分组密码课件

第三章分组密码

一、分组密码的一般模型

二、DES与IDEA

三、AES算法----Rijndael

四、分组密码分析方法*

五、分组密码工作模式

2011-7-101

爨

一、分组卷玛的一般模型

2011-7-10

2

分组密码概述

・分组密码:

将消息编码表示后的数字（通常是。和1）序列

…划分为长为n的组x=（x0?x19

（长务n的矣量）分别在密钥左=（左o，K，…—的

控制下变换成等长的输出数字序列y=（

（长为ni的矢量）。Iy（）‘歹1'rrt—i/

"化0，勺，……,卜二国见…

■分组密码是一种满足下列条件的映射氏

F2；xSk”.F2；

•对每个k^Sk,E9,k）是从瑁到尸；〃的置换

•万（・，左）：密钥为左时的加密函数

•:密钥为左时的解密函数

•密钥规模：/=log2|5jbit

•密钥长度等于密钥规模当且仅当：Sk=F；

Eg:DES真正的密钥规模片56bit,且，也就是密钥长度

2011-7-104

分组密码设计问题

分组密码的设计问题在于找到一

种算法，能在密钥控制下从一个足

够大且足够好的置换子集中，简单

而迅速地选出一个置换，用来对当

前输入的明文的数字组进行加密变

换。

2011-7-105

分组密码算法应满足的要求*

•分组长度〃要足够大：

防止明文穷举攻击法奏效。

•密钥量要足够大：

尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷

举攻击奏效。

•由密钥确定置换的算法要足够复杂：

充分实现明文与密钥的扩散和混淆，没有简单的关系可循

,要能抗击各种已知韵&走

2011-7-106液寿/李

分组密码算法应满足的要求

•加密和解密运算简单：

易于软件和硬件高速实现。

•数据扩展：

一般无数据扩展，在采用同态置换和随机化加密技术时

可引入数据扩展。

•差错传播尽可能地小

2011-7-107

二、DES与IDEA

2011-7-10

8

数据加密标准（DES）

•DES的历史

-1971年IBM,由HorstFeistel领导的密码研究项目

组研究出LUCIFER算法，并应用于商业领域；

-1973年，美国标准局征求标准，IBM提交结果;

-1977年，被选为数据加密标准；

-虽然DES已有替代的数据加密标准算法，但它仍

是迄今为止得到最广泛应用的一种算法，也是一

种最有代表性的分组加密体制。

2011-7-109

厂^密过程

/将64bit明文位置进行医J

{换，得到一个乱序的64

bit明文组，而后平分成

•班右两段，IP中各列元素位号数

/相差为8,相当于将原明文各字

节按列写出，各列比特经过,

\奇偶采样置换后，再对各「

0V进行逆序，将阵中元/

、会［二、素按行读出构成Am

•该舁法乂置换输出产

•IP知I厂本义上

作用工X作用

将16轮迭代后给出的64

it组进行置换，得到输出

的密文组。输出为阵中,

的元素按行读罩J

—T的结果

2011-7-1010

•对F函数的说明：F(Ry,K)函数F以长

度为32的比特串A=R(32bits)作第一个

输入，以长度为48的比特串变元

J=K(48bits)作为第二个输入。产生的输

出为长度为32的位串。

-对第一个变元A,由给定的扩展函数E,将其

扩展成48位串E(A);

-计算E(A)+J,并把结果写成连续的8个6位串，

B=:b2b3b4b5b6b7b&

2011-7-1012

♦a、

-使用8个S盒，每个Sj是一个固定的4x16

矩阵，它的元素取0到15的整数。给定长度

为6个比特串如Bj=b]b2b3b4b5b6,计算Sj(B,

如下：1)也两个比党确定了Sj的行

r(0<=r<=3);而b2b3b4b5四个比特确定了Sj

的列数c(0<=c<=15)o最后Sj(Bj)的值为

S-盒矩阵Sj中r行c列的元素(r,c),得

g=Sj(Bj)。

JJJ

-最后，p为一个固定置换。

2011-7-1013

子密钥的生成

•从密钥K计算子密钥：实际上，K是长

度为64的位串，其中56位是密钥，8位是奇偶

校验位(为了检错)，在密钥编排的计算中

,这些校验位可略去。

一给定64位的密钥K,放弃奇偶校验位(8,16,

•…64)并根据固定置换PO1来排列K中剩下的

位。PC-1(K)=CODO其中Co由PCI(K)的前28

位组成；D。由后28位组成。

一对1v=iv=16,计算C^LSjCCj-l)Di=LSi(D「l)

LSj表示循环左移2或1个位置，取决于i的的值。

2011-7-1015

子密钥的生成

i=l,2,9和16时移1个位置，否则移2位置。

Ki=PC-2(GDi),PC-2为固定置换。

专之一共16轮，每一轮使用K中48位组成一个48比特

密钥。可算出16个表，第i个表中的元素可对应上

第i轮密钥使用K中第几比特！如：第7轮的表7:K7

取K中的比特情况：

52571112659103444512519

941325035364342336018

2871429474622515636139

4311338536255202337306

2011-7-1016

子密钥的生成

DES加密的一个例子

•取16进制明文X：0123456789ABCDEF

密钥K为：133457799BBCDFF1

去掉奇偶校验位以二进制形式表示的密钥是

0001001001101001010110111100100110110111

1011011111111000

应用IP,我们得到:

L0=ll001100000000001100110011111111

L1=RO=1111OOOO1O1O10101111000010101010

然后进行16轮加密。

最后对L16,&6使用IP”得到密文：

85ES13540F0AB405

DES解密和加密使用同一算法，但子密钥

使用的顺序相反

201171018々孝/孝

DES的安全性

•互巾卜性：DES算法具有下述性质。若明文组x逐位

取补，密钥。逐位取补，即y=DESk(x),贝4桶=。£5斤(亍)

♦这种互补性会使DES在选择明文破译下所需

的工作量减半。

♦绝大多数消息并无明文补分组。

•弱密钥和半弱密钥：DES算法在每次迭代时都

有一个子密钥供加密用。如果给定初始密钥A,各

轮的子密钥都相同，即有曷=&=…=叫6,就称给定

密钥A为弱密钥(Weakkey)。

2011-7-10

DES的安全性

若A为弱密钥，则有：

11

DESk(DESk(x))=xDESk(DESk(x))=x

即以A对x加密两次或解密两次都可恢复出

明文。其加密运算和解密运算没有区别。

♦弱密钥下使DES在选择明文攻击下的搜索量减

半

♦如果随机地选择密钥，弱密钥所占比例极小，

而且稍加注意就不难避开。因此，弱密钥的存

在不会危及DES的安全性。

2011-7-1020

DES的安全性

•DES的密钥长度可能太小

•DES的迭代次数可能太少

•S盒中可能有不安全因素

•DES的关键部分不应当保密

2011-7-1021

三重DESI

l.两重DES力口密的强度一定等

¥价于112bit密钥的密码的强

度吗？考虑对任意密钥kl和

k2,能够找出另一密钥k3,使

■■■■42成[耳立M吗H？=430，这种假设

2.若有明文密文对（P,。满足弘=Ek2Mki【P]l，贝।

可得z=Ekl[P]=Dk2[C]o考虑这种攻击的情

f况。

3.使用三个不同的密钥做三次加密就能抵抗中

途相遇攻击吗？

2011-7-1022，步考/李

三重DES

•使用两个密钥做三次加密，实现方法为加密

—解密一加密，简记EDE(encrypt-decrypt-

encrypt)。

加密

KiK2Ki

三重DES

•加密：y=Ekl[Dk2[Ekl[x]]]

•解密：x=Dki[Ek2[Dki[y]]]

•破译它的穷举密钥搜索量为2"2七5X1035量级，而用

差分分析破译也要超过1052量级。此方案仍有足够的

安全性。

•没有针对三重DES的攻击方法，它是一种较受欢迎的

DES替代方案。

•此方案已在ANSIX9.17和ISO8732标准中采用，并

在保密增强邮递(PEM)系统中得至4利用。

2011-7-1024

IDEA算法

・IDEA的历史

-1990年，瑞士的来学嘉(XuejiaLai)和

JamesMassey于1990年公布了IDEA密码算

法第一版，称为PES(ProposedEncryption

Standard);

-1991年，为抗击差分密码攻击，他们增强了

算法的强度，称IPES(ImprovedPES);

一1992年，改名为IDEA(InternationalData

EncryptionAlgorithm)o

2011-7-1025

IDEA加密过程

•IDEA是一个分组长度为

64bit的分组密码算法

F2

,密钥长度为128bit（

抗强力攻击能力比DESz

强），同一算法既可加

密也可解密。

•IDEA的“混淆”和“扩Z6

散”设计原则来自三种

运算，它们易于软、硬G1G2

件实现（加密速度快）

2011-7-1026

1.在IDEA的模乘

运算中）为什

么将模数取为

2再1,而不是

1.在其模加运算中,为什么模数取为

216而不是216+1?

2011-7-10

IDEA力口密的总体方案图

64位明文

128bit密钥

子密钥生成器

16/

1T

Z1Z52

28

IDEA的密钥生成

•56个16bit的子密钥从128bit的密钥中生

成前8个子密钥直接从密钥中取出；

•对密钥进行25bit的循环左移，接下来的

密钥就从中取出；

•重复进行直到52个子密钥都产生出来。

2011-7-1030

IDEA的解密

•加密解密实质相同，但使用不同的密钥；

•解密密钥以如下方法从加密子密钥中导出：

-解密循环I的头4个子密钥从加密循环10-1的头

4个子密钥中导出；解密密钥第1、4个子密钥

对应于工、4加密子密钥的乘法逆元；2、3对应

2、3的加法逆元；

-对前8个循环来说，循环I的最后两个子密钥等

于加密循环9-I的最后两个子密钥；

201171031海考/呼

IDEA简介(Cont.)回

•实现上的考虑

一使用子分组：16bit的子分组；

-使用简单操作（易于加法、移位等操

作实现）；

-加密解密过程类似；

-规则的结构（便于VLSI实现）。

201171032海考/呼

IDEA的安全性

•IDEA能抗差分分析和相关分析；

•IDEA似乎没有DES意义下的弱密钥；

•IDEA是PGP的一部分；

•BruceSchneier认为IDEA是DES的最好

替代，但问题是IDEA太新，许多问题没

解决。

2011-7-1033

s

三、AES算法・Rijindael

2011-7-10

34

AES的历史

・1997年1月，美国NIST向全世界密码学界发出征集21

世纪高级加密标准(AES------AdvancedEncryption

Standard)算法的公告，并成立了AES标准工祚研究

室，稍后制定了对AES的评估标准；

•1998年8月，在首届AES候选会议上公布了AES的15个

候选算法，任由全世界各机构和个人攻击和评论；

•2000年4月，召开了第三届AES候选会议，继续对最后

的五个候选算法进行讨论；

•2000年10月，NIST宣布Rijndael作为新的AES,至此

,经过三年多的讨论，Rijndael终于脱颖而出。

2011-7-1035

AES的评估准则w

•AES是公开的；

•AES为单钥体制分组密码；

•AES的密钥长度128/192/256bit;

•AES适于用软件和硬件实现；

•AES可以自由地使用，或按符合美国国

家标准（ANST）策略的条件使用；

2011-7-1036

AES的评估准则g

•满足以上要求的AES算法，需按下述条

件判断优劣

-安全性

-代价：各种实现的计算效率（速度和存储

需求），包括软件实现、硬件实现和智能

卡实现等；

—算法和实现特性：包括算法的灵活性、简

洁性及其它因素。

2011-7-1037

Rijndael算法设计原理

•Rijndeal密码的设计力求满足以下标准:

-抵抗所有的已知攻击

-在多个平台上速度快，编码紧凑

-设计简单

-Rijndael没有采用Feistel结构，轮函数由3

个不同的可逆均匀变换构成的，称为3个

层

-均匀变换是指状态的每个bit都用类似的方

法处理

2011-7-1038

宽轨迹策略

_____j

•“宽轨迹策略”是针对抗差分分析和线性分析提出

的；

•优点：可以给出算法的最佳差分特征的概率即最佳

线性逼近的偏差边界，由此可以分析算法抵抗差分

密码及线性密码分析的能力；

•实现方法：轮函数3层中的每层都有它自己的功能：

-线性混合层：确保多轮之上的高度扩散；

-非线性层：将具有最优的“最坏情况非线性特性”的

S盒并行使用；

-密钥加层：单轮子密钥简单的异或到中间状态上，实

现一次性掩盖。

201171039海寿/李

Rijndael算法描述

•Rijndael是分组和密钥都可变的迭代分组加密算法,

分组和密钥长度可分别为128,192,256位；

•加密之前，首先把数据块写成字的形式，其次把字

记为列的形式。算法中间的结果也需要分组，称之

为状态。状态可以用以字节为元素的矩阵阵列表示

,该阵列有4行，列数％为分组长度除32;

•种子密钥类似地以字节为元素的矩阵阵列表示，阵

列为4行，列数之为密钥长度除32;

•算法轮数由人和叫共同决定

2011-7-1040

Nb=6和Nk=4的状态密钥阵列

2011-7-10

分组和阵列中元素对应关系

•分组下标n

•阵列位置（i,j）

-i=nmod4,j=[n/4];n=i+4j

•轮数'与4和时对应关系

回=4%=6Nb=8

%=4101214

%=6121214

%=8141414

2011-7-1042

明文MRijndael

加密过程

KNr-^T

▼

车仑|耳i

KN^

2011-7-10

雷2

,字节代换

非线性代换，独立地对状态的每个字节

进行，并且代换表(S盒)可逆，记为

ByteSub(State),分两步：

■将字节作为GF(28)上的元素映射到自己的

逆元

■将字节做如下的GF(2)上变换

—

V。10001ill0J

巧11000ill'1

(

111000112

11110001(

3+

(

111110004

01111100-5]

001111106]

(

」7000111117

2011-7-1044第

行移变换

•将状态阵列的各行进行循环移位，记为

ShiftRow(State)o不同行的移位量不

同：

ClC2C3

-0行：不动

-工行：循环左移C1字节4123

-2行：循环左移C2字节6123

-3行：循环左移C3字节

8134

移位量与分组长度的关系

2011-7-1045海择/冬

列混合变换

•列混合变换表示为MixColumn（State）

•将每列视为GF（29上多项式，与固定的

多项式C（X）进行模X4+1乘法,要求c（X）

模X4+1可逆。

c(x)=,03!x3+!0rx2+,0rx+f02!

2011-7-1046

/密钥加&«

•密钥加表示为AddRoundKey(State)

•轮密钥与状态进行逐比特异或。

•轮密钥由种子密钥通过密钥编排算法得

到

•轮密钥长度与分组密钥长度相同

2011-7-1047

轮密钥生成

•从种子密钥到轮密钥由密钥扩展和轮密钥选取两部

分组成。基本原则如下：

-轮密钥的比特数等于分组长度乘以轮数加1;

一种子密钥被扩展成为扩展密钥。其中根据Nk>6

和Nk<=6两种不同的情况，采取不同的主密钥

扩展方式；

-从扩展密钥中选取轮密钥。第i个轮密钥由轮密

钥缓冲字W[Nb*i]到W[N*(i+1)]给出。如图

G芹-^_________________________________

WoWiW2W3W4W5W6W7W8W9W10WilW12W13W14•••

轮密钥0轮密钥1

Nb二6且Nk二4时的密钥扩展和轮密钥选取

2011-7-1048

Rijndael的解密

VRijndael解密算法的结构和加密算法

的结构相同，其中的变换为加密算法变换

的逆变换，使用了一个稍有改变的密钥编

制

2011-7-10

Rijndael算法的安全性

•对密钥的选取没有任何限制

-每轮常数的不同消除了密钥的对称性;

-密钥扩展的非线性消除了相同密钥的可能性；

-加解密使用不同的变换，消除了在DES里出现的

弱密钥和半弱密钥存在的可能性。

•能有效地抵抗密钥已知的攻击方法的攻击,

目前最有效的攻击还是穷尽密钥搜索攻击

2011-7-1050

四，分组密巧分析方法

2011-7-10

51

分组密码分析方法

•对分组密码的分析方法主要有以下几种

类型：

-穷尽密钥搜索（强力攻击）；

-差分密码分析；

-线性密码分析；

-相关密钥密码分析；

-中间相遇攻击。

2011-7-1052

差分密码分析

•1991年Biham和Shamir公开发表了差分密码分析法

才使对DES一类分组密码的分析工作向前推进了一

大步。

•差分分析是迄今已知的攻击迭代密码最有效的方法

之一，基本思想是通过分析明文队的差值对密文队

的差值的影响来恢复某些密钥比特。

•它对多种分组密码和Hash函数都相当有效，相继

攻破了FEAL、LOKI、LUCIFER等密码。

2011-7-1053

差分密码分析

•它不是直接分析密文或密钥的统计相关性，而是分

析明文差分和密文差分之间的统计相关性；

•给定分组长度为〃的r轮迭代密码，两个〃比特串y和

Y*,定义其差分为A>y（8）（产尸。其中，㊈表示小

bits串集上的定义的特定群运算，（产尸为产在群中

的逆元。

•由加密对可得差分序列△，△儿••・,，，冢中/*和

是明文对Z甜是第i轮的输出，他们同

时也是第i+1轮的输入。第i轮的子密钥记的，且有

・Yi=F（Y-,K）

2011-7-1054液寿/李

差分密码分析

定义一'：L轮特征Q是一个差分序列：

其中，是明文对％和”的差分，a.(i<f<r)是第i轮输出

y.和-*的差分。

II

•定义二：L轮特征的概率。=痣©，…一是在明文4和

子密钥,独立、均匀随机时，明文对乙和%*

的差分为九的条件下，第，(1Wr)轮输出匕和匕*的差

分为名的概率；

•定义三：在L轮特征。=痣©，…-中定义：

P1二尸@□

I'、/I|4一1，

即夕：表示在输入差分为的条件下，轮函数内的输出

差分为名的概率

2011-7-1055液寿/李

差分密码分析

•L轮迭代密码的差分分析过程可以综述为如下步

骤：

1.找出一个（）轮特征。（尸-1）=。0,2,…使得他

的概率达到最大或几乎最大；

2,均匀随机地选择明为%并计算〃使得乙和%*的差分

为当找出和在实际密钥加密下所彳差的密文科.

,若最后一轮的子密钥或奖部分比特看2m个可能

值（1（＞殁）置相应的2m个计数器，用,每

个，密文和心彳导到就」1，婀果花匕T

的墓分是，物与合相应的计数器茄1A/

3.重复步骤2,直到1个或几个计数器的值’明显高于

其他计数器的值，输出彳也们所对应的字密钥（或部

分比婷）

2011-7-1056

差分密码分析的复杂度

•一种攻击的复杂度可以分为两部分：数据复

杂度和处理复杂度。

-数据复杂度是实施该攻击所需输入的数据量；

-处理复杂度是处理这些数据所需的计算量；

•差分密码分析的数据复杂度是成对加密所需

的选择明文对个数的两倍，处理复杂度是从

莪出子密钥展其部分比特的计算量，实际上

和r无关。而且由于轮函数是弱的，所以此计

算量在大多数情况下相对较小。因此，差分

密码分析的复杂度取决于它的数据复杂度。

2011-7-1057

线性密码分析

•线性密码分析是对迭代密码的一种已知明文攻击。是

通过寻找一个给定密码算法的有效的线性近似表达式

来破译密码家统；

•线形密码分析的目标是找出以下形式的有效的线性方

程：

pp"，…/U--

1<a,b<n1<c<m

其中，。

-尸…，一-是明文分组；

-C[1],C[2],-,…是密文分组；

-一是密钥分组；

-定义/必，

2011-7-1058面寿/孝

线性密码分析

1

•如果方程成立的概率尸H5，则称该方程是有

效的线性逼近；

1

•如果尸—3是最大的，则称该方程是最有效的

线性遢近。

•设N表示明文数，T是使方程左边为。的明文数:

0,(夕>%)

则铲内，左2，，勺］二

-如果T>N/2,1,("%)

。,(0<%)

则^^出［,k2,,kA=v

一如果TVN/2,

2011-7-1059

线性密码分析

•从而可得关于密钥比特的一个线性方程，对不同的

明密文对重复以上过程可得关于密钥的一组线性方

程，从而确定出密钥比特

•研究表明，当p—上无分小时，攻击成功的概率是:

2

2

1%

1严一"歹

声L词公

这一概率只依赖于,并随着N或。-《的增

加而增加

2011-7-1060

当前研究热点

如何对差分密码分析和线性密码

分析进行改进，降低它们的复杂度

仍是现在理论研究的热点。

2011-7-1061

五、分组巧的工作模式

2011-7-10

62

主要工作模式

•分组密码可以按不同的模式工作，实际

应用的环境不同应采用不同的工作模式

-电码本(ECB)模式

-密码分组链接(CBC)模式

-密码反馈(CFB)模式

-输出反馈(OFB)模式

-计数器(CTR)模式

2011-7-1063

电码本(ECB)模式

•最简单的运行模式，一次对一个64bit长的

明文分组加密，且每次加密密钥都相同。

kk

2011-7-1064

电码本(ECB)模式

•在用于短数据(如加密密钥)时非常理想，

是安全传递DES密钥的最合适的模式

•在给定的密钥下同一明文组总产生同样的密

文组。这会暴露明文数据的格式和统计特征

O

•明文数据都有固定的格式，需要以协议的形

式定义，重要的数据常常在同一位置上出现

,使密码分析者可以对其进行统计分析、重

传和代换攻击

2011-7-1065

密码分组链接(CBC)模式

•一1次对'一1个明文分组加密，每次加密使用同'一密钥

,加密算法的输入是当前明文分组和前一次密文分

组的异或(在产生第1个密文分组时，需要有一个初

始向量IV与第一个明文分组异或)；

第1次Pl第2次P2

DES

I

2011-7-10

富玛分组链接CCBCJ模式

•解密时，每一个密文分组被解密后，再与前一个密

文分组异或（第一个密文分组薜密后和初始向量IV

异或恢复出第一个明文分组）。

2011-7-1067

富号分组筵接CCBCJ模式舞）

•为使安全性最高，IV应像密钥一样被保护。可使用ECB

加密模式来发送IV;

•保护IV原因是：如果敌手能欺骗接受方使用不同的IV,

敌手就能够在明文的第一个分组中插入自己选择的比特

履；

•IV的完整性要比其保密性更为重要。在CBC模式下，最

好是每发一个消息，都改变IV,比如将其值加一；

•由于CBC模式的链接机制，该模式对于加密长于64bit的

消息非常合适；

•CBC模式除能获得保密性外，还能用于认证。

2011-7-1068液寿/李

密码反馈（CFB）模式

•加密算法的输入是64bit移位寄存器，其初始值为某个初

始向量IV,加密算法输出的最左（最高有效位）jbit与

明文的第一个单元进行异或，产生第一个密文单元G并

传送该单元。然后将移位寄存器的内容左移j位并将送

入移位寄存器最右边（最低有效位）j位。这一过程持续

到明文的所有单元都被加密为止

密码反馈（CFB）模式

•解密时，

将收到的

密文单元

与加密函

数的输出

进行异或

两轮CFB模式解密示意图

•为什么此时仍然使用加密算法而不

是解密算法？

2011-7-1070

密码反馈（CFB）模式

•利用CFB模式或者OFB模式可将DES转换为

流密码；

•流密码不需要对消息进行填充，而且运

行是实时的，因此如果传送字母流，可

使用流密码对每个字母直接加密进行传

送；

•CFB模式除了获得保密性外，还能用于认

证。

2011-7-1071

输出反馈(OFB)模式

•OFB模式的结构类似于CFB,不同之处在于：OFB

模式将加密算法的输出反馈到移位寄存器，而CFB

模式中是将密文单元反馈到移位寄存器

▼5a5

©-------------»®-------------'

P2

两轮OFB模式加密示意图

201171072海考/呼

cT1尹

Pip2

两轮OFB模式解密示意图/

2011-7-1073液寿/李

输出反馈（OFB）模式

•克服了CFB的错误传播所带来的问题。

•比CFB模式更易受到对消息流的篡改攻击，

使得敌手有可能通过对消息校验部分的篡改

和对数据部分的篡改，而以纠错码不能检测

的方式篡改密文。

2011-7-1074

计数器(CRT)模式

•CTR可以把分组密码转换为流密码

•和OFB类似，但是加密计数器值，而不是密

文反馈值

•必须对每一个明文使用一个不同的密钥和计

数值

G=Pxor

0尸DESKW)

2011-7-1075

CTR模式加密示意图

2011-7-1076

计数器(CRT)模式

■该模式优点是安全、高效、可并行、适合

任意长度的数据，。，的计算可以预处理，

适用于高速网络。加解密过程仅涉及加密

运算，不涉及解密算法，因此不用实现解

密算法。

•缺点是没有错误传播，因此不易确保数据

完整性。信息快可被替换，重放，对明文

的主动攻击时可能的。

2011-7-1077

比较和选用

•ECB模式，简单、高速，但最弱、易受重发攻击

,一般不推荐。

•CBC适用于文件加密，但较ECBI曼。安全性加强

o当有少量错误时，也不会造成同步错误。

•OFB和CFB较CBC慢许多。每次迭代只有少数bit

完成加密。若可以容忍少量错误扩展，则可换来

恢复同步能力，此时用CFB。在字符为单元的流

密码中多选CFB模式。

•OFB用于高速同步系统，不容忍差错传播。

2011-7-1078海考/李

习题

1.证明可以通过颠倒密钥方案用DES加密算法加密密

文实现DES解密。

2.在DES数据加密标准中，

明文m=0011100011010101101110000100

00101101010100111001100101011110

0111

密钥K=1010101100110100100001101001

01001101100101110011101000101101

0011

试求L和I。

3.假设我们有128bit的AES密钥，用16进制表示为：

201171079海寿/李

2B7E151628AED2A6ABF7158809CF4F3C

由该种子密钥构造一个完整的密钥编排方案。

4.使用上题中的128bit密钥,在10轮AES下计算下列

明文（以16进制表示）的加密结果：

3243F6A8885A308D313198A2E0370734。

5.在IDEA的模乘运算中，为什么将模数取为216+1而

不是216?在其模加运算中，为什么模数取为216而

不是216+1?

6.已知IDEA密码算法中，

明文m=010m00100011011010100111011110

10101101001101010001001110010011;

2011-7-1080

1一上

MW

密钥K=0010100110100011110110001110011110100101

0101001110100010010110010010010001011001

1100101011100111101000100010101011010101

00110101,求第一轮的输出和第二轮的输出。

7.在DES的ECB模式中，如果在密文分组中有一个错误，解密后

仅相应的明文分组受到影响，然而在CBC模式中，将有错误

传播(见PPT相应的图中的的一个错误明显地影响Pi和P2的结

果)。

(1)P2后的结果是否受到影响？

(2)设加密前的明文分组P］中有lbit的错误，问这一错误将

在多少个密文分组中传播？对接收者有什么影响？

2011-7-10

谢谢大家!

欢迎指正!

2011-7-1082

SuccesswithMoneyandJoy

附落人生心语

•成功是一种观念

•致富是一种义务

•快乐是一种权利

•每个人都有能力、有义

务、有权利办到成功

致富快乐

附赠人生心语

成成功不是打败别人

功成功不是超越别人

成功不是名、利、权的获得

致拥有健康的身体

丰足的物质生活

富平衡的心理状态

又才能拥有成功

快SuccesswithMoneyandJoy

战胜自己

乐贡献自己

扮演好自己的历史角色

才能超越自己

融入成功里

附赠人生心语

知人者智，自知者明，胜人者力，自

胜者强。

——老子

附赠人生心语

•成功必须靠百分之九十八的辛勤血

汗，加上百分之二的天才灵感。

•世界上注定只有百分之二十的人会成

功。

附赠人生心语

成犹太谚语中有一句名言，

功会伤人的东西有三个：苦恼、争吵、空的钱包。

其中最伤人的是——空的钱包。

致金钱本身并没有善恶，

但没有钱，

富却的确是一件不幸的事情。

又所以，我们