现代密码学第五讲:流密码(三)
流密码详解ppt课件
自同步流密码(SSSC)
密钥流生成器是一种有记忆变换器 密钥流与明文符号有关:
i 时刻的密文不仅取决于i 时刻的明文,而且与i 时刻 之前的l个明文符号有关 具有有限的差错传播 具有自同步能力 把明文每个字符扩散在密文多个字符中,强化了抗统 计分析的能力
问:SSSC是如何自同步的?请email回应。
i F ( i1, k ), zi f ( i, k ), ci E (zi,m i). i:密 钥 流 生 成 器 的 内 部 状 态 0 :密 钥 流 生 成 器 的 初 始 状 态 k : 种 子 (初 始 )密 钥 F :状 态 转 移 函 数 f :密 钥 流 生 成 函 数
k
密钥流生成器
11
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
2.1 流密码一般模型
二元加法序列密码
明文序列: m= m1 m2 m3 …; 密钥序列: z= z1 z2 z3 …; 密文序列: c= c1 c2 c3 …; 加密变换: ci=zimi (i=1,2,3,…); 解密变换: mi=zici (i=1,2,3,…).
病原体侵入机体,消弱机体防御机能 ,破坏 机体内 环境的 相对稳 定性, 且在一 定部位 生长繁 殖,引 起不同 程度的 病理生 理过程
2.2 线性反馈移位寄存器序列
伪随机序列 考虑二元序列: a={ai}=a0a1a2a3 ….
周期序列
定义2.1 设a= (a0, a1,…,ai,…)是一个二元序列,若 存在正整数N和非负整数m,使得ai+N=ai对于任意i m成立,则称二元序列a是终归周期序列。如果 m=0,则称序列a是严格周期序列,简称周期序列。
现代密码学PPT课件
信息安全所面临的威胁来自很多方面,并且随着时 间的变化而变化。这些威胁可以宏观地分为人为威 胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环 境、电磁辐射和电磁干扰、网络设备自然老化等。 这些事件有时会直接威胁信息的安全,影响信息的 存储媒质。
3. 完整性业务
和保密业务一样,完整性业务也能应用于消息流、 单个消息或一个消息的某一选定域。用于消息流的 完整性业务目的在于保证所接收的消息未经复制、 插入、篡改、重排或重放,即保证接收的消息和所 发出的消息完全一样;这种服务还能对已毁坏的数 据进行恢复,所以这种业务主要是针对对消息流的 篡改和业务拒绝的。应用于单个消息或一个消息某 一选定域的完整性业务仅用来防止对消息的篡改。
2. 认证业务
用于保证通信的真实性。在单向通信的情况下,认 证业务的功能是使接收者相信消息确实是由它自己 所声称的那个信源发出的。在双向通信的情况下, 例如计算机终端和主机的连接,在连接开始时,认 证服务则使通信双方都相信对方是真实的(即的确 是它所声称的实体);其次,认证业务还保证通信 双方的通信连接不能被第三方介入,以假冒其中的 一方而进行非授权的传输或接收。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。前 者是某个程序中的一段,不能独立于实际的应用程 序或系统程序;后者是能被操作系统调度和运行的 独立程序。来自图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
现代密码学_清华大学_杨波着+习题答案
一、古典密码(1,2,4)解:设解密变换为m=D(c)≡a*c+b (mod 26)由题目可知密文ed 解密后为if,即有:D(e)=i :8≡4a+b (mod 26) D(d)=f :5≡3a+b (mod 26) 由上述两式,可求得a=3,b=22。
因此,解密变换为m=D(c)≡3c+22 (mod 26)密文用数字表示为:c=[4 3 18 6 8 2 10 23 7 20 10 11 25 21 4 16 25 21 10 23 22 10 25 20 10 21 2 20 7] 则明文为m=3*c+22 (mod 26)=[8 5 24 14 20 2 0 13 17 4 0 3 19 7 8 18 19 7 0 13 10 0 19 4 0 7 2 4 17]= ifyoucanreadthisthankateahcer4. 设多表代换密码C i≡ AM i + B (mod 26) 中,A是2×2 矩阵,B是0 矩阵,又知明文“dont”被加密为“elni”,求矩阵A。
解:dont = (3,14,13,19) => elni = (4,11,13,8)二、流密码 (1,3,4)1. 3 级 线 性 反 馈 移 位 寄 存 器 在 c 3=1 时 可 有 4 种 线 性 反 馈 函 数 , 设 其 初 始 状 态 为 (a 1,a 2,a 3)=(1,0,1),求各线性反馈函数的输出序列及周期。
解:设反馈函数为 f(a 1,a 2,a 3) = a 1⊕c 2a 2⊕c 1a 3当 c1=0,c2=0 时,f(a 1,a 2,a 3) = a 1,输出序列为 101101…,周期为 3。
当 c1=0,c2=1 时,f(a 1,a 2,a 3) = a 1⊕a 2,输出序列如下 10111001011100…,周期为 7。
当 c1=1,c2=0 时,f(a 1,a 2,a 3) = a 1⊕a 3,输出序列为 10100111010011…,周期为 7。
现代密码学_清华大学_杨波著_部分习题答案[1]
![现代密码学_清华大学_杨波著_部分习题答案[1]](https://img.taocdn.com/s3/m/1ce7aa8502d276a200292edc.png)
= YWPKXYHVKXONPTJCHYBXLPKTB ∵ 11*19 ≡ 1 mod 26 (说明:求模逆可采用第 4 章的“4.1.6 欧几里得算法”,或者直接穷举 1~25) ∴ 解密变换为 D(c)≡19*(c-23)≡19c+5 (mod 26) 对密文 C 进行解密:
密文用数字表示为:
c=[4 3 18 6 8 2 10 23 7 20 10 11 25 21 4 16 25 21 10 23 22 10 25 20 10 21 2 20 7] 则明文为 m=3*c+22 (mod 26)
=[8 5 24 14 20 2 0 13 17 4 0 3 19 7 8 18 19 7 0 13 10 0 19 4 0 7 2 4 17]
⇒
Ri'
=
L' i −1
⊕
F
(
R' i −1
,
Ki' )
( ) ( ) ⇔
Li−1 ⊕ F (Ri−1, Ki )
'=
Li−1
⊕
F
(
R' i −1
,
Ki'
)
'
根据(i)(ii) 根据(iii)
⇔
F (Ri−1, Ki )
=
F
(
R' i −1
,
Ki' )
⇔
P(S
( E ( Ri −1 )
⊕
现代密码学第五讲(一):流密码
现代密码学第五讲(一):流密码《现代密码学》第五讲流密码(一)上讲内容回顾分组密码定义(分组填充)分组密码的发展历史(Shannon DES AES。
)保密系统的安全性分析及分组密码的攻击(主动/被动唯密文/已知明(密)文/选择明(密)文/自适应选择明(密)文)数据加密标准(DES)算法介绍高级加密标准(AES)算法介绍中国无限局域网标准(SMS4)算法介绍?分组密码算法的运行模式本章主要内容流密码(序列密码)的思想起源?流密码技术的发展及分类基于移位寄存器的流密码算法?其它流密码算法Estream推荐流密码算法软件算法硬件算法密钥流生成器种子密钥明文m1k1c1m2k2c2加密过程密钥流生成器种子密钥密文c1k1m1c2k2m2解密过程设明文为m=m1m2… m i∈GF(2), i>0?设密钥为k=k1k2… ki∈GF(2), i>0?设密文为c=c1c2… c i∈GF(2), i>0?则加密变换为c i=m i+ k i(mod 2) i>0?则解密变换为m i=c i+ k i(mod 2) i>0思想起源:20世纪20年代的Vernam 体制,即“一次一密”密码体制。
香农利用信息论证明“一次一密”密码体制在理论上不可破译?由有限的种子密钥生成无限长的随机密钥序列?流密码研究内容——设计安全高效的伪随机序列发生器密钥流生成、存储和分发困难随机序列计算机无法实现评测标准:线性复杂度高;周期大Golomb伪随机性测试周期为r的0-1序列的随机性公设如下:r是奇数,则0-1序列{si}的一个周期内0的个数比1的个数多一个或少一个;若r是偶数,则0的个数与1的个数相等.在长度为r的周期内,长为1的游程的个数为游程总数的1/2,长为2的游程的个数占游程总数的1/22,…, 长为c的游程的个数占总游程的1/2c.而且对于任意长度,0的游程个数和1的游程个数相等.例:0110111101中,4个游程长度为1,1个游程长度为2,1个游程长度为4异相自相关函数是一个常数.设一个周期为r的序列a1, a2,…, a r, a r+1, a r+2,…,将序列平移T位得到另外一个序列a T, a T+1,… a r+T, a r+T+1,…,若a i= a i+T, 则称对应第i位相等。
现代密码学 清华大学 杨波著 部分习题答案
( 声 明:非 标 准 答 案,仅 供 参 考 )一、古典密码(1,2,4)字母 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 数字0 1 2 3 4 5 6 7 8 9 10 111213141516171819 20 21 22 2324251. 设仿射变换的加密是E11,23(m)≡11m+23 (mod 26),对明文“THE NATIONAL SECURITYAGENCY”加密,并使用解密变换D11,23(c)≡11-1(c-23) (mod 26) 验证你的加密结果。
解:明文用数字表示:M=[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24] 密文 C= E11,23(M)≡11*M+23 (mod 26)=[24 22 15 10 23 24 7 21 10 23 14 13 15 19 9 2 7 24 1 23 11 15 10 19 1]=YWPKXYHVKXONPTJCHYBXLPKTB∵ 11*19 ≡1 mod 26 (说明:求模逆可采用第4章的“4.1.6 欧几里得算法”,或者直接穷举1~25)∴解密变换为D(c)≡19*(c-23)≡19c+5 (mod 26)对密文C进行解密:M’=D(C)≡19C+5 (mod 26)=[19 7 4 13 0 19 8 14 13 0 11 18 4 2 20 17 8 19 24 0 6 4 13 2 24]= THE NATIONAL SECURITY AGENCY2. 设由仿射变换对一个明文加密得到的密文为 edsgickxhuklzveqzvkxwkzukvcuh,又已知明文的前两个字符是“if”。
对该密文解密。
解:设解密变换为 m=D(c)≡a*c+b (mod 26)由题目可知密文 ed 解密后为 if,即有:D(e)=i :8≡4a+b (mod 26) D(d)=f :5≡3a+b (mod 26)由上述两式,可求得 a=3,b=22。
现代密码学(第五章)
2019/4/1 6
一、杂凑函数
杂凑函数的性质(3)强于性质(2),即由无碰撞性 能够得到单向性。例如,设函数 y=H(x),x的长度固 定为N,y的长度为L。 设每个y有2N-L个x使y=H(x)。(均衡函数) 随机地取m个x值。则 P(有个x值满足H(x)=y’)=1-(1-2-L)m; P(有两个x值具有相同的H(x)值) =1-(2L)(2L-1)(2L-2)…(2L-m+1)2-Lm =1-(1-0×2-L)(1-1×2-L) (1-2×2-L)…(1-(m-1)×2-L)。
2019/4/1 24
二、数字签名的基本概念
不可否认性(公开可验证性)
被Alice签名的消息,在未来不能被Alice否认。 (这个性质的本质是:)Bob在收到一个被Alice签名 的消息时,他有办法向第三方证明该签名是真的被 Alice签名的消息。 如果一个数字签名具有不可伪造性,则Bob能够自行 验证签名消息的真伪;而如果一个数字签名具有公 开可验证性,则Bob能够向他人证明签名消息的真 伪。
2019/4/1 26
二、数字签名的基本概念
公钥密码的签名方案(一)
Alice欲发消息m给Bob。 (1) Alice用自己的私钥k对消息m“解密”s=D(m, k), s就是对消息m的签名值,(m,s)就是一个签名消 息。 (2) Alice将(m,s)发送给Bob。 (3) Bob收到(m,s)后,用Alice的公钥z,将消息m 与签名s做如下的检验:是否m=E(s, z)。若是则(m, s)是Alice发送的签名消息。
2019/4/1 17
一、杂凑函数
(1) Alice向Bob发送信息“我是Alice”。 (2) Bob收到信息后,向Alice发送一个随机的比特串x1。 (3) Alice 收到x1后,与自己的身份密号x2联立,得到x=(x1, x2 ) 。 (4) Alice计算y=H(x),并向Bob发送y。 (5) Bob收到y后,取出Alice的身份密号x2,并与x1联立得 到x=(x1,x2),然后验证是否 y=H(x), 若是则认为“Alice”是真正的Alice; 若否则认为“Alice”是假冒的Alice 。
现代密码学(密钥)概述
1)流密码
流密码(Stream Cipher)也称序列密码,是对称密码算 法的一种。流密码具有实现简单、便于硬件实施、加解密处 理速度快、没有或只有有限的错误传播等特点,因此在实际 应用中,特别是专用或机密机构中保持着优势,典型的应用 领域包括无线通信、外交通信。
密钥k
密钥流 产生器
异或运算
明文m
弱密钥
弱密钥:由密钥 k 确定的加密函数与解密函数相同 ,即 。
DES的弱密钥: 密函数相同。
如果各轮产生的子密钥一样,则加密函数与解
DES
k
(•)
DES
1 k
(•)
DES至少有4个弱密钥 :
➢ 0101010101010101
➢ 1f1f1f1f0e0e0e0e
➢ e0e0e0e0f1f1f1f1
( 56 位) 置换选(择48 2
k1
位)
循环左移
循环左移
C i( 28 位)
D i( 28 位)
( 56 位)
置换选择
2
ki
( 48 位)
置换选择1(PC-1)和置换选择2(PC-2)
总结-DES示意图
DES的安全性分析
DES的安全性完全依赖于密钥,与算法本身没有 关系。 主要研究内容:
➢ 密钥的互补性; ➢ 弱密钥与半弱密钥; ➢ 密文-明文相关性; ➢ 密文-密钥相关性; ➢ S-盒的设计; ➢ 密钥搜索。
2
15 11 8
3
10 6
12 5
9
0
7
14 2
13 1
10 6
12 11 9
5
3
8
13 6
2
11 15 12 9
杨波,_《现代密码学(第2版)》第五章 5.4-5.5节
5.4.1 随机数的使用
很多密码算法都需使用随机数,例如: 很多密码算法都需使用随机数,例如: • 相互认证。在密钥分配中需使用一次性随机数来 相互认证。 防止重放攻击。 防止重放攻击。 • 会话密钥的产生。 会话密钥的产生。 • 公钥密码算法中密钥的产生,用随机数作为公钥 公钥密码算法中密钥的产生, 密码算法中的密钥, 密码算法中的密钥,或以随机数来产生公钥密码算 法中的密钥。 法中的密钥。 在随机数的上述应用中, 在随机数的上述应用中,都要求随机数序列满 随机性和不可预测性。 足随机性和不可预测性。
一种方法是将高质量的随机数作为随机数库编 一种方法是将高质量的随机数作为随机数库编 辑成书,供用户使用。 辑成书,供用户使用。然而与网络安全对随机数巨 大的需求相比,这种方式提供的随机数数目非常有 大的需求相比,这种方式提供的随机数数目非常有 再者, 限。再者,虽然这时的随机数的确可被证明具有随 机性,但由于敌手也能得到这个随机数源, 机性,但由于敌手也能得到这个随机数源,而难以 保证随机数的不可预测性。 保证随机数的不可预测性。 网络安全中所需的随机数都借助于安全的密码 网络安全中所需的随机数都借助于安全的密码 算法来产生。但由于算法是确定性的, 算法来产生。但由于算法是确定性的,因此产生的 数列不是随机的。然而如果算法设计得好, 数列不是随机的。然而如果算法设计得好,产生的 数列就能通过各种随机性检验,这种数就是伪随机 数列就能通过各种随机性检验,这种数就是伪随机 数。
如果取a=7,其他值不变,则产生的数列为 5, 25, ,其他值不变,则产生的数列为{1, 如果取 29, 17, 21, 9, 13, 1,…},周期增加到 。 ,周期增加到8。 周期尽可能大, 应尽可能大 应尽可能大。 为使随机数数列的周期尽可能大 为使随机数数列的周期尽可能大,m应尽可能大。 普遍原则是选 接近等于计算机能表示的最大整数 接近等于计算机能表示的最大整数, 普遍原则是选m接近等于计算机能表示的最大整数, 如接近或等于2 如接近或等于231。
流密码 ppt课件
同步流密码
根据加密器中记忆元件的存储状态 i 是否依赖于输入的明文字 符,序列密码可进一步分成同步和自同步两种。
✓ i 独立于明文字符的叫做同步序列密码,否则叫做自同步序列 密码。
由于自同步流密码的密钥流的产生与明文有关,因而较难从理论 上进行分析。目前大多数研究成果都是关于同步流密码的。
在同步流密码中,由于密钥流 zi f (k,i ) 与明文字符无关,因
– 输出:输出为一个64比特的伪随机数Ri和一个64比特的新种 子Vi +1,其中:
EDE表示两个密钥的三重DES。
ANSI X9.17的伪随机数生成器
ANSI X9.17伪随机数产生器的框图如下:
ANSI X9.17的伪随机数生成器
本方案具有非常高的密码强度,因为: – 采用了112比特长的密钥和9个DES加密; – 算法由两个伪随机数输入驱动,一个是当前的日 期和时间,另一个是算法上次产生的新种子。 – 即使某次产生的随机数Ri泄露了,但由于Ri又经 过一次EDE加密才产生新种子Vi +1,所以别人即 使得到Ri也得不到Vi +1 ,从而得不到新随机数Ri +1。
DES的OFB模式能用来产生密钥并能用于流加密,加密算法的每一步输 出都为64比特,其中最左边的j个比特被反馈回加密算法,因此加密算法 的一个个64比特输出就构成了一个具有很好统计特性的伪随机数序列, 同样,如此产生的会话密钥可通过对主密钥的保护而得以保护。
ANSI X9.17的伪随机数生成器
ANSI X9.17伪随机数产生器是密码强度最高的伪随 机数产生器之一,已在包括PGP等许多应用过程中被 采用。 它有3个组成部分:
BBS生成器举例
BBS生成器
BBS的安全性基于大整数分解的困难性,它是密码上 安全的伪随机比特产生器。
第3-4讲 流密码概述
流密码基本概念
线形反馈移位寄存器简介
m序列特性
非线性序列
2.1 流密码基本概念
1、什么是流密码(序列密码)
按加密方式不同,密码体制可分为流密码 和分组密码。 流密码的加密方式 加密变换为:
c Ek (m) Ek0 (m0 )Ek1 (m1 )Ek2 (m2 ) m {mi }i 0 m0m1m2
因此,现代流密码设计的关键是如何生成“随机 性”好的密钥序列,这部分称为密钥发生器。 密钥发生器组成:驱动部分和非线性组合部分
驱动部分控制密钥发生器的状态序列, 并为非线性组合部分提供统计特性好的序列。
非线性组合部分通过一系列复杂变换,将 输入序列组合成密码学特性好的序列。
密钥流生成器
我们希望密钥发生器驱动部分提供的序 列应该实现简单,且具有较好的统计特性, 那么,存在这样的序列么? 线性移位寄存器序列正是满足该要求的 序列。
状态图:为了从直观上描述反馈移存器的状 态转移情况,可以使用一些方框及联接这些方框 的箭头组成的图形,在数学上,把表示反馈移存 器功能的图形称为状态转移图。 在状态图中,从任意状态出发,依次取出各 状态相同位置的分量,即得到输出序列。 3级线性移位寄存器产生序列为:0111010…… 和一个全零序列。
在j+1时刻其内部状态变为:(a j , a j 1,, a j r 1 ) 其中: a j f (a j 1, a j 2 ,, a j r )
此时的输出为j时刻的最高级:a j r
a3 0 1 1 1 0 1 0 0
a2 0 0 1 1 1 0 1 0
a1 1 0 0 1 1 1 0 1
(二)一般伪随机序列的特性
1、在序列的一个周期内,0、1的个数相差最多一个。 2、在序列的一个周期内,长为1的游程占游程总数 1 1 的 2 ,长为2的游程占游程总数的 2 ,长为i的游程 1 占游程总数的 2 ,且在等长的游程中0的游程个数 和1的游程个数相等。
现代密码学第五讲流密码(二).ppt
P [j] = P [j] + g1 ( P [j - 3], P [j - 10],P [j - 511] ); si = h1 ( P [j - 12] ) ⊕ P [j]; } else { //在组内序号大于512时 Q[j] = Q[j] + g2 ( Q[j - 3], Q[j - 10] ,Q[j - 511] ); si = h2 ( Q[j - 12] ) ⊕ Q[j]; } end-if i = i + 1; } end-repeat
伪随机序列。 最大加密消息长度为264 Bytes,即16 TB,若消息
超过该长度,则需要更换密钥对剩下的消息进行 处理。
Rabbit
i时刻的内部状态(internal state)的
大小是513比特,包含
8个32比特的状态变量(state variables)
xj;i (j=0,1,…, 7) ;
8个32比特的计数变量(counter variables)
cj;I (j=0,1,…, 7) ;
第三章流密码
第3章流密码Stream CiphersEarly in the history of human beings, message were delivered by hand. The invention of the telegraph improved communications (by a factor of 10) and increased the importance of cryptography for protecting information.The invention of radio improved communications (by a factor of 100) and made cryptanalysis a necessary part of government activities.The invention of the computer improved the transfer, storage, and analysis of information (by a factor of 109), eliminated personal privacy, and made cryptography and cryptanalysis essential to democracy.New ciphers are based on computer characteristics rather than on language structure.The focus of new ciphers is on binary digits (bits) and not on alphabetic characters. 人类历史早期,信息的传递都是以手工的形式。
电话与无线电的出现大大提高了信息的传递速度,电脑的发明促进了信息的传递,存储和分析,从而使得密码编码学与密码分析学变得十分必要。
现代密码学第3章(5)
3.1分组密码概述
在许多密码系统中,单钥分组密码是系统安全的一 个重要组成部分; 用分组密码易于构造 伪随机数生成器、流密码、消息认证码(MAC)和 杂凑函数等,还可进而成为消息认证技术、数据完 整性机制、实体认证协议以及单钥数字签字体制的 核心组成部分。
应用中对于分组码的要求
• 安全性 • 运行速度 • 存储量(程序的长度、数据分组长度、高速缓存大小)
② 密钥量要足够大(即置换子集中的元素足够 多),尽可能消除弱密钥并使所有密钥同等地好, 以防止密钥穷举攻击奏效。 但密钥又不能过长,以便于密钥的管理。
DES采用56比特密钥,太短了,IDEA采用128 比特密钥,据估计,在今后30~40年内采用80 比 特密钥是足够安全的。
③ 由密钥确定置换的算法要足够复杂,充分实现 明文与密钥的扩散和混淆,没有简单的关系可循, 能抗击各种已知的攻击,如差分攻击和线性攻击; 有高的非线性阶数,实现复杂的密码变换;使对手 破译时除了用穷举法外,无其它捷径可循。
在设计Feistel网络时,还有以下两个方面需要考虑: ① 快速的软件实现:在很多情况中,算法是被镶 嵌在应用程序中,因而无法用硬件实现。此时算法 的执行速度是考虑的关键。 ② 算法容易分析:如果算法能被无疑义地解释清 楚,就可容易地分析算法抵抗攻击的能力,有助于 设计高强度的算法。
2. Feistel解密结构
Feistel网络的实现与以下参数和特性有关: ① 分组大小: 分组越大则安全性越高,但加密速度 就越慢。分组密码设计中最为普遍使用的分组大小 是64比特。 ② 密钥大小:密钥越长则安全性越高,但加密速 度就越慢。现在普遍认为64比特或更短的密钥长度 是不安全的,通常使用128比特的密钥长度。 ③ 轮数:单轮结构远不足以保证安全性,但多轮 结构可提供足够的安全性。典型地,轮数取为16。 ④ 子密钥产生算法:该算法的复杂性越大,则密 码分析的困难性就越大。 ⑤ 轮函数:轮函数的复杂性越大,密码分析的困 难性也越大。
古典密码和流密码的原理及应用
古典密码和流密码的原理及应用【摘要】古典密码和流密码是密码学领域中常见的两种加密方式。
古典密码是基于固定的密钥和特定的算法来加密和解密信息的传统加密方式,其原理包括替换、置换和移位等方法。
古典密码在历史上被广泛运用于军事和外交领域,如凯撒密码和维吉尼亚密码。
流密码则是一种根据密钥生成的伪随机比特流对信息进行加密,其原理包括异或运算和伪随机序列生成。
流密码在现代通信和计算机系统中得到广泛应用,如SSL/TLS协议和Wi-Fi加密。
古典密码和流密码在原理和应用上各有特点,比较之下可以发现各自的优劣。
未来,随着信息技术的不断发展,古典密码和流密码的应用前景将会更加广阔。
【关键词】古典密码、流密码、加密、解密、原理、应用、比较、前景展望1. 引言1.1 古典密码和流密码的原理及应用概述古典密码和流密码是密码学中两种基本的加密方法,它们在信息安全领域中有着重要的应用。
古典密码是一种基于固定密钥的加密算法,其原理是通过对明文进行一系列固定的置换和替换操作来生成密文,只有使用相同的密钥才能解密出明文。
古典密码在历史上曾经被广泛应用于军事和外交领域,如凯撒密码、仿射密码等。
流密码则是一种基于流密钥的加密算法,其原理是通过生成一系列伪随机的密钥流与明文进行按位异或操作来得到密文。
流密码的特点是每个明文位与密钥流中的对应位独立加密,提高了加密的安全性。
古典密码和流密码各自有其独特的应用场景和特点,古典密码适用于短文本的加密,而流密码则适用于大数据流的加密。
在当今信息安全日益重要的环境下,古典密码和流密码的原理及应用也在不断发展和完善,以应对新的安全挑战。
本文将分别介绍古典密码和流密码的原理和应用,以及对它们的比较和展望。
2. 正文2.1 古典密码的原理古典密码是一种使用固定密钥进行加密和解密的加密方式,其原理主要包括替换和置换两种方法。
替换是将明文中的字母或符号按照一定规则替换成密文中的字母或符号,从而实现加密。
最经典的替换密码是凯撒密码,即将所有字母按照一个固定的偏移量进行替换。
现代密码学第五讲:流密码(三)
GrainGrain-128
Grain Version 1支持80比特长的密钥. 对于穷举搜索攻击,目前计算机的能力不可破解 。但是,有可能利用“时间-存储-数据”攻击,以 O(2k/2)的复杂度实施攻击,其中k为密钥长度。即 攻击者需要搜集约2k/2个并用不同的密钥加密的明 文,以找出其中的一个密钥。显然80比特的密钥 太短。 Grain-128在Grain Version 1的基础上,弥补了密 钥短的缺点,它支持128比特的密钥,输入变量为 96比特。
j∈A
A = {2, 15, 36, 45, 64, 73, 89}.
Grain
加解密方法 加密/解密是将输出比特流与明文/密文进行 异或运算:
ci = pi ⊕ zi pi = ci ⊕ zi
ci和pi分别表示第i比特的密文和明文。
GrainGrain-128
A.线性逼近 对于每个方程a(x)都可以找到一个有偏差的线性逼近方程Aa(x),这意味 着Grain总会产生有偏差的密钥流样本,重要的是选择函数g(x)和 h(x)以确保偏差足够小,没有比穷举攻击更好的攻击手段。 B.代数攻击: 在Grain-128中,NFSR使用h(.)函数引入了非线性特性,使用初始状态 比特流表示输出的函数度一般比较大,而且随时变化,因此它能抵 抗任何代数攻击。 C.时间-存储-数据 权衡攻击: 一般的对于流密码的时间-存储-数据攻击复杂度为O(2n/2),n指的是 流密码状态的个数。在Grain-128中,两个128位的移位寄存器加起 来状态变量为256,因此时间-存储-数据权衡攻击的复杂度不低于O (2128) D.错误攻击: 对于流密码来说,错误攻击是威胁较大的攻击之一,它们被引入攻击 了很多著名的流密码体制,但是在NFSR中引入缺陷要比在LFSR中 困难。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ci和pi分别表示第i比特的密文和明文。
MICKEYMICKEY-128
宣称的安全性
MICKEY-128 2.0 is intended to resist any attack faster than exhaustive key search. The designers have not deliberately inserted any hidden weaknesses in the algorithm.
GrainGrain-128
Grain-128使用了一个线性反馈移位寄存器 (LFSR)来确保很好的统计特性和密钥流周期 的下限值。为了引入非线性特性,它使用了 一个非线性反馈移位寄存器(NFSR)和非线性 滤波器(输出函数)。
GrainGrain-128 LFSR的寄存器内容记为si,si+1,……,si+127 LFSR的反馈多项式表示为f(x),是度数为128 的本原多项式。它定义为:
初始化过程
密钥的比特位定义为ki,0≤i≤127,输入自变 量的比特位定义为IVi,0≤i≤95。 NFSR的寄存器初始化:bi=ki,0≤i≤127; LFSR的寄存器初始化:前96个元素使用IV 比特位载入,si=IVi,0≤i≤95,后面的32比 特由1来填充,si=1,96≤i≤127。 在载入密钥和IV后,钟控256次不输出密钥流 ,密钥初始化过程如下:
bi+128 = si + bi + bi+26 + bi+56 + bi+91 + bi+96 + bi+3bi+67 + bi+11bi+13 + bi+17bi+18 + bi+27bi+59 + bi+40bi+48 + bi+61bi+65 + bi+68bi+84
GrainGrain-128
j∈A
A = {2, 15, 36, 45, 64, 73, 89}.
Grain
加解密方法 加密/解密是将输出比特流与明文/密文进行 异或运算:
ci = pi ⊕ zi pi = ci ⊕ zi
ci和pi分别表示第i比特的密文和明文。
GrainGrain-128
A.线性逼近 对于每个方程a(x)都可以找到一个有偏差的线性逼近方程Aa(x),这意味 着Grain总会产生有偏差的密钥流样本,重要的是选择函数g(x)和 h(x)以确保偏差足够小,没有比穷举攻击更好的攻击手段。 B.代数攻击: 在Grain-128中,NFSR使用h(.)函数引入了非线性特性,使用初始状态 比特流表示输出的函数度一般比较大,而且随时变化,因此它能抵 抗任何代数攻击。 C.时间-存储-数据 权衡攻击: 一般的对于流密码的时间-存储-数据攻击复杂度为O(2n/2),n指的是 流密码状态的个数。在Grain-128中,两个128位的移位寄存器加起 来状态变量为256,因此时间-存储-数据权衡攻击的复杂度不低于O (2128) D.错误攻击: 对于流密码来说,错误攻击是威胁较大的攻击之一,它们被引入攻击 了很多著名的流密码体制,但是在NFSR中引入缺陷要比在LFSR中 困难。
NFSR 的寄存器内容记为bi,bi+1,…,bi+127 NFSR的非线性反馈多项式g(x)是一个 线性函数和一个非线性函数的和: 32 37 72 102 128 44 60 61 125 g(x) =1+x +x +x +x +x +x x +x x
+x63x67 +x69x101+x80x88 +x110x111+x115x117 为消除歧义,NFSR的修正函数定义为:
CLOCK_R(R, INPUT_BIT_R, CONTROL_BIT_R): 标记r0,r1,…,r159是钟控前寄存器R的状态,r’0 ,r’1 ,…, r’159 是钟控后寄存器R的状态
FEEDBACK_BIT = r159 ⊕ INPUT_BIT_R 对于1 ≤ i ≤ 159, ri′ = ri -1 ; r0′ = 0 对于0 ≤ i ≤ 159, 若 i ∈ RTAPS , ri′ = ri′⊕ FEEDBACK_BIT 如果CONTROL _ BIT _ R =1 ri′ = ri ⊕ ri′ , 0 ≤ i ≤ 159. :
3. 前钟控 对0≤i≤159:
CLOCK_KG( R, S , MIXING = TRUE , INPUT _ BIT = 0)
MICKEYMICKEY-128 生成密钥流
0≤i≤L-1:
密钥流生成
z i = r0 ⊕ s 0
CLOCK_KG( R, S , MIXING = FALSE , INPUT _ BIT = 0)
zi =
∑
j∈ A
b i + j + h(x) + s i + 93 ,
A = { 2 , 15 , 36 , 45 , 64 , 73 , 89 }.
GrainGrain-128
密钥流生成
加密流程
GrainGrain-128
输出比特zi 为:
zi = ∑ bi + j + h(x) + si +93 ,
GrainGrain-128 算法 MICKEYMICKEY-128 Trivium
3
软件算法
Grain-128
GrainGrain-128
Grain-128的设计者:Martin Hell (Sweden), Thomas Johansson (Sweden) 和 Willi Meier (Switzerland)
GrainGrain-128
g(x) NFSR LFSR f(x)
h(x)
密钥初始化
GrainGrain-128
布尔函数h(x) 定义如下: h( x) = x0 x1 + x2 x3 + x4 x5 + x6 x7 + x0 x4 x8 其中 x0 , x1 , x2 , x3 , x4 , x5 , x6 , x7 , x8 分别对应于两个 寄存器b和s 的抽头: bi +12 , si +8 , si +13 , si + 20 , bi +95 , si + 42 , si + 60 , si + 79 , s i +95 反馈比特zi定义为:
软件算法
Trivium
Trivium
Trivium由Belgium密码学家C. De Cannière 和 B. Preneel设计 Trivium从一个80-bit的密钥和一个80-bit的 起始变量中生成多达264比特的密钥流.
Trivium
初始化过程
密钥长度: 80比特, 记为K1 , . . . , K80 IV 大小: 80比特,记为IV1 , . . . , IV80 中间状态大小: 288比特,记为s1,. . . , s93, s94 , . . . , s177, s178 ,. . . , s288。
MICKEYMICKEY-128 寄存器S钟控 寄存器 钟控
四个序列 COMP P 0158 , P1158 ,
FB 0 0...FB 0159 , FB10...FB1159
r
r159⊕
MICKEYMICKEY-128
加解密方法 加密/解密是将输出比特流与明文/密文进行 异或运算:
1. 将80-bit 的密钥和 的密钥和80-bit 的起始变量分别 赋值给内部状态比特s1~s80和s94 ~s173。 赋值给内部状态比特 同时将s 置为1, 同时将 286 , s287和 s288置为 ,剩余所有位 置零。 置零。
MICKEYMICKEY-128
CLOCK_S(S, INPUT_BIT_S, CONTROL_BIT_S): 标记s0,s1,…,s159是钟控前寄存器R的状态,s’0, s’1, …, s’159是钟控后寄存器R的状态. 采用ŝ0, ŝ1,…, ŝ159 作为中间变量。
寄存器S钟控 寄存器 钟控
FEEDBACK _ BIT = s159 ⊕ INPUT _ BIT _ S ) si = si-1 ⊕ (( si ⊕ COMP0i ) ⋅ ( si+1 ⊕ COMP1i )), 1 ≤ i ≤ 158; ) ) s0 = 0; s159 = s158 .
如果CONTROL _ BIT _ S = 0: ) ′ = si ⊕ (FB0i ⋅ FEEDBAC_BIT ), 0 ≤ i ≤ 159 ; si 如果CONTROL _ BIT _ S = 1: ) ′ = si ⊕ (FB1i ⋅ FEEDBACK_BIT ), ≤ i ≤ 159. si 0
MICKEYMICKEY-128
初始化过程
寄存器R和S初始为全0, 1. 载入IV. 对0≤i≤IVENGTH-1:
CLOCK_KG( R, S , MIXING = TRUE , INPUT _ BIT = ivi )
2. 载入K. 对0≤i≤127:
CLOCK_KG(R, S , MIXING = TRUE , INPUT _ BIT = ki )
f ( x ) = 1 + x 32 + x 47 + x 58 + x 90 + x 121 + x 128
为了消除可能的歧义,定义LFSR对应的修 正(更新)函数:
si +128 = si + si +7 + si +38 + si +70 + si +81 + si +96