2010-密码学第5周_分组密码
分组密码
7
DES分组密码算法 DES分组密码算法
一、背景简介
该算法是在美国NSA(国家安全局)资助下由IBM公 (国家安全局)资助下由 该算法是在美国 公 司开发的密码算法, 司开发的密码算法,其初衷是为政府非机密的敏感信息提 供较强的加密保护。它是美国政府担保的第一种加密算法, 供较强的加密保护。它是美国政府担保的第一种加密算法, 并在1977年被正式作为美国联邦信息处理标准。DES主要 年被正式作为美国联邦信息处理标准。 并在 年被正式作为美国联邦信息处理标准 主要 提供非军事性质的联邦政府机构和私营部门使用,并迅速 提供非军事性质的联邦政府机构和私营部门使用, 成为名声最大,使用最广的商用密码算法。 成为名声最大,使用最广的商用密码算法。
21
③ P盒置换 将S-盒变换后的32比特数据再进行P盒置换,置 换后得到的32比特即为 f 函数的输出。
P
16 29 1 5 2 32 19 22 7 12 15 18 8 27 13 11 20 28 23 31 24 3 30 4 21 17 26 10 14 9 6 25
含义:P盒输出的第 个元是输入的第 个元。 含义 盒输出的第1个元是输入的第 个元。 盒输出的第 个元是输入的第16个元
DES的第 DES的第 i 圈加密结构图 Li-1(32位) f Ri-1(32位)
Ki
Li(32位)
Ri(32位)
16
DES的 变形函数 的 变形函数F
32位
E
48位
48位子密钥
⊕
S1 S2
S3
S4
S5
S6
S7
S8
P
17
① E盒扩展 盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特 数据
密码学之分组密码算法
密码学之分组密码算法密码学之分组密码算法简介分组密码算法(Block Cipher Algorithm)是将输⼊数据划分成固定长度的组进⾏加密和解密的⼀类对称密码算法。
其安全性主要以来于密钥,通信双⽅使⽤相同的密钥加密和解密。
其优势有速度快,易于标准化和便于软硬件实现等特点。
下标集:₀₁₂₃₄₅₆₇₈₉⁻ ¹ ₋DES加密算法DES简介于1977年公布的第⼀个被⼴泛应⽤的商⽤数据加密算法,在抵抗了⼆⼗余年的密码分析后,其安全性已⽆法得到保障。
所以在1998年12⽉以后就不再使⽤DES加密算法。
但是其衍⽣的三重DES加密算法⽬前还有其应⽤场景。
加密过程算法总览DES加密算法就如下图所⽰。
其输⼊为64位(bit)的明⽂,使⽤56位(bit)的密钥,但是附加了8位奇偶校验位(位于8,16,...,64位)组合成64位密钥。
在64位密钥的控制下,最终产⽣了64(bit)的密⽂。
在下图中X=X₁X₂X₃...X₆₄即为输⼊明⽂,在经过初始转换IP的换位处理后,得到⼀个乱序的明⽂组,并将其分为L₀和R₀两部分,每部分各32位。
⽽K₁K₂...K₁₆则是⽣成由初始密钥⽣成的轮密钥,长度有48位。
其次进⾏如下图所⽰与密钥有关的16轮迭代变换。
对R₀在进⾏⼦密钥K₁控制下的f变换,其得到的结果与L₀作逐位异或后,作为下⼀轮的R₁,⽽R₀则作为下⼀轮的L₁。
在经过16轮如上步骤,最后经过逆初始置换P⁻¹处理后得到密⽂Y=Y₁Y₂Y₃...Y₆₄初始置换IP与逆初始置换IP⁻¹IP操作是对原明⽂的位次顺序进⾏打乱,⽽逆初始置换IP⁻¹是IP操作的⼀个逆操作,其⽬的是为了撤销之前的初始置换操作。
其实这两种操作对密码⽅⾯的作⽤并不⼤。
其具体操作正如表格中所⽰,在如下表格中依次填⼊该顺序位次下的bit位,最终组成新的位次顺序。
如第⼀位的的内容即为原明⽂中第58位处的内容。
轮密钥的产⽣初始密钥K在经过选择置换PC_1后同样分为两个部分C₀和D₀,每部分各28位(bit),该选择置换实际是在除去了奇偶校验位的置换。
分组密码原理
分组密码原理
分组密码是一种密码算法,它将明文分为固定大小的块(通常为64位或128位),然后通过一系列的加密操作将每个分组
转换为对应的密文分组。
分组密码的核心原理是使用一个密钥来对每个分组进行加密。
加密过程包括多个轮次,每个轮次都涉及到多个步骤,如替代、置换、混淆和线性变换等。
在每个轮次中,明文分组会与密钥的某个子密钥进行混合,生成一个中间结果,然后再进行下一轮的操作。
最后一轮的结果即为该分组的密文。
在解密过程中,密文分组会经过与加密过程相反的操作,使用相同的密钥和子密钥来逐步还原为原始的明文分组。
分组密码的优势在于它可以处理大量的数据,并且能够抵抗多种密码攻击。
同时,通过不同的密钥和轮次数的组合,可以生成不同的密码变种,提供更高的安全性。
然而,分组密码也存在一些限制。
首先,由于每个分组的加密是独立进行的,所以加密过程中的错误可能会影响整个密文分组的完整性。
其次,分组密码的加密速度相对较慢,不适用于一些实时的应用场景。
总的来说,分组密码通过将明文分组成固定大小的块,并使用密钥和一系列的操作对每个分组进行加密,从而保护数据的机密性和完整性。
《密码学分组密码》PPT课件
.
8
Feistel结构定义
•加密: Li = Ri-1; Ri = Li-1F(Ri-1,Ki) •解密: Ri-1 = Li
Li-1 = RiF(Ri-1,Ki)
= RiF(Li,Ki.)
9
Feistel结构图
.
10
数据加密标准
DES描述 二重DES 两个密钥的三重DES 三个密钥的三重DES
k57= k49= k41= ……= k9= k1=0 或1
k63= k55= k47= ……= k15= k7=0 或1
• 举例:共有4种,如:0101010.101010101。
33
(2) 半弱密钥:
定义:当存在子密钥K和K’,使得: DESk ( m ) = DESk’ -1 ( m ) 或 DESk ( DESk’ ( m ) ) = m 则K和K’成对构成半弱密钥。
C 1( 28 位 )
D 1( 28 位 )
8 2 16 1
( 56 位 ) 置 换 选 择 2
k1
(48 位 )
循环左移
循环左移
C i( 2 8 位 )
D i( 2 8 位 )
置 换 选 择 2 ki
( 56 位 )
( 48 位 )
.
29
置换选择1和置换选择2
.
30
DES解密
和Feistel密码一样,DES的解密和加密使 用同一算法,只是子密钥的使用顺序相 反。
.
32
关于DES的若干问题:
1. DES的坏密钥问题:
(1)弱密钥:
定义:当密钥K所产生的子密钥满足:K1 = K2 = ……= K16 则有:DESk ( m ) = DESk -1 ( m ) , 或:DESk ( DESk ( m ) ) = m 这样的密钥K称为弱密钥。
现代密码学-分组密码DES
17
DES子密钥生成算法
循环左移LSi 将28位的密钥段作为Ci, Di循环左移1或2位,左移位数由 下表确定. i
1 2 1 3 2 4 2 5 2 6 2 7 2 8 2 9 1 10 11 12 13 14 15 16 2 2 2 2 2 2 1
LSi 1
18
DES子密钥生成算法
置换选择2: PC-2 从56位密钥段Ci||Di中选择48位作为子密钥Ki. PC-2 14 3 23 16 41 30 44 46 17 28 19 7 52 40 49 42 11 15 12 27 31 51 39 50 24 6 4 20 37 45 56 36 1 21 26 13 47 33 34 29 5 10 8 2 55 48 53 32
6
Feistel 密码
密文: y(2w-bit) L0(w-bit) R0(w-bit) F R1 …. …. Ki Ri …. …. K1 Rh Rh+1 明文: x(2w-bit)
7
Feistel解密结构 与加密结构相同 子密钥使用次序相反: Kh, Kh-1,…,K2,K1 输入:密文y 输出:明文x
置换选择2: 从56个密钥比特中取 出48个作为子密钥
20
DES解密算法
与DES加密结构相同 子密钥使用次序相反: K16 K15,…,K2,K1 输入:密文y 输出:明文x
21
DES的解密过程可描述为:
Ri 1 Li Li 1 Ri f ( Li , K i ), i 16,15,1
L1
Kh
Li
F
F
Lh
Lh+1
2 数据加密标准(DES)
分组加密算法课件
密钥k=(k0,… ,kn-1) 密钥k=(k0,… ,kn-1)
明文
加密算法
(x0,… ,xn-1)
原来的明文 密文 解密算法 (x0,… ,xn-1)
(y0,… ,yn-1)
分组加密算法
分组密码的一般设计原理
设计目标
在密钥控制下,从一个足够大、足够好的置换 子集中简单迅速地选出一个置换,对当前输入 的明文数字组进行加密变换;
输入的第58位作为第1位 输入的第50位作为第1位 输入的第42位作为第1位
分组加密算法
输入的第40位作为第1位 输入的第8位作为第1位 输入的第42位作为第1位
IP与IP-1互逆
M=(m1 , m2 ,…..)
1 2 34 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
发明人:
IBM公司 W.Tuchman和C.Meyer.
基础:
1967年美国Horst Feistel提出的理论;
产生:
美国国家标准局1973年开始研究除国防部外的其它部门 的计算机系统的数据加密标准,于1973年5月15日和 1974年8月27日先后两次向公众发出了征求加密算法的 公告,最终选定DES。
S7盒
13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
现代密码学课件--第5讲 分组密码
2013-8-8
20
I型迭代分组密码
以对合密码函数构造的多轮迭代分组密码。
E[x, k]=fI[fI [ fI [fI[x, k(1)],k(2)] ,k(r-1)],k(r)] D[y, k] =fI [fI[ fI[fI[y, k(r)],k(r-1)] ,k(2)] ,k(1)]
密钥量要足够大:
尽可能消除弱密钥并使所有密钥同等地好,以防止 密钥穷举攻击奏效。
由密钥确定置换的算法要足够复杂:
充分实现明文与密钥的扩散和混淆,没有简单的关 系可循,要能抗击各种已知的攻击。
2013-8-8 8
分组密码算法应满足的要求
加密和解密运算简单:
易于软件和硬件高速实现。
数据扩展:
一般无数据扩展,在采用同态置换和随机化加密技术时 可引入数据扩展。
2013-8-8
16
S盒的组合
问题: 如何将几个S盒组合起来构成一个n值较 大的组。
将几个S盒的输入端并行,并通过坐标置换(P-盒)将各S 盒输出比特次序打乱,再送到下一级各S盒的输入端,起到 了Shannon所谓的“扩散”作用。S盒提供非线性变换,将 来自上一级不同的S盒的输出进行“混淆”。经过P-盒的扩 散作用使1均匀地分散到整个输出矢量中,从而保证了输出 密文统计上的均匀性,这就是Shannon的乘积密码的作用。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1) 加密算法 密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1)
密文 x=(y0, y1,…, ym-1)
解密算法
2013-8-8
5
《分组密码》PPT课件
b7 x7 + b6 x6 + b5 x5 + b4 x4 + b3 x3 + b2 x2 + b1 x + b0 如{57}(01010111)可写成: x6 + x4 + x2 + x + 1
;计算时按降幂排
精选课件ppt
21/37
3. x乘法
考虑用 x 乘以多项式B(x): ( b7b6b5b4b3b2b1b0 ) B(x)=b7 x7+ b6x6+ b5x5+ b4x4+ b3x3+ b2x2+ b1x + b0
x B(x)=b7 x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x 将上面的结果模m(x)求余就得到x B(x)。
如果 b7 =0,则:x B(x)=b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x
即所得结果字节为: (b6b5b4b3b2b1b00)
如果 b7 =1,则:
x B(x)= x8+ b6x7+ b5x6+ b4x5+ b3x4+ b2x3+ b1x2 + b0x mod (x8+x4+x3+x+1)
在行移位(ShiftRows)变换中,状态矩阵中的每一行将以字节为单位,循 环右移不同的位移量。
密码学第五章 分组密码1
➢ 事实上,并没有一个真正实用的密码被证明是计算上安 全的。一般地人们只能证明某个密码是不安全的,因为 这只要找到一种方法,其复杂度远小于 2n 和 2t 。
3. 分组密码的设计原则
➢ 一个好的分组密码应是既难破译又易于实现的。 ➢ 安全性原则
密码学
第5章 分组密码(1)
1. 概述
分组密码就是将明文消息序列
m1, m2 ,, mk ,
分成等长的消息组
(m1, m2 , , mn )(mn1, mn2 , , m2n )
在密钥控制下,按固定的算法 Ek 一组一组进行加密。 加密后输出等长密文组
( y1, y2 , , ym )( ym1, ym2 , , y2m )
➢ 计算安全性只是一个相对概念,它依赖于攻击者的计算 能力和所采用的攻击方式。一般地,计算上安全是指对该 密码的最佳攻击方法的困难性超过了攻击者的计算能 力。
➢ 人们为了定量描述这种“困难性”,通常使用“复杂度” 的概念:一种攻击的复杂度是指为了实施该攻击所需的 平均运算次数。一个密码的安全性的评估,依据已知的 关于该密码的最佳攻击方法的复杂度。
➢ 70 年代,美国数据加密标准 DES 的出台,标志着现代分组密 码学的开始。从此揭开了商用民用密码研究的序幕。
➢ 这是信息化社会发展的产物。
越来越多的敏感信息通过网络传输和存贮,迫切需要具有高强 度、高速率、便于软硬实现、易于标准化的加密体制。
《密码学》课程设计实验报告-分组密码工作模式
《密码学》课程设计实验报告实验序号:03 实验项目名称:分组密码工作模式分组工作模式具体说明➢电话本模式⏹直接利用分组密码对明文的各分组进行加密⏹缺点1.不能解决短块问题2.容易暴露明文的数据模式。
在计算机系统中,许多数据都具有某种固有的模式,这主要是由数据冗余和数据结构引起的。
例如,各种计算机语言的语句和指令都十分有限,因为在程序中便表现为少量的语句和指令的大量重复⏹流程图➢明密文链接模式⏹设明文M=(M1,⋯,M n),相应的密文C=(C1,⋯,C n)C i={E(M i⊕Z,K), i=1E(M i⊕M i−1⊕C i−1,K), i=2,⋯,n⏹特点1.加解密错误传播无界2.无法处理短块⏹流程图➢密文链接模式⏹由于明密文链接模式具有加解密错误传播无界的特性,而磁盘等文件通常希望错误传播有界,这时可采用密文链接模式⏹设明文M=(M1,⋯,M n),相应的密文C=(C1,⋯,C n)C i={E(M i⊕Z,K), i=1E(M i⊕C i−1,K), i=2,⋯,n⏹特点1.无法处理短块2.加密错误传播无界,解密错误传播有界➢输出反馈模式⏹将一个分组密码转换为一个密钥序列产生器,从而可以实现用分组密码按流密码的方式进行加解密。
⏹特点1.工作模式的安全性取决于分组密码本身的安全性2.可以解决短块加密3.无错误传播4.适用于加密冗余度较大的数据,例如语音和图像数据⏹流程图➢密文反馈模式⏹与输出反馈的工作原理基本相同,所不同的仅仅是反馈到移位寄存器R的不是E输出中的最右s位,而是密文c i的s位⏹流程图➢X CBC模式⏹X CBC模式解决了CBC模式要求明文数据的长度是密码分组长度的整数倍的限制,可以处理任意长的数据⏹优点1.可以处理任意长度的数据2.适用于计算产生检测数据完整性的消息认证码MAC⏹缺点1.使用3个密钥,密钥的存储和加解密控制都比较麻烦2.接受双方需要共享填充的消息长度➢CTR模式⏹与密文反馈工作模式和输出反馈工作模式一样,把分组密码转换为序列密码,在本质上是利用分组密码产生密钥序列,按序列密码的方式进行加密⏹优点1.可并行,效率高2.适合任意长度的数据3.加解密速度快⏹缺点1.没有错误传播,不适用于数据完整性验证⏹流程图五、分析与讨论1)分组密码不同的工作模式各有各的特点,例如有些工作模式需要处理短块,有些则不需要;有些模式具有错误传播无界的特性,有些则没有。
分组密码原理
分组密码原理
分组密码是一种密码算法,它将明文数据分成较小的块进行加密,每个块都会经过一系列的加密转换操作,直到最后一个块被加密完毕。
这些加密转换操作通常包括代换、置换和线性变换等。
与流密码不同,分组密码可以对整个明文数据进行批量加密,而不是逐个字节或比特进行加密。
分组密码的加密过程通常包括以下几个步骤:
1. 初始化阶段:在这个阶段,密钥将被用来初始化加密算法,
通常是通过某种置换或代换的方式生成一些初始状态。
2. 加密阶段:在这个阶段,明文数据将被分成块,并逐个块进
行加密。
每个块的加密过程都与其他块的加密过程是相互独立的,因此可以并行处理。
3. 密文反馈阶段:在这个阶段,加密算法会将前一个块的密文
作为输入,并输出一个新的密文块。
这个过程可以用于加密流数据,而不是固定长度的块数据。
4. 解密阶段:在这个阶段,加密算法将使用相同的密钥和加密
过程来解密密文数据。
解密过程与加密过程是相反的,它会应用逆向的加密转换操作,以还原出明文数据。
分组密码的安全性取决于密钥的长度和加密算法的强度。
如果密钥太短或加密算法容易被破解,那么攻击者可以使用暴力破解或其他攻击手段来获取明文数据。
因此,分组密码通常需要使用强密码学算法和足够长的密钥来确保安全性。
分组密码——精选推荐
分组密码分组密码概述所谓分组密码,简单地说就是对明⽂进⾏分组,每组的长度都相同,然后对每组明⽂使⽤密钥进⾏加密得密⽂,解密即对每组明⽂使⽤密钥进⾏解密得到明⽂。
通常情况是明⽂、密⽂等长。
(好处是处理速度快,节约了存储,避免了浪费带宽.)1. 定义分组密码包含5个部分{M,C,K,E,D},M=F(2,n)明⽂空间K=F(2,k)密钥空间C=F(2,n)密⽂空间E加密变换;D解密变换明⽂m1m2……mn通过密钥k加密算法得到密⽂c1c2……cn分组密码是⼀种映射:E:M*K->CD:C*K->M注:分组密码实际上是{0,1,2,……,2^n-1}到其⾃⾝的⼀⼀映射,密钥k不同映射不同。
2. 基本要求分组长度⾜够长(防⽌明⽂穷举攻击)密钥长度⾜够长(防⽌密钥穷举攻击)加解密算法要⾜够复杂(能抗击各种已知攻击)3. 分组密码的原则为有效抵抗对密码体质的通知分析,⾹农提出了两个原则:扩展原则和混乱原则。
扩散:指每1bit明⽂的变化尽可能多地影响密⽂序列的bit,以隐蔽明⽂的统计特性,防⽌对密钥进⾏逐段攻击破译;混乱:指加密变换过程中明⽂、密钥以及密⽂之间的关系尽可能的复杂,以防⽌破译者采⽤统计分析⽅法进⾏攻击。
4. 分组密码的结构(SP⽹络)需求分析:⼀个分组密码既要难于分析(复杂),⼜要易于实现(简单),迭代密码可克服这⼀对⽭盾。
其加密变换⼀般采取如下结构:由⼀个简单的函数F(易于实现)迭代若⼲次⽽形成。
其中Yi-1是第i轮迭代的输⼊,Yi是第i轮的输出,Zi由密钥k导出,这类密码即迭代密码。
如DES是16轮迭代密码,多次迭代可实现必要的混乱与扩散。
F函数采⽤代换置换结构,置换由P盒实现,起扩散作⽤,代换可提供混淆作⽤,其中代换被精⼼设计且起关键作⽤,⼈们常称其为“⿊盒⼦”。
SP结构具有雪崩效应,雪崩效应指输⼊(明⽂或密钥)即使只有很⼩的变化,也会导致输出(密⽂)产⽣巨⼤的变化。
分组密码 (2)
I4
⊙
输入:
4个16bit子串: I1 , I 2 , I3 , I4 6个16bit子密钥: Z1 , Z2 , Z3 , Z4 , Z5 , Z6
Z2
⊞
⊙
⊞ ⊞
⊙
⊙
Z4 Z3
Z5
输出: 4个16bit子 串
O 1 , O2 , O3 , O4
⊞
Z6
O1 O2
2015-5-2
O3 O4
2015-5-2
RC5解密
解密也是很容易的,把密 文分>>>是循环右移
2015-5-2
BlowFish算法
BlowFish算法用来加密64Bit长度的字符串。 BlowFish算法使用两个“盒”——unsignedlongpbox[18] 和unsignedlongsbox[4,256]。 BlowFish算法中,有一个核心加密函数:BF_En。该函数输 入64位信息,运算后,以64位密文的形式输出。 用BlowFish算法加密信息,需要两个过程:
K1 K6 K7 K12
W11 W12 W13 W14 第2轮 W21 W22 W23 W24 … Y1 W71 W72 W73 W74 第8轮 W81 W82 W83 W84 输出变换 Y2 Y3 Y4 … … …
K43 K48 K49 K52
… …
密文: Y(64bit)
8轮迭代
Z1
I1
I2
I3
2015-5-2
对于密钥扩展的过程如下: (1)将128bit的密钥作为EK的前8byte
(2)将前8byte循环左移25bit,得到下一8byte, 将这个过程循环7次 (3)在第7次循环时,取前4byte作为EK的最后 4byte
分组密码学
分组密码以及安全性研究1引言分组密码是对称密码学的一个重要分支,在信息安全领域发挥着极其重要的作用,其研究的主要内容包括分组密码的设计和分析这两个既相互对立又相互统一的方面。
一方面,针对已有的密码分析手段,密码设计者总希望设计出可以抵抗所有已知攻击的密码算法;另一方面,对已有的密码算法,密码分析者总希望可以找到算法的某些安全缺陷。
这两方面的研究共同推进了分组密码理论的发展。
2 分组密码2.1概念分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。
分组密码的研究包括三方面:分组密码的设计原理,分组密码的安全性分析和分组密码的统计性能测试。
2.2内容目前对分组密码安全性的讨论主要包括差分密码分析、线性密码分析和强力攻击等。
从理论上讲,差分密码分析和线性密码分析是目前攻击分组密码的最有效的方法,而从实际上说,强力攻击是攻击分组密码最可靠的方法。
到目前为止,已有大量文献讨论各种分组密码的安全性。
与序列密码每次加密处理数据流的一位或一个字节不同,分组密码处理的单位是一组明文,即将明文消息编码后的数字序列m0,m1,m2,…,mi划分成长为L位的组m=(m0,m1,m2,…,mL-1),各个长为L的分组分别在密钥k=(k0,k1,k2,…,kt-1)(密钥长为t)的控制下变换成与明文组等长的一组密文输出数字序列c=(c0,c1,c2,…,cL-1)。
L通常为64或128。
设明文m与密文c均为二进制0、1数字序列,它们的每一个分量mi,ciεDF(2)(i=0,1,2,…,n-1),则明文空间为{0,1,…,2n-1},密文空间也为0,1,…,2n-1},分组密码是由密钥k=(k0,k1,k2,…,kt-1)确定的一个一一映射,也就是空间{0,1,…,2n-1},到自身的一个置换F,由于置换F是由密钥k所确定,一般地,我们把这个置换表示为C=Fk(m)。
分组密码体制
图3.3 Feistel网络示意图
Feistel网络中每轮结构都相同,每轮中右半数据被 作用于轮函数F后,再与左半数据进行异或运算, 这一过程就是上面介绍的代换。每轮的轮函数的结 构都相同,但以不同的子密钥Ki作为参数。代换过 程完成后,再交换左、右两半数据,这一过程称为 置换。这种结构是Shannon提出的代换——置换网 络(substitution-permutation network, SPN)的特 有形式。
② 密钥量要足够大(即置换子集中的元素足够 多),尽可能消除弱密钥并使所有密钥同等地好, 以防止密钥穷举攻击奏效。但密钥又不能过长,以 便于密钥的管理。DES采用56比特密钥,看来太短 了,IDEA采用128比特密钥,据估计,在今后30~ 40年内采用80 比特密钥是足够安全的。
③ 由密钥确定置换的算法要足够复杂,充分实现 明文与密钥的扩散和混淆,没有简单的关系可循, 能抗击各种已知的攻击,如差分攻击和线性攻击; 有高的非线性阶数,实现复杂的密码变换;使对手 破译时除了用穷举法外,无其它捷径可循。
④ 加密和解密运算简单,易于软件和硬件高速实 现。如将分组n化分为子段,每段长为8、16或者32。 在以软件实现时,应选用简单的运算,使作用于子 段上的密码运算易于以标准处理器的基本运算,如 加、乘、移位等实现,避免用以软件难于实现的逐 比特置换。为了便于硬件实现,加密和解密过程之 间的差别应仅在于由秘密密钥所生成的密钥表不同 而已。这样,加密和解密就可用同一器件实现。设 计的算法采用规则的模块结构,如多轮迭代等,以 便于软件和VLSI快速实现。此外,差错传播和数 据扩展要尽可能地小。
所以解密过程第1轮的输出为LE15‖RE15,等于加密 过程第16轮输入左右两半交换后的结果。容易证明 这种对应关系在16轮中每轮都成立。一般地,加密 过程的第i轮有
分组密码(全)
分组密码的发展历史
1999年,NIST从提交的15个候选草案中 选取了5个优良的算法作为AES的候选算法: MARS、RC6、Rijndael、Serpent和 Twofish, 综合评价最终确定Rijndael算法为新的数据 加密标准,2001年12月正式公布FIPS197标准。 /aes
IP 58 60 50 52 42 44 34 36 26 28 18 20 10 12 2 4
62
54
56 49 51
46
48 41 43
38
40 33 35
30
32 25 27
22
24 17 19
14
16 9 11
6
8 1 3
初始置换IP
64 57 59
61
63
53
55
45
47
37
39
29
31
21
(m1 , m2 ,, mn ), (mn1 , mn2 ,, m2 n ),
K k1 , k 2 ,, k n 在密钥 的控制下按固定的加密算法一组一 组进行加密,输出一组一组密文 (c1 , c2 ,, cl ), (cl 1 , cl 2 ,, c2l ),
3
分组密码加密解密框图
32
DES算法的整体结构——Feistel结构
DES是从1975年被美国联邦政府确定为非敏 感信息的加密标准,它利用56比特长度的 密钥K来加密长度为64比特的明文,得到 64比特长的密文. 1997年,由于计算机技术迅速发展,DES的 密钥长度已经太短,NIST建议停止使用 DES算法作为标准. 目前,二重DES和三 重DES仍然广泛使用.
第四讲:分组密码
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
12
Feistel结构的安全性
(1)分组大小:分组越大则安全性越高,但加密速度 就越慢。分组密码设计中最为普遍使用的分组大小是64比特。 (2)密钥大小:密钥越长则安全性越高,但加密速度 就越慢。现在通常使用128比特的密钥长度。 (3)轮数:单轮结构远不足以保证安全性,但多轮结 构可提供足够的安全性。典型地,轮数取为16。 (4)子密钥产生算法:该算法的复杂性越大,则密码 分析的困难性就越大。 (5)轮函数:轮函数的复杂性越大,密码分析的困难 性也越大。
R0(n比特)
密文(2n比特) Feistel网络加密过程
明文(2n比特) Feistel网络解密过程
14
一轮的解密
Feistel 解密的输入密文为 ( Rr , Lr ) ,作为第 1 轮的解密的输入,右半部分的操作是
Rr F ( Lr , Kr ) , 其 中 由 于 Lr Rr 1 以 及 Rr Lr 1 F ( Rr 1 , Kr ) , 因 此 Rr F ( Lr , Kr ) 等价于 Lr 1 F ( Rr 1 , Kr ) F ( Rr 1, Kr ) Lr 1 ,因此第 1 轮解密输出 ( Rr 1 , Lr 1 )
26
CBC模式
原始图
CBC模式
27
ECB 模式与CBC模式
original
ECB
CBC
/wiki/Block_cipher_modes_of_operation 28
j-比特密码反馈CFB模式
初始变量(IV) (移位寄存器) 64-j比特 64 K 分组加密 64 选j比特 j 明文分组P1 j 密文分组C1 j 明文分组P2 丢弃64-j比特 j 选j比特 j j 密文分组C2 (a) 加密 K 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特 j j j 明文分组PN 密文分组CN ... 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特
K
C1 P S j 1
E IV
初始变量(IV) (移位寄存器) 64-j比特 64 K 分组加密 64 选j比特 j j 丢弃64-j比特 j 密文分组C1 选j比特
(移位寄存器) 64-j比特 64 分组加密 64 选j比特 j j 丢弃64-j比特 ... 选j比特
(移位寄存器) 64-j比特 64 分组加密 64 选j比特 j j j j 密文分组C2 明文分组PN 丢弃64-j比特 选j比特
30
CFB模式错误传播
1、明文某一组中有错,会使以后的密文组 都受影响,但经解密后的恢复结果,除原有误 的一组外,其后各组明文都正确地恢复。 2、密文里的一位错误会引起明文的一个单 独错误,此处,错误进入移位寄存器,导致密 文成为无用信息,直到该错误从移位寄存器中 移出。
例:对于8位(1个字节)的加密,则会产生 9字节的错误
这里要严格的照本宣科!!!
15
分组密码的运行模式
16
分组密码的运行模式
即使有了安全的分组密码算法,也需要采用 适当的工作模式来隐蔽明文的统计特性、数据的 格式等,以提高整体的安全性,降低删除、重放、 插入和伪造成功的机会。美国在FIPS中定义了五 种运行模式。 电码本(ECB)
密码分组链接(CBC) 密码反馈(CFB) 输出反馈(OFB) 计数器模式(CTR)
Li(n比特) 第r-1轮 XOR F
Ri(n比特) Kr-1 第r-1轮
Rr-i(n比特) XOR F
Lr-i(n比特) K2
Lr-1(n比特) 第r轮 XOR Rr(n比特) F
Rr-1(n比特) Kr 第r轮
R1(n比特) XOR L0(n比特) F
L1(n比特) K1
Lr(n比特)
密码分组链接CBC模式
初始矢量 IV(Initial Vector):第一组明 文加密时无反馈密文,为此需要在寄存器中预 先置入一个,收发双方必须选用同一IV。 每个明文组加密之前,先与反馈至输入端 的前一组密文按位模2求和后,再送至加密算法 加密 实际上,IV的完整性要比其保密性更为重 要。在CBC模式下,最好是每发一个消息,都改 变IV,比如将其值加一。
25
CBC的错误传播
1. 明文有一组中有错,会使以后的密文组 都受影响,但经解密后的恢复结果,除原有误的 一组外,其后各组明文都正确地恢复。 Never trouble trouble till trouble troubles you. 2.若在传送过程中,某组密文组出错时,则 该组恢复的明文和下一组恢复数据出错。再后面 的组将不会受中错误比特的影响。
To: Bank From: ATM Action: Deposit Amount: $900.00
23
密码分组链接CBC模式
初始变量(IV) K
明文分组P1
明文分组P2
明文分组PN
分组加密
K
分组加密
...
K
分组加密
密文分组C1
密文分组C2 (a) 加密
密文分组CN
密文分组C1
密文分组C2
密文分组CN
第i轮
XOR
Li(n比特) 第r-1轮 XOR F
Ri(n比特) Kr-1
Lr-1(n比特) 第r轮 XOR Lr(n比特) F
Rr-1(n比特) Kr
Rr(n比特)
密文(2n比特)
11
Feistel网络中除了最后一轮,每轮结构相同, 每轮右半部分在子密钥控制下数据先进入轮函数F, 然后与左半部分异或得到下一轮的右半部分,而下 一轮左半部分直接为上一轮的右半部分。最后一轮 的结构则是上一轮右半部分在子密钥控制下数据先 进入轮函数F,然后与左半部分异或得到下一轮的 左半部分,而右半部分是上一轮的右半部分。
K 初始变量(IV)
分组解密
K
分组解密
...
K
分组解密
明文分组P1
明文分组P2 (b) 解密
明文分组PN
Cn EK Cn1 P n
DK Cn Cn 1 DK EK Cn 1 Pn Cn 1 Cn 1 Pn Cn 1 Pn 24
17
电码本ECB模式
明文分组P1 K K 明文分组P2 K 明文分组PN 分组加密 分组加密 ... 分组加密
密文分组C1
密文分组C2 (a) 加密
密文分组CN
密文分组C1
密文分组C2
密文分组CN
K
分组解密
K
分组解密
...
K
分组解密
明文分组P1
明文分组P2 (b) 解密
明文分组PN
18
填充(Padding)
6
代替-变换网络
S S S S
P S S S S
P S
…
S
S
S
代替-置换网络是 由多重代替变换(S)和 置换变换(P),S代 替变换起到混淆的作用, P置换变换起到扩散的 作用。
…
…
…
7
举例说明
以DES和AES为例子,说明扩散(置换)和混 淆(代替变换) 扩散:DES的E扩展和P置换
混淆:DES的S盒
31
输出反馈OFB模式
(移位寄存器) 64-j比特 64 K 分组加密 64 选j比特 j 明文分组P1 j 密文分组C1 j 明文分组P2 丢弃64-j比特 j 选j比特 j j 密文分组C2 (a) 加密 K 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特 j j j 明文分组PN 密文分组CN ... 选j比特 (移位寄存器) 64-j比特 64 分组加密 64 丢弃64-j比特 选j比特
13
Feistel解密结构
明文(2n比特) 密文(2n比特) L0(n比特) 第1轮 XOR F R0(n比特) K1 第1轮 Rr(n比特) XOR F Lr(n比特) Kr
L1(n比特)
R1(n比特) F Ki 第i轮
Rr-1(n比特)
Lr-1(n比特) F Kr-i
第i轮
XOR
XOR
分组密码概述
1
分组密码
X x0 , x1,, xn2 , xn1 为明文块,在密钥
Y y0 , y1,, ym2 , ym1 ,其中
xi , y j , kr GF (2) ,且
K k0 , k1,, kt 1 的加密作用下得到密文块
0 i n 1 , 0 j m 1, 0 r t 1
9
Feistel一轮的加密
左明文 右明文
Li Ri 1
置换
Ri Li 1 F Ri 1 , Ki
密钥 XOR 替换 F
新的左明文
新的右明文
10
明文(2n比特)
L0(n比特) 第1轮 XOR F
R0(n比特) K1
Feistel结构
L1(n比特)
R1(n比特) F Ki
8
Feistel密码结构
最典型乘积密码是在1973年,Feistel提出的, 整个处理过程包括多个阶段的替代和换位,主密钥 分为一个子密钥集,每个阶段使用一个子密钥。在 每个阶段中,明文被分为左右两部分,两部分分别 进行交换,其中一个部分与子密钥混合,进行相应 变换。在进行完n轮迭代之后,左右两半合并在一起 再产生密文
4
分组密码的基本原则
(4)加密和解密的运算简单,易于软硬件高速 实现。 (5)数据扩展足够小,一般无数据扩展。 (6)差错传播尽可能小,加密或解密某明文或 密文分组出错,对后续密文解密影响尽可能小。
5
分组密码的原理