对称密码学及其应用 第3章 分组密码简介与设计准则.ppt

第三章分组密码简介与设计准则 分组密码概述分组密码的一般设计原理分组密码的整体结构S 盒的设计准则及其构造P置换的设计准则及构造方法轮函数的设计准则及其构造密钥扩展算法的设计分组密码的工作模式 3 1分组密码概述 分组密码 BlockCipher 也称之为块密码 是将明文消息编码表示后的数字序列 划分成固定大小的组 或位块 各组分别在密钥的控制下变换成等长的输出数字序列 3 1分组密码概述 分组密码分类加密方式的不同 分组密码又可分为三类 代替密码 移位密码和乘积密码 根据加密和解密密钥密钥是否相同 可以将分组密码分为对称分组密码和非对称分组密码 3 2分组密码的一般设计原理 一般设计原理分组长度要足够大密钥量要足够大由密钥确定置换的算法要足够复杂加密和解密运算简单数据扩展差错传播尽可能地小 3 2分组密码的一般设计原理 扩散和混乱原则Shannon为了应对统计分析而提出的两种方法扩散就是将每一位明文的影响尽可能迅速地作用到较多的输出密文位中去 以便隐藏明文的统计特性 混乱是指密文和明文之间的统计特性关系尽可能地复杂化 用于掩盖明文 密文和密钥之间的关系 3 3分组密码的整体结构 SPN结构Shannon提出是一种采用混乱和扩散的迭代密码结构属于乘积密码SAFER和SHARK等著名的密码算法都采用此结构 3 3分组密码的整体结构 SPN密码结构与两种基本密码变换操作 3 3分组密码的整体结构 Feistel结构由IBM公司的HorstFeistel在20世纪60年代末设计Lucifer分组密码时发明的在Lucifer密码的基础上 IBM提出的算法中标美国国家标准局 NBS 公开征集的标准密码算法 即DES算法许多分组密码也都采用了Feistel结构 如Blowfish E2 FEAL GOST LOKI和RC5等 3 3分组密码的整体结构 Lucifer算法 3 3分组密码的整体结构 Feistel结构实现对于一个分组长度为2W的n 轮Feistel结构密码的加密过程如图3 3 4所示 其中K1 Kn是由种子密钥K生成的子密钥 2W长度的明文被分为L0和R0两部分 这两部分经过n轮迭代后组合在一起成为密文 其运算逻辑关系为 Li Ri 1 i 1 2 n Ri Li 1 F Ri 1 Ki i 1 2 n 3 3分组密码的整体结构 Feistel结构实现每轮迭代都有相同的结构 如图3 3 5所示 代替作用在数据的左半部分 它通过轮函数F作用数据的右半部分 与左半部分数据进行异或来完成 每轮迭代的轮函数都相同 但每轮的子密钥Ki不同 代替之后 交换数据的左右部分实现置换 这就是Feistel结构的思想 每轮迭代都有相同的结构 如图3 3 5所示 代替作用在数据的左半部分 它通过轮函数F作用数据的右半部分 与左半部分数据进行异或来完成 每轮迭代的轮函数都相同 但每轮的子密钥Ki不同 代替之后 交换数据的左右部分实现置换 这就是Feistel结构的思想 3 4S 盒的设计准则及其构造 S 盒的设计准则非线性度 差分均匀性 代数次数及项数分布 完全性和雪崩效应 可逆性 没有陷门 3 4S 盒的设计准则及其构造 S 盒的构造方法随机选取并测试 按一定规则构造并测试 数学函数构造 指数函数和对数函数有限域GF 2n 上的逆映射 3 5P置换的设计准则及构造方法 P置换的设计准则 在SP网络中 混淆层一般由若干个S 盒并置而成 扩散层一般由一个置换 或一个可逆的线性变换 P来实现 P盒的目的就是实现雪崩效应 进一步提高扩散和混淆程度 由于按比特置换在软件实现中是难以实现的 因此 如果混淆层是由m个n n的S 盒并置而成 则P一般设计成的一个置换 其中 3 5P置换的设计准则及构造方法 P置换的构造分支数最佳的置换P的构造多维2 点变换扩散器 3 6轮函数的设计准则及其构造 设计轮函数F的基本准则就是非线性 除此之外 还包括雪崩效应准则和位独立准则 评价轮函数设计质量的指标安全性速度灵活性 3 6轮函数的设计准则及其构造 现有的密码算法的轮函数可以分为有S 盒的 例如DES LOKI系列及E2等 没有S 盒的 例如IDEA RC5及RC6等 一般来说 轮函数的 混淆 由S 盒或算术运算来实现 而没有S 盒的轮函数的 混淆 则主要靠加法运算 乘法运算及数据依赖循环等来实现 3 7密钥扩展算法的设计 子密钥生成方法的理论设计目标子密钥的统计独立性密钥更换的有效性评价子密钥的生成方法质量的指标实现简单速度不存在简单关系种子密钥的所有比特对每个子密钥比特的影响大致相同从一些子密钥比特获得其他子密钥 或者种子密钥 比特在计算上是困难的没有弱密钥 3 8分组密码的工作模式 分组密码的工作模式 也称为密码模式 通常是由基本密码算法 一些反馈和一些简单运算组合而成 特点 其安全性依赖于基本密码模式的效率将不会明显地低于基本密码不同的模式有不同的特点 适用于不同场合 3 8分组密码的工作模式 电子密码本ECB electroniccodebookmode 密码分组链接CBC cipherblockchaining 密码反馈CFB cipherfeedback 输出反馈OFB outputfeedback 计数器模式 电子密码本 ECB Ci EK Pi Pi DK Ci ECB特点 简单和有效可以并行实现不能隐藏明文的模式信息相同明文 相同密文同样信息多次出现造成泄漏对明文的主动攻击是可能的信息块可被替换 重排 删除 重放误差传递 密文块损坏 仅对应明文块损坏适合于传输短信息 密码分组链接CBC Ci EK Ci 1 Pi Pi DK Ci Ci 1 CBC特点 没有已知的并行实现算法能隐藏明文的模式信息需要共同的初始化向量IV相同明文 不同密文初始化向量IV可以用来改变第一块定期更换IV对明文的主动攻击是不容易的信息块不容易被替换 重排 删除 重放误差传递 密文块损坏 两明文块损坏安全性好于ECB适合于传输长度大于64位的报文 密码反馈CFB CFB 分组密码 自同步流密码Si为移位寄存器 j为流单元宽度加密 Ci Pi EK Si 的高j位 Si 1 Si j Ci解密 Pi Ci EK Si 的高j位 Si 1 Si j Ci CFB加密示意图 Ci Pi EK Si 的高j位 Si 1 Si j Ci CFB解密示意图 Pi Ci EK Si 的高j位 Si 1 Si j Ci CFB特点 分组密码 自同步流密码没有已知的并行实现算法优点 隐藏了明文模式缺点 误差传递 一个单元损坏影响多个单元对于不同的消息 IV必须唯一 因此需要共同的移位寄存器初始值IV 并且IV要和密钥同时进行更换 输出反馈OFB OFB 分组密码 同步流密码Si为移位寄存器 j为流单元宽度加密 Ci Pi EK Si 的高j位 Si 1 Si j EK Si 的高j位 解密 Pi Ci EK Si 的高j位 Si 1 Si j EK Si 的高j位 OFB加密示意图 Ci Pi EK Si 的高j位 Si 1 Si j EK Si 的高j位 Pi Ci EK Si 的高j位 Si 1 Si j EK Si 的高j位 OFB解密示意图 OFB特点 OFB 分组密码 同步流密码没有已知的并行实现算法优点 隐藏了明文模式没有误差传递 一个单元损坏只影响对应单元缺点 不具有自同步能力 要求系统要保持严格的同步重新同步时需要新的IV IV可以用明文形式传送对明文的主动攻击是可能的信息块可被替换 重排 删除 重放安全性较CFB差 计数器模式 CounterMode Diffie等人在1979年提出将一个计数器输入到寄存器中 每一个分组完成加密后 计数器都要增加某个常数 典型值是1 该模式的同步和错误扩散特性同OFB模式完全一样 可直接生成第i个密钥比特ki 保密随机访问数据文件时是非常有用 内部状态 输出函数 分组密码算法 选最低位输出 下一状态函数 计数器 k ki 工作模式选用原则 ECB模式 简单 高速 但最弱 易受重发攻击 一般不推荐 CBC CFB O