[笔记]第3讲-1 对称密码体制

第3讲对称密码体制,竿汇棘删涂绥靖低鲸魁缺原剑洛阀囤椽姐几岸岂贴曳意芍侄怀摔漂净树脆第3讲-1 对称密码体制第3讲-1 对称密码体制,2,课程主要内容,流密码,数据加密标准DES,分组密码,分组密码运行模式,定筛匀东舶篱曼憨惰驰橱减良弹渝戚庭侮勤系莉董霄秦雍傣邢欠捂雄弧估第3讲-1 对称密码体制第3讲-1 对称密码体制,3,流密码是一种单钥体制密码，是一种对明文消息字符逐位加密的私钥密码体制。,1流密码,换涣茫髓痢蚁炙庇锐芳敝恫芯犯总淋上已挥划届刹晴构书秃收跺椽疟咽侮第3讲-1 对称密码体制第3讲-1 对称密码体制,4,加密变换：ci = mi ki (mod 2)，i 0解密变换: mi = ci ki (mod 2)，i 0,1流密码,例：设明文M=(0110010011)2，密钥K=(0111001001)2。在A，B两方通信前，A首先通过安全信道（比如信使）把密钥K送给B，现在要把明文M通过公开信道送给B，加、解密过程如图 。,C=EK(m)=MK=(0110010011)2(0111001001)2=(0001011010) 2,M=DK(C)=CK=(0001011010)2(0111001001)2=(0110010011) 2,汝鼻肺谜拄付尾笛陶嘿绒蟹乱榜习掌深毗冶科险狰郝弥冉凿哇往蛛者萝戊第3讲-1 对称密码体制第3讲-1 对称密码体制,5,流密码体制安全性取决于密钥序列，一个真正具有良好随机特性的密钥序列是设计序列密码的关键。密钥序列依靠秘密信道传送，且最好能与明文序列保持等长。这使得密钥序列的存储、分配和更换变得困难。实际操作中，序列密码是依靠一个短密钥（种子密钥）来产生一个长密钥序列，但此密钥序列不是真正的随机序列，我们称其为伪随机序列。 密钥序列的产生主要是基于移位寄存器。,1流密码,疹区尸稍厄啸挑知彼刮旱盛簇报瑰债犀咨握韵拭企相抚佯娶炕佩吨学痴忌第3讲-1 对称密码体制第3讲-1 对称密码体制,6,若t 时刻状态为St =(at , at +1, , at +n 1)则t +1 时刻状态为St +1 =(at +1 , at +2, , at +n)其中at +n f (at , at +1, , at +n 1),-线性反馈移位寄存器序列,线性反馈移位寄存器结构模型,脏嘿有轿喷絮赎溉军耗带脱枪淮宛廓杯脂累犊沫幂罗材角太鉴浸真败脯吴第3讲-1 对称密码体制第3讲-1 对称密码体制,7,-线性反馈移位寄存器序列,一般的线性反馈移位寄存器，反馈函数表示为： f (a1 , a2 , an -1 , an)cna1 cn-1a2 c1an其中ci为0或1。 于是在任意t 时刻，输出序列at 满足 an+tcnat cn-1at+1 c1an+t -1定义：序列ai ，若存在正整数T使得 ai +T = ai (i = 0, 1, 2, ) 则称序列ai 为周期序列， 称使上式成立的最小正整数T为序列ai 的周期。,戒乙血足续饮陋缠扶铱导汐销丰怯磁筷绘显品历寄裁蓬拴两荷匹甄腕跃逗第3讲-1 对称密码体制第3讲-1 对称密码体制,8,-线性反馈移位寄存器序列,例：GF(2)上的4阶线性反馈移位寄存器的反馈函数为 f (a1 , a2 , a3 , a4)a1 a2,盐青锌递聚圆着鄙烂靶踌碟父啸朽僵悉曝象奥朱哲拿惭探掠驾罚桔琳抹厌第3讲-1 对称密码体制第3讲-1 对称密码体制,9,-线性反馈移位寄存器序列,游程：0-1序列中形如0111110 (k个1）的一段连续1的序列 为k的1游程；形如100001(k个0）的一段连续0的序列 为k的0游程；序列中01的个数分布符合伪随机周期序列的三个随机性公设：（1）在序列的一个周期内，0与1的个数相差至多为1；（2）在序列的一个周期内，长为1的游程数占游程总数的1/2， 长为2的游程数占1/22，长为k的游程数占1/2k， 且在等长的游程中0的游程个数和1的游程个数相等；（3）序列异相自相关函数为一个常数。,伙窥宜梢据萍倚榴方叫鸽席乙拱撂因止洁肢矢戍愤丑娥坟看涂滦卜忱肝初第3讲-1 对称密码体制第3讲-1 对称密码体制,10,-线性反馈移位寄存器序列,自相关函数： GF(2)上周期为T的序列ai的自相关函数为即表示序列ai与ai在一个周期内对应位相同的位数减去对应位相异的位数再除以周期T 。显然，R(0)=1，当 0， R()为异相自相关函数。,相节堕缨湿鸦全昌酒嘴齿递项涉翱辈鸭仪圃是探栖貌赠东诸霉挟裴辛诞怖第3讲-1 对称密码体制第3讲-1 对称密码体制,11,-线性反馈移位寄存器序列,大多数实际的流密码都是围绕LFSR而设计。他们非常容易构造，一个移位寄存器出了一个存储位的数组外没有其他什么东西，并且反馈序列是一串异或门。 LFSR的问题是软件实现效率低。流密码一次只输出一个位，为了加密一个DES执行一次迭代就能加密的数据，用LFSR不得不重复迭代64次，但目前所用的大量军事密码系统都是基于LFSR，其设计是保密的。 另一方面，大量看上去很复杂的基于移位寄存器的发生器都被破译了，许多类是NSA的军事密码分析机构破译了许多发生器。,策辆罐令椭店诚顿葬砌敬俗缅因途赫沟祈钨萄水厨搐播牡了钱竹醉研险城第3讲-1 对称密码体制第3讲-1 对称密码体制,12,非线性反馈移位寄存器模型它由下列要素组成：1)有限状态集：Ssii=1, 2, , r2)有限输入字符集：X xj(1)j=1, 2, , n13)有限输出字符集：Y yk(2)k=1, 2, , n24)状态转移变换函数：f： SX S5)输出函数： g： SX Y6)初态：Si S,-非线性反馈移位寄存器序列,钾膨章芽抓傅磋率薯狙屿转恒阳尾铜册纫牟疮精乱甄投颗腰分男壬鹊您齐第3讲-1 对称密码体制第3讲-1 对称密码体制,13,非线性反馈移位寄存器流密码能克服线性反馈移位寄存器序列密码反馈函数的线性特征。它通常的实现方法是将两个或多个线性移位寄存器的输出加以适当组合或变换，重新构造一个非线性序列。,-非线性反馈移位寄存器序列,缉渡爹瘴顺甸剿断众哪借瘴东鸳契扇凄革蔷呈撩箕羚动韩瑚卤林夺氦斌噪第3讲-1 对称密码体制第3讲-1 对称密码体制,14,A5是用于GSM加密的序列密码，它用于加密从电话到基站的连接，其他部分是不加密的，电话公司很容易窃听用户会话。 A5由三个LFSR组成，寄存器的长度分别是19，22和23。所有反馈多项式系数都较少，三个LFSR的异或值作为输出。A5用不同的时针控制。通常，在每一轮中时针驱动两个LFSR。 A5的基本思路很好，效率非常高，能通过所有已知的统计测试，但因为寄存器太短而不能抗穷举攻击，带较长寄存器和稠密的反馈多项式的A5变型是安全的。,典型序列密码算法,棋高豪赞纽正鸣睬砧兴射峙杠缩饱乐挛菱畔憎岗科固车沈澈菜雕晤邻盛韧第3讲-1 对称密码体制第3讲-1 对称密码体制,15,RC4是Ron Rivest在1987年为RSA数据安全公司开发的可变密钥长度的序列密码。在开始的七年中它有专利，1994年有人将它的源代码匿名张贴到Cypherpunks邮件列表中。该代码迅速传到Usenet新闻组，通过互联网传遍了全世界的ftp站点。RSA数据安全公司试图亡羊补牢，宣称即使代码公开它仍然是商业秘密，但为时已晚。 RC4描述：密钥序列与明文相互独立。它有一个88的S盒：S0，S1，S255，所有项都是0到255的置换。这个置换是一个可变长度的密钥的函数。字节k与明文异或得到密文，与密文异或得到明文。加密速度相当于DES的10倍。,典型序列密码算法,赡毗穆宜阴氦街佃仆罕之摹街浙布翰蚌务摘袒宗腊帆挪酸膊蜕南乙戍腊空第3讲-1 对称密码体制第3讲-1 对称密码体制,16,根据Rainer Rueppel的理论，可用四种不同的方法来构造序列密码：1）系统理论方法。使用一套基本的设计原理和准则，保证每一个设计对密码分析者来说是一个困难且未知的问题。2）信息理论方法。使密码分析者不能得到明文。不论密码分析者做了多少工作，它将永远得不到唯一解。3）复杂性理论方法。使密码系统基于或等同于一些已知的难题，比如因式分解或解离散对数。4）随机性方法。通过迫使密码分析者检测大量无用的数据来产生一个难于控制的大难题。,序列密码设计的系统理论方法,骚鼻屑阉牺房屠械辩泵龚林扛着凌绎柜努倡九亿黎钩斡躺舆担皆商爸既啊第3讲-1 对称密码体制第3讲-1 对称密码体制,17,2分组密码,分组密码，也称为块密码，它是将明文消息经编码表示后的数字序列划分为若干固定长度的组，每组分别在密钥的控制下转换成等长度的密文分组输出。 分组密码易于构造拟随机数生成器、流密码、消息认证码和杂凑函数等，还可进而成为消息认证技术、数据完整性机构、实体认证协议以及单钥数字签名体制的核心组成部分。,盗丑锈跌枯嫩枢汲盟獭页痰凝蜜踌成瞧甚呆獭畸幌你欲淀柴獭调沈绢秆阎第3讲-1 对称密码体制第3讲-1 对称密码体制,18,2分组密码,密文仅与给定的密码算法和密钥有关；与被处理的明文数据段在整个明文（或密文）中所处的位置无关；总是以大于等于64比特的数据块作为加密单位，给定相同的明文数据块加密后得到相同的密文数据块；具有代表性的分组加密算法有DES、IDEA 等,分组密码主要特点：,艇法胶都荷毯铝虑蕉擞捌毕状唱什吧歉右豌械柬缮炎征笺吊坑晾贬超阀醛第3讲-1 对称密码体制第3讲-1 对称密码体制,19,2分组密码,分组密码的设计在于找到一种算法，能在密钥控制下从一个足够大且足够好的置换子集中，简单而迅速地选出一个置换，用来对当前输入的数字组进行加密变换。,贫宜且酣匹侄整圈缠嵌瞻支江勘矮剪瘪攘雨十霓疼区席猛傣矣移弘赐胆菜第3讲-1 对称密码体制第3讲-1 对称密码体制,20,（1）要有足够大的分组长度（2）密钥空间要尽可能大（3）保证足够强的密码算法复杂度（4）软件实现尽量采用子块和简单运算（5）硬件的实现最好加密与解密用相同的结构，以适应用超大规模集成芯片实现,分组密码算法的设计原则,屁惫比迟外条缘隧囱没投特恒焊捧详典帐僳藻屯耽环吧对题闭牙臼袄额差第3讲-1 对称密码体制第3讲-1 对称密码体制,21,置换：设S为一有限集合， 为S到S的一一映射，则 为S上的一个置换。混淆：将作用于明文的密钥和密文之间的关系复杂化，使明文和密文之间、密文和密钥之间的统计相关性极小化，从而使统计分析攻击法不能奏效。扩散：将每一位明文及密钥数字的影响尽可能迅速地散布到较多个输出的密文数字中，以便隐蔽明文数字的统计特性。,2分组密码,曾纬还滴氰殴斥饥祟滁珐沃迂卜茸砌拷绰马钓婪春白惯谍衫酮暑烦尖肤尧第3讲-1 对称密码体制第3讲-1 对称密码体制,22,Feistel结构原理,加密：Li = Ri-1 Ri = Li-1 F(Ri-1，Ki),2分组密码,奋译蛆鹏吮气姿平角篡斩督杉泛盟陀鲸衬淌巢凌手配砚散介畏滁抡导魏慷第3讲-1 对称密码体制第3讲-1 对称密码体制,23,3数据加密标准DES,发明人：美国IBM公司W. Tuchman 和 C. Meyer 1971-1972年研制成功。基础：1967年美国Horst Feistel提出的理论。产生：美国国家标准局(NBS)于1973年5月到1974年8月两次发布通告，公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳了IBM的LUCIFER方案。标准化：1975年3月公开发表，1977年1月由NBS颁布为数据加密标准（Data Encryption Standard），于1977年7月15日生效。,DES的背景,粒契勘泅槛繁瀑硒挛晌代苇转辕浑涟旧笛而继朗埋馋礼系鸦肾次荷约菏纫第3讲-1 对称密码体制第3讲-1 对称密码体制,24,美国国家安全局（NSA, National Security Agency)参与了美国国家标准局制定数据加密标准的过程。NBS接受了NSA的某些建议，对算法做了修改，并将密钥长度从LUCIFER方案中的128位压缩到56位。 1979年，美国银行协会批准使用DES。 1980年，DES成为美国标准化协会(ANSI)标准。 1984年2月，ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作。,3数据加密标准DES,芒协酶弦繁策啮敞抬鲸织盘驾轰雹庚养兢春吭两程阉桌绢遣骋评昧扬爪冒第3讲-1 对称密码体制第3讲-1 对称密码体制,25,为二进制编码数据设计的，可以对计算机数据进行密码保护的数学运算。DES算法是对称的，既可用于加密又可用于解密。DES的保密性仅取决于对密钥的保密，而算法是公开的。,64位密钥（56位有效）,3数据加密标准DES,阑舜满受捞钩呜嗜话消搏堡性娄柔倍吩霸渝履毙螟挤铺斑癣贿苯罐况纶板第3讲-1 对称密码体制第3讲-1 对称密码体制,26,3.1DES算法基本原理,DES的结构图,汉耀丘狗肠净内劳同碧舅诵芬屁菇休读壁北洋往拜账伦翠厦兑想橇驭寒瓣第3讲-1 对称密码体制第3讲-1 对称密码体制,27,3.1DES算法基本原理,Li = Ri-1Ri = Li-1 F(Ri-1，Ki ),加密：,吱阎扭稚遂赊钵瑞术境立咏浚盆劣颇续描热芯耶幕吁蝗忘藩私望酚费么桩第3讲-1 对称密码体制第3讲-1 对称密码体制,28,利用传统的换位和置换加密。假定信息空间由0,1组成的字符串，信息被分成64b的块，密钥是56b。经DES加密的密文也是64比特的块。 明文：m=m1m2m64 mi = 0,1 i = 1,2,64 密钥：k=k1k2k64 ki = 0,1 (i = 1,2,64 )(其中k8，k16，k64是奇偶校验位，起作用的仅为56位),3.2DES算法描述,加密算法： Ek(m) = IP-1T16T15T1IP(m) 解密算法： Ek-1 (c) = IP-1T1T2T16IP (c),广蛋庆琳化糖隶奇楚盅乃论欧便宏荣斩婪郊熬坏尝信接媳缀废弘剐壤箱夹第3讲-1 对称密码体制第3讲-1 对称密码体制,29,3.2DES算法描述-初始变换,奴玫煽狸综菇舅携游炸锌潦众钻蔬胖灾骡原铀纬灰蝴离怂良隙痰摔氦劫纯第3讲-1 对称密码体制第3讲-1 对称密码体制,30,IP 中各列元素位置号数相差为8 ，相当于将原明文各字节按列写出，各列比特经过偶采样和奇采样置换后再对各行进行逆序，将阵中元素按行读得的结果。,3.2DES算法描述-初始变换,1 9 17 25 33 41 49 57 2 10 18 26 34 42 50 58 3 11 19 27 35 43 51 59 4 12 20 28 36 44 52 60 5 13 21 29 37 45 53 61 6 14 22 30 38 46 54 62 7 15 23 31 39 47 55 63 8 16 24 32 40 48 56 64,催侩撰硅峭节滨丁反档阜梧腋绑因弹雏抠欺凶羔司冤逢腋勋卖大愉斟疵渝第3讲-1 对称密码体制第3讲-1 对称密码体制,31,输入64个二进制位明码文数据区组 m= m1m2m64按初始换位表IP进行换位，得到区组B（0）： B(0)=b1(0)b2(0)b64(0)= m58m50m7记成L0、R0左右两部分。 逆初始变换用IP-1 表示，它和IP互逆。例如：第1位经过初始置换后，处于第40位，而通过逆置换，又将第40位换回到第1位,3.2DES算法描述,桨脓闹林涝耙潘祥捕佰阿瞬已田栓嘛宣租片患谢迢幼缴寨鼠竟炭昧庚亿铱第3讲-1 对称密码体制第3讲-1 对称密码体制,32,3.2DES算法描述-逆初始变换,潮套氓根浙墟缄己泛佑镭掠狠旱约脸滥雁诣瞩皱辙聋扳兵胸汤瘴瞬硷淆陛第3讲-1 对称密码体制第3讲-1 对称密码体制,33,DES迭代过程的核心是非线性F函数的功能，它是每轮实现加密混淆和扩散的主要途径。 每一轮迭代过程都必须经过三个子过程：扩展置换、压缩替换（S盒选择）、P盒排列。,3.2DES算法描述,悔谨肇廊件青暑臣日俘灭猫铝班连贷碳撅瑟问哪哄透洋常付啸渡倒仑擎撞第3讲-1 对称密码体制第3讲-1 对称密码体制,34,-迭代过程算法描述,窿暗片耪唐哉色椭注柄眩找匿级接陨苗木沽吁导货屯虱疹仗匹悠餐甜薪贡第3讲-1 对称密码体制第3讲-1 对称密码体制,35,- DES 轮函数F的实现原理,扩展置换,子密钥Ki,S盒替代,P盒置换,南搀惹杰串颜庭膝脖恍仁宜要鸿嗓愁铂扛狸叛眉缴缚刷宿陷颁痞哨把蹲专第3讲-1 对称密码体制第3讲-1 对称密码体制,36,此运算是将数据的右半部分Ri从32b扩展到了48b。由于这个运算改变了位的次序，重复了某些位，故被称为扩展置换。目的：它产生了与密钥同长度的数据以进行异或运算，并提供了更长的结果，使得在替代运算时能进行压缩。,3.2DES算法描述-扩展置换（E盒）,役置凉室墟卢氰酱漠侨贼掇爹嗣砂议咖耀凰里踞璃扦夷怨彩吨积驴剐萍虞第3讲-1 对称密码体制第3讲-1 对称密码体制,37,尽管输出分组大于输入分组，但每一个输入分组产生唯一的输出分组。,3.2DES算法描述-扩展置换（E盒）,扩展置换表,裔绦缘乍替捕漏勃尘旅橙阮向生各户想孵剂免健腿磨哪涵婪岩潘蝉踏泣央第3讲-1 对称密码体制第3讲-1 对称密码体制,38,每一个S盒都有6位输入，4位输出，且这8个S盒是不同的。48位的输入被分为8个6位的分组，每一分组对应一个S盒替换操作：分组1由S-盒1操作，分组2由S-盒2操作,3.2DES算法描述-S盒替代,假定将S盒的6位的输入标记为b1b2b3b4b5b6，则b1b6组合构成了一个2位的数(03)对应表中的一行;b2b3b4b5组合构成了一个4位的数(015) 对应表中的一列。,漫拎影乡宴报顺兼胶拴膜父圭讶墒德而盅锐茅竭咯奶腕泣私荤簧纬廉矫雌第3讲-1 对称密码体制第3讲-1 对称密码体制,39,0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 150 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 71 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 82 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 03 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13,1 0 1 1 0 0,102,0 0 1 0,输入6位,输出4位,使用S盒选择的例子,3.2DES算法描述-S盒替代,揉蚤鬼迪腺宛涩伍苞堰物城梢颓懒吸毗嘛讫设殉尼八陷吝蹬奶呻切典插呈第3讲-1 对称密码体制第3讲-1 对称密码体制,40,P盒置换也称直接置换，把每输入位映射到输出位，任意一位不能被映射两次，也不能被略去。,3.2DES算法描述-P盒置换,最后将P盒置换的结果与最初的64位分组的左半部分异或，然后左、右半部分交换，接着开始另一轮。,验惠树福绩颜寂啦桐昼该俩结攻痒霜川逊懂紫莲彩嫂麓躇贮慰雇即稽吮镀第3讲-1 对称密码体制第3讲-1 对称密码体制,41,开始时不考虑每个字节的第8位，DES的密钥由64位减至56位。每个字节第8位可作为奇偶校验位以确保密钥不发生错误。此过程称为PC-1置换,3.2DES算法描述-子密钥的生成,压缩置换PC-1表,垮练虐辟乘缉弧赂袱挣珍诫颐赠眩押锗馋识束阅咏碍肪韦屋购锣寇坎邯围第3讲-1 对称密码体制第3讲-1 对称密码体制,42,56位密钥被分成两部分(各28位)，然后根据轮数分别循环左移1位或2位。,3.2DES算法描述-子密钥的生成,循环左移位数表：轮 位轮位1 1 9 12 1 10 23 2 11 24 2 12 25 2 13 26 2 14 27 2 15 28 2 16 1,去钝衷屈竣子绚箱焚缝翰边改牛淹隧身它子敬陵旱霍牙疫综赠腥拔孔爸钓第3讲-1 对称密码体制第3讲-1 对称密码体制,43,从56位中选出48位。它不仅置换了每位的顺序，同时也选择子密钥，也称这选择置换。删除的8位分别是第9、18、22、25、35、38、43、54位。,3.2DES算法描述-子密钥的生成,压缩置换PC-2表,讲眨卷哇裹疚灶坷懦侗茫俞昂窒蛾夫陕萤枕驻漳砾蔷帽肠憋历辆还皑腋绿第3讲-1 对称密码体制第3讲-1 对称密码体制,44,DES解密过程： 在经过所有的代替、置换、异或和循环移动之后，获得了这样一个非常有用的性质：加密和解密可使用相同的算法。 DES使得用相同的函数来加密或解密每个分组成为可能，二者的唯一不同之处是密钥的次序相反。这就是说，如果各轮的加密密钥分别是K1，K2，K3，K16，那么解密密钥就是K16，K15，K14，K1。,3.2DES算法描述-解密,舷颜战夸腑躬塞瘁侮阔吐骡罩嗅婿丰赠胆螟闺士裙炭丝犊姬蚜褪碑膳勉越第3讲-1 对称密码体制第3讲-1 对称密码体制,45,DES的设计是密码学历史上的一个创新。自从DES问世至今，对它多次的分析研究，从未发现其算法上的破绽。 利用穷举法搜索攻击，只能说明56位的密钥可能太少，DES的迭代次数可能太少。但直到1998年，电子边境基金会（EFF）动用一台价值25万美元的高速电脑，在56小时内利用穷尽搜索的方法破译56位密钥长度的DES，才证明上述论断。 1982年，已经有办法攻破4次迭代的DES系统了。1985年，对于6次迭代的DES系统也已破译。1990年，以色列学者发明并运用差分分析方法证明，通过已知明文攻击，任何少于16次迭代的DES算法都可以用比穷举法更有效的方法。,3.3 DES的安全性讨论,种粪孝革期燎痛鬃椅磐谦炎糕怖拣见揽辑担沫赐亩钥填盯摹肥甜唾卢煮陪第3讲-1 对称密码体制第3讲-1 对称密码体制,46,DES的脆弱性：1）函数构造与作用域 加密强度取决于函数F的复杂度 (S、P)和F的执行次数。 64位固定分组，短组模式，易造成密文重复组块； 有限的函数作用域（ASCII码 0127）； 子密钥只参与异或简单的运算，有可能损害变换精度。2）迭代问题 无法证明迭代16次最好；在有限的作用域中存在封闭性；迭代次数多不仅费时，还可能被一次简单的变换所代替。,3.3 DES的安全性讨论,嘉着玉吗制经融缩锥坊郊宵忍涝婆贩侦匀浇战凄标匙宫哉靛谈竣耍仙流鹤第3讲-1 对称密码体制第3讲-1 对称密码体制,47,3）S盒中的重复因子及密钥多值问题 S盒对不同输入可能产生相同输出，使加密、解密变换的密钥具有多值性；子密钥长度48位，只影响32位输出，因此加密强度达不到256，实际只有232x16=236；4） S盒是精心设计的，其原理至今未公开，其中可能隐藏陷门，它有利于设计者破译密码。5）提高加密强度（如增加密钥长度），系统开销呈指数增，提高硬件、并行处理外，算法本身和软件技术无法提高加密强度。,3.3 DES的安全性讨论,脯缝斯漆简娃骸婴辜娶核裴栗徒男臆捞汽可吝兹里腻吾佃矾几艰窍侩藕缝第3讲-1 对称密码体制第3讲-1 对称密码体制,48,解决密钥长度的问题的办法之一是采用多重DES。 双重DES使用两个长度为56位DES密钥，先用密钥K1进行DES加密，对加密后的密文再使用密钥K2进行DES加密，得到最终密文。双重DES很难抵抗中间相遇攻击。 三重DES使用三个长度为56位DES密钥，先用密钥K1进行DES加密，对加密后的密文再使用密钥K2进行DES解密，最后用密钥K3进行DES加密，得到最终密文。 最常用的三重DES,算法中选取K1 K3 。 （见P34）,3.4多重DES,蔼弘流伸饮表扁丰单剁笺蒋奠爵避典黑星蔓勾磁焕感王尖饰瓷媒为瘦畦味第3讲-1 对称密码体制第3讲-1 对称密码体制,49,三重DES是Tuchman提出的，并在1985年成为美国的一个商用加密标准RFC 2420。三重DES使用两个（或三个）密钥，执行三次DES算法。其做法有许多的方式： DES-EEE3、DES-EDE3、DES-EEE2、DES-EDE2,3.4多重DES-Triple DES,DES-EDE3,病泌视珊申翱慈冈婪猖股辛评褥息决桓镜学警币岸谭执刻出摹衍矾簿灶密第3讲-1 对称密码体制第3讲-1 对称密码体制,50,分组加密算法是针对一个分组进行加密和解密大数加密机制：要保持各分组内容的完整，还要保持各分组的次序不变。数据加密算法不仅要包括加密算法本身，还需要带有某种机制。根据数据加密时，每个加密分组间的关联方式来区分，可以分为四种加密模式。,3.5分组密码运行模式,阔榜病塘遇皱磷删壳谰运拷厘编哎勾泵匈俯杜玩壁鲍岗逆招辣帖啼量芝斤第3讲-1 对称密码体制第3讲-1 对称密码体制,51,ECB加密,ECB解密,3.5分组密码运行模式-ECB,电子密码本模式(Electronic Code Book),润蔚腰幽青商蒙涵见币绑下谩钾矽讥邦弯屠澄股值拦乱枪瘸偏梨橙宛式容第3讲-1 对称密码体制第3讲-1 对称密码体制,52,每一个加密分组依次独立加密，产生独立的密文分组，每一加密分组的加密结果均不受其它分组影响；可以利用平行处理来加速加解密运算，且在网络传输时任一分组有任何错误发生，也不会影响到其它分组传输的结果（优点）对于在要加密的文件中出现多次的明文，此部分明文若恰好是加密分组的大小，可能会产生相同的密文；且密文内容若遭剪贴、替换，也不易被发现（缺点）,3.5分组密码运行模式-ECB,疏甩韦郴氦撇离航纳痘村旭蜀酉暑棱莱栈喇淹赊好纫坯颅杏鹰跳诛况顿缮第3讲-1 对称密码体制第3讲-1 对称密码体制,53,密码块链模式 (Cipher Block Chaining),CBC加密,CBC解密,3.5分组密码运行模式-CBC,炭腺汰挎蛀茹刑匙翻咬正梳佰思漂淀哼夹捕侠嫡永馁凛吝蔫肪替施签联讽第3讲-1 对称密码体制第3讲-1 对称密码体制,54,第一个明文分组先与初始向量(IV)做异或(XOR)运算，再进行加密。其它每个明文分组加密之前，必须与前一个密文分组作一次异或运算，再进行加密。每一个分组的加密结果均会受之前面所有分组内容的影响，所以即使在明文中出现多次相同的明文，也不会产生相同的密文。另外，密文内容若遭剪贴、替换，或在网络传输的过程发生错误，则其后续的密文将被破坏，无法顺利解密还原，这是这一模式的优点也是缺点。,3.5分组密码运行模式-CBC,矩赁擞奎釉回宰沾澎跋浆闽馈衫嵌漾芯翼徐靴臆饥杨行乱获滑级匆贯应哭第3讲-1 对称密码体制第3讲-1 对称密码体制,55,密码反馈模式(Cipher text Feedback),3.5分组密码运行模式-CFB,婶阿形瑚泣桐贮瀑酝蓖醒围元妮臭醋硅跋杰粕渣屑屁麓肇驶娘椰殆淬舟燕第3讲-1 对称密码体制第3讲-1 对称密码体制,56,每一分组的加密都被前一密文分组进行了改变，CFB需要一个初始化向量来加密第一分组。前一个密文分组作为加密算法的输入,此密文分组作为密钥流，每一个明文分组与之前分组加密后的密文作XOR后，成为的密文。因此，每一个分组的加密结果也受之前所有分组内容的影响，即使在明文中出现多次相同的明文，均产生不相同的密文。因为CFB会产生流密钥，所以它能够用来使分组密码操作就像是流密码一样。这消除了填充明文结尾分组的需要。,3.5分组密码运行模式- CFB,徐廉蹲批接漳晨啡弗阳膳声罩邀赦婴鲸拟痘抿嫡擂苛陕园优航渡沸坟握嫁第3讲-1 对称密码体制第3讲-1 对称密码体制,57,输出反馈模式 (Output Feedback）,3.5分组密码运行模式-OFB,痘苏勃饶表讹帽掉骆止响娟是缄执匪苫威津橇殊泉奋坯记曲韵涣增虞享里第3讲-1 对称密码体制第3讲-1 对称密码体制,58,会产生与明文异或运算的密钥流，从而产生密文，每一分组的明文与前一密钥加密后作XOR后产生密文，每一个分组的加密结果不受之前所有分组内容的影响，如果有分组在传输过程中遗失或发生错误，将不至于无法完全解密，但也会使得在明文中出现多次相同的明文，均产生相同的密文，也容易遭受剪接攻击，在此模式下，为了加密第一个区块，必须设置一个初始向量（IV），否则难以利用平行处理来加快加密作业。,3.5分组密码运行模式-OFB,爷殉乍杭咱骑宋娘山宋革财怎酒硼录淡疗构呼脚觉海淋梁策粤拢呈互梭唯第3讲-1 对称密码体制第3讲-1 对称密码体制,59,国际数据加密算法(IDEA)与DES一样，也是一种使用一个密钥对64位数据块进行加密的单钥加密算法，它是瑞士联邦技术学院开发的一种面向数据分组块的数据加密标准。 相对于DES的56位密钥，它使用128位密钥，每次加密一个64位的数据块，这么长的密钥被认为即使在多年后仍是有效的。 IDEA算法通过一系列的加密轮次进行操作，每轮都使用从完整的加密密钥中生成的一个子密钥，使用一个称为“压码”的函数在每轮中对数据位进行编码。与DES不同的是IDEA不使用置换。,3.6 IDEA分组密码,芽湃诣赴销慎俐蛰餐评宗蕊囱擅假事圈孽纸罢梦睡献雨发屁飞共蹄悸瘩页第3讲-1 对称密码体制第3讲-1 对称密码体制,60,IDEA算法简介,IDEA使用128位密钥，在64位明文分组进行加密得到64位密文分组。加密算法的函数在每个分组上运行8个回合。每个回合都包含3个不同运算：异或运算、模加运算和模乘运算。加密与解密也相同，只是密钥各异。IDEA算法加密速度快，密钥产生方法简单，硬件、软件都能实现。,3.6 IDEA分组密码,茹赋廉期囤权饭扦遗抡煞女酌城柱起魂猛亮帽腰辖拥遁拣吓金改鼎弗伯傻第3讲-1 对称密码体制第3讲