序列密码 3.5 典型序列密码算法
序列密码——精选推荐
序列密码序列密码引⾔序列密码⼜称流密码,它是将明⽂串逐位地加密成密⽂字符。
并有实现简单、速度快、错误传播少等特点。
密码按加密形式可分为:分组密码序列密码密码按密钥分为:对称密码(私钥密码)⾮对称密码(公钥密码)1. 加解密算法明⽂序列:m=m1m2……mn……密钥序列:k=k1k2……kn……加密:ci=mi+ki,i=1,2,3,……解密:mi=ci+ki,i=1,2,3,……注:+模2加,0+0=0,0+1=1,1+0=1,1+1=0例 m=101110011,c=m+k=111000110,m=c+k=101110011.1949年,Shannon证明了“⼀次⼀密”密码体制是绝对安全的。
如果序列密码使⽤的密钥是真正随机产⽣的,与消息流长度相同,则是“⼀次⼀密”体制。
但缺点是密钥长度要求与明⽂长度相同,现实情况中不可能实现,故现实中常采⽤较短的种⼦密钥,利⽤密钥序列⽣成器产⽣⼀个伪随机序列。
序列密码的原理分组密码与序列密码都属于对称密码,但两者有较⼤的不同:1. 分组密码将明⽂分组加密,序列密码处理的明⽂长度为1bit;2. 分组密码算法的关键是加密算法,序列密码算法的关键是密钥序列⽣成器。
3. 序列密码分类同步序列密码密钥序列的产⽣仅由密钥源及密钥序列⽣成器决定,与明⽂消息和密⽂消息⽆关,称为同步序列密码。
缺点:如果传输过程中密⽂位被插⼊或删除,则接收⽅与放送⽅之间产⽣了失步,解密即失败。
⾃动同步序列密码密钥序列的产⽣由密钥源、密钥序列⽣成器及固定⼤⼩的以往密⽂位决定,称为⾃同步序列密码(⾮同步密码)。
优点:如果密⽂位被删除或插⼊时,可以再失去同步⼀段时间后,⾃动重新恢复正确解密,只是⼀些固定长度的密⽂⽆法解密。
4. 密钥序列⽣成器的要求(key generation)种⼦密钥k的长度⾜够⼤,⼀般128bit以上,防⽌被穷举攻击;密钥序列{ki}具有极⼤的周期性现代密码机数据率⾼达10^8 bit/s,如果10年内不使⽤周期重复的{ki},则要求{ki}的周期T>=3*106或255;良好的统计特征。
序列密码讲解及事例
5.1.4 伪随机数的评价标准
(1)看起来是随机的,表明它可以通过所有随机性统计检验。 现在的许多统计测试。它们采用了各种形式,但共同思路是它们 全都以统计方式检查来自发生器的数据流,尝试发现数据是否是随 机的。 确 保 数 据 流 随 机 性 的 最 广 为 人 知 的 测 试 套 件 就 是 George Marsaglia 的 DIEHARD 软件包(请参阅 / pub/diehard/)。另一个适合此类测试的合理软件包是 pLab(请参 阅http://random.mat.sbg.ac.at/tests/)。 (2)它是不可预测的。即使给出产生序列的算法或硬件和所有以 前产生的比特流的全部知识,也不可能通过计算来预测下一个随机 比特应是什么。 (3)它不能可靠地重复产生。如果用完全同样的输入对序列产生 7 器操作两次将得到两个不相关的随机序列。
21
反馈函数f(a1,a2,…,an)是n元布尔函数,即n个变元a1,a2,…,an 可以 独立地取0和1两个可能的值,函数中的运算有逻辑与、逻辑或、逻 辑补等运算,最后的函数值也为0或1。
9
这就是为什么所有序列密码也有密钥的原因。密钥流发生器的 输出是密钥的函数。 这样,Alice有一个明文/密文对,但她只能读到用特定密钥加 密的消息。 更换密钥,攻击者就不得不重新分析。 流密码是将明文划分成字符(如单个字母),或其编码的基本单 元(如0, 1数字),字符分别与密钥流作用进行加密,解密时以同步 产生的同样的密钥流实现。 • 流密码强度完全依赖于密钥序列的随机性(Randomness)和不
13
自同步序列密码举例
例 假设种子密钥为k=h,之后的密钥是上一个密文。采用移位密 码,明文为cryptography,列表给出它的加密和解密过程。
序列密码——精选推荐
序列密码基本概念序列密码的加密⽤⼀个随机序列(密钥流)与明⽂序列按位叠加产⽣密⽂,⽤同⼀随机序列与密⽂序列叠加来恢复明⽂。
v由种⼦密钥通过密钥流发⽣器得到的密钥流为:K=k1k2...k n,则加密变换为:C=c1c2...c n其中c i=m i⊕k i i=1,2...n,那么解密变换就是m i=c i⊕k i i=1,2...n密码强度主要依赖于密钥流的安全性同步序列密码密钥序列的产⽣独⽴于明⽂消息和密⽂消息。
特点:⽆错误传播:各符号之间真正独⽴。
⼀个传播错误只影响⼀个符号,不会影响到后继的符号同步:发送⽅和接收⽅必须保持精确的、⽤同样的密钥并作⽤在同样的位置上,才能正确的解密⾃同步序列密码密钥序列是密钥及固定⼤⼩的以往密⽂的函数,依赖于密⽂。
特点:有限错误传播:设密钥序列产⽣器具有n位存储,则⼀个符号的传输错误只影响到后⾯n符号的解密⾃同步:只要接收⽅连续收到n个正确的密⽂符号,密钥序列产⽣器便会⾃动地恢复同步消除明⽂统计特性密钥流⽣成器和密钥流密钥流的要求极⼤的周期:随机序列是⾮周期的,⽽按任何算法产⽣的序列都是周期的,因此应要求密钥流具有尽可能⼤的周期良好的统计特性:随机序列有均匀的游程分布游程:指序列中相同符号的连续段,其前后均为异种符号。
例如:……0 111 0000 10……注意:计算游程的时候要⾸尾相连计算,头和尾的两个0合在⼀起构成长度为2的0游程。
有长为3的1游程、长为4的0游程、长为1的1游程,长为2的0游程。
⼀般要求其在周期内满⾜:同样长度的0游程和1游程的个数相等,或近似相等。
很⾼的线性复杂度:不能⽤级数较⼩的线性移位寄存器LFSR近似代替⽤统计⽅法由密钥序列k0k1k2…ki…提取密钥⽣成器结构或种⼦密钥在计算上不可⾏密钥流⽣成器密钥流⽣成器可以分为:驱动部分⾮线性组合部分驱动部分:控制⽣成器的状态序列,为⾮线性组合部分提供统计性能良好的序列周期很⼤分布较随机⾮线性部分:将驱动部分提供的序列组合成密码特性好的序列可隐蔽驱动序列与密钥k之间明显的依赖关系⽬前密钥流⽣成器⼤都基于移位寄存器FSR通常由线性移位寄存器(LFSR)和⼀个⾮线性组合函数即布尔函数组合,构成⼀个密钥流⽣成器(a)由⼀个线性移位寄存器和⼀个滤波器构成(b)由多个线性移位寄存器和⼀个组合器构成LSFR的优点:⾮常适合硬件实现能产⽣⼤的周期序列能产⽣统计特性好的序列能够应⽤代数⽅法进⾏很好的分析反馈移位寄存器GF(2)上⼀个n级反馈移位寄存器由n个⼆元存储器与⼀个反馈函数f(a1a2...a n)组成Processing math: 100%每个存储器称为移位寄存器的⼀级在任⼀时刻,这些级的内容构成该FSR的状态;对应于⼀个GF(2)上的n维向量,共有2n种可能的状态状态可⽤n长序列a1,a2,a3,…,a n或n维⾏向量(a1,a2,a3,…,a n)表⽰每⼀级存储器a i将其内容向下⼀级a i-1传递,并根据存储器当前状态计算f(a1,a2,a3,…,a n)作为a n下⼀时间的内容example:初始状态为(a1,a2,a3)=(1,0,1),输出可由上表求出,其输出序列为10111011101…,周期为4如果反馈函数f(a1,a2,…,a n)是a1,a2,…,a n的线性函数,则称为线性反馈移位寄存器(LFSR)n级LFSR最多有2n个不同的状态初始状态为零,则其状态恒为零若其初始状态⾮0,则其后继状态不会为0因此n级LFSR的状态周期≤2n−1输出序列的周期与状态周期相等,所以≤2n−1选择合适反馈函数可使序列周期达到最⼤值2n−1,周期达到最⼤值的序列称为m序列特征多项式表⽰:1是必须写的,c i的取值和上⾯⼀⼀对应定理:n级LFSR产⽣的序列有最⼤周期2n−1的必要条件是其特征多项式为不可约的定义:若n次不可约多项式p(x)的阶为2n-1,则称p(x)是n次本原多项式,使得p(x)|(x p−1)的最⼩p称为p(x)的阶定理:设{a i}∈G(p(x)),{a i}为m序列的充要条件是p(x)为本原多项式Java实现LSFRpublic class LSFR {public static void newLsfr(List<Integer> lst, int k, List<Integer> key){int temp=0;List<Integer> temp1 = new ArrayList<>(lst);List<Integer> temp2 = new ArrayList<>(key);for(int i = 0;i < k; ++i){boolean flag = false;Integer kOut=0;for (int j = 0;j < 20;++j){if(temp2.get(j).equals(1))kOut = (Integer) ((kOut + temp1.get(j) ^ temp2.get(j)) % 2);}temp1.remove(0);temp1.add(kOut);for(int q = 0;q < 20;q++){if (!temp1.get(q).equals(lst.get(q))) {flag = true;break;}}System.out.println(temp1.toString()+"第"+(i+1)+"次");if(!flag)temp = i+1;}if(temp!=0)System.out.println("周期是:"+temp);}对于m-序列(周期为2n−1),如果攻击者知道了2n位明密⽂对,则可确定反馈多项式的系数,从⽽确定该LFSR接下来的状态,也就能得到余下的密钥序列,具体过程如下:三个随机性公设:在⼀个周期内,0与1的个数相差⾄多为1—a i中0与1出现的概率基本上相同在⼀个周期内,长为1的游程占游程总数的1/2,长为2的游程占游程总数的1/22,……,长为i的游程占游程总数的1/2i,……,且等长的游程中0游程个数和1游程个数相等——0与1在序列中每⼀位置上出现的概率相同异相⾃相关函数是⼀个常数——通过对序列与其平移后的序列做⽐较,不能给出其它任何信息⾮线性部分Geffe发⽣器钟控发⽣器交错停⾛式发⽣器门限发⽣器常⽤流密码算法RC4基于⾮线性数组变换优点:易于软件实现,加密解密速度快,⽐DES快10倍A5基于LFSR。
现代密码学之03序列密码
(1)以种子密钥为移存器的初态,按照确定的递推关 系,产生周期长、统计特性好的初始乱源序列。
(2)继而利用非线性函数、有记忆变换、采样变换等 手段,产生抗破译能力强的乱数序列。
在序列密码设计中,大多使用周期达到最大的那些 序列,包括:
(1)二元域GF(2)上的线性递归序列 (2)2n元域GF(2n)上的线性递归序列 (3)剩余类环Z/(2n)上的线性递归序列 (4)非线性递归序列
3.2.2 线性反馈移存器(LFSR)简介
c0=1
c1
c2 …
…
x1
x2
am-1
am-2
cn-2 xn-1
cn-1
cn
xn am-n
一、当ci=1时,开关闭合,否则断开;c0=1表示总有 反馈;一般cn=1,否则退化。
二、反馈逻辑函数
f(x1, x2, …, xn)=c1x1+c2x2+…+cnxn 三、线性递推式
= c0am+c1Dam+c2D2am+…+cnDnam) = (c0+c1D+c2D2+…+cnDn)am 因此反馈多项式(也称特征多项式)为:
g(x)= c0+c1x+c2x2+…+cnxn
五、状态转移矩阵
给定两个相邻状态:
则有
Sm=(am+n-1,…,am+1,am) Sm+1=(am+n,…,am+2,am+1)
管理问题!
因而人们设想使用少量的真随机数(种子密钥) 按一定的固定规则生成的“伪随机”的密钥序 列代替真正的随机序列ki,这就产生了序列密 码。
典型密码算法
14
m1 m2…………m64
初始置换
Round1
K1
迭 代
: : :
16
圈
Round16
K16
逆初始置换
C1 C2……C64
DES加密框图
15
二 圈函数
DES算法的第 i(i=1,2, … ,15) 圈加密结构图
圈变换的数学描述如下: Li-1 (32位) Ri-1 (32位)
Li=Ri-1
F
Ri=Li-1 F(Ri-1, Ki)
8
5、典型的密码算法
序列密码:RC4、A5、E0; 分组密码:AES、DES、IDEA; 公钥密码:RSA、ECC; HASH函数:MD5、SHA-1;
9
DES分组密码算法
(Data Encipher Standard)
DES算法概述 圈函数 密钥生成算法
10
一、DES算法概述
DES算法是迭代型分组密码算法。 基本参数:
3 0 1 10 13 00 06 09 08 07 0 4 15 14 0 3 11 05 0 2 12
0 0 7 13 14 03 00 06 0 9 10 01 02 08 0 5 11 12 0 4 15
S4
1 2
13 0 8 11 05 0 6 15 00 03 04 07 0 2 12 0 1 10 14 09 10 06 09 0 0 12 11 0 7 13 15 01 0 3 14 05 02 08 04
b6
b1 b 2 b 3 b 4 b5 b6
行:b1 b6 =112=3
1100112
列:b2b3b4b5=10012=9
即: S6 (1100112)=11102
密码学3 序列密码
2019/1/25
35
随机性公设说明:
1)说明:序列中0、1出现的概率基本相同 2)说明:0、1在序列中每一位置上出现 的概率相同; 3)说明通过对序列与其平移后的序列作比 较,不能给出其它任何信息。
2019/1/25 36
从密码系统的角度看,一个伪随机序列还 应满足下面的条件: ① {ai}的周期相当大。 ② {ai}的确定在计算上是容易的。 ③ 由密文及相应的明文的部分信息,不能 确定整个{ai}。
2019/1/25 31
该移存器的周期是最长周期。 称能产生m序列的移存器为本原移存器,该 移存器对应的反馈多项式为本原多项式。 本原多项式所产生的序列是最长周期序列, 即 2n-1 ,称为m序列。
m序列在密码学中有广泛的应用。
2019/1/25 32
2、m序列特性
(一)基本定义
定义1:游程 若干个信号连续出现的现象称游程。
2019/1/25
37
(三)m序列的特性
性质1:“0、1”信号频次
r级m序列的一个周期中,1出现 2 r 1 r 1 2 1 个。 0出现
本原多项式
f ( x) x 4 x 1
个,
序列的一个周期:011110101100100
2019/1/25 38
性质2:在r级m序列的一个周期中,没有大于r的游程
2019/1/25
1
2. 单表代换密码 凯撒密码
c E3 (m) m 3(mod26),0 m 25 m D3 (c) c 3(mod26),0 c 25
移位变换
c Ek (m) m k (mod26),0 m, k 25 m Dk (c) c k (mod26),0 c, k 25
现代密码学第5章:序列密码
密钥流生成器的分解
k
k
驱动子 系统
非线性 组合子 系统
zi
25
常见的两种密钥流产生器
目前最为流行和实用的密钥流产生器如 图所示,其驱动部分是一个或多个线性反馈 移位寄存器。
LFSR
………
LFSR1
LFSR2 ……
F
zi
F
zi
LFSRn
26
KG的一般结构
通常,人们总是把KG设计得具有一定 的结构特点,从而可以分析和论证其强度, 以增加使用者的置信度。一般有以下模式:
23
同步序列密码密钥流产生器
由于具有非线性的υ的有限状态自动机理 论很不完善,相应的密钥流产生器的分析工 作受到极大的限制。相反地,当采用线性的 φ和非线性的ψ时,将能够进行深入的分析 并可以得到好的生成器。为方便讨论,可将 这类生成器分成驱动部分和非线性组合部分 (如下图)。 驱动部分控制生成器的状态转移,并为 非线性组合部分提供统计性能好的序列;而 非线性组合部分要利用这些序列组合出满足 要求的密钥流序列。
6
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
18
密钥序列生成器(KG)基本要求
人们就目前的想象和预见,对KG提出 了以下基本要求: 种子密钥k的变化量足够大,一般应 在2128以上; KG产生的密钥序列k具极大周期,一 般应不小于255; k具有均匀的n-元分布,即在一个周 期环上,某特定形式的n-长bit串与其求反, 两者出现的频数大抵相当(例如,均匀的游 程分布);
序列密码算法
序列密码算法随着互联网的飞速发展,信息安全问题越来越受到人们的关注。
在信息安全领域中,密码学是一门重要的学科,其研究的对象就是如何保护信息的机密性、完整性和可用性。
密码学中的一种重要技术就是密码算法,而序列密码算法就是其中的一种。
序列密码算法是一种基于序列的密码算法,它使用一个生成器生成一个伪随机序列,然后将该序列与明文进行异或操作,得到密文。
在解密时,使用相同的生成器生成相同的伪随机序列,再将密文与该序列进行异或操作,即可得到明文。
因此,序列密码算法的安全性主要依赖于伪随机序列的质量。
序列密码算法有很多种,其中最常见的是RC4算法。
RC4算法是一种流密码(Stream Cipher)算法,它采用变长密钥,最长可达256位,但通常使用40位或128位密钥。
RC4算法的主要流程如下:1. 初始化阶段:生成一个S盒(S-Box)和一个T盒(T-Box)。
2. 密钥调度阶段:使用密钥填充S盒和T盒。
3. 伪随机数生成阶段:使用S盒和T盒生成伪随机数序列。
4. 加密阶段:将伪随机数序列与明文进行异或操作,得到密文。
5. 解密阶段:使用相同的密钥和相同的S盒和T盒生成相同的伪随机数序列,再将密文与该序列进行异或操作,即可得到明文。
RC4算法具有以下优点:1. 加密速度快:由于RC4算法采用流密码算法,每次只需要处理一位明文,因此加密速度非常快。
2. 实现简单:RC4算法的实现非常简单,只需要一些基本的位运算和数组操作即可。
3. 可逆性强:RC4算法的加密和解密使用相同的密钥和相同的算法,因此具有强的可逆性。
但是,RC4算法也存在一些缺点:1. 密钥长度较短:RC4算法的密钥长度最长只能达到256位,这使得它的安全性受到了一定的限制。
2. 安全性不足:由于RC4算法的S盒和T盒生成方式不够随机,因此可能存在安全漏洞,容易受到攻击。
为了弥补RC4算法的不足,人们提出了很多改进的序列密码算法,如Salsa20、ChaCha20等。
序列密码 3.5 典型序列密码算法
密钥,保证对每帧以不同的起点生成乱数,尽可能避免 密钥重用。
一 A5-1序列密码算法
3、乱数生成与加脱密 A5算法中,LFSR的不规则动作采用钟控方式。
二 RC4算法
设计者:Ron Rivest 设计时间:1987年 算法公开时间:1994 密钥:支持可变的密钥长度
二 RC4算法
S盒的初始化:
线性填充:S0=0;S1=1;S255=255; 密钥key:40~256个字节 用密钥重复填充另一个256字节的数组,不 断重复密钥直到填充到整个数组,得到:K0,K 1,…,K255 对于i=0到255 j=(j+Si+Ki)mod256 交换Si和Sj
注:A5-1算法中,LFSR的移位方式是左移方式。 各寄存器的编号从第0级编号到第n-1级。
一 A5-1序列密码算法
n级左移LFSR的结构框图
cn=1
cn-1
cn-2 c2
xn-1
xn-2
x1
c1 x0
c0=1
移存器的左移和右移方式,除移位方式不同 外,其工作原理完全相同。
一 A5-1序列密码算法
加密: Ek (M ) Ek1(M1)Ek2 (M 2 )Ek3(M3) 一次通话使用一个会话密钥,对每帧使用不同的
帧密钥。 帧会话密钥:帧序号,长度为22比特。
帧会话密钥共产生228比特乱数,实现对本帧228 比特通信数据的加脱密。
明密结合方式:逐位模2加。
一次通话量:至多222帧数据,约0.89×230比特 。
序列密码算法:第一阶段共选出了6个算法,第二阶 段选出了3个算法,最终没有选定算法作为标准。
分组密码算法 序列密码算法
分组密码算法序列密码算法
分组密码算法是一种对明文按照一定大小的分组进行加密的算法。
在这种算法中,明文被分成固定长度的块,并对每个块进行加密转换以生成密文。
最常见的分组密码算法是AES(高级加密标准)。
AES算法使用128位的分组大小,也就是将明文分成128位的块,并使用相同的密钥对每个块进行加密。
具体的加密过程包括轮密钥生成、字节替代、行移位、列混淆和轮密钥加等步骤。
这些步骤的重复执行使得AES算法具有较高的安全性和强大的抵抗攻击的能力。
序列密码算法是一种通过对明文逐个字符进行加密转换来生成密文的算法。
在这种算法中,明文中的每个字符都会被一个密钥对应的密码算法转换成密文中的一个字符。
最常见的序列密码算法是RC4(Rivest Cipher 4)。
RC4算法使用可变长度的密钥,通过对明文中的每个字符与密钥中的一个字符进行异或运算来生成密文中的字符。
由于RC4算法的简单性和高效性,它在很多应用中被广泛使用,比如加密通信协议SSL/TLS。
虽然分组密码算法和序列密码算法在加密原理和实现上存在一定的差异,但它们都是基于数学运算和密钥的加密算法。
无论是分组密码算法还是序列密码算法,都需要选择合适的密钥长度和密码算法,以及采取适当的安全措施来保护密钥的安全性,从而保证加密的强度和可靠性。
同时,为了提高密码算法的安全性,研究者们也在不断地提出新的加密算法和协议,以应对日益增长的安全风险和攻击手段。
3.2-序列密码
提问: (1) (1) (1) (1) (1) (1) A3 A 如果上面的输入序列变为: 1 A2 A 1 A 3 A2 则上面的结果是什么,为什么?
20
同步序列密码密钥流产生器
设计关键是密钥流产生器。一般可将其看成一个参数为k的有 限状态自动机,由一个输出符号集Z、一个状态集∑、两个函 数φ和ψ以及一个初始状态σ0组成 状态转移函数φ:σi→σi+1,将当前状态σi变为一个新状态σi+1 输出函数ψ:σi→zi,当前状态σi变为输出符号集中的一个元素zi
有限状态机
范明钰 2019 年本科密码学
状态转移图 密钥序列生成器
17
有限状态自动机
有限状态自动机是具有离散输入和输出(输入集和输出 集均有限)的一种数学模型,由以下3部分组成:
范明钰 2019 年本科密码学
① 有限状态集 S {si | i 1,2,....l}
(1) A { A ② 有限输入字符集 1 j | j 1,2,..., m} 和有限输出字
(1) ( 2) (A ) 1 , A 3
(1) ( 2) ( A3 , A2 )
S2
(1) ( 2) ( A2 ,A ) 1
(1) ( 2) (A ) 1 , A 2
S3
(1) ( 2) ( A2 , A2 )
(1) ( 2) ( A3 ,A ) 1
19
例子
(1) (1) (1) S {s1 , s2 , s3 }, A1 { A1 , A2 , A3 }, ( 2) ( 2) ( 2) A2 { A1 , A2 , A3 }
范明钰 2019 年本科密码学
列密码体制的模型如下图。
第五讲序列密码
[c1 , c2 , L cn ]
结构常数
例:
x1
x2
c1
x3
c2
c3 = 0
x4
c4
⊕
⊕
反馈函数为 f () = x1 + x2 + x 4
[c1 , c2 , c3 , c4 ] = [1,1,0,7 初始状态:(0010),输出序列:(0010111)∞,周期为7 初始状态:(0110),输出序列:(0110100)∞,周期为7
称为 f(x) 对应的移位寄存器的序列空间。 定理:a ∈ S ( f ( x )) 的充要条件是
~
~ a 的形式幂级数表示为
证明:
g ( x) a ( x) = f ( x)
∞ n =0
g(x)是次数小于n的多项式。
a ( x) = ∑ a n x n = a0 + a1 x + a 2 x 2 + a3 x 3 + L + ai x i + L
状态转换可以用生成矩阵实现,新状态等于 前一状态乘以生成矩阵。
t+1时刻的状态 :
st +1 = (at +1 , at + 2 ,L, at + n ), at + n = −cn at − cn−1at +1 − L − c1at + n−1
所以:
st +1 = st T f , st + 2 = st +1T f = st T ,L
y = y0 y1 y 2 L,
yi = xi ⊕ ri ,
yi ∈ GF (2)
解密为: xi
= yi ⊕ ri
如果每隔固定的r个字符或比特,以后密钥重复使用, 则为周期序列密码;密钥不重复的为非周期序列密码。
5-序列密码
我国的密码分级
前三种国家密码局统一管理。
核心密码:保护党、政、军的核心机密 涉密网 普通密码:保护国家和事企业单位秘密信息 非涉密网商用密码:保护国家和事企业单位敏感信息 个人密码:保护个人隐私
我国商用密码政策: 统一领导、集中管理、定点研制、专控经营、 满足使用。
无线局域网产品使用的SMS4密码算法,是国内官方公布的第 一个商用密码算法。
b2 b1
…
反馈函数f
n位寄存器中的初始值称为移位寄存器的初态。 反馈函数f:n个变元的布尔函数。 bn,bn-1,…,b2,b1取值{0,1}
f(bn,bn-1,…,b2,b1)
f也取值{0,1}
例:3级LFSR
f(x)=b3+b1
3 2 1
第0时刻 第1时刻 第2时刻 第3时刻 第4时刻 第5时刻 第6时刻 第7时刻
官方公布商用密码
国家密码管理局公告(第 7 号) 2006.1.6
无线局域网产品须采用下列经批准的密码算法: 1、对称密码算法:SMS4; 2、签名算法:ECDSA; 3、密钥协商算法:ECDH; 4、杂凑算法:SHA-256; 5、随机数生成算法:自行选择。
其中,ECDSA和ECDH密码算法须采用我局指定 的椭圆曲线和参数。
理论上能产生周期为2n-1的伪随机序列
b3 b2 b1
初态:100
b3 b2 b1
反馈函数f
反馈函数f
m序列
m序列有良好的随机性,50年 代作为密钥序列用于军用,60 年代发现不安全。
若一个n阶的LFSR的输出序列周期为2n-1,则称 该序列为m序列。
f a 4 a1
本原多项式
f ( x) x x 1
移动互联网安全课件第2章第2-3节
2.2.1 分组密码
分组密码的加密过程如下:
①将明文分成m个明文组M1,M2, …,Mi,…,Mm。
②对每个明文分组分别作相同的加 密变换,从而生成m个密文组C1, C2,…,Ci,…,Cm。在上图所示 的加密过程中,分组密码以32位为 一个分组对明文进行划分,明文单 词“this”经过加密变换后得到密文 “}kc{”。这些加密算法是对整个明文 进行操作的,即除了其中的文字以 外,还包括空格、标点符号和特殊 字符等。
2.2.2 序列密码
典型的序列密码算法: A5算法
A5算法是一种典型的基于线性反馈移位寄存器的序列密码算法,构成A5加密器主体 的LFSR有三个,组成了一个集互控和停走于一体的钟控模型。其主体部分由三个长 度不同的线性移位寄存器(A,B,C)组成,其中A有19位,B有22位,C有23位,它 们的移位方式都是由低位移向高位。每次移位后,最低位就要补充一位,补充的值 由寄存器中的某些抽头位进行异或运算的结果来决定,比如:运算的结果为“1”, 则补充“1”,否则补充“0”。在三个LFSR中,A的抽头系数为:18,17,16,13 ;B的抽头系数为:21,20,16,12;C的抽头系数为:22,21,18,17。三个 LFSR输出的异或值作为A5算法的输出值。A5加密器的主体部分如图2-13所示。
2.2.2 序列密码
序列密码通常分为两类:
同步序列密码:若密钥序列的产生独立于明文消息和密文消息,这样 的序列密码称为同步序列密码。
自同步序列密码: 若密钥序列的产生是密钥及固定大小的以往密文 位的函数,这样的序列密码称为自同步序列密码或非同步序列密码.
2.2.2 序列密码
同步序列密码:
如图2-11所示, ki表示密钥 流, ci 表示密文流, mi表示 明文流。在同步序列密码中 ,密钥流的产生完全独立于 消息流(明文流或密文流)。 在这种工作方式下,如果传 输过程中丢失一个密文字符 ,发送方和接收方就必须使 他们的密钥生成器重新进行 同步,这样才能正确地加/解 密后续的序列,否则加/解密 将失败。
序列密码(讲用)
9
序列密码
序列密码为一六元组(P,C,K,L,E,D)和函数g,并满足 以下条件:
1. P是由所有可能明文构成的有限集。 2. C是由所有可能密文构成的有限集。 3. K是由所有可能密钥构成的有限集。
因为确定性算法产生的序列是周期的或准 周期的,为了使序列密码达到要求的安全保密 性,密钥经其扩展成的密钥流序列应该具有如 下性质:极大的周期、良好的统计特性、抗线 性分析、抗统计分析。
我们仅对实用中最感兴趣的二元情形即 GF(2)上的序列密码原理进行介绍,但其理论 是可以在任何有限域GF(q)中进行研究的。
5
由此可见, 序列密码的安全性主要依赖于密钥序列k0k1…=A(k), 当k0k1…是离散无记忆的随机序列时,则该系统就是一次一密密 码, 它是不可破的. 但通常A(k)是一个由k通过确定性算法产生的 伪随机序列, 因而此时, 该系统就不再是完全保密的. 设计序列密 码的关键是设计密钥序列A(k),密钥序列A(k)的设计应考虑如 下几个因素:
(2)无错误传输。在传输期间,一个密文字符被改变只 影响该字符的恢复,不会对后继字符产生影响。
12
自同步序列密码
自同步序列密码的密钥流的产生和已经产生的固定数量 的密文字符有关,即是一种有记忆变换的序列密码。如图所 示。
密钥流 生成器
密钥流 生成器
密 钥 流
ki 明文流mi 加密算法E
密文流ci
密 钥 流
《应用密码学》
序列密码
1
1 概述
按照对明文消息加密方式的不同,对称密码体制一般可以分为两类:分组密 码(block cipher)和流密码(stream cipher) 。
序列密码——精选推荐
序列密码序列密码内容提要(或本章引⾔)使⽤流密码对某⼀消息 m 执⾏加密操作时⼀般是先将 m 分成连续的符号(⼀般为⽐特串),m=m1m2m3……;然后使⽤密钥流k=k1k2k3……中的第 i 个元素 ki 对明⽂消息的第 i 个元素 mi 执⾏加密变换,i=1,2,3,……;所有的加密输出连接在⼀起就构成了对 m 执⾏加密后的密⽂。
序列密码以其易于实现、加解密快速、⽆错误传播、应⽤协议简单等优点,在政府、军事、外交等重要部门的保密通信以及各种移动通信系统中被⼴泛使⽤。
本章重点⼀次⼀密加密体制;线性反馈移位寄存器;基于线性反馈移位寄存器的伪随机序列⽣成器;伪随机序列的安全性; m 序列; RC4、A5 算法。
第2章序列密码2.1概述(2 级标题)按照对明⽂消息加密⽅式的不同,对称密码体制⼀般可以分为两类:分组密码(block cipher)和流密码(stream cipher) 分组密码:对于某⼀消息 m,使⽤分组密码对其执⾏加密操作时⼀般是先对 m 进⾏填充得到⼀个长度是固定分组长度 s 的整数倍的明⽂串 M;然后将 M 划分成⼀个个长度为 s 的分组;最后对每个分组使⽤同⼀个密钥执⾏加密变换。
流密码(也称序列密码):使⽤流密码对某⼀消息 m 执⾏加密操作时⼀般是先将 m 分成连续的符号(⼀般为⽐特串), m=m1m2m3……;然后使⽤密钥流 k=k1k2k3……中的第 i 个元素 ki 对明⽂消息的第 i 个元素 mi 执⾏加密变换, i=1,2,3,……;所有的加密输出连接在⼀起就构成了对 m 执⾏加密后的密⽂。
与分组密码相⽐,序列密码受政治的影响很⼤,⽬前应⽤领域主要还是在军事、外交等部门。
虽然也有公开设计和研究成果发表,但作为密码学的⼀个分⽀,流密码的⼤多设计与分析成果还是保密的。
⽬前可以公开见到、较有影响的流密码⽅案包括 A5、SEAL、RC4、PIKE 等。
本章主要讨论流密码加密体制,关于分组密码的知识将在下⼀章给出。
(现代密码学课件)02序列密码
2
一、二进制与位运算
二进制表示 字符编码 常用位运算 位运算练习
3
二进制表示
在现代密码算法中,我们通常需要将明文 用二进制的明文流来表示,然后再对二进 制的明文流加密。
任何十进制数字都可以用二进制数字表示 练习:将自己的学号的后三位用二进制数
字表示(后面的练习还需要用到)
输 出 时刻 状 态
4321
18
0 0 0 1 0 0
9 10 11 12 0 1101 1110 1111 0111 0011 0001
输出
1 0 1 0 1 1 1 1
33
LFSR 练习
设3级 LFSR 的递归函数为ai+3=ai+2+ai,初 始状态为 (a1,a2,a3)=(1,0,1)。求输出序列和 周期,并画出LFSR的示意图。
ai+n
c1
c2
ai+n-1 xn
ai+n-2 xn-1
cn-1
cn
ai+1
ai
ai-1, …, a1
x2
x1
31
线性反馈移位寄存器例子
例子:n=4的LFSR。输出序列满足ai+4=ai+1+ai。初始 状态(a1,a2,a3,a4)为1000。序列的周期为15=24-1。
ai+4 ai+3
ai+2
优点:具有自同步能力,强化了其抗统计分析 的能力
缺点:有n位长的差错传播。
11
同步流密码
同步流密码SSC (Synchronous Stream Cipher):
i与明文消息无关,密钥流将独立于明文。
序列密码
∑
n −1 j=0
a( x) k (x) = * f ( x)
j
(∑ cn−l k j−l ) x
l=0
j
2011-3-29
20
特征多项式
* i l 证: k ( x ) f ( x ) = ( ∑ k i x )( ∑ c n − l x ) i=0 l =0 ∞ min( j , n ) l =0 ∞ n
。
• 同相自相关函数 的倍数, 时为, )=1 当j为p的倍数,即pj时为,R(j)=1; • 异相自相关函数 不是p的倍数时 当j不是 的倍数时 不是
2011-3-29 7
例 2- 2
二元序列111001011100101110010… 二元序列111001011100101110010… 周期p 周期p=7 同相自相关函数R )=1 同相自相关函数R(j)=1 异相自相关函数R )=- 异相自相关函数R(j)=-1/7。
2011-3-29
22
多项式的周期
• 多项式f(x)的周期p为使f(x)除尽xn-1的最小整数n的取 多项式f(x)的周期 为使f(x)除尽 的周期p 除尽x 的最小整数n 值。 • 序列的周期与生成序列特征多项式的周期密切相关。 序列的周期与生成序列特征多项式的周期密切相关。 引理3 引理3-2: 令f(x)为n次式,周期为p,令{ki}i≥0∈Ω(f),则{ki}i≥0的 次式,周期为p 周期p 周期p’p。
C3 决定了密码的强度 , 是序列密码理论的核心 。 它 决定了密码的强度,是序列密码理论的核心。 包含了序列密码要研究的许多主要问题, 包含了序列密码要研究的许多主要问题,如线性复杂度 相关免疫性、不可预测性等等。 、相关免疫性、不可预测性等等。
【密码学】序列密码
【密码学】序列密码序列密码就是对密⽂进⾏逐⼀的加密或者解密和分组密码⽐起来,分组密码是⼀组⼀组加密,序列密码就是逐个加密序列密码的安全性能主要取决于密钥流或者密钥流产⽣器的特性。
优点:实现简单、加密和解密速度快、安全性能较好、没有或少有差错传播序列密码的基本结构1.同步序列密码 同步序列密码的原理: 种⼦密钥k经过由安全信道传送给收、发双⽅后,由密钥流产⽣器⽣成加密和解密所需要的密钥流,⽽加、解密本⾝就是简单的模2加法运算。
同步序列密码的特点: ①密钥流仅仅依赖于种⼦密钥和密钥流产⽣器的结构,⽽与明⽂流(或密⽂流)⽆关。
②如果密钥流完全随机产⽣且长度⾄少和明⽂流⼀样长,则可实现绝对安全的“⼀次⼀密”。
但实际上,这很难做到。
③⽆差错传播。
因为密钥流独⽴于密⽂流,所以⼀个密⽂的传输错误不会影响下⼀个密⽂的解密。
④为了保障接收端能够正确解密,要求收、发双⽅必须严格同步。
2.⾃同步序列密码 ⾃同步序列密码的简介: 与同步序列密码需要收、发双⽅严格同步不同,⾃同步序列密码能够依靠⾃⾝的能⼒“⾃动地”实现收、发双⽅的同步,因⽽是⼀种不需要外部同步的序列密码系统。
⾃同步序列密码的特点: ①密钥流不仅依赖于种⼦密钥和密钥流产⽣器的结构,还与密⽂流(或明⽂流)有关。
初始向量IV在这⾥相当于初始密⽂的作⽤,要求收、发双⽅必须相同。
②⾃同步。
解密只取决于先前特定数量的密⽂字符,因此,即使出现删除、插⼊等⾮法攻击,收⽅最终都能够⾃动重建同步解密,因⽽收、发双⽅不再需要外部同步。
③有差错传播。
因为密钥流与密⽂流有关,所以⼀个密⽂的传输错误会影响下⾯有限个密⽂的解密。
密钥流产⽣器密钥流产⽣器是决定序列密码安全性能的主要因素,因⽽线性反馈寄存器是密钥流产⽣器最基本也是最重要的部件。
1.线性反馈移位寄存器定义:如果将移位寄存器的某些级的输出通过异或(模2加)运算函数运算后反馈回它的第⼀级输⼊端,便构成了线性反馈移位寄存器。
上海交大密码学课件--第二讲:序列密码
例4. 如图为一种4级LFSR,其联接多项 式为 x4 x3 x2 x 1
如取初始状态为(a1, a2, a3, a4)=(1,1,1,1)其状态转移图为:
输出序列为10001 10001……,周期为5。
如取初始状态为(a1, a2, a3, a4)=(0,0,0,1),其状态转移图为:
k j f (a1 j,a2 j ,...., anj )
钟控生成器
基本思想是:用一种或多种移位寄存器来控制另一种或多种移位寄存器 旳时钟,这么旳序列生成器叫做钟控生成器(clock-controlled generator), 也叫停走生成器(stop and go generator),最终旳输出被称为钟控序列, 基本模型如图所示。
反馈移位寄存器
线性反馈移位寄存器 假如反馈函数形如 :
f (a1, a2 ,..., an ) cna1 cn1a2 ... c1an
ci 0,1
这里旳加法运算为模2加,乘法运算为一般乘法, 则称该反馈函数是a1, a2,…,an旳线性函数, 相应旳反馈移位寄存器称为线性反馈移位寄存器,用LFSR表达。
流密码完整构造
安全性:
流密码旳安全性完全取决于密钥旳安全等级.
实用旳流密码以少许旳、一定长度旳种子密钥经过逻 辑运算产生周期较长、可用于加解密运算旳伪随机序 列。
2.1.2同步流密码与自同步流密码
同步流密码:密钥流旳产生与明文消息流相互独立
密钥流与明文串无关,所以同步流密码中旳每个密文ci 不依赖于之 前旳明文mi-1,……,m1。从而,同步流密码旳一种主要优点就 是无错误传播:在传播期间一种密文字符被变化只影响该符号旳恢 复,不会对后继旳符号产生影响。
2.1.1 流密码简朴构造
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(X1,X2,X2) 000 001 010 011 100 101 110 111 LFSR-1 动 动 动 不动 不动 动 动 动 LFSR-2 动 动 不动 动 动 不动 动 动 LFSR-3 动 不动 动 动 动 动 不动 动
HC-128 Rabbit Salsa20/12 SOSEMANUK
F-FCSR-H v2 Grain v1
MICKEY v2 Trivium
2008年9月,修订后的结果:删去F-FCSR-H v2算法。
三 序列密码标准化进程
2、征集算法的要求
评选准则:长期安全,市场需要,效率以及灵活性。 对序列密码算法安全性的最低要求:密钥长度至少
256比特,内部记忆至少256比特
3、评估准则 (1)安全准则:攻击的难度至少要等同最一般的攻击 。 (2)实现准则:软硬件实现的效率不低于同类已有的算法。 (3)其它准则:设计上的简单、清晰。 (4)许可要求:选中的算法将被特许为免费使用。
一 A5-1序列密码算法
以移存器1为例的密钥参与过程:
k k64k63 k1
f1(x) x19 x18 x17 x14 1
初始状态: S0 (x18, x17, , x0 ) (0,0, ,0)
动作1步后状态: S1 (x18, x17, , x0) (0,0, , k1)
生存期:仅用于一次通话时间。
一 A5-1序列密码算法
4、明文处理 按每帧228比特分为若干帧后逐帧加密,每
帧处理方式相同。
M M1 || M 2 || || Mi || | M i | 228
每帧处理方式
发送114比特 接收114比特
加密后发送 接收后脱密
一 A5-1序列密码算法
5、加密方式
(一)欧洲NESSIE工程简介
1、背景 NESSIE (New European Schemes for Signat
ures,Integrity,and Encryption ) 欧洲于2000年1月1日启动了NESSIE工程,为期三 年。 总投资:264万欧元。 主要目的:通过公开征集和评估提出一整套高效的 密码标准 。
一 A5-1序列密码算法
(二)A5-1序列密码算法
1、移存器描述 算法使用3个级数为19、22和23的本原移存器。
LFSR-1 LFSR-2
f1(x) x19 x18 x17 x14 1 f2 (x) x22 x21 x17 x13 1
LFSR-3
f3 (x) x23 x22 x19 x18 1
加密方式: ci mi di;i 1,2, ,114
一 A5-1序列密码算法
关于脱密
Step 6:三个LFSR以钟控方式连续动作100次,但不输出 乱数; Step 7:三个LFSR以钟控方式连续动作114次,在每次动 作后,三个LFSR都将最高级寄存器中的值输出,这三个 比特的模2和就是当前时刻输出的1比特乱数。
注:A5-1算法中,LFSR的移位方式是左移方式。 各寄存器的编号从第0级编号到第n-1级。
一 A5-1序列密码算法
n级左移LFSR的结构框图
cn=1
cn-1
cn-2 c2
xn-1
xn-2
x1
c1 x0
c0=1
移存器的左移和右移方式,除移位方式不同 外,其工作原理完全相同。
一 A5-1序列密码算法
三 序列密码标准化进程
4、NESSIE工程进程
2000年1月 NESSE工程第一阶段开始 2000年9月 算法提交截止,共提交39个算法 2001年6月 NESSIE进行第一次评估 2001年7月 NESSIE工程第二个阶段开始 2001年9月、10月 分别召开两次NESSIE专题研讨会 2002年12月 NESSIE计划最终评选 2003年2月 公布17种推荐算法,NESSIE工程结束
一 A5-1序列密码算法
关于加密
Step 4:三个LFSR以钟控方式连续动作100次,但不输出 乱数; Step 5:三个LFSR以钟控方式连续动作114次,在每次动 作后,三个LFSR都将最高级寄存器中的值输出,这三个 比特的模2和就是当前时刻输出的1比特乱数。
连续动作114步,共输出114比特乱数,用于对用户 手机到基站传送的114比特数据的加密;
一 A5-1序列密码算法
(一)基本用法
通信模式
用户A
基站1
基站2
基站n
用户B
A5-1算法用于用户的手机到基站之间的通信 加密,通信内容到基站后先脱密变成明文,然后 再进行基站到基站之间、以及基站到用户手机之 间的息加密,完成通信内容在通信过程的加密 保护。
一 A5-1序列密码算法
1、应用环节
只需考察用户A到基站1之间通信内容的加脱密,中 间消息的传送由基站到基站之间的加密完成,而接收方 用户B对消息的加脱密与用户A到基站1之间的通信完全 类似,只不过是用户B先脱密消息。
动作64步完成密钥参与过程。
一 A5-1序列密码算法
Step 3:(帧序号参与) 三个LFSR都规则动作22次,每次 动作1步。在第i步动作时,三个LFSR的反馈内容都首先 与帧序号的第i比特模2加,并将模2加的结果作为LFSR 反馈的内容;帧序号比特的序号是从最低位编到最高位。
帧序号参与方式:与密钥参与方式相同,不同的 明文数据帧按顺序编号,每个编号为22比特。
动作2步后状态: S2 (x18, x17, , x0) (0,0, , k1, k2)
动作14步后状态:S14 (x18, x17, , x0 ) (0,0, , k1, k2, , k13, k14 )
动作15步后状态:
S15 (x18, x17, , x0 ) (0,0, , k1, k2, , k14, k1 k15)
2、基本密钥KA1
基本密钥KA1:预置在SIM卡中,与基站1共享。 生存期:一旦植入SIM卡将不再改变。 用途:用来分配用户和基站之间的会话密钥。
一 A5-1序列密码算法
3、会话密钥k
产生方式:在每次会话时,基站产生一个64比特 的随机数k。
分配方式:利用基本密钥KA1,使用其它密码算法 将k加密传给用户手机。
序列密码算法:第一阶段共选出了6个算法,第二阶 段选出了3个算法,最终没有选定算法作为标准。
三 序列密码标准化进程
(二)ECRYPT工程简介 1、ECRYPT工程概述
ECRYPT (European Network of Excellence for Cryptology)
基金预算:560万欧元。 主要目标:促进欧洲信息安全研究人员在密码学和数字水 印研究上的交流,促进学术界和工业界的持久合作 。
记帧序号为 T0 t22t21 t1 00 00 T1 t22t21 t1 00 01 …… 帧密钥参与的目的:对不同的帧设置不同的帧会话
密钥,保证对每帧以不同的起点生成乱数,尽可能避免 密钥重用。
一 A5-1序列密码算法
3、乱数生成与加脱密 A5算法中,LFSR的不规则动作采用钟控方式。
密码学
第三章 序列密码
3.5 典型序列密码算法
第三章 序列密码
➢ 移位寄存器基础 ➢ m序列特性 ➢ 序列密码编码技术 ➢ 前馈函数的设计准则 ➢ 典型序列密码算法
3.5 典型序列密码算法
➢ A5-1 序列密码算法 ➢ RC4算法 ➢ 序列密码标准化进程
一 A5-1序列密码算法
用于蜂窝式移动电话系统语音和数字加密。
2、算法初始化 初始化是利用一次通话的会话密钥k和帧序号
设定三个移存器的起点,即初始状态。
Step 1:将三个LFSR的初态都设置为全零向量; Step 2:(密钥参与) 三个LFSR都规则动作64次, 每次动作1步。
在第i步动作时,三个LFSR的反馈内容都首先 与密钥的第i比特模2加,并将模2加结果作为LFSR 反馈的内容。
连续动作114步,共输出114比特乱数,这114比特 用于对基站到用户手机传送的114比特数据的脱密。
脱密方式: mi ci di;i 115,116, ,228
一 A5-1序列密码算法
4、A5-1算法的结构框图
走
走 停
前馈函数 f (x1, x2 , x3 ) x1 x2 x3
(2)提交算法的类型
类型 1:适应软件快速执行; 类型 2:在有限资源下硬件能快速执行。 类型 1A:适应软件快速执行;自身带认证机制; 类型 2A:在有限资源下硬件能快速执行;带认证机制。
三 序列密码标准化进程
(3)提交算法的数据要求
类型 1: 128-bit的密钥,至少64或128bit的IV; 类型 2:80-bit的密钥,至少32或64bit的IV; 类型 1A:128-bit的密钥,至少64或128bit的IV;至少32, 64, 96或128-bit的认证码; 类型 2 A:80-bit的密钥,至少32或64bit的IV;至少32或 64bit的认证码。
加密: Ek (M ) Ek1(M1)Ek2 (M 2 )Ek3(M3) 一次通话使用一个会话密钥,对每帧使用不同的
帧密钥。 帧会话密钥:帧序号,长度为22比特。
帧会话密钥共产生228比特乱数,实现对本帧228 比特通信数据的加脱密。
明密结合方式:逐位模2加。
一次通话量:至多222帧数据,约0.89×230比特 。
二 RC4算法
密钥生成算法
8×8的S盒:S0,S1,…,S255,所有项是数字0-255的 置换。两个指针(计数器)i、j的初值为0。