第3章对称密码体制

1、第3章 对称密码体制主要内容v分组密码v数据加密标准DESv高级加密标准AESv序列密码v其他对称加密算法概述v对称密码体制就是在加密和解密是用到的密钥相同，或者加密密钥和解密密钥之间存在着确定的转换关系。v对称密码体制又有两种不同的实现方式，即分组密码和序列密码（或称流密码）。 流密码与分组密码v流密码每次加密数据流中的一位或一个字节。v分组密码，就是先把明文划分为许多分组，每个明文分组被当作一个整体来产生一个等长（通常）的密文分组。通常使用的是64位或128位分组大小。v分组密码的实质，是设计一种算法，能在密钥控制下，把n比特明文简单而又迅速地置换成唯一n比特密文，并且这种变换是可逆的（解

2、密）。分组密码v分组密码算法实际上就是在密钥的控制下，简单而迅速地找到一个置换，用来对明文分组进行加密变换，一般情况下对密码算法的要求是：分组长度m足够大（64128比特）密钥空间足够大（密钥长度64128比特）密码变换必须足够复杂（包括子密钥产生算法）分组密码的设计思想分组密码的设计思想v扩散(diffusion) 将明文及密钥的影响尽可能迅速地散布到较多个输出的密文中。产生扩散的最简单方法是通过“置换(Permutation)”（比如：重新排列字符）。v混淆(confusion)其目的在于使作用于明文的密钥和密文之间的关系复杂化，是明文和密文之间、密文和密钥之间的统计相关特性极小化，从而使

3、统计分析攻击不能奏效。通常的方法是“代换（Substitution)”（回忆恺撒密码）。DES(Data Encryption Standard) v美国国家标准局NBS于1973年5月发出通告，公开征求一种标准算法用于对计算机数据在传输和存储期间实现加密保护的密码算法。 v1975 年美国国家标准局接受了美国国际商业机器公司IBM 推荐的一种密码算法并向全国公布，征求对采用该算法作为美国信息加密标准的意见。v经过两年的激烈争论，美国国家标准局于1977年7月正式采用该算法作为美国数据加密标准。1980年12月美国国家标准协会正式采用这个算法作为美国的商用加密算法。 DES的实质vDES是一种

4、对称密码体制，它所使用的加密和解密密钥是相同的，是一种典型的按分组方式工作的密码。其基本思想是将二进制序列的明文分成每64bit一组，用长为64bit(56bit)的密钥对其进行16轮代换和置换加密，最后形成密文。 DES的基本加密流程v加密前，先将明文分成64bit的分组，然后将64bit二进制码输入到密码器中，密码器对输入的64位码首先进行初始置换，然后在64bit主密钥产生的16个子密钥控制下进行16 轮乘积变换，接着再进行末置换就得到64位已加密的密文。DES 算法的一般描述0.子密钥产生器子密钥产生器 密钥（64bit）除去第8，16， ，64位，共8个校验位置换选择1（PC-1）C

5、i（28bit）Di（28bit）循环左移ti+1位循环左移ti+1位置换选择2（PC-2）Ki（48bit）置换选择1移位次数表 第i次迭代1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16循环左移次数1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1若 C1= c1c2c28，D1= d1d2d28 则 C2= c2c3c28 c1， D2= d2d3d28 d1。 置换选择2v置换选择PC-2将C中第9 18 22 25位和 D 中第7 9 15 26位删去，并将其余数字置换位置后送出48bit数字作为第i次迭代时所用的子密钥ki Ci Di= b1

6、b2b56 ，则ki= b14 b17 b11 b24b36 b29 b32 1.初始置换v将64个明文比特的位置进行置换，得到一个乱序的64bit明文组，然后分成左右两段，每段为32bit 以L和R表示。2.乘积变换Li-1(32比特)Ri-1(32比特)选择扩展运算E48比特寄存器子密钥Ki(48比特)48比特寄存器选择压缩运算S32比特寄存器置换运算PLi(32比特)Ri(32比特)Li=Ri-1Ri=Li-1 F(Ri-1,Ki)选择扩展运算Ev对原第 32 1 4 5 8 9 12 13 16 17 20 21 24 25 28 29 各位重复一次得到数据扩展。1，2， 3232 1

7、 2 3 4 54 5 6 7 8 98 9 10 11 12 1312 13 14 15 16 1716 17 18 19 20 2120 21 22 23 24 2524 25 26 27 28 2928 29 30 31 32 11，2， 48选择扩展运算结果(48bit)E的输入(32bit)选择压缩运算Sv将前面送来的48bit 数据自左至右分成8组，每组6bit。然后并行送入8个S盒，每个S盒为一非线性代换网络，有4个输出。 S盒的内部结构S盒的内部计算v若输入为b1b2b3b4b5b6其中b1b6两位二进制数表达了0至3之间的数。b2b3b4b5为四位二进制数，表达0至15之间的

8、某个数。v在S1表中的b1b6行b2b3b4b5列找到一数m（0m15），若用二进制表示为m1m2m3m4，则m1m2m3m4便是它的4bit输出。 v例如，输入为001111，b1b6=01=1，b2b3b4b5 =0111=7，即在S1盒中的第1行第7列求得数1，所以它的4bit输出为0001。 关于S盒vS 盒是DES的核心，也是DES算法最敏感的部分，其设计原理至今仍讳莫如深，显得非常神秘。所有的替换都是固定的，但是又没有明显的理由说明为什么要这样，有许多密码学家担心美国国家安全局设计S盒时隐藏了某些陷门，使得只有他们才可以破译算法，但研究中并没有找到弱点。置换运算Pv对S1至S8盒输

9、出的32bit 数据进行坐标变换 v置换P输出的32bit数据与左边32bit即Ri-1诸位模2相加所得到的32bit作为下一轮迭代用的右边的数字段，并将Ri-1并行送到左边的寄存器作为下一轮迭代用的左边的数字段。 3.逆初始置换逆初始置换IP-1 v将16轮迭代后给出的64bit组进行置换得到输出的密文组 1，2， 6440 8 48 16 56 24 64 3239 7 47 15 55 23 63 3138 6 46 14 54 22 62 3037 5 45 13 53 21 61 2936 4 44 12 52 20 60 2835 3 43 11 51 19 59 2734 2 4

10、2 10 50 18 58 2633 1 41 9 49 17 57 251，2， 64密文(64bit)置换码组(64bit)DES的解密v解密算法与加密算法相同，只是子密钥的使用次序相反。DES的安全性vDES在20多年的应用实践中，没有发现严重的安全缺陷，在世界范围内得到了广泛的应用，为确保信息安全做出了不可磨灭的贡献。v存在的安全弱点：密钥较短：56位密钥空间约为7.2*1016。1997年6月Rocke Verser小组通过因特网利用数万台微机历时4个月破译了DES；1998年7月，EFF用一台25万美元的机器，历时56小时破译DES。存在弱密钥：有的密钥产生的16个子密钥中有重复者

11、。互补对称性：C=DES(M,K),则C=DES(M,K)，其中，M,C,K是M,C,K的非。DES具有良好的雪崩效应v雪崩效应：明文或密钥的微小改变将对密文产生很大的影响。特别地，明文或密钥的某一位发生变化，会导致密文的很多位发生变化。vDES显示了很强的雪崩效应两条仅有一位不同的明文，使用相同的密钥，仅经过3轮迭代，所得两段准密文就有21位不同。一条明文，使用两个仅一位不同的密钥加密，经过数轮变换之后，有半数的位都不相同。多重DESvDES在穷举攻击下相对比较脆弱，因此需要用某种算法来替代它，有两种解决方法：设计全新的算法；用DES进行多次加密，且使用多个密钥，即多重DES。这种方法能够保

12、护用于DES加密的已有软件和硬件继续使用。二重DES(Double DES)v给定明文P和两个加秘密钥k1和k2，采用DES对P进行加密E，有 密文 C=EK2(EK1(P) 对C进行解密D，有 明文 P=DK1(DK2(C)EEPXCK2K1加密图DDK2K1CXP解密图v二重DES很难抵挡住中间相遇攻击法中间相遇攻击法（Meet-in-the-Middle Attack) C=EK2(EK1(P)从图中可见 X=EK1(P)=DK2(C)EEPCXK1K2DDCPXK2K1加密解密 若给出一个已知的明密文对（P,C)做：对256个所有密钥K1做对明文P的加密，得到一张密钥对应于密文X的一张

13、表；类似地对256个所有可能的密钥K2做对密文C的解密，得到相应的“明文”X。做成一张X与K2的对应表。比较两个表就会得到真正使用的密钥对K1,K2。带有双密钥的三重DES（Triple DES with Two Keys)vTuchman给出双密钥的EDE模式（加密-解密-加密）： C=EK1(DK2(EK1(P) 对P加密 P=DK1(EK2(DK1(C) 对C解密 这种替代DES的加密较为流行并且已被采纳用于密钥管理标准（The Key Manager Standards ANSX9.17和ISO8732).EDEDEDCBAPPAB CK1K2K1K1K2K1加密图解密图v到目前为止，

14、还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索，那么由于空间太大为2112=51033，这实际上是不可行的。注意：注意：v1*. Merkle和Hellman设法创造一个条件，想把中间相遇攻击（meet-in-the-middle attack）的方法用于三重DES，但目前也不太成功。v2*. 虽然对上述带双密钥的三重DES到目前为止还没有好的实际攻击办法，但人们还是放心不下，又建议使用三密钥的三重DES，此时密钥总长为168bits. C=EK3(DK2(EK1(P)高级加密标准高级加密标准AES v1997年年1月，美国国家标准局月，美国国家标准局NIST向全世向全世

15、界密码学界发出征集界密码学界发出征集21世纪高级加密标世纪高级加密标准（准（AESAdvanced Encryption Standard）算法的公告，并成立了）算法的公告，并成立了AES标准工作研究室，标准工作研究室，1997年年4月月15日的例会日的例会制定了对制定了对AES的评估标准。的评估标准。AES的要求（1）AES是公开的；是公开的；（2）AES为单钥体制分组密码；为单钥体制分组密码；（3）AES的密钥长度可变，可按需要增大；的密钥长度可变，可按需要增大；（4）AES适于用软件和硬件实现；适于用软件和硬件实现；（5）AES可以自由地使用，或按符合美国国家标准可以自由地使用，或按符合

16、美国国家标准（ANST）策略的条件使用；）策略的条件使用；算法衡量条件v满足以上要求的满足以上要求的AES算法，需按下述条件判算法，需按下述条件判断优劣断优劣a. 安全性安全性b. 计算计算效率效率c. 内内存要求存要求d. 使用使用简便性简便性e. 灵活性。灵活性。AES的评审的评审v 1998年年4月月15日全面征集日全面征集AES算法的工作结束。算法的工作结束。1998年年8月月20日举行了首届日举行了首届AES讨论会，对涉及讨论会，对涉及14个国家的密码个国家的密码学家所提出的候选学家所提出的候选AES算法进行了评估和测试，初选并算法进行了评估和测试，初选并公布了公布了15个被选方案，

17、供大家公开讨论。个被选方案，供大家公开讨论。 CAST-256， RC-6， CRYPTON-128，DEAL-128， FROG， DFC， LOKI-97， MAGENTA， MARS， HPC, RIJNDAEL， SAFER+， SERPENT， E-2， TWOFISH。v这些算法设计思想新颖，技术水平先进，算法的强度都这些算法设计思想新颖，技术水平先进，算法的强度都超过超过3-DES，实现速度快于，实现速度快于3-DES。 AES的评审的评审v1999年年8月月9日日NIST宣布第二轮筛选出的宣布第二轮筛选出的5个个候选算法为：候选算法为： MARS(C.Burwick等等,IBM

18、）， RC6TM（R. Rivest等等,RSA Lab.)， RIJNDEAL(J. Daemen,比比)， SERPENT(R. Anderson等，等，英、以、挪威英、以、挪威)， TWOFISH(B. Schiener)。v2000年年10月月2日，日，NIST宣布宣布Rijndael作为新作为新的的AESAES加密数学基础 v群:是一个代数系统，它由一个非空集合组成，在集合上定义了一个二元运算，其满足：封闭性：对任意的 ， ；结合律：对任何的 ，有 ；单位元：存在一个元素 (称为单位元)，对任意元素有： ；逆元：对任意 ，存在一个元素 (称为逆元)，使得 。v记作： , a bGa

19、bG , ,a b cG()()a b ca bcab c 1G1 1aaa aG1aG111a aaa,G交换群与有限群v若群还满足交换律，即对任何 ，有： ，则称为交换群(或加法群，阿贝尔群等)。v若集合G中只含有有限多个元素，则我们称 为有限群，此时，把集合G中元素的个数称为有限群的阶。, a bGa bb a ,G群的性质v群中的单位元是惟一的；v消去律成立，即对任意的 ：如果 ，则 如果 ，则 v群中的每一元素的逆元是惟一的。 , ,a b cGabacbcbacabc域 v域是一个代数系统，它由一个(至少包含两个元素的)非空集合F组成，在集合F上定义有两个二元运算：加法与乘法，并满

20、足下面条件： F的元素关于加法成交换群，记其单位元为“0”(称为域的零元) F关于乘法成交换群，记其单位元为“1”(称其为域的单位元) 乘法在加法上满足分配律，即 v记为 ()abcabac()abcacbc, ,F 有限域 v若集合F只包含有限个元素，则称这个域F为有限域。有限域中元素的个数称为该有限域的阶。v若有一任意的素数P和正整数 ，存在 阶有限域，这个有限域记为 。当 n=1时，有限域 称为素域。 nZnP()nGF P( )GF PGF(28)域上的多项式表示及运算 v一个字节的 元素的二进制展开成的多项式系数为：v例如， 上的“37”(为十六进制)，其二进制为“00110111”

21、，对应多项式为：8(2 )GF76 54 3 2 1 0b b b b b b bb8(2 )GF54211xxxxGF(28)4域上的多项式表示及运算 v一个四个字节的字(有32比特位)可以看作是域 上的多项式，每个字对应于一个次数小于4的多项式。 v两个 域上的元素相加时，将这两个元素对应多项式系数相加即得到结果，相加时采用比特异或来实现。v两个 域上的元素相乘时，要将结果对一个特定的多项式取模，以使相乘后的结果还是一个4字节的向量。 84(2 )GF84(2 )GF84(2 )GFAES加密算法的具体实现vAES每轮要经过四次变换，分别是 字节代换运算(SubByte () ShiftR

22、ows()(行移位)变换 MixColumns()（列混合）变换 AddRoundKey() (轮密钥的混合)变换 我们用的128bit的密钥（循环次数为10），那么每次加密的分组长为128bit，16个字节，每次从明文中按顺序取出16个字节假设为a0a1a2a3a4a5a6a7a8a9a10a11a12a13a14a15，这16个字节在 进行变换前先放到一个44的矩阵中。如下页图所示：a0a4a8a12a1a5a9a13a2a6a10a14a3a7a11a15 以后所有的变换都是基于这个矩阵进行的，以后所有的变换都是基于这个矩阵进行的，到此，准备工作已经完成。现在按照前面的顺序到此，准备工作

23、已经完成。现在按照前面的顺序进行加密变换，首先开始第一次循环的第一个变进行加密变换，首先开始第一次循环的第一个变换：字节代换换：字节代换(SubByte ()。字节代换(SubByte () a0a4a8a12a1a5a9a13a2a6a10a14a3a7a11a15s00s01s02s03s10s11s12s13s20s21s22s23s30s31s32s33out0out4out8out12out1out5out9out13out2out6out10out14out3out7out11out15字节代换-S盒变换(查表)ShiftRows()(行移位)变换s00s01s02s03s10s1

24、1s12s13s20s21s22s23s30s31s32s33s00s01s02s03s11s12s13s10s22s23s20s21s33s30s31s32MixColumns()（列混合）变换 S0c(02 S0c) (03 S1c) S2c S3c，但这个结果可能会超出一个字节的存储范围，所以实际上还要对结果进行处理。3.4 序列密码 (流密码)v“一次一密”密码在理论上是不可攻破的。流密码则由“一次一密”密码启发而来。v流密码目前的理论已经比较成熟，工程实现也比较容易，加密效率高，在许多重要领域得到应用。v“一次一密”密码使用的密钥是和明文一样长的随机序列，密钥越长越安全，但长密钥的存

25、储、分配都很困难。流密码的密钥流v流密码的关键就是产生密钥流的算法，该算法必须能够产生可变长的、随机的、不可预测的密钥流。v保持通信双方的精确同步是流密码实际应用中的关键技术。由于通信双方必须能够产生相同的密钥流，所以这种密钥流不可能是真随机序列，只能是伪随机流。明文流密文流密钥流流密码的结构v典型的流密码每次加密一位或一个字节明文。v将初始密钥(种子)输入到发生器，输出一个随机数(密钥)。伪随机字节发生器(密钥流发生器)明文字节流M密文字节流C密钥Kk异或加密伪随机字节发生器(密钥流发生器)密钥Kk异或解密明文字节流M11001100 明文01101100 密钥流10100000 密文设计流密码需要考虑的因素v密钥流的周期要长。伪随机数发生器产生的并非完全随机的序列，它是一个产生确定的比特流的函数，该比特流最终将产生重复。重复的周期越长，相当于密钥越长，密码分析也就越困难。