《密码编码学与网络安全(第五版) 向金海 03-分组密码与d》由会员分享,可在线阅读,更多相关《密码编码学与网络安全(第五版) 向金海 03-分组密码与d(62页珍藏版)》请在金锄头文库上搜索。
1、Chapter 3 分组密码与数据加密标准,2019/1/21,2,Playfair、hill、 Vigenre的密钥空间? 单表和多表的区别?,2019/1/21,3,本节课程内容,分组密码一般原理、设计准则、设计方法 DES加解密算法 DES的强度,2019/1/21,4,3.1 分组密码原理,流密码 每次加密数据流的一位或一个字节 分组密码 将一个明文组作为整体加密且通常得到的是与之等长的密文组,2019/1/21,5,流密码模型,加密算法,密文,明文,密钥K,b 位,b 位,2019/1/21,6,分组密码的一般设计原理: 分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分
2、成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列 理想分组密码体制 2n!个映射 大规模,2019/1/21,7,Feistel网络(1),Feistel网络的设计动机 密钥长为k位,分组长为n位,采用2k个变换,一个分组密码是一种映射: 记为E(X,K) 或 称为明文空间, 称为密文空间, 为密钥空间。,Feistel网络(2),2019/1/21,9,Shannon 目的:挫败基于统计方法的密码分析 混淆(confusion):使得密文的统计特性与密钥的取值之间的关系尽量复杂。 扩散(diffusion):明文的统计特征消散在密文中,使
3、得明文和密文之间的统计关系尽量复杂。,刻画密码系统的两个基本构件,Feistel网络(3),2019/1/21,10,分组长度 密钥长度 数 子密钥生成算法 函数F 快速软件加解密 易于分析,Feistel网络(4),2019/1/21,11,3.2 数据加密标准DES,DES的历史 DES的基本结构 DES核心构件的细节描述 DES密钥的生成 DES的安全性分析,2019/1/21,12,数据加密标准 (DES) 第一个并且是最重要的现代分组密码算法,2019/1/21,13,历史,发明人:美国IBM公司 W. Tuchman 和 C. Meyer 1971-1972年研制成功 基础:196
4、7年美国Horst Feistel提出的理论 产生:美国国家标准局(NBS)1973年5月到1974年8月两次发布通告, 公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳 了IBM的LUCIFER方案 标准化:DES算法1975年3月公开发表,1977年1月15日由美国国家标 准局颁布为数据加密标准(Data Encryption Standard),于 1977年7月15日生效,2019/1/21,14,DES是一种用56位密钥来加密64位数据的方法。,概述,2019/1/21,15,DES算法框图,DES的核心部件: 两次置换(初始置换和初始逆置换) 密钥控制下的十六迭代加密 密
5、钥生成,2019/1/21,16,2019/1/21,17,初始置换和初始逆置换,2019/1/21,18,初始置换和初始逆置换,DES中的初始置换和初始逆置换,2019/1/21,19,初始置换与初始逆置换是互逆的 严格而言不具有加密的意义,Note,2019/1/21,20,DES的十六迭代加密,十六迭代加密,Round i,第 i 加 密,2019/1/21,21,DES第i迭代加密,2019/1/21,22,F函数,2019/1/21,23,扩展E置换(E-盒),2019/1/21,24,S盒(1),2019/1/21,25,S-盒是DES加密算法的唯一非线性部件,S盒(2),2019
6、/1/21,26,S-盒,S盒(3),2019/1/21,27,输入,输出,S-盒的查表操作,S盒(4),2019/1/21,28,DES中其它算法都是线性的,而S-盒运算则是非线性的 提供了密码算法所必须的混乱作用 S-盒不易于分析,它提供了更好的安全性 S-盒的设计未公开,Note,S盒(5),2019/1/21,29,P置换,2019/1/21,30,直接P置换(P-盒),P置换,2019/1/21,31,F函数,2019/1/21,32,DES第i迭代加密,2019/1/21,33,2019/1/21,34,子密钥产生器,2019/1/21,35,2019/1/21,36,置换选择1,
7、循环左移的次数,(舍弃了奇偶校验位,即第8,16,64位),2019/1/21,37,压缩置换2,舍弃了第9,18,22,25,35,38,43,54比特位,2019/1/21,38,加密过程: L0R0 IP () LiRi-1 i=1,.,16 (1) RiLi-1f(Ri-1, ki) i=1,.,16 (2) IP-1(R16L16) (1)(2)运算进行16次后就得到密文组。 解密过程: R16L16 IP() Ri-1Li i=1,.,16 (3) Li-1Rif(Li-1, ki) i=1,.,16 (4) IP-1 (R0L0) (3)(4)运算进行16次后就得到明文组。,DE
8、S加解密的数学表达,2019/1/21,39,安全性 DES的安全性完全依赖于所用的密钥。 从DES诞生起,对它的安全性就有激烈的争论,一直延续到现在 弱密钥和半弱密钥 DES算法在每次迭代时都有一个子密钥供加密用。如果给定初始密钥k,各的子密钥都相同,即有k1=k2= =k16,就称给定密钥k为弱密钥(Weak key),3.3 DES的强度,2019/1/21,40,若k为弱密钥,则有 DESk(DESk(x)=x DESk-1(DESk-1(x)=x 即以k对x加密两次或解密两次都可恢复出明文。其加密运算和解密运算没有区别。 而对一般密钥只满足 DESk-1(DESk(x)=DESk(D
9、ESk-1 (x)=x 弱密钥下使DES在选择明文攻击下的搜索量减半。 如果随机地选择密钥,则在总数256个密钥中,弱密钥所占比例极小,而且稍加注意就不难避开。 因此,弱密钥的存在不会危及DES的安全性。,DES的强度(1),2019/1/21,41,雪崩效应,DES的强度(2),2019/1/21,42,56位密钥的使用 256 = 7.2 x 1016 1997 ,几个月 1998,几天 1999,22个小时! DES算法的性质:S盒构造方法未公开! 计时攻击,DES的强度(3),2019/1/21,43,差分密码分析 通过分析明文对的差值对密文对的差值的影响来恢复某些密文比特 线性密码分
10、析 通过寻找DES变换的线性近似来攻击,DES的强度(4),2019/1/21,44,3.4 分组密码的工作模式,FIPS 81中定义了4种模式,到800-38A中将其扩展为5个。 可用于所有分组密码。 DES的工作模式 若明文最后一段不足分组长度,则补0或1,或随机串。,2019/1/21,45,DES的工作模式,2019/1/21,46,电码本模式ECB,工作模式 加密:Cj=Ek(Pj),(j=1,2,n) 解密:Pj=Dk(Cj) 应用 特点 错误传播 不传播,即某个Ct的传输错误只影响到Pt的恢复,不影响后续的(jt)。,2019/1/21,47,Electronic Codeboo
11、k Book (ECB),2019/1/21,48,摘自:NIST Special Publication 800-38A 2001 Edition,2019/1/21,49,密码分组链接模式,工作模式 加密 解密 应用 加密长度大于64位的明文P 认证 特点 错误传播,2019/1/21,50,Cipher Block Chaining (CBC),2019/1/21,51,摘自:NIST Special Publication 800-38A 2001 Edition,2019/1/21,52,工作模式 加密 解密 应用 保密:加密长度大于64位的明文P;分组随意;可作为流密码使用。 认证
12、: 特点 分组任意 安全性优于ECB模式 加、解密都使用加密运算(不用解密运算) 错误传播 有误码传播,设 ,则错误的Ct会影响到Pt,Pt+r。,密码反馈模式,2019/1/21,53,Cipher FeedBack (CFB),2019/1/21,54,摘自:NIST Special Publication 800-38A 2001 Edition,2019/1/21,55,输出反馈模式,工作模式 加密 解密 应用 特点 缺点:抗消息流篡改攻击的能力不如CFB。 错误传播 不传播,2019/1/21,56,Output FeedBack (OFB),2019/1/21,57,摘自:NIST
13、 Special Publication 800-38A 2001 Edition,2019/1/21,58,工作模式 加密: 给定计数器初值IV,则 j=1,2,N 解密 特点 优点 硬件效率:可并行处理; 软件效率:并行化; 预处理; 随机访问:比链接模式好; 可证明的安全性:至少与其它模式一样安全; 简单性:只用到加密算法。 错误传播 不传播,计数器模式,2019/1/21,59,Counter (CTR),2019/1/21,60,摘自:NIST Special Publication 800-38A 2001 Edition,2019/1/21,61,小结,分组密码与流密码 block vs stream ciphers Feistel 密码设计与结构 design & structure 数,函数F,密钥扩展 DES 算法细节 密码强度 工作模式,2019/1/21,62,第三章作业,思考题:3.5,3.7,3.8,
