高级密码学综述和单密钥密码体制

1、1.2 网络自身存在信息安全网络自身存在信息安全-需要密码需要密码网络自身的缺陷、网络的开放性和人为的因素。1网络自身的安全缺陷网络自身的安全缺陷IP层：在IP层TCP/IP只根据IP地址进行数据包的寻址，没有安全认证和保密机制。传输层： TCP连接是建立在“三次握手”的基础上的，也没有认证和保密机制，能被欺骗、截取、操纵。 SYN,SEQ=XSYN,SEQ=Y,ACK=X+1ACK=Y+1发起方A被发起方B应用层： 应用层在认证、访问控制、完整性、保密性等很多安全问题上都存在安全隐患。 如Finger：在TCP/IP协议中，Finger只需要一个IP地址便可以提供许多关于主机的信息。谁在登录

2、、登录时间、登录地址等，这对于一个训练有数的黑客来讲Finger命令就可以成为进入主机的一把利刃。 又如匿名FTP：它虽然是一个合法的帐号，但它不应具有创建文件和目录的权限，否则，黑客完全可以在一个具有写权限的目录内设置一个“特洛依木马”。远程登录：在网络上运行Telnet 、Rlogin等远程登录命令，可以跨越网络传输口令，而TCP/IP对所有传输的信息又不加密，所以黑客只要在所攻击的目标主机的IP包所经过的一条嗅探器程序，就可以截获目标命令。2. 网络的开放性因素网络的开放性因素1.3 网络安全服务与机制离不开密码学网络安全服务与机制离不开密码学1.3.1 安全服务安全服务1.机密性机密性

3、(Confidentially) 机密性是信息不泄露给非授权的用户、实体或过程，或供其利用的特性。它确保在一个计算机系统中的信息和被传输的信息仅能被授权的各方得到。机密性可保护数据免受被动攻击。1）对消息内容的析出，机密性能够确定不同层次的保护，如广义保护可以防止一段时间内两个用户之间传输的所有用户数据被泄漏，狭义保护可以保护单一消息中某个特定字段的内容。 2）对于通信量分析，机密性要求一个攻击不能在通信设备上观察到通信量的源端和目的端、通信频率、通信长度或其他特征。2. 完整性完整性(Integrity)完整性是数据未经授权不能进行改变的特性，即信息在存储或传输过程中不被修改、不被插入或删除

4、的特性。它保证收到的数据确实是授权实体所发出的数据。 完整性服务旨在防止以某种违反安全策略的方式改变数据的价值和存在的威胁 。改变数据的价值是指对数据进行修改和重新排序； 而改变数据的存在则意味着新增、删除或替代它。 与机密性一样，完整性能够应用于一个消息流、单个消息或一个消息中的所选字段。 3.鉴别（鉴别（Identification）信息安全领域中，一般是将一些独一无二的信息（如私钥）同一个人或者其他的实体联系起来，只有他才能够产生这些信息，从而达到识别特定实体的目的。4认证（认证（Authentication）认证是证明和核实特定信息的任意过程。 5. 不可否认性（不可否认性（Non-r

5、eputiation）不可否认性是防止发送方或接收方抵赖所传输的信息，要求无论发送方还是接收方都不能抵赖所进行的传输。 6. 访问控制（访问控制（Access Control）在网络环境中，访问控制是限制或控制通信链路对主机系统和应用程序等系统资源进行访问的能力。防止对任何资源（如计算资源、通信资源或信息资源）进行未授权的访问，即未经授权地使用、泄漏、修改、销毁及颁发指令等。访问控制直接支持机密性、完整性以及合法使用等安全目标。对信息源的访问可以由目标系统控制，控制的实现方式是鉴别或认证。1）访问请求过滤：当一个发起者试图访问一个目标时，需要检查发起者是否被准予访问目标（由控制策略决定）。 2

6、）隔离：从物理上防止非授权用户有机会访问到敏感的目标。 7可用性（可用性（Availability）可用性是可被授权实体访问并按需求使用的特性，也就是说，要求网络信息系统的有用资源在需要时可为授权各方使用，保证合法用户对信息和资源的使用不会被不正当地拒绝。 1.3.2 安全机制安全机制安全机制可分为两类，一类与安全服务有关，是用来实现安全服务的；另一类与管理功能有关，用于加强对安全系统的管理。1.与安全服务有关的安全机制与安全服务有关的安全机制（1） 加密机制 加密机制可用来加密存放着的数据或数据流中的信息。 （2） 数字签名机制数字签名由两个过程组成：对信息进行签字过程和对已签字的信息进行证

7、实的过程。前者使用私有密钥，后者使用公开密钥，用来验证已有签字是否与签字者的私有密钥相关。数字签名机制，必须保证签字只能使用签字者的私有密钥信息。（3） 访问控制机制访问控制机制根据实体的身份及其有关信息来决定该实体的访问权限。访问控制实体常基于采用以下的某一或几个措施：访问控制信息库、证实信息（如口令）、安全标签等。（4） 数据完整性机制在通信中，发送方根据发送的信息产生一额外的信息（如校验码），将额外信息加密以后，随信息本体一同发送出去，接收方接收到本信息后，产生额外信息并与接收到的额外信息进行比较，以判断在信息传输过程中信息本体是否被篡改过。（5）认证交换机制 用来实现同级或不同级之间的

8、认证，可以使用认证的信息，如由发方提供一口令，收方进行验证。 （6）路由控制机制为了使用安全的子网、中继站和链路，既可预先安排网络的路由，也可对其动态地进行选择。安全策略可以禁止带有某些安全标签的信息通过某些子网、中继站和链路。（7）防止业务流分析机制通过填充冗余的业务流来防止攻击者进行业务流分析，填充过的信息要加保密保护才能有效。（8）公证机制公证机制是第三方（公证方）参与数字签名机制，是基于通信双方对第三方的绝对信任。 2. 与管理有关的安全机制与管理有关的安全机制(1) 安全标签机制可以让信息中的资源带上安全标签，以标明其在安全方面的敏感程度或保护级别。可以是显露式或隐藏式的，但都应以安

9、全的方式与相关的对象结合在一起。(2) 安全审核机制审核的任务是指探测出和查明与安全有关的事件。要进行审核，必须具备与安全有关的信息记录设备，以便对这些信息进行分析和报告。 (3) 安全恢复机制安全性恢复机制是在破坏发生后采取的各种恢复动作，建立起具有一定模式的正常安全状态。恢复活动有三种：立即的、临时的和长期的。1.4 网络安全攻击的形式和分类网络安全攻击的形式和分类1.4.1 网络安全攻击的主要形式网络安全攻击的主要形式1. 中断（中断（Interruption）又称为拒绝服务（DOS：Denial of Service）。是指防止或禁止通信设施的正常使用或管理，这是对可用性的攻击， 发送

10、者接收者中断2.截取（截取（Interception）即未获得授权地通过对传输进行窃听和监测，从而获取了对某个资源的访问，这是对机密性的攻击 发送者接收者攻击者1）析出消息内容 2）通信量分析 3篡改（篡改（Modification）它是对通过连接的协议数据单元PDU的真实性、完整性和有序性的攻击。发送者接收者攻击者4.伪造（伪造（Fabrication）伪造是一个非法实体假装成一个合法的实体，这是对真实性的攻击 。发送者接收者攻击者伪造通常与其他主动攻击形式结合在一起才具有攻击性效果，如攻击者重放以前别的合法连接初始化序列的记录，从而获得自己本身没有的某些特权。 5. 重放（重放（Repla

11、y）重放涉及一个数据单元被获取以后的后继重传，以产生一个授权的效果。 接收者攻击者在这种攻击中，攻击者记录下某次通信会话，然后在某个时刻，重放整个会话或其中的一部分。 国际标准化组织对具体的攻击定义如下：伪装（pseudonym）:非法连接（illegal association）：某个具有合法身的攻击者成功地假扮另一实体，随后滥用这个实体权利。攻击者可以是用户，也可以是程序。攻击者以非法的手段形成合法的身份，使得网络资源之间建立非法的连接。攻击者可以是用户，也可以是程序，被威胁的对象是各种网络资源。非授权访问（no-authorized access）：攻击者成功地破坏了访问控制服务（如修改

12、了访问控制文件的内容），实现了越权访问。攻击者可以是用户也可以是程序，被威胁的对象则是网络各种资源。重放（replay）攻击者通过截获信息，然后根据需要，将截获的信息再次重放。攻击者主要是用户，被威胁的对象是用户 拒绝服务（denial of service）：它是指阻止合法的网络用户或其他执行其合法的权限者，如妨碍执行服务或信息传递。攻击者可以是用户，也可以是程序。抵赖（repudiation ）：主要是指使网络用户虚假的否认递交过信息或接收到信息。攻击者可以是用户，也可以是程序。被威胁的对象是用户信息泄漏（leakage of information）： 业务流分析（traffic ana

13、lysis）： 是指攻击者观察通信协议中的控制信息，或对传送中的信息的长度、频率、源或目的地进行分析。攻击者可以是程序，也可以是用户，受威胁的对象是通信系统中的信息。改变信息流（invalid message sequencing ）： 是指通过对正确的通信信息序列进行非法修改、删除、重排序或重复。攻击者可以是用户，也可以是程序，被威胁的对象是通信系统中的信息。篡改或破坏数据（data modification or destruction）： 它是针对传送的信息或存放的数据进行有意的非法修改或删除。攻击者可以是用户，也可以是程序，被威胁的对象是通信系统中的信息或数据库中数据。推断或演绎信息（

14、deduction of information）：由于统计信息数据含有原始的信息踪迹，非法用户利用公布的统计数据，推导出某个信息源是从何处来的值。攻击者可以是用户，也可以是程序。被威胁的对象是数据库中的数据或通信系统中的信息流。非法篡改（illegal modification of programs ）这种威胁具有三种形式：病毒、特洛尹木马和蠕虫。他们破坏操作系统、通信软件或应用程序。威胁可以是程序，也可以是用户，威胁的对象是程序。1.4.2 网络安全攻击形式的分类网络安全攻击形式的分类析出消息内容通信量分析中断篡改伪造重放被动攻击主动攻击攻击形式1.被动攻击被动攻击攻击者只是观察通过一个

15、连接的协议数据单元PDU，以便了解所交换的数据，并不干扰信息流。如搭线窃听、对文件或程序的非法复制等，以获取他人的信息。被动攻击本质上是在传输中的偷听或监视，其目的是从传输中获得信息，被动攻击只威胁数据的机密性。典型的被动攻击形式就是截取，包括析出消息内容和通信量分析。对于被动攻击，通常是难以检测的，因为它们并不会导致数据有任何变化，对付被动攻击的重点是防止而不是检测，可以采用各种数据加密技术进行数据保护。2.主动攻击主动攻击主动攻击是指攻击者对连接中通过PDU进行各种处理，这些攻击涉及某些数据流的更改或一个虚假流的产生。如有选择地更改、删除、增加、延迟、重放，甚至还可将合成的或仿造的PDU送

16、入到一个连接中去。主动攻击的目的是试图即时改变系统资源或影响系统的正常工作，它威胁数据的完整性、真实性和机密性等。主动攻击包括四类：中断、篡改、伪造和重放。1.电气阶段1949年，美国数学家C.Shannon在其著名的“信息论”发表于密码学有关的论文一年以后，又发表了“保密系统的通信理论”，首次将密码学研究置于坚实的数学基础上，该理论的一个重要贡献是，证明了一次一密是完善保密的，导致了对流密码的研究和应用。Shannon理论中的许多结论仍为今天分组密码设计者遵循。2.计算机阶段1976年是密码学历史的重要一年，美国确定了数字加密标准DES,第一次公开加密算法的细节，而把密码的安全性系于对密钥的

17、保密。同时，W.Diffie和M.Hellman发表了划时代的“密码学的新方向”一文，向人们展示公钥密码的广阔天地，3.网络化阶段 在公钥密码提出20年以后特别随着Internet应用的快速发展，以密码为基础网络安全协议和网络应用层出不穷。如以单密钥体制为基础的Kerberos协议；以公开密钥体制为代表的PKI协议和SSL协议和电子商务协议SET。公钥密码突破了Shannon密码的束缚，使得密码学进入了新的阶段。diveThe player dived in goal area to deceive official .offsideAttacking player positioned so

18、 that fewer than 2 opposing defensive players are between him and the goal he is attacking , a player is not offside if he is exactly even with one or both of these defensive players. Time outPenalty shotrefereeOut of boundsOut of play1.6.1 有关术语明文（massage）：不需要任何解密工具就可以读懂内容的信息，称为明文，用M表示。密文（crypto mas

19、sage）：将明文变换成一种在通常情况下无法读懂内容的信息，称为密文，用C来表示。加密（encryption）：由明文到密文的变换过程，称为加密，用E表示。在用密钥K来加密过程控制，通常用EK表示。加密密钥（encryption key）：用于在加密过程中控制加密算法，称为加密密钥，常用K表示。解密（decryption）：接收者从密文恢复成原有的明文过程，称为解密，用D表示。在用密钥K来解密过程控制，通常用DK表示。解密密钥（decryption key）：用于在解密过程中使用的密钥，称为解密密钥。常用K表示。私有密钥（private key），通常是用于个人使用的密钥，仅有一个人保管的，其

20、他人都不知道，有时又称为秘密密钥，通常用SK表示。公开密钥（public Key）其密钥是公开的，无论什么人都可以拥有，常用PK表示。1.6.2 密码体制的划分 1以密钥为标准以密钥为标准通常在加/解运算时，以使用同一个密钥或两个的密钥来划分称为单密钥体制和双密钥体制。在单密钥体制下：加密EK（M）得到密文C解密：DK（C）得到明文M加密/解密仅适用一个密钥K如在双密钥体制下使用K1进行加密，使用K2进行解密加密 Ek1（M）得到密文C解密 DK2(C)得到明文M由于加密和解密用相同，所以密钥不能公开，所以又称为私有密钥密码体制。在双密钥体制下，加密和解密使用不同的密钥，所以又称为不对称密钥体

21、制。单密钥密码体制的特点：由于加密和解密是使用同一个密钥，因此密码体制的安全性就取决密钥的安全性。如果密钥泄露，则密码系统便攻破。优点：加密速度快；在单密钥体制下，加密和解密使用相同的密钥，所以又称为对称密码体制。 由于加密和解密是用不同的密钥，且加密密钥是公开，所以又称双密钥体制为公开密钥体制。缺点：随着网络规模的扩大，密钥的管理成为一个难点；无法解决信息的确认问题；缺乏检测密钥泄露问题。双密钥体制的优点缺点：优点：在双密钥体制下，由于加密密钥和解密密钥不同，且加密密钥是公开的，密钥容易管理。缺点：同单密钥体制相比，加密速度不如单密钥体制速度快。2对明文的处理方式的划分对明文的处理方式的划分

22、按对明文的处理方式，可将密码系统分为分组密码和序列密码。分组密码是用一个固定的变换对等长明文分组进行处理。序列密码，是利用一个时变变换对明文进行比特处理。序列密码的优缺点 优点：处理速度快，实时性好不存在串破译问题。缺点：需要密钥同步。 优点：不需要密钥同步；较强的适应性分组密码的优缺点缺点：加密速度慢；1.6 .3 基本密码通信系统 明文M加密器密钥产生K1解密器密钥产生K2非法入侵者C接收者M密码分析MC=EK1（M）M=Dk2(C)对于主动攻击者他是将原有传输的密文信息C修改为C使得DK2(C)M。对于被动攻击者选择另一个函数H，另一个密钥K3得到 M=hk3(C)2.1 传统密码体制1

23、.替代密码其原理就是用一些符号代替明文的一些符号。例如字母 a,b,c x,y,z 可用D,E, F X,A,B,C相对应进行变换2. 置换密码其原理是按照某一规则重新排列信息中的比特或字符的顺序。如我们以26个英文字母顺序位置来改变明文的顺序位置。使用密钥TYP对明文 can you understand 进行置换加密，可写成表的形式 密 钥 T Y P E 顺 序 3 4 2 1 c a n y o u u n d e r s T a n d我们注意到，以26个字母的顺序号，E在TYPE中为 1 ，P在TYPE中为2，T在TYPE中3， Y在TYPE中为4。由于1对应的ynsd，2对应的n

24、urn，3对应的codt，4对应的auea，按照这样的顺序，得到的密文为ynsdnurncodtauea。2.2 数学方法数学方法1.据阵法设明文信息为： nnnnnnxxxxxxxxxX212222111211设密钥为 nnnnnnkkkkkkkkkK212222111211设密钥K设密文信息为： nnnnnnyyyyyyyyyy212222111211nnnnnnnnnnnnnnnnnnnxxxxxxxxxkkkkkkkkkKXyyyyyyyyyY21222111211212222111211212222111211如果所给的K可逆，即满足0212222111211nnnnnnkkkkkk

25、kkkYKxxxxxxxxxXnnnnnn12122221112112.异或运算异或运算异或运算通常用在序列密码体制中设明文信息表示的比特流或字符流为 kxxxX,21密钥为kkkkK,21 加密时用K=k1，k2 中的第i个元素Ki对明文xi进行加密即：),(),()(2121xExEXEKKKiiiKikxxEyi)(kKKKxxxyDyDYD,),(),()(212121iiiiiiiKxkkxkyyDi)()(密钥序列产生器密钥序列产生器XiXiYiKiKi明文序列明文序列按异或运算在密码学中又称为序列密码。这种体制的保密性完全在于密钥的随机性，如果密钥是真正的随机数，则这种体制在理论

26、上完全不可攻破的 2.2 数据加密标准DES 70年代初期，不仅政府机构，而且工业界、商业界甚至个人，对计算机数据的保密性要求越来越迫切，因此，美国国家国家标准局于1973年5月发出通告，公开征求对计算机数据在传输和存储期间数据加密保护的加密算法。美国的很多公司、研究机构和大学在数年里根据这个征求，实现了许多算法并提交给美国国家标准局，在1975年，美国的IBM公司提出的算法被采纳，并向全国公布征求对采用的算法作为美国信息处理标准的意见，经过两年的热烈讨论，美国国家标准局于1997年正式采用了此算法作为美国数据加密标准。 在此以后，在国际上引起极大的重视。ISO将此算法作为数据加密标准。1.

27、基本原理数据加密标准DES，是将任意长度的明文信息按64比特进行划分，在64比特的密钥控制下对64比特的明文进行加密，输出为64比特的密文。 如果有n个64比特的明文信息，则经DES加密输出的密文信息也是n个64比特的密文。 在DES加密算法中，密钥中还包含8比特的奇偶校验比特，所以实际密钥长度为56比特。 64比特明文64比特密文DES算法加密64比特的密钥（内含8比特校验位）64比特密文64比特明文DES算法解密64比特的密钥（内含8比特校验位）)(MFCK（1）整体算法)(CFMK为了进一步阐述整个过程，我们将其分为加密算法和密钥生成两部分进一步进行阐述。明文（64bit）初始化换位第1

28、层数据处理第2层数据处理第16层数据处理密文（64bit） 解密算法是从密文到明文的变换过程，其处理完全和加密处理相同的算法。不过解密是用加密的逆变换，即将最后换位和初始化换位完全倒过来，也就是从第16层开始，到第一层结束 。585042 34261810 2605244 36282012 4625446 38302214 6645648 40322416 8574941 33251791595143 35271911 3615345 37292113 5635547 39312315 7 605244 362820124625446 38302214664564840322416857494

29、1 33251791595143 352719113615345 372921135635547 393123157 LiRiRi+1Li+1F(Ri，Ki+1)Ki+1),(111iiiiiiRKFLRRL),(111iiiiiiRKFLRRL),(1111iiiiiRKFRLLR（2） 加密算法中的F函数 在16层的每一层数据处理中，仅有函数F（Ri，Ki+1）是非线性，所以具有强度很高的保密性， 扩展型换位R(48bit)S2S1S3S8S7S6S5S4R(32bit)K（48bit）换位R（32bit）5432, 132,rrrrrr，9876,54,rrrrrr，13121110,

30、98,rrrrrr，1323130,2928,rrrrrr，如果32比特的Ri用r1,r2,r32表示从最低到最高位的排列表示的每一位则、.、. . . . . . 得到48比特的Ri 然后将这48比特的Ri和48比特的密钥K进行逻辑异或运算，并将其运算的结果分成8组（每组6位）分别输入到的每个Si中去，从此表中取出对应的32比特的数。对每个Si输入的6比特，首末两位是对应Si表的行，中间4位对应Si表的列，以确定从表中取出的数。 列行0123 45678910 11 12 13 14 15014 413 1 215 11 8910 612 59071015 74 14 213 110 612

31、 11 953824114 8 13 6211 15 12 97310 50315 12 82 4917511 314 10 061316720212912281711523265183110282414322739191330622114253密钥生成密钥生成因为，加密变换需进行16层，为了适应这16层变换，它是将输入的64比特密钥生成对应的16层变换所需的密钥。 密钥（64bit）压缩型换位1密钥（56bit）C1（28bit）D1（28bit）左移左移压缩型换位2K1(48bit)C2（28bit）D2（28bit）左移左移压缩型换位2K2(48bit)C16（28bit）D16（28b

32、it）左移左移压缩型换位2K16(48bit)141711241532815621102319124268167272013241523137475530405145334844493956345346425036293257494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124左移的次数为，在1、2、9、16层分别为左移一次，其它各层分别左移两次 4 多重多重DES现在又有一种在DES基础上发展起来的叫三重DES，已成为商用标准。EDE明文密文

33、K1K2K1DED明文密文K1K2K1lineupsetServe receiveService acestuffTerminal attack首发阵容接发球二传发球直接得分拦网直接得分扣死Back set背 传back slide背 飞Block solo单人拦网Double contact连接On help防重扣seam空当 1.基本原理基本原理IDEA（International Data Encryption Algorithm）是由瑞士联邦技术学院来学嘉和James L. Massey提出，于1990年公布，当时称为PES（Proposed Data Encryption Algor

34、ithm，建议加密标准），1991年，在Biham和Shamir提出差份密码分析之后，设计者推出了改进算法IPES,即改进型建议加密标准。1992年设计者又将IPES改名为IDEA。IDEA使用128比特密钥，整个算法和DES相似，也是将明文划分成一个个64比特长的数据分组，然后经过几次迭代和一次变换，得出64比特的密文。ID涉及到以下三种运算所谓的半加运算，就是在进行二进制运算时，只加不进。1.半加运算，即“异或”运算，用符号“ 3.模216+1乘运算。输入和输出除了全0分组被作为代表216之外，其余作为16bit整数。用符号“ ”表示。2. 模216的加法运算（即mod65536），用符号

35、+实际上是一种异或运算。XXYX YXYX Y十进制二进制十进制二进制十进制二进制十进制二进制十进制二进制000000000101000000101101000101000210210311210000311311210311101000101000101101101210101000101210311210311101311000311210210000210311210210101311210311210210000000000210311101101101311000311210311311101000311210311210101101101311311210000000以上三种运算分

36、配定律即：cbacbabcabacbaa)()(.)()()(.2加密算法加密算法DEA加密算法采用8次迭代。64比特的数据块分成四个子块，每一个子块为16比特。 明文（64bit）x1x2x3x4第1轮.W11W12W13W14Z1Z6：第8轮.W81W82W83W84Z42Z48w71w71w71w71输出变换.y1y2y3y4Z49Z52密文（64bit)+x3x2x1x4z3z2z1z4z6z5+w11w12w13w14+z84z50z52z51y1w83w82w81z49y3y2y43.加密密钥的产生子密钥产生器128bit比特密钥ZZ1Z2Z52加密密钥z1，z2z52 这52个1

37、6bit的子密钥是由128bit密钥的按如下方式生成：8个子密钥z1，z2，.z8直接从加密密钥中取。即z1取前16个bit，z2取下面的16个bit，等等。然后将加密密钥循环左移25位，再取下8个子密钥z9，z10，.z16 取法与z1，z2，.z8相同。这一过程重复下去，直到52个子密钥都被产生为止。加密轮次每轮的加密密钥原始密钥对应的位第一轮Z1Z2Z3Z4Z5Z6Z196第二轮Z7Z8Z9Z10Z11Z12Z97128;2689第三轮Z13Z14Z15Z16Z17Z18Z90128;1125;5182第四轮Z19Z20Z21Z22Z23Z24Z83128;150第五轮Z25Z26Z27

38、Z28Z29Z30Z76128;143第六轮Z31Z32Z33Z34Z35Z36Z4475;101128;136第七轮Z37Z38Z39Z40Z41Z42Z37100;126128;129第八轮Z43Z44Z45Z46Z47Z48Z30125最后置换Z49Z50Z51Z52Z23863.解密算法解密算法完全和加密算法一样，只是使用的控制密钥于加密密钥不一样。密文信息（64bit）y1y2y3y4第1轮.v11v12v13v14u1u6：第8轮.v81v82v83v84u42u48v71v71v71v71输出变换.x1x2x3x4u49u52明文(64bit)4.解密密钥解密密钥和加密密钥一样，

39、也是有52个子密钥，用u1，U2，u52，可由以下几步产生：1）如果将8轮处理和1轮最后置换合计为9轮，则解密过程的第i轮前四个密钥是与加密处理的第(10-i)轮的头4个子密钥导出:第1和第4轮解密密钥是对应于加密处理第1和第4轮加密密钥的模（216+1）乘法逆元。从第2轮到第8轮，第2和第3个解密子密钥对应第2和第3个加密子密钥模216加法逆元。 2）对于前8轮处理来说，第i轮的最后两个解密密钥等于加密处理（9-i）轮的最后两个子密钥。如果我们用表示Zj-1乘法逆元则可得到以下：Zj Zj-1=1 如果我们用-Zj表示加法逆元则有： -Zj+Zj=0U1U2U3U4U5U6= Z49-1-Z

40、50-Z51Z52-1Z47Z48U7U8U9U10U11U12= Z43-1-Z45-Z44Z46-1Z41Z42U13U14U15U16U17U18= Z37-1-Z39-Z38Z40-1Z35Z36U19U20U21U22U23U24= Z31-1-Z33-Z32Z34-1Z29Z30 U25U26U27U28U29U30= Z25-1-Z27-Z26Z28-1Z23Z24U31U32U33U34U35U36= Z19-1-Z21-Z20Z22-1Z17Z18U37U38U39U40U41U42= Z13-1-Z21-Z20Z22-1Z17Z18U43U44U45U46U47U48= Z

41、7-1-Z9-Z8Z10-1Z5Z6U49U50U51U52= Z1-1-Z2-Z3Z3-1加、解密轮次每轮的加密密钥每轮的解秘密密钥第一轮Z1Z2Z3Z4Z5Z6Z49-1-Z50-Z51Z52-1Z47Z48第二轮Z7Z8Z9Z10Z11Z12Z43-1-Z45-Z44Z46-1Z41Z42第三轮Z13Z14Z15Z16Z17Z18Z37-1-Z39-Z38Z40-1Z35Z36第四轮Z19Z20Z21Z22Z23Z24Z31-1-Z33-Z32Z34-1Z29Z30第五轮Z25Z26Z27Z28Z29Z30Z25-1-Z27-Z26Z28-1Z23Z24第六轮Z31Z32Z33Z34Z3

42、5Z36Z19-1-Z21-Z20Z22-1Z17Z18第七轮Z37Z38Z39Z40Z41Z42Z13-1-Z21-Z20Z22-1Z17Z18第八轮Z43Z44Z45Z46Z47Z48Z7-1-Z9-Z8Z10-1Z5Z6最后置换Z49Z50Z51Z52Z1-1-Z2-Z3Z3-15.加密与的对应关系+x3x2x1x4z3z2z1z4z6z5+w11w12w13w14数据变换子加密MAw11w12w13w14变 换x1x2x3x4子加密I11I12I13I14第1轮Z1.z4Z5.z6W21w22w23w24I23I21I22变 换子加密I24第2轮Z7.z10Z11. z12变 换w71

43、w72w73w74子加密I81I82I83I84第8轮W81w82w83w84输出变 换y1y2y3y4Z43. z46Z47 z48Z49. z52变变 换换y1y4y2y3J11J14J12J13子加密子加密v11v14v12v13第1轮U1U4U5，U6变 换子加密v21v24v22v23J21J24J22J23U7U10U11U12J81J84J82J83v71v74v72v73变 换子加密子加密v81v84v82v83输出变 换U43U46U47，U48U49U52+z84z50z52z51y1w83w82w81z49y3y2y4Y1=W81 Z49+Y2=W85Z50+Y3=W82

44、Z51Y4=W84 Z52J11=Y1 U1+J12=Y2U2J14=Y4 U4+J13=Y3U3y3y2y1y4u3u2u1z4+x1x3x4x2z1z2z3u4w13w12w11w14然后分别将w11、w12、w13、w14用J11、J12、J13、J14表示将解密子密钥表达并将代入得：J11=Y1 U1=y1 z49-1=w81 z49 z49-1=w81+J12=Y2U2+=Y2-Z50+=W81Z50-Z50=w83+J13=Y3U3+=Y3-Z51+=W82Z51-Z51=w82J14=Y4 U4=Y4 Z52-1=W84 Z52 Z52-1=w84W81=I81MAR（I81，I

45、82I83I84）W82=I83MAR（I81，I82I83I84）W83=I82MAL（I81，I82I83I84）W84=I84MAL（I81，I82I83I84）V11=J11MAR(J11,J12J13J14） =W81MAR(W81,W83W82W84）=I81MAR（I81，I82I83I84）MAR（I81，I82I83I84） =I81MAR（I81，I82I83I84）MAR=I81I83MAR（I81，I82I83I84）I81MAR（I81，I82I83I84）MAL，I82（I81，I82I83I84）MALI84（I81，I82I83I84）类似可得V12=I83V13=I82V14=I84结论：解密过程第1轮输出等于加密过程倒数第8轮第1步的输入V81=I11V82=I13V83=I12V84=I14其他对称密钥算法简介LOKI算法 它是由澳大利亚人在1990年提出来的，作为DES的一种潜在的替代算法，它也用64bit的密钥对64bit的数据块进行加密和解密。 LOKI算法机制同DES相似，首先，数据块同密钥进行异或操作（不同于DES的初始变换）。LOKI算法易用软件实现，并且有密码学上的优点，数据块被对半分成左