第3章分组密码理论
合集下载
《分组密码理论》课件
分组密码的工作模式
ECB模式
电子密码本模式,是最简单的分组密码工作模式。它将明 文分成固定长度的块,然后对每个块进行加密。
CBC模式
密码块链接模式,将前一块的密文作为下一块的加密密钥 ,使得明文中的重复内容在密文中也呈现规律性变化。
CFB模式
密码反馈模式,将前一块的密文作为下一块的加密密钥, 同时将加密后的密文反馈回来与明文进行异或操作,以实 现加密和解密过程。
介绍量子密码学的基本原理, 包括量子态的叠加性和纠缠性 ,以及量子不可克隆定理等。 这些原理为抗量子计算攻击的 分组密码提供了理论基础。
列举一些已经提出的抗量子计 算攻击的分组密码算法,如基 于多线性映射、基于哈希函数 、基于编码理论的算法等。
分析抗量子计算攻击分组密码 研究中面临的挑战,如算法效 率、实现难度和安全性证明等 ,并对未来的研究方向进行展 望。
分组密码的应用场景
通信安全
01
分组密码广泛应用于通信加密领域,如TLS/SSL协议中的AES加
密算法。
存储安全
02
在存储加密中,分组密码也扮演着重要的角色,用于保护数据
的机密性和完整性。
身份认证
03
分组密码还可以用于身份认证,通过加密和验证消息的完整性
来确保通信双方的身份安全。
2023
PART 02
2023
REPORTING
THANKS
感谢观看
基于云计算的分组密码
ห้องสมุดไป่ตู้云计算环境下的 安全需求
随着云计算技术的普及,数 据安全和隐私保护成为重要 需求。因此,研究基于云计 算的分组密码是必要的。
基于云计算的分 组密码算法原理
介绍基于云计算的分组密码 算法的基本原理,包括如何 利用云计算的分布式处理能 力提高加密和解密的速度, 以及如何利用云计算的存储 能力实现密钥的分布式存储 等。
《分组密码理论》
其中L,R为8位输入, 左右各为4位, F为从4位集到4位集 的一个映射, 并不要求是1-1的。SK为子密钥。
对映射F来说:
首先输入是一个4-位数(n1,n2,n3,n4),第一步运算是 扩张/置换(E/P)运算:
E/P
41 2 3 2 3 41 事实上,它的直观表现形式为:
n4 n1
n2 n3
n2 n3
– greater complexity can make analysis harder, but slows cipher
• 轮函数
– greater complexity can make analysis harder, but slows cipher
• 快速软件加密/解密
– are more recent concer精n选spfptor practical use and testing
分组密码设计的要求: • 分组长度足够大(64~128比特) • 密钥量要足够大(64~128) • 算法足够复杂(包括子密钥产生算法) • 加密、解密算法简单,易软、硬件实现 • 便于分析(破译是困难的,但算法却简
洁清晰)
精选ppt
3.2数据加密标准(DES)
• DES的历史 1971 IBM,由Horst Feistel 领导的密码研 究项目组研究出LUCIFER算法。并应用于 商业领域。 1973美国标准局征求标准,IBM提交结果, 在1977年,被选为数据加密标准。
LS-1为循环左移1位, LS-2为循环左移2位
按照上述条件,若K选为(1010000010), 产生的两 个子密钥分别为K1=(1 0 1 0 0 1 0 0),K2=(0 1 0 0 0 0 1 1)
精选ppt
对映射F来说:
首先输入是一个4-位数(n1,n2,n3,n4),第一步运算是 扩张/置换(E/P)运算:
E/P
41 2 3 2 3 41 事实上,它的直观表现形式为:
n4 n1
n2 n3
n2 n3
– greater complexity can make analysis harder, but slows cipher
• 轮函数
– greater complexity can make analysis harder, but slows cipher
• 快速软件加密/解密
– are more recent concer精n选spfptor practical use and testing
分组密码设计的要求: • 分组长度足够大(64~128比特) • 密钥量要足够大(64~128) • 算法足够复杂(包括子密钥产生算法) • 加密、解密算法简单,易软、硬件实现 • 便于分析(破译是困难的,但算法却简
洁清晰)
精选ppt
3.2数据加密标准(DES)
• DES的历史 1971 IBM,由Horst Feistel 领导的密码研 究项目组研究出LUCIFER算法。并应用于 商业领域。 1973美国标准局征求标准,IBM提交结果, 在1977年,被选为数据加密标准。
LS-1为循环左移1位, LS-2为循环左移2位
按照上述条件,若K选为(1010000010), 产生的两 个子密钥分别为K1=(1 0 1 0 0 1 0 0),K2=(0 1 0 0 0 0 1 1)
精选ppt
《密码学分组密码》PPT课件
.
8
Feistel结构定义
•加密: Li = Ri-1; Ri = Li-1F(Ri-1,Ki) •解密: Ri-1 = Li
Li-1 = RiF(Ri-1,Ki)
= RiF(Li,Ki.)
9
Feistel结构图
.
10
数据加密标准
DES描述 二重DES 两个密钥的三重DES 三个密钥的三重DES
k57= k49= k41= ……= k9= k1=0 或1
k63= k55= k47= ……= k15= k7=0 或1
• 举例:共有4种,如:0101010.101010101。
33
(2) 半弱密钥:
定义:当存在子密钥K和K’,使得: DESk ( m ) = DESk’ -1 ( m ) 或 DESk ( DESk’ ( m ) ) = m 则K和K’成对构成半弱密钥。
C 1( 28 位 )
D 1( 28 位 )
8 2 16 1
( 56 位 ) 置 换 选 择 2
k1
(48 位 )
循环左移
循环左移
C i( 2 8 位 )
D i( 2 8 位 )
置 换 选 择 2 ki
( 56 位 )
( 48 位 )
.
29
置换选择1和置换选择2
.
30
DES解密
和Feistel密码一样,DES的解密和加密使 用同一算法,只是子密钥的使用顺序相 反。
.
32
关于DES的若干问题:
1. DES的坏密钥问题:
(1)弱密钥:
定义:当密钥K所产生的子密钥满足:K1 = K2 = ……= K16 则有:DESk ( m ) = DESk -1 ( m ) , 或:DESk ( DESk ( m ) ) = m 这样的密钥K称为弱密钥。
现代密码学(第三章)讲述
2018/12/21 2
一、分组密码的基本概念
分组密码的优缺点
分组密码的加解密算法(E,D)简洁快速,所占用的 计算资源小,易于软件和硬件实现。一般来说,用 硬件实现时,流密码比分组密码更简单快速;用软 件实现时,分组密码比流密码更简单快速。 加解密算法(E,D)参数固定,比流密码更容易实现 标准化。 由于明文流被分段加密,因此容易实现同步,而且传 输错误不会向后扩散。 分组密码的安全性很难被证明,至多证明局部安全性。
2018/12/21 17
一、分组密码的基本概念
透明性和灵活性
透明性即要求算法是可证明安全的(虽然 这是很困难的)。这就要求算法尽可能 使用通用部件,避免黑盒。 灵活性即要求算法的实现可以适应多种计 算环境;明文分组长度可以伸缩;算法 可以移植和变形。
2018/12/21 18
一、分组密码的基本概念
要求:加解密算法(E,D)不存在弱明文和弱密钥。
2018/12/21 6
一、分组密码的基本概念
为了抵抗已知明文攻击(甚至选择明文攻 击),分组密码应该满足的性质
混淆性:所设计的密码应使得明文、密文、密钥之 间的依赖关系相当复杂,以至于这种依赖关系对 密码分析者来说是无法利用的。密码分析者利用 这种依赖关系的方法非常多,因此混淆性也是一 个极为繁杂的概念。
2018/12/21 3
一、分组密码的基本概念
分组密码所面对的主要威胁: 已知明文攻击
分组密码的密钥z被重复使用,即多次一密。 因此最主要的威胁就是已知明文攻击。 设攻击者Eve获得了一组明文/密文对(m,c)。 他试图在加密方程c=E(m, z) 或解密方程 m=D(c, z)中求出密钥z 。
2018/12/21 4
2018/12/21 26
一、分组密码的基本概念
分组密码的优缺点
分组密码的加解密算法(E,D)简洁快速,所占用的 计算资源小,易于软件和硬件实现。一般来说,用 硬件实现时,流密码比分组密码更简单快速;用软 件实现时,分组密码比流密码更简单快速。 加解密算法(E,D)参数固定,比流密码更容易实现 标准化。 由于明文流被分段加密,因此容易实现同步,而且传 输错误不会向后扩散。 分组密码的安全性很难被证明,至多证明局部安全性。
2018/12/21 17
一、分组密码的基本概念
透明性和灵活性
透明性即要求算法是可证明安全的(虽然 这是很困难的)。这就要求算法尽可能 使用通用部件,避免黑盒。 灵活性即要求算法的实现可以适应多种计 算环境;明文分组长度可以伸缩;算法 可以移植和变形。
2018/12/21 18
一、分组密码的基本概念
要求:加解密算法(E,D)不存在弱明文和弱密钥。
2018/12/21 6
一、分组密码的基本概念
为了抵抗已知明文攻击(甚至选择明文攻 击),分组密码应该满足的性质
混淆性:所设计的密码应使得明文、密文、密钥之 间的依赖关系相当复杂,以至于这种依赖关系对 密码分析者来说是无法利用的。密码分析者利用 这种依赖关系的方法非常多,因此混淆性也是一 个极为繁杂的概念。
2018/12/21 3
一、分组密码的基本概念
分组密码所面对的主要威胁: 已知明文攻击
分组密码的密钥z被重复使用,即多次一密。 因此最主要的威胁就是已知明文攻击。 设攻击者Eve获得了一组明文/密文对(m,c)。 他试图在加密方程c=E(m, z) 或解密方程 m=D(c, z)中求出密钥z 。
2018/12/21 4
2018/12/21 26
现代密码学(第三章)
加解密相似性
我们知道: 加密算法是E(· , z) , 解密算法是D(· , z) 。 这里E(· , z)和D(· , z)使用相同的密钥z,使用不同的 算法E和D。 如果D(· , z)= E(· , z*),其中z*是z经过非常简单的 重新编排得到的,则称分组密码算法是加解密 相似的。
2015-4-17 19
2015-4-17 14
一、分组密码的基本概念
简洁性
分组密码算法在满足安全性的同时尽可能简单快速。 如果分组密码算法用软件来实现,则要求字长尽可 能自然地适应软件编程,比如8、16、32比特等。 在软件实现中,按比特置换通常是难于实现的,因 此应尽量避免使用它。字的运算应该是易于软件实 现的运算,最好是用一些标准处理器所具有的一些 基本指令,比如加法、乘法、移位等。如果分组密 码算法用硬件来实现,则尽量使用规则结构,以便 用VLSI来实现。
这个加密算法就是极不稳定的。
2015-4-17 12
一、分组密码的基本概念
分组密码的设计准则
安全性 简洁性 有效性 透明性和灵活性 加解密相似性
2015-4-17 13
一、分组密码的基本概念
安全性
概括地说安全性就是从任何角度难以攻破。 其中两个最重要的角度是 ① 对于一个正在使用的加密算法,即使攻击 者获得“许多”精心选择的明文--密文对, 他仍无法“接近”密钥; ② 即使攻击者获得“许多”精心选择的明文-密文对,他仍无法“接近”任一个新密文 所对应的明文。
2015-4-17 22
一、分组密码的基本概念
计算部件
群加密:明文块与密钥块进行群“乘法”运算,它的作用是一 次性地掩盖明文。如果单独使用群加密部件,则一组已知的 明文/密文对就可获得密钥。以下是最常用的两种群加密。 逐比特异或‘+’,结构最简单,缺点也最明显,密文的一个比特 只依赖于明文的一个比特和密钥的一个比特,毫无扩散功能。 (mod2n)加法“+”也是非常简单的计算部件,具有单向扩散功能, 即明文或密钥的第j位影响密文的第j位、第j+1位、…、第n位。举搜索密钥的所有可能值。 (密钥z长度为j,共有2j个可能值)为了抵抗穷举 搜索,密钥的长度j不能太小。当然密钥长度也不 能太大,否则加解密的计算量就会很大。当前常 用的密钥长度为64或128或256。 Eve的另一种办法是充分利用加解密算法(E,D) 的弱点。如果某一组明文/密文对(m,c)使得 方程m=D(c, z)特别容易解出z,m就称为一个弱明 文,z就称为一个弱密钥。
我们知道: 加密算法是E(· , z) , 解密算法是D(· , z) 。 这里E(· , z)和D(· , z)使用相同的密钥z,使用不同的 算法E和D。 如果D(· , z)= E(· , z*),其中z*是z经过非常简单的 重新编排得到的,则称分组密码算法是加解密 相似的。
2015-4-17 19
2015-4-17 14
一、分组密码的基本概念
简洁性
分组密码算法在满足安全性的同时尽可能简单快速。 如果分组密码算法用软件来实现,则要求字长尽可 能自然地适应软件编程,比如8、16、32比特等。 在软件实现中,按比特置换通常是难于实现的,因 此应尽量避免使用它。字的运算应该是易于软件实 现的运算,最好是用一些标准处理器所具有的一些 基本指令,比如加法、乘法、移位等。如果分组密 码算法用硬件来实现,则尽量使用规则结构,以便 用VLSI来实现。
这个加密算法就是极不稳定的。
2015-4-17 12
一、分组密码的基本概念
分组密码的设计准则
安全性 简洁性 有效性 透明性和灵活性 加解密相似性
2015-4-17 13
一、分组密码的基本概念
安全性
概括地说安全性就是从任何角度难以攻破。 其中两个最重要的角度是 ① 对于一个正在使用的加密算法,即使攻击 者获得“许多”精心选择的明文--密文对, 他仍无法“接近”密钥; ② 即使攻击者获得“许多”精心选择的明文-密文对,他仍无法“接近”任一个新密文 所对应的明文。
2015-4-17 22
一、分组密码的基本概念
计算部件
群加密:明文块与密钥块进行群“乘法”运算,它的作用是一 次性地掩盖明文。如果单独使用群加密部件,则一组已知的 明文/密文对就可获得密钥。以下是最常用的两种群加密。 逐比特异或‘+’,结构最简单,缺点也最明显,密文的一个比特 只依赖于明文的一个比特和密钥的一个比特,毫无扩散功能。 (mod2n)加法“+”也是非常简单的计算部件,具有单向扩散功能, 即明文或密钥的第j位影响密文的第j位、第j+1位、…、第n位。举搜索密钥的所有可能值。 (密钥z长度为j,共有2j个可能值)为了抵抗穷举 搜索,密钥的长度j不能太小。当然密钥长度也不 能太大,否则加解密的计算量就会很大。当前常 用的密钥长度为64或128或256。 Eve的另一种办法是充分利用加解密算法(E,D) 的弱点。如果某一组明文/密文对(m,c)使得 方程m=D(c, z)特别容易解出z,m就称为一个弱明 文,z就称为一个弱密钥。
第3章分组密码体制
第3章分组密码体制3.1分组密码概述图3.1分组密码框图3.1.1代换图3.2代换结构2现代密码学(第2版)3.1.2扩散和混淆3.1.3 Feistel密码结构1. Feistel加密结构图3.3 Feistel网络2. Feistel解密结构现代密码学(第2版) 3图3.4 Feistel加解密过程4现代密码学(第2版)3.2数据加密标准3.2.1DES描述图3.5 DES加密算法框图1. 初始置换现代密码学(第2版) 52. 轮结构图3.6 DES加密算法的轮结构图3.7函数F(R,K)的计算过程6现代密码学(第2版)3. 密钥的产生现代密码学(第2版)7图3.8二重DES8现代密码学(第2版)3.2.3两个密钥的三重DES图3.9两个密钥的三重DES 3.2.4 3个密钥的三重DES3.3差分密码分析与线性密码分析3.3.1差分密码分析3.3.2线性密码分析3.4分组密码的运行模式现代密码学(第2版)93.4.1电码本(ECB)模式图3.10 ECB模式示意图10现代密码学(第2版)3.4.2密码分组链接(CBC)模式图3.11 CBC模式示意图3.4.3密码反馈(CFB)模式图3.12 CFB模式示意图3.4.4输出反馈(OFB)模式图3.13 OFB模式示意图3.5 IDEA3.5.1设计原理1. 密码强度图3.14 MA 结构2. 实现3.5.2加密过程图3.15 IDEA的加密框图1. 轮结构图3.16 IDEA第1轮的轮结构图3.17 IDEA的输出变换2. 子密钥的产生3. 解密过程图3.18 IDEA加密和解密框图3.6 AES 算法——Rijndael3.6.1 Rijndael的数学基础和设计思想1. 有限域GF(28)2. 系数在GF(28)上的多项式3. 设计思想3.6.2算法说明1. 状态、种子密钥和轮数2. 轮函数图3.19字节代换示意图图3.20行移位示意图图3.21列混合运算示意图图3.22密钥加运算示意图3. 密钥编排图3.23 Nb=6且Nk=4时的密钥扩展与轮密钥选取4. 加密算法5. 加解密的相近程度及解密算法习题。
第3章 分组密码(3)
2. SM4算法流程
2019/8/6
2019/8/6
2019/8/6
7
777
2019/8/6
2019/8/6
2019/8/6
8
888
3. 密钥扩展算法
2019/8/6
2019/8/6
2019/8/6
9
999
2019/8/6
2019/8/6
T变换和L变 换
2019/8/6
10
111000
4. 具体实例
RC5的算法特性与许多算法不尽相同,它具有有可变的字长(因此输入的分 组长度是可变的),可变的加密轮数和可变的密钥长度;只使用了微处理器上常 实现,另一方面,由于没有复杂的运算,它的加密速度非常快。
RC5已经在RSA公司的许多产品应用,比如作为无线客户端与服务器之间的 加密算法。
RC5的设计原理与具体算法本书不再作讨论,有兴趣的读者可以查阅相关资 料。
2019/8/6
2019/8/6
2019/8/6
17
1177
RC6是AES候选算法之一,由Rivest、Robshaw、Sidney和Yin提交的,它可能是最 简单的AES算法,RC6是RC5的进一步改进。像RC5那样,RC6实际上是利用数据的循 环移位。它的明文分组块大小为128位,密钥可以为128、192或256,共进行20轮 的加密。
IDEA的设计者在设计时已尽最大努力使该算法不受差分密码分析的影响, 赖学嘉已证明IDEA算法在其8轮迭代的第4轮之后便不受差分密码分析的影响。 IDEA比同时代的算法:FEAL,REDOC-II、LOKI、Snefru和Khafre都要坚固,而 且到目前为止几乎没有任何关于IDEA密码分析攻击法的成果案例发表,因此目 前IDEA的攻击方法只有“直接攻击”或者说是“密钥穷举”法了。
第3章 分组密码(1)-2014
n t n t n t n
t
3. 分组密码的设计原则
一个好的分组密码应是既难破译又易于实现的。 安全性原则
分组长度 n 足够大。从而实施 2 次加密在计算上不可能, 防止明文穷搜索攻击凑效。 密钥量足够大。防止对密钥的穷搜索攻击。 混乱和扩散。这是 shannon 提出的两个一般设计原则。
也称为实际上安全的,或相对安全的。 计算上安全的密码说明破译该密码是困难的。
破译信息所花的代价超出信息本身的价值。 破译信息所需时间超出信息的有效期。
事实上,经典密码中已知的无条件安全体制都是不实用 的,比如一次一密体制。因此,人们通常只是追求计算 上的安全性,而不是理论上的安全性。 计算安全性只是一个相对概念,它依赖于攻击者的计算 能力和所采用的攻击方式。 一般地,计算上安全是指对该 密码的最佳攻击方法的困难性超过了攻击者的计算能 力。 人们为了定量描述这种“困难性 ”,通常使用“复杂度” 的概念:一种攻击的复杂度是指为了实施该攻击所需的 平均运算次数。一个密码的安全性的评估,依据已知的 关于该密码的最佳攻击方法的复杂度。
DES结构图
DES结构
DES 是一个 16 轮的 Feistel 型密码, 它的分组长度 为 64, 用一个 56 比特的密钥来加密一个 64 比特的 明文串,并获得一个 64 比特的密文串。 在进行 16 轮加密之前,先对明文做一个固定的初 始置换 IP ,写作 IP x L R 。在 16 轮加密之后,
, xn ) 到密文组
( y1 , ( x1 ,
, ym ) 的变换规则。由于我们只研究二元情况 , , xn ) , ( y1 , , ym ) 都是二元组,于是研究分组密码
就是研究 GF (2)n 到 GF (2)m 的映射。一般我们只考虑
t
3. 分组密码的设计原则
一个好的分组密码应是既难破译又易于实现的。 安全性原则
分组长度 n 足够大。从而实施 2 次加密在计算上不可能, 防止明文穷搜索攻击凑效。 密钥量足够大。防止对密钥的穷搜索攻击。 混乱和扩散。这是 shannon 提出的两个一般设计原则。
也称为实际上安全的,或相对安全的。 计算上安全的密码说明破译该密码是困难的。
破译信息所花的代价超出信息本身的价值。 破译信息所需时间超出信息的有效期。
事实上,经典密码中已知的无条件安全体制都是不实用 的,比如一次一密体制。因此,人们通常只是追求计算 上的安全性,而不是理论上的安全性。 计算安全性只是一个相对概念,它依赖于攻击者的计算 能力和所采用的攻击方式。 一般地,计算上安全是指对该 密码的最佳攻击方法的困难性超过了攻击者的计算能 力。 人们为了定量描述这种“困难性 ”,通常使用“复杂度” 的概念:一种攻击的复杂度是指为了实施该攻击所需的 平均运算次数。一个密码的安全性的评估,依据已知的 关于该密码的最佳攻击方法的复杂度。
DES结构图
DES结构
DES 是一个 16 轮的 Feistel 型密码, 它的分组长度 为 64, 用一个 56 比特的密钥来加密一个 64 比特的 明文串,并获得一个 64 比特的密文串。 在进行 16 轮加密之前,先对明文做一个固定的初 始置换 IP ,写作 IP x L R 。在 16 轮加密之后,
, xn ) 到密文组
( y1 , ( x1 ,
, ym ) 的变换规则。由于我们只研究二元情况 , , xn ) , ( y1 , , ym ) 都是二元组,于是研究分组密码
就是研究 GF (2)n 到 GF (2)m 的映射。一般我们只考虑
应用密码学第3章分组密码体制
第3章 分组密码体制
(2)密钥量足够大,同时需要尽可能消除弱密钥的使用,
防止密钥穷举攻击,但是由于对称密码体制存在密钥管理问 题,密钥也不能过大。 (3)密钥变换足够复杂,能抵抗各种已知攻击,如差 分攻击、线性攻击、边信道攻击等,即使得攻击者除了穷举 攻击外找不到其它有效的攻击方法。 (4)加密和解密的运算简单,易于软硬件高速实现。 (5)数据扩展足够小,一般无数据扩展。 (6)差错传播尽可能小,加密或解密某明文或密文分 组出错,对后续密文解密的影响也尽可能小。
第3章 分组密码体制
3.Feistel解密结构
如图3-5所示,左边为Feistel加密过程,右边为Feistel 解密过程。从图中可以看出,Feistel解码过程所在的变换与 加密过程完全一样,只是算法的输入不一样。加密输入的数 据为明文,子密钥的顺序为K1,K2,…,Kr-1,Kr,而Feistel解密 过程输入的数据为密文,子密钥的顺序与加密过程刚好相反, 为Kr,Kr-1,…,K2,K1。因此采用Feistel网络结构设计分组密码 算法,加解密可采用同一种算法。
3.6 其他典型的对称密码体制简介
3.7 对称密码体制的工作模式 3.8 对称密码算法的应用
第3章 分组密码体制
3.1
分组密码概述
分组密码是一种广泛使用的对称密码。和对称密码中的
序列密码(流密码stream cipher)不同,分组密码在加密过程 中不是将明文按字符逐位加密,而是首先要将待加密的明文
第3章 分组密码体制
1. 初始置换(IP)
首先输入的64比特的明文块为 0110001101101111011011010111000001110101011101000110 010101110010,按照初始置换(IP)表进行置换,DES的初始 置换表如图3-7所示。
精品课件-现代密码学原理与实践-第3章
第3章 分组密码
3.1DES 美国国家标准局1977年公布了由IBM公司研制的 DataEncryptionStandard(DES)作为非机要部门的数据加密标准。 它是迄今为止流行最广、时间最长的加密算法,也是现代分组加 密技术的典型。原规定使用期10年,然而10年来并未发现有任何 攻击能够威胁到它的安全,且比它更好的标准尚未产生,所以直 到20世纪90年代,它一直在延期使用。可见它是很成功的。此后 产生的许多加密方法都直接或间接地受到了它的启发。
第3章 分组密码
第3章 分组密码
3.1 DES 3.2 IDEA37 3.3 AES41 习题 3 实践练习 3
第3章 分组密码
分组密码是将明文分成固定长度的一些段落(分组),在 密钥作用下逐段进行加密的方法。这样做的好处是处理速度快, 可靠性高,软(硬)件都能实现,而且节省资源,容易标准化。因 此,分组密码得到了广泛的应用,同时也使分组密码成为许多密 码组件的基础,比如MAC(消息认证码)系统。
第3章 分组密码
各左移1位再通过PC-2变换得48bit k=00111101100011111100110100110111001111110100100
R0(32bit)经E作用扩展为48bit R0′
=10000000000101111111111010000000110101000000011
是4bit的输出数据(y0y1y2y3)。8个Si分表共输出32bit。S盒的结 构如表3.2所示。
(4)再经置换P,结束本轮加密,最终结果如表3.3所示。
第3章 分组密码
表3.2 DES加密系统中的S盒数据对照表
第3章 分组密码
续表
第3章 分组密码
表3.3 f(Ri-1,ki)函数中P置换的重排列次序
第3章 分组密码体制(1)
2012-6-15
5
• • • •
通常取m=n。 若m>n,则为有数据扩展的分组密码; 若m<n,则为有数据压缩的分组密码。 本文主要讨论二元情况
2012-6-15
6
设计的算法应满足下述要求: ① 分组长度n要足够大,使分组代换字母 表中的元素个数2n足够大,防止明文穷举 攻击法奏效。
DES、IDEA、FEAL和LOKI等分组密码都 采用n=64,在生日攻击下用232组密文成功概率 为1/2,同时要求232×64b=215MB存贮,故采用 穷举攻击是不现实的。
2012-6-15
25
2. Feistel解密结构 • Feistel解密过程本质上和加密过程是一样 的,算法使用密文作为输入,但使用子 密钥Ki的次序与加密过程相反,即第1轮 使用Kn,第2轮使用Kn-1,……,最后一 轮使用K1。这一特性保证了解密和加密 可采用同一算法。
2012-6-15
26
– 安全性 – 运行速度、存储量(程序的长度、数据分组长度、高 速缓存大小)、实现平台(硬件、软件、芯片)、运 行模式
2012-6-15 3
明文x0,x1,…,xi,… 明文分组 x=(x0, x1,…, xn-1), 密钥 k=(k0, k1,…, kt-1) 密文分组 y=(y0,y1,…,ym-1) 加密函数 E:Vn×K→Vm
2012-6-15
13
• 加密映射和解密映射可由代换表来定义 • 这种定义法是分组密码最常用的形式,能用于定义明 文和密文之间的任何可逆映射
2012-6-15
14
• 如果分组长度太小,系统则等价于古典的 代换密码,容易通过对明文的统计分析而 被攻破。
– 这个弱点不是代换结构固有的,只是因为分 组长度太小。如果分组长度n足够大,而且从 明文到密文可有任意可逆的代换,那么明文 的统计特性将被隐藏而使以上的攻击不能奏 效
第3章 分组密码(2)
a7 1
a7 x8 mod p(x) x8 mod p(x) p(x) x8 x4 x3 x 1
2019/8/6
2019/8/6
2019/8/6
2019/8/6
15
111555
15
x a(x)=(x4 x3 x 1)+(a6 x7 a5 x6 a4 x5 a3 x4 a2 x3 a1x2 a0 x) x a(x) (00011011)(a6a5a4a3a2a1a0 0)
x13 x12 x11 x10 x9 x8 x3 x2 x 1
(x5 x4 x3 x2 1)( x8 x4 x3 x 1) (x6 x5 x4 )
• 所以,(01110011)(10010101)=(01110000)
• Rijndael 汇聚了安全性能、效率、可实现性和灵活性等优点
2019/8/6
2019/8/6
2019/8/6
2019/8/6
5
55
5
但是,我们应该清楚自香农(于1949年)发表“保密系统的通信理论” 并确定密码学的科学体系以来,经过了1/4个世纪,Rivest Shamir 和 Adleman于1978年提出RSA公开密钥算法,美国国家标准局(NBS)于1977年 数据加密标准DES。
8
2019/8F/6ield)域。
2019/8/6
888
Zp[x]/f(x)是域当且仅当f(x)是不可约的,也就是说,如果f(x)是不可约的 ,则所有属于Zp[x]的多项式,在mod f(x)后的余式,组成的集合构成一个域。 反之也成立。
例如:计算Z2[x] / x3+x+1, 可得所有余式构成八个元素的集合{0, 1, x, x+1, x2, x2+1, x2+x, x2+x+1}, 这个集合构成一个有限域,加法单位元为0,乘法单位元为1。
a7 x8 mod p(x) x8 mod p(x) p(x) x8 x4 x3 x 1
2019/8/6
2019/8/6
2019/8/6
2019/8/6
15
111555
15
x a(x)=(x4 x3 x 1)+(a6 x7 a5 x6 a4 x5 a3 x4 a2 x3 a1x2 a0 x) x a(x) (00011011)(a6a5a4a3a2a1a0 0)
x13 x12 x11 x10 x9 x8 x3 x2 x 1
(x5 x4 x3 x2 1)( x8 x4 x3 x 1) (x6 x5 x4 )
• 所以,(01110011)(10010101)=(01110000)
• Rijndael 汇聚了安全性能、效率、可实现性和灵活性等优点
2019/8/6
2019/8/6
2019/8/6
2019/8/6
5
55
5
但是,我们应该清楚自香农(于1949年)发表“保密系统的通信理论” 并确定密码学的科学体系以来,经过了1/4个世纪,Rivest Shamir 和 Adleman于1978年提出RSA公开密钥算法,美国国家标准局(NBS)于1977年 数据加密标准DES。
8
2019/8F/6ield)域。
2019/8/6
888
Zp[x]/f(x)是域当且仅当f(x)是不可约的,也就是说,如果f(x)是不可约的 ,则所有属于Zp[x]的多项式,在mod f(x)后的余式,组成的集合构成一个域。 反之也成立。
例如:计算Z2[x] / x3+x+1, 可得所有余式构成八个元素的集合{0, 1, x, x+1, x2, x2+1, x2+x, x2+x+1}, 这个集合构成一个有限域,加法单位元为0,乘法单位元为1。
第3章-分组密码体制(new)
图3.1 分组密码框图
分组密码实质上是字长为n的数字序列的代换密码。
与流密码比较:
与一组长为n的明文数字有关。
在相同密钥下,对长为n的输入明文组所实施的变换是 等同的,所以只需研究对任一组明文数字的变换规则。 用途: 易于构造伪随机数生成器、流密码、消息认证码 (MAC)和杂凑函数等, 消息认证技术、数据完整性机制、实体认证协议以及
价值20万美元的计算机改装成的专用解密机,用56小时破译了56 比特密钥
的DES。 美国国家标准和技术协会(NIST)已征集并进行了几轮评估、筛选,产
生了称之为AES(advanced encryption standard) 的新加密标准。
尽管如此,DES对于推动密码理论的发展和应用毕竟起了重大作用, 对于掌握分组密码的基本理论、设计思想和实际应用仍然有着重要的参考
单钥数字签字体制的核心组成部分。
对分组密码的要求:
安全性、运行速度、存储量(程序的长度、数据分组
长度、高速缓存大小)、实现平台(硬件、软件、芯片)、
运行模式等。 需要与安全性要求之间进行适当的折中选择。
通常取m=n。
若m>n,则为有数据扩展的分组密码; 若m<n,则为有数据压缩的分组密码。 在二元情况下,x和y均为二元数字序列,它们的每个分量 xi,yi∈GF(2)。
采用DES,于是便使用Feistel 网络作为DES 的要素之一。
思想:利用乘积密码可获得简单的代换密码,乘积密 码指顺序地执行两个或多个基本密码系统,使得最后结果 的密码强度高于每个基本密码系统。 Shannon提出的利用乘积密码实现混淆和扩散思想的 具体应用
1.Feistel加密结构
输入:长为2w的明文,分成左右 两半L0和R0,一个密钥K。 在进行完n轮迭代后,左右两半 再合并到一起以产生密文分组。 第i轮迭代的输入为前一轮输出 的函数:
第3章 分组密码(new2)
密文 x=(y0, y1,…, ym-1)
解密算法
4
分组密码概述
通常取n=m。 若n>m,则为有数据扩展的分组密码。 若n<m,则为有数据压缩的分组密码。
5
分组密码设计问题
分组密码的设计问题在于找到一种算法, 能在密钥控制下从一个足够大且足够好的 置换子集中,简单而迅速地选出一个置换, 用来对当前输入的明文的数字组进行加密 变换。
14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0
3
15 12 8 2 4 9 1 7 5 11 2 14 10 0 6 13
一、分组密码概述
分组密码是当今国际商用密码的主流密码
1
分组密码概述
分组密码是许多系统安全的重要组成部分。 可用于构造
伪随机数生成器
流密码 消息认证码(MAC)和杂凑函数 消息认证技术、数据完整性机制、实体认证协议以 及单钥数字签名体制的核心组成部分。
2
应用中对于分组码的要求
21
Feistel网络示意图
22
Feistel密码结构
输入是分组长为2w的明文和一个密钥K。将每组明文分成左 右两半L0和R0,在进行完n轮迭代后,左右两半再合并到一起 以产生密文分组。第i轮迭代的输入为前一轮输出的函数:
Li Ri 1
Ri Li 1 F Ri 1 , K i
1997年1月美国NIST着手进行AES( Advanced Encryption Standard )的研究,成立了标准工作室。 2001 年 Rijndael 被批准为AES标准。
精品课件-应用密码学-3-分组密码概述
25
每一种知识都需要努力, 都需要付出,感谢支持!
26
知识就是力量,感谢支持 !
27
----谢谢大家!!
28
9
分组密码的发展历史 民用 不存在陷门 足够的安全强度 标准化通信需求
10
分组密码的发展历史 1973年5月美国联邦政府提出征求在传输和存储数据中保护计
算机数据的密码算法的建议; 1975年3月,美国国家标准局(NBS) 首次公布IBM公司提出的算
法Lucifer中选; 1977年1月NBS正式向社会公布,采纳IBM公司设计的方案作为
5
分组密码定义
若分组密码明文块长度为64bits
64bits 明文 students
64bits computer
64bits learning
64bits are this
加密
加密
加密
加密
密文 ×××××××× ×××××××× ×××××××× ××××××××
64bits
64bits
64bits
扩散:明文和密钥中任何一比特值得改变,都会在某种程度上影 响到密文值的变化,以防止将密钥分解成若干个孤立的小部分, 然后各个击破。(扩散函数)
17
保密系统的安全性分析 及分组密码攻击手段
攻击目的 1. 完全破译:破译使用者的密钥 例:备用钥匙 2. 部分破译:恢复某些密文对应的明文 例:猜测出某些特定格式的明文 信函开头:DEAR ***
18
保密系统的安全性分析 及分组密码攻击手段
攻击种类 被动攻击:守株待兔
1. 唯密文攻击:密码分析者有一个或更多的用同一个密钥 加密的密文,通过对这些截获的密文进行分析得出明文 或密钥.
2. 已知明文攻击:除待解的密文外,密码分析者有一些明 文和用同一个密钥加密这些明文所对应的密文.
每一种知识都需要努力, 都需要付出,感谢支持!
26
知识就是力量,感谢支持 !
27
----谢谢大家!!
28
9
分组密码的发展历史 民用 不存在陷门 足够的安全强度 标准化通信需求
10
分组密码的发展历史 1973年5月美国联邦政府提出征求在传输和存储数据中保护计
算机数据的密码算法的建议; 1975年3月,美国国家标准局(NBS) 首次公布IBM公司提出的算
法Lucifer中选; 1977年1月NBS正式向社会公布,采纳IBM公司设计的方案作为
5
分组密码定义
若分组密码明文块长度为64bits
64bits 明文 students
64bits computer
64bits learning
64bits are this
加密
加密
加密
加密
密文 ×××××××× ×××××××× ×××××××× ××××××××
64bits
64bits
64bits
扩散:明文和密钥中任何一比特值得改变,都会在某种程度上影 响到密文值的变化,以防止将密钥分解成若干个孤立的小部分, 然后各个击破。(扩散函数)
17
保密系统的安全性分析 及分组密码攻击手段
攻击目的 1. 完全破译:破译使用者的密钥 例:备用钥匙 2. 部分破译:恢复某些密文对应的明文 例:猜测出某些特定格式的明文 信函开头:DEAR ***
18
保密系统的安全性分析 及分组密码攻击手段
攻击种类 被动攻击:守株待兔
1. 唯密文攻击:密码分析者有一个或更多的用同一个密钥 加密的密文,通过对这些截获的密文进行分析得出明文 或密钥.
2. 已知明文攻击:除待解的密文外,密码分析者有一些明 文和用同一个密钥加密这些明文所对应的密文.
第3章分组密码-zhp
Feistel解密过程本质上和加密过程是一样的,算法使用 密文作为输入,但使用子密钥Ki的次序与加密过程相反, 即第1轮使用Kn,第2轮使用 Kn-1,……,最后一轮使用K1。这一特性保证了解密和加密 可采用同一算法。
图3.4 Feistel加解密过程
在加密过程中:
LE16 RE15
在解密过程中
分组密码的一般模型
分组密码是将明文消息编码为二进制序列后,划分成固定大小的块( Block),每块分别在密钥的控制下变换成二进制序列。令明文编码后的 二进制序列为x0,x1,…,xi,… ,将其划分为若干固定长度的分组(Block, 块)。考虑某个分组 x=(x0, x1,…, xn-1) 。分组在密钥 k=(k0, k1,…, kt-1)的控 制下变换为长度为q的密文分组y=(y0,y1,…,ym-1 ) 。其本质是一个从明文 空间(长度为p的比特串集合)M到密文空间(长度为q的比特串的集合 )C的映射,该映射由密钥确定。
理想分组密码
如果每个密钥定义一个臵换,则为理想分组密码(Ideal block cipher)。从实现角度来说,当分组长度大到一定程度 时,理想分组密码是在实际当中是不可行的。 当分组长度为 n 时,理想分组密码的密钥长度将 n×2 n 比 特。例如,当 n=64 时,需要的密钥长度为 ,如此 长的密钥在实际应用中难以管理和实现。 实际中常将n分成较小的段,例如可选n=r· n0,其中r和n0都 是正整数,将设计n个变量的代换变为设计r个较小的子代换, 而每个子代换只有n0个输入变量。一般n0都不太大, 称每个子代换为代换盒,简称为S盒。
其中Mi是二元数字。经过臵换后的 数据变为X=IP(M):
M58 M60 M62 M64 M57 M59 M61 M63 M50 M52 M54 M56 M49 M51 M53 M55 M42 M44 M46 M48 M41 M43 M45 M47 M34 M36 M38 M40 M33 M35 M37 M39 M26 M28 M30 M32 M25 M27 M29 M31 M18 M20 M22 M24 M17 M19 M21 M23 M10 M2 M12 M4 M14 M6 M16 M8 M9 M1 M11 M3 M13 M5 M15 M7
图3.4 Feistel加解密过程
在加密过程中:
LE16 RE15
在解密过程中
分组密码的一般模型
分组密码是将明文消息编码为二进制序列后,划分成固定大小的块( Block),每块分别在密钥的控制下变换成二进制序列。令明文编码后的 二进制序列为x0,x1,…,xi,… ,将其划分为若干固定长度的分组(Block, 块)。考虑某个分组 x=(x0, x1,…, xn-1) 。分组在密钥 k=(k0, k1,…, kt-1)的控 制下变换为长度为q的密文分组y=(y0,y1,…,ym-1 ) 。其本质是一个从明文 空间(长度为p的比特串集合)M到密文空间(长度为q的比特串的集合 )C的映射,该映射由密钥确定。
理想分组密码
如果每个密钥定义一个臵换,则为理想分组密码(Ideal block cipher)。从实现角度来说,当分组长度大到一定程度 时,理想分组密码是在实际当中是不可行的。 当分组长度为 n 时,理想分组密码的密钥长度将 n×2 n 比 特。例如,当 n=64 时,需要的密钥长度为 ,如此 长的密钥在实际应用中难以管理和实现。 实际中常将n分成较小的段,例如可选n=r· n0,其中r和n0都 是正整数,将设计n个变量的代换变为设计r个较小的子代换, 而每个子代换只有n0个输入变量。一般n0都不太大, 称每个子代换为代换盒,简称为S盒。
其中Mi是二元数字。经过臵换后的 数据变为X=IP(M):
M58 M60 M62 M64 M57 M59 M61 M63 M50 M52 M54 M56 M49 M51 M53 M55 M42 M44 M46 M48 M41 M43 M45 M47 M34 M36 M38 M40 M33 M35 M37 M39 M26 M28 M30 M32 M25 M27 M29 M31 M18 M20 M22 M24 M17 M19 M21 M23 M10 M2 M12 M4 M14 M6 M16 M8 M9 M1 M11 M3 M13 M5 M15 M7
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
置换选择 1
C0(28 位)
循环左移
D0(28 位)
循环左移
1 2 2 2 2 2 2 1
C1(28 位)
D1(28 位)
(56 位) 置换选择 2
k1
(48 位)
循环左移
循环左移
Ci(28 位)
Di(28 位)
置换选择 2 (56 位)
ki
(48 位)
密钥置换算法的构造准则
设计目标:子密钥的统计独立性和灵活性 实现简单
行=10 坐标为(2,6),然后在S1表中查得对应的数为2,以4位二 进制表示为0010,此即选择函数S1的输出。
数据加密标准
使用选择函数S的例子 10 2 1 0 1 1 0 0 输入6位
S1
0 1 2 3 0 1 2 14 4 13 0 15 7 4 1 14 15 12 8 3 4 5 6 7 8 9 10 11 12 13 14 15 1 2 15 11 8 3 10 6 12 5 9 0 7 4 14 2 13 1 10 6 12 11 9 5 3 8 8 13 6 2 11 15 12 9 7 3 10 5 0 2 4 9 1 7 5 11 3 14 10 0 6 13
S-盒的构造准则
S盒的每一行是整数0,…,15的一个置换 没有一个S盒是它输入变量的线性函数
改变S盒的一个输入位至少要引起两位的输出改变
对任何一个S盒和任何一个输入X,S(X)和 S(X001100)至少有两个比特不同(这里X是长度为6的比特串)
对任何一个S盒,对任何一个输入对e,f属于{0,1},
组密码设计和分析中的难题
非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门
置换p-盒的构造
p-盒的构造准则
P置换的目的是提供雪崩效应 明文或密钥的一点小的变动都引起密文的较大变化
DES中的子密钥的生成
64 位密钥 密钥表的计算逻辑 循环左移: 1 1 9 2 1 10 3 2 11 4 2 12 5 2 13 6 2 14 7 2 15 8 2 16
S-盒1
S-盒5
S-盒2 S-盒3 S-盒4
S-盒6 S-盒7 S-盒8
S-盒的构造
b1b2b3b4b5b6 行:b1b6 112 3 S6 -盒子 3行9列 110011 列:b2b3b4b5 10012 9 值:14=1100
S-盒的构造 DES中其它算法都是线性的,而S-盒运算则是非线性的 S-盒不易于分析,它提供了更好的安全性 所以S-盒是算法的关键所在
速度
不存在简单关系:( 给定两个有某种关系的种子密钥,能预测它们轮子密 钥之间的关系)
种子密钥的所有比特对每个子密钥比特的影响大致相同
从一些子密钥比特获得其他的子密钥比特在计算上是难的 没有弱密钥
DES的 一轮迭代
Li-1(32比特)
Ri-1(32比特)
选择扩展运算E 48比特寄存器 子密钥Ki (48比特) 48比特寄存器 选择压缩运算S 32比特寄存器 置换运算P
Li(32比特)
Ri(32比特)
Li=Ri-1
扩展置换E-盒-32位扩展到48位
扩展
压缩替代S-盒-48位压缩到32位
共8个S盒
S(X)
S(X11ef00)
对任何一个S盒,如果固定一个输入比特,来看一个固定输出比特的值, 这个输出比特为0的输入数目将接近于这个输出比特为1的输入数目
S-盒的构造要求 S-盒是许多密码算法的唯一非线性部件,因此,它的密码强度
决定了整个算法的安全强度
提供了密码算法所必须的混乱作用 如何全面准确地度量S-盒的密码强度和设计有效的S-盒是分
2
4
3
1
它的输出就是F函数的输出。
数据加密标准
使用选择函数S
将以上第j个(1≤j≤6)二进制的块(记为Z j=zj1 zj2 zj3 zj4 zj5 zj6) 输入第j个选择函数Sj。各选择函数Sj的功能是把6位数变换成4位 数,做法是以zj1zj6为行号,zj2 zj3 zj4 zj5为列号,查找Sj,行列交 叉处即是要输出的4位数。 在此以S1为例说明其功能,我们可以看到:在S1中,共有4行数据, 命名为0,1、2、3行;每行有16列,命名为0、1、2、3,......, 14、15列。现设输入为: D=101100 令:列=0110
第3章 分组密码理论
目录
1. 2.
数据加密标准
公开密钥算法
数据加密标准
(Data Encryption Standard,DES)
现代与古典密码学采用的基本思想相同:替换与变 位。 古典:算法简单,长密钥。 现代:算法复杂。
3.1 分组密码概述
P14
分组密码,就是一个明文分组被当作一个整 体来产生一个等长(通常)的密文分组的密 码,通常使用的是128位分组大小。 分组密码的实质是,设计一种算法,能在密 钥控制下,把n比特明文简单而又迅速地置 换成唯一n比特密文,并且这种变换是可逆 的(解密)。
按照上述条件,若K选为(1010000010), 产生的两个子密钥 分别为K1=(1 0 1 0 0 1 0 0),K2=(0 1 0 0 0 0 1 1)
S-DES的密钥生成
10-bit密钥 P10 LS-1 LS-1 P8 LS-2 5 P8 K2 8
5
K1 8 LS-2 5
5
(2)
S-DES的加密运算:
S盒按下述规则运算: 将第1和第4的输入比特做为2- bit数,指示为S盒的一 个行;将第2和第3的输入比特做为S盒的一个列。如此 确定为S盒矩阵的(i,j)数。 例如:(P0,0, P0,3)=(00),并且(P0,1,P0,2)=(1 0) 确定了S0中的第0行2列(0,2)的系数为3,记为 (1 1)输出。 由S0, S1输出4-bit经置换 P4
3.1 分组密码概述(Cont.)
分组密码的设计思想(C.E. Shannon): 扩散(diffusion) 将明文及密钥的影响尽可能迅速地散布到 较多个输出的密文中(将明文冗余度分散 到密文中)。产生扩散的最简单方法是通 过“置换(Permutation)”(比如:重新排 列字符)。 信息论的创始人克劳德· 艾尔伍德· 香农(Claude Elwood Shannon)
上述第一行4位输入进S-盒S0,产生2-位的输 出;第二行的4位输入进S盒S1,产生2-位的 输出。
两个S盒按如下定义:
0 1 2 3 0 1 0 3 2 3 2 1 0 S0 1 2 0 2 1 3 3 3 1 3 2
0 0 0 2 S1 1 2 3 3 2 1 2 3 1 2 3 0 1 3 0 1 0 1 0 3
0 0 1 0
输出4位
DES概述
分组加密算法:明文和密文为64位分组长度 对称算法:加密和解密除密钥编排不同外,使用同一算法 密钥长度:56位,但每个第8位为奇偶校验位,可忽略 密钥可为任意的56位数,但存在弱密钥,容易避开 采用混乱和扩散的组合,每个组合先替代后置换,共16轮 只使用了标准的算术和逻辑运算,易于实现
单钥密码体制
DES加密算法的一般描述
单钥密码体制
3.2数据加密标准(Cont.)
4.2.1 简化的DES Simplified DES方案,简称S-DES方案。它是 一个供教学而非安全的加密算法,它与DES的 特性和结构类似,但参数小。
注:1.* 加密算法涉及五个函数: (1)初始置换IP(initial permutation) (2)复合函数fk1,它是由密钥K确定的,具有置换和代 换的运算。 (3)置换函数SW (4)复合函数fk2 (5)初始置换IP的逆置换IP-1
对S-DES的深入描述
(1) S-DES的密钥生成:
设10bit的密钥为( k1,k2,…,k10 ) 置换P10是这样定义的 P10(k1,k2,…,k10)=(k3,k5,k2,k7,k4,k10,k1,k9,k8,k6) LS-1为循环左移1位, LS-2为循环左移2位
P8= (k1,k2,…,k10)=(k6,k3,k7,k4,k8,k5,k10,k9 )
加密 8bit明文 IP fk
K1
10bit密钥 P10 移位 P8
解密 8bit明文 IP-1 fk
K1
S-DES
SW fk IP-1 8bit密文
移位
SW fk IP 8bit密文
方 案 示 意 图
P8
K2 K2
2*. 加密算法的数学表示: IP-1*fk2*SW*fk1*IP 也可写为 密文=IP-1(fk2(SW(fk1(IP(明文))))) 其中 K1=P8(移位(P10(密钥K))) K2=P8(移位(移位(P10(密钥K)))) 解密算法的数学表示: 明文=IP-1(fk1(SW(fk2(IP(密文)))))
分组密码的设计思想(Cont.)
混淆(confusion) 其目的在于使作用于明文的密钥和密文之 间的关系复杂化,是明文和密文之间、密 文和密钥之间的统计相关特性极小化,从 而使统计分析攻击不能奏效。通常的方法 是“代换(Substitution)”(回忆恺撒密 码)。
3.1 分组密码概述(Cont.)
初始置换用IP函数: IP= 1 2 3 4 5 6 7 8 26314857 末端算法的置换为IP的逆置换: IP-1= 1 2 3 4 5 6 7 8 41357286 易见IP-1(IP(X))=X
S-DES加密图
8-bit 明文
IP
E/P R 4 8
fk
L 4 +
F
S0
4
4
S1