分组密码与数据加密标准-西安电子

Chapter 3 分组密码与数据加密标准,计算机与网络安全,2018/10/20,西安电子科技大学计算机学院,2,本节课程内容,分组密码一般原理、设计准则、设计方法DES加解密算法DES的强度,2018/10/20,西安电子科技大学计算机学院,3,§3.1 分组密码原理,流密码 每次加密数据流的一位或一个字节分组密码 将一个明文组作为整体加密且通常得到的是与之等长的密文组,2018/10/20,西安电子科技大学计算机学院,4,2018/10/20,西安电子科技大学计算机学院,5,分组密码的一般设计原理： 分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列理想分组密码体制 2n!个映射 大规模,2018/10/20,西安电子科技大学计算机学院,6,Feistel网络（1）,Feistel网络的设计动机 密钥长为k位，分组长为n位，采用2k个变换,2018/10/20,西安电子科技大学计算机学院,7,Shannon 目的：挫败基于统计方法的密码分析 混淆（confusion）：使得密文的统计特性与密钥的取值之间的关系尽量复杂 扩散（diffusion）：明文的统计特征消散在密文中，使得明文和密文之间的统计关系尽量复杂。,刻画密码系统的两个基本构件,Feistel网络（2）,2018/10/20,西安电子科技大学计算机学院,8,分组长度 密钥长度 数 子密钥生成算法 函数 快速软件加解密 易于分析,Feistel网络（3）,2018/10/20,西安电子科技大学计算机学院,9,§3.2 数据加密标准DES,DES的历史 DES的基本结构 DES核心构件的细节描述 DES密钥的生成 DES的安全性分析,2018/10/20,西安电子科技大学计算机学院,10,数据加密标准 (DES) 第一个并且是最重要的现代分组密码算法,2018/10/20,西安电子科技大学计算机学院,11,历史,发明人：美国IBM公司 W. Tuchman 和 C. Meyer 1971-1972年研制成功 基础：1967年美国Horst Feistel提出的理论 产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告，公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳了IBM的LUCIFER方案 标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标准局颁布为数据加密标准（Data Encryption Standard），于1977年7月15日生效,2018/10/20,西安电子科技大学计算机学院,12,DES是一种用56位密钥来加密64位数据的方法。,概述,2018/10/20,西安电子科技大学计算机学院,13,DES算法框图,DES的核心部件：两次置换（初始置换和初始逆置换）密钥控制下的十六迭代加密密钥生成,2018/10/20,西安电子科技大学计算机学院,14,2018/10/20,西安电子科技大学计算机学院,15,初始置换和初始逆置换,2018/10/20,西安电子科技大学计算机学院,16,初始置换和初始逆置换,DES中的初始置换和初始逆置换,2018/10/20,西安电子科技大学计算机学院,17,初始置换与初始逆置换是互逆的严格而言不具有加密的意义,Note,2018/10/20,西安电子科技大学计算机学院,18,DES的十六迭代加密,十六迭代加密,Round i,第 i 加 密,2018/10/20,西安电子科技大学计算机学院,19,DES第i迭代加密,2018/10/20,西安电子科技大学计算机学院,20,F函数,2018/10/20,西安电子科技大学计算机学院,21,扩展E置换（E-盒）,2018/10/20,西安电子科技大学计算机学院,22,S盒（1）,2018/10/20,西安电子科技大学计算机学院,23,S-盒是DES加密算法的唯一非线性部件,S盒（2）,2018/10/20,西安电子科技大学计算机学院,24,S-盒,S盒（3）,2018/10/20,西安电子科技大学计算机学院,25,输入,输出,S-盒的查表操作,S盒（4）,2018/10/20,西安电子科技大学计算机学院,26,DES中其它算法都是线性的，而S-盒运算则是非线性的提供了密码算法所必须的混乱作用S-盒不易于分析，它提供了更好的安全性S-盒的设计未公开,Note,S盒（5）,2018/10/20,西安电子科技大学计算机学院,27,P置换,2018/10/20,西安电子科技大学计算机学院,28,直接P置换（P-盒）,P置换,2018/10/20,西安电子科技大学计算机学院,29,F函数,2018/10/20,西安电子科技大学计算机学院,30,DES第i迭代加密,2018/10/20,西安电子科技大学计算机学院,31,2018/10/20,西安电子科技大学计算机学院,32,子密钥产生器,2018/10/20,西安电子科技大学计算机学院,33,2018/10/20,西安电子科技大学计算机学院,34,置换选择1,循环左移的次数,（舍弃了奇偶校验位，即第8，16，64位）,2018/10/20,西安电子科技大学计算机学院,35,压缩置换2,舍弃了第9,18,22,25,35,38,43,54比特位,2018/10/20,西安电子科技大学计算机学院,36,加密过程: L0R0 IP () LiRi-1 i=1,.,16 (1) RiLi-1f(Ri-1, ki) i=1,.,16 (2) IP-1(R16L16)(1)(2)运算进行16次后就得到密文组。 解密过程: R16L16 IP() Ri-1Li i=1,.,16 (3) Li-1Rif(Li-1, ki) i=1,.,16 (4) IP-1 (R0L0) (3)(4)运算进行16次后就得到明文组。,DES加解密的数学表达,2018/10/20,西安电子科技大学计算机学院,37,安全性 DES的安全性完全依赖于所用的密钥。 从DES诞生起，对它的安全性就有激烈的争论，一直延续到现在 弱密钥和半弱密钥 DES算法在每次迭代时都有一个子密钥供加密用。如果给定初始密钥k，各的子密钥都相同，即有k1=k2= =k16，就称给定密钥k为弱密钥(Weak key),§3.3 DES的强度,2018/10/20,西安电子科技大学计算机学院,38,若k为弱密钥，则有 DESk(DESk(x)=x DESk-1(DESk-1(x)=x 即以k对x加密两次或解密两次都可恢复出明文。其加密运算和解密运算没有区别。 而对一般密钥只满足 DESk-1(DESk(x)=DESk(DESk-1 (x)=x 弱密钥下使DES在选择明文攻击下的搜索量减半。 如果随机地选择密钥，则在总数256个密钥中，弱密钥所占比例极小，而且稍加注意就不难避开。 因此，弱密钥的存在不会危及DES的安全性。,DES的强度（1）,2018/10/20,西安电子科技大学计算机学院,39,雪崩效应,DES的强度（2）,2018/10/20,西安电子科技大学计算机学院,40,56位密钥的使用 256 = 7.2 x 1016 1997 ，几个月 1998，几天 1999，22个小时!DES算法的性质：S盒构造方法未公开！计时攻击,DES的强度（3）,2018/10/20,西安电子科技大学计算机学院,41,差分密码分析 通过分析明文对的差值对密文对的差值的影响来恢复某些密文比特 线性密码分析 通过寻找DES变换的线性近似来攻击,DES的强度（4）,2018/10/20,西安电子科技大学计算机学院,42,小结,分组密码与流密码 block vs stream ciphers Feistel 密码设计与结构 design & structure 数，函数F，密钥扩展 DES 算法细节 密码强度 工作模式,2018/10/20,西安电子科技大学计算机学院,43,第三章作业,思考题：3.5，3.7，3.8,