密码学- 块加密法

1、内容纲要内容纲要块加密法模式块加密法模式乘积加密法数据加密标准（数据加密标准（DES）Cipher StructuresCipher StructuresBlockStreamClassical.ShiftAffineKeywordMultiLiteralVigenereHillNihilistTranspositionSubstitutionpolyalphabeticmonoalphabeticColumnRC4Block CipherBlock Cipherp块加密法是最常见的加密类型块加密法是最常见的加密类型 定义计算机的位块表示几个字母定义计算机的位块表示几个字母 一次加密整个块一次

2、加密整个块Modes of OperationModes of Operationp块加密法的三种标准模式块加密法的三种标准模式: 电子编码薄电子编码薄 (ECB) 加密加密-块块-链链 (CBC) 输出反馈模式输出反馈模式 (OFM)电子编码薄电子编码薄p电子编码薄电子编码薄-最简单的模式最简单的模式明文的每个块加密成密文的一个块（使明文的每个块加密成密文的一个块（使用一个密钥）用一个密钥）EkM1C1KeyEkM2C2EkMmCmProblem:if Mi = Mj thenCi = Cj加密加密- -块块- -链链p来自上一块的密文与当前的明文块做来自上一块的密文与当前的明文块做XOR运

3、算运算p密文跟明文不再是一一对应的关系，破解起来更困难，密文跟明文不再是一一对应的关系，破解起来更困难，而且克服了只要简单调换密文块可能达到目的的攻击而且克服了只要简单调换密文块可能达到目的的攻击 p缺点是不能实时加密，必须等到每缺点是不能实时加密，必须等到每8个字节都接受到之个字节都接受到之后才能开始加密，否则就不能得到正确的结果。后才能开始加密，否则就不能得到正确的结果。 KeyEkM1C1EkM2C2EkMmCm输出反馈模式输出反馈模式p使用块加密法为流加密法生成一个随机位使用块加密法为流加密法生成一个随机位流，密钥和块加密法的初始输入启动加密流，密钥和块加密法的初始输入启动加密过程过程

4、RiEkRi+1KEYMiCiGeneral StructureGeneral Structurep1973年年, Feistel 提出一种乘积加密法，它成提出一种乘积加密法，它成为今天所用的对称块加密法的体系结构基础为今天所用的对称块加密法的体系结构基础 处理过程包括多个阶段的替换以及换位处理过程包括多个阶段的替换以及换位. 主密钥分成一个子密钥集，每个阶段使用一个子主密钥分成一个子密钥集，每个阶段使用一个子密钥密钥. 每个阶段中，数据块分成了左右两部分，进行交每个阶段中，数据块分成了左右两部分，进行交换，其中一个部分与子密钥混合，用于该阶段换，其中一个部分与子密钥混合，用于该阶段. 这种类

5、型的加密法又称为替换这种类型的加密法又称为替换置换加密法置换加密法. Feistel CipherFeistel Cipherp其中一个阶段的操作其中一个阶段的操作:Left SideRight SidePlaintextSKeyNew Left SideNew Right SidePermutationSubstitutionF块加密法评估块加密法评估p任何新的加密法必须安全，能防止被人破解。但随着加任何新的加密法必须安全，能防止被人破解。但随着加密法变得越来越复杂，如何才能确信这些加密法能保护密法变得越来越复杂，如何才能确信这些加密法能保护我们那些有价值的数据呢？我们那些有价值的数据呢？

6、真正答案是我们永远无法确保一个加密法是安全的真正答案是我们永远无法确保一个加密法是安全的. . 要想知道一个新的加密法是否安全，最好办法是让要想知道一个新的加密法是否安全，最好办法是让安全社区的人去测试它安全社区的人去测试它. . p如果要使一个加密法让用户可接受，那么它必须具有以如果要使一个加密法让用户可接受，那么它必须具有以下特征：下特征： 首先，密钥必须足够大，使强力攻击法无效或至少首先，密钥必须足够大，使强力攻击法无效或至少得不偿失得不偿失. . Algorithm StrengthAlgorithm Strengthp雪崩条件：任何输入位或密钥位与输出位雪崩条件：任何输入位或密钥位与

7、输出位之间不应有任何连续，即密文中不能有内之间不应有任何连续，即密文中不能有内容含有关于密钥或明文的提示。容含有关于密钥或明文的提示。p如果有人试用不同密钥，当尝试的密钥其如果有人试用不同密钥，当尝试的密钥其中的某些位接近于实际的密钥时，不能有中的某些位接近于实际的密钥时，不能有任何信息提示。任何信息提示。p猜测的密钥与实际密钥即使只有一位之差，猜测的密钥与实际密钥即使只有一位之差，也应产生迥乎不同的密文。也应产生迥乎不同的密文。数据加密标准数据加密标准p2020世纪世纪7070年代中期，美国政府认为需要一个年代中期，美国政府认为需要一个功能强大的标准加密系统。功能强大的标准加密系统。由美国标

8、准局提出要求，多家公司提交建议，由美国标准局提出要求，多家公司提交建议，最后最后IBMIBM的的LuciferLucifer加密系统入选。加密系统入选。19771977年年, , 根据美国国家安全局的建议进行修改根据美国国家安全局的建议进行修改后，后，Lucifer Lucifer 的方案成为数据加密标准（的方案成为数据加密标准（DESDES） 后来发展成为高级加密标准后来发展成为高级加密标准 (AES)(AES) Basic StructureBasic StructurepDES 用一个用一个64位的密钥来加密每个块长度为位的密钥来加密每个块长度为64位的明文位的明文. DES是一个包含了

9、是一个包含了16个阶段个阶段的替换的替换置换加密法置换加密法. pDES的密钥为的密钥为56位的位的0-1串串 这样的这样的0-1串共有串共有 256 种种 (大于大于 1016) 通常以通常以7个字母的单词形式出现个字母的单词形式出现pDES将将56的的0-1串扩展为串扩展为64位位 其中其中 8, 16, 24, 32, 40, 48, 56与与 64 位是添加上去的，位是添加上去的， 每个每个8位的密钥包含了用户提供的位的密钥包含了用户提供的7位和位和DES确定的确定的1位，位，添加的位使得每个添加的位使得每个8位的块都有奇数个奇偶校验位（位的块都有奇数个奇偶校验位（1的个数为奇数）。的

10、个数为奇数）。Key GenerationKey Generation1616个阶段中的每个阶段使用一个阶段中的每个阶段使用一个个4848位的密钥，该密钥是从最位的密钥，该密钥是从最初的初的6464位派生而来。位派生而来。该密钥要穿过该密钥要穿过 PC-1 PC-1 块，块， PC-PC-1 1 块负责取出由用户提供的块负责取出由用户提供的5656位。位。5656位分成左右两半，每一半都位分成左右两半，每一半都左移左移1 1或或2 2位（视每个阶段情况位（视每个阶段情况不同）。不同）。 新的新的5656位用位用PC-2PC-2压缩，抛弃压缩，抛弃8 8位后，为某个阶段生成一个位后，为某个阶段生

11、成一个4848位的密钥。位的密钥。64 bit keyPC-128 bit C028 bit D0Left ShiftLeft Shift28 bit C128 bit D1Left ShiftLeft ShiftPC-2K1交换选择交换选择pPC-1从密钥中选取从密钥中选取56位，按照下列方式重排位，按照下列方式重排 57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 2

12、9 21 13 5 28 20 12 4pPC-2从从56位中选取位中选取48位，按照下列方式重排位，按照下列方式重排 14 17 11 24 1 5 3 28 15 6 21 10 23 19 12 4 26 8 16 7 27 20 13 2 41 52 31 37 47 55 30 40 51 45 33 48 44 49 39 56 34 53 46 42 50 36 29 32DES StagesDES StagespDES 的每个阶段使用的是不同的子密钥的每个阶段使用的是不同的子密钥和上一阶段的输出，但执行的操作相同和上一阶段的输出，但执行的操作相同. 这些操作定义在三种盒中：这些

13、操作定义在三种盒中： 扩充盒（扩充盒（expansion box ，E盒盒) 替换盒（替换盒（ substitution box ，S盒盒) 置换盒（置换盒（the permutation box ，P盒盒). Example StageExample StageE BoxLeft 32 bitsRight 32 bitsKey BoxXOR48 bits48 bits56 bitsKeyS Boxes48 bitsP Box32 bits32 bitsXOR32 bits32 bitsE-Box 将将64位的右边位的右边32位的输入扩充为位的输入扩充为48位；位；E-Box的输出结果与的输出

14、结果与48位的子密钥进行位的子密钥进行XOR逻逻辑运算，输出新的辑运算，输出新的48位，作为位，作为S-Box的输入；的输入；S-Box有有8种不同的盒，每个种不同的盒，每个S盒接收一个盒接收一个6位的位的输入，输出一个输入，输出一个4位的输出；位的输出；P-Box 是一个简单的置换；是一个简单的置换；初始左半边的初始左半边的32位与位与P盒输出的盒输出的32位进行位进行XOR逻辑运算，结果作为下一轮的右半边逻辑运算，结果作为下一轮的右半边32位；位；E-BoxE-BoxpThe EBox expands its 32-bit input into 48-bits by duplicating

15、 some of the input bits. 2829303132124252627282920212223242516171819202112131415161789101112134567893212345EBox12345678910 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32Right 32 bitsS-BoxesS-BoxespS-Boxes 真正体现了真正体现了DES的强大：的强大： S-Boxes一共有一共有8种种 每个每个S盒接收一个盒接收一个6位的输入，输出一个位的输入，输出一个4位的

16、位的输出输出. 每个每个S-box 有有16 列，列，4 行行 ，它的每个元素是，它的每个元素是一个一个4位的块，通常用十进制表示位的块，通常用十进制表示 15 12824917511314 10061341148136211 15 1297310500157414213110612 119538144131215 1183106125907Column0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15Row0123Working with the Working with the S-BoxesS-Boxesp一个一个 S-Box 的的6位输入包含了行与列的索引位输入

17、包含了行与列的索引. 行索引由行索引由1,6位给出，列索引由位给出，列索引由2-5位给出位给出. S-Box 的输出需要查找行的输出需要查找行-列索引对应的数值，将该列索引对应的数值，将该十进制数表示成二进制输出十进制数表示成二进制输出S21381013154211671205149014711 10413158126932531347152814 120110691151518146113497213 1205100 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15012310P-BoxP-Boxp经过经过 S-Box 操作之后剩下操作之后剩下 32位，按照下位，按照下

18、面的面的P-Box进行置换操作进行置换操作:2211425191330632273928241451831101152326291228171672021PBox12345678910 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32SBox OutputsFinal StepFinal Stepp最后的操作是将初始右半边的最后的操作是将初始右半边的32位作为左半位作为左半边，而初始左半边的边，而初始左半边的32位与位与P盒的盒的32位进行位进行XOR逻辑运算，并将结果作为右半边的逻辑运算，并将结果作为右半边的3

19、2位。位。p该过程进行该过程进行16轮，每轮使用不用的子密钥轮，每轮使用不用的子密钥p将将DES一个阶段的输入和输出做一个对比，一个阶段的输入和输出做一个对比，两个位串有约多于一半的位发生了变化。两个位串有约多于一半的位发生了变化。p11001100 11001100 11001100 11001100 01010101 01010101 01010101 01010101p01010101 01010101 01010101 01010101 10100001 00101110 10111101 01110001Using CAPUsing CAPpCAP provides an imple

20、mentation of DESS-DESS-DESpS-DES (Simplified-DES) was developed by Dr. Edward Schaefer at Santa Clara University in 1996. It is simple enough so that you can explore the operation of DES and some of its weaknesses. It operates on 8-bit data blocks (in other words, single characters) using a 10-bit k

21、ey (only 210 = 1024 possibilities) and two stages pIn spite of the simplifications, S-DES looks much like our basic DES. 8 bitsPlaintext blockIPL0R0XORFL1R1XORFL2R28 bitsIP-1Ciphertext block10 bit keyPC-1C0D0Left Shift 1 bitLeft Shift 1 bitC1D1Left Shift 2 bitsLeft Shift 2 bitsC2D2PC-2PC-2K1K21 2 3

22、4 5 6 7 82 6 3 1 4 8 5 71 2 3 4 5 6 7 84 1 3 5 7 2 8 6S-DES S-BoxesS-DES S-BoxespThe function F on the prior slide contains an EBox, PBox and 2 SBoxes (much like DES)pThe two S-Boxes are given by:S-DES Key GenerationS-DES Key GenerationpThe key generation mechanism begins with a 10-bit key which is permuted by PC-1 into the order 3 5 2 7 4 10 1 9 8 6. pIt is separated into 2 five bit segments and each se