网络安全：对称密码

单击此处编辑母版标题样式*网络安全：对称密码1Chapter

6对称密码单击此处编辑母版副标题样式《密码编码学与网络安全》选择当前对称密码算法的标准：❏密码强度❏广泛应用于Internet上❏代表了自DES以来的现代密码技术本章介绍算法：❏

3DES❏

Blowfish❏

RC4,

RC5•5/18/2023•2•网络安全：对称密码§6.1三重DES算法•5/18/2023•3•网络安全：对称密码§6.1.1

2DES？2DES？•5/18/2023•4•网络安全：对称密码❏

C

=

EK2(EK1(P))＝

EK3(P)？对单步加密进行推导❏

EK2(EK1(P))＝

EK3(P)？中间相遇攻击❏

已知明文攻击可以成功对付密钥长度为112位的2DES❏

X

=

EK1(P)

=

DK2(C)❏

用所有可能的密钥加密明文并存储❏

用所有可能的密钥解密密文，并与存储的X匹配❏

2112/264=248，248/264=2-16，两组明密对后，正确密钥的概率是

1-2-16

；三组明密对后，正确密钥的概率是1-2-80❏

付出数量级为O(256),比攻击单DES的O(255)多不了多少§6.1.1

2DES？DES关于密钥不构成群！20(264)！>1010

>>256<1017§6.1.2使用两个密钥的3DES❏•5/18/2023•5•网络安全：对称密码❏❏❏三重两密思路：加密-解密-加密：说明：第二步用解密运算，可适应单DES，即当k2

＝

k1时，3DES＝1DES安全性：目前无可行攻击方法应用：较多，如密钥管理标准和ISO

8732。攻击•5/18/2023•6•网络安全：对称密码三重三密❏思路：加密-解密-加密❏应用：较多，如PGP和S/MINE。五重三密DES❏思路：加密-解密-加密-解密-加密❏应用：可适应单DES或三重两密的情形§6.1.3使用三个密钥的3DES•5/18/2023•7•网络安全：对称密码§6.2

Blowfish算法•5/18/2023•8•网络安全：对称密码Blowfish——会膨胀的鱼❏Bruce

Schneier设计，1993/94算法的性质❏

快速❏

紧凑❏

简单❏

安全性可变概况❏

分组：64位❏

密钥长度：32位～448位（即1～14个32位字）§6.2.1子密钥和S盒的产生•5/18/2023•9•网络安全：对称密码原始密钥：K，32

to

448

bit18个32位的子密钥：Pi（i＝1，2，…，18）4个8X32的S盒，每个有256项，每项32位：Si,j

（i＝1,2,3,4

；j＝0,1,…,255）❏•5/18/2023•10•网络安全：对称密码❏❏基本运算加法：＋，mod

232按位异或,⊕,XOR查找§6.2.2加密和解密•5/18/2023•11•网络安全：对称密码§6.2.2加密和解密•5/18/2023•12•网络安全：对称密码加密❏明文分为左右两个32-bit的分组L0，R0for

i

=1

to

16

doRi

=

Li-1

XOR

Pi;Li

=

F[Ri]

XOR

Ri-1;L17

=

R16

XOR

P18;R17

=

L16

XOR

P17;❏其中F[a,b,c,d]

=

((S1,a

+

S2,b)

XOR

S3,c)

+

S4,a•5/18/2023•13•网络安全：对称密码函数F❏设F的输入为x（32

bit），将x分为4个字节

x＝（a，b，c，d），则F定义为F(x)＝(a，b，c，d)＝§6.2.2加密和解密•5/18/2023•14•网络安全：对称密码§6.2.2加密和解密•5/18/2023•15•网络安全：对称密码解密❏密文分为左右两个32-bit的分组L0，R0for

i

=

1

to

16

do

Ri

=

Li-1

XOR

P19-i;

Li

=

F[Ri]

XOR

Ri-1;L17

=

R16

XOR

P1;

R17

=

L16

XOR

P2;其中F[a,b,c,d]=((S+

S )

XOR

S )

+

S1,a

2,b

3,c

4,a❏明文M＝（

L17

，R17

）•5/18/2023•16•网络安全：对称密码❏•5/18/2023•17•网络安全：对称密码❏❏❏❏■❏❏❏❏特点（主要与DES比较）S盒与密钥有关；子密钥和S盒由算法本身生成，故数据完全不可辨认，对密钥分析异常困难；每轮运算都是对数据的左右两部分同时执行；对穷举攻击是安全的（密钥可达448位）；执行速度快。（可在32-bit

CPUs上快速实现，内存的使用可少至5K）（设计算法时所考虑的）因素穷举攻击的难度来自两个方面：密钥长度和密钥产生过程；由函数F产生了很好的雪崩效应；F的每一位输入仅用作一个S盒的一位输入；函数F的形式与迭代轮数无关，而CAST（加拿大）则有关。§6.2.3讨论•5/18/2023•18•网络安全：对称密码RSADSI拥有版权由Ronald

Rivest设计用在各种RSADSI的产品中

密钥长度可变、明文分组大小可变，迭代次数可变非常明确简洁的设计可用于字长不同的处理器安全性高§6.3

RC5•5/18/2023•19•网络安全：对称密码RC5是由三个参数确定的一个加密算法族：RC5-w/r/b•5/18/2023•20•网络安全：对称密码Rivest建议的版本是RC5-32/12/16参数定义允许的值w字长：以位为单位，分组长度为2个字16，32，64r迭代次数0,1,…,255b密钥k的长度：以字节为单位0,1,…,255§6.3.1

RC5的参数§6.3.2密钥扩展•5/18/2023•21•网络安全：对称密码•5/18/2023•22•网络安全：对称密码加密：明文输入存入两个w位的寄存器A和B中L0

=

A

+

S[0];R0

=

B

+

S[1];for

i

=

1

to

r

doLi

=

((Li-1

XOR

Ri-1)

<<<

Ri-1)

+

S[2

x

i];Ri

=

((Ri-1

XOR

Li)

<<<

Li)

+

S[2

x

i

+

1];解密：很容易由加密过程推导出来每一轮像DES的两轮两个最显著特点❏算法简单❏移位与数据相关•5/18/2023•23•网络安全：对称密码•5/18/2023•24•网络安全：对称密码RC5的运行模式•5/18/2023•25•网络安全：对称密码RFC2040中定义了RC5的四种运行模式❏RC5分组密码：即电码本（ECB）模式；❏RC5-CBC：即密码分组链接（CBC）模式；❏RC5-CBC-Pad：属CBC模式，可以处理任意长的明文，密文最多比明文长一个RC5的分组长度；❏RC5-CTS（密文挪用模式）：属CBC模式，处理任意长的明文并得到等长的密文。•5/18/2023•26•网络安全：对称密码•5/18/2023•27•网络安全：对称密码•5/18/2023•28•网络安全：对称密码•5/18/2023•29•网络安全：对称密码§6.4高级对称分组密码的特点•5/18/2023•30•网络安全：对称密码密钥长度可变：Blowfish和RC5复合运算：Blowfish、RC5与数据相关的循环移位：与密钥相关的S盒：Blowfish复杂的密钥生成算法：Blowfish可变的分组长度：RC5可变的迭代轮数：RC5每轮迭代同时更新左右两半数据：Blowfish和RC5函数F可变：CAST-128与密钥相关的循环移位：•5/18/2023•31•网络安全：对称密码§6.5分组密码的工作模式•5/18/2023•32•网络安全：对称密码

FIPS81中定义了4种模式，到800-38A中将其扩展为5个。可用于所有分组密码。DES的工作模式若明文最后一段不足分组长度，则补0或1，或随机串。模式描述典型应用电码本（ECB）用相同的密钥分别对明文组加密单个数据的安全传输密码分组链接（CBC）加密算法的输入是上一个密文组和下一个明文组的异或普通目的的面向分组的传输；认证密码反馈（CFB）…普通目的的面向分组的传输；认证输出反馈（OFB）…噪声信道上的数据流的传输计数器（CTR）…普通目的的面向分组的传输；用于高速需求•5/18/2023•33•网络安全：对称密码DES的工作模式§6.5.1电码本模式（Electronic

Code

Book，ECB

）•5/18/2023•34•网络安全：对称密码❏❏❏工作模式加密：Cj=Ek(Pj),(j=1,2,…,n)解密：Pj=Dk(Cj)应用特点错误传播不传播，即某个Ct的传输错误只影响到Pt的恢复，不影响后续的（j＞t）。Electronic

Codebook

Book

(ECB)•5/18/2023•35•网络安全：对称密码摘自：NIST

Special

Publication

800-38A

2001

Edition•5/18/2023•36•网络安全：对称密码§6.5..2密码分组链接模式（Cipher

Block

Chaining

，CBC）❏❏❏❏工作模式 加密

解密应用加密长度大于64位的明文P认证特点错误传播•5/18/2023•37•网络安全：对称密码Cipher

Block

Chaining

(CBC)•5/18/2023•38•网络安全：对称密码摘自：NIST

Special

Publication

800-38A

2001

Edition•5/18/2023•39•网络安全：对称密码工作模式❏

加密❏

解密❏❏■❏❏❏■❏应用保密：加密长度大于64位的明文P；分组随意；可作为流密码使用。认证：特点分组任意安全性优于ECB模式加、解密都使用加密运算（不用解密运算）错误传播有误码传播，设

，则错误的Ct会影响到Pt…,Pt+r。§6.5.3密码反馈模式（Cipher

FeedBack，CFB）•5/18/2023•40•网络安全：对称密码Cipher

FeedBack

(CFB)•5/18/2023•41•网络安全：对称密码摘自：NIST

Special

Publication

800-38A

2001

Edition•5/18/2023•42•网络安全：对称密码§6.5.4

输出反馈模式（Output

FeedBack，OFB

）❏❏❏❏工作模式 加密

解密应用特点缺点：抗消息流篡改攻击的能力不如CFB。错误传播不传播•5/18/2023•43•网络安全：对称密码Output

FeedBack

(OFB)•5/18/2023•44•网络安全：对称密码摘自：NIST

Special

Publication

800-38A

2001

Edition•5/18/2023•45•网络安全：对称密码❏j=1,2,…,N❏❏工作模式加密： 给定计数器初值IV，则解密特点优点■■■■■硬件效率：可并行处理；软件效率：并行化；预处理；随机访问：比链接模式好；可证明的安全性：至少与其它模式一样安全；简单性：只用到加密算法。❏错误传播不传播§6.5.5计数器模式（Counter,

CTR）•5/18/2023•46•网络安全：对称密码Counter

(CTR)•5/18/2023•47•网络安全：对称密码摘自：NIST

Special

Publication

800-38A

2001

Edition•5/18/2023•48•网络安全：对称密码§6.6

RC4流密码•5/18/2023•49•网络安全：对称密码Stream

Ciphers：RC4消息的处理以bit为单位以流的方式进行伪随机密钥流keystream密钥流与明文进行按位的异或运算(XOR)密钥的随机性破坏明文中的统计规律❏

Ci

=

Mi

XOR

StreamKeyi不能重复使用密钥流❏否则将被破译流密码的特性•5/18/2023•50•网络安全：对称密码设计流密码需要考虑的因素:❏加密序列的周期要长❏统计上满足随机性❏密钥要足够长，以免穷举攻击（>128bits）❏要有高的线性复杂度

通过合理的设计，可以达到相同密钥尺寸下分组密码的安全性简单快速•5/18/2023•51•网络安全：对称密码流密码的结构•5/18/2023•52•网络安全：对称密码概述❏

RSA

DSI所拥有，1987年Ron

Rivest设计,1994年9月公开❏

流密码，面向字节操作；❏

密钥长度可变；❏

数学基础：随机置换；❏

周期T>10100；❏

广泛使用(web

SSL/TLS,WEP)❏

特点：算法简单，易于描述。❏

符号❏

K[0～L－1]——