密码编码学与网络安全(第五版)03分组密码与des教学课件

1、Chapter 3 分组密码与数据加密标准 2022/8/202Playfair、hill、 Vigenre的密钥空间？单表和多表的区别？2022/8/203本节课程内容分组密码一般原理、设计准则、设计方法DES加解密算法DES的强度2022/8/2043.1 分组密码原理流密码每次加密数据流的一位或一个字节分组密码将一个明文组作为整体加密且通常得到的是与之等长的密文组2022/8/205流密码模型加密算法密文明文密钥Kb 位b 位2022/8/206分组密码的一般设计原理：分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控

2、制下变换成等长的输出数字（简称密文数字）序列理想分组密码体制2n!个映射大规模2022/8/207Feistel网络（1）Feistel网络的设计动机密钥长为k位，分组长为n位，采用2k个变换一个分组密码是一种映射：记为E(X,K) 或 称为明文空间， 称为密文空间， 为密钥空间。 Feistel网络（2）2022/8/209Shannon 目的：挫败基于统计方法的密码分析混淆（confusion）：使得密文的统计特性与密钥的取值之间的关系尽量复杂。扩散（diffusion）：明文的统计特征消散在密文中，使得明文和密文之间的统计关系尽量复杂。刻画密码系统的两个基本构件Feistel网络（3）2

3、022/8/2010分组长度 密钥长度 轮数 子密钥生成算法轮函数F快速软件加解密易于分析Feistel网络（4）2022/8/20113.2 数据加密标准DESDES的历史DES的基本结构DES核心构件的细节描述DES轮密钥的生成DES的安全性分析2022/8/2012数据加密标准 (DES) 第一个并且是最重要的现代分组密码算法2022/8/2013历史发明人：美国IBM公司 W. Tuchman 和 C. Meyer 1971-1972年研制成功基础：1967年美国Horst Feistel提出的理论产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告， 公开征求用于

4、电子计算机的加密算法。经评选从一大批算法中采纳 了IBM的LUCIFER方案标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标 准局颁布为数据加密标准（Data Encryption Standard），于 1977年7月15日生效2022/8/2014DES是一种用56位密钥来加密64位数据的方法。概述2022/8/2015DES算法框图 输入 64 bit明文数据 初始置换IP 乘积变换 （16轮迭代） 逆初始置换IP-1 64 bit密文数据 输出标准数据加密算法DES的核心部件：两次置换（初始置换和初始逆置换）密钥控制下的十六轮迭代加密轮密钥生成2022/8/2

5、0162022/8/2017初始置换和初始逆置换2022/8/2018初始置换和初始逆置换DES中的初始置换和初始逆置换2022/8/2019 初始置换与初始逆置换是互逆的 严格而言不具有加密的意义Note2022/8/2020DES的十六轮迭代加密十六轮迭代加密Round i第i轮加密2022/8/2021DES第i轮迭代加密2022/8/2022F函数2022/8/2023扩展E置换（E-盒）2022/8/2024S盒（1）2022/8/2025S-盒是DES加密算法的唯一非线性部件S盒（2）2022/8/2026S-盒S盒（3）2022/8/2027 00 01 02 03 04 05

6、06 07 08 09 10 11 12 13 14 15012313 02 08 04 06 15 11 01 10 09 03 14 05 00 12 0701 15 13 08 10 03 07 04 12 05 06 11 00 14 09 0207 11 04 01 09 12 14 02 00 06 10 13 15 03 05 0802 01 14 07 04 10 08 13 15 12 09 00 03 05 06 11输入输出S-盒的查表操作S盒（4）2022/8/2028 DES中其它算法都是线性的，而S-盒运算则是非线性的 提供了密码算法所必须的混乱作用 S-盒不易于分

7、析，它提供了更好的安全性 S-盒的设计未公开NoteS盒（5）2022/8/2029P置换2022/8/2030直接P置换（P-盒）P置换2022/8/2031F函数2022/8/2032DES第i轮迭代加密2022/8/20332022/8/2034子密钥产生器 密钥（64 bit ）置换选择1，PC1置换选择2，PC2 Ci(28 bit) Di(28 bit) 循环左移 循环左移除去第8,16, ,64位(8个校验位)ki2022/8/20352022/8/2036置换选择1循环左移的次数（舍弃了奇偶校验位，即第8，16，64位）2022/8/2037压缩置换2舍弃了第9,18,22,2

8、5,35,38,43,54比特位2022/8/2038加密过程:L0R0 IP ()LiRi-1 i=1,.,16 (1)RiLi-1f(Ri-1, ki) i=1,.,16 (2) IP-1(R16L16) (1)(2)运算进行16次后就得到密文组。解密过程:R16L16 IP()Ri-1Li i=1,.,16 (3)Li-1Rif(Li-1, ki) i=1,.,16 (4)IP-1 (R0L0) (3)(4)运算进行16次后就得到明文组。DES加解密的数学表达2022/8/2039安全性 DES的安全性完全依赖于所用的密钥。 从DES诞生起，对它的安全性就有激烈的争论，一直延续到现在弱密

9、钥和半弱密钥DES算法在每次迭代时都有一个子密钥供加密用。如果给定初始密钥k，各轮的子密钥都相同，即有k1=k2= =k16，就称给定密钥k为弱密钥(Weak key)3.3 DES的强度2022/8/2040若k为弱密钥，则有DESk(DESk(x)=xDESk-1(DESk-1(x)=x即以k对x加密两次或解密两次都可恢复出明文。其加密运算和解密运算没有区别。而对一般密钥只满足DESk-1(DESk(x)=DESk(DESk-1 (x)=x弱密钥下使DES在选择明文攻击下的搜索量减半。如果随机地选择密钥，则在总数256个密钥中，弱密钥所占比例极小，而且稍加注意就不难避开。因此，弱密钥的存在

10、不会危及DES的安全性。DES的强度（1）2022/8/2041雪崩效应DES的强度（2）2022/8/204256位密钥的使用256 = 7.2 x 10162019 ，几个月 2019，几天 2019，22个小时!DES算法的性质：S盒构造方法未公开！计时攻击DES的强度（3）2022/8/2043差分密码分析通过分析明文对的差值对密文对的差值的影响来恢复某些密文比特线性密码分析通过寻找DES变换的线性近似来攻击 DES的强度（4）2022/8/20443.4 分组密码的工作模式FIPS 81中定义了4种模式，到800-38A中将其扩展为5个。可用于所有分组密码。DES的工作模式若明文最后

11、一段不足分组长度，则补0或1，或随机串。 2022/8/2045模式描述典型应用电码本（ECB）单个数据的安全传输密码分组链接（CBC）普通目的的面向分组的传输；认证密码反馈（CFB）普通目的的面向分组的传输；认证输出反馈（OFB）噪声信道上的数据流的传输计数器（CTR）普通目的的面向分组的传输；用于高速需求DES的工作模式2022/8/2046电码本模式ECB工作模式 加密：Cj=Ek(Pj),(j=1,2,n)解密：Pj=Dk(Cj)应用特点错误传播 不传播，即某个Ct的传输错误只影响到Pt的恢复，不影响后续的（jt）。2022/8/2047Electronic Codebook Book

12、 (ECB)2022/8/2048摘自：NIST Special Publication 800-38A 2019 Edition2022/8/2049密码分组链接模式工作模式 加密解密应用加密长度大于64位的明文P认证特点错误传播 2022/8/2050Cipher Block Chaining (CBC)2022/8/2051摘自：NIST Special Publication 800-38A 2019 Edition2022/8/2052工作模式加密解密应用保密：加密长度大于64位的明文P；分组随意；可作为流密码使用。认证：特点分组任意安全性优于ECB模式加、解密都使用加密运算（不用解

13、密运算）错误传播有误码传播，设 ，则错误的Ct会影响到Pt,Pt+r。 密码反馈模式2022/8/2053Cipher FeedBack (CFB)2022/8/2054摘自：NIST Special Publication 800-38A 2019 Edition2022/8/2055输出反馈模式工作模式 加密解密应用特点缺点：抗消息流篡改攻击的能力不如CFB。 错误传播 不传播 2022/8/2056Output FeedBack (OFB)2022/8/2057摘自：NIST Special Publication 800-38A 2019 Edition2022/8/2058工作模式 加密： 给定计数器初值IV，则 j=1,2,N 解密特点优点硬件效率：可并行处理；软件效率：并行化；预处理；随机访问：比链接模式好；可证明的安全性：至少与其它模式一样安全；简单性：只用到加密算法。错误传播 不传播计数器模式2022/8/2