第02章对称密钥密码体系

1、第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security第第2章章 对称秘钥密码体系对称秘钥密码体系 2.1 密码体系的原理和基本概念密码体系的原理和基本概念2.2 数据加密标准数据加密标准(DES)2.3 IDEA2.4 AES 2.5 序列密码序列密码 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.1 密码体系的原理 加密 解密 明文 密文 原始明文 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Securit

2、y加密解密公式加密解密公式 明文用明文用M（消息）或（消息）或P（明文）表示，密文用（明文）表示，密文用C表示。表示。加密函数加密函数E作用于作用于M得到密文得到密文C，用数学式子表示为：，用数学式子表示为： E（M）=C 相反地，解密函数相反地，解密函数D作用于作用于C产生产生M D（C）=M 先加密后再解密消息，原始的明文将恢复出来，下面先加密后再解密消息，原始的明文将恢复出来，下面的等式必须成立：的等式必须成立：D（E（M）=M第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.1.2 安全密码准则安全密码准则所有算法的安

3、全性都所有算法的安全性都基于密钥的基于密钥的安全性安全性，而，而不是不是基于基于算法细节的算法细节的安全性安全性。 只有公开的算法才是安全的只有公开的算法才是安全的。 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 2.1.3 对称密钥密码和非对称密钥密码对称密钥密码和非对称密钥密码 基于密钥的算法通常有两类：基于密钥的算法通常有两类：对称算法和非对称算法对称算法和非对称算法。 对称算法有时又叫传统密码算法，就是对称算法有时又叫传统密码算法，就是加密密钥能够加密密钥能够从解密密钥中容易地推算出来从解密密钥中容易地推算出来，反过

4、来也成立。，反过来也成立。 在大多数对称算法中，加在大多数对称算法中，加/ /解密密钥是相同的。解密密钥是相同的。 对称算法可分为两类。对称算法可分为两类。 一一次只对明文中的单个比特（有时对字节）次只对明文中的单个比特（有时对字节）运算的算运算的算法称为法称为序列密码或流密码算法序列密码或流密码算法。 另一类算法是对明文的一组比特进行运算，这些比特另一类算法是对明文的一组比特进行运算，这些比特组组称为分组称为分组，相应的算法称为分组算法。，相应的算法称为分组算法。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security图2-4 分组密

5、码的工作原理 加 密 算 法 mbit 明 文 xbit 密 钥 nbit 密 文 解 密 算 法 xbit 密 钥 mbit 明 文 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 非对称算法是这样设计的：用作非对称算法是这样设计的：用作加密的密钥不加密的密钥不同于用作解密的密钥同于用作解密的密钥，而且，而且解密密钥不能根据解密密钥不能根据加密密钥计算出来加密密钥计算出来（至少在合理假定的有限时（至少在合理假定的有限时间内）。间内）。 非对称算法也叫做非对称算法也叫做公开密钥算法公开密钥算法，是因为加密，是因为加密密钥能够公

6、开，即陌生者能用加密密钥加密信密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。息，但只有用相应的解密密钥才能解密信息。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.1.4 密码分析密码分析 根据被破译的难易程度，不同的密码算法具有不同的安全等级 如果如果破译算法的破译算法的代价代价大于加密数据的价值大于加密数据的价值，那么可能是安全的。，那么可能是安全的。 如果破译算法如果破译算法所需的所需的时间时间比加密数据比加密数据保密保密的时间更长，那么可的时间更长，那么可能是安全的。能是安全的。 如

7、果用单密钥如果用单密钥加密的加密的数据量数据量比破译算法需要的比破译算法需要的数据量少得多数据量少得多，那么可能是安全的。那么可能是安全的。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security复杂性复杂性 几乎所有密码系统在唯密文攻击中都是可破的几乎所有密码系统在唯密文攻击中都是可破的，只，只要简单地一个接一个地去试每种要简单地一个接一个地去试每种可能的密钥可能的密钥，并且，并且检查所得明文是否有意义。这种方法叫做检查所得明文是否有意义。这种方法叫做蛮力攻击蛮力攻击。 密码学更关心密码学更关心在计算上不可破译的密码系统在计算上不可破

8、译的密码系统。如果。如果一个算法用（现在或将来）一个算法用（现在或将来）可得到的资源可得到的资源在可在可接受接受的时间内的时间内都不能破译，这个算法则被认为在都不能破译，这个算法则被认为在计算上计算上是安全的是安全的。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security可以用不同方式衡量攻击方法的复杂性：(1) (1) 数据复杂性数据复杂性：用作攻击输入所需要的数据量。：用作攻击输入所需要的数据量。(2) (2) 时间复杂性时间复杂性：完成攻击所需要的时间。：完成攻击所需要的时间。(3) (3) 存储复杂性存储复杂性：进行攻击所需要

9、的存储量。：进行攻击所需要的存储量。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.2 数据加密标准数据加密标准(DES) 2.2.1 DES算法算法 DES加密算法如图加密算法如图2-3所示，由以下四个部分组成。所示，由以下四个部分组成。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 1. 初始置换函数初始置换函数IP DES对对64位明文分组进行操作。首先，位明文分组进行操作。首先，64位明文分组位明文分组x经过经过一个一个初始置换函数初始置换函数IP，

10、产生，产生64位的输出位的输出x0，再将分组，再将分组x0分成分成左半部分左半部分L0和右半部分和右半部分R0，即：，即： x x0 0=IP(x)=L=IP(x)=L0 0R R0 0 置换表如表2-1所示。此表顺序为从上到下，从左至右。如初始置换把明文的第58位换至第1位，把第50位换至第二位，以此类推。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security表2-1 初始置换IP58 50 42 34 26 18 10 260 52 44 36 28 20 12 462 54 46 38 30 22 14 664 56 48 40

11、 32 24 16 857 49 41 33 25 17 9 159 51 43 35 27 19 11 361 53 45 37 29 21 13 563 55 47 39 31 23 15 7第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security图2-5 DES加密算法6 4 比特明文输入I P3 2b i t L03 2b i t R0+FL1= R0R1= L0F ( R0, K1)L2= R1R2= L1F ( R1, K2)L1 5= R1 4R1 5= L1 4F ( R1 4, K1 5)L1 6= L1 5F ( R

12、1 5, K1 6)R1 6= R1 5I P- 16 4 比特密文输出+F+FK1( 4 8)K2( 4 8)K1 6( 4 8)第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 2获取子密钥获取子密钥Ki DES加密算法的密钥长度为56位，但一般表示为64位，其中，每个第8位用于奇偶校验。在DES加密算法中，将用户提供的64位初始密钥经过一系列的处理得到K1，K2，K16，分别作为116轮运算的16个子密钥。现在来看如何获得这16个子密钥。 首先，将64位密钥去掉8个校验位，用密钥置换PC1置换剩下的56位密钥；再将56位分

13、成前28位C0和后28位D0两部分，即PC1(K56)=C0D0。密钥置换PC-1如表2-2所示。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security表2-2 密钥置换PC157 49 41 33 25 17 91 58 50 42 34 26 1810 2 59 51 43 35 2719 11 3 60 52 44 3663 55 47 39 31 23 157 62 54 46 38 30 2214 6 61 53 45 37 2921 13 5 28 20 12 4 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Netw

14、ork and Information Security 接下来，根据轮数，这两部分分别接下来，根据轮数，这两部分分别循环循环左移左移1位或位或2位位。具体每轮移位的位数。具体每轮移位的位数如表如表2-3所示。所示。 表2-3 每轮移动的位数 轮次 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 位数 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 移动后，将两部分合并成移动后，将两部分合并成56位后通过压缩置换位后通过压缩置换PC2后

15、得到后得到48位子密钥，即位子密钥，即Ki=PC-2(CiDi)。压缩置换压缩置换如表如表2-4所示。所示。表2-4 压缩置换PC2 14 17 11 24 1 514 17 11 24 1 53 28 15 6 21 103 28 15 6 21 1023 19 12 4 26 823 19 12 4 26 816 7 27 20 13 216 7 27 20 13 241 52 31 37 47 5541 52 31 37 47 5530 40 51 45 33 4830 40 51 45 33 4844 49 39 56 34 5344 49 39 56 34 5346 42 50 36

16、 29 3246 42 50 36 29 329,18?9,18?第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security图2-6 子密钥产生 56位密钥PC-1C0D0左移左移C1D1PC-2K1左移左移CiDiPC-2Ki左移左移C16D16PC-2K16第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security3密码函数密码函数F1) 函数函数F的操作步骤的操作步骤 密码函数密码函数F的输入是的输入是32比特数据和比特数据和48比特的比特的子密钥，其操作步骤如图子密钥，其操作

17、步骤如图2-5所示。所示。(1) 扩展置换扩展置换(E)。将数据的右半部分。将数据的右半部分Ri从从32位扩展位扩展为为48位。位选择函数位。位选择函数(也称也称E盒盒)如表如表2-5所示。所示。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security图2-7 F(Ri, Ki)计算 Ri1(32比特)E48比特S1S2S3S4S5S6S7S8Ki(48比特)P32比特输出第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security表2-5 扩展置换(E) 32 1 2 3 4 54

18、 5 6 7 8 98 9 10 11 12 1312 13 14 15 16 1716 17 18 19 20 2120 21 22 23 24 2524 25 26 27 28 2928 29 30 31 32 1第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security (2) 异或。扩展后的48位输出E(Ri)与压缩后的48位密钥Ki作异或运算。 (3) S盒替代。将异或得到的48位结果分成八个6位的块，每一块通过对应的一个S盒产生一个4位的输出。八个S盒如表2-6所示。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Netwo

19、rk and Information Security S盒的具体置换过程为：某个盒的具体置换过程为：某个Si盒的盒的6位输入的第位输入的第1位和第位和第6位形成一个位形成一个2位的二进制数位的二进制数(从从03)，对应表中对应表中的某一行的某一行；同时，输入的中间；同时，输入的中间4位构成位构成4位二进制数位二进制数(从从015)对应表中的对应表中的某一列某一列(注意：行和列均从注意：行和列均从0开始计开始计数数)。 例如，第例如，第8个个S盒的输入为盒的输入为001011，前后，前后2位形成的位形成的二进制数为二进制数为01，对应第，对应第8个个S盒的第盒的第1行；中间行；中间4位为位为0

20、101，对应同一，对应同一S盒的第盒的第5列。列。 从表从表2-6中可得中可得S8盒的第盒的第1行第行第5列的数为列的数为3，于是，于是就用就用0011代替原输入代替原输入001011。 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security表 2-6 S 盒 S1盒14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 70 15 7 4 14 2 13 1 10 6 12 11 9 5 3 84 1 14 8 13 6 2 11 15 12 9 7 3 10 5 015 12 8 2 4 9 1 7 5 11 3

21、14 10 0 6 13S2盒15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 103 13 4 7 15 2 8 14 12 0 1 10 6 9 11 50 14 7 11 10 4 13 1 5 8 12 6 9 3 2 1513 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information SecurityS3盒10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 813 7 0 9 3 4 6 10 2 8 5 14 12 11 15 113

22、6 4 9 8 15 3 0 11 1 2 12 5 10 14 71 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12S4盒7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 1513 8 11 5 6 15 0 3 4 7 2 12 1 10 14 910 6 9 0 12 11 7 13 15 1 3 14 5 2 8 43 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14S5盒2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 914 11 2 12 4 7 13 1 5 0 15 10 3 9 8 64

23、 2 1 11 10 13 7 8 15 9 12 5 6 3 0 1411 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information SecurityS6盒12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 1110 15 4 2 7 12 9 5 6 1 13 14 0 11 3 89 14 15 5 2 8 12 3 7 0 4 10 1 13 11 64 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13S7盒4 11 2 14 15 0 8

24、 13 3 12 9 7 5 10 6 113 0 11 7 4 9 1 10 14 3 5 12 2 15 8 61 4 11 13 12 3 7 14 10 15 6 8 0 5 9 26 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12S8盒13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 71 15 13 8 10 3 7 4 12 5 6 11 0 14 9 27 11 4 1 9 12 14 2 0 6 10 13 15 3 5 82 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11第第2 2章章 对称秘钥密码体系对

25、称秘钥密码体系 Network and Information Security (4) P盒置换。将八个S盒的输出连在一起生成一个32位的输出，输出结果再通过置换P产生一个32位的输出即：F(Ri, Ki)。表2-7为P盒置换。至此，密码函数F的操作就完成了。 最后，将最后，将P盒置换的结果与最初的盒置换的结果与最初的64位分组的左位分组的左半部分异或，然后左、右半部分交换，接着开始下一半部分异或，然后左、右半部分交换，接着开始下一轮计算。轮计算。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 表2-7 P盒置换 16 7

26、20 2129 12 28 171 15 23 265 18 31 102 8 24 1432 27 3 919 13 30 622 11 4 25第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 2) 函数函数F的设计的设计 函数函数F是是DES加密的核心，它依赖于加密的核心，它依赖于S盒的设计盒的设计。这也适用于其它的对称分组加密算法。下面我们简单这也适用于其它的对称分组加密算法。下面我们简单讨论一下有关讨论一下有关F函数的一些通用设计准则以及函数的一些通用设计准则以及S盒设计盒设计问题。问题。 (1) F的设计准则的设计准

27、则。函数。函数F的基本功能就是的基本功能就是“扰乱扰乱(confusion)”输入，因此，对于输入，因此，对于F来说，其非线性越高来说，其非线性越高越好，也就是说，要恢复越好，也就是说，要恢复F所做的所做的“扰乱扰乱”操作越难越操作越难越好。好。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 其它的设计准则还包括严格其它的设计准则还包括严格雪崩准则雪崩准则(SAC) 和和比特独立准则比特独立准则(BIC) 。 所谓所谓SAC，就是要求算法具有良好的雪崩效应，就是要求算法具有良好的雪崩效应，输入当中的输入当中的一个比特发生变化都

28、应当使输出产生一个比特发生变化都应当使输出产生”尽可能多尽可能多” 的比特变化的比特变化。 严格地说，就是当任何单个输入比特位严格地说，就是当任何单个输入比特位i发生变换时，一个发生变换时，一个S盒的第盒的第j比特输出位发生变换的概率应为比特输出位发生变换的概率应为1/2，且对任意的，且对任意的i,j都应都应成立。成立。 BIC的意思是当的意思是当单个输入比特位单个输入比特位i发生变化时，输出比特位发生变化时，输出比特位j,k的变化应当互相独立的变化应当互相独立，且对任意的，且对任意的i,j,k均应成立。均应成立。 SAC和和BIC可以有效的增强可以有效的增强F函数的函数的“扰乱扰乱”功能。功

29、能。 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security (2) S盒设计盒设计。S盒的设计在对称分组密码盒的设计在对称分组密码研究领域中起着举足轻重的作用。本质上，研究领域中起着举足轻重的作用。本质上，S盒的作用就是对输入向量进行处理，使得输出盒的作用就是对输入向量进行处理，使得输出看起来更具随机性，输入和输出之间应当看起来更具随机性，输入和输出之间应当是非是非线性的线性的，很难用线性函数来逼近。，很难用线性函数来逼近。 显然，显然，S盒的尺寸是一个很重要的特性。盒的尺寸是一个很重要的特性。一个一个S盒其输入为盒其输入为n比特，

30、输出为比特，输出为m比特。比特。DES的的S盒大小为盒大小为64 。S盒越大，就越容易盒越大，就越容易抵制抵制差分和线性差分和线性密码分析。密码分析。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security Mister和和Adams提出了很多的提出了很多的S盒设计原盒设计原则，其中包括要求则，其中包括要求S盒满足盒满足SAC和和BIC的的原则原则，以及，以及S盒的所有列的盒的所有列的全部线性组合全部线性组合应当满足一类称为应当满足一类称为bent函数的高度非线函数的高度非线性布尔函数的原则性布尔函数的原则。 Bent函数具有很多有趣的

31、特性，其中，函数具有很多有趣的特性，其中，高度非线性高度非线性和最高阶的严格雪崩准则对和最高阶的严格雪崩准则对于于S盒的设计尤为重要。盒的设计尤为重要。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security Nyberg提出了以下几种提出了以下几种S盒的设计和实践原盒的设计和实践原则：则： 随机性随机性：采用某些伪随机数发生器或随：采用某些伪随机数发生器或随机数表格来产生机数表格来产生S盒的各个项。盒的各个项。 随机测试随机测试：随机选择：随机选择S盒各个项，然后按盒各个项，然后按照不同准则测试其结果。照不同准则测试其结果。 数学构造

32、数学构造：根据某些数学原理来产生：根据某些数学原理来产生S盒。盒。其好处就是可以根据其好处就是可以根据数学上的严格证明数学上的严格证明来抵御来抵御差差分分和和线性密码线性密码分析，并且可以获得很好的扩散分析，并且可以获得很好的扩散(Diffusion)特性。特性。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 4末置换函数末置换函数IP-1 末置换是初始置换的逆变换。对L0和R0进行1616轮相同的运算后，将得到的两部分数据合轮相同的运算后，将得到的两部分数据合在一起，经过一个末置换函数就可得到在一起，经过一个末置换函数就可得

33、到6464位的位的密文密文c c，即：，即： c=IPc=IP-1-1(R(R1616L L1616) ) （ 1616指的是指的是1616轮）轮） 表2-8列出了该变换。 第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security表2-8 末 置 换IP-140 8 48 16 56 24 64 3239 7 47 15 55 23 63 3138 6 46 14 54 22 62 3037 5 45 13 53 21 61 2936 4 44 12 52 20 60 2835 3 43 11 51 19 59 2734 2 42 10

34、 50 18 58 2633 1 41 9 49 17 57 25第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security5总结根据上面所述，可以将DES算法归结如下：子密钥生成： C0D0 = PC1(K) for 1 = i = 16 Ci = LSi(Ci1) Di = LSi(Di1) Ki = PC2(CiDi)第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security加密过程：L0R0 = IP(x)for 1 = i = 16Li = Ri1Ri = Li1 XOR

35、f(Ri1, Ki)c= IP1(R16L16)v第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security解密过程：R16L16 = IP(c)for 1 = i = 16Ri1 = LiLi1 = Ri XOR f(Li, Ki)x= IP1(L0R0)第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 2.2.2 三重三重DES 三重三重DES是是DES的一种变形的实现方式，如图的一种变形的实现方式，如图2-10所示。所示。从图中我们可以得到其加从图中我们可以得到其加/

36、解密运算为：解密运算为： 加密：加密：c=Ec=EK3K3(D(DK2K2(E(EK1K1(m) (m) 解密：解密：? ? m=D m=DK1K1(E(EK2K2(D(DK3K3(c)(c) 其中，其中，K1、K2、K3为为56位位DES密钥。为了获得更高的安密钥。为了获得更高的安全性，三个密钥应该选择为互不相同。但在某些情况下，如全性，三个密钥应该选择为互不相同。但在某些情况下，如与原来的与原来的DES保持兼容保持兼容，则可以选择，则可以选择K1=K3。?注：所谓兼容就是原来的加密和解密不变化（可以继续使用）注：所谓兼容就是原来的加密和解密不变化（可以继续使用）第第2 2章章 对称秘钥密码

37、体系对称秘钥密码体系 Network and Information Security图2-12 三重DES DESDES1DESDESDES1DES1K1K2K3明文密文加密解密第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.3 IDEA IDEA即国际数据加密算法，它的原型是即国际数据加密算法，它的原型是PES(Proposed Encryption Standard)。对。对PES改进后的改进后的新算法称为新算法称为IPES，并于，并于1992年改名为年改名为IDEA(International Data Encryp

38、tion Algorithm)。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security IDEAIDEA是一个分组长度为是一个分组长度为6464位的分组密码算法，密钥长位的分组密码算法，密钥长度为度为128128位，同一个算法即可用于加密，也可用于解密。位，同一个算法即可用于加密，也可用于解密。 IDEA的加密过程包括两部分： (1) (1) 输入的输入的6464位明文组位明文组分成分成四个四个1616位子分组位子分组：X X1 1、X X2 2、X X3 3和和X X4 4。四个子分组作为算法第一轮的输入，总共进行四个子分组作为算法

39、第一轮的输入，总共进行八轮的迭代运算，产生八轮的迭代运算，产生6464位的密文输出位的密文输出。 (2) (2) 输入的输入的128128位会话密钥产生八轮迭代所需的位会话密钥产生八轮迭代所需的5252个子个子密钥密钥( (八轮运算中每轮需要六个，还有四个用于输出变八轮运算中每轮需要六个，还有四个用于输出变换换) )。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 子密钥产生：子密钥产生：输入的输入的128位密钥分成八个位密钥分成八个16位子密钥位子密钥(作为第一轮运算的六个和第二轮作为第一轮运算的六个和第二轮运算的前两个密钥

40、运算的前两个密钥)；将；将128位密钥循环左移位密钥循环左移25位后再得八个子密钥位后再得八个子密钥(前面四个用于第二轮，前面四个用于第二轮，后面四个用于第三轮后面四个用于第三轮)。这一过程一直重复，。这一过程一直重复，直至产生所有密钥。直至产生所有密钥。 IDEA的解密过程和加密过程相同，只是的解密过程和加密过程相同，只是对子密钥的要求不同。表对子密钥的要求不同。表2-8给出了加密子密给出了加密子密钥和相应的解密子密钥。钥和相应的解密子密钥。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.4 高级加密标准（AES）2.4.

41、1 高级加密标准产生背景高级加密标准产生背景19971997年年4 4月月1515日，美国日，美国国家标准与技术研究所国家标准与技术研究所(NIST)(NIST)发起发起征集征集AES(Advanced AES(Advanced Encryption Standard)Encryption Standard)的活动。对的活动。对AESAES的基本要求是：的基本要求是：比三重比三重DESDES快，至少快，至少与三重与三重DESDES一样安全，数据分组长度为一样安全，数据分组长度为128128比特比特，密钥长度为，密钥长度为128/192/256128/192/256比比特。特。19981998年

42、年8 8月月1212日，在首届日，在首届AESAES会议上公布了会议上公布了AESAES的的1515个候选算法个候选算法，任由全世界，任由全世界各机构和个人攻击和评论。各机构和个人攻击和评论。19991999年年3 3月，在第二届月，在第二届AESAES会议上从会议上从1515个候选算法中选出个候选算法中选出5 5个个。20002000年年4 4月月1313号和号和1414号，召开第三届号，召开第三届AESAES会议。会议。20002000年年1010月月2 2日，日，NISTNIST宣布宣布RijndaelRijndael作为新的作为新的AESAES，RijndaelRijndael终于脱颖

43、而出。终于脱颖而出。介绍其中的介绍其中的3 3个。个。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.4.2 Rijndael算法算法Rijndael（荣代尔）算法是比利时的Joan Daemen和Vincent Rijmen设计的，该算法的原形是Square算法。它的设计策略是宽轨迹策略。宽轨迹策略是针对差分分析和线性分析提出的一种新的策略，其最大优点是可以给出算法的最佳差分特性的概率及最佳线性逼近的偏差的界。由上述条件可以分析算法抵抗差分密码分析和线性密码分析的能力。Rijndael采用的是代替/置换算法。每一轮由以下3

44、层组成。线性混合层：确保多轮之上的高度扩散。非线性层：由16个S盒并置而成，起到混淆的作用。密钥加层：子密钥简单地异或到中间状态上。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security（4） 轮密

45、钥加(AddRoundKey)轮密钥加(AddRoundKey，ARK):在轮密钥加变换中，每一轮的轮密钥按位与状态进行异或运算.轮密钥通过密钥按照密钥方案来生成，下面将具体描述密钥方案。第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security2.5 序列密码序列密码2.5.1 序列密码原理序列密码原理序列密码加密时将明文划分成字符（如单个字母）或其编码的基本单序列密码加密时将明文划分成字符（如单个字母）或其编码的基本单元（如元（如0、1），然后将其与密钥流进行运算（通常为异或），解密），然后将其与密钥流进行运算（通常为异或），解密时以

46、同步产生的相同密钥流实现解密。时以同步产生的相同密钥流实现解密。 加密明文密文 解密原始明文密钥流密钥流密钥流生成器密钥流生成器 序列密码原理框图第第2 2章章 对称秘钥密码体系对称秘钥密码体系 Network and Information Security 序列密码强度完全依赖于密钥流产生器所产生的序列的序列密码强度完全依赖于密钥流产生器所产生的序列的随机性和不可预测性随机性和不可预测性，其核心问题是密钥流生成器的设，其核心问题是密钥流生成器的设计。而保持计。而保持收发两端密钥流的精确同步收发两端密钥流的精确同步是实现可靠解密是实现可靠解密的关键技术。的关键技术。 迄今为止，只有一种理论上不可破的加密方案，叫做迄今为止，只有一种理论上不可破的加密方案，叫做一一次一密乱码本次一密乱码本，这是一种序列密码。其基本思想是让密，这是一种序列密码。其基本思想是让密钥和明文一样长，密钥称为乱码本，用一次便不再用钥和明文一样长，密钥称为乱码本，用一次便不再用 。将密钥与明文异或得到密文，接收者用同样的密钥与密将密钥与明文异或得到密文，接收者用同样的密钥与密文异或即得到明文