分组密码技术讲义.ppt

第二章分组密码技术,第二章分组密码技术1,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,密码学的历史,密码学从形成到发展经历了5个重要阶段手工阶段机械阶段电气阶段计算机阶段网络化阶段。,第二章分组密码技术2,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,保密系统模型,熵的概念,联合熵,条件熵,理论保密性,“一次一密”的密码系统就是这样的无条件安全的密码系统。,实际保密性,一个密码系统是计算上安全的是指，利用最好的算法（已知或者是未知的）来破解这个密码系统需要的计算量是O(N)的，N是一个很大的数。的计算量超过了攻击者所能控制的所有计算资源在合理的时间内能够完成的计算量。所以计算上安全也称为实际的保密性。,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,第二章分组密码技术3,什么是分组密码,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,第二章分组密码技术4,分组加密的评价标准,评价分组加密算法及其工作模式的一般标准是：预估的安全水平（如破译需要的密文数量等）密钥的有效位长分组大小加密映射的复杂性数据的扩张（DataExpansion）错误的扩散（Diffusion）/传播（Propagation）,分组加密的一般结构,Feistel网络结构,SP网络结构,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,第二章分组密码技术5,DES概述,分组加密算法：明文和密文为64位分组长度；对称算法：加密和解密除密钥编排不同外，使用同一算法；密钥长度：56位，但每个第8位为奇偶校验位，可忽略；密钥可为任意的56位数，但存在弱密钥，容易避开；采用混乱和扩散的组合，每个组合先替代后置换，共16轮；只使用了标准的算术和逻辑运算，易于实现；,DES加密算法描述,DES加密算法的一般描述,初始置换IP和初始逆置换IP1,DES的一轮叠代,Li=Ri-1;Ri=Li-1F(Ri-1,Ki),扩展置换-盒32位扩展到48位,扩展,压缩替代S-盒48位压缩到32位,压缩替代S-盒,S-盒1,S-盒4,S-盒3,S-盒2,S-盒5,S-盒6,S-盒7,S-盒8,S-盒的构造,S-盒的构造要求,S-盒是许多密码算法的唯一非线性部件,因此,它的密码强度决定了整个算法的安全强度；提供了密码算法所必须的混乱作用；如何全面准确地度量S-盒的密码强度和设计有效的S-盒是分组密码设计和分析中的难题；非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门；,S-盒的构造准则,S盒的每一行应该包括所有16种比特组合；没有一个S盒是它输入变量的线性函数；改变S盒的一个输入位至少要引起两位的输出改变；S盒的两个输入刚好在两个中间比特不同，则输出必须至少两个比特不同；S盒的两个输入在前两位不同，最后两位相同，两个输出必须不同；,P-盒的构造准则,每个S盒输出的四个比特被分布开，一边其中的两个影响下次循环的中间比特，另外两个影响两端比特；每个S盒输出的四个比特影响下个循环6个不同的S盒；P置换的目的是增强算法的扩散特性，提供雪崩效应（明文或密钥的一个比特的变动都引起密文许多比特的变化）,DES中的子密钥的生成,DES的强度分析,循环次数：循环次数越多，密码分析难度越大，循环次数的选择准则是密码分析工作量大于简单的穷举式密钥搜索工作量；函数F：依赖于S盒的使用，非线性程度越大，密码分析难度越大，还应具有良好雪崩性质；密钥调度算法：选择子密钥时要使得推测各个子密钥和由此推出主密钥的难度尽可能大；,IDEA(InternationalDataEncryptionAlgorithm),瑞士联邦理工学院XuejiaLai和JamesMassey提出；IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位，它的设计目标：（1）密码强度：扰乱通过三种操作实现（逐位异或，整数模相加或乘积）；（2）使用方便性：设计考虑到硬件和软件的实现；IDEA是一种相对较新的算法，虽有坚实理论基础，但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析)；IDEA是一种专利算法(在欧洲和美国)，专利由Ascom-TechAG拥有，PGP中已实现了IDEA；,IDEA框图,IDEA轮函数,AES,AES是DES的替代品，希望能有20-30年的使用寿命。在评选过程中，最后的5个候选算法：Mars,RC6,Rijndael,Serpent,和Twofish。2000年10月，Rijndael算法被选中；Rijndael算法的原型是Square算法，其设计策略是宽轨迹策略(WideTrailStrategy)，以针对差分分析和线性分析；Rijndael是迭代分组密码，其分组长度和密钥长度都是可变的，为了满足AES的要求，分组长度为128bit，密码长度为128/192/256bit，相应的轮数r为10/12/14；2001年11月，美国NIST发布标准FIPSPUB197；,AES框图,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,第二章分组密码技术6,对分组密码的攻击,穷举分析差分分析线性分析,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,第二章分组密码技术7,分组密码的工作模式,电子密码本ECB(ElectronicCodebookMode)明文每次处理64bit，每个明文分组用同一密钥加密；密码分组链接CBC(CipherBlockChaining)输入是当前明文和前边明文的异或，每个分组使用相同密码；密码反馈CFB(CipherFeedbackMode)分组密码流密码；输出反馈OFB(OutputFeedbackMode)分组密码流密码；,电子密码本ECB,ECB的特点,简单有效，可以并行实现；不能隐藏明文的模式信息，相同明文生成相同密文，同样信息多次出现造成泄漏；对明文的主动攻击是可能的信息块可被替换、重排、删除、重放；误差传递：密文块损坏仅对应明文块损坏；适合于传输短信息；,密码分组链接CBC,CBC的特点,没有已知的并行实现算法；能隐藏明文的模式信息，相同明文生成不同密文，初始化向量IV可以用来改变第一块；对明文的主动攻击是不容易的，信息块不容易被替换、重排、删除、重放；误差传递：密文块损坏两明文块损坏；安全性好于ECB，适合于传输长度大于64位的报文，还可以进行用户鉴别,是大多系统的标准如SSL、IPSec；,密码反馈CFB加密,Ci=Pi(EK(Si)的高j位);Si+1=(Sij)|Ci,密码反馈CFB解密,Pi=Ci(EK(Si)的高j位);Si+1=(Sij)|Ci,CFB的特点,分组密码流密码;没有已知的并行实现算法;隐藏了明文模式;需要共同的移位寄存器初始值IV;对于不同的消息，IV必须唯一;误差传递：一个单元损坏影响多个单元;,输出反馈OFB加密,Ci=Pi(EK(Si)的高j位)；Si+1=(Sij)|(EK(Si)的高j位),输出反馈OFB解密,Pi=Ci(EK(Si)的高j位);Si+1=(Sij)|(EK(Si)的高j位),OFB的特点,分组密码流密码；没有已知的并行实现算法；隐藏了明文模式；需要共同的移位寄存器初始值IV,对于不同的消息，IV必须唯一；误差传递：一个单元损坏只影响对应单元；对明文的主动攻击可能，信息块可被替换、重排、删除、重放；安全性较CFB差；,密码学的历史香农安全理论分组密码的基本概念分组密码设计原理典型的分组密码算法对分组密码的攻击分组密码的工作模式多重加密,第二章分组密码技术8,DES的密钥长度分析,关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击，因为密钥量只有个强力攻击：平均255次尝试差分密码分析法：平均247次尝试线性密码分析法：平均243次尝试早在1977年，Diffie和Hellman已建议制造一个每秒能测试100万个密钥的VLSI芯片。每秒测试100万个密钥的机器大约需要一天就可以搜索整个密钥空间。他们估计制造这样的机器大约需要2000万美元；,DES的密钥长度分析,1990年，以色列密码学家EliBiham和AdiShamir提出了差分密码分析法，可对DES进行选择明文攻击；在CRYPTO93上，Session和Wiener给出了基于并行运算的密钥搜索芯片，所以16次加密能同时完成。花费10万美元，平均用1.5天左右就可找到DES密钥；美国克罗拉多洲的程序员Verser从1997年2月18日起，用了96天时间，在Internet上数万名志愿者的协同工作下，成功地找到了DES的密钥，赢得了悬赏的1万美元；,DES的密钥长度分析,1998年7月电子前沿基金会（EFF）使用