第四讲：分组密码2

分组密码（二）《现代密码学》第四讲1上讲内容回顾分组密码定义分组密码的发展历史保密系统的安全性分析及分组密码的攻击2本节主要内容DES算法的整体结构——Feistel结构DES算法的轮函数DES算法的密钥编排算法DES的解密变换3DES算法的整体结构——Feistel结构DES是从1975年被美国联邦政府确定为非敏感信息的加密标准，它利用56比特长度的密钥K来加密长度为64比特的明文，得到64比特长的密文.1997年，由于计算机技术迅速发展，DES的密钥长度已经太短，NIST建议停止使用DES算法作为标准.目前，二重DES和三重DES仍然广泛使用.4DES算法的整体结构——Feistel结构思考：攻击者可以剥离IP置换和逆置换？5DES算法的整体结构——Feistel结构1.给定明文，通过一个固定的初始置换IP来重排输入明文块P中的比特，得到比特串P0=IP(P)=L0R0，这里L0和R0分别是P0的前32比特和后32比特IP58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157初始置换IP6DES算法的整体结构——Feistel结构2.按下述规则进行16次迭代，即1≤i≤16

这里是对应比特的模2加，f是一个函数（称为轮函数）；16个长度为48比特的子密钥Ki(1≤i≤16)是由密钥k经密钥编排函数计算出来的.Li-1Ri-1f+Li-1Ri-1ki第16轮迭代左右两块不交换7DES算法的整体结构——Feistel结构IP-140848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725初始置换的逆置换IP3.对比特串R16L16使用逆置换IP-1得到密文C，即C=IP-1(R16L16)。（注意L16和R16的相反顺序）8分组密码的轮函数函数f以长度为32比特串Ri-1作为第一输入，以长度为48比特串Ki作为第二个输入，产生长度为32比特的输出：9分组密码的轮函数Ri-1KiE(Ri-1)B1B2B3B4B5B6B7B8S1S2S3S4S5S6S7S8C1C2C3C4C5C6C7C8f(Ri-1,Ki)+PEE扩展密钥加S盒代换P置换10分组密码的轮函数E扩展：Ri-1根据扩展规则扩展为48比特长度的串；E比特——选择表321234545678989101112131213141516171617181920212021222324252425262728292829303132111分组密码的轮函数密钥加：计算，并将结果写成8个比特串，每个6比特，B=B1B2B3B4B5B6B7B8.12分组密码的轮函数S盒代换：使用8个S盒S1……S8.每个Si是一个固定的4*16阶矩阵，其元素取0~15之间的整数.给定长度为6的比特串，如Bj=b1b2b3b4b5b6，Sj(Bj)计算如下:1)b1b6两个比特确定了Sj的行r的二进制表示（0≤r≤3），2)b2b3b4b5四个比特确定了Sj的列c的二进制表示（0≤c≤15），3)Sj(Bj)定义成长度为4的比特串的值Sj(r,c)。由此可以算出Cj=Sj(Bj),1≤j≤8.13S1

1441312151183106125907015741521311061211953841148136211151297310501512824917511314100613S2

1518146113497213120510313471528141201106911501471110413158126932151381013154211671205149S3

1009146315511312711428137093461028514121115113649815301112125101471101306987415143115212S4

7131430691012851112415128115615034721211014910690121171315131452843150610113894511127214S52124171011685315130149141121247131501510398642111101378159125630141181271142136150910453S61211015926801334147511101542712956113140113891415528123704101131164321295151011141760813S74112141508133129751061130117491101435122158614111312371410156805926111381410795015142312S8132846151111093145012711513810374125611014927114191214206101315358211474108131512903561114分组密码的轮函数P置换1672021291228171152326518311028241432273919133062211425P置换：长度为32比特串C=C1C2C3C4C5C6C7C8,根据固定置换P(*)进行置换，得到比特串P(C).15DES算法的密钥编排算法根据密钥K来获得每轮中所使用的子密钥Ki:KPC-1C0D0C1D1C16D16LS1LS1LS2LS16LS2LS16……PC-2PC-2K1K1616DES算法的密钥编排算法1.给定64比特密钥K，根据固定的置换PC-1来处理K得到PC-1（K）=C0D0，其中C0和D0分别由最前和最后28比特组成PC-15749413325179158504234261810259514335271911360524436635547393123157625446383022146615345372921135282012417DES算法的密钥编排算法2.对1≤i≤16，DES的每一轮中使用K的56比特中的48个比特，具体选取位置由下表确定18DES算法的密钥编排算法3.计算Ci=LSi(Ci-1)和Di=LSi(Di-1)，且Ki=PC-2(CiDi)，LSi表示循环左移两个或一个位置,具体地,如果i=1,2,9,16就移一个位置，否则就移两个位置,PC-2是另一个固定的置换.19DES算法的密钥编排算法PC-2141711241532815621102319124268167272013241523137475530405145334844493956345346425036293220轮35127103625589334350601844112149343542413591761415301347236122962537281439546321532038317轮4351159499425817273444257605150331819262552431455562142831753631346202112612338475374221554轮51960433358264211118575141443534172310936275029394661121554374728304563457223120215566238轮6344271742102650602413525571918151525958491134132330456362382131121455204729546154539534622轮75257111265910344451251994132503536434233601828714294746225156361394311338536255202337306轮8364160501043591857359358255251341949272617442125461133130620624745235515282237463947211453轮1105134604917335729194233526254458591362718412228395437447305532329612138631520451413625531轮224326524192549591113460271817365051585719103314203146296339222845152153133055712376554472321轮15262501136334944182535581951424160910175243345738135575320634621639451437541231561302915447轮161859423572541361017275011433433521294435264930547624512553813613137629464232853222176339轮135834174333652115057235511894427414249191016074520392221281553384144662313633730626147512轮144218127524936603441519352585711252633359504454294236512623722556130537284721144645312063轮1125149103531943176034571850411159449525142332739142145453294722754615385545286623130123713轮12950335919523271441841234256043575836352617112361555383713316542030622239291253461514632128轮9573352422355110492716050174443261141191893659446535523226112543937154772014293831636213645轮1041173626511935593311504434157271060253258494355303720764563382321623134461132215474628532922DES的解密变换