《信息安全概论 教学课件 ppt 作者 徐茂智 邹维 1_ 信息安全概论第6讲》由会员分享,可在线阅读,更多相关《信息安全概论 教学课件 ppt 作者 徐茂智 邹维 1_ 信息安全概论第6讲(27页珍藏版)》请在金锄头文库上搜索。
1、信息安全概论,第6讲 2008年x月y日,第3章 密码基础,突出-概念+算法+作用。 3.1密码学的基本概念 3.2对称密码算法 3.3公钥密码算法 3.4哈希函数 3.5数字签名算法 3.6密码学的新方向,3.1密码学的基本概念,3.1.1密码编码,对称密码系统主要是对信息提供机密性(secrecy)保护,防止敌手在信道上进行窃听后产生的泄密。对称密码系统同时还能保护数据的完整性(integrity),检测或恢复敌手对数据进行的篡改、伪造等破坏。,3.1.1密码编码,定义1 一个对称密码系统(Cryptosystem)CS,是一个五元集合CS=M, C, K, e, d,其中: 明文消息空间
2、 :表示明文消息的集合; 密文消息空间 :表示密文消息的集合; 密钥空间 :表示密钥的集合; 加密变换 :表示一个确定的映射 脱密变换 :表示一个确定的映射 它满足下列条件:对于给定的密钥k,均有 对给定的密钥k,由e和d诱导下列两个变换 也称为加密/脱密变换。这时,定义1所满足的条件可以记为 。,3.1.1密码编码,通常实用的密码系统在技术角度上还需要满足下列三个要求: 加、脱密变换e、d对所有密钥k都有效(防止计算中的阻断)。 密码系统应易于实现(对任意给定的密钥k,有高效的加密/脱密计算方法)。 密码系统的安全性仅依赖于密钥的保密,而不依赖于算法e和d的保密。,图3.2 密码系统应用参考
3、模型,3.1.2密码分析,唯密文攻击(ciphertext only attack): 已知加密方法、明文语言、可能内容,从密文求出密钥或明文。 已知明文攻击(know-plaintext attack): 已知加密方法、已知部分明密对,求出密钥或对给定的密文 求出明文。 选择明文攻击(chose-plaintext attack): 已知加密方法,而且破译者可以把任意(或相当数量)的明文加密为密文,求密钥。这对于保护机密性的密码算法来说,是最强有力的分析方法。 选择密文攻击(chose-ciphertext attack): 已知加密方法,而且破译者可以把任意(或相当数量)的密文脱密为明文,
4、求密钥。这对于保护完整性的密码算法来说,是最强有力的分析方法。,3.1.2密码分析,两个重要概念: 绝对安全的(unconditioned secure)。 计算上安全(computationally secure)。,3.2对称密码算法,本节介绍有代表性的分组算法DES、AES和序列算法A5。对其它相关算法仅做简要的介绍。,3.2.1分组密码DES,DES的明文长度是64 bit, 密钥长度为56 bit, 加密后的密文长度也是64 bit (实际中的明文未必恰好是64 bit,所以要经过分组和填充把它们对齐为若干个64 bit的分组,然后逐组进行加密处理。) 脱密过程则相反,它首先按照分组
5、进行脱密,然后去除填充信息并进行连接。,DES算法总体流程图,1初始置换IP,IP是64个位置的置换,它表示把第58 bit(t58)换到第1个bit位置,把第50 bit(t50)换到第2个bit位置,把第7 bit(t7)换到第64个bit位置。,t1 t2 t64 IP t58 t50 t7 IP-1 t1 t2 t64,2圈函数,圈函数原理图,2圈函数,(1)E变换,由输入32比特按照下图所示方法扩展,其中有16个比特出现两次。具体地说输出的前6比特顺次是输入的第32、1、2、3、4、5比特;输出的第二个6比特顺次是输入的第4、5、6、7、8、9比特;输出的第八个6比特顺次是输入的第2
6、8、29、30、31、32、1比特。,2圈函数,(2) S-盒 把48比特的数分成8个6比特的数,每个6比特查一个S-盒得到4比特的输出。,2圈函数,S-盒相当于一张64个4位数的表,8个S-盒的内容见表3.2。把S-盒看成一个416的矩阵S=(si,j),其元素取整数值0-15。给定6比特输入x=x1 x2 x3 x4 x5 x6,令i= x1 x6+1,j= x2 x3 x4 x5+1,则y= si,j 即为对应的输出。,例如S1,2圈函数,(3)P-盒: 是32个位置的置换,用法和IP类似。,3密钥扩展,从64 bit 的带校验位的密钥K(本质上是56 bit密钥k)中,生成16个48
7、bit的子密钥Ki,用于16个圈函数中:,3密钥扩展,(1)PC-1 拣选变换PC-1表示从64 bit中选出56 bit的密钥k并适当调整比特次序,拣选方法,3密钥扩展,(2)PC-2 拣选变换PC-1表示从56 bit中选出48 bit的拣选方法,3密钥扩展,(2)循环移位 LSi表示对28bit串的循环左移:当 i=1,2,9,16时,移一位;对其它i,移两位。当1i16时 Ci=LSi (Ci-1),Di=LSi (Di-1),4脱密,脱密是加密的逆变换。其运算与加密相似,但子密钥的选取次序正好与加密变换相反K1=K16,K16=K1。,5DES的安全性,弱密钥:如果密钥分成的两部分(
8、每部分28 bit),分别都是全0或全1,则任一周期(圈函数)中的子密钥将完全相同,叫做弱密钥。此外,如果使圈密钥只有两种的叫半弱密钥。DES算法存在弱密钥,可能是它的一个弱点。 补密钥:若用X表示X的补,则: 这可能是一个弱点。 密钥长度:太小,IBM建议用112 bit。 差分密码分析:Eli Biham 与Adi Shamir 1990提出差分密码分析方法,比穷举更有效。 线性密码分析:Mitsuru Matsui 于1993年提出线性密码分析方法。,5DES的安全性,1999年使用一百多个CPU,利用并行算法,用23小时左右成功破译。 1999年在互联网上,用分割密钥方法,成功破译。
9、应该注意到的一个事实是,DES经过了可能是当今最多的分析或攻击,但未发现任何结构方面的漏洞。DES算法最终之所以被破译的关键是密钥的长度问题,用当今计算机处理速度看,56 bit的密钥对穷搜攻击已经是太小了一点。 所以,后来人们提出的多数算法把密钥长度选到80、128 bit甚至256 bit以上。高强度的算法还要求,没有比穷搜攻击更加有效的攻击方案。,3.2.2 三重DES,人们认识到DES最大缺陷是使用了短密钥。为了克服这个缺陷,Tuchman于1979年提出了三重DES,使用了168bit的长密钥。1985年成为金融应用标准(见ANSI X9.17),1999年并入美国国家标准与技术研究
10、局NIST的数据加密标准(见FIPS PUB 46-3)。 三重DES,记为TDES使用三倍DES的密钥长度的密钥,执行3次DES算法,如果把密钥记为(k1, k2, k3),则TDES的加密次序是: 相应地脱密次序为: 这里,m是明文,c是密文,e和d分别为DES的加/脱密算法。所用的加密次序并非是在故弄玄虚,主要是考虑到和已有系统的兼容。巧妙之处在于,当取k1= k2= k3=k时,TDES则退化成普通的DES。 FIPS PUB 46-3规定TDES的另一种使用方式是假定k1 = k3,这时TDES可用于密钥长度是112bit的数据加密。 因为TDES的基础算法是DES,它和DES具有相
11、同的对抗密码分析的能力,同时, 168bit的长密钥又能有效地抵抗穷搜攻击。,3.2.3 AES,尽管TDES在强度上满足了当时商用密码的要求,但随着计算速度的提高和密码分析技术的不断进步,造成了人们对DES的担心。另一方面,DES是针对集成电路实现设计的,对于在计算机系统和智能卡中的实现不大适合,限制着其应用范围。在上世纪90年代NIST通过详细论证最终发起了在全世界范围内征集DES替代算法标准的活动。其几个重要阶段是: 1997.1 发起征集高级加密标准(AES)的活动; 1998.8 接受15个侯选算法; 1999.8 选出5个:MARS、RC6、Rijndael、Serpent、Two
12、fish; 2000.10 评选结束,宣布Rijndael 最终胜出。 按照AES算法的设计要求,它应具有下列基本特点: 可变密钥长为128、192、256三种; 可变分组长为128、192、256三种; 强度高:抗所有已知攻击; 适合在32位机到IC卡上的实现,速度快,编码紧凑; 设计简单。,作业,平均来说,有多少个DES密钥可以将指定的输入分组用DES算法加密,得到指定的输出分组? 试解释为什么DES密钥的初始置换对算法的安全性没有任何贡献。 如果DES密钥输入不是64比特,而是56比特,应对DES算法的描述做何修改? 利用你所需的知识,提出一种最高效地实现64比特输入64比特输出的一一映射方法。 查阅相关资料,试描述几种对DES有效的分析方法。,
