密码学第五章 分组密码1

可用如下框图来表示: 其解密过程是逆过程。
➢ n 称为分组长度, 当 n m 时称为有数据压缩的分组 密码；当 n m 时称为有数据扩展的分组密码。通常取 nm。
➢ 研究分组密码就是研究从明文组 (x1, , xn ) 到密文组 ( y1, , ym ) 的变换规则。由于我们只研究二元情况, (x1, , xn ) ，( y1, , ym ) 都是二元组,于是研究分组密码 就是研究 GF (2)n 到 GF (2)m 的映射。一般我们只考虑 n m 的情况。
F2n F2t F2m
记为 E( X , K )或 Ek ( X ), X F2n , K F2t , F2n 称为明文空间, F2m 称为密文空间, F2t 为密钥空间。 n 为明文分组长度, 当 n m 时,称为有数据压缩的分组密码;当 n m 时,称为 有数据扩展的分组密码,当 n m 且映射一一时, Ek (x) 就 是 GF (2)n 到 GF (2)n 的置换,研究分组密码就是研究这种 置换的。
➢ 计算安全性只是一个相对概念，它依赖于攻击者的计算 能力和所采用的攻击方式。一般地,计算上安全是指对该 密码的最佳攻击方法的困难性超过了攻击者的计算能 力。
➢ 人们为了定量描述这种“困难性”，通常使用“复杂度” 的概念：一种攻击的复杂度是指为了实施该攻击所需的 平均运算次数。一个密码的安全性的评估，依据已知的 关于该密码的最佳攻击方法的复杂度。
➢ 相关概念之一：攻击类型
相关概念之二：绝对安全性和相对安全性
➢ 一个密码系统的安全性依赖于攻击者的计算能力。
➢ 如果一个密码体制对于一个拥有无限计算机资源的攻 击者是安全的，则该体制就是绝对安全的。
也称无条件安全性或理论上安全的（即完善保密系统）。 一个体制是绝对安全的，说明破译该密码是不可能的。
➢ 事实上，并没有一个真正实用的密码被证明是计算上安 全的。一般地人们只能证明某个密码是不安全的，因为 这只要找到一种方法，其复杂度远小于 2n 和 2t 。
3. 分组密码的设计原则
➢ 一个好的分组密码应是既难破译又易于实现的。 ➢ 安全性原则
密码学
第5章 分组密码（1）
1. 概述
分组密码就是将明文消息序列
m1, m2 ,, mk ,
分成等长的消息组
(m1, m2 , , mn )(mn1, mn2 , , m2n )
在密钥控制下，按固定的算法 Ek 一组一组进行加密。 加密后输出等长密文组
( y1, y2 , , ym )( ym1, ym2 , , y2m )
➢ 分组密码由于其固有的特点而成为标准化进程的首选体制。 DES 就是首先成为数据加密标准的分组密码的典型代表。
➢ 作为数据加密标准, DES 算法完全公开,任何个人和团体都 可以使用,其信息的安全性取决于各自密钥的安全性。这正 是现代分组密码的特征。
定义 5.1 一个(私钥)分组密码是一种映射:
2. 分组密码的安全性
➢ 现代分组密码算法完全公开，安全性仅依赖于密钥。成 功的密码分析是指密码分析者可以恢复明文或密钥。
➢ 安全性是相对于威胁而言的。一般地，我们总是假设攻 击者可以截获在不安全信道上传输的全部密文，但是事 实上，往往攻击者可能还会获得一些其它信息，从而使 破译变得更容易。安全性也与攻击者拥有的计算能力密 切相关。因此，在攻击者拥有的信息越多，拥有的计算 能力越强的前提下估计的安全性越可靠。
➢ 穷搜索是一种蛮力(或称暴力)攻击,可用于任何密码。因 而，要使一个分组密码是安全的，它的密钥空间必须充
分大，若用 F2t 表示，则 t 要足够大，以使对其实施穷搜
索是计算上不可行的。
相关概念之三：一种特定攻击的复杂度
➢ 对于一种特殊攻击而言，其复杂度可分为数据复杂度和 处理复杂度。
➢ 数据复杂度是指实施该攻击所需的数据量；处理复杂度 是指处理这些数据所需的计算量。通常以两者中之主要 部分来刻划该攻击的复杂度。
ຫໍສະໝຸດ Baidu
➢ 对于明文空间为 F2n ，密钥空间为 F2t 的分组密码而言， 穷搜索攻击的复杂度以 2t 为上界。而已知明文，或选择
明文攻击的数据复杂度以 2n 为上界。
➢ 如果一个密码的所有攻击方法中没有一种方法的数据 复杂度远远小于 2n ，而处理复杂度远远小于 2t ,则该密 码就是计算上安全的。而一种攻击能否成功则取决于其 复杂度是否远远小于 2n 和 2t 。
➢ 70 年代,美国数据加密标准 DES 的出台,标志着现代分组密 码学的开始。从此揭开了商用民用密码研究的序幕。
➢ 这是信息化社会发展的产物。
越来越多的敏感信息通过网络传输和存贮，迫切需要具有高强 度、高速率、便于软硬实现、易于标准化的加密体制。
由于非相关团体之间频繁交换加密信息,为了实现同一水平的 安全性和兼容性,数据加密标准化也势在必行。
➢ 由于假定分组密码算法是公开的，在密钥不知道的情况 下，对已知密文总可采用穷搜索进行攻击。
➢ 如果一个分组密码，它的所有攻击方法均不比穷搜索方 法更好的话，就说它是安全的。
➢ 对分组密码实施穷尽搜索的唯密文攻击，每一个可能的 密钥必须试一次，其复杂度可理解为试解密钥的次数。 若密钥空间为 F2t ，则它的试解次数平均值为 2t1 。
➢ 如果一个体制对于拥有有限计算资源的攻击者是安全 的，则称该密码是计算上安全的。
也称为实际上安全的，或相对安全的。 计算上安全的密码说明破译该密码是困难的。
破译信息所花的代价超出信息本身的价值。 破译信息所需时间超出信息的有效期。
➢ 事实上，经典密码中已知的无条件安全体制都是不实用 的，比如一次一密体制。因此，人们通常只是追求计算 上的安全性，而不是理论上的安全性。
➢ 如在对密钥的穷搜索攻击中，所需数据量(即截获的密 文组或明密对)与实施该攻击所需的运算次数相比是很 小的。因此,这种穷搜索攻击所需的复杂度实际是处理 复杂度。又如 Biham 和 shamir 的差分密码分析是一种 选择明文攻击，其复杂度主要由进行该攻击所需的明密 对来决定。因此，差分密码分析的复杂度实际上是数据 复杂度。