07 06 05 04 03 02 01
48 47 46 45 44 43 42 41
16 15 14 13 12 11 10 09
56 55 54 53 52 51 50 49
24 23 22 21 20 19 18 17
2016/9/20
密码学课件
14
2016/9/20
密码学课件
15
2016/9/20
密码学课件
16
2016/9/20
整体结构 轮函数 密钥扩展算法
密码学课件
17
2016/9/20
一组明文M(64bit) 密钥K(56bit)
DES 密码算法
一组密文C(64bit)
密码学课件
密码学课件
28
2016/9/20
16 1 2 19
7 15 8 13
20 23 24 30
21 26 14 6
29 5 32 22
12 18 27 11
28 31 3 4
17 10 9 25
密码学课件
29
2016/9/20
密钥扩展算法
密码学课件
30
2016/9/20
密码学课件
2016/9/20
在加脱密过程中,将每个子密钥K[i](16字节)也表示成:
k0,0 k0,1 k 1,0 k 1,1 k k 2,1 2,0 k 3,0 k 3,1
k0,2 k1,2 k 2,2 k 3,2
k0,3 k1,3 k 2,3 k 3,3
明文M(4 Word) 轮密钥K[0]
i 0 7
换,则GF(28)中a与b的乘法运算如下:
由等式
b 1
7 i 0
if b7 0 if b7 1
和等式 a b a i Xtime i ( b )
可得等式{02}•{87} {03}•{6E} {01}•{46} {01}•{A6}={47} 的计算过程如下:
s0,0 s1,0 s 2,0 s 3,0
s0,1 s0,2 s0,3 b0,0 s1,1 s1,2 s1,3 b1,0 s2,1 s2,2 s2,3 b2,0 b s3,1 s3,2 s3,3 3,0
b0,1 b0,2 b0,3 b1,1 b1,2 b1,3 b2,1 b2,2 b2,3 b3,1 b3,2 b3,3
‹#›
密码学课件
32
2016/9/20
50 9 56 13
14 23 41 44
43 2 49 6
17 19 52 49
36 52 42 54
11 12 31 39
29 45 35 47
24 4 37 56
22 38 28 40
1 26 47 34
15 31 21 33
5 8 55 53
8 24 14 26
18
2016/9/20
一组密文C(64bit) 密钥K(56bit)
DES-1 密码算法
一组明文M(64bit)
密码学课件
19
2016/9/20
密码学课件
20
2016/9/20
密码学课件
21
2016/9/20
密码学课件
22
2016/9/20
58 60 62 64 57 59 61 63
50 52 54 56 49 51 53 55
42 44 46 48 41 43 45 47
34 36 38 40 33 35 37 39
26 28 30 32 25 27 29 31
18 20 22 24 17 19 21 23
10 12 14 16 09 11 13 15
02 04 06 08 01 03 05 07
b b7 b6b5b4b3b2b1b0 : bi F2 }
Xtime( b ) ( b 1 ) b7 ( 00011011 )
对a , bGF(28),若
a a7 a6a5a4a3a2a1a0 ,注意:Xtime0为恒等变
a b a i Xtime i ( b )
输 出 b0,0b1,0b2,0b3,0 b0,1b1,1b2,1b3,1 b0,2b1,2b2,2b3,2 b0,3b1,3b2,3b3,3
将输入、输出和中间状态按以下方式排成4×4的矩阵:
输入(初态)
中间状态 输出
a0,0 a1,0 a 2,0 a 3,0
a0,1 a0,2 a0,3 a1,1 a1,2 a1,3 a 2,1 a 2,2 a 2,3 a 3,1 a 3,2 a 3,3
Cryptography
… … 扩散层
Nr Nk 4 6 8
Nb
4
10 12 14
6
12 12 14
8
… …
14 14 14
扩散层
Cryptography
设AES的4*4字节(128bit)输入和输出记为:
输 入 a0,0 a1,0 a2,0 a3,0
a0,1a1,1a2,1a3,1 a0,2 a1,2 a2,2 a3,2 a0,3 a1,3 a2,3 a3,3
1 5 9 13 17 21 25 29
2 6 10 14 18 22 26 30
3 7 11 15 19 23 27 31
4 8 12 16 20 24 28 32
5 9 13 17 21 25 29 1
密码学课件
27
2016/9/20
0 1 2 3
0 14 0 4 15
1 4 15 1 12
密码学课件
6
2016/9/20
密码学课件
7
2016/9/20
发 方
128级移位寄存器
收 方
128级移位寄存器
E
输 出 反 馈
E
输 出 反 馈
n bit
取左边 n bit
取左边 n bit
n bit
n bit 模二加
n bit 模二加
密码学课件
8
2016/9/20
特别适于用户数据格式的需要(密码体制设计
的一个重要设计原则是:应尽量避免更改现有 系统的数据格式和一些规定)。 具有序列密码的优点:无错误扩散。这对于信 息冗余度较大的语音或图象等数据加密处理来 讲,比较合适,可以容忍传输和存储过程中产生 少量错误。
密码学课件
9
2016/9/20
发 方
128级移位寄存器
收 方
128级移位寄存器
K
AES K
0 S1 1 0 S2 1
S-盒的输出规定
3bit输入中第1bit决定行,第2、 3bit决定列,行列交叉之数的 密码学课件 2位二进制表示即为输出。
38
2016/9/20
按同样的参数,对加密得到的密文进行解密。
密码学课件
39
2016/9/20
分组密码选讲
密码学课件
40
2016/9/20
明文M(4 Word)
字节代替
第 1 轮 行移位 列 混 合 … 字节代替
字节代替-1
行移 位-1
第 轮 第
Nr-1 Nr
列 混 合-1 轮密钥K[1]
字节代替-1 行移 位-1
轮
Nr-1
第 轮
行移位
列 混 合
轮密钥K[Nr-1]
列 混 合-1
字节代替-1 … 行 移 位 -1
…
第
2 13 7 14 8
3 1 4 8 2
4 2 14 13 4
5 15 2 6 9
6 11 13 2 1
7 8 1 11 7
8 3 10 15 5
9 10 6 12 11
10 6 12 9 3
11 12 11 7 14
12 5 9 3 10
13 9 5 10 0
14 0 3 5 6
15 7 8 0 13
F
C0=
左环移1位
D0=
左环移1位
L1= R1=
C1=
D1=
F
L2= R2= R2= L2=
K2=
PC2=(5,7,1,8,4,2)
左环移3位 左环移3位
C2=
D2=
IP-1=(6,4,5,2,7,3,8,1)
密文C=
密码学课件
37
2016/9/20
计算F(R1,K1)的过程 计算F(R2,K2)的过程
取左边 n bit 密 文 反 馈 密 文 反 馈
AES K
取左边 n bit
K
Mi
Ki
n bit 模二加
Ci
Ci
Ki
n bit 模二加
密码学课件
Mi
10
2016/9/20
分组密码选讲
密码学课件
11
2016/9/20
1
第
Nr
字节代替
行移位 …
轮
密文C(4 Word)
轮密钥K[Nr]
密文C(4 Word)
Cryptography
轮密钥加就是逐比特模二加,轮密钥加的逆是其自身。
在AES的加脱密主过程中,加密或脱密均需(Nr+1)个子密钥。
密码学课件
23
2016/9/20
40 39 38 37 36 35 34 33
08 07 06 05 04 03 02 01
48 47 46 45 44 43 42 41
16 15 14 13 12 11 10 09
56 55 54 53 52 51 50 49
24 23 22 21 20 19 18 17
2016/9/20
密码学课件
14
2016/9/20
密码学课件
15
2016/9/20
密码学课件
16
2016/9/20
整体结构 轮函数 密钥扩展算法
密码学课件
17
2016/9/20
一组明文M(64bit) 密钥K(56bit)
DES 密码算法
一组密文C(64bit)
密码学课件
密码学课件
28
2016/9/20
16 1 2 19
7 15 8 13
20 23 24 30
21 26 14 6
29 5 32 22
12 18 27 11
28 31 3 4
17 10 9 25
密码学课件
29
2016/9/20
密钥扩展算法
密码学课件
30
2016/9/20
密码学课件
2016/9/20
在加脱密过程中,将每个子密钥K[i](16字节)也表示成:
k0,0 k0,1 k 1,0 k 1,1 k k 2,1 2,0 k 3,0 k 3,1
k0,2 k1,2 k 2,2 k 3,2
k0,3 k1,3 k 2,3 k 3,3
明文M(4 Word) 轮密钥K[0]
i 0 7
换,则GF(28)中a与b的乘法运算如下:
由等式
b 1
7 i 0
if b7 0 if b7 1
和等式 a b a i Xtime i ( b )
可得等式{02}•{87} {03}•{6E} {01}•{46} {01}•{A6}={47} 的计算过程如下:
s0,0 s1,0 s 2,0 s 3,0
s0,1 s0,2 s0,3 b0,0 s1,1 s1,2 s1,3 b1,0 s2,1 s2,2 s2,3 b2,0 b s3,1 s3,2 s3,3 3,0
b0,1 b0,2 b0,3 b1,1 b1,2 b1,3 b2,1 b2,2 b2,3 b3,1 b3,2 b3,3
‹#›
密码学课件
32
2016/9/20
50 9 56 13
14 23 41 44
43 2 49 6
17 19 52 49
36 52 42 54
11 12 31 39
29 45 35 47
24 4 37 56
22 38 28 40
1 26 47 34
15 31 21 33
5 8 55 53
8 24 14 26
18
2016/9/20
一组密文C(64bit) 密钥K(56bit)
DES-1 密码算法
一组明文M(64bit)
密码学课件
19
2016/9/20
密码学课件
20
2016/9/20
密码学课件
21
2016/9/20
密码学课件
22
2016/9/20
58 60 62 64 57 59 61 63
50 52 54 56 49 51 53 55
42 44 46 48 41 43 45 47
34 36 38 40 33 35 37 39
26 28 30 32 25 27 29 31
18 20 22 24 17 19 21 23
10 12 14 16 09 11 13 15
02 04 06 08 01 03 05 07
b b7 b6b5b4b3b2b1b0 : bi F2 }
Xtime( b ) ( b 1 ) b7 ( 00011011 )
对a , bGF(28),若
a a7 a6a5a4a3a2a1a0 ,注意:Xtime0为恒等变
a b a i Xtime i ( b )
输 出 b0,0b1,0b2,0b3,0 b0,1b1,1b2,1b3,1 b0,2b1,2b2,2b3,2 b0,3b1,3b2,3b3,3
将输入、输出和中间状态按以下方式排成4×4的矩阵:
输入(初态)
中间状态 输出
a0,0 a1,0 a 2,0 a 3,0
a0,1 a0,2 a0,3 a1,1 a1,2 a1,3 a 2,1 a 2,2 a 2,3 a 3,1 a 3,2 a 3,3
Cryptography
… … 扩散层
Nr Nk 4 6 8
Nb
4
10 12 14
6
12 12 14
8
… …
14 14 14
扩散层
Cryptography
设AES的4*4字节(128bit)输入和输出记为:
输 入 a0,0 a1,0 a2,0 a3,0
a0,1a1,1a2,1a3,1 a0,2 a1,2 a2,2 a3,2 a0,3 a1,3 a2,3 a3,3
1 5 9 13 17 21 25 29
2 6 10 14 18 22 26 30
3 7 11 15 19 23 27 31
4 8 12 16 20 24 28 32
5 9 13 17 21 25 29 1
密码学课件
27
2016/9/20
0 1 2 3
0 14 0 4 15
1 4 15 1 12
密码学课件
6
2016/9/20
密码学课件
7
2016/9/20
发 方
128级移位寄存器
收 方
128级移位寄存器
E
输 出 反 馈
E
输 出 反 馈
n bit
取左边 n bit
取左边 n bit
n bit
n bit 模二加
n bit 模二加
密码学课件
8
2016/9/20
特别适于用户数据格式的需要(密码体制设计
的一个重要设计原则是:应尽量避免更改现有 系统的数据格式和一些规定)。 具有序列密码的优点:无错误扩散。这对于信 息冗余度较大的语音或图象等数据加密处理来 讲,比较合适,可以容忍传输和存储过程中产生 少量错误。
密码学课件
9
2016/9/20
发 方
128级移位寄存器
收 方
128级移位寄存器
K
AES K
0 S1 1 0 S2 1
S-盒的输出规定
3bit输入中第1bit决定行,第2、 3bit决定列,行列交叉之数的 密码学课件 2位二进制表示即为输出。
38
2016/9/20
按同样的参数,对加密得到的密文进行解密。
密码学课件
39
2016/9/20
分组密码选讲
密码学课件
40
2016/9/20
明文M(4 Word)
字节代替
第 1 轮 行移位 列 混 合 … 字节代替
字节代替-1
行移 位-1
第 轮 第
Nr-1 Nr
列 混 合-1 轮密钥K[1]
字节代替-1 行移 位-1
轮
Nr-1
第 轮
行移位
列 混 合
轮密钥K[Nr-1]
列 混 合-1
字节代替-1 … 行 移 位 -1
…
第
2 13 7 14 8
3 1 4 8 2
4 2 14 13 4
5 15 2 6 9
6 11 13 2 1
7 8 1 11 7
8 3 10 15 5
9 10 6 12 11
10 6 12 9 3
11 12 11 7 14
12 5 9 3 10
13 9 5 10 0
14 0 3 5 6
15 7 8 0 13
F
C0=
左环移1位
D0=
左环移1位
L1= R1=
C1=
D1=
F
L2= R2= R2= L2=
K2=
PC2=(5,7,1,8,4,2)
左环移3位 左环移3位
C2=
D2=
IP-1=(6,4,5,2,7,3,8,1)
密文C=
密码学课件
37
2016/9/20
计算F(R1,K1)的过程 计算F(R2,K2)的过程
取左边 n bit 密 文 反 馈 密 文 反 馈
AES K
取左边 n bit
K
Mi
Ki
n bit 模二加
Ci
Ci
Ki
n bit 模二加
密码学课件
Mi
10
2016/9/20
分组密码选讲
密码学课件
11
2016/9/20