数据加密标准概述.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,数据加密标准,（,Data Encryption Standard,DES,),序列密码和分组密码,一次只对明文中的单个位（有时对字节）运算的算法称,为序列算法（stream algorithm）或序列密码（stream cypher）,另一类算法是对明文的一组位进行运算，这些位称,为分组（block）,，相应的算法称,为分组算法（block algorithm）或分组密码（block cypher）背景,发明人：美国IBM公司 W.Tuchman 和 C.Meyer 1971-1972年研制成功,基础：1967年美国Horst Feistel提出的理论,产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告，,公开征求用于电子计算机的加密算法。

经评选从一大批算法中采纳 了IBM的LUCIFER方案,标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标准局颁布为数据加密标准（Data Encryption Standard），于1977年7月15日生效,背景,美国国家安全局（,NSA,National Security Agency,)参与了,美国国家标准局制定数据加密标准的过程NBS接受了NSA的某些建议，对算法做了修改，并将密钥长度从LUCIFER方案中的128位压缩到56位,1979年，美国银行协会批准使用DES,1980年，DES成为美国标准化协会(ANSI)标准,1984年2月，ISO成立的数据加密技术委员会(SC20),在DES基础上制定数据加密的国际标准工作,DES,概述,分组加密算法：明文和密文为,64,位分组长度,对称算法：加密和解密除密钥编排不同外，使用同一算法,采用混乱和扩散的组合，每个组合先替代后置换，共,16,轮,只使用了标准的算术和逻辑运算，易于实现,密钥长度：,56,位（,密钥通常表示位,64,位，但第8位、16位第64位都用作奇偶校验,）产生,16,个,48,位的子密钥,Shannon,乘积密码,设有两个子密码系统,T,1,和,T,2,，则先以,T,1,对明文进行加密，然后再以,T,2,对所得结果进行加密。

其中，,T,1,的密文空间需作为,T,2,的“明文”空间乘积密码可表示成,T,=,T,1,T,2,利用这两种方法可将简单易于实现的密码组合成复杂的更为安全的密码扩散（diffusion）和混乱（confusion）,扩散：,就是将明文的统计特性迅速散布到密文中去，实现方式是使得明文的每一位影响密文中多位的值，即密文中每一位受明文中多位影响；将密钥的每位数字尽可能扩散到更多个密文数字中去，以防止对密钥进行逐段破译根据扩散原则，分组密码应设计成明文的每个比特与密钥的每个比特对密文的每个比特都产生影响混乱：,的目的在于使明文和密文之间的统计关系变得尽可能复杂使用复杂的,非线形代换,算法可得预期的混淆效果Feistel网络,很多分组密码的结构从本质上说都是基于一个称为,Feistel网络,的结构Feistel,提出利用乘积密码可获得简单的代换密码，乘积密码指顺序地执行,多个基本密码系统,，使得最后结果的密码强度高于每个基本密码系统产生的结果Feistel网络,一层结构,取一个长度为,n,的分组（n为偶数），然后把它分为长度为,n/2,的两部分：,L和R,定义一个迭代的分组密码算法，其第,i,轮的输出取决于前一轮的输出：,L,（i）,=R,（i-1）,R,（i）,=L,（i-1）,f（R,（i-1）,，K,（i）,）,K,（i）,是i轮的子密钥，f是任意轮函数。

容易看出其逆为：,R,（i-1）,=L,（i）,L,（i-1）,=R,（i）,f（R,（i-1）,，K,（i）,）,=R,（i）,f（L,（i）,，K,（i）,）,L,（i-1）,R,（i-1）,Feistel网络,DES,工作原理,基于Feistel网,络,络,假定信息空,间,间都是由0，1组成的字符,串,串，信息被,分,分成64比特的块，,密,密钥是56比特经过DES加密,的,的密文也是64比特的块设,设用m表示,信,信息块，k,表,表示密钥，,则,则：,m=m,1,m,2,m,64,m,i,=0或1,k=k,1,k,2,k,64,k,i,=0或1,其中k,8,，k,16,，k,24,，k,32,，k,40,，k,48,，k,56,，k,64,是奇偶校验,位,位，真正起,作,作用的仅为56位加密算法：,E,k,（m）=IP,-1,T,16,T,15,T,1,IP（m,）,）,其中IP为,初,初始置换，IP,-1,是IP的逆,，,，T,i,是一系列的,变,变换解密算法：,m=E,k,-1,E,k,（m）,=IP,-1,T,1,T,2,T,16,IPE,k,（m）,输入64比,特,特明文数据,初始置换IP,在密钥控制,下,下,16轮迭代,初始逆置换IP,-1,输出64比,特,特密文数据,DES加密,过,过程,DES加密,过,过程,令,i,表示迭代次,数,数，,表示逐位模2求和，,f,为加密函数,DES解密,过,过程,DES算法,实,实现过程,（1）,初始变换,IP,移位操作：,仅,仅对64比特明文,(8*8),进行操作,列经过偶采,样,样和奇采样,置,置换后再对,各,各行进行逆,序,序得到,IP,5758596061626364,IP,5758596061626364,一轮DES,L,i-,1,（32比特）,R,i-,1,（32比特）,L,i,（32比特）,48比特寄存器,选择扩展运算E,48比特寄存器,子密钥,K,i,（48比特）,32比特寄存器,选择压缩运算S,置换运算P,R,i,（32比特）,L,i,=,R,i-,1,DES算,法,法实现过,程,程,（2）,选择扩展,运,运算,选择运算E，输入32位数,据,据，产生48位输,出,出。

设B,（i）,=b,1,（i）,b,2,（i）,b,64,（i）,是第i+1次迭代,的,的64个,二,二进制位,输,输入区组,，,，将B,（i）,分为左右,两,两个大小,相,相等的部,分,分，每部,分,分为一个32位二,进,进制的数,据,据块,：,L,（i）,=l,1,（i）,l,2,（i）,l,32,（i）,=b,1,（i）,b,2,（i）,b,32,（i）,R,（i）,=r,1,（i）,r,2,（i）,r,32,（i）,=b,33,（i）,b,34,（i）,b,64,（i）,分别表示,为,为84,86,扩展置换,-盒,32位扩,展,展到48,位,位,扩展,DES算,法,法实现过,程,程,（3）,使用密钥,在第i+1次迭代,中,中，用48位二进,制,制的密钥,（,（由56,位,位密钥生,成,成）,K,（i+1,）,）,=k,1,（i+1,）,）,k,2,（i+1,）,）,k,48,（i+1,）,）,与E（R,（i）,）按位相,加,加（逻辑,异,异或），,输,输出仍是48位，,86,DES算,法,法实现过,程,程,（4）,选择函数,（,（,压缩替代S-盒）,48位压,缩,缩到32,位,位,S-盒1,S-盒2,S-盒3,S-盒4,S-盒5,S-盒6,S-盒7,S-盒8,S-盒实,现,现,S-盒是,算,算法的关,键,键所在,DES中,其,其它算法,都,都是线性,的,的，而S-盒运算,则,则是非线,性,性的。

S-,盒不易于,分,分析，它,提,提供了更,好,好的安全,性,性提供了密,码,码算法所,必,必须的混,乱,乱作用DES算,法,法实现过,程,程,（5）,选择函数,输,输出的拼,接,接与换位,X,（i）,=f（R,（i）,，K,（i+1,）,）,）,p-盒的,构,构造准则,P置换的,目,目的是提,供,供雪崩效,应,应,明文或密,钥,钥的一点,小,小的变动,都,都引起密,文,文的较大,变,变化,DES算,法,法实现过,程,程,（6）,一轮输出,把L,（i）,与X,（i）,按位相加,，,，形成R,（i+1,）,）,，且令R,（i）,为L,（i+1,）,）,，即得到,经,经第i+1次迭代,加,加密后的,输,输出,L,（i+1,）,）,=R,（i）,R,（i+1,）,）,=L,（i）,f（R,（i）,，K,（i+1,）,）,）,（i=0,，,，1，2,，,，15）,可以看出,，,，DES,密,密码体制,的,的每一次,迭,迭代都用,替,替代法和,换,换位法对,上,上一次迭,代,代的输出,进,进行加密,变,变换用,硬,硬件实现DES算,法,法时，实,际,际上,用替代盒,实,实现替代,函,函数S,j,（1j,8），,用,用换位盒,实,实现换位,函,函数P,。

为了使最,后,后输出的,密,密码文与,原,原始输入,的,的明码文,没,没有明显,的,的函数关,系,系，DES算法采,用,用16次,迭,迭代在,前,前15次,迭,迭代中，L,（i）,表示左32位，R,（i）,表示右32位对,最,最后一次,迭,迭代，L,（16）,表示右32位，R,（16）,表示左32位，即,在,在,最后一次,迭,迭代时不,再,再左右交,换,换,，以保证,加,加密和解,密,密的对称,性,性DES算,法,法实现过,程,程,（7）,逆初始变,换,换,用IP,-1,表示，它,和,和IP互,逆,逆例如,，,，第1位,经,经过初始,置,置换后，,处,处于第58位，而通,过,过逆置换,，,，又将第58位换回到,第,第1位IP,IP,1,DES,中的子密,钥,钥的生成,密钥置换,算,算法的构,造,造准则,设计目标,：,：子密钥,的,的统计独,立,立性和灵,活,活性,实现简单,速度,不存在简,单,单关系：(给定,两,两个有某,种,种关系的,种,种子密钥,能预测,它,它们轮子,密,密钥之间,的,的关系),种子密钥,的,的所有比,特,特对每个,子,子密钥比,特,特的影响,大,大致相同,从一些子,密,密钥比特,获,获得其他,的,的子密钥,比,比特在计,算,算上是难,的,的,没有弱密,钥,钥,DES,三重DES,为了增加,密,密钥的长,度,度，人们,建,建议将一,种,种分组密,码,码进行级,联,联，在不,同,同的密钥,作,作用下，,连,连续多次,对,对一组明,文,文进行加,密,密，通常,把,把这种技,术,术称为,多重加密,技,技术,。

对DES，建议,使,使用3DES增强,加,加密强度,3DES可以用,两,两个密钥,对,对明文进,行,行三次加,密,密，假设,两,两个密钥,是,是K1和K2：,（1）用,密,密钥K1,进,进行DES加密2）用K2对步,骤,骤1的结,果,果进行DES解密,3）对,（,（2）的,结,结果使用,密,密钥K1,进,进行DES加密3DES,的,的缺点是,加,加、解密,速,速度比DES慢三重DES Triple-DES,加密：C=E,k1,D,k2,E,k1,(P),解密：P=D,k1,E,k2,D,k1,(C),DES的,安,安全性,F,函数(S-Box)设计原,理,理未知,密钥长度,的,的争论,DES的,破译,弱密钥与,半,半弱密钥,DES密,钥,钥长度,关于,DES,算法的另,一,一个最有,争,争议的问,题,题就是担,心,心实际,56,比特的密,钥,钥长度不,足,足以抵御,穷,穷举式攻,击,击，因为,密,密钥量只,有,有,个,个,早,在,在,1977,年,，,，,Diffie,和,Hellman,已,建,建,议,议,制,制,造,造,一,一,个,个,每,每,秒,秒,能,能,测,测,试,试100,万,万,个,个,密,密,钥,钥,的,的,VLSI,芯,片,片,。