现代密码学第3讲

2011-4-26
4
流密码的分类
n级移存器 … … ki f ki Eki(·) n 级移存器 … … f ki Dki(·) ki
mi
ci
ci
mi
2011-4-26
5
序列的伪随机性
周期 序列{ 序列{ki}i≥0，使 对所有i，ki+p=ki 成立的的最小整数p 长为l的串 长为 的串(run) (kt , kt+1…kt+l -1) 的串 序列{ 的一个周期中， 序列{ki}的一个周期中， kt-1≠kt=kt+1=…=kt+l -1≠ kt+l 例：长为l的1串和长为l的0串：
2011-4-26
12
反馈移位寄存器
x1 , ki+n ki+n-1 xn ki+n-2 xn-1 ki+1 x2 ki x1 ki-1.,…,k1 k0 x2 , … f (ki, ki+1, …ki+n-1) xn
2011-4-26
13
线性反馈移位寄存器
f(x)为线性函数，输出序列满足下式 为线性函数， 为线性函数
线性移存器序列的最长周期为2 线性移存器序列的最长周期为 n－1。
2011-4-26
16
状态转移和相应输出
时刻 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 3 0 1 0 0 1 1 0 1 0 1 1 1 1 0 0 0 状 2 0 0 1 0 0 1 1 0 1 0 1 1 1 1 0 0 态 1 0 0 0 1 0 0 1 1 0 1 0 1 1 1 1 0 0 1 0 0 0 1 0 0 1 1 0 1 0 1 1 1 1 输 出 0 1 0 0 0 1 0 0 1 1 0 1 0 1 1 1 1
⋯ . 011 ⋯ 1 0 ⋯ ,⋯ 1 00 ⋯ 01 ⋯
l l
2011-4-26
6
序列的伪随机性
周期自相关函数 的序列{ 周期为p的序列{ki}i≥0，其周期自相关函数 R(j)=(A－D)/p ， j=0, 1, … － 式中， ≤ 式中，A={0≤i<p|：ki=ki+j}，D={0≤i<p：ki≠ki+j}。 ： ≤ ： 同相自相关函数 同相自相关函数 的倍数， 时为， )=1 当j为p的倍数，即pj时为，R(j)=1； 异相自相关函数 不是p的倍数时 当j不是 的倍数时 不是
第三章 流密码
一、流密码的基本概念 二、线性反馈移位寄存器序列 三、B-M综合算法 综合算法 四、非线性序列
2011-4-26
1
一、流密码的基本概念
2011-4-26
2
流密码的分类
同步流密码SSC(Synchronous Stream Cipher)： σi与明文消息无关，密钥流将独立于明文。 特点：
k i + n = f ( k i ,⋯ , k i + n −1 ) = − ∑ c j k i + j i ≥ 0
j=0
n −1
cn
-cn-1 ki+n-1 xn
2011-4-26
-cn-2 ki+n-2 xn-1
-c1 ki+1 x2
-c0 ki ki-1,…, k1, k0 x1
14
二元线性移位寄存器
G1．若 p 为偶 ， 则 0 , 1 出现个数相等 ， 皆为 p/2。 若 p 为奇 ， ． 为偶， 出现个数相等， 为奇， 出现个数为( )/2 则0出现个数为(p±1)/2。 G2． 长为 l 的串占 1 / 2 l， 且 “ 0 ” 串和 “ 1 ” 串个数相等或 的串占1 串和“ ． 至多差一个。 至多差一个。 G3．R(j)为双值，即所有异相自相关函数值相等。这与白 为双值，即所有异相自相关函数值相等。 ． 噪声的自相关函数( 函数)相近， 噪声的自相关函数(δ函数)相近，这种序列又称为双值序 Sequence)。 列(Two Value Sequence)。 PN序列可用于通信中同步序列 码分多址( CDMA)、 序列可用于通信中同步序列、 PN 序列可用于通信中同步序列 、 码分多址 ( CDMA)、 导航中多基站码、雷达测距码等。但仅满足G 导航中多基站码 、 雷达测距码等 。 但仅满足 G1～G3 特性 的序列虽与白噪声序列相似， 的序列虽与白噪声序列相似 ， 但远还不能满足密码体制 要求。 要求。
2011-4-26
22
多项式的周期
多项式f(x)的周期 为使 的周期p为使 除尽x 的最小整数 的最小整数n的取 多项式 的周期 为使f(x)除尽 n-1的最小整数 的取 除尽 值。 序列的周期与生成序列特征多项式的周期密切相关。 序列的周期与生成序列特征多项式的周期密切相关。 引理3-2: 引理 次式， 令f(x)为n次式，周期为 ，令{ki}i≥0∈Ω(f)，则{ki}i≥0的 为 次式 周期为p， ， ≥ ≥ 周期p’ 。 周期 p。
ki+1 x2
ki x1
ki-1, …, k1 ,
15
线性反馈移位寄存器
例 n=4的LFSR。输出序列满足 i－4＋ki－3＋ki=0。初始状 的 。输出序列满足k － 。 － 态为1000。序列的周期为 态为 。序列的周期为15=24－1。 。 c4 c3 0 c2 0 c1 0 c0 1 ki
2011-4-26 10
二、 线性反馈移位寄存器序列
2011-4-26
11
线性反馈移位寄存器序列概念
级数(Stages)：存储单元数。 ：存储单元数。 级数 状态(State)：n个存储单元的存数 i, …, ki+n-1) ： 个存储单元的存数 个存储单元的存数(k 状态 反馈函数： 是状态(k 的函数。 反馈函数：f(ki, ki+1, …, ki+n-1)是状态 i,…, ki+n-1)的函数。 是状态 的函数 线性反馈移位寄存器(LFSR)：f 为线性函数 ： 线性反馈移位寄存器 非线性反馈移位寄存器： 非线性反馈移位寄存器： f 为非线性函数
a(x) =
∑
n −1 j=0
(∑ cn−l k j−l ) x
l=0
j
j
20
特征多项式
证： k ( x ) f * ( x ) = ( ∑ k i x i )( ∑ c n − l x l )
i=0 l =0 ∞ n ∞ min( j , n ) l =0
==
∑(
j=0 n −1
(cn −l k j −l ) x j ) ∑
2011-4-26
18
特征多项式
以LFSR的反馈系数所决定的多项式 的反馈系数所决定的多项式
f ( x ) = c0 + c1 x + c 2 x + ... + c n −1 x
2 n −1
+ x = ∑ cjx j
n j =0
n
又称反馈多项式。式中， 又称反馈多项式。式中，c0=cn=1 反馈多项式 反多项式
2011-4-26 7
例2－2
二元序列111001011100101110010… 二元序列 周期p=7 周期 同相自相关函数R(j)=1 同相自相关函数R(j)=1 异相自相关函数R(j)=－1/7。 － 。 异相自相关函数
2011-4-26
8
Golomb随机性假设－PN序列 随机性假设－ 序列 随机性假设
2011-4-26
9
满足密码体制的另外三个条件
C1．周期p要足够大，如大于1050； 周期 要足够大，如大于10 C2．序列{ki}i≥0产生易于高速生成； ．序列{ 产生易于高速生成； C3．当序列 { ki}i≥0 的任何部分暴露时， 要分析整个序列 ， ． 当序列{ 的任何部分暴露时，要分析整个序列， 提取产生它的电路结构信息， 在计算上是不可行的， 提取产生它的电路结构信息， 在计算上是不可行的，称 此为不可预测性(Unpredictability)。 此为不可预测性(Unpredictability)。 决定了密码的强度， 是流密码理论的核心。 C3 决定了密码的强度 ， 是流密码理论的核心 。 它包 含了流密码要研究的许多主要问题，如线性复杂度、 含了流密码要研究的许多主要问题， 如线性复杂度 、 相 关免疫性、不可预测性等等。 关免疫性、不可预测性等等。
n j
cn −l k j −l x + ∑ ∑ cn −l k j −l x j ∑∑
j =0 l =0 j≥n l =0 n
j
= a ( x ) + ∑ ( ∑ ct k ( j − n ) + t ) x j
j≥n j =0
(n − l = t )
= a( x)
2011-4-26
a(x)就是移存器初始值所对应的多项式 就是移存器初始值所对应的多项式
1 c(x) = f (x) = x f ( ) = c0 xn + c1xn−1 + ...+ cn−1x + cn x
* n
称作是LFSR的联接多项式。cn≠0称之为非奇异 的联接多项式。 称之为非奇异LFSR。 称作是 称之为非奇异
2011-4-26 19
特征多项式
定义:给定序列 {ki}i≥0, 幂级数 给定序列 ≥
2011-4-26
23
多项式的周期
引理3-3 令f(x)是周期为 的n次既约多项式，令{ki}i≥0∈Ω(f)， 是周期为p的 次既约多项式 次既约多项式， 引理 是周期为 ， ≥ 则{ki}i≥0的周期为 。 ≥ 的周期为p。 证 ： 令 {ki}i≥0周期为 ， 由引理 ， ， 则有， ， ≥ 周期为p’， 由引理3-2-3， 有 p’p， 则有 ， deg(u(x))<p，