第三章分组密码和数据加密标准

1、第三章分组密码和数据加密标准2022-4-14BESTI-IS23.2 数据加密标准(DES) 1973(NBS)在认识到建立数据保护标准既明显又急迫需要在认识到建立数据保护标准既明显又急迫需要的情况下，开始征集联邦数据加密标准的方案。的情况下，开始征集联邦数据加密标准的方案。 1975年年3月月17日，日，NBSIBM 经过两年多的公开讨论之后，经过两年多的公开讨论之后，1977年年1月月15日，日，NBS宣布宣布接受这个建议，作为联邦信息处理标准接受这个建议，作为联邦信息处理标准46号，数据加密标号，数据加密标准准(Data Encryption Standard)，即，即DES正式颁布，

2、供商业正式颁布，供商业界和非国防性政府部门使用。界和非国防性政府部门使用。背景知识：背景知识：2022-4-14BESTI-IS3DES算法在算法在POS、ATM、磁卡及智能卡（、磁卡及智能卡（IC卡）、加油站、卡）、加油站、高速公路收费站等领域被广泛应用，以此来实现关键数据的高速公路收费站等领域被广泛应用，以此来实现关键数据的保密，如信用卡持卡人的保密，如信用卡持卡人的PIN的加密传输，的加密传输，IC卡与卡与POS间的间的双向认证、金融交易数据包的双向认证、金融交易数据包的MAC校验等，均用到校验等，均用到DES算算法法。2022-4-14BESTI-IS4 主要遭受的攻击为穷举攻击和差分

3、分析主要遭受的攻击为穷举攻击和差分分析 1997年年DESCHALL小组经过近小组经过近4个月的努力，个月的努力，通过通过Internet搜索了搜索了31016个密钥，找出了个密钥，找出了DES的密钥，恢复出了明文。的密钥，恢复出了明文。 对对DES有效的分析方法有效的分析方法-差分分析方法，差分分析方法，1999年由和提出。该文给出选择性明文攻击，是年由和提出。该文给出选择性明文攻击，是一个很有效的方法。对于攻击一个很有效的方法。对于攻击8轮轮DES，在，在486那样的计算机上，只需那样的计算机上，只需2分钟可攻破。分钟可攻破。2022-4-14BESTI-IS5 1998年年5月美国月美国

4、EFF(electronics frontier foundation)宣布，宣布，他们以一台价值他们以一台价值25万美元的计算万美元的计算机改装成的专用机改装成的专用解密机，用解密机，用56小小时破译了时破译了56 比特比特密钥的密钥的DES。The EFFs US$250,000 DES cracking machine contained 1,856 custom chips and could brute force a DES key in a matter of days the photo shows a DES Cracker circuit board fitted with

5、 several Deep Crack chips.2022-4-14BESTI-IS6 规定每隔规定每隔5年由美国国家保密局（年由美国国家保密局（national security agency, NSA）作出评估，并重新）作出评估，并重新批准它是否继续作为联邦加密标准。美国批准它是否继续作为联邦加密标准。美国已决定已决定1998年年12月以后将不再使用月以后将不再使用DES。 美国国家标准和技术协会已征集并进行了美国国家标准和技术协会已征集并进行了几轮评估、筛选，产生了称之为几轮评估、筛选，产生了称之为 AES(advanced encryption standard) 的新加的新加密标准

6、。密标准。 尽管如此，尽管如此，DES对于推动密码理论的发展对于推动密码理论的发展和应用毕竟起了重大作用，对于掌握分组和应用毕竟起了重大作用，对于掌握分组密码的基本理论、设计思想和实际应用仍密码的基本理论、设计思想和实际应用仍然有着重要的参考价值，下面首先来描述然有着重要的参考价值，下面首先来描述这一算法。这一算法。2022-4-14BESTI-IS7一、DES加密算法描述DES加密算法框图加密算法框图2022-4-14BESTI-IS8DES分组密码指标 明文分组长度:64位 密钥长度:56位 迭代次数(圈):16轮加密算法图加密算法图2022-4-14BESTI-IS10 置换：初始置换（

7、IP）,逆初始置换（IP-1 ）【P52页】 16次迭代 子密钥的生成过程 加密函数 f（DES的核心）DES密码体制主要部件2022-4-14BESTI-IS111 1、置换、置换初始置换初始置换IPIP),(),(742505864321xxxxxxxx2022-4-14BESTI-IS12初始置换（IP-1 ） ),(),(324884064321xxxxxxxx2022-4-14BESTI-IS2 2、迭代（、迭代（DESDES圈变换）圈变换），（1621 ，iRLKRfLRiiiiii111),(2022-4-14BESTI-IS14一个加密函数一个48位的子密钥: ),(1iiKR

8、f:iK1、子密钥是如何生成的？、子密钥是如何生成的？2、加密函数如何？、加密函数如何？2022-4-14BESTI-IS153、子密钥的生成过程 （P55页）K(56bit)PC-1(置换)LS1LS1LS16LS16PC-2PC-2K1(48bit)K16(48bit)(选取：有舍弃)其中，其它, 216, 9 , 2 , 1, 1 iLSi2022-4-14BESTI-IS16解密子密钥的生成过程K(56bit)PC-1(置换)RS1RS1RS16RS16PC-2PC-2K1(48bit)K16(48bit)(选取：有舍弃)其中， 其其他他, 216, 9 , 2, 11, 0iiRSi

9、2022-4-14BESTI-IS17PC-1置换5749413325179158504234261810259514335271911360524436635547393123157625446383022146615345372921135282012404475563036414957),(),(DkkkkCkkkk2022-4-14BESTI-IS18LSi循环左移变换 循环左移一个或两个位置循环左移一个或两个位置其中其中i为为1 1，2 2，9 9，1616时移一个位置，其余移时移一个位置，其余移两个位置。两个位置。2022-4-14BESTI-IS19PC-2选择置换1417112

10、415328156211023191242681672720132415231374755304051453348444939563453464250362932iiiiiKDCDkkkkCkkkk ),(),(323152412111714缺少:（9,18,22,25,35,38,43,54）2022-4-14BESTI-IS204、加密函数 f f（DES的核心）加密函数2022-4-14BESTI-IS21扩充/置换表E置换表PS盒2022-4-14BESTI-IS22位选择函数(扩展置换E) 32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13

11、14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1扩展置换E将32位的输入扩展为48位。),()(),(1322132132211rrrrrRErrrRii2022-4-14BESTI-IS23iiKRE)(1)(1iRE与子密钥iK异或运算（48位）。876543211)(BBBBBBBBKREii其中)81 ( jBj的长度为6位。)81 (654321jbbbbbbBj2022-4-14BESTI-IS24S盒jBjS经后缩减为4位。012345678910 11 12 13

12、 14 1501236543211bbbbbbB 1S盒)(61bb)(5432bbbb行行列列例：例：1001011B)11()0010(3行行2列列8)(11BS2022-4-14BESTI-IS25置换函数（P）16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 919 13 30 6 22 11 4 25),(),(253271632321yyyyyyyy2022-4-14BESTI-IS26二、DES解密 解密过程与加密过程相同，只是密钥的顺解密过程与加密过程相同，只是密钥的顺序相反。序相反。 16166421

13、LRyyyy160160,LRRL 第第1 1步：步： 1516151615151616161600115161),(),(),(), (,LKRfKRfLKLfRKRfLRRLL2022-4-14BESTI-IS27 第第2 2步：步： 14151415141415141515112141512),(),(),(), (,LKRfKRfLKRfRKRfLRRLRL 第第1616步：步： 0101001011151516011516),(),(),(), (,LKRfKRfLKRfRKRfLRRLRL2022-4-14BESTI-IS28001616RLLR经逆初始置换后，得到明文。 通过上述

14、证明，可以得到解密过程的正确性。 yyDESDESxxDESDESkkkk)()(112022-4-14BESTI-IS29三、三、DESDES安全性分析安全性分析雪崩效应雪崩效应明文或者密钥的微小变化将对密文产生很明文或者密钥的微小变化将对密文产生很大的影响，这是任何加密算法都需要的一个好性大的影响，这是任何加密算法都需要的一个好性质。如果相应的变化很小，可能会给分析者提供质。如果相应的变化很小，可能会给分析者提供搜索密钥或者明文空间的渠道。搜索密钥或者明文空间的渠道。2022-4-14BESTI-IS30 主要的批评是密钥太短，迭代次数可能太少，主要的批评是密钥太短，迭代次数可能太少，S S盒可能存盒可能存在不安全隐患。在不安全隐患。 穷举攻击：穷举攻击：现在人们利用网络计算可以