第三章 分组密码与数据加密标准 ppt课件

1、LOGO密码编码学与网络安全密码编码学与网络安全福州大学软件学院 林宇峰 Lin_yfyahoo第三章第三章 分组密码和数据加密标准分组密码和数据加密标准 回顾上节课内容回顾上节课内容v分组加密分组加密v数据加密标准数据加密标准矛与盾矛与盾v较小的分组：较小的分组：v 1.密码系统等价于传统的代换密码密码系统等价于传统的代换密码v 2.利用统计分析法破解轻而易举）利用统计分析法破解轻而易举）v 3.脆弱性的来源：小，而非代换脆弱性的来源：小，而非代换v 4.若若n充分大，且有可逆变换，掩盖统计学特充分大，且有可逆变换，掩盖统计学特征征v大规模分组大规模分组v 1.密钥的确定密钥的确定vn=4

2、：4*16=64；n=64：64*264=270v密钥长度密钥长度 ： n*2n，变换为，变换为2n！Feistel网络网络Feistel解密解密DES加密算法加密算法Keyi (48bit)vC0D0 vvC15D15 轮轮 One Round轮函数轮函数 Round FunctionS盒盒 S-Boxes：1/4两边两边2比特选择行号比特选择行号中间中间4比特选择列号比特选择列号强劲的分析方法强劲的分析方法v蛮力攻击蛮力攻击v计时攻击计时攻击v差分分析差分分析v线性分析线性分析v正面分析密码算法的新技术，正面分析密码算法的新技术，v在很多算法上取得很好的效果在很多算法上取得很好的效果蛮力攻

3、击对明文内容的要求蛮力攻击对明文内容的要求* 问题：如何辨别出来？问题：如何辨别出来？对给定的某个密文，任何一个密钥都可以解密出一个可能对给定的某个密文，任何一个密钥都可以解密出一个可能的明文，但是其中应该只有一个是正确的明文。的明文，但是其中应该只有一个是正确的明文。必须事先知道明文的结构，比如已经知道这是必须事先知道明文的结构，比如已经知道这是文字文本、源程序图像、声音、压缩的？）文字文本、源程序图像、声音、压缩的？）如果有两个密钥，解密出来的两个明文都有意义？如果有两个密钥，解密出来的两个明文都有意义？可能性极小可能性极小因为密钥空间因为密钥空间2k 可逆映射个数可逆映射个数(2n)!O

4、ne time pad就是让对手分辨不出哪个更像正确明文就是让对手分辨不出哪个更像正确明文差分分析差分分析 Differential CryptanalysisvBiham, Shamir (S)v1991vNSA,1974v攻击实例攻击实例v对对 8轮轮DES，只需微机几分钟，只需微机几分钟v对对16轮轮DES，复杂度为，复杂度为247v需这么多的选择明文，使本方法只有理论意义需这么多的选择明文，使本方法只有理论意义vDifferential Cryptanalysis of the Full 16-round DES差分密码分析的威力差分密码分析的威力v第一种小于第一种小于255的复杂度对

5、的复杂度对DES进行破译的方进行破译的方法法v要求要求247个选择的明文，个选择的明文，247的复杂度。的复杂度。v对对DES的效用：的效用：v 1.1974年，年，IBM研究小组就知晓改分析方法研究小组就知晓改分析方法v 2.S盒子和盒子和P置换的设计考虑到了这中攻击方法置换的设计考虑到了这中攻击方法v对对IDEA的影响：的影响：PES128的修改版的修改版差分密码分析攻击差分密码分析攻击v 设明文m(m0,m1)v 每次循环产生32bit的新分组miv 那么：v 设明文m，mv ),(11iiiikmfmmiiimmmmmm差分密码分析攻击策略差分密码分析攻击策略v总体策略：总体策略：v

6、基于对整个循环的考虑基于对整个循环的考虑v整个过程：整个过程：v 从给定的具体的两个明文从给定的具体的两个明文m，m开场，跟踪开场，跟踪每个循环之后的差值模式利用概率等知识以每个循环之后的差值模式利用概率等知识以便产生一个可能的密文差值模式。便产生一个可能的密文差值模式。线性密码分析线性密码分析v攻击策略：找到攻击策略：找到DES中进行变换的线性近似。中进行变换的线性近似。v对对DES的攻击：的攻击：243个已知明文就可以找到个已知明文就可以找到DES的密钥。的密钥。v已知明文比选择密文容易得多，但是仍然只是具已知明文比选择密文容易得多，但是仍然只是具有理论意义！有理论意义！v线性密码分析的原

7、理：线性密码分析的原理：v对于nbit的明文分组和密文分组，mbit密钥的密码：v 明文分组：p1,p2,pnv 密文分组：c1,c2,cnv 密钥：k1,k2,kmv线性密码分析的目标是，找到一个如下形式的线性方程：v其中：,212121nnnKCP,kAjAiAkjiADES其它其它v DES肯定能破译肯定能破译v 不单是不单是RSA challengev DES算法仍值得信赖算法仍值得信赖v 但是关键场合不要用但是关键场合不要用v DES对一般个人用户仍是安全的对一般个人用户仍是安全的v RSA challenge 反而给了信心反而给了信心v DES还是还是AES，或者其他，或者其他v

8、DES模块仍广泛存在，模块仍广泛存在，AES还没有普及还没有普及v 如果软件实现，任何一个经过考验的算法都好如果软件实现，任何一个经过考验的算法都好v DES/3DES、AES、RC4、RC5、IDEA、Blowfishv Free/Open分组密码的设计原则分组密码的设计原则v20世纪世纪70年代早期年代早期Feistel和和DES设计小组所设计小组所做的工作以来，基本的设计原理并没有很大的改做的工作以来，基本的设计原理并没有很大的改变。变。vDES的公开的设计标准的公开的设计标准v分组密码设计的三个主要问题：分组密码设计的三个主要问题：v 加密轮数加密轮数v 函数函数Fv 密钥的使用方案密

9、钥的使用方案DES的设计准则的设计准则vS盒子的设计准则：盒子的设计准则：v 非线性非线性v 每一行包括每一行包括4bit的全排列的全排列v S的输入变化引起输出的更多随机变化的输入变化引起输出的更多随机变化v 目的：增强算法的扰乱特性目的：增强算法的扰乱特性vP置换的设计准则置换的设计准则v S盒子的盒子的4个个bit输出，尽可能分散地影响下一输出，尽可能分散地影响下一 个循环个循环v 目的：增强算法的扩散特性目的：增强算法的扩散特性Feistel密码的强度分析密码的强度分析vFeistel密码的强度来自三个方面：密码的强度来自三个方面：v 迭代轮数，函数迭代轮数，函数F、密钥使用算法、密钥

10、使用算法v迭代轮数：轮数越多抗分析能力就越强迭代轮数：轮数越多抗分析能力就越强v 选择的标准：使密码的分析难度大于简单的穷选择的标准：使密码的分析难度大于简单的穷举举 攻击的难度。（攻击的难度。（DES的设计）的设计）v 意义：利用这个标准可以判别算法的强度和比意义：利用这个标准可以判别算法的强度和比较较 算法优劣变得容易。算法优劣变得容易。v函数函数F的设计：设计准则扰乱）的设计：设计准则扰乱）v 1. 较强的非线性较强的非线性v 2. 良好的雪崩效应，严格的雪崩效应良好的雪崩效应，严格的雪崩效应SAC）v 3. 比特独立准则比特独立准则BIC）vS盒子的设计准则：盒子的设计准则：v 非线性、非线性、SAC、BICv密钥的扩展算法与密钥的扩展算法与S盒子相比盒子相比）v 设计准则：设计准则：v 1. 密钥密钥/密文的严格雪崩效应准则；密文的严格雪崩效应准则；v 2. 比特独立的准则。比特独立的准则。介绍两个使用介绍两个使用DES的加密应用的加密应用v电子密码本电子密码本ECB）v密码分组连接密码分组连接CBC）电子密码本电子密码本ECB）v每个明文分组用同样的密钥进行加密每个明文分组用同样的密钥进行加密v每个每个64位的明文分组就有一个唯一的密文与之对位的明文分组就有一个唯一的密文与之对应：应：vECB比较适用于少量的数据传输比较适用于少量的数据传输DE