01fr第3章 分组密码和数据加密标准DES(精简)104
数据加密标准(DES)
数据加密标准(DES)数据加密标准(DES)概述DES(Data Encryption Standard)是由1971年IBM公司设计出的⼀个加密算法,1977年经美国国家标准局(NBS)采⽤作为联邦标准之后,已成为⾦融界及其它各种民间⾏业最⼴泛应⽤的对称密码系统,是第⼀个被公布出来的标准算法。
四⼗年来,尽管计算机硬件及破解技术的发展⽇新⽉异,但对DES的攻击也仅仅做到了“质疑”的地步,其主要缺点之⼀是密钥太短,若能⽤DES改进算法加长密钥长度,仍不失为⼀个安全的密码系统。
DES结构明⽂m 置换IP m0=L0UR0 密钥源K1 L1UR1 密钥源K2 L2UR2 ……密钥源K16 L16UR16 得到R16UL16 逆置换IP^-1 得到密⽂CDES是⼀个对称密码体制,加解密使⽤同⼀密钥,密钥、明⽂、密⽂长度均为64bit。
解密过程为输⼊密⽂C并反序输⼊⼦密钥K16,K15,...,K1,最后输出的即明⽂m。
DES详细结构图置换IP和逆置换IP^-1置换IP和逆置换IP-1没有密码学意义,X与IP(X)(或Y与IP-1 (Y))的⼀⼀对应关系是已知的,置换的⽬的是打乱原来输⼊X的ASII码字的前后关系。
1. 置换IP置换IP表中的位序号特征为:64位按照8⾏8列排列,最右边⼀列按照1、3、5、7排列,往左边各列的位序号依次为其右边⼀列各位序号加8.2. 逆置换IP^-1逆置换IP^-1是置换IP的逆过程,表中位序号特征,64位按照8⾏8列排列,左边第⼆列按8、7、6、5、4、3、2、1次序排列,往右边隔⼀序号是当前列序号加8,认为最右边⼀列的隔⼀列为最左边⼀列。
F函数DES的⼀轮迭代过程见下图,其中的F函数由3部分组成:扩展置换(E盒)⾮线性代换(S盒)线性置换(P盒)substitute:代换permute:置换expand:扩展1. 扩展置换扩展置换⼜称E盒,将32别输⼊扩展为48bit输出。
数据加密标准DES
数据加密标准DES1977年1月,美国政府将IBM研制的一种乘积密码宣布为国家的数据加密标准。
这个标准的确立刺激了很大一批厂商去实现加密算法的硬件化,以提高处理速度。
这种密码术的核心是乘积变换,在硬件产业中常常简称为DES(Data Encryption Standard)。
这样一来,由于可以得到便宜高速的硬件,所以反过来也鼓励了许多其他用户采纳DES。
1.DES算法描述现在我们来说明DES算法,它的过程如图9-2所示。
对明文按64位分组,每组明文经初始排列(第1步),通过子密钥K1--K16进行16次乘积变换(第2步),再通过最终排列(第3步)得到64位密文。
图9-2 DES算法过程图16次乘积变换的目的是使明文增大其混乱性和扩散性,使得输出不残存统计规律,使破译者不能从反向推算出密钥。
第1步:初始排列(IP)IP(Initial Permutation)取排数据的方法如表9-2所示,其中的数据表示明文的位标(1~64)。
例如,58指该组明文中的第58位,50指该组明文中的第50位,其他类推。
第l步初始排列的目的是将明文的顺序打乱。
表9-2 初始排列法(IP)[例12-1]明文X=0123456789ABCDEF(十六进制形式),写成二进制形式,共64位:X=0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111经过初始排列(IP)后,结果变成:1100 1100 0000 0000 1100 1100 1111 1111 1111 0000 1010 1010 1111 0000 1010 1010即写成十六进制形式是:CC00CCFFFOAAFOAA。
第2步:乘积变换把通过第1步得出的64位一分为二,用L0表示前32位,R0表示后32位,那么在上例中有:L0=CC00CCFF R0=FOAAFOAA其16次乘积变换的过程可以用图9-3表示。
DES分组密码算法(1)
➢分组密码的设计原则 ➢数据加密标准DES ➢分组密码的工作模式 ➢高级加密标准AES
1
DES分组密码算法
第二节 DES分组密码算法
(Date Encipher Standard)
主要内容: DES算法概述,圈函数,密钥 生成算法 ,多重DES
重点: DES加密算法,圈函数 难点:圈函数实现的混乱和扩散
21
57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36
63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
9
DES分组密码算法
逆初始置换IP-1与初始置 换IP互逆,可直接利用置换 求逆的方法由IP求出。
且有:IP-1 [IP(X)]=X
变换规则:同初始置换。
逆初始置换IP-1
40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25
Ri-1 (32位)
f
Ri=Li-1 f(Ri-1, Ki)
Li
Ri
Ki
Feistel模型
缺点: • 每圈加密时输入有一半没有改变 • 左右块的加密处理不能并行实施
优点: • 设计容易:f函数不要求可逆
加密算法之DES算法
加密算法之DES算法DES算法(Data Encryption Standard,数据加密标准)是一种对称加密算法,由IBM公司于1970年代开发,1977年被美国国家标准局(NIST)采纳为联邦信息处理标准(FIPS),并作为加密通信的标准算法使用。
DES算法采用分组密码(Block Cipher)的形式,将明文数据分成64位的数据块进行加密和解密操作。
DES算法的核心是Feistel结构,该结构由两个相同的数据块进行操作,每一轮加密过程包括分组加密、轮密钥生成和异或运算三个步骤。
下面将详细介绍DES算法的加密过程。
1.密钥生成:DES算法使用56位的密钥进行加密,其中有8位用于奇偶校验,因此实际有效密钥长度为48位。
首先,将56位密钥进行置换和分割,得到两个28位的子密钥,分别为左子密钥和右子密钥。
接着,根据子密钥生成算法对左右子密钥进行16轮循环左移操作,每轮循环左移的位数由一个预定义的位移表决定,最终得到16个48位的轮密钥。
2.分组加密:将64位明文数据分成左右两个32位的数据块,分别为左数据块L0和右数据块R0。
接下来,采用16轮的迭代过程,每轮过程包括以下四个步骤:-迭代函数扩展:将32位的右数据块扩展为48位,通过一个预定义的扩展换位表进行操作,得到扩展后的数据块。
-轮密钥混合:将扩展后的数据块和对应的轮密钥进行异或运算,得到48位的中间结果。
-S盒代替:将中间结果进行分组,每个6位作为一个输入,通过一系列预定义的S盒进行替代操作,得到32位的输出。
-P盒置换:对S盒代替的输出进行置换操作,通过一个预定义的置换表得到32位的最终结果。
在每轮迭代过程中,将左右数据块交换位置,即Li=Ri-1,Ri=Li-1⊕F(Ri-1,Ki),其中F表示迭代函数,Ki表示对应的轮密钥。
3.逆置换:经过16轮迭代后,得到的最终结果为L16和R16,将其交换位置,即L16为右数据块,R16为左数据块。
分组密码的设计准则
• DES加密原理
➢初始置换
➢每个循环的详细过程
➢密钥的产生
➢DES算法的安全强度
➢3DES
应用密ห้องสมุดไป่ตู้技术
3.3 高级加密标准
• Rijndael算法:本质上是一种对称分组密码
体制,采用替代/置换网络,每轮由三层组 成。它是一个迭代分组密码,分组长度和 密钥长度都是可变的。
应用密码技术
3.1.3 分组密码的设计准则
• S盒的设计准则 • P盒的设计准则 • 轮函数F的设计准则 • 迭代的轮数 • 子密钥的生成方法
应用密码技术
3.2 数据加密标准
• DES处理的明文长度是64位,密文分组长度
也是64位,密钥长度位56位(要求输入64位)
• DES的一般设计原则:随机性、雪崩效应、
➢扩散:每一位明文的影响尽可能迅速地作用到 较多的输出密文位中去。主要使用换位算法。
➢混乱:密文和明文之间的统计特性关系尽可能 地复杂化。主要使用替代算法。
➢乘积密码:是指依次使用两个或两个以上的基 本密码,所得结果的密码强度将强于所有单个 密码的强度,即是扩散和混乱两种基本密码操 作的组合变换。
应用密码技术
• AES:处理的分组大小为128位,密钥长度
为128位、192位或256位,相应的迭代轮数 为10、12、和14轮。
应用密码技术
3.4 其他分组密码
• DES变形、RC系列分组密码、IDEA密码等。 • KASUMI密码。
应用密码技术
分组密码的操作模式(补充)
• 电子密码本模式(ECB) • 密码分组链接模式(CBC) • 计数器模式(CTR模式) • 输出反馈模式(OFB) • 密码反馈模式(CFB)
第3章 分组密码(3)
2. SM4算法流程
2019/8/6
2019/8/6
2019/8/6
7
777
2019/8/6
2019/8/6
2019/8/6
8
888
3. 密钥扩展算法
2019/8/6
2019/8/6
2019/8/6
9
999
2019/8/6
2019/8/6
T变换和L变 换
2019/8/6
10
111000
4. 具体实例
RC5的算法特性与许多算法不尽相同,它具有有可变的字长(因此输入的分 组长度是可变的),可变的加密轮数和可变的密钥长度;只使用了微处理器上常 实现,另一方面,由于没有复杂的运算,它的加密速度非常快。
RC5已经在RSA公司的许多产品应用,比如作为无线客户端与服务器之间的 加密算法。
RC5的设计原理与具体算法本书不再作讨论,有兴趣的读者可以查阅相关资 料。
2019/8/6
2019/8/6
2019/8/6
17
1177
RC6是AES候选算法之一,由Rivest、Robshaw、Sidney和Yin提交的,它可能是最 简单的AES算法,RC6是RC5的进一步改进。像RC5那样,RC6实际上是利用数据的循 环移位。它的明文分组块大小为128位,密钥可以为128、192或256,共进行20轮 的加密。
IDEA的设计者在设计时已尽最大努力使该算法不受差分密码分析的影响, 赖学嘉已证明IDEA算法在其8轮迭代的第4轮之后便不受差分密码分析的影响。 IDEA比同时代的算法:FEAL,REDOC-II、LOKI、Snefru和Khafre都要坚固,而 且到目前为止几乎没有任何关于IDEA密码分析攻击法的成果案例发表,因此目 前IDEA的攻击方法只有“直接攻击”或者说是“密钥穷举”法了。
精品课件-现代密码学原理与实践-第3章
第3章 分组密码
3.1DES 美国国家标准局1977年公布了由IBM公司研制的 DataEncryptionStandard(DES)作为非机要部门的数据加密标准。 它是迄今为止流行最广、时间最长的加密算法,也是现代分组加 密技术的典型。原规定使用期10年,然而10年来并未发现有任何 攻击能够威胁到它的安全,且比它更好的标准尚未产生,所以直 到20世纪90年代,它一直在延期使用。可见它是很成功的。此后 产生的许多加密方法都直接或间接地受到了它的启发。
第3章 分组密码
第3章 分组密码
3.1 DES 3.2 IDEA37 3.3 AES41 习题 3 实践练习 3
第3章 分组密码
分组密码是将明文分成固定长度的一些段落(分组),在 密钥作用下逐段进行加密的方法。这样做的好处是处理速度快, 可靠性高,软(硬)件都能实现,而且节省资源,容易标准化。因 此,分组密码得到了广泛的应用,同时也使分组密码成为许多密 码组件的基础,比如MAC(消息认证码)系统。
第3章 分组密码
各左移1位再通过PC-2变换得48bit k=00111101100011111100110100110111001111110100100
R0(32bit)经E作用扩展为48bit R0′
=10000000000101111111111010000000110101000000011
是4bit的输出数据(y0y1y2y3)。8个Si分表共输出32bit。S盒的结 构如表3.2所示。
(4)再经置换P,结束本轮加密,最终结果如表3.3所示。
第3章 分组密码
表3.2 DES加密系统中的S盒数据对照表
第3章 分组密码
续表
第3章 分组密码
表3.3 f(Ri-1,ki)函数中P置换的重排列次序
第3章对称密码体制
流密码与分组密码
❖ 流密码每次加密数据流中的一位或一个字节。 ❖ 分组密码,就是先把明文划分为许多分组,每个明
文分组被当作一个整体来产生一个等长(通常)的 密文分组。通常使用的是64位或128位分组大小。 ❖ 分组密码的实质,是设计一种算法,能在密钥控制 下,把n比特明文简单而又迅速地置换成唯一n比特 密文,并且这种变换是可逆的(解密)。
23
63
31
38
6
46
14
54
22
62
30
37
5
45
13
53
21
61
29
36
4
44
12
52
20
60
28
35
3
43
11
51
19
59
27
34
2
42
10
50
18
58
26
33
1
41
9
49
17
57
25
❖ 解密的时候一样步骤,只是在做第六步的时候,将K[16]变 为K[1],依次类推倒用K[i]即可。
❖ 第十步:回到第五步,重复运算到第九步,每轮计算有 R[i],L[i],K[i]来计算,总计重复16轮结束,最终生成新的L[16] 和R[16]。
❖ 第十一步:合并L[16]和R[16]为64位数据,然后按照表8做
置换,生成最终加密数据。
❖ 表8:
40
8
48
16
56
24
64
32
39
7
47
15
55
DES算法原理
❖ 第一步:要被加密的数据被分割成为若干以 64bit为单位的数据,如果位数不够,那么补
第3章 分组密码(2)
a7 x8 mod p(x) x8 mod p(x) p(x) x8 x4 x3 x 1
2019/8/6
2019/8/6
2019/8/6
2019/8/6
15
111555
15
x a(x)=(x4 x3 x 1)+(a6 x7 a5 x6 a4 x5 a3 x4 a2 x3 a1x2 a0 x) x a(x) (00011011)(a6a5a4a3a2a1a0 0)
x13 x12 x11 x10 x9 x8 x3 x2 x 1
(x5 x4 x3 x2 1)( x8 x4 x3 x 1) (x6 x5 x4 )
• 所以,(01110011)(10010101)=(01110000)
• Rijndael 汇聚了安全性能、效率、可实现性和灵活性等优点
2019/8/6
2019/8/6
2019/8/6
2019/8/6
5
55
5
但是,我们应该清楚自香农(于1949年)发表“保密系统的通信理论” 并确定密码学的科学体系以来,经过了1/4个世纪,Rivest Shamir 和 Adleman于1978年提出RSA公开密钥算法,美国国家标准局(NBS)于1977年 数据加密标准DES。
8
2019/8F/6ield)域。
2019/8/6
888
Zp[x]/f(x)是域当且仅当f(x)是不可约的,也就是说,如果f(x)是不可约的 ,则所有属于Zp[x]的多项式,在mod f(x)后的余式,组成的集合构成一个域。 反之也成立。
例如:计算Z2[x] / x3+x+1, 可得所有余式构成八个元素的集合{0, 1, x, x+1, x2, x2+1, x2+x, x2+x+1}, 这个集合构成一个有限域,加法单位元为0,乘法单位元为1。
《分组密码》PPT课件
第1章 密码学概述 第2章 古典密码技术 第3章 分组密码 第4章 公钥密码体制 第5章 散列函数与消息鉴别 第6章 数字签名技术 第7章 密钥管理技术 第8章 身份鉴别技术 第9章 序列密码 第10章 密码技术应用
第3章 分组密码
本章主要内容
• 概述 • 分组密码的设计原则与评估 • 分组密码的设计方法 • 数据加密标准-DES • 高级加密标准-AES • 分组密码的工作模式 • 其它分组密码
精选课件ppt 5/37
第3章 分组密码
3.3 分组密码常见的设计方法 3.3.1 Feistel结构
Li-1
Ri-1
Ki
F
Li = Ri-1
Ri = Li-1 F(Ri-1, Ki)
Feistel结构是典型的迭代密码.Feistel结构的解 密与加密是完全一样的,除了所使用的子密钥的顺序 正好相反。
一、有限域GF(28) 可以把出b7b6b5b4b3b2b1b0构成的一个字节看成是系数在(0, 1) 中取值的多项式:
DES加密
加密
DES解密
DES加密
明文M
K1
K2
K3
密文C
DES解密
DES加密
DES解密
精选课件ppt
17/37
第3章 分组密码
3.5 高级加密标准-AES AES是DES的替代者。1997年9月12日,NIST发布了
征集算法的正式公告,要求AES具有128比特的分组长 度,并支持128、192和256比特的密钥长度,而且要 求AES要能在全世界范围内免费使用。
第3章 分组密码
3.4 数据加密标准-DES DES是一种明文分组为64比特,有效密钥56比特,
中北大学马巧梅密码学课件第3章分组密码体制
密码学
图3.2表示n=4的代换密码的一般结构,4比特输 入产生16个可能输入状态中的一个,由代换结构将 这一状态映射为16个可能输出状态中的一个,每一 输出状态由4个密文比特表示。
加密映射和解密映射可由代换表来定义,如表 3.1所示。这种定义法是分组密码最常用的形式, 能用于定义明文和密文之间的任何可逆映射。
例如DES中将输入为48比特、输出为32比特的 代换用8个S盒来实现,每个S盒的输入端数仅为6比 特,输出端数仅为4比特。
密码学
3.1.2 扩散和混淆
扩散和混淆是由Shannon提出的设计密码系统 的两个基本方法,目的是抗击敌手对密码系统的统 计分析。
密码学
扩散:将明文的统计特性散布到密文中去。 实现方式:使得明文的每一位影响密文中多位的值, 等价于说密文中每一位均受明文中多位影响。 扩散的目的:使明文和密文之间的统计关系变得尽可 能复杂,以使敌手无法得到密钥;
每轮的轮函数的结构都相同,但以不同的子密 钥Ki作为参数。代换过程完成后,再交换左、右两 半数据,这一过程称为置换。
这种结构是Shannon提出的代换——置换网络 (substitution-permutation network, SPN)的特有 形式。
密码学
Feistel网络的实现与以下参数和特性有关:
图 3.4
Feistel 加 解 密 过 程
密码学
加密过程的最后一轮执行完后,两半输出再经 交换,因此密文是RE16‖LE16。解密过程取以上密 文作为同一算法的输入,即第1轮输入是RE16‖LE16, 等于加密过程第16轮两半输出交换后的结果。
密码学
3.2 数据加密标准
数据加密标准(data encryption standard, DES)是迄今为止世界上最为广泛使用和流行的一 种分组密码算法,它的分组长度为64比特,密钥长 度为56比特,它是由美国IBM公司研制的。DES在 1975年3月17日首次被公布在联邦记录中,经过大 量的公开讨论后,DES于1977年1月15日被正式批 准并作为美国联邦信息处理标准,即FIPS-46,同 年7月15日开始生效。规定每隔5年由美国国家保密 局(national security agency, NSA)作出评估,并 重新批准它是否继续作为联邦加密标准。
分组密码体制分组密码概述
64bits
4
注意事项
从这章开始,假定加密和认证的文本、图像、音频 等任何格式的原声信息,都存在相应的编码方式, 转话为二进制的数据流。在具体算法中,表示为 messag={0,1}*
1M的大小文件多少bit?若分组密码每组分块长度 为64bits,则1M大小文件需要分成多少块?
1M= 1024*1024*8 bits = 2 23 bits
7
分组密码的发展历史
民用 不存在陷门 足够的安全强度 标准化通信需求
8
分组密码的发展历史
1973年5月美国联邦政府提出征求在传输和存储数据 中保护计算机数据的密码算法的建议;
1975年3月,美国国家标准局(NBS) 首次公布IBM公 司提出的算法Lucifer中选;
1977年1月NBS正式向社会公布,采纳IBM公司设计 的方案作为非机密数据的数据加密标准 (Data Encryption Standard). DES正式成为美国联邦政府 信息处理标准,即FIPS-46标准,同年7月开始生 效。
5
分组密码的定义
定义 一个分组密码体制(P, K, C, E, D),其中 P=C={0,1}l ;K={0,1}t.
加密变换: E:P×K→C, 当k ∈K确定时,Ek 为P →C的一一映射.
解密变换: D: C×K →P, 当k ∈K确定时,Dk 为C →P的一一映射.
D ·E =I k=(k0,k1,…,kt-1)
3
分组密码定义
若分组密码明文块长度为64bits
64bits 明文 students
64bits computer
64bits learning
64bits are this
加密
现代密码学-分组密码DES
美国数字设备公司开发软件实现在ibm3090大型机上des软件实现每秒加密32万次在80486处理器速度为66mhz总线宽32位的微机上des软件实现每秒加密43万次24des的安全性在选择明文攻击时只需实验256个密钥的一半228不要使用互补密钥des至少有4个弱密钥很可能不存在其它弱密钥
分组密码
PC-2
14 17 11 24 1 5 3 28 15 6 21 10 23 19 12 4 26 8 16 7 27 20 13 2 41 52 31 37 47 55 30 40 51 45 33 48 44 49 39 56 34 53 46 42 50 36 29 32
19
57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
于劳埃德保险公司的现金分配系统 Feistel代换-置换网络主要参数
分组大小: (2w=64) 密钥大小: (|K|=128) 轮数:h 子密钥产生算法: K K1, K2,…, Kh. 轮函数设计: F
第8次课 分组密码体制-des
穷举攻击分析
穷举攻击就是对所有可能的密钥逐个进行 脱密测试, 直到找到正确密钥为止的一种攻击 方法.
穷举攻击判断正确密钥的方法:
将利用试验密钥解密得到的可能明文与已 掌握的明文的信息相比较,并将最吻合的那个 试验密钥作为算法输出的正确密钥。
2020/1/6
26
穷举攻击的算法
已知条件:已知密文c及对应的明文m.
度为56 bits。 算法主要包括:初始置换IP、16轮迭代的乘积变换、
逆初始置换IP-1以及16个子密钥产生器。
2020/1/6
9
DES加密算法框图
16轮迭代 的乘积变换
2020/1/6
子密钥产生器
10
DES算法框图
输入 64 bit明文数据
标
初始置换IP
准
数
乘积变换
据
(16轮迭代)
加 密
密钥(64 bit )
除去第8,16, ,64位(8个校验位)
置换选择1,PC1
Ci(28 bit)
Di(28 bit)
循环左移ti+1bit
循环左移ti+1bit
置换选择2,PC2
ki
2020/1/6
23
置换选择1
57 49 41 33 25 17 9 1 58 50 42PC-134 26 18 10 2 59 51 43 35 27 19 11 3 60 50 44 36 5 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
3
15 12 8 2 4 9 1 7 5 11 2 14 10 0 6 13
精品课件-应用密码学-3-分组密码概述
每一种知识都需要努力, 都需要付出,感谢支持!
26
知识就是力量,感谢支持 !
27
----谢谢大家!!
28
9
分组密码的发展历史 民用 不存在陷门 足够的安全强度 标准化通信需求
10
分组密码的发展历史 1973年5月美国联邦政府提出征求在传输和存储数据中保护计
算机数据的密码算法的建议; 1975年3月,美国国家标准局(NBS) 首次公布IBM公司提出的算
法Lucifer中选; 1977年1月NBS正式向社会公布,采纳IBM公司设计的方案作为
5
分组密码定义
若分组密码明文块长度为64bits
64bits 明文 students
64bits computer
64bits learning
64bits are this
加密
加密
加密
加密
密文 ×××××××× ×××××××× ×××××××× ××××××××
64bits
64bits
64bits
扩散:明文和密钥中任何一比特值得改变,都会在某种程度上影 响到密文值的变化,以防止将密钥分解成若干个孤立的小部分, 然后各个击破。(扩散函数)
17
保密系统的安全性分析 及分组密码攻击手段
攻击目的 1. 完全破译:破译使用者的密钥 例:备用钥匙 2. 部分破译:恢复某些密文对应的明文 例:猜测出某些特定格式的明文 信函开头:DEAR ***
18
保密系统的安全性分析 及分组密码攻击手段
攻击种类 被动攻击:守株待兔
1. 唯密文攻击:密码分析者有一个或更多的用同一个密钥 加密的密文,通过对这些截获的密文进行分析得出明文 或密钥.
2. 已知明文攻击:除待解的密文外,密码分析者有一些明 文和用同一个密钥加密这些明文所对应的密文.
第三章 密码学-分组密码
对称算法的安全性依赖于密钥,泄漏密钥就意 味着任何人都能对消息进行加/解密。 分为两类:序列密码和分组密码 序列密码:一次只对明文中的单个位(有时对字 节),又称序列算法活流密码,是手工和机器密 码时代的主流。 分组密码:将明文分成固定长度的组,用同一密 钥和算法对每一块加密,输出也是固定长度的密 文。这些位称为分组(block),又称分组算法。
第三章 密码学及其应用
第三章 密码学及其应用
加密过程
第三章 密码学及其应用
密码学术语
密码体制分类: 密码体制分
依据密码个数,分为对称密码和非对称密 码。 对称密码
加密密钥能够从解密密钥推算出来,反过来也成 立。 在大多数对称算法中,加密/解密的密钥是 相同的。要求发送者和接收者在安全通信之前, 商定一个密钥。
第三章 密码学及其应用
第三章 密码学及其应用
分组密码的典型代表DES(Data Encryption Standard )
产生背景:
1973年5月15日,美国国家标准局(National Bureau of 年 月 日 Standards, NBS) 开始公开征集标准加密算法,并公布了它的 设计要求: 1974年8月27日, NBS开始第二次征集,IBM提交了算法 LUCIFER,该算法由IBM的工程师在1971~1972年研制 1976年,NBS指派了两个小组进行评价,11月23日,采纳为 联邦标准,批准用于非军事场合的各种政府机构。 最近的一次评估是在1994年1月,已决定1998年12月以后, DES将不再作为联邦加密标准
第三章 密码学及其应用
图灵( Turing) 图灵(Alan Mathison Turing)
Alan Mathison Turing,1912~1954. 英 国数学家。 一生对智能与机器之间的关 系进行着不懈探索。
第3章02--分组密码体制(DES)
10 11 12 13
12 13 14 15 16 17 16 17 18 19 20 21
20 21 22 23 24 25
24 25 26 27 28 29 28 29 30 31 32 1
16
密钥加密运算
将子密钥产生器输出的48 bit子密 钥ki 与选择扩展运算E输出的48 bits 数据按位模2相加。
26
穷举攻击算法的计算复杂性
定理 设密钥在密钥空间K中服从均匀分布, 且没有等效密钥,则穷举攻击平均需要检 K 个密钥后才找到正确密钥。 1 验完
2 2
结论: 对DES算法的穷举攻击平均计算复杂 性为255.
27
讨论:使用二重DES产生的映射是否等价于单 重DES加密?
二重DES
k2 yi yi D
31
30 29 28 27 26 25
38 37 36 35 34 33
初始置换IP
将64 bit明文的位置进行置换,得到一个乱序 的64 bit明文组,而后分成左右两段,每段为 32 bit,以L0和R0表示,IP中各列元素位置号 数相差为8。
逆初始置换IP-1。将16轮迭代后给出的64 bit组 进行置换,得到输出的密文组。输出为阵中元 素按行读得的结果。 IP和 IP-1 在密码意义上作用不大,它们的作用 在于打乱原来输入x的ASCII码字划分的关系。
算法主要包括:初始置换IP、16轮迭代的乘积变换、 逆初始置换IP-1以及16个子密钥产生器。
8
DES加密算法框图
16轮迭代 的乘积变换
子密钥产生器
9
DES算法框图
输入 64 bit明文数据
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第3章分密组密码算法DES教学内容要点:(2课时)1.分组加密 (4)2.Feistel(费斯妥)分组密码 (6)3.数据加密标准(DES)的历史 (15)4.DES算法的入口参数 (18)5.DES算法加密过程 (19)6.变换密钥 (25)7.处理64位的数据 .............................................. 31 8. 轮函数Round 说明111(,,)(,);015i i i i i Round L R k L R i +++=从到 (37)9. DES 算法的解密过程 (45)10. 雪崩效应 (46)11. DES 算法的强度(安全性)争议 (48)12. 对密钥长度的攻击 (48)13. DES 的未来 (52)14.差分分析方法和线性分析方法(提及) (53)15.作业 (54)16.课后资料 (56)说明:1.分组加密“分组加密(block cipher):一次处理固定比特长度的分组,每次处理都有复杂的数据处理过程。
现代常规分组加密算法有:1. DES2. IDEA3. RC54. RC65. AES在近代密码史上,典型的影响相当大的分组密码算法是DES算法,它们和所有早已退出的算法由于安全与强度的原因已近退出历史舞台,但它们曾做出了重要贡献,对它们的学习对后面算法的理解和密码算法的发展及其理由有积极意义。
本章将详解DES和略解其它分组算法。
现在来看看现代分组密码,其中一个最广泛使用的加密算法提供保密/认证服务(基于密码的消息验证码:确保消息未被改动),重点DES (数据加密标准);分组密码一直得以广泛使用的理由在于:它处理速度很快,且安全性高。
学习目的此外也在于以DES为例来说明让大家了解现代分组密码的设计原则。
分组密码以固定长度的分组来处理模块,每个然后加/解密;像在一个非常大的字符集合上进行替代运算。
64位或更长;2.Feistel(费斯妥)分组密码许多对称的分组加密算法,都是基于结构称为Feistel分组密码,如:IBM的LUCIFER卖给英国公司Lloyd公司的现金发放卡上;此外DES算法。
它由分组密码操作上n位明文块经过产生n位密文区块。
任意可逆的替代映射密码查找表:对较大的分组是不切合实际,但是,从实现和性能的观点。
一般而言,一个n位通用分组密码替代表的规模,关键是N*2n。
对于64位的块,这是一个理想的长度挫败统计分析攻击的统计,表的大小是64 ×264 = 270 = 1021位。
这实际是密钥的长度,这太长了,实现推广困难很大。
在考虑这些困难,Feistel指出,现在需要的对应较n是一个近似的理想分组密码系统,建立起来的组件,很容易实现。
Feistel是指一个n位通用替代是一个理想的分组密码,因为它允许的最大数量的加密映射(从明文到密文块)。
4位输入产生的一个16个可能的输出,这是对应的密码替换成一个独特的16个可能的输出,每个代表了4位密文。
该加密和解密映射可以定义一个表格所示,如图3.1 。
它描绘了一个微小的4位替代;它表明,每一个可能的输入可任意映射到任何输出-这就是为什么它的复杂性的增长如此迅速。
(Claude Shannon’s 1949 paper )申农的1949年论文的关键思想,引导了现代分组密码的发展。
重要的是,他建议交替使用S -盒分和P –盒(形式的S-P网络SPN),形成一个复杂的实用密码。
他还介绍了思想的混乱和扩散(confusion and diffusion),它们分别由S -盒和P-盒(与S -盒)提供。
扩散和混乱是香农引入的两个基本构件。
对于密码操作来讲是替代和排列;对于于消息的信息量(统计特征)来说是混乱和扩散每个分组密码涉及转变块明文到密文区块,其中的转变取决于关键。
例子:一滴红墨水滴入太平洋;(海水依然是蓝色的);要重新将红墨水分离是不可能的。
扩散力求使明文和密文的统计之间的关系尽可能复杂以挫败企图推断。
混乱力求使密文和加密金钥统计之间的关系一样复杂可能再次挫败企图。
例子:一幅扑克牌从6楼以天女撒花的方式扔下一楼;54位同学一个去检一张;按学号收集起来;这个顺序是乱的。
没有规律;实验可重复;实验现象重复的概率几乎为零;服从某种概率分布。
这是“乱”;无序可言因此,成功的扩散和混乱成为现代的分组密码的本质属性,他们已成为现代化的分组密码的设计。
体的实现取决于Feistel网络的选择下列参数和设计的基石:Horst Feistel 设计出基于可逆替代乘积密码feistel cipher;实出了香农的S-P网络思想。
这个结构称为费斯妥结构或费斯妥网络,它有以下几个主要参数:block size块大小-增加规模提高安全性,但放缓速度;钥长度key size -规模日益提高的安全,使详尽关键搜寻难度,但可能会减缓密码轮数number of rounds -越来越多改善安全,但放缓密码subkey generation algorithm子钥生成算法-更加复杂的分析可以作出努力,但放缓密码码fast software en/decryption快速软件加/解密-最近关心的实际使用ease of analysis便于分析-更容易验证与测试的力量3.数据加密标准(DES)的历史美国国家标准局NBS,1973年开始研究除国防部外的其它部门的计算机系统的数据加密标准(DES),于1973年5月15日和1974年8月27日先后两次向公众发出了征求加密算法称为DES算法的公告。
加密算法要达到的目的(通常称为DES 密码算法要求)主要为以下四点:1.DES能提供高质量的数据保护;2.DES具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于理解和掌握;3.DES密码体制的安全性应该不依赖于算法的保密,其安全性仅以密钥的保密为基础;4.实现经济,运行有效,并且适用于多种完全不同的应用。
使用最广泛的私钥分组密码,是数据加密标准(DES )。
这是在1977年通过了国家标准局作为联邦信息处理标准第46条第(文件号:FIPSPUB46 )。
加密数据加密64位分组使用56位密钥。
该加密得到广泛使用。
它也一直受到很大争议的安全。
1977年1月,美国政府颁布:采纳IBM公司设计的方案作为非机密数据的正式数据加密标准(DES Data Encryption Standard)。
其前身是费斯妥(Festel)加密算法。
斯妥是IBM Lucifer魔王的作者,德国人,1943年移民美国,战后在空军的研究中心研究密码,1960年转到密特(Mitre)公司又遭阻,后来到IBM ,但遭美国国家安全局(NSA)阻挠,谣传NSA限制其钥匙长度不可超过56位,DES56位有效密钥。
4.DES算法的入口参数DES算法的入口参数有三个:Key、Data、Mode。
其中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据,称其这一个DES字或DES分组;Mode为DES的工作方式,有两种:加密或解密。
5.DES算法加密过程学习密码算法的3个层面:第1层境界:知道如何执行(手工执行);第2层境界:还要知道如何描述(计算机算法操作符和自然语言);第3层境界:用某种语言平台来实现(用计算机来提高效率)两个过程:变换密钥得到16*48bits的子密钥.处理64bits数据得到64bits密文/或明文概述DES的一般描述2第1步:从64位输入密钥出发经过16轮变化生成16个48子密钥位过程:(1次选排之后,循环左移-选排16次);一个子密钥的生成流程.(简单来讲:一次选排,循左,二次选排(三部曲))。
第2步:从64位数据出发,利用16子子密钥经过16轮变化得到64位数据输出;如果加密:则16轮变化按增序序使用16个子钥,如果解密;则减序使用16个子钥;(初始排列;轮处理;逆初始排列)例子:11010111;实始排列号43126578;得到:10111011;从新编号;其逆排列为:34216578;图示总结:DES的一轮数据处理的流程图:L i=R i-1详细解说:6.变换密钥表1:密钥位编号右边的28位称为0R ,1 i 。
i i i R s R →<<<-1,进入下步。
i s <<<:循环左移is 位。
is 见表(循环移位表)。
循环移位表:I++;i<17则跳至1-3,否则结束。
2C:从56中选48位,照某常表2中选取。
2P:将数据照某常表2排列。
常表22-1、M M IP )(0。
(M 表示消息)取得64位的数据,如果数据长度不足64位,应该将其填充为64位(例如补零),IP :初始排列,照某常表1进行初始排列。
数据位编号: 常表:后的32位称为0R,1 i。
2-3轮函数(输出为两个;以向量坐标的形式); 111(,,)(,);015i i i i i Round L R k L R i +++=从到2-4、左右互换并合并:R 16L 16 2-8、→-)(16161L R IP此分组的输出。
1-IP :初始排列,照某常表6进行排列。
(末选排)注意:左右互换了。
解密过程:只有一处不同,即子密钥的使用顺序不同,加密从k0用到k15;而解密是从k15用到k0;(算法演示)8. 轮函数Round 说明111(,,)(,);015i i i i i Round L R k L R i +++=从到2-3、1+→i i L R 。
(向左赋值)2-4、i i R R C P →)(11。
1C :从32中照某常表2选取48位。
1P :照某常表3排列。
(开始进入F处理)2-5、ii i box R K R S →⊕)(,将得到32位输出:321d d 1-→i R 。
(F 处理结束)box S :照S 盒常表4进行置换:4)*1(44)*1(16)*1(56)*1(26)*1(66)*1(1),(-+-+-+-+-+-+→j j j j j j j d d D D D D S ,j 从1执行到8。
例题:试写0x4142434445464748的S 盒输出?2-6、i i R R P →)(2。
2P :照某表常表5进行排列。
(选排)2-7、1+→⊕i i i R L R ,?16<i YES ,9.DES算法的解密过程解密过程与加密是一样的,只是子钥使用的顺序列取反。
10.雪崩效应任何加密算法都必须有的品质:一个小小的明文或密钥改变都对应产生一个重大的密文改变。
特别是,改变一个位元的明文或一个位的密钥应该产生的变化在许多比特的密文。
如果变化很小,这可能提供了一种方法,使用得差分分析攻击有效;DES表现出强大的雪崩效应,因为可以看到表3.5 。