DES算法及其工作模式分析

1、DESB法及其工作模式分析褚慧丽中南财经政法大学信息管理与信息系统专业2009级摘要现代密码学的发展经过了一个漫长而复杂的过程，在这过程中出现了一系列经典而高效的加密体制。DES作为分组密码的典型代表，对密码学的发展做出了重要的贡献。本文主要介绍了DES的概况，并对它的算法进行描述，找出它的设计思想和特点，分析它的安全性。在此基础上，进一步介绍了DES的工作模式。关键词分组密码信息安全DES演化密码对称密码1 .概况1.1 DES简介DES算法是由旧M公司在20世纪70年代发展起来的，于1976年11月被美国政府采用，随后被美国国家标准局和美国国家标准协会承认，同时也成为全球范围内事实上的工业

2、标准。DES算法作为分组密码的代表，已成为金融界及其他各种行业广泛应用的对称密钥密码系统。它以feistel网络结构理论为基础，采用迭代分组形式，在提高算法的运行速度，改善了密码的实用性的同时，也大大的提高了密码的安全性，对于我们研究密码学以及展望密码学的发展方向有重要意义。1.2 算法描述DES使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。在每轮编码中，一个48位的密钥值由56位的“种子”密钥得出来。DES算法把64位的明文输入快变成64位的密文输出块，整个算法的变换过程如图1.1所示。图1.1DES算法框图图中描述的是DES的加密过程。而解密和加密过程大致相同，

3、不同之处仅在于右边的16个子密钥的使用顺序不同，加密的子密钥的顺序为Ki,K2,-,Ki6,而解密的子密钥的使用顺序则为Ki6,Ki5,，Ki。IP即初始换位的功能是把输入的64位明文数据块按位重新组合，并把输出分为Lo,Ro两部分，每部分各长32位。其置换规则如表i.i所示。表i.iDES算法初始换位规则表585242342618io26o524436282o124625446383o221466456484o322416857494133251791595143352719113615345372921135635547393123157即将输入的64位数据的第58位换到第i位，第50位换

4、到第2位,，依此类推。设置换前的输入值为DiD2，D64,则经过初始换位后的结果为：Lo=D58D5O，Dg,Ro=D57D49，D7o经过初始换位后，将Ro与密钥发生器产生的密钥Ki进行计算，其结果记为f(Ro,Ki)再与Lo进行异或运算得到Lo®f(Ro,Ki),把Ro记为L1放在左边，把L0f(Ro,KJ记为Ri放在右边，从而完成了第一次迭代运算。连续迭代16次，第16次迭代结果左右不交换，即Li5f(Ri5,K16)记为Ri6放在左边，Ri5记为Li6放在右边。16次迭代后，得到Li6,Ri6。将此作为输入进行逆初始换位IP-1,就可以得到密文输出。逆初始换位正好是初始换位的

5、逆运算。其置换规则如表1.2所示。表1.2DES算法逆初始换位规则表4o848165624643239747155523633138646145422623o37545135321612936444125220602835343115119592734242105018582633141949175725其置换规则和表1.1所述相似。DES算法的16次迭代具有相同的结构，每一次迭代的运算过程如图1.2所示。图1.2DES算法的一次迭代过程图在每一次迭代过程中，其核心部分是f函数，即图1.2中的扩展置换、异或运算、S-盒替换和P-盒置换。扩展置换是将32位数据扩展为48位，使其长度与密钥一样。其

6、置换规则如表1.3所示。表1.3扩展置换规则表3212345456789891011121312131415161716171819202120212223242524252627282928293031321P-盒置换规则如表1.4所示。表1.4P-盒置换规则表1672021291228171152326518311028241432273919133062211425S-盒是DES算法的核心，它的功能是将6位数据变为4位数据，它是一个选择函数，共有8个S函数，其功能表如表1.5所示。表1.5S-盒查询功能表S11441312151183106125907015741421311061211

7、953841148136211151297310501512824917511314100613S21518146113497213120510313471528141201106911501471110413158126932151381013154211671205149S31009146315511312711428137093461028514121115113649815301112125101471101306987415143115212S47131430691012851112415138115615034721211014910690121171315131452843150

8、610113894511127214S52124171011685315130149141121247131501510398642111101378159125630141181271142136150910453S61211015926801334147511101542712956113140113891415528123704101131164321295151011141760813S74112141508133129751061130117491101435122158614111312371410156805926111381410795015142312S81328461511

9、110931450127115138103741256110149271141912142061013153582114741081315129035611以Si为例，设Si盒6位输入为D=DiD2D3D4D5D6,将D1D6组成的一个2位二进制数转化为十进制数，对应表中行号，将D2D3D4D5组成的一个4位二进制数也转化为十进制数，对应列号，然后在Si表中差得行和列交叉点处的对应的数，以4位二进制表示，即为Si的输出。图1.3给出了子密钥Ki（48位）的生成算法。图1.3子密钥产生过程图初始密钥值位64位，但去掉8,16,64位的奇偶校验位，实际可用位数只有56位。经过置换选择1（如表1.6

10、所示）后，密钥的位数由64位变成56位，分为Co,D0两部分，然后进行第一次循环左移（图中LS）,得到01,D1，合并得到56位，再经置换选择2（如表1.7所示），得到密钥K。依此类推，可得到K2,K3,K16.每次循环左移的的位数分别是：1,122,22221,2222221表1.6置换选择1Co5749413325179158504234261810259514335271911360524436Do6355473931231576254463830221466153453729211352820124表1.7置换选择214171124153281562110231912426816727

11、20132415231374755304051453348444939563453464250362932以上就完成了DES的整个加密解密流程。2 .DES的安全性20多年来，尽管计算机硬件及破解密码技术的发展日新月异，若撇开DES的密钥太短,易于被使用穷尽密钥搜索法找到密钥的攻击法不谈，目前所知攻击法，如查分攻击法或线性攻击法，对于DES的安全也仅仅做到了“质疑”的地步，并未从根本上破解DES。当然，对DES的批评也有很多，主要集中在以下几点：(1) DES的密钥长度(56位)可能太少。(2) DES的迭代次数可能太少。(3) S-盒中可能有不安全因素。(4) DES的一些关键部分不应当保密

12、。比较一致的看法是DES的密钥太短，仅256个，不能抵抗穷尽密钥搜索攻击。事实上也确实如此，先后有人在较短的时间内就破解了DES。正因为如此，美国政府已经征集评估和判定出了新的数据加密标准AES以取代DES。尽管如此，DES还是对现代分组密码理论的发展和应用起了奠基性作用。3 .DES的工作模式实际应用中，DES是根据其加密算法所定义的明文分组的大小(64bits),将数据割成若干64bits的加密区块，再以加密区块为单位，分别进行加密处理。根据数据加密时每个加密区块间的关联方式，可以分为4种加密模式，包括ECB,CBC,CFB及OFB。3.1 电码本模式(ECBECB模式是DES加密的基本工

13、作模式。在ECB模式下，每一个加密区块依次独立加密，产生独立的密文区块，每一加密区块的加密结果不受其他区块的影响。使用此种方式下，可以利用并行处理来加速加密解密运算，且在网络传输时任一区块有任何错误发生，也不会影响到其他区块传输的结果。这是该模式的优点。该模式的缺点是容易暴露明文的数据模式。3.2 密码分组链接模式(CBC在CBC模式下，第一个加密区块先与初始向量IV做异或运算，再进行加密。其他每个加密区块加密之前，必须与前一个加密区块的密文作一次异或运算，再进行加密。每一个区块的加密结果均会受到前面所有区块内容的影响，所以即使在明文中出现多次相同的明文，也会产生不同的密文。密文内容若遭剪贴、

14、替换，或在网络传输过程中发生错误，则其后续的密文将被破坏，无法顺利解密还原，这是这一模式的的优点，也是缺点。在CBC模式下，加密作业无法利用并行处理来加速加密运算，但其解密运算可以利用并行处理来加速。3.3 密文反馈方式(CFB在CFB模式下，可以将区块加密算法当作流密码加密器使用，流密码加密器可以按照实际上的需要，每次加密区块大小可以自订，每一个区块的明文与前一个区块加密后的密文做异或后成为密文。因此，每一个区块的加密结果受之前所有区块内容的影响，也会使得在明文中出现多次相同的明文均产生不同的密文。在此模式下，位了加密第一个区块，也必须选择一个初始向量，且此初始向量必须惟一，每次加密时必须不一样，也难以利用并行处理来加快加密作业。3.4 输出反馈模式（OFBOFB与CFB大致相同，都是每一个区块的明文与之前区块加密后的结果做异或后产生密文，不同的是之前区块加密后的结果为独立产生，每一个区块的加密结果不受之前所有密文区块的内容的影响，如果有区块在传输过程中遗失或发生错误，将不至于无法完全解密，在此模式下，为了加密第一个区块，必须设置一个初始向量，否则难以