第三章对称密码体制

1、 l密码的两个基本方法 替换和移位(substitution 解密时a=li; 扩展运算e 48位结果ki + 选择函数组 (s1s8) 32位结果 (a,ki) 置换运算p 32位 l0r0 ip(明文) l1r0 r1 l0(r0,k1) l2r1 r2 l1(r1,k2) l16r15 r16 l15(r15,k16) 密文 ip-1(r16l16) 加密方程： l0r0 ip() lnrn-1 rn ln-1(rn-1,kn) ip-1(r16l16) l重复交替使用选择函数s和置换运算p两种变 换（confusion + diffusion混淆扩散) 混淆(confusion)：使密

2、文与明文的统计关系复杂化。使得输 出是输入的非线性函数；用于掩盖明文和密文间的关系。 通过替换法实现，如s盒。 扩散 (diffusion)：使每位明文尽可能影响多位密文。扩展输 出对输入的相关性，尽量使密文的每一位受明文中多位影 响。通过换位法实现，如p盒。 解密方程 (请证明请证明) r16l16 ip() 记为 l0 = r16， r0 = l16 li = ri -1 ri=li -1 f(ri -1 ,ki) ip-1(l0r0) 加密方程： l0r0 ip() lnrn-1 rn ln-1(rn-1,kn) ip-1(r16l16) 请证明des的解 密流程： l0 = r16，

3、r0 = l16 因为li = ri -1 ri=li -1 f(ri -1 ,ki) 所以l1 = r0 l16=r15 r1=l0 f(r0 ,k1)=r16 f(l16,k16) =l15 f(r15,k16) f(r15,k16) =l15 l2=r1=l15=r14 r2= =l14 l16=r0 r16=l0 ldes的主要弱点： 密钥容量：56位不太可能提供足够的安全性 迭代次数问题 s盒：可能隐含有陷井（hidden trapdoors） 提高加密强度（如增加密钥长度），系统开销呈指数增 长，除提高硬件、并行处理外，算法本身和软件技术无 法提高加密强度。 des的半公开性：s盒

4、的设计原理至今未公布 s 盒是des 的最敏感部分，其原理至今未公开。人们担心s 盒隐 藏陷门，使得只有他们才可以破译算法，但研究中并没有找到弱 点。美国国家安全局透露了s 盒的几条设计准则： 1 所有的s 盒都不是它输入的线性函数。就是没有一个线性方程 能将四个输出比特表示成六个输入比特的函数。 2 改变s 盒的1 位输入，输出至少改变2 位。这意味着s 盒是经 过精心设计的，它最大程度上增大了扩散量。 3 s 盒的任意一位输入保持不变时，输出0 和1 个数之差极小。 即如果保持一位不变而改变其它五位，那么其输出0 和1 的个数 不应相差太多。 4 s盒是精心设计的，它有利于设计者破译密码。

5、 l二重des （二个密钥，长度112位） ： 加密：c=ek2ek1(p) 解密：p=dk1dk2(c) k = k1k2 要防止中途攻击 l三重des（二个密钥） 加密： c=ek1dk2 ek1(p) 解密： p=dk1ek2 dk1(c) l三重des（三个密钥） des-eee3：三个不同密钥，顺序使用三次加密算法 des-ede3：三个不同密钥，依次使用加密-解密-加密算法 l双重双重des 加密加密 解密解密 问题：下式成立吗？问题：下式成立吗？ 12peeckk 21cddpkk 312pepeekkk l没有针对三重没有针对三重des的攻击方法，它是一种较的攻击方法，它是一种

6、较 受欢迎的受欢迎的des替代方案。替代方案。 lhas been adopted by some internet applications, eg pgp, s/mime 121pedeckkk 电码本模式 (electronic codebook) ecb模式 密码分组链接模式 (cipher block chaining) cbc模式 密码反馈模式 (cipher feedback) cfb模式 输出反馈模式（output feedback） ofb模式 ecb（ electronic codebook电码本）模式： 各明文组独立地以同一密钥加密；传送短数据 l相同的明文对应于相同的密

7、文 结构化明文 消息有重复部分 l主要用于发送少数量的分组数据 lcbc模式(cipher block chaining密码分组链接模式) 用途用途：传送 数据；认证 缺点缺点:导致 错误传播 leach ciphertext block depends on all message blocks before lthus a change in the message affects all ciphertext blocks after the change as well as the original block l密文中错误传播 lneed initial value (iv) kn

8、own to sender & receiver hence either iv must be a fixed value (as in eftpos) or it must be sent encrypted in ecb mode before rest of message l可以用于数据完整性保护 lcfb方式(cipher feedback 密码反馈模式) 利用cfb、ofb模式，可将des转换为流密码。流 密码无需填充消息，实时运行。流密码中明文和密 文长度相同。 lappropriate when data arrives in bits/bytes lmost common

9、stream mode lnote that the block cipher is used in encryption mode at both ends lerrors propagate for several blocks after the error 输出反馈模式输出反馈模式 l类似于 cfb lfeedback is from the output of cipher and is independent of message l错误不会被传播 ，不能用于完整性服务 lidea加密算法（瑞士） 1990年赖学佳和james massey of swiss federal ins

10、titute of technology 64位分组，128位密钥，8圈,同一算法既可加密也可解密 daemen发现该算法有多达251个弱密钥 lblowfish bruce schneier 1995发表, 64位分组, 最大到448位可变长 密钥(32448bit密钥密钥)。 lrc5、rc2 ron rivest开发，可变长加密算法 1. aes的起源的起源 l1997年年9月，月，nist征集征集aes方案，以替代方案，以替代des。 l1999年年8月，以下月，以下5个方案成为最终候选方案：个方案成为最终候选方案：mars, rc6, rijndael, serpent, twofi

11、sh。 l2000年年10月，由比利时的月，由比利时的joan daemen和和vincent rijmen提出提出 的算法最终胜出。（的算法最终胜出。（ rijndael 读成读成rain doll。）。） lhttp:/www.esat.kuleuven.ac.be/rijmen/rijndael/ laes被开发用于替代des，但nist预测triple des仍将在近期作 为一种实用的算法，单des将逐步退出。 大体了解p36图3.11(a) l能抵抗所有已知的攻击；能抵抗所有已知的攻击； l在各种平台上易于实现，速度快；在各种平台上易于实现，速度快； l设计简单。设计简单。 rijn

12、dael是一个分组密码算法，其分组是一个分组密码算法，其分组 长度和密钥长度相互独立，都可以改变。长度和密钥长度相互独立，都可以改变。 优劣标准：安全性；计算效率；简便灵活。 分组长度（分组长度（ bit） 128 192 256 密钥长度密钥长度 （bit） 128 192 256 表表 1. 分组长度和密钥长度的不同取值分组长度和密钥长度的不同取值 l按比特进行数据处理 l(伪)随机密钥流 lrandomness of stream key completely destroys any statistically properties in the message ci = mi xor stream keyi l同步流密码 密钥不依赖于明文 l自同步流密码 密钥依赖于明文 l不可重复使用密钥流 l设计流密码主要的考虑因素： 加密序列的周期要长 密钥流应尽可能地接近一个真正的随机数流的特 征 密钥应该足够长 la proprietary cipher owned by rsa dsi lanother ron rivest design, simple but effective lvariable