第3章对称密码体制

第3章

对称密码体制主要内容分组密码数据加密标准DES高级加密标准AES序列密码其他对称加密算法概述对称密码体制就是在加密和解密是用到的密钥相同，或者加密密钥和解密密钥之间存在着确定的转换关系。对称密码体制又有两种不同的实现方式，即分组密码和序列密码（或称流密码）。流密码与分组密码流密码每次加密数据流中的一位或一个字节。分组密码，就是先把明文划分为许多分组，每个明文分组被当作一个整体来产生一个等长（通常）的密文分组。通常使用的是64位或128位分组大小。分组密码的实质，是设计一种算法，能在密钥控制下，把n比特明文简单而又迅速地置换成唯一n比特密文，并且这种变换是可逆的（解密）。分组密码的设计思想扩散(diffusion)

将明文及密钥的影响尽可能迅速地散布到较多个输出的密文中。产生扩散的最简单方法是通过“置换(Permutation)”（比如：重新排列字符）。混淆(confusion)其目的在于使作用于明文的密钥和密文之间的关系复杂化，是明文和密文之间、密文和密钥之间的统计相关特性极小化，从而使统计分析攻击不能奏效。通常的方法是“代换（Substitution)”（回忆恺撒密码）。DES(DataEncryptionStandard)

美国国家标准局NBS于1973年5月发出通告，公开征求一种标准算法用于对计算机数据在传输和存储期间实现加密保护的密码算法。1975年美国国家标准局接受了美国国际商业机器公司IBM推荐的一种密码算法并向全国公布，征求对采用该算法作为美国信息加密标准的意见。经过两年的激烈争论，美国国家标准局于1977年7月正式采用该算法作为美国数据加密标准。1980年12月美国国家标准协会正式采用这个算法作为美国的商用加密算法。DES的实质DES是一种对称密码体制，它所使用的加密和解密密钥是相同的，是一种典型的按分组方式工作的密码。其基本思想是将二进制序列的明文分成每64bit一组，用长为64bit(56bit)的密钥对其进行16轮代换和置换加密，最后形成密文。DES算法原理第一步：要被加密的数据被分割成为若干以64bit为单位的数据，如果位数不够，那么补00或者FF，然后按照表1进行置换操作。表1：LiRi第二步：把64位密钥按表2进行置换操作，去除密钥中作为奇偶校验位的第8、16、24、32、40、48、56、64位，剩下的56位作为有效输入密钥。表2：C0D0第三步：将56位有效密钥按表3左移位，总计进行16轮移位操作，每一轮移位结束之后，得到的新的56位密钥作为下一轮移位的有效密钥。总计得到16个56位的子密钥。表3：第四步：按照表4对16个子密钥进行置换压缩，压缩后每个子密钥中的第9,18,22,25,35,38,43,54,共8位数据会丢失。此步骤完成后得到16个48位的子密钥。表4：第三步和第四步图解：第五步：将第一步生成的有效数据的右半部分R[1]的32位的数据根据表5进行置换，由原32位扩展到48位。表5：第六步：将扩展后的有效数据的新的R[1]和K[1]做异或运算得到48位加密数据。第七步：将第六步产生的48位加密数据分为8个6位的数据，按照表6取值，每6位压缩成4位，最终形成8个4位的数据，再组合成新的32位的数据。表6：S盒子内部结构第八步：将第七步产生的32位的数据按照表7置换，生成新的32位的RR[1]数据。表7：第九步：将RR[1]和第一步产生的L[1]按位异或后的值赋给R[2]，然后原来的R[1]值赋给L[2]，得到新的L[2]和R[2]。第十步：回到第五步，重复运算到第九步，每轮计算有R[i],L[i],K[i]来计算，总计重复16轮结束，最终生成新的L[16]和R[16]。第十一步：合并L[16]和R[16]为64位数据，然后按照表8做置换，生成最终加密数据。表8：解密的时候一样步骤，只是在做第六步的时候，将K[16]变为K[1]，依次类推倒用K[i]即可。DES的安全性DES在20多年的应用实践中，没有发现严重的安全缺陷，在世界范围内得到了广泛的应用，为确保信息安全做出了不可磨灭的贡献。存在的安全弱点：密钥较短：56位密钥空间约为7.2*1016。1997年1月28日，美国RSA数据安全公司在Internet上开展了一项“秘密密钥挑战”的竞赛，悬赏一万美圆，破解一段DES密文。6月RockeVerser小组通过因特网利用数万台微机历时4个月破译了DES；1998年7月，EFF用一台25万美元的机器，历时56小时破译DES。存在弱密钥：有的密钥产生的16个子密钥中有重复者。DES具有良好的雪崩效应雪崩效应：明文或密钥的微小改变将对密文产生很大的影响。特别地，明文或密钥的某一位发生变化，会导致密文的很多位发生变化。DES显示了很强的雪崩效应两条仅有一位不同的明文，使用相同的密钥，仅经过3轮迭代，所得两段准密文就有21位不同。一条明文，使用两个仅一位不同的密钥加密，经过数轮变换之后，有半数的位都不相同。多重DESDES在穷举攻击下相对比较脆弱，因此需要用某种算法来替代它。DES一个致命的缺陷就是密钥长度短，并且对于当前的计算能力，56位的密钥长度已经抗不住穷举攻击，而DES又不支持变长密钥。但可以进行多次加密，且使用多个密钥，即多重DES，从而等同于更长的密钥。二重DES(DoubleDES)给定明文P和两个加秘密钥k1和k2，采用DES对P进行加密E，有密文C=EK2(EK1(P))对C进行解密D，有明文P=DK1(DK2(C))EEPXCK2K1加密图DDK2K1CXP解密图带有双密钥的三重DES

（TripleDESwithTwoKeys)Tuchman给出双密钥的EDE模式（加密-解密-加密）：

C=EK1(DK2(EK1(P)))……对P加密

P=DK1(EK2(DK1(C)))……对C解密这种替代DES的加密较为流行并且已被采纳用于密钥管理标准（TheKeyManagerStandardsANSX9.17和ISO8732).EDEDEDCBAPPAB

CK1K2K1K1K2K1加密图解密图到目前为止，还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索，那么由于空间太大为2112=5×1033，这实际上是不可行的。注意：1*.Merkle和Hellman设法创造一个条件，想把中间相遇攻击（meet-in-the-middleattack）的方法用于三重DES，但目前也不太成功。2*.虽然对上述带双密钥的三重DES到目前为止还没有好的实际攻击办法，但人们还是放心不下，又建议使用三密钥的三重DES，此时密钥总长为168bits.

C=EK3(DK2(EK1(P)))高级加密标准AES

1997年1月，美国国家标准局NIST向全世界密码学界发出征集21世纪高级加密标准（AES——AdvancedEncryptionStandard）算法的公告，并成立了AES标准工作研究室，1997年4月15日的例会制定了对AES的评估标准。AES的要求（1）AES是公开的；（2）AES为单钥体制分组密码；（3）AES的密钥长度可变，可按需要增大；（4）AES适于用软件和硬件实现；（5）AES可以自由地使用，或按符合美国国家标准（ANST）策略的条件使用；算法衡量条件满足以上要求的AES算法，需按下述条件判断优劣a.安全性b.计算效率c.内存要求d.使用简便性e.灵活性。AES的评审1998年4月15日全面征集AES算法的工作结束。1998年8月20日举行了首届AES讨论会，对涉及14个国家的密码学家所提出的候选AES算法进行了评估和测试，初选并公布了15个被选方案，供大家公开讨论。

CAST-256，RC-6，CRYPTON-128，DEAL-128，

FROG，DFC，LOKI-97，MAGENTA，

MARS，HPC,RIJNDAEL，SAFER+，

SERPENT，E-2，TWOFISH。这些算法设计思想新颖，技术水平先进，算法的强度都超过3-DES，实现速度快于3-DES。

AES的评审1999年8月9日NIST宣布第二轮筛选出的5个候选算法为：

MARS(C.Burwick等,IBM），

RC6TM（R.Rivest等,RSALab.)，

RIJNDEAL(J.Daemen,比)，SERPENT(R.Anderson等，英、以、挪威)，

TWOFISH(B.Schiener)。2000年10月2日，NIST宣布Rijndael作为新的AESRIJNDAEL的评估结果一般安全性软件执行受限空间环境硬件执行对执行的攻击加密和解密密钥灵活性其他的多功能性和灵活性指令级并行执行能力AES加密算法性能分析1.密钥长度更长，抵御穷举攻击的能力更强，而且可依据信息级别自由选择密钥长度；2.轮密钥产生随机性强；3.均匀对称结构既可以提高执行的灵活度，又可防止差分分析方法的攻击；4.实现简单；5.在所有平台都有良好表现。其他对称密码IDEA由旅居瑞士的华人来学嘉和他的导师J.L.Massey共同开发的。IDEA使用128位密钥，明文和密文分组长度为64位。已被用在多种商业产品中。CLIPPER密码采用SKIPJACK算法，明文和密文分组长度为64位，密钥长度为80位。BlowfishBlowfish允许使用最长为448位的不同长度的密钥，并针对在32位