作业答案3~分组密码
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 1
… (*)
把(*)式代入(#)式,可得 DES 1 ( DES (m)) m ,由此可知 DES 的解密变换是加密变换 的逆。
3. 在 DES 的 ECB 模式中, 如果在密文分组中有一个错误, 解密后仅相应的明文分组受到影响。 然而在 CBC 模式中,将有错误传播。例如在图 3-11 中 C1 中的一个错误明显地将影响到 P1 和 P2 的结果。 (1) P2 后的分组是否受到影响? (2) 设加密前的明文分组 P1 中有 1 比特的错误,问这一错误将在多少个密文分组中传播? 对接收者产生什么影响? 解: CBC 的加密: C0=IV, Ci=DESK[Pi⊕Ci-1], i≥2 解密: Pi=DESK-1[Ci]⊕Ci-1 , i≥1 (1) 如果解密过程中 C1 有错误,由于 P2=DESK-1[C2]⊕C1,所以 P2 将受到影响;但 是当 i≥3 时,Pi=DESK-1[Ci]⊕Ci-1,与 C1 无 关,因此 Pi≥3 不会受到影响。 (2) 加密前 P1 有错误, 则加密后 C1 也是错误的; 由于 Ci=DESK[Pi⊕Ci-1], i≥2,因此 Ci≥2 也都 是错误的, 即 P1 中这一个比特的错误会在加 密过程中传递到每一个密文分组。 由加密和解密的方式可知,如果密文 Ci 在从发送者到接收者的传递过程中没有改 变(出错) ,那么密文解密后必然等于加密 时输入的明文。因此对于接收者来说,由于 加密前的明文分组 P1 中有 l 比特的错误, 那
第 5 页
CBC 模式示意图
NCUT
密码学 – 习题与答案
2011
么解密后的 P1 跟加密前一样,同样有一个比特的错误,而对于 Ci≥2 能够解密得到无 错误的明文。 4. 在 8 比特 CFB 模式中,如果在密文字符中出现 1 比特的错误,问该错误能传播多远。 解: 该错误将传播到后面的 = 8 个单元, 共 9 个单元解密得到错误的明文。 (64+8-1)/8
(2) 对 DES 进行穷举搜索攻击时,需要在由 256 个密钥构成的密钥空间进行。能否根据(1) 的结论减少进行穷搜索攻击时所用的密钥空间。 解:(1) 根据取补的性质,密钥空间 K 可分成两部分 K1/2 和 K’1/2,即 K= K1/2∪K’1/2 对于任意一个 k∈K1/2,它的取补 k’∈K’1/2;对于任意一个 k∈K’1/2,它的取补 k’∈ K1/2。即,K1/2 和 K’1/2 是一一对应的;它们的空间大小都是 256/2=255。 (2) 选择明文攻击时, 假设有 Ek0(x)=y, 其中 x、 y 分别为明文和密文, E 为 DES 加密算法, k0 为真实的密钥。
(iv) DES 的轮变换为
Li Ri 1 ,其中轮函数 F 可写为 R L F R , K i 1 i 1 i i
F R, K P( S ( E ( R) K )) 。 因此有如下推理:
Y DES K ( X ) Y ' DES K ' ( X ') Ri Li 1 F ( Ri 1 , Ki ) Ri' L'i 1 F ( Ri'1 , K i' ) 根据(i)(ii) 根据(iii)
fi ( Li 1 , Ri 1 ) Li 1 F ( Ri 1 , Ki ), Ri 1
则有,
fi 2 ( Li 1 , Ri 1 ) Li 1 F ( Ri 1 , K i ), Ri 1 fi ( Li 1 F ( Ri 1 , K i ), Ri 1 ) ( Li 1 F ( Ri 1 , Ki )) F ( Ri 1 , Ki ), Ri 1 ( Li 1 , Ri 1 )
NCUT
密码学 – 习题与答案
2011
三、分组密码 (1,2,3,4)
1. (1) 设 M’是 M 的逐比特取补,证明在 DES 中,如果对明文分组和密文分组都逐比特取补, 那么得到的密文也是原密文的逐比特取补,即 如果 Y = DESK(X),那么 Y’=DESK’(X’) 提示:对任意两个长度相等的比特串 A 和 B,证明(A⊕B)’=A’⊕B。 证: (i) 容易验证,在 DES 中所有的置换操作,包括初始置换 IP、逆初始置换 IP-1、选择扩展算 法 E、置换运算 P 以及置换选择 PC1、置换选择 PC2,都满足如下性质: 如果 N=PO(M),则 N’=PO(M’),其中 PO 是某种置换操作 即有 (PO(M))’= PO(M’) (ii) 容易验证,密钥生成过程中的左循环移位 LS 满足如下性质: 如果 N=LS (M),那么 N’=LS(M’), 即有 (LS (M))’=LS(M’) 结合(1)可知,如果记子密钥为(K1,…,K16),K 为初始密钥,KG 为密钥生成算法,则有 如下性质: 如果 (K1,…,K16)=KG(K),那么 (K1',…,K16')=KG(K’) 有 (a⊕b)’= a⊕b⊕1=(a⊕1)⊕b=a’⊕b (= a⊕(b⊕1)=a⊕b’) , (iii) 对于任意两个比特 a 和 b, 因此对任意两个长度相等的比特串 A 和 B,有(A⊕B)’=A’⊕B=A⊕B’成立。
CFB 模Hale Waihona Puke Baidu示意
第 6 页
即 fi 2 I 。 DES 的加密为: c DES ( m) IP 1 f16 T f15 T f1 IP (m) 解密为: DES (c ) IP f1 T f 2 T f16 IP (c) … (#)
Li1 F ( Ri1 , Ki ) '
Li 1 F ( Ri'1 , K i' ) '
F ( Ri 1 , Ki ) F ( Ri'1 , Ki' ) P( S ( E ( Ri 1 ) Ki )) P( S ( E ( Ri'1 ) K i' )) E ( Ri 1 ) Ki E ( Ri'1 ) Ki' 根据(iii )可知 E ( Ri 1 ) Ki ( E ( Ri 1 ) Ki' )' ( E ( Ri 1 )) ' Ki ( E ( Ri 1 ))' Ki E ( Ri'1 ) Ki' ( E ( Ri 1 )) ' E ( Ri'1 ) 由(i)知此式成立
第 4 页
NCUT
密码学 – 习题与答案
2011
穷举搜索密钥空间 K1/2,对于某个 k∈K1/2,假设 (i) Ek(x)=y1,如果 y1=y,则说明 k0=k 而且 k0∈K1/2。 (ii) Ek(x’)=y2,如果 y2=y’,则说明 k= k0’,即 k0= k’ 而且 k0∈K’1/2。 综上可知:对于选定的明文密文对(x,y),只需遍历 K1/2 中的所有密钥即可,此时密钥 空间大小少为 255。 2. 证明 DES 的解密变换是加密变换的逆。 证明:定义 T 是把 64 位数据左右两半交换位置的操作,即 T(L,R)=(R,L),则 T2(L,R)=(L,R), 即 T2=I,其中 I 为恒等变换。 定义 DES 中第 i 轮的主要运算为 fi,即
… (*)
把(*)式代入(#)式,可得 DES 1 ( DES (m)) m ,由此可知 DES 的解密变换是加密变换 的逆。
3. 在 DES 的 ECB 模式中, 如果在密文分组中有一个错误, 解密后仅相应的明文分组受到影响。 然而在 CBC 模式中,将有错误传播。例如在图 3-11 中 C1 中的一个错误明显地将影响到 P1 和 P2 的结果。 (1) P2 后的分组是否受到影响? (2) 设加密前的明文分组 P1 中有 1 比特的错误,问这一错误将在多少个密文分组中传播? 对接收者产生什么影响? 解: CBC 的加密: C0=IV, Ci=DESK[Pi⊕Ci-1], i≥2 解密: Pi=DESK-1[Ci]⊕Ci-1 , i≥1 (1) 如果解密过程中 C1 有错误,由于 P2=DESK-1[C2]⊕C1,所以 P2 将受到影响;但 是当 i≥3 时,Pi=DESK-1[Ci]⊕Ci-1,与 C1 无 关,因此 Pi≥3 不会受到影响。 (2) 加密前 P1 有错误, 则加密后 C1 也是错误的; 由于 Ci=DESK[Pi⊕Ci-1], i≥2,因此 Ci≥2 也都 是错误的, 即 P1 中这一个比特的错误会在加 密过程中传递到每一个密文分组。 由加密和解密的方式可知,如果密文 Ci 在从发送者到接收者的传递过程中没有改 变(出错) ,那么密文解密后必然等于加密 时输入的明文。因此对于接收者来说,由于 加密前的明文分组 P1 中有 l 比特的错误, 那
第 5 页
CBC 模式示意图
NCUT
密码学 – 习题与答案
2011
么解密后的 P1 跟加密前一样,同样有一个比特的错误,而对于 Ci≥2 能够解密得到无 错误的明文。 4. 在 8 比特 CFB 模式中,如果在密文字符中出现 1 比特的错误,问该错误能传播多远。 解: 该错误将传播到后面的 = 8 个单元, 共 9 个单元解密得到错误的明文。 (64+8-1)/8
(2) 对 DES 进行穷举搜索攻击时,需要在由 256 个密钥构成的密钥空间进行。能否根据(1) 的结论减少进行穷搜索攻击时所用的密钥空间。 解:(1) 根据取补的性质,密钥空间 K 可分成两部分 K1/2 和 K’1/2,即 K= K1/2∪K’1/2 对于任意一个 k∈K1/2,它的取补 k’∈K’1/2;对于任意一个 k∈K’1/2,它的取补 k’∈ K1/2。即,K1/2 和 K’1/2 是一一对应的;它们的空间大小都是 256/2=255。 (2) 选择明文攻击时, 假设有 Ek0(x)=y, 其中 x、 y 分别为明文和密文, E 为 DES 加密算法, k0 为真实的密钥。
(iv) DES 的轮变换为
Li Ri 1 ,其中轮函数 F 可写为 R L F R , K i 1 i 1 i i
F R, K P( S ( E ( R) K )) 。 因此有如下推理:
Y DES K ( X ) Y ' DES K ' ( X ') Ri Li 1 F ( Ri 1 , Ki ) Ri' L'i 1 F ( Ri'1 , K i' ) 根据(i)(ii) 根据(iii)
fi ( Li 1 , Ri 1 ) Li 1 F ( Ri 1 , Ki ), Ri 1
则有,
fi 2 ( Li 1 , Ri 1 ) Li 1 F ( Ri 1 , K i ), Ri 1 fi ( Li 1 F ( Ri 1 , K i ), Ri 1 ) ( Li 1 F ( Ri 1 , Ki )) F ( Ri 1 , Ki ), Ri 1 ( Li 1 , Ri 1 )
NCUT
密码学 – 习题与答案
2011
三、分组密码 (1,2,3,4)
1. (1) 设 M’是 M 的逐比特取补,证明在 DES 中,如果对明文分组和密文分组都逐比特取补, 那么得到的密文也是原密文的逐比特取补,即 如果 Y = DESK(X),那么 Y’=DESK’(X’) 提示:对任意两个长度相等的比特串 A 和 B,证明(A⊕B)’=A’⊕B。 证: (i) 容易验证,在 DES 中所有的置换操作,包括初始置换 IP、逆初始置换 IP-1、选择扩展算 法 E、置换运算 P 以及置换选择 PC1、置换选择 PC2,都满足如下性质: 如果 N=PO(M),则 N’=PO(M’),其中 PO 是某种置换操作 即有 (PO(M))’= PO(M’) (ii) 容易验证,密钥生成过程中的左循环移位 LS 满足如下性质: 如果 N=LS (M),那么 N’=LS(M’), 即有 (LS (M))’=LS(M’) 结合(1)可知,如果记子密钥为(K1,…,K16),K 为初始密钥,KG 为密钥生成算法,则有 如下性质: 如果 (K1,…,K16)=KG(K),那么 (K1',…,K16')=KG(K’) 有 (a⊕b)’= a⊕b⊕1=(a⊕1)⊕b=a’⊕b (= a⊕(b⊕1)=a⊕b’) , (iii) 对于任意两个比特 a 和 b, 因此对任意两个长度相等的比特串 A 和 B,有(A⊕B)’=A’⊕B=A⊕B’成立。
CFB 模Hale Waihona Puke Baidu示意
第 6 页
即 fi 2 I 。 DES 的加密为: c DES ( m) IP 1 f16 T f15 T f1 IP (m) 解密为: DES (c ) IP f1 T f 2 T f16 IP (c) … (#)
Li1 F ( Ri1 , Ki ) '
Li 1 F ( Ri'1 , K i' ) '
F ( Ri 1 , Ki ) F ( Ri'1 , Ki' ) P( S ( E ( Ri 1 ) Ki )) P( S ( E ( Ri'1 ) K i' )) E ( Ri 1 ) Ki E ( Ri'1 ) Ki' 根据(iii )可知 E ( Ri 1 ) Ki ( E ( Ri 1 ) Ki' )' ( E ( Ri 1 )) ' Ki ( E ( Ri 1 ))' Ki E ( Ri'1 ) Ki' ( E ( Ri 1 )) ' E ( Ri'1 ) 由(i)知此式成立
第 4 页
NCUT
密码学 – 习题与答案
2011
穷举搜索密钥空间 K1/2,对于某个 k∈K1/2,假设 (i) Ek(x)=y1,如果 y1=y,则说明 k0=k 而且 k0∈K1/2。 (ii) Ek(x’)=y2,如果 y2=y’,则说明 k= k0’,即 k0= k’ 而且 k0∈K’1/2。 综上可知:对于选定的明文密文对(x,y),只需遍历 K1/2 中的所有密钥即可,此时密钥 空间大小少为 255。 2. 证明 DES 的解密变换是加密变换的逆。 证明:定义 T 是把 64 位数据左右两半交换位置的操作,即 T(L,R)=(R,L),则 T2(L,R)=(L,R), 即 T2=I,其中 I 为恒等变换。 定义 DES 中第 i 轮的主要运算为 fi,即