第三章对称密钥体制
第3讲 对称密钥密码体制(1)
f
R16= L15⊕f(R15,K16) IP-1 L16=R15
K16
密文
(1)IP置换表和IP-1逆置换表
输入的64位数据按IP表置换进行重新组合,并把输出分为L0和R0两部分, 每部分各32位,其IP表置换如表3-1所示
3-2 IP置换表
58 60 62 64 57 59 61 63 50 52 54 56 49 51 53 55 42 44 46 48 41 43 45 47 34 36 38 40 33 35 37 39 26 28 30 32 25 27 29 31 18 20 22 24 17 19 21 23 10 12 14 16 9 11 13 15 2 4 6 8 1 3 5 7
59 58
29 28
27 26
33
1
41
9
49
17
57
25
逆置换正好是初始置的逆运算,例如,第1位经过初始置换 后,处于第40位,而通过逆置换IP-1,又将第40位换回到第1位, 其逆置换IP-1规则表如3-2所示。
初始置换IP和IP-1MBiblioteka 20 M '14IP
IP-1
M '14 M ''20
路收费站等领域被广泛应用,以此来实现关键数据的保密。
DES的生命周期
1975 年,NBS最终采纳了 IBM 的 LUCIFER 方案,公开发表DES。 1977 年正式颁布为数据加密标准(DES - Data Encryption Standard)。
1979 年,美国银行协会批准使用 DES。
轮 数 1 2 3 循环左移 位数 1 1 2 轮 数 5 6 7 循环左移 位数 2 2 2 轮 9 10 11 数 循环左移 位数 1 2 2 轮 数 13 14 15 循环左移 位数 2 2 2
第3讲 对称密钥密码体制
密钥发生器 种子 k
明文流 m i
明文流m i 加密算法E
密钥流 k i 密钥流 发生器
密文流 c i
安全通道 密钥 k
解密算法D
密钥流 发生器
明文流m i
密钥流 k i
图1 同步流密码模型
内部状态 输出函数
内部状态 输出函数
密钥发生器 种子 k
k
密文流 c i
k
图2 自同步流密码模型
明文流 m i
❖ 实际使用的密钥流序列(简称密钥)都是按一定算法生成的, 因而不可能是完全随机的,所以也就不可能是完善保密系统。 为了尽可能提高系统的安全强度,就必须要求所产生的密钥 流序列尽可能具有随机序列的某些特征。如极大的周期、良 好的统计特性。
3.2 分组密码
分组密码的原理 分组密码的设计原则 Feistel密码结构 数据加密标准 DES 其他分组密码 分组密码的典型攻击方法
1.分组密码的原理
❖ 密文中的每位数字不仅仅与某时刻输入的明文数字有关,而 是与该明文中一定组长的明文数字有关。分组密码将明文按 一定的位长分组,输出是固定长度的密文。
明文x=(x1, x2, ···)
密文y=(y1, y2, ···, yn )
明文x=(x1, x2, ···)
加密算法
解密算法
密钥k=(k1, k2, ···)
分组密码 (Block cipher) 流密码 (Stream cipher) 公钥密码 (Public-Key cipher)
密码学(Cryptology) 按加解密采用的密钥不同
对称密码 (Symmetric cipher) 非对称密码 (Asymmetric cipher)
按密码出现的时间不同
03、对称密码体制
数据加密标准(Data Encryption Standard,DES)是至 今为止使用 最为广泛的加密算法。
1974年8月27日, NBS开始第二次征集,IBM提交了算法LUCIFER ,该算法由IBM的工程师在1971~1972年研制。
1975年3月17日, NBS公开了全部细节1976年,NBS指派了两个
序列密码算法(stream cipher)
每次可加密一个比特戒一个字节 适合比如进程终端输入加密类的应用
对称密码体制
4
3.1 分组密码原理
分组密码
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划
分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制 下发换成等长的输出数字(简称密文数字)序列。
构,如FEAL、Blowfish、RC5等。
对称密码体制
9
3.1.2 分组密码的一般结构
Feistel密码结构的设计动机
分组密码对n比特的明文分组迚行操作,产生出一个n比特的密文分
组,共有2n个丌同的明文分组,每一种都必须产生一个唯一的密文 分组,这种发换称为可逆的戒非奇异的。 可逆映射 00 01 10 11 11 10 00 01 丌可逆映射 00 01 10 11 11 10 01 01
对称密码体制Biblioteka 193.2.1 简化的DES
简化的DES
简化的DES(Simplified - DES)是一个供教学而非安全的加密算法, 它不DES的特性和结构类似,但是参数较少。 S - DES的加密算法以8bit的明文分组和10位的密钥作为输入,产生 8bit的明文分组做为输出。 加密算法涉及五个凼数:
信息安全概论课后答案
四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11) 1.信息安全的目标是什么答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Avai lability)。
机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。
抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。
可用性(Availability)是指保障信息资源随时可提供服务的特性。
即授权用户根据需要可以随时访问所需信息。
2.简述信息安全的学科体系。
解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。
除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。
信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。
信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。
3. 信息安全的理论、技术和应用是什么关系如何体现答:信息安全理论为信息安全技术和应用提供理论依据。
信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。
信息安全应用是信息安全理论和技术的具体实践。
它们之间的关系通过安全平台和安全管理来体现。
安全理论的研究成果为建设安全平台提供理论依据。
安全技术的研究成果直接为平台安全防护和检测提供技术依据。
平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。
对称密钥密码体制
对称密钥密码体制
对称密钥密码体制是指加密和解密使用相同密钥的密码体制。
这种体制下,发送方和接收方都使用同一个密钥来加密和解密信息。
一些常见的对称密钥密码算法包括DES(数据加密标准)、AES(高级加密标准)等。
在对称密钥密码体制中,密钥的安全性至关重要,因为任何获取了密钥的人都可以解密被加密的信息。
因此,保护密钥的安全就成了一项重要的任务。
在实际应用中,密钥需要通过安全的方式在发送方和接收方之间传输,以防止密钥在传输过程中被窃取。
对称密钥密码体制的优点是加密和解密的速度快,效率高,尤其在需要处理大量数据时,对称加密算法通常是首选。
因为在这种密码体制中,加密和解密使用的是同一套算法,所以处理速度比较快。
然而,对称密钥密码体制也存在一些缺点。
最主要的问题就是密钥管理问题。
在大型网络环境中,每对通信双方都需要一个唯一的密钥进行通信,随着用户数量的增加,需要管理的密钥数量也会大大增加,使得密钥管理变得非常复杂。
另一个问题就是密钥传输问题,如果密钥在传输过程中被窃取,那么信息的安全性就无法得到保证。
因此,在实际应用中,对称密钥密码体制通常与公钥密码体制相结合,
形成混合密码体制。
对称密钥密码体制用于加密实际的消息内容,而公钥密码体制则用于安全地传输对称密钥。
这种混合使用的方式,既利用了对称密钥密码体制的高效性,又解决了密钥传输的问题。
总的来说,对称密钥密码体制是一种重要的密码体制,它在保障信息安全、保护用户隐私等方面发挥着重要作用。
虽然它有一些缺点,但通过合理的设计和使用,我们可以充分利用其优点,使得信息在传输过程中得到有效的保护。
密码学5.1对称密码体制
5.1.补充 S-DES教学算法 补充 教学算法
1. 加密模型 1) 输入输出
8位明文 位明文 p=(p0,p1,…,p7) 10位密钥 位密钥 k=(k0,k1,…,k9)
加密
8位密文 位密文 c=(c0,c1,…,c7)
2) 算法流程
加密 8位明文 位明文 p=(p0,p1,…,p7)
初始置换IP
第三章 对称密码体制
3) 对m2做10位转 位变换 位转8位变换 做 位转 位变换P8 P8=
① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ⑥ ③ ⑦ ④ ⑧ ⑤ ⑩ ⑨
m2=(0 0 0 0 1 1 1 0 0 0) 得子密钥k1=P8(m2)=(1 得子密钥k1=P8(m2)=(1 0 1 0 0 1 0 0) 4) 分别对 左右两个5位码循环左移 次 分别对m2左右两个 位码循环左移 左右两个 位码循环左移2次 m2=(0 0 0 0 1 移位后m3=(0 移位后m3=(0 0 1 0 0 1 1 0 0 0) 0 0 0 1 1)
5.1 分组密码
5.1.1 分组密码概述
分组密码的 分组密码的模型
密钥k=(k0,k1,…,km-1) 密钥 明文 分组 加密E 加密 k (p) 密文 分组 如:01101011 密钥k=(k0,k1,…,km-1) 密钥 解密D 解密 k (c) 明文 分组 p=(p0,p1,…,pn-1) 如:10110101
VI. 将L1与L4进行异或 与 进行异或 L1=(1 0 0 0) L4=(0 1 0 0) L5=L1⊕ L5=L1⊕L4=(1 1 0 0) VII.将L5与R1拼接即得到 位输出 将 与 拼接即得到 拼接即得到8位输出 p3= L5 ‖ R1=(1 1 0 0 0 1 0 0) 3) 对p3进行左右交换 进行左右交换 p4=SW(p3)=(0 1 0 0 1 1 0 0)
网络信息安全第三章-1
n 1
r 0
n 1
gcd( a , b ) r n
例:利用Euclid 算法求gcd(1694,917)
1694 917 1 777
917 777 1 140
777 140 5 77
140 77 1 63
77 631 14 63 14 4 7
公钥密码体制的基本原理
对称密码体制的缺点
• 密钥必须秘密地分配 • 如果密钥被损害了,攻击者就能解密所有消息,并可以假
装是其中一方。
• 密钥分配和管理
传统密钥管理两两分别用一对密钥时,则当用户量增大时密钥空
间急剧增大如: n=100 时C(100,2)=4,995 n=5000时C(5000,2)=12,497,500
• 计算Ø (n)=(p-1)(q-1)
• 选择e , 使它成为是Ø (n)的一个互质数
• 确定d , 使得d*e=1mod Ø (n),并且d< Ø (n)
d为私钥,e为公钥,p、q不再需要,丢弃。
RSA算法描述
2.加密
(1) 把m分成等长数据块m1、m2、…、mi 2s≤n,s要尽可能的大。 (2) 对应的密文是
困难的。
欧几里(Euclid )算法
gcd(a, b) ?
a bq r
1 1 2 1
用于求两个数 的最大公约数
1
0r b 0r r
2 3 1
b rq r
1 2 3
2
r rq r
3
0r r
2
r r q r
n2 n 1 n
n
0r r
n
n 1
r rq r
密钥安全管理制度
密钥安全管理制度第一章总则第一条为了规范密钥的使用和管理,保障信息系统的安全,提高信息安全水平,制定本制度。
第二条本制度适用于本单位所有的信息系统和网络设备,并对密钥的生成、导入、导出、分发、备份、恢复、销毁等环节进行规范管理。
第三条本制度所称密钥,包括对称密钥和非对称密钥两类。
对称密钥是指加密和解密使用同一个密钥的方式,非对称密钥是指加密和解密使用不同密钥的方式。
第四条密钥管理原则包括安全性、访问控制、审计和备份。
第五条密钥管理工作由本单位信息安全管理部门负责组织实施。
第二章密钥生成和存储第六条密钥的生成应选择具有足够强度的算法和密钥长度,并经过充分的随机化处理。
第七条生成的密钥应存储在安全的存储介质中,不得明文保存在计算机或网络设备中。
第八条密钥应定期进行更换,以保障系统的安全性。
第九条密钥生成和存储的具体操作应由授权的人员进行,相关操作记录应妥善保存并定期进行审计。
第三章密钥的使用和分发第十条密钥的使用应按照安全策略和权限分级的原则进行,确保密钥的合理使用。
第十一条密钥的分发应通过安全信道进行,并且对密钥进行相应的加密保护,确保密钥的安全传输。
第十二条密钥的使用和分发需要记录相应的操作,包括时间、地点、使用者等信息,以便日后审计。
第十三条密钥的备份和恢复需要严格遵循安全管理原则,保障密钥在备份和恢复过程中不丢失,不泄露。
第四章密钥销毁和丢失处理第十四条密钥的销毁应按照一定的程序进行,包括对密钥的物理破坏和逻辑破坏两个方面。
第十五条密钥的丢失需要及时向上级主管部门进行汇报,并按照规定的程序进行处理,包括密钥的重新生成和更新等操作。
第五章密钥管理监督第十六条本单位信息安全管理部门应对密钥管理的各个环节进行监督,确保密钥管理制度的执行情况。
第十七条对于发现的违反密钥管理制度的行为,应严肃处理,并追究相关人员的责任。
第十八条对于密钥管理制度的执行情况,应定期进行评估,确保该制度的有效性和合理性。
第六章附则第十九条本制度自颁布之日起开始执行。
《对称加密体制》PPT课件_OK
• 由加密函数f实现子密钥K1对R0的加密,结果得32位的数据 组f(R0, K1)。 f(R0, K1)再与L0模2相加,又得到一个32位的数 据组作为第二次加密迭代的R1,以R0作为第二次加密迭代的 L1。至此,第一次加密迭代结束。
胜为此而在全球范围内角逐了数年的激烈竞争宣告结束这一新加
密标准的问世将取代DES数据加密标准成为21世纪保护国家敏感
信息的高级算法.
26
思考题
27
一个通信游戏
• 两个朋友Alice和Bob想在晚上一起外出,但是他们定不下是去电影院还是歌剧院。于是, 他们达成了一个通过掷硬币来决定的协议。
• Alice拿着硬币对Bob说:“你选择一面,我来抛”Bob选择后,Alice把硬币抛向空中。 然后他们都注视硬币,如果Bob选择的那一面朝上,则他可以决定要去的地方,否则由 Alice决定。
• 1997年1月28日,美国的RSA数据安全公司在RS A安全年会上公布了一项“秘密密钥挑战”竞 赛,其中包括悬赏1万美元破译密钥长度为56 比特的DES。美国克罗拉多洲的程序员Verser 从1997年2月18日起,用了96天时间,在Internet 上数万名志愿者的协同工作下,成功地找到了 DES的密钥,赢得了悬赏的1万美元。
• 1999年3月22日举行了第二次AES候选会议从中选出5个AES将成为 新的公开的联邦信息处理标准
• 入选AES的五种算法是MARS RC6 Serpent Twofish Rijndael
• 2000年10月2日美国商务部部长Norman Y. Mineta宣布经过三年来
信息安全概论课后答案
四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。
机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。
抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。
可用性(Availability)是指保障信息资源随时可提供服务的特性。
即授权用户根据需要可以随时访问所需信息。
2.简述信息安全的学科体系。
解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。
除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。
信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。
信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。
3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。
信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。
信息安全应用是信息安全理论和技术的具体实践。
它们之间的关系通过安全平台和安全管理来体现。
安全理论的研究成果为建设安全平台提供理论依据。
安全技术的研究成果直接为平台安全防护和检测提供技术依据。
平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。
信息安全概论课后答案解析
_四45五3六57十4十一34十二47没做“信息安全理论与技术”习题及答案教材:《信息安全概论》段云所,魏仕民,唐礼勇,陈钟,高等教育出版社第一章概述(习题一,p11)1.信息安全的目标是什么?答:信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性;也有观点认为是机密性、完整性和可用性,即CIA(Confidentiality,Integrity,Availability)。
机密性(Confidentiality)是指保证信息不被非授权访问;即使非授权用户得到信息也无法知晓信息内容,因而不能使用完整性(Integrity)是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权簒改。
抗否认性(Non-repudiation)是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为,是针对通信各方信息真实同一性的安全要求。
可用性(Availability)是指保障信息资源随时可提供服务的特性。
即授权用户根据需要可以随时访问所需信息。
2.简述信息安全的学科体系。
解:信息安全是一门交叉学科,涉及多方面的理论和应用知识。
除了数学、通信、计算机等自然科学外,还涉及法律、心理学等社会科学。
信息安全研究大致可以分为基础理论研究、应用技术研究、安全管理研究等。
信息安全研究包括密码研究、安全理论研究;应用技术研究包括安全实现技术、安全平台技术研究;安全管理研究包括安全标准、安全策略、安全测评等。
3. 信息安全的理论、技术和应用是什么关系?如何体现?答:信息安全理论为信息安全技术和应用提供理论依据。
信息安全技术是信息安全理论的体现,并为信息安全应用提供技术依据。
信息安全应用是信息安全理论和技术的具体实践。
它们之间的关系通过安全平台和安全管理来体现。
安全理论的研究成果为建设安全平台提供理论依据。
安全技术的研究成果直接为平台安全防护和检测提供技术依据。
平台安全不仅涉及物理安全、网络安全、系统安全、数据安全和边界安全,还包括用户行为的安全,安全管理包括安全标准、安全策略、安全测评等。
第三章 密码学概论PPT课件
密写术
用另外的某种东西把信息本身隐蔽起来。(隐蔽书写)
历史应用
情报写在绸布上再卷起来塞入小球,由信使吞入腹中。
近代应用
被铅笔芯重写,只有按一定的角度对光才能被看见。
秘密信息被照相后缩微一点,嵌入到覆盖信息中以取代普通 句点。
伊夫 爱丽丝
明文
以前的对
鲍勃
分析
密文
密文
密文
选择明文分析:攻击者得到自己选择的明文
从选择明文 中创建的对
以及对应的密文。
伊夫 爱丽丝
明文
分析
鲍勃
密文
密文
密文
选择密文攻击:攻击者可以选择不同的密 文来解密,以得到相对应的明文。
伊夫 从选择密文
中创建的对
密文
明文
分析
密文
鲍勃 密文
2、密码算法的安全性
现代应用
文本覆盖
用词语之间的单倍行距代表二进制的0,用双倍行距代表二进
This book制的is m1。ostly about cryptography, not about steganography.
□ □□□ □ □
□ □ □□
0
10
00
00
1
3.1.2 密码分析
密码分析是研究密钥未知的情况下恢复 明文的科学。密码分析的前提是攻击者已知 密码体制。通常假设攻击者知道正在使用的 密码体制。
这里加密算法便是将明文先分组再逆序书写,密钥是每组的 字符长。本例k=5。若不知道加密算法,这密文相对于明文面目 全非,从而达到加密的目的。
例2 最早的一种密码是在公元前两世纪,由一位希腊 人提出来的。他将26个字母排列在一个5×5的方格 里,其中i和j填在同一格,见表:
第三章对称密钥体制
•
分组密码的典型攻击方法
最可靠的攻击办法:强力攻击 最有效的攻击:差分密码分析,通过分析明文对的 差值对密文对的差值的影响来恢复某些密钥比特. 线性密码分析:本质上是一种已知明文攻击方法, 通过寻找一个给定密码算法的有效的线性近似表 达式来破译密码系统 插值攻击方法 密钥相关攻击
强力攻击
穷尽密钥搜索攻击:
P-盒置换为:
16 7 20 21 29 12 28 17 1 15 23 26 10 2 8 24 14 32 27 3 9 19 13 30 6 25 5 18 31 4 22 11
在变换中用到的S1,S2...S8为选择函数,俗称为S-盒,是 DES算法的核心。其功能是把6bit数据变为4bit数据。 S1: 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13 在S1中,共有4行数据,命名为0,1、2、3行;每行有16列, 命名为0、1、2、3,......,14、15列。 现设输入为: D=D1D2D3D4D5D6 令:列=D2D3D4D5 行=D1D6 然后在S1表中查得对应的数,以4位二进制表示,此即 为选择函数S1的输出。
密钥Ki(48bit)的生成算法
DES的破解
DES的实际密钥长度为56-bit,就目前计算机的计 算机能力而言,DES不能抵抗对密钥的穷举搜索攻击。 1997年1月28日,RSA数据安全公司在RSA安全年 会上悬赏10000美金破解DES,克罗拉多州的程序员 Verser在Inrernet上数万名志愿者的协作下用96天的时 间找到了密钥长度为40-bit和48-bit的DES密钥。 1998年7月电子边境基金会(EFF)使用一台价值25 万美元的计算机在56小时之内破译了56-bit的DES。 1999年1月电子边境基金会(EFF)通过互联网上的 10万台计算机合作,仅用22小时15分就破解了56-bit 的DES。 不过这些破译的前提是, 不过这些破译的前提是,破译者能识别出破译的结 果确实是明文,也即破译的结果必须容易辩认。 果确实是明文,也即破译的结果必须容易辩认。如果 明文加密之前经过压缩等处理,辩认工作就比较困难。 明文加密之前经过压缩等处理,辩认工作就比较困难。
第3讲 对称密钥
第3讲 对称密钥
III.穷举攻击
对截收的密报依次用各种可解的密钥试译, 直到得到有意义的明文;一般来说,要获取 成功必须尝试所有可能密钥的一半。 在不变密钥下,对所有可能的明文加密直到 得到与截获密报一致为止,此法又称为完全 试凑法(Complete trial-and-error Method)。
for (int i=0;i<=255;i++) { S[i]=i; T[i]=K[i mod keylen]; //K[]为密钥 }
2014/6/18 曹来成 5
第3讲 对称密钥
② 初始置换S j=0; for (int i=0;i<=255;i++) { j=(j+S[i]+T[i]) mod 256; Swap(S[i],S[j]); }
S盒变换的例子:
• 假设S1盒的6位输入是110100,其第1位和第6位组 合为10,它对应S1盒的第2行; • 中间4位组合为1010,它对应S1盒的第10列。 • S1盒的第2行第10列的数是9 (行和列的计数均从0 开始而非从1开始) ,9的二进制数为1001。1001即 为输出,则1001就代替了110100。
2014/6/18 曹来成 22
第3讲 对称密钥
例1:Des加密算法的应用——异地转帐 • 银行从用户A的帐号上下250000.00元。 • 转入异地用户B的帐号。
本地 数据库 异地 数据库
2014/6/18
曹来成
23
第3讲 对称密钥
⑥ DES安全分析 I. 差分攻击 是一种选择明文攻击方法。 基本思想是:
对称密钥201461831对称密钥算法32office加密方式33数据加密标准对称密钥201461831对称密钥算法什么是对称密钥算法加密密钥能够从解密密钥中推算出来反过来也成立
第3讲-1 对称密码体制
第3讲 对称密码体制
18
§2 分组密码
明文分组m=m0m1m2…
Ek
密文分组C= C0C1C2… 密钥 k= k0k1k2…
密文分组C= C0C1C2…
明文分组m=m0m1m2…
Dk
密钥 k= k0k1k2…
分组密码的设计在于找到一种算法,能在密钥控制下从一 个足够大且足够好的置换子集中,简单而迅速地选出一个 置换,用来对当前输入的数字组进行加密变换。
第3讲 对称密码体制
17
§2 分组密码
分组密码主要特点: 分组密码主要特点: 密文仅与给定的密码算法和密钥有关; 与被处理的明文数据段在整个明文(或密文)中所处 的位置无关; 总是以大于等于64比特的数据块作为加密单位,给定 相同的明文数据块加密后得到相同的密文数据块; 具有代表性的分组加密算法有DES、IDEA 等
(i
= 0, 1, 2, …)
则称序列{ 为周期序列, 则称序列{ai }为周期序列, 称使上式成立的最小正整数T为序列{ 的周期。 称使上式成立的最小正整数T为序列{ai }的周期。
第3讲 对称密码体制 7
----线性反馈移位寄存器序列 ----线性反馈移位寄存器序列
例:GF(2)上的4阶线性反馈移位寄存器的反馈函数为 GF(2)上的 上的4 f (a1 , a2 , a3 , a4)=a1 ⊕ a2 =
⊕
密文序列 c0 c1 c2… 信道
y
密文序列 c0 c1 c2…
⊕
明文序列 m0 m1 m2 …
密钥序列 k0 k1 k2… 密钥流产生器 k 密钥源 k 秘密信道
密钥序列 k0 k1 k2… 密钥流产生器 k
第3讲 对称密码体制
3
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
密钥Ki(48bit)的生成算法
DES的破解
DES的实际密钥长度为56-bit,就目前计算机的计 算机能力而言,DES不能抵抗对密钥的穷举搜索攻击。 1997年1月28日,RSA数据安全公司在RSA安全年 会上悬赏10000美金破解DES,克罗拉多州的程序员 Verser在Inrernet上数万名志愿者的协作下用96天的时 间找到了密钥长度为40-bit和48-bit的DES密钥。 1998年7月电子边境基金会(EFF)使用一台价值25 万美元的计算机在56小时之内破译了56-bit的DES。 1999年1月电子边境基金会(EFF)通过互联网上的 10万台计算机合作,仅用22小时15分就破解了56-bit 的DES。 不过这些破译的前提是, 不过这些破译的前提是,破译者能识别出破译的结 果确实是明文,也即破译的结果必须容易辩认。 果确实是明文,也即破译的结果必须容易辩认。如果 明文加密之前经过压缩等处理,辩认工作就比较困难。 明文加密之前经过压缩等处理,辩认工作就比较困难。
一种是对DES进行复合,强化它的抗攻击 能力;另一种是开辟新的方法,即象DES那样 加解密速度快,又具有抗差分攻击和其他方式 攻击的能力。
现代常规分组加密算法
• • • • • •
1. Triple DES 2. IDEA 3. RC5 4. RC6 5. AES 其他一些较实用的算法,如Blowfish, CAST,以及RC2。
DES算法的一次迭代过程图
DES算法描述(续)
扩展置换为:
32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1
CBC特点
没有已知的并行实现算法 能隐藏明文的模式信息 – 需要共同的初始化向量IV – 相同明文 不同密文 – 初始化向量IV可以用来改变第一块 • 对明文的主动攻击是不容易的 – 信息块不容易被替换、重排、删除、重放 – 误差传递:密文块损坏 两明文块损坏 安全性好于ECB 适合于传输长度大于64位的报文,还可以进行 用户鉴别,是大多系统的标准如 SSL、IPSec
分组密码是指将处理的明文按照固定长度进行 分组,加解密的处理在固定长度密钥的控制下, 以一个分组为单位独立进行,得出一个固定长 度的对应于明文分组的结果 。属于对称密码体 制的范畴 。
基本概念(续)
在分组密码的设计中用代替、置换手段实现扩 散和混淆功能 。 混淆 指加密算法的密文与明文及密钥关系十分复杂, 无法从数学上描述,或从统计上去分析。 扩散 指明文中的任一位以及密钥中的任一位,对全 体密文位有影响。经由此种扩散作用,可以隐 藏许多明文在统计上的特性,增加密码的安全
1 . TRIPLE DES
•
由于已经证明DES不能成为群,见 DES不能成为群, K.W.Campbell and M.J.Wiener Proof that DES is not a group In Advances in Cryptology——Crpto’92. Springer-Verlag , New York,1993. 于是多重DES,尤其是三重DES还在普遍使用。
电子密码本ECB (electronic codebook mode) 密码分组链接CBC (cipher block chaining) 密码反馈CFB (cipher feedback) 输出反馈OFB (output feedback)
电子密码本(ECB)
Ci = EK(Pi) ⇔ Pi = DK(Ci)
DES算法描述
为二进制编码数据设计的,可以对计算机数据进行密 码保护的数学运算。 DES使用56位密钥对64位的数据块进行加密,并对64 位的数据块进行16轮编码。在每轮编码时,一个48位 的“每轮”密钥值由56位的“种子”密钥得出来。 56 DES算法的入口参数有三个:Key、Data和Mode。
第三章 对称密码体制
对称加密技术
基本概念 标准算法的介绍
DES算法 AES算法
分组密码的分析方法 分组密码的工作模式
基本概念
密码学中常见的有两种体制:
对称密码体制(单钥密码体制) 如果一个加密系统的加密密钥和解密密钥相同,或 者虽然不相同,但是由其中的任意一个可以很容易 地推导出另一个,即密钥是双方共享的,则该系统所 采用的就是对称密码体制。 非对称密码体制(公钥密码体制)
• •
密码反馈CFB
•
CFB:分组密码 流密码 Si 为移位寄存器,j为流单元宽度 加密: Ci =Pi⊕(EK(Si)的高j位) Si+1=(Si<<j)|Ci 解密: Pi=Ci⊕(EK(Si)的高j位) Si+1=(Si<<j)|Ci
CFB加密示意图 加密示意图
Ci =Pi⊕(EK(Si)的高 位) ; Si+1=(Si<<j)|Ci 的高j位 的高
ECB特点
• 简单和有效 • 可以并行实现 • 不能隐藏明文的模式信息 – 相同明文 相同密文 – 同样信息多次出现造成泄漏 • 对明文的主动攻击是可能的 – 信息块可被替换、重排、删除、重放 • 误差传递:密文块损坏 仅对应明文块损坏
适合于传输短信息
密码分组链接CBC
•
Ci=EK(Ci-1⊕Pi) ⇔ Pi=EK(Ci )⊕ Ci-1
DES加密算法的背景
美国国家安全局(NSA, National Security Agency)参与了美国国家标准局制定数据加密 标准的过程。NBS接受了NSA的某些建议,对 算法做了修改,并将密钥长度从LUCIFER方案 中的128位压缩到56位。 1979年,美国银行协会批准使用DES。 1980年,DES成为美国标准化协会(ANSI)标准。 1984年2月,ISO成立的数据加密技术委员会 (SC20)在DES基础上制定数据加密的国际标准 工作。
•
OFB:分组密码 流密码 Si 为移位寄存器,j为流单元宽度 加密: Ci =Pi⊕(EK(Si)的高j位) Si+1=(Si<<j)|(EK(Si)的高j位) 解密: Pi=Ci⊕(EK(Si)的高j位) Si+1=(Si<<j)|(EK(Si)的高j位)
OFB加密示意图 加密示意图
Ci =Pi⊕(EK(Si)的高 位);Si+1=(Si<<j)|(EK(Si)的高 位) 的高j位 的高j位 的高 的高
对称加密技术
基本概念 标准算法的介绍
DES算法 国际数据加密算法(IDEA) AES算法
分组密码的分析方法 分组密码的工作模式
DES加密算法的背景
发明人 美国IBM公司W. Tuchman 和 C. Meyer 1971-1972年 研制成功。 基础 1967年美国Horst Feistel提出的理论 产生 美国国家标准局(NBS)1973年5月到1974年8月两次 发布通告,公开征求用于电子计算机的加密算法。经 评选从一大批算法中采纳了IBM的LUCIFER方案。 标准化 DES算法1975年3月公开发表,1977年1月15日由美 国国家标准局颁布为数据加密标准(Data Encryption Standard),于1977年7月15日生效。
对称加密技术
基本概念 标准算法的介绍
DES算法 AES算法
分组密码的工作模式 分组密码的分析方法
分组密码的分析方法
根据攻击者所掌握的信息,可将分组密码的攻击分为以 下几类: – 唯密文攻击 – 已知明文攻击 – 选择明文攻击 攻击的复杂度 – 数据复杂度:实施该攻击所需输入的数据量 – 处理复杂度:处理这些数据所需要的计算量
OFB解密示意图 解密示意图
Pi=Ci⊕(EK(Si)的高 位); Si+1=(Si<<j)|(EK(Si)的高 位) 的高j位 的高j位 的高 的高
OFB特点
OFB:分组密码 流密码
• •
没有已知的并行实现算法 隐藏了明文模式
需要共同的移位寄存器初始值IV 误差传递:一个单元损坏只影响对应单元 • 对明文的主动攻击是可能的 – 信息块可被替换、重排、删除、重放 • 安全性较CFB差
CFB解密示意图 解密示意图
Pi=Ci⊕(EK(Si)的高 位); Si+1=(Si<<j)ቤተ መጻሕፍቲ ባይዱCi 的高j位 的高
CFB特点
•
• •
•
分组密码 流密码 没有已知的并行实现算法 隐藏了明文模式 需要共同的移位寄存器初始值IV 对于不同的消息,IV必须唯一 误差传递:一个单元损坏影响多个单元
输出反馈OFB
唯密文,2k 已知(选择)明文, 2k, k-密钥长度
字典攻击:
明密文对编成字典, 2n,n-分组长度
查表攻击:
选择明文攻击, 给定明文,用所有的2k个密钥,预计算密文, k-密 钥长度
时间存储权衡攻击:
选择明文攻击,由穷尽密钥搜索和查表攻击混合而成,它在选择 明文攻击中以时间换取空间
现代常规分组加密算法
Key为8个字节共64位,是DES算法的工作密钥; Data也为8个字节64位,是要被加密或被解密的数据; Mode为DES的工作方式,有两种:加密或解密
64位明文变换到64位密文,密钥64位,实际可用密钥 长度为56位。
DES算法描述(续)
初始换位的功能是把输入的64位数据块按位重新组合, 并把输出分为L0、R0两部分,每部分各长32位,其置 换规则见下表: 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 例:设置换前的输入值为D1D2D3......D64,则经过初 始置换后的结果为:L0=D58D50...D8; R0=D57D49...D7。