现代通信技术讲座第三讲通信保密技术

第三讲通信保密技术张文政孟庆志电子部30所四川R成都610041大小为64位、密钥为128位、迭代轮数为八轮的迭代型密码体制,它的加密过程的计算框图见图1,64位的明文块分成4个16位的子块X1、X2、X3、X4,即明文XX1,X2,X3,X4,4个明文子块经过八轮及输出轮的加密后变为4个16位的密文子块Y1、Y2、Y3、Y4,即密文YY1,Y2,Y3,Y4,明文变为密文是在52个16位的子密钥控制下进行的,而52个子密钥是从引言任何通信系统均存在信息安全及数据保护问题。密码技术是实现通信系统安全保密的核心技术。本文拟简介密码编码技术及密码分析技术。密码编码技术密码编码技术的根本任务就是让通信双方在不安全的信道上进行安全的通信,将要发送的消息称为明文,对明文进行伪装以隐蔽它的真实内容的过程称为加密,加密后的消息称为密文,把密文恢复出明文的过程称为解密。加解密过程是在一个称为密钥的参数控制下用加解密算法来完成的,根据加密解密过程所用的密钥是否相同或可简单推出来把密码算法分为对称密码体制所用密钥相同或可简单推出和公钥密码体制所用密钥不同,不可简单推出。11对称密码体制对称密码中最早可推至采用替换和移位方法的古典密码体制。随着技术的发展,人们在密码体制中能使用的技术手段也在不断增强,设计的密码算法需要用计算机软件和专用硬件实现。在实际中根据加密消息的方式把对称密码体制又分为分组密码体制和序列密码体制,分组密码加密消息时一次加密一个块该块可大可小,一般为64或128比特,而序列密码加密消息时一次仅加密一位1比特。111分组密码分组密码体制很多,它的典型代表是DES和IDEA。DES由IBM开发,1977年被采纳作为数据加密标准DES,在这二十年中DES得到了广泛的应用,它把待加密的消息分成64位大小的块,使用的密钥为56位,它是一个把轮函数迭代16轮的密码体制,56位的密钥通过简单的密钥编制算法扩展成算法中所使用的768位的扩展密钥,轮函数中主要使用了一个S盒替换盒。随着近年计算机的速度以数量级的提高,DES的密钥位数太小,已成它的一个致命弱点。IDEA密码体制自1992年公开,它是一个分组1图1IDEA加密算法128位的密钥中产生的128位的密钥分为8个16位的子密钥,作为最前面的8个密钥子块,然后128位的密收稿日期1998202224修改稿孟庆志高级工程师。主要研究领域保密通信及计算机辅助设计技术。张文政硕士工程师。主要从事信息安全、计算机安全研究已发表相应论文十多篇。现代通信技术讲座计算机应用1998年36钥循环左移25位后又得到随后的8个密钥子块,继续循环左移,直到产生所有的52个子密钥K11,K12,K16,K21,K26,K81,K86,K91,K92,K93,K94。到64位之间变化,明文P与密钥流K异或产生密文C。在解密方利用相同的基本密钥可得到相同的密钥流K,C与K异或可恢复明文P。12公钥密码体制公钥密码体制是一个非对称的密码体制,加解密双方所使用的密钥是不同的,其中一个密钥公开称为公开密钥,另一个保密称为秘密密钥。公钥密码体制主要使用了单向函数,所谓单向函数就是从秘密密钥推出公开密钥容易,而从公开密钥推出秘密密钥困难。公钥密码体制也提出了许多,有些提出不久就攻破了,如背包密码体制,目前较为安全的公钥密码体制有RSA,它是基于大素因子分解的困难性,即已知N,要分解N的因子是困难的,另一类是基于求离散对数的困难性,即ABXMODN,已知A求X是困难的,如数字签名标准DSA。常用的RSA密码体制描述如下随机寻找两个大素数P和Q,求积NPQ,计算5NP1Q1,随机寻找E,使E和5N互素,利用扩展的欧几里德算法计算D,使ED1MOD5N,公开N和E,保密D。图1中,表示两个16位子块的逐位异或,表示模216的加法,16位的子块通常按一个整数的二进制看待,加法可看成是通常的整数相加,去掉最高进位。表示模2161整数乘法,这里除了16位的全零子块处理为216外,其余16位的子块均按通常处理成一个整数的二进制表示,如0,0,0,01,0,0,01,0,0,0,0,1,这是因为216215模21612151。解密过程的算法本质上与加密过程的算法一样,而它们唯一的改变是解密子密钥与加密子密钥的关系可按特定方式计算出来。由于IDEA在众多分组密码算法中的分析较透彻,安全性有保障,我们以之作为一种典型介绍。112序列密码序列密码的基本要求是产生好的随机序列,而真正随机序列的产生又是一件麻烦的事情,在实际中人们常用伪随机序列来代替它,通常要求伪随机序列具有长的周期和好的随机性,而线性反馈移位寄存器LFSR正好满足这个特性在本原反馈多项式的条件下具有长的周期和好的随机性,因此LF2SR是组建序列加密的基本部件。在实际中经常利用N个LFSR的非线性组合来产生密钥流,它的模式为图2在图2中N个LFSR产生的密钥流K1,K2,KN经非线性组合函数F运算后变为加密密钥流K,F可为无记忆也可为有记忆的组合函数,甚至可为一个分组加密CPEMODN,解密PCDMODN。例如我们选择P101和Q113,那么N11413,5N11200,选择E3533,可验证E与5N互素,计算出D6597。那么公钥为N11413,E3533,秘密密钥为D6597。假设P9726,密文C97263533MOD114135761,在解密方P57616597MOD114139726。在实际使用中要求N为1024位二进制表示,甚至更高。公钥密码体制主要用来完成签名,而美国提出的DSA用了求离散对数的困难性,它公开后遭到了广泛的批评,主要原因是它的安全性,512位的模较小。13新密码算法及密码体制研究由于RSA及对称密码体制在实现密钥管理、存储及数字签名、身份认证、加密速度、应用环境诸方面各有长短,人们开始研究如何构造保密强度高、计算开销低、方案实现快、生命周期及使用周期较长的算法及体制。故有志之士把数学、计算机科学、电子工程、物理化学等学科有机结合,从理论和实际保密角度开展工作,简述如下131公钥密码体制与对称密码体制相结合其思想是利用现成的公钥算法实现密钥分配、数字签名功能,利用对称密码体制加密传送的数据。如在网络中各站点通过公钥体制取得二级通信密钥,可简化密钥管理而数据传送时使用对称体制加密以加快传输速度就是一种结合方法,如图4所示其中KS公证点产生的随机数KEYR,KEYS二级通信密钥DATA传送的数据。图2LFSR的非线性组合密码算法。如利用IDEA算法构造的序列密码算法的模式为图3图3一种序列密码的实现在图3中,基本密钥可扩展为N个LFSR的初态及IDEA算法所需要的密钥,所产生的密钥流的反馈值为64位,一次输出的密钥流K可根据情况在1RRR第6期张文政等通信保密技术37数学分析方法中的后两种,最后简介物理分析方法。21相关攻击相关攻击主要用于序列密码中,即假设LESR序列与输出的密钥流之间有相关性,就可以利用密钥流和相关概率来恢复LFSR的初态。基本思想为把输出序列看成原序列的一种扰乱,把输出序列的每一位代入LFSR的反馈多项式组成的方程组中,如果这些方程成立的个数越多,那么用该比特替代LFSR序列的相应比特是正确的概率就越大。根据从输出序列中截取序列的每一位所满足的方程数目,来计算截取序列每一比特的新概率,当这些新概率小于某一给定值时,就对该位取补0变为1,1变为0,接着以新序列代替原序列,并将各比特位的概率重新置为原相关概率,重复上述过程直到再现原LFSE序列为止。如已知LFSR与输出序列的相关概率为0625,LFSR的反馈多项式为1X3X20,截取序列的长度为1300序列略,很容易得出LFSR的初态为01000100101000111011。22差分攻击差分攻击是一种对迭代分组密码体制的选择性的明文攻击,它的基本原理就是选择一对具有特定差值的明文,在经过一个分组密码体制作用后,输出一对具有特定差值的密文,从而求出密钥。但从特定差值的明文对中得到特定差值的密文对往往具有较小的概率P,因此要选择许多明文对才能保证具有特定差值的密文对的出现。差分攻击的基本步骤为图4公证点保密通信132寻求新算法既避开以常见的迭代为基础的构造思路,又脱离基于某些数学问题复杂性的构造方法。如刘尊全先生提出的刘氏算法,采用了随机性原理构造加解密变换,并将其全部运算控制隐匿于密钥中,密钥长度可变,是一种基于密钥的公钥体制。它采用选取一定长度的分割来构造攻击者大的搜索空间,实现一次非线性变换的。加密强度高、速度快、计算开销低。133寻求新方案一种基于物理保护的方法正在被采用。微电子保密技术悄然兴起,由VLSI公司生产,MYKOTRONX公司设计编程,代号为CLIPPER的ASIC保密芯片就是一例。它的全部算法不公开,该芯片采用了多种片内防窃措施,其中微电子涂层防护技术水平很高,据悉,它具有极强的抗IC逆向工程性能。防保密设备辐射泄漏是增强电子保密设备实际保密性,防超距攻击的一种重要手段。密码算法性能设计得再高,明信息在保密设备内加解密前后都会产生泄漏发射,辐射的明信息可能被敌方侦收。反窃对策是减少泄漏能量使其在一定安全范围外难以侦收。从设备本身讲一般采用包容法和抑源法抑制泄漏。当然防病毒注入及强电磁波干扰也不可忽视。如图5所示第一寻找一对好的明文差值PDV,好的密文差值CDV,使从PDV推出CDV具有高的概率P。第二随机选择明文P,计算另一个P3,使P和P3的差值为PDV,加密P和P3得到C和C3,寻找能得到期望差值CDV的密文对,在此过场中利用一些额外信息可排除许多错误对,对剩下的明文对、密文对分析可能出现的密钥并将其位置的数加1。第三重复第二步,直到密钥的某一值的计数明显地多于其它值的计数,那么把这一值作为密钥的真正密钥。例如3轮DES的差分攻击,这里我们使用的概率P1。在本例中差指异或运算,明文对有指定的差XXXX0000X为任意十六进制数,三对明文及对应的密文为图5网络系统脆弱性简图明文对密文对密码分析技术密码分析技术是密码学的一个重要组成部分,正是有了它才促进了密码技术的不断提高,密码分析本身有自己的一套方法,但它更多的是针对不同的密码体制在不同的条件下采用了不同的分析方法。下面重点讨论常见的穷举攻击、统计分析等四种2748502CD3845109703C70306D8A09F10387475643845109778560A0960E6D4CB486911026ACDFF3145FA285BE5ADC370375BD31F6ACDFF31134F7915AC253457357418DA013FEC8612549847013FEC86D8A31B2F28BBC5CF0F317AC2B23CB944计算机应用1998年38从第一对我们可以计算出S盒的输入第三轮,它们是E000000000111111000001110100000000110100000001100二进制表示E3101111110000001010101100000001010100000001010010可计算出S盒的输出差为C10010110010111010101101101100111从第二对我们可以计算出S盒的输入,它们是E101000001011111111110100000101010000001011110110E3100010100110101001011110101111110010100010101010S盒的输出差为C10011100100111000001111101010110第三对我们可以计算出S盒的输入,它们是E111011110001010100000110100011110110100101011111E3000001011110100110100010101111110101011000000100S盒的输出差为C110101010111010111101101100101011下面我们在八个计数器中用表列出每个密的可能值,我们将用第一对来解释计数器的生成过程,在这一对中我们有E“E和E3的差,E“分成八组E1“、E2“、E8“,每组6比特,分别作为S1、S2、S8的输入差,C分成八组C1“、C2“、C8“,每组4比特,分别作为S1、S2、S8的输出差,如E1“101111,C1“1001,可从S1的差分表中得出作用于得出作用于SI可能的子密钥集,并在SI的计数器中相应值加1。对第二、三对进行类似处理。把长度为6的串用整数0至63之间的二进制表示,那么与之对应的计数0,1,63。计数器如下可以得出作用于S1的计数器中仅47的计数为3,故子密钥为101111。对于另外七个S盒,我们不列出它们的计数器,仅写出由它们给出的子密钥分别为000101,010011,000000,011000,000111,000111,110001。通过查看第三轮的密钥编排,我们可构造出DES的48位密钥,对剩下8位采用穷举攻击,得到的完整的密钥包括校验位,16进制表示为1A624C89520DEC4623物理分析方法有矛就有盾,既然有基于物理保护方法构造保密方案,自然就需开展基于物理方法的破译分析工作。现仅以ASIC芯片分析为例作一简要说明。设分析者获取了具有涂层保护的保密芯片,目标是获取片内的保密算法、数据、控制软件及密钥,主要工作流程如图6。应该说涂层水平高的话,它的分析工作量是以年计的。S1可能的子密钥有000000,000111,101000,101111,从而在S1的计数器中0、7、40和47的值加1。同样由EI“,CI“I2,8,可从SI的差分表中图6芯片逆向工程流程图上接第34页5ANDREWBRUCEANDGAOHONG2YEWAVESHRINKSHRINKAGEFUNCTIONANDTHRESHOLDSSPIE,VOL2569270281KMIFTEKHARUDDIN,TATUTHILLWAVELETPACKETBASEDNONLINEARSPECKLEREDUCTIONINOPTICALSYN2THETICAPERTURERADARIMAGEANALYSISSPIEVOL2762295300SMALLATANDSZHONG,CHARAC