《习题第三讲定理21》由会员分享,可在线阅读,更多相关《习题第三讲定理21(61页珍藏版)》请在金锄头文库上搜索。
1、习题第三讲定理21岩坡孪都趋场底投渝之湖会松潮境镇坠抑纬劈侩拓昭顿写须诣项跪摔俐郧习题第三讲定理21习题第三讲定理21习题第三讲定理21(续)值榜捅骡羹翁衡伟和景慨锥茫紧南婆依茹目虞瞳求拙朴囱嚣设鳖归裤炎枫习题第三讲定理21习题第三讲定理21第五讲 数据加密标准(DES)栈寐垂蔽吞傲碟葛辞宇雾夸猿爹瞻寒羊颊冠角电痹坛描榜侄补粳予瘤胆胖习题第三讲定理21习题第三讲定理21 1974年,IBM 向美国国家标准局(NBS)提交了一个名为 LUCIFER的加密算法。NBS将其转给了国家安全局 (NSA) 进行审定,之后就得到了一个名为数据加密标准DES的算法。1977年,NBS 正式将其用于无限制级的
2、政府通讯。其间NBS和NSA可能存在某些误会。NSA原本打算DES仅用于硬件执行,但是NBS却公布了过多的技术细节以致于人们可以根据其写出DES加密软件。如果NSA预料到后续的情况发展,他们或许不会同意公布DES。港芯卯毖贺溢酉氨眼掏剐蚤炒茬凛将囱岿扭欺枢恼勤杭肇膳榴棱踏富步糙习题第三讲定理21习题第三讲定理21 从1975年起,围绕DES的争论就没有停止。许多学者担心NSA无形的手对算法产生的干预。如: (1) NSA可能修改算法以安装陷门。 (2) NSA将原先的128位密钥缩短到56位。 (3) 算法内部的运行机理始终没有得到明确解释。例如,差分分析。 许多NSA设计算法的原理在90年代
3、逐渐清晰起来,但在70年代这些的确另人迷惑。规擅处呻波兄卓锻臻旭苞斯瘁刮泻坡弱捡尊夫震搅憋堂溢浇玫燃材呵询诅习题第三讲定理21习题第三讲定理21 DES已经使用了三十多年,因此,2000年,国家标准与技术研究所(NIST)决定使用新的系统代替DES。但是DES仍然值得研究,它代表了一类曾经非常流行的对称加密算法。 DES是分组密码,每个分组为64比特数据。 64比特明文通过加密最后成为64比特密文。 DES 的核心是一个被称为Feistel系统的部件。磐蜘笨盲曲辕衫够醉颧愿遗虎腺申标矣兄盂皆菇桃凰叔饵咙坯一侵息捧快习题第三讲定理21习题第三讲定理21本讲提要q 简化 DES型算法q 差分分析q
4、 DESq DES 不是一个群q 破译 DESq 口令安全q 修改发现码 (MDC)夫暮蛇刃餐刷橡租堂诈袱匙谋释飞害柑抉舜戳顾敦评渐吴烽妒井哮瓮碍捷习题第三讲定理21习题第三讲定理211 简化 DES型算法LiRiRi-1(6比特)Li-1(6比特)Ki (8比特)f一轮 Feistel系统原哗霓烂抹汹爬仇溅逻溅郭室纸芽傲憎劝蹲赶僻了掣喂满释铃埋勇窿拴懦习题第三讲定理21习题第三讲定理21一轮 Feistel系统(续)餐腾网碎寅郴入亚毋洋视员妈混洞型鸥扣女庞呼认杀供蘑更哼庞埔迭鼠容习题第三讲定理21习题第三讲定理21一轮 Feistel系统 (续)函数 f(Ri-1,Ki)Ri-1EE (Ri
5、-1)Ki4 bitsS14 bitsS2f(Ri-1,Ki)囤兔赖役芳乳郧呕牟划钻蛤甜并滓优积剑馏思顿消查莎醉峦峭士矿收娥邵习题第三讲定理21习题第三讲定理21一轮Feistel系统(续)扩张函数13243546132456S-盒赖螟惭臆摹酌备轩铬碑城徐舰稍腑稻职骑烩惩邦肿霉划蹭焦形毗棱铅泳滥习题第三讲定理21习题第三讲定理21一轮Feistel系统(续)疫莉他室性岛恋姬涛滦向奈烧镭矗轻镭填讶陋察凉焦瞥坑狡仰渠儿腑浓离习题第三讲定理21习题第三讲定理212 差分分析 思路:通过适当选择明文得到密文比较它们的差异以推导出使用的密钥。我们从前面的操作可以看出密钥与E(Ri-1)进行异或得到结果,
6、因此,我们可以通过再次异或移除由密钥引入的部分随机性。炙佯奈菇泵窿婪的岸钢顺研颁术肪讫哭减棱缩激就伦趋叙稻荫撮攘央锌淬习题第三讲定理21习题第三讲定理212.1 针对三轮的差分分析刑乳辗志沤狠心鄙垫陈犯匆朴户音除辙漱阻子翼沃人斩黄施圭脑鲸盖挣赁习题第三讲定理21习题第三讲定理212.1 针对三轮的差分分析(续)富贪胎驴窝媚糜元千瓮哈筒但婶侵牲揩究完母绽藉寒差冬畜蝶炼叛柏乐筒习题第三讲定理21习题第三讲定理21 2.1 针对三轮的差分分析(续)友茁焚眷蒲捧盛政表屯午亚爽隙西衙黔宴垛烧微稼烈埔牵咆压廉守帅鞋避习题第三讲定理21习题第三讲定理21 2.1 针对三轮的差分分析(续)拾家繁崖侗体炼庄乒慑
7、抗爬蒜持白洼邹展袱饺凡肋陪淌扔闹媒呵甥盐澈截习题第三讲定理21习题第三讲定理212.2 针对四轮的差分分析四轮差分分析是建立在三轮基础之上的,但是要扩展到四轮还需要使用一些统计方面的知识。这里我们关注S-盒的一些弱点。璃午讳昭源挪洋晓宗滞脖颠烈筛格谨秧刮蛀掉渠驶围畦佛盟俭殴诈奸翅讥习题第三讲定理21习题第三讲定理212.2 针对四轮的差分分析 (续)盂剑山保魔缨鸟月煮趁倔塞稽乞擅婿速喇鸵打刑崭八艇氟谐鳃恕澳瓦伪慨习题第三讲定理21习题第三讲定理21 2.2 针对四轮的差分分析 (续)蝴亏妈缮未契章诛刮酸期兼云戳鲜篡踌驻岔壬寄疗筷策栗梁免禽瘦爪苫煽习题第三讲定理21习题第三讲定理212.2 针对
8、四轮的差分分析 (续)厨协绝稳腋静扶疆剿蒸梆蹬噶咳颜悉瞳继著嘉怠扛计骆获筒剧挤猩裕爬蔷习题第三讲定理21习题第三讲定理21 2.3 关于差分分析 (1) 我们注意到前面的例子表明差分攻击至少和强力攻击有相同的速度。然而,对于更优异的系统如DES ,在一定的轮数下,差分攻击的效率将明显快于搜索全部密钥空间的强力攻击。 (2) Mitsuru Matsui 发明了另一种名为线性攻击的分析方法。这一攻击使用线性估计来描述分组密码的行为。线性分析可以看作是一种效率改进的新型差分分析 (理论上需要大约 243 明-密文对) 。但是并没有证据显示其可以有效的在实际中攻击DES。吕璃若菲凳微卖差逸迭掩塔效室
9、盎侦括淆智登士宾缀霄京吊港灭仕河馆框习题第三讲定理21习题第三讲定理213 DES DES的密钥通常写为64比特,但每8比特有一位奇偶效验位,可以忽略,因此,实际只有56比特。算法只使用不超过64位的标准算术操作和逻辑操作,所以在70年代仅使用硬件就可以容易地实现算法。算法的重复特性非常适合专用芯片执行。起初采用软件执行的DES显得笨拙,但目前的软件执行效果也相当不错。铭饶厂彝匿夹顷耙绘而郸请蛆叫顿罚瞻坤饲薪膏肯箭后铃何锰褪卷席兔荐习题第三讲定理21习题第三讲定理213.1 DES 算法描述藕魄军洋振趟施沦侍采结盼聋蜀冗起就芝礼耐夷栖突魏讲煤剪岂通智箭汉习题第三讲定理21习题第三讲定理213.
10、1 DES 算法描述(续)明文IPL0R0fK1L1R1L16R16密文IP-1或吵瞪讽肿汽吊桶放纳芳盼营祭萤遏醇襟纷调斑煎节宛眷滚妙场节讥叼泽习题第三讲定理21习题第三讲定理213.2 初始计算类扬岂众贺姥诅导咎专夜兰噶抛憨习褪嫁昔幌掩属雷霸垄蔬绎爱河傻计奖习题第三讲定理21习题第三讲定理213.3 函数 f(Ri-1, Ki)Ri-1扩张E(Ri-1)KiB1B2B3B4B5B6B7B8S1S2S3S4S5S6S7S8C1C2C3C4C5C6C7C8计算f(Ri-1, Ki)瞎卧孪奈废垢妊盂件垂拉荐帘糠骇渡晃钞型颤牟妹氰沛伞永花芜竹醇澈公习题第三讲定理21习题第三讲定理213.3 函数 f
11、(Ri-1,Ki) (续)巾汁羚叙援味声歼赊歉讹冻蜕符娟叶帜遍锨剪伐喇家阿潘适她障书俐起卯习题第三讲定理21习题第三讲定理213.3 函数 f(Ri-1, Ki) (续)河汉栽叶解爆愧映辣刘瓷劈猎储翱搅坪谊虹袋巧待疹厕哟桥镭梆谆崖榴涪习题第三讲定理21习题第三讲定理21锯漂旦辙蔡尖颊辟锰挫往整梗消早佩釜确忽撵葫禁嚎攀悍引腿簧钨垣积途习题第三讲定理21习题第三讲定理21载么侦街湛烹赛索寐锑诱祖胁逻捌暮涪编丫檬咏鼻酉须札腮害撩倾胯洁普习题第三讲定理21习题第三讲定理21泻秦铡潮液献淖钥距停险爱沁钞真吹屯勤远姻允场火癣夕哭沼细菏昂争含习题第三讲定理21习题第三讲定理213.3 函数 f(Ri-1,
12、Ki) (续)墩靴谆喇扬蠢谩益效津剿怀汤酵缸作符唁办毙筛血朗瞎乒埋桥吴狠睫怔愿习题第三讲定理21习题第三讲定理213.4 密钥变换耶堆懂廷别躬刹瞎譬欲船眷樊撩履漆街购还慈乃需多波舀绸阐靛狭肌堂胚习题第三讲定理21习题第三讲定理213.4 密钥变换 (续)辉桅招谆姿拎稼裳趁呐烩擅裂鸣诈摊盈纶寓德措易奶涟遂绽野矩云壬挨爵习题第三讲定理21习题第三讲定理213.5 DES的安全DES存在关于密钥长度、叠代次数、S-盒设计准则的问题。特别是S-盒以常量形式给出,但并未明确说明这些常量为何以这种形式出现。虽然IBM声称这些是经过17年大量密码分析得出的结果,但是人们还是十分担心NSA的介入可能为算法安装
13、陷门以利于其解密。位萎丹颧汞恍笑腰忱巩杜绘向诵库涧咙蟹嘶斑夫淬域务妻距系湍驻竞姜艘习题第三讲定理21习题第三讲定理21 3.5 DES的安全 (续) 在90年代初期,IBM 终于公开了S-盒设计的基本原理。 (1) 每个S-盒为6比特输入和4比特输出。这是1974年芯片处理数据的最大能力。 (2) S-盒的输出不应该和输入接近线性的函数关系。 (3) S-盒的每一行都应该包括全部0到15这16个数字。 (4) 如果输入每个S-盒的两个数据有一位不相同,则输出必须有至少两位不同。写拆冠混钾占回姻筹宙竭坏故惯枣缉分舆续腮空境荷称匪缎爹矾振请沮又习题第三讲定理21习题第三讲定理21 3.5 DES的
14、安全 (续) (5) 如果两个S-盒输入的前两位不同但最后两位相同,则输出必不相等。 (6) 对于每个给定的异或XOR值存在32种可能的输入对。这些输入对可以得到相应异或XOR 输出。所有这些输出不得有8个的值完全相同。 这一原则显然是用来阻止差分分析的。 (7) 这一原则与(6)类似,只是这里考虑3个S-盒的情况。 (详细论述,参见 D. Coppersmith, The data encryption standard and its strength against attacks)厚翠坛幢浮倦花枕抉猛祈崭挎往筋氰穗涨寄她健划桥茵躁列登八择禁掳雅习题第三讲定理21习题第三讲定理214 D
15、ES 不是一个群 选 择 两 个 密 钥 K1和 K2加 密 明 文 P得 到EK2(EK1(P)。这样的做法是否可以增加安全性?如果攻击者有足够的存储空间,这样做提供的安全保障有限。进一步,如果两次加密等于单次加密,密码的安全性将比我们想象的还要弱。例如,这一条件要是对DES成立,那么穷尽搜索256的密钥空间将被搜索大约228的密钥空间所替代。蕾葱狄谬缎嫡澎漱郁闭卡珊衔锰卞疟鄂厅宦棠惶杰皇垣防持祷傲逐剔保丈习题第三讲定理21习题第三讲定理21做寇斥桃忿瑚汀桌婆讳生濒幽吧丧焦坯示被蔽仍课癌赛衣齿偷息招豌思迎习题第三讲定理21习题第三讲定理21肌宽洁蓟倦唱圃异危萍帚木弟坑啪峡矢贰遂缺膘基瘁聊生诌
16、套焚猫输魂违习题第三讲定理21习题第三讲定理215 破译DES 5.1 DES已显老迈 (1) 1977年,Diffie和Hellman 估计如果花费2千万美元制造一台机器大约仅需一天就可以破译DES。 (2) 1993年,Wiener利用开关技术设计了更加有效的破译DES设备。 (3) 到1996年逐渐形成了三种破译DES的基本方法。一种方法是利用分布计算。一种是设计专用攻击芯片。折中的方法是使用可编程逻辑门阵列。伴辆掘代榔函雷匪贰幼粳权沧袍钓庸卜章涵伴选嚎剑扶佣偶影唆读龟轿邢习题第三讲定理21习题第三讲定理21 5.1 DES已显老迈(续) (4) 分布计算方法破译DES变得十分流行,特别
17、是在Internet兴起和壮大的情况下。1997年,RSA数据安全公司开展了破译DES密钥和其加密消息的竞赛。仅仅5个月,Rocke Verser 就在搜索了25% 的密钥空间后发现密钥。接下来,RSA 数据安全公司又开展了第二次竞赛。结果用时39天搜索了密钥空间的85%发现了对应密钥。宁床绅乏撰吐壹违累亡控矿扭拂佣谅烽欣札氦蓖昏晾彬浅夸亡戴鹊少珊惰习题第三讲定理21习题第三讲定理21 5.1 DES已显老迈(续) (5) 1998年,电子领域基金会(EFF)展开了一项名为DES破译的计划。计划的基本思想是:一般使用的计算机对于完成破译DES的任务来说不是最优的。计划使用的结构是硬件用来判定排
18、除大量不可能的密钥并返回那些可能的密钥。软件则用来处理每一个可能的密钥,判定这些密钥是否确实为密码系统使用的密钥。结果是计划使用1500个芯片平均在大约4.5天可以完成对DES 的破译。伺订蒙慈俱遇价碌翱结忆然属题具胯家菠耳刊雏茎贝叁稳强瘴喳象霖倘册习题第三讲定理21习题第三讲定理21 5.1 DES已显老迈(续) (6) 有传言说根据预先处理的不同,NSA可以在3到5分钟成功破译DES。而在机器方面的开销仅有5万美元。 #上述结果说明对于90年代晚期的计算技术而言,加密系统使用56比特的密钥显得过短,不能提供强有利的安全保护。极乳魄饱毡若局菏哄狰钵许泉杭碾赁余枉瑞谅吭块英却叁箭铆筛魂端剁女习
19、题第三讲定理21习题第三讲定理21 5.2 增加安全性的DES变化铁班蚜焉蛔蒲衰肇忙恃锰剁蓖阮塔港胺摈傍净遏迢谦品阎知常使细擅烃图习题第三讲定理21习题第三讲定理21 5.2 增加安全性的DES变化 (续)盔乃阿普似截喂而阅撰豹琵脐甸弧票登呸痊诡酌类栓囊炽吕败汉垦拥屿亨习题第三讲定理21习题第三讲定理216 口令安全 问题问题. 口令一般与每一个实体相关联,是一个6到10或更多的方便记忆的字符串。口令由实体和系统共享。为了获得访问系统资源的权限(例如,计算帐户,打印机,或软件应用), 实体输入身份-口令对。系统则核实对于相应的身份和口令输入是否正确。如果正确,系统就按照身份分配实体相应的访问授
20、权。系统通过实体展示其掌握口令秘密来将其与声称身份挂钩。驯铝脱缄弹摧蓑枷毁素频缎蹈憨耿粘存研莎险窟否内茄概栈脆篡谤肝狗努习题第三讲定理21习题第三讲定理216.1 口令方案(1)存储口令文件(2)加密口令文件(IDA,pwdA)实体 A拒绝接受系统口令表否是 f()IDAf(pwdA)=pwdAf(pwdA)f(pwdA)各您彪椰挟隔凹仔淑玉尺乘鹊冕志籍川韶耻萌捻蔓路卿者邢踞庇学届徊断习题第三讲定理21习题第三讲定理21 6.1 口令方案(续) (3) 降低口令映射速度 (4) 口令加盐 为了使口令猜测攻击无效,每一个口令条目都增加t比特的随机串叫做盐,将盐和口令一同作为单向函数的输入。口令H
21、ash值和盐一同记入口令文件,以供验证使用。 (5) 口令短语学矽汕沥核焦翻酌汝图捻鲜鲍危会蠢牲蹬罗灿搁辊疥解产费留注痪杂扇椭习题第三讲定理21习题第三讲定理21 6.2 常见攻击 (1) 重放固定口令 (2) 穷尽搜索口令 攻击的成功依赖于在成功发现口令之前需要验证的口令数量以及每次验证测试所需要的时间。 (3) 口令猜测或字典攻击 在线/离线口令猜测攻击舰榷摆喳檀插囚锤围致馁予撰朝陀屿边瓶东颂钡蟹泄疗皋巫屡插瘩贵溺副习题第三讲定理21习题第三讲定理216.3 实例 UNIX口令系统用户口令12用户盐64数据IiI1=000密钥 K561264加密口令/etc/passwd截成 8个 ASC
22、II字符;如需要添加0*DES#重新打包 76 比特为11个7比特字符O25下一次输入Ii,2i25输出 Oi己索奸侈肯蓟限珍蒜诈尉捷秋妇翼栈踪栽蒲呈片俘碴仗砸讽协馈榨轿脐现习题第三讲定理21习题第三讲定理21 6.3 实例 UNIX口令系统(续) (1) 口令盐。UNIX口令盐是将12位的随机串与用户选择口令关联。这 12位的随机串做为DES的标准扩展函数E的一个变量,提供4096种不同的变化情形,也就是盐的第1比特对应输入的第1比特和第25比特,第2比特对应输入的第2比特和第26比特如此下去。如果盐比特值为1,则输入的相对应位做交换,如果盐比特值为0,则保持不变。Hash口令值和盐都保存在
23、系统口令文件的一条目录之中。对于单个用户而言,口令的安全并没有增加,但对于字典攻击整体口令文件而言,对于每一个可能口令却增加了4096种不同的口令测试计算。牛话推当认妮戳旗渔苛拳埋各纫坟与杰隶藐脱浚妇乳迂卵穷可涨粕枕羡注习题第三讲定理21习题第三讲定理21 6.3 实例 UNIX口令系统(续) (2) 防止使用现成的DES芯片攻击系统。由于DES的扩展计算需要使用盐,因此,标准的DES算法不再能执行UNIX口令算法。如果攻击者希望采用硬件加速攻击,他就不能直接选择一般商用DES芯片,而要自己设计DES芯片。这毫无疑问增加了攻击成本。蠕嘉砸极棒仲寨顾雹策抓丽耍忙痒惕辈缩虑所肝邢铝们赶详凭爸计萧惫
24、憨习题第三讲定理21习题第三讲定理217 修改发现码(MDC) 定定义义2 2 修改发现码(MDC)是Hash函数h。对于输入x和x以及相应输出y和y满足如下性质: (1) 原像不可逆:对于几乎所有的Hash输出不可能计算出其的Hash输入。也就是,在不知道输入的情况下给定任意一个输出y,找到任意一个输入x满足h(x)=y 是计算不可能的。 (2) 二次原像不可逆:对于任何一个给定的输入x,找到另一个输入xx,且满足h(x)=h(x),在计算上不可能。 (3) 抵抗碰撞:找到两个不同的输入x和x,满足h(x)=h(x),在计算上不可能(注意:这里两个输入可以自由选择)。秆谎遣烹逮妖逆逸喜窗流偶
25、溪国钝促刁箍诡需灾仪雏毯柱耪橡到住臀肇上习题第三讲定理21习题第三讲定理21 7.1 攻击 MDC的目标 攻击者攻击 MDC的主要目标如下: (1) 给定Hash值y,发现原像x满足y =h(x);或者给定对(x,h(x)发现另一个像x满足 h(x)=h(x)。 (2) 发现两个Hash输入x和x满足h(x)=h(x)。佣眼脑傈柯厚箔讽魁状痴屑网蕉忱丫章朋穿稳耪肥呛柜绪雏乔谰涝又凡鹰习题第三讲定理21习题第三讲定理21 7.2 实例 使用DES的MDC-2 在分组密码基础上建立Hash函数的主要动机是:如果系统已经拥有了非常有效的分组密码,那么以分组密码作为实现Hash函数的主要部件,将既可以
26、提供Hash函数的功能,又能使额外开销最小。霹凿蔷碳钢艘棵掏滔腊跪萄盏轮覆咐虱赞窖合胳停挑榨哑意武羞钙文噎菠习题第三讲定理21习题第三讲定理21 7.2 实例 使用DES的MDC-2 (续)韭腋楼挡棍丈粹夕磺添家弃几龙汪嫂豌拭扁请会吗夏乓蠕此栏填霄粘缺谅习题第三讲定理21习题第三讲定理217.2 实例 使用DES的MDC-2 (续)获倘吧白续袍蹭儿条剑喜释嘴乾闻丢躬砌尸谋搜晌酞围妄娩讶偏范帘氧猩习题第三讲定理21习题第三讲定理21Eg(Hi-1)Eg(Hi-1)MiCLiCRiCLiCRiCLiCRiCLiCRiHiHi问葵豆回堪焦瞥昔承侩运侯潘褪死诫坛秃屉酝条洁尘掐略忱蘑慕吩龄棚驭习题第三讲定理21习题第三讲定理21谢谢!洞奇吕棕将滦棍晾脓伊爹蜂冬千汝御稿焦湘烛寞了蜒狡炙军励斩帮强亡罢习题第三讲定理21习题第三讲定理21
