分组密码与数据加密标准课件

Chapter3

分组密码与数据加密标准

《计算机与网络安全》

2022/10/121西安电子科技大学计算机学院Playfair、hill、Vigenère的密钥空空间？单表和多多表的区区别？2020-01-172西安电子子科技大大学计算算机学院院本节课程程内容分组密码码一般原原理、设设计准则则、设计计方法DES加加解密算算法DES的的强度2020-01-173西安电子子科技大大学计算算机学院院§3.1分组密码码原理流密码每次加密密数据流流的一位位或一个个字节分组密码码将一个明明文组作作为整体体加密且且通常得得到的是是与之等等长的密密文组2020-01-174西安电子子科技大大学计算算机学院院2020-01-175西安电子子科技大大学计算算机学院院分组密码码的一般般设计原原理：分组密码码是将明明文消息息编码表表示后的的数字（（简称明明文数字字）序列列，划分分成长度度为n的组（可可看成长长度为n的矢量）），每组组分别在在密钥的的控制下下变换成成等长的的输出数数字（简简称密文文数字））序列理想分组组密码体体制2n!个映射大规模2020-01-176西安电子子科技大大学计算算机学院院Feistel网络（1）Feistel网络的设设计动机机密钥长为为k位，分组组长为n位，采用用2k个变换2020-01-177西安电子子科技大大学计算算机学院院Shannon目的：挫挫败基于于统计方方法的密密码分析析混淆（confusion）：使得密文的统计特特性与密钥的取值之之间的关关系尽量量复杂扩散（diffusion）：明文的的统计特特征消散散在密文文中，使使得明文和密密文之间的统统计关系系尽量复复杂。刻画密码码系统的的两个基基本构件件Feistel网络（2）2020-01-178西安电子子科技大大学计算算机学院院分组长度度密钥长度度轮数

子密钥生生成算法法轮函数快速软件件加解密密易于分析析Feistel网络（3）2020-01-179西安电子子科技大大学计算算机学院院§3.2数据加密密标准DESDES的历史DES的基本结结构DES核心构件件的细节节描述DES轮密钥的的生成DES的安全性性分析2020-01-1710西安电子子科技大大学计算算机学院院数据加密密标准(DES)第一个并并且是最最重要的的现代分分组密码码算法2020-01-1711西安电子子科技大大学计算算机学院院历史发明人：美国IBM公司W.Tuchman和C.Meyer1971-1972年研制成成功基础：1967年美国HorstFeistel提出的理理论产生：美美国国家家标准局局（NBS))1973年5月到1974年8月两次发发布通告告，公开征求求用于电电子计算算机的加加密算法法。经评评选从一一大批算算法中采采纳了IBM的LUCIFER方案标准化：：DES算法1975年3月公开发发表，1977年1月15日由美国国国家标标准局颁布布为数据据加密标标准（DataEncryptionStandard），于1977年7月15日生效2020-01-1712西安电子子科技大大学计算算机学院院DES是一种用用56位密钥来来加密64位数据的的方法。。概述2020-01-1713西安电子子科技大大学计算算机学院院DES算法框图图输入64bit明文数据初始置换IP乘积变换（16轮迭代）逆初始置换IP-164bit密文数据输出标准数据加密算法DES的核心部部件：两次置换换（初始始置换和和初始逆逆置换））密钥控制制下的十十六轮迭迭代加密密轮密钥生生成2020-01-1714西安电子子科技大大学计算算机学院院2020-01-1715西安电子子科技大大学计算算机学院院初始置换换和初始始逆置换换2020-01-1716西安电子子科技大大学计算算机学院院初始置换换和初始始逆置换换DES中的初始始置换和和初始逆逆置换2020-01-1717西安电子子科技大大学计算算机学院院初始置换换与初始始逆置换换是互逆逆的严格而言言不具有有加密的的意义Note2020-01-1718西安电子子科技大大学计算算机学院院DES的十六轮轮迭代加加密十六轮迭迭代加密密Roundi第i轮加密2020-01-1719西安电子子科技大大学计算算机学院院DES第i轮迭代加加密2020-01-1720西安电子子科技大大学计算算机学院院F函数2020-01-1721西安电子子科技大大学计算算机学院院扩展E置换（E-盒）2020-01-1722西安电子子科技大大学计算算机学院院S盒（1）2020-01-1723西安电子子科技大大学计算算机学院院S-盒是DES加密算法法的唯一一非线性性部件S盒（2）2020-01-1724西安电子子科技大大学计算算机学院院S-盒S盒（3）2020-01-1725西安电子子科技大大学计算算机学院院

00010203040506070809101112131415012313020804061511011009031405001207011513081003070412050611001409020711040109121402000610131503050802011407041008131512090003050611输入输出S-盒的查表表操作S盒（4）2020-01-1726西安电子子科技大大学计算算机学院院DES中其它算算法都是是线性的的，而S-盒运算则则是非线线性的提供了密密码算法法所必须须的混乱乱作用S-盒不易于于分析，，它提供供了更好好的安全全性S-盒的设计未未公开NoteS盒（5）2020-01-1727西安电子子科技大大学计算算机学院院P置换2020-01-1728西安电子子科技大大学计算算机学院院直接P置换（P-盒）P置换2020-01-1729西安电子子科技大大学计算算机学院院F函数2020-01-1730西安电子子科技大大学计算算机学院院DES第i轮迭代加加密2020-01-1731西安电子子科技大大学计算算机学院院2020-01-1732西安电子子科技大大学计算算机学院院子密钥产产生器

密钥（64bit）置换选择1，PC1置换选择2，PC2

Ci(28bit)

Di(28bit)循环左移循环左移除去第8,16,,64位(8个校验位)ki2020-01-1733西安电子子科技大大学计算算机学院院2020-01-1734西安电子子科技大大学计算算机学院院置换选择择1循环左移移的次数数（舍弃了了奇偶校校验位，，即第8，16，…，64位）2020-01-1735西安电子子科技大大学计算算机学院院压缩置换换2舍弃了第第9,18,22,25,35,38,43,54比特位2020-01-1736西安电子子科技大大学计算算机学院院加密过程程:L0R0IP(<64bit明文>)LiRi-1i=1,....,,16((1))RiLi-1f(Ri-1,ki)i=1,....,,16((2))<64bit密文>IP-1(R16L16)(1)((2)运算进行行16次次后就得得到密文文组。解密过程程:R16L16IP(<64bit密文>)Ri-1Lii=1,....,,16((3))Li-1Rif(Li-1,ki)i=1,....,,16((4))<64bit明文>IP-1(R0L0)(3)((4)运算进行行16次次后就得得到明文文组。DES加解密的的数学表表达2020-01-1737西安电子子科技大大学计算算机学院院安全性DES的安全性性完全依依赖于所所用的密密钥。从从DES诞生起，，对它的的安全性性就有激激烈的争争论，一一直延续续到现在在弱密钥和和半弱密密钥DES算法在每每次迭代代时都有有一个子子密钥供供加密用用。如果果给定初初始密钥钥k，各轮的子子密钥都都相同，，即有k1=k2=…==k16，就称给给定密钥钥k为弱密钥(Weakkey)§3.3DES的强度2020-01-1738西安电子子科技大大学计算算机学院院若k为弱密钥钥，则有有DESk(DESk(x))=xDESk-1(DESk-1(x))=x即以k对x加密两次次或解密密两次都都可恢复复出明文文。其加加密运算算和解密密运算没没有区别别。而对一般般密钥只只满足DESk-1(DESk(x))=DESk(DESk-1(x))=x弱密钥下下使DES在选择明明文攻击击下的搜搜索量减减半。如果随机机地选择择密钥，，则在总总数256个密钥中中，弱密密钥所占占比例极极小，而而且稍加加注意就就不难避避开。因此，弱弱密钥的的存在不不会危及及DES的安全性性。DES的强度（（1）2020-01-1739西安电子子科技大大学计算算机学院院雪崩效应应DES的强度（（2）2020-01-1740西安电子子科技大大学计算算机学院院56位密钥的的使用256=7..2x10161997，几个月月1998，几天1999，22个小时!DES算法的性性质：S盒构造方方法未公公开！计时攻击击DES的强度（（3）2020-01-1741西安电子子科技大大学计算算机学院院差分密码码分析通过分析析明文对对的差值值对密文文对的差差值的影影响来恢恢复某些些密文比比特线性密码码分析通过寻找找DES变换的线线性近似似来攻击击DES的强度（（4）2020-01-1742西安电子子科技大大学计算算机学院院§3.4分组密码码的工作作模式FIPS81中定义了了4种模式，，到800--38A中将其扩扩展为5个。可用于所所有分组组密码。。DES的工作模模式若明文最最后一段段不足分分组长度度，则补补0或1，或随机机串。2020-01-1743西安电子子科技大大学计算算机学院院模式描述典型应用电码本（ECB）单个数据的安全传输密码分组链接（CBC）普通目的的面向分组的传输；认证密码反馈（CFB）普通目的的面向分组的传输；认证输出反馈（OFB）噪声信道上的数据流的传输计数器（CTR）普通目的的面向分组的传输；用于高速需求DES的工作模模式2020-01-1744西安电子子科技大大学计算算机学院院电码本模式ECB工作模式式加密：Cj=Ek(Pj),(j=1,,2,……,n))解密：Pj=Dk(Cj)应用特点错误传播播不传播，，即某个个Ct的传输错错误只影影响到Pt的恢复，，不影响响后续的的（j＞t）。2020-01-1745西安电子子科技大大学计算算机学院院ElectronicCodebookBook((ECB)2020-01-1746西安电子子科技大大学计算算机学院院摘自：NISTSpecialPublication800-38A2001Edition2020-01-1747西安电子子科技大大学计算算机学院院密码分组组链接模模式工作模式式加密解密应用加密长度度大于64位的明文文P认证特点错误传播播2020-01-1748西安电子子科技大大学计算算机学院院CipherBlockChaining((CBC)2020-01-1749西安电子子科技大大学计算算机学院院摘自：NISTSpecialPublication800-38A2001Edition2020-01-1750西安电子子科技大大学计算算机学院院工作模式式加密解密应用保密：加加密长度度大于64位的明文文P；分组随随意；可可作为流流密码使使用。认证：特点分组任意意安全性优优于ECB模式加、解密密都使用用加密运运算（不不用解密密运算））错误传播播有误码传传播，设设，，则错错误的Ct会影响到到Pt…,Pt+r。密码反馈馈模式2020-01-1751西安电子子科技大大学计算算机学院院CipherFeedBack((CFB)2020-01-1752西安电子子科技大大学计算算机学院院摘自：NISTSpecialPublication800-38A2001Edition2020-01-1753西安电子子科技大大学计算算机学院院输出反馈模式式工作模式式加密解密应用特点缺点：抗抗消息流流篡改攻攻击的能能力不如如CFB。错误传播播不传播2020-01-1754西安电子子科技大