三大密码体制对称密码、公钥密码和量子密码的理论与技术.docx

三大密码体制：对称密码、公钥密码和量子密码的理论与技术国讥技2003年第3期专题述评SI,ARIZATION 文章编号:1001893X(2003)03000607 三大密码体制:对称密码,公钥密码和 量子密码的理论与技术* 林德敬,林柏钢 (福州大学计算机科学与技术系,福建福州350002) 摘要:随着信息技术的飞速发展,信息安全与通信保密日益重要与突出,密码技术是信息安全技术 的核心.文中概括介绍了国内外三大密码体制(对称密码,公钥密码和量子密码)的理论与技术及其 现状,分析了它们的发展趋势,重点探讨了分组密码的主要设计技术和量子密钥的产生与分发,最后 对三大体制进行了比较. 关键词:密码学;分组密码;序列密码;公钥密码;量子密码;/DES/AEs/NESS 中图分类号:TN9l8.1文献标识码:A SurveyontheCryptographyofSymmetry, PublickeyandQuantum LINDej,LIN11ogang (DepartmentofComputerScienceandTechnology,FuzhouUniversity,Fuzhou350002,China) Abstract:WiththerapiddevelopmentofIT,informationandcommunicationsecuritybecomemoreandmoreim portant.Cryptographictechniqueisthecoreofinformationsecuritytechnology.Thispaperfirstintroducessum marilythethreecryptosystem(Symmetry,PublickeyandQuantumciphers)theory&technologyandtheir statusquos,andanalyzestheirdevelopment,Mtrends.Second,thethesisapproachesemphaticallyprimaryde signphilosophyofblockcipherandgenemfion&distributionofquantumkey.Finally,thecomparisonbetween thethreecryptosystemsisoutlined. Keywords:Cryptography;Blockcipher;Streamcipher;Publickeycipher;Quantumcipher;RSMDES/AES/ NESS 一 ,引言 随着信息与通信技术的飞速发展,信息安全与 通信保密在个人隐私尤其在军事情报和国家机密等 方面显得尤为突出和重要.而现实中又存在着各种 各样的信息安全威胁,如伪造,欺骗,窃听,篡改,抵 赖,拒绝服务等,它们直接针对信息系统的保密性, 完整性,可用性,可控性和不可否认性.密码技术是 信息安全技术的核心,它主要由密码编码技术和密 码分析技术2个分支组成.密码编码技术的主要任 务是寻求产生安全性高的有效密码算法和协议,以 满足对数据和信息进行加密或认证的要求.密码分 析技术的主要任务是破译密码或伪造认证信息,实 现窃取机密信息或进行诈骗破坏活动.这两个分支 既相互对立又相互依存,正是由于这种对立统一关 系,才推动了密码学自身的发展.密码(学)理论 与技术目前主要有三大体制,即基于数学的对称密 码与公钥密码和基于量子力学的量子密码. ? 收稿日期:2oo30123 基金项目:国家自然科学基金资助项目(6017207);福建省自然科学基金资助项目(AO010011) ? 6? 囝讥技2003年第3期专题述评SIARIZATIoN 二,国内外公钥密码及其研究现状三,国内外对称密钥密码及其研究现状 1.公钥密码的抽象描述 用抽象的观点来看,公钥密码体制就是一种陷 门单向函数.我们说一个函数f是单向函数,若对 它的定义域中的任意X都易于计算f(x),而对f的 值域中的几乎所有的Y,即使当f为已知时要计算 f(y)在计算上也是不可行的.若当给定某些辅助 信息(陷门信息)时易于计算f-1(Y),就称单向函数f 是一个陷门单向函数.公钥密码体制就是基于这一 原理而设计的,将辅助信息(陷门信息)作为秘密密 钥.这类密码的安全强度取决于它所依据的问题的 计算复度. 2.公钥密码及其现状 自从1976年公钥密码的思想提出以来,国际上 已经提出了许多种公钥密码体制.如基于大整数因 子分解问题的RSA体制和Rabin体制,基于有限域 上离散对数问题的DiffieHeUman公钥体制和El Gamal体制,基于椭圆曲线上的离散对数问题的Dif- fieHellman公钥体制和EIGamal体制,基于背包问 题的MerkleHellman体制和ChorRivest体制,基 于代数编码理论的MeEliece体制,基于有限自动机 理论的公钥体制等. 目前比较流行的公钥密码体制主要有2类:一 类是基于大整数因子分解问题的,其中最典型的代 表是RSA体制;另一类是基于离散对数问题的,如 EIGamal公钥密码体制和影响比较大的椭圆曲线公 钥密码体制.由于分解大整数的能力日益增强.因 此为保证RSA体制的安全性总是要增加模长.目 前768bit模长的RSA体制已不安全.一般建议使 用1024bit模长,预计要保证2O年的安全性就要选 择2048bit的模长,增大模长带来了实现上的难度. 而基于离散对数问题的公钥密码在目前技术下512 bit模长就能够保证其安全性.特别是椭圆曲线上 的离散对数的计算要比有限域上的离散对数的计算 更困难,目前技术下只需要160bit模长即可保证其 安全性,适合于智能卡的实现,因而受到国际上的广 泛关注j.国际上制定了椭圆曲线公钥密码标准. 1.分组密码及其现状 (1)分组密码的抽象描述Ll 用抽象的观点来看,分组密码就是一种满足下 列条件的映射E:F2SI(一F2:对于每个ksK, E(?,k)是从F2到F2的一个置换.可见,设计分 组密码的问题在于找到一种算法,能在密钥控制下 从一个足够大且足够”好”的置换子集合中,简单而 迅速地选出一个置换.一个好的分组密码应该是既 难破译又容易实现,即加密函数E(?,k)和解密 函数D(?,k)都必须容易计算,但是至少要从方 程Y=E(X,k)或X=D(Y,k)中求出密钥k应 该是一个困难问题. (2)国内外主要的分组密码及其分析 随着DES的出现,人们对分组密码展开了深入 的研究和讨论,现已有大量的分组密码2】.如DES 的各种变形,IDEA算法,SAFER系列算法,RC系列 算法,Skipjack算法,L系列算法,REDOC系列算 法,LOKI系列算法,CAST系列算法,Khufu,Khafre, MMB,3一WAY,TEA,MacGufiqn,SHARK,BEAR,LI ON,CA.1.1,CRAB,Blowfish,GOST,SQUARE,MISTYI Rijndael算法,AES及NF_SSIE候选算法等.在分组 密码设计技术发展的同时,分组密码分析技术也得 到了空前的发展.已有很多分组密码分析技术.如 强力攻击(穷尽密钥搜索攻击,字典攻击,查表攻击, 时间一存储权衡攻击),差分密码分析及其推广,线 性密码分析及其推广,差分一线性密码分析,插值攻 击,密钥相关攻击,能量分析,错误攻击,定时攻击 等.穷尽密钥搜索攻击是一种与计算技术密不可分 的朴素密码分析技术.DES一经公布人们就认为它 的密钥太短(仅为56bit),抵抗不住穷尽密钥搜索攻 击,事实已证明了这一点(用该方法终于在1997年6 月17日成功地找到了DES的密钥).可见,寻找 DES的替代者已刻不容缓. (3)AES(AdvancedEncryptionStandard) NIST在1997年1月2日正式宣布了公开征集 AES.它的基本要求是:必须(至少)支持128bit分 组加密,支持128/192/256bit密钥(密钥空间分别有 3.410=l8/6.2105/1.11个密钥),比三重DES 快,至少与三重DES一样安全.NIST的评判规则大 ?一7? 国讥技2o03年第3期专题述评SIAR姗oN 体可分为三大部分:安全性;代价;算法实现特性. 根据上述评判规则,NIST对所有的候选算法进行了 综合评判: 1)1998年8月第一次AES候选会议公布了l5 个官方AKS候选算法.表1简要概括了这l5个分 组密码的背景,整体结构,设计特点及其有效性.根 据研究和分析的结果,前9种算法都有很好的安全 性,而后6种相对于前9种而言存在有一些设计上 的缺陷. 2)1999年8月,NIST从中筛选出了5个候选算 法:Rijndael,MARS,RC6,Serpent,Twofish. 3)2ooo年lO月2日,NIST宣布获胜者为Riin dael算法,其原形是square密码算法.它的设计策 略是宽轨迹策略(WideTmilStrategy),这种策略是针 对差分,线性分析提出的,它的最大优点是可以给出 算法的最佳差分特征的概率以及最佳线性逼近的偏 差的界,由此可以分析算法抗击差分及线性分析的 能力.Rijndael是一个迭代分组密码,其数据分组与 密钥长度都是可变的.但为满足AES的要求,分组 长度为128bit,密钥长度为128/192/256bit,相应的 轮数为10/12/14. 4)2001年11月26日,NIST正式公布了新标准 AES,其编号为FIPSPUBS197. 表1AES第一轮的l5个候选算法 算法国家KeyL整体结构主要设计特点有效性(安全性) rld MARS Rc6 Serpent T,sh ER+ Cr一256 CRY1DN Lol97 DEAL Magenta 玎t0G DF HPc 网络宽轨迹策略,SBox(GF(28)中的MP)对当前的密码分析是安全的 非平衡的FeistelSBox(随机产生并测试)对当前的密码分析是免疫的 广义Feistel基于数据控制的循环移位对当前的密码分析是安全的 网络类似于DES的SBox对当前的密码分析是安全的 16一Feistel可变的SBox(与密钥相关)良好的安全性 网络基于指数和对数的字节运算对当前的密码分析是安全的 广义Feistel来自不同群的混合运算,SBox对当前的密码分析是安全的 网络字节矩阵变换,SBOx对当前的密码分析是安全的 Feistel代替一置换网络,SBOx对当前的密码分析是免疫的 FeistelSBOx脆弱的安全性 6一Feistel重用DES,SBOx脆弱的安全性 6,8一Feistel基于快速HfI(“哈达马”变换)脆弱的安全性 非Feistel结构通过内部密钥隐藏大部分的计算过程差的安全性 8一Feistel基于Vauenay的抗相关攻击技术差的安全性 SPICE(512bit可选的二级密钥)差的安全性 (4)匝(NewEuropeanSchemesforSignatures, Integrity,andEncryption) 继美国征集AES结束之际,欧洲也开始进行称为 NESSIE的密码大计划,其主要目的是为了推出一系列 安全的密码模块;另一个目的是保持欧洲在密码研究 领域的领先地位,并增强密码在欧洲工业中的作用. 与AES相比,NESSIE涉及的范围更广,不仅征集了分 组密码,而且还征集序列密码,公钥密码,数字签名, MAC以及Hash函数.NESSIE共收到了l7个分组密 码,按照分组长度分为4部分.表2简要概括了这l7 个分组密码的背景,整体结构,设计特点及其有效 性L3J.与AES的15个候选算法相比,NESSIE的l7个 候选算法的设计比较单一,没有多少新思想,受AES的 影响比较大,整体结构主要采用Feistel变换与sP网 络,非线性主要靠S一盒来实现. ? 8? 2.国内外序列密码及其现状 序列密码虽然主要用于政府,军方等国家要害 部门,而且用于这些部门的理论和技术都是保密的, 但由于一些数学工具(代数,数论,概率等)可用于研 究序列密码,其理论和技术相对而言比较成熟. 目前序列密码的现状为:(1)设计方法方面:可归纳 为4种,即系统论方法,复杂性理论方法,信息论方 法和随机化方法;将同步流密码的密钥流生成器分 解成驱动部分和非线性组合部分,这样做不仅结构 简单,而且便于从理论上分析这类生成器;提出了非 线性组合生成器,非线性滤波生成器和钟控生成器 等多种具体设计方法.(2)安全性度量指标方面:提 出了线性复杂度轮廓,跃复杂度,K一错误复杂度 (球复杂度),球周期,非线性复杂度等多种度量序列 随机性和稳定性的指标,并对指标进行了深入研究. 交的候选算法的密钥长度均支持: 为了满足AEs的基本设计要求,这一提 一一吼一姒吼一-萋一一吼IUR.C 国钆技2o03年第3期专题述评SIAR-TIoN (3)分析方法方面:提出了分别征服攻击方法,线性 攻击方法,线性伴随式攻击方法,线性一致性攻击方 法,快速相关攻击方法,线性时序逻辑逼近方法,熵 漏分析方法等多种有效的分析方法.(4)在密码布 尔函数的构作与分析方面:提出了构造布尔函数的 多种设计准则,如相关免疫性,线性结构,严格雪崩 特性,扩散特性,平衡性,非线性性,差分均匀性等, 构造了一大批满足上述若干准则的布尔函数,同时, 对这些准则之间的关系也进行了深入研究.(5)在 非线性资源的生成和分析方面:对环上序列的生成 和结构进行了深入研究和刻画,诱导出的二元序列 具有良好的密码学特性.(6)研究方法方面:将谱技 术,概率统计,纠错编码技术,有限域理论等有效地 用于序列密码的研究.(7)另外:虽然没有制定序列 密码标准,但在一些系统中广泛使用了序列密码如 RCA用于存储加密.事实上,欧洲的NESSIE计划中 已经包括了序列密码标准的制定,这一举措将导致 序列密码研究热. 表2NESSIE的17个分组密码候选算法 算法国家BINL整体结构主要设计特点有效性(加密速度) CSCipherFrance64bitSP网络 HieroeryptL1Japan64bit蜂窝状sP网络 I【)队Switzerland64bitSP网络 KhazadBrazil,Belgium64bitSP网络 MISTY1Japan64bit递归式结构 NimbusBrazil64bitSP网络 AnubisBrazil,Belgium128bitSP网络 CamelliaJapan128bitFtstel GrandCruBeuln128bitSP网络 tlieroerypt一3Japan128bitSP网络 N0ek.0nBeuln128bitSP网络 QUSA128bitSP网络 SC2000Japan128bitSP网络 SHCALGemplusCompany160bit NUSHRussiavariableSP网络 Rc6USAvariable广义Feistel s+SwitzedandvariableSP网络 快速Fourier变换,MP,SBox SBox 来自不同群的混合运算,SBox 宽轨迹策略,SBox SBox 乘法和异或运算 宽轨迹策略,SBox 4个不同的SBox 多层安全策略,SBox SBox BitSlice,SBox BitSlice,SBox SBox 以杂凑函数为基础 各种运算混合 乘法数据相依循环 SBox 8Mbit/s(Penfium133) 139Mbit/s(Penfium550) 31Mbit/s(Penfium366) 65.7Mbit/s(Penfium550) 20Mbiffs(Penfiuml00) 20Mbit/s(Penfium166) 1NoelsEncryptS: 49Mbit/s(Penfium200) 2AnubissEncryptS: basedonPlenum550M KeyLSpeed(Mbit/s) 128l19 16ol12 1921o5 224100 25695 28890 32o86 备注:密钥长度与算法对照:128/192/256:Camellia,SC2000,NUSH;128:IDEA,Klulzad,MISrY1,Nimbus,N0ek.0n; SHCAL:128512;32N(4<N10):Anubis;Discretional:Q,RC6;SAFER+:128,128/256. 四,量子密码及其研究现状 对称与公钥密码都是在合理计算时间内基于某 种数学的假设下(如单向函数的存在)提供了计算上 不可破的密码体制,即实用安全性.然而,单向函数 的存在性并没有得到证明,因此基于数学的密码体 制只能追求实用上的安全性.量子密码是以Heis. enberg测不准原理(光子的偏振现象)和EPR效应为 物理基础,利用光纤异地产生物理噪声.它可以真 正地实现一次一密密码,构成理论上不可破译的密 码体制.光子不能被克隆的性质使量子密码编码操 作过程不能被完全窃听,一旦存在窃听也可以察觉, 并可以设法消除. 1.量子密钥产生与分发的物理基础 . (1)光子的偏振现象:每个光子都有一个偏振方 向即电场的振荡方向.在量子密码学中用到2种光 子偏振,即线偏振和圆偏振,其中线偏振可取2个方 向:水平方向和垂直方向;圆偏振包括左旋和右旋2 种情况.在量子力学中,光子的线偏振和圆偏振是 一 对共轭可观测量,也就是说,光子的线偏振态与圆 偏振态是不可同时测量的.值得说明的是,在同一 种偏振态下的2个不同的方向是可完全区分的,例 如在线偏振态中的水平方向和垂直方向是可完全区 分的,因而可同时准确测量. (2)Heisenberg测不准原理:光子的一对共轭偏 振态是互补的,正是这一本质特征为BB84协议提供 了实现的基础.实际上,在量子力学中任何2组不 . ? 9? 囝讥技2o03年第3期专题述评S1UTARIZAoN 可同时测量的物理量都是共轭的,都满足互补性,在 进行测量时,对其中一组量的精确测量必然导致另 一 组量的完全不确定,即遵循量子力学的基本原理: Heisenberg测不准原理. (3)EPR(EinsteinPodolskyRosen)纠缠效应:一个 球对称原子系统中,同时向2个相反的方向发射2 个相干光子,初始时这2个光子都是未被极化的,测 量其极化态(偏振态)时,对2个光子中的任一个进 行测量可得到测量光子的极化态,同时另一个光子 的极化态也被同时确定,但2个光子的极化态的方 向相反. (4)单量子不可克隆定理:所谓”克隆”是指原来 的量子态不被改变,而在另一个系统中产生一个完 全相同的量子态.对于一个未知的单量子态不能被 完全拷贝.对2个非正交的量子态不能被完全拷 贝.要从编码在非正交量子态中获得信息,不扰动 这些态是不可能的. 2.量子密钥产生与分发的实现过程 量子密码学还不能像对称,公钥加密体制那样 能对数据直接进行加密处理,目前只能进行安全密 钥分发J.量子密钥产生与分发的实现过程大致可 分为5个过程: (1)量子传输:不同的协议有不同的量子传输方 式,但有一个共同点:它们都利用量子力学原理或量 子现象来实现.在实际的通信中,光子态序列中光 子的极化态将受到噪声和Eve(窃听者)的影响,但 按照Heisenberg测不准原理,Eve的干扰必将导致光 子极化态的改变,这必然会影响Bob的测量结果,由 此可对Eve的行为进行判定和检测; (2)数据筛选:在量子传输中由于噪声和Eve的 作用,将使光子态序列中光子的极化态发生改变. 另外,实际系统中,Bob的接收仪器不可能有百分之 百的正确的测量结果,所有那些在传送过程中没有 收到或测量失误,或由于各种因素的影响而不合要 求的测量结果,由Alice和Bob经过比较测量基矢后 全部放弃,并计算错误率.若错误率超过一定的阈 值,Alice和Bob放弃所有的数据并重新开始,如果是 一 个可以接受的结果,则Alice和Bob将筛选后的数 据保存下来,所获得数据称为筛选数据(SiftedData); (3)数据纠错:所得到的13比特筛选数据并不能 保证Alice和Bob各自保存的安全一致性,这可以由 各种因素造成,解决这一问题的办法是对原数据进 行纠错,如采用奇偶校验等.这样做的目的是为了 ? 1O? 减少Eve所获得的密钥信息; (4)保密加强:保密加强是为了进一步提高所得 密钥的安全性而采取的措施(非量子的方法),其具 体实现为:假设Mice发给Bob一个13比特串,Eve获 得的比特为t<13.为了使Eve所获得的信息无用, Alice和Bob采用秘密加强技术:公开选取一个压缩 函数G:0,1”一0,1,其中r是被压缩后密钥的长 度,这样使得Eve从w中获取的信息和她的关于函 数G的信息给出她对新密钥K=G(w)尽可能少的 信息.对任意的s<13一t,Alice和Bob可得到长度为 r=13一ts比特的密钥K=G(w),而Eve所获得的 信息随s按指数减少v=f(e一); (5)身份确认:以上是假定Alice和Bob都是合 法的,然而在实际通信中,存在Alice和Bob假冒的 情况,为此应在量子密钥的获取过程中加上身份确 认这一非量子过程,可采用以往的身份认证方案,亦 可从获得的量子密钥中获取认证密钥而实现.后一 种方案是从所获得的量子密钥(称为原密钥)中截取 一 部分作为认证密钥,然后Mice和Bob用认证密钥 进行身份认证. 3.安全性分析 由于采用的4个偏振态光子中线偏振和圆偏振 是不对易的,因此它们不可以同时准确测量.由于 Eve事先不知道这些光子态,Eve不可能正确地选取 每一个光子态的测量基,因此Eve测量时,由Heisen berg测不准原理知,会对Alice发送的光子态有扰 动,这给Mice和Bob的测量结果中留下痕迹,这样 使得Eve的目的不可能实现. 4.量子密码的研究现状【lJ 美国科学家威斯纳(Wiesner)首先将量子物理用 于密码学的研究之中,他提出可利用单量子态制造 不可伪造的”电子钞票”.但这个设想的实现需要长 时间保存单量子态,不太现实.贝内特(C.H.Ben nett)和布拉萨德(G.Brassard)在研究中发现,单量子 态虽然不好保存但可用于传输信息,于是提出了第 一 个量子密码BB84方案,之后又提出B92方案.到 目前为止,主要有三大类量子密码实现方案:一是基 于单光子量子信道中测不准原理的,二是基于量子 相关信道中Bell原理的,三是基于2个非正交量子 态性质的. 目前,在量子密码实验研究上进展最快的国家 为英国,瑞士和美国.英国首先在光纤中实现了基 也钆技2o03年第3期专题述评sI7IMARIZAn【)N 于BB84方案的相位编码量子密钥分发,光纤传输长 度为10km.后经多方改进,在30km长的光纤传输 中成功实现了量子密钥分发.与偏振编码相比,相 位编码的好处是对光的偏振态要求不那么苛刻.在 长距离的光纤传输中,光的偏振性会退化,造成误码 率的增加.然而,瑞士日内瓦大学1993年基于 BB84方案的偏振编码方案,在1.1km长的光纤中 传输1.3tin1波长的光子,误码率仅为0.54%,并于 1995年在日内瓦湖底铺设的23,krn长民用光通信光 缆中进行了实地表演,误码率为3.4%.1997年,他 们利用法拉第镜消除了光纤中的双折射等影响因 素,大大提高了系统的稳定性和使用的方便性,被称 为”即插即用”的量子密码方案.美国洛斯阿拉莫斯 国家实验室创造了目前光纤中量子密码通信距离的 新纪录.他们采用类似英国的实验装置,通过先进 的电子手段,以B92方案成功地在长达48km的地 下光缆中传送量子密钥,同时他们在自由空间里也 获得了成功.目前,瑞士创造了光纤中量子密码通 信距离为67km的新纪录. 五,分组密码的主要设计技术 1.Feistel网络结构及其解密算法 Feistel网络是基于Shannon1945年的设想提出 图1Feistel网络结构 的,而现在正在使用的几乎所有重要的分组密码都 使用这种结构,图1给出了它的结构.Feistel的解密 与其加密过程实质是相同的.即解密以密文作为算 法的输入但以相反的次序使用子密钥.为了证实使 用同一算法(相反的子密钥次序)就能输出正确的结 果,仔细观察图2(为简化图形每一轮尾的对换没有 显示出来.请注意加密的第i步结尾所得是LEiIl RE;解密的第i步结尾所得的是LDilIRD;).图中 显示出第i次加密循环的输出为LE;IlRE,则对应 的第16一i次解密循环的输入就是RE;llLEi.可以 逐步观察图2来验证上述论断的正确性.事实上, 对于加密算法的第i次迭代: rLE=REII 【腿=一10F(REi-lKi) fEElI:REI 一 【EEl一.:RE10F(REIK)=REI,0F(LEI,K) 这样就把第i次迭代的输入表示成了输出的函数, 这些方程证实了图2右边部分的安排.最后,我们 看到解密过程的最后一轮的输出是REoll.它 经过一个32bit的对换就恢复了原来的明文,这验 证了Feistel解密过程的正确性.注意以上推导并不 要求F是一个可逆函数.为证实这一点对F取一个 极端情况,即无论2个参数取什么值,它都产生常数 输出(即全1),这时可以看到方程仍然成立. 图2Feistel加密和解密 国讥技2003年第3期专题述评SI丌,ARIZArIoN 2.轮函数F,S一盒与密钥编排算法的设计 函数F是Feistel密码的核心,它主要依赖于S 一 盒子的使用.对于大部分其它的分组密码也是这 样.而S一盒的设计是分组密码设计过程中一个最 受关注的研究问题,因为在分组密码算法中S一盒 通常是仅有的一个非线性步骤,它们给出了分组密 码的安全性.因此如何设计一个非线性度高的s一 盒是分组密码的设计关键.另外,它们的设计还应 遵循雪崩准则与比特独立准则以便使它具有很好的 混乱效果.同时s一盒各列的线性组合应该是曲折 的.一般认为应按如下方式设计S一盒】:(1)随机 选择:使用某种伪随机数产生S一盒的各项.若S一 盒是随机的且与密钥相关则S一盒将更强.如IDEA 与Blowfish的S一盒.(2)带测试的随机产生:随机 选择S一盒的各项,然后根据需要的特性来测试它, 丢弃那些没有通过测试的项.如MARS的S一盒. (3)人工构造:如DES.(4)数学方法构造:根据数学 原理来产生S一盒,S一盒可以被设计得具有可以证 明的抗差分攻击和线性攻击的能力,同时具有良好 的扩散特性.如CAST的S一盒.在任何一个Feiste1 分组密码中,密钥都被用来产生每个循环使用的子 密钥.我们希望选择子密钥时要使得推测各个子密 钥和由此推出主密钥的难度尽可能的大.对于这方 面的研究目前还没有公开发表的一般原理.但是至 少密钥编排应保证密钥/密文的雪崩准则. 六,分组,序列,公钥和量子密码的 重点研究方向 目前,分组,序列,公钥和量子密码的重点研 究方向分别为: (1)分组密码的重点研究方向:新型分组密码的 研究;分组密码的实现研究,包括软件优化,硬件实 现和专用芯片等;用于设计分组密码的各种组件的 研究;分组密码安全性综合评估原理与准则的研究; AES和NESSIE分组密码的分析及其应用研究; (2)序列密码的重点研究方向:自同步流密码的 研究;有记忆前馈网络密码系统的研究;多输出密码 函数的研究