网络安全原理与应用（第三版）课件 第2章 密码学基础-1

网络安全原理与应用(第三版)2024/9/5网络安全原理与应用1第三章密码学基础密码学的基本概念和术语对称和非对称密码的区别古典密码学的基本方法掌握对称加密DES算法、AES算法掌握非对称算法RSA和D-H的基本原理掌握消息摘要算法的基本原理2024/9/5网络安全原理与应用23.1密码学概述第一阶段：1949年之前，密码学还不是科学,而是艺术。

第二阶段：1949～1975年，密码学成为科学。

第三阶段：1976年以后，密码学的新方向——公钥密码学。

2024/9/5网络安全原理与应用33.1.1密码学的发展史恺撒（Caesar）密码

维吉尼亚密码（Vigenerecypher）

“恩格玛（Enigma）”密码机

DES（数据加密标准）

公开密钥密码

量子密码学

2024/9/5网络安全原理与应用4密码学起源大约在4000年以前，在古埃及的尼罗河畔，一位擅长书写者在贵族的基碑上书写铭文时有意用加以变形的象形文字而不是普通的象形文字来写铭文，从而揭开了有文字记载的密码史。这篇颇具神秘感的碑文，已具备了密码的基本特征：把一种符号(明文)用另一种符号(密文)代替2024/9/5网络安全原理与应用5密码学和语言学结合2024/9/5网络安全原理与应用（第三版）6蒙俄西韩藏第二次世界大战中，印第安纳瓦霍（NAWAHO）土著语言被美军用作密码。2024/9/5网络安全原理与应用6最早使用密码器公元前5世纪，古斯巴达人使用了一种叫做“天书”的器具，这是人类历史上最早使用的密码器。“天书”是一根用草纸条、皮条或羊皮纸条紧紧缠绕的木棍。密信自上而下写在羊皮纸条上。然后把羊皮纸条解开送出。把羊皮纸条重新缠在一根直径和原木棍相同的木棍上，这样字就一圈圈跳出来。（大家可以一试）2024/9/5网络安全原理与应用7替代式密码公元前1世纪古罗马凯撒大帝时代曾使用过一种“替代式密码”，在这种密码中，每个字母都由其后的第三个字母（按字母顺序）所代替。这种替代式密码直到第二次大战时还被日本海军使用。跳舞小人2024/9/5网络安全原理与应用8摩尔斯电码—替代式请你破译：2024/9/5网络安全原理与应用9信息隐藏—漏格板16世纪卡尔达诺发明“卡尔达诺漏格板”．漏格板是一张用硬质材料(如硬纸、羊皮、金属等)做成的板，上面挖了一些长方形的孔，即漏格．2024/9/5网络安全原理与应用10信息隐藏—藏头诗

吴用智赚玉麒麟卢花滩上有扁舟，俊杰黄昏独自游义到尽头原是命，反躬逃难必无忧。2024/9/5网络安全原理与应用112024/9/5网络安全原理与应用12ENIGMA-复式替换密码“谜”（ENIGMA）密码德国人ArthurScheribius人发明德国人将其改装为军用型，使之更为复杂可靠1926年开始使用“ENIGMA”，陆军则于1928年开始使用。（加密原理？）1933年，纳粹最高统帅部通信部决定将“ENIGMA”作为德国国防军新式闪击部队的通信装置。

1940年，盟军破译ENIGMA2024/9/5网络安全原理与应用132024/9/5网络安全原理与应用14置乱密码—几何图形密码以一种形式写下消息，以另一种形式读取消息

IcameIsawIconquered2024/9/5网络安全原理与应用153.1.1密码学历史1949～1975年:

计算机使得基于复杂计算的密码成为可能1949年Shannon的“TheCommunicationTheoryofSecretSystems”1967年DavidKahn的《TheCodebreakers》1971-73年IBMWatson实验室的HorstFeistel等的几篇技术报告：ACryptographicDeviceforDataCommunication,1971AnExperimentalApplicationofCryptographytoaremotelyAccessedDataSystem,1972CryptographyandComputerPrivacy,1973

数据的安全基于密钥而不是算法的保密2024/9/5网络安全原理与应用163.1.1密码学历史1976年以后:

1976年Diffie&Hellman的“NewDirectionsinCryptography”提出了不对称密钥密码1977年Rivest,Shamir&Adleman提出了RSA公钥算法90年代逐步出现椭圆曲线等其它公钥算法

公钥密码使得发送端和接收端无密钥传输的保密通信成为可能！！2024/9/5网络安全原理与应用17现代码密码学1976年以后,对称密钥密码算法进一步发展

1977年DES正式成为标准80年代出现“过渡性”的“postDES”算法,如IDEA,RCx,CAST等90年代对称密钥密码进一步成熟Rijndael,RC6,MARS,Twofish,Serpent等出现2001年Rijndael成为DES的替代者2024/9/5网络安全原理与应用183.1.2密码系统2024/9/5网络安全原理与应用19密码体制的形式化表示通常一个密码体制可以表达为一个五元组（M，C，K，E，D），其中：（1）M是可能明文的有限集称为明文空间（2）C是可能密文的有限集称为密文空间（3）K是一切可能密钥构成的有限集称为密钥空间（4）对于密钥空间的任一密钥有一个加密算法和相应的解密算法使得Ek：M

C和Dk:C

M分别为加密和解密函数，且满足Dk（Ek（M））=M。2024/9/5网络安全原理与应用203.1.3密码的分类

1、按应用的技术或历史发展阶段划分：手工、机械、电子机、计算机按历史发展阶段划分：古典、现代2、按保密程度划分：理论上、实际上保密、不保密3、按密钥方式划分：对称，非对称4、按明文处理方式分：块密码，流密码5、按编制原理划分：代换，置乱2024/9/5网络安全原理与应用213.1.4近代加密技术

1、对称加密算法对称加密算法（synmetricalgorithm），也称为传统密码算法，其加密密钥与解密密钥相同或很容易相互推算出来，因此也称之为秘密密钥算法或单钥算法。对称算法分为两类，一类称为序列密码算法（streamcipher），另一种称为分组密码算法（blockcipher）主要优点是运算速度快，硬件容易实现；其缺点是密钥的分发与管理比较困难，特别是当通信的人数增加时，密钥数目急剧膨胀。

2024/9/5网络安全原理与应用221、对称算法加密和解密由同一个密钥来控制，也叫“单钥算法”，如图所示。2024/9/5网络安全原理与应用232、非对称加密体制非对称加密算法也称公开密钥算法；公开密钥体制把信息的加密密钥和解密密钥分离，通信的每一方都拥有一对密钥：公钥、私钥；公开密钥体制最大的优点：不需要对密钥通信进行保密，所需传输的只有公开密钥；这种密钥体制还可以用于数字签名；公开密钥体制的缺陷：加密和解密的运算时间比较长，在一定程度上限制了它的应用范围。

2024/9/5网络安全原理与应用242、非对称算法用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来，就是非对称算法（AsymmetricAlgorithm），如图所示。

2024/9/5网络安全原理与应用253.1.5密码的破译1、密钥的穷尽搜索

2、密码分析已知明文的破译方法

选定明文的破译方法

差别比较分析法

3、其它密码破译方法

2024/9/5网络安全原理与应用263.2数论基础

3.2.2模运算3.2.4欧几里得算法3.2.6欧拉定理3.2.7中国剩余定理2024/9/5网络安全原理与应用273.2.2模运算2024/9/5网络安全原理与应用281.带余除法：

a∈Z且a>0，可找出两个唯一确定的整数q和r,

使a=qm+r,0≤r<m,q和r这两个数分别称为以m去除a所得到的商数和余数。(若r=0则m|a)a除以m的余数用amodm表示例：11mod7=4-11mod7=3292.整数同余：定义：如果(amodn)=(bmodn)，则称整数a和b模n同余，记为：

a≡b(modn)，n称为模数。例：73mod23=4;4mod23=4;73≡4mod23钟表对于小时是模12或24的，对于分钟和秒是模60的日历对于星期是模7的，对于月份是模12的

同余在日常生活中的应用30

31(2)相对于某个固定模数m的同余关系，是整数间的一种等价关系。具有等价关系的三点基本性质：自反性:对任意整数a有：a≡a(modm)对称性:如果a≡b(modm),则b≡a(modm)传递性:如果a≡b(modm),b≡c(modm),

则a≡c(modm)(3)模m运算将所有整数映射到集合{0,1,…,(m-1)},称为剩余类集合Zm。32(1)[a(modm)±b(modm)]modm=(a±b)(modm)(2)[a(modm)×b(modm)]modm=(a×b)(modm)(3)[(a×b)modm+(a×c)modm]=[a×(b+c)]modm

例1.通过同余式演算证明560-1是56的倍数解：注意53=125≡13(mod56)

于是有56=(53)2≡(13)2mod56≡169mod56≡1(mod56)

对同余式的两边同时升到10次幂,560≡1mod56

即有56∣560-1。模运算的交换律、结合律和分配律33例2.通过同余式演算证明223-1是47的倍数。解：注意到26=64≡17(mod47),于是223=(26)3·25=(26·26)26·25

≡289*(17)*(32)mod47≡7*17*32(mod47)≡25*32(mod47)≡1(mod47)于是有47∣223-134(加法消去律)如果(a+b)≡(a+c)modm,

则b≡c(modm)(乘法消去律)对于(a×b)≡(a×c)modm

若gcd(a,m)=1,

则b≡c(modm)35例3：附加条件不满足的情况

6×3=18≡2mod86×7=42≡2mod8

但3与7模8不同余，因为6和8不互素。例4：附加条件满足的情况

5×3＝15≡7mod85×11=55≡7mod83≡11mod83和11模8同余，因为5和8互素。36原因：模m的乘法运算返回的结果是0到m-1之间的数，如果乘数a和模数m有除1以外的共同因子时将不会产生完整的余数集合。Z801234567乘以606121824303642模8后的余数06420642Z801234567乘以505101520253035模8后的余数05274163373.2.4欧几里得(Euclid)算法若a,b,c∈Z，如果c∣a，c∣b，称c是a和b的公约数。正整数d称为a和b的最大公约数，如果它满足d是a和b的公约数。对a和b的任何一个公约数c有c∣d。记为：gcd(a,b)=d注：[1]等价的定义形式是：gcd(a,b)＝max{k∣k∣a且k∣b}[2]若gcd(a,b)=1，称a与b是互素的。例：8的因子1,2,4,8;15的因子1,3,5,15gcd(8,15)=11.最大公约数与互为素数38欧几里得算法通过一个简单的过程确定两个正整数的最大公约数。

定理:对任何非负整数a和非负整数b:gcd(a,b)=gcd(b,amodb)(a≥b)例：gcd(18,12)=gcd(12,18mod12)2.欧几里得算法（辗转相除法）392.欧几里得算法假设整数a>b>0,仅考虑正整数,因gcd(a,b)=gcd(|a|,|b|)EUCLID(a,b)Xa;Yb如果Y=0返回X=gcd(a,b)R=XmodYXYYR回到2)40例1.求gcd(1970,1066)解: 1970=1×1066+904 gcd(1066,904) 1066=1×904+162 gcd(904,162) 904=5×162+94 gcd(162,94) 162=1×94+68 gcd(94,68) 94=1×68+26 gcd(68,26) 68=2×26+16 gcd(26,16) 26=1×16+10 gcd(16,10) 16=1×10+6 gcd(10,6) 10=1×6+4 gcd(6,4) 6=1×4+2 gcd(4,2) 4=2×2+0 gcd(2,0)41欧几里得算法可以求两个正整数的最大公约数。扩展的欧几里得算法不仅能确定两个正整数的最大公约数，并且当两个正整数互素时，还能求出其中一个数关于另一个数的乘法逆元。3.扩展欧几里得算法如果gcd(a,b)=1,设b<a，则b在模a下存在乘法逆元b-1.

即存在b-1(b-1<a)，使得b×b-1≡1moda。乘法逆元：42定理：

a,b∈Z且a,b>0，存在u,v∈Z，使得下式成立gcd(a,b)=ua+v

b。3.扩展欧几里得算法推论：当gcd(a,b)=1时，

v

恰好是b在模a下的乘法逆元。433.扩展欧几里得算法gcd(a,b)=u

a+vb。

44ExtendedEUCLID(a,b)：1）(X1,X2,X3)←(1,0,a)；(Y1,Y2,Y3)←(0,1,b)2）如果Y3=0返回X3=gcd(a,b)；无逆元3）如果Y3=1返回Y3=gcd(a,b)；Y2=b-1moda4）Q=|X3/Y3|------计算商5）(T1,T2,T3)←(X1-Q·Y1,X2-Q·Y2,X3-Q·Y3)6）(X1,X2,X3)←(Y1,Y2,Y3)7）(Y1,Y2,Y3)←(T1,T2,T3)8）回到2）3.扩展欧几里得算法45例：求gcd(20,117)和20-1mod117

QX1X2X3Y1(T1)Y2(T2)Y3(T3)-10117(a)0120(b)501201-51711-517-1635-1636-35216-352-7411=gcdba20-1mod117=41即：20×41≡1

mod117可见gcd(20,117)=1,463.2.6欧拉(Euler)定理1.欧拉函数

欧拉函数

φ(m):当m>1时,φ(m)表示比m小且与m互素的正整数的个数。

例如：比24小而与24互素的正整数为：1、5、7、11、13、17、19、23。故472.欧拉函数的性质1）当m是素数时，有φ(m)=m-1因为与m互素的数有：1,2,3,…,m-1。2）当m=pq，且p和q是互异的素数时，则有φ(m)=φ(p)·φ(q)=(p-1)(q-1)例如：这12个数是：｛1,2,4,5,8,10,11,13,16,17,19,20｝482.欧拉函数的性质3)m=pe,且p是素数，e是正整数，则

φ(m)=pe-pe-1=pe-1(p-1)因为1~pe之间有pe/p个p的倍数根据算术基本定理式a＝P1α1P2α2…Ptαt有以下定理：492.欧拉函数的性质又可以表示成：例：m=24=23×31φ(m)=[23-1(2-1)]×[31-1(3-1)]=850欧拉定理:对于任何互素的两个整数a和n，有

aφ(n)≡1(modn)注：[1]n＝p时，p为素数，有ap-1≡1(modp)[2]易见aφ(n)+1≡a(modn)[3]若n=pq,p与q为相异素数,取0<m<n,若gcd(m,n)=1,有mφ(n)+1≡m(modn)

也即m(p-1)(q-1)+1≡m(modn)费马小定理欧拉函数性质13.欧拉定理欧拉函数性质251[4]对于[3]中，若gcd(m,n)=p或q，同样有mφ(n)+1≡m(modn)[5]由(mφ(n))k≡1k(modn)知：

mkφ(n)≡1(modn)，进一步有：

mkφ(n)+1≡m(modn)mk(p-1)(q-1)+1≡m(modn)3.欧拉定理52分析：利用费马小定理，可由610≡1(mod11)，从而迅速将6592化为与之同余的小的正整数。解：因11为素数，且gcd(6,11)=1，由费马小定理得

610≡1(mod11)。所以6592

≡(610)59×62≡159×36≡3(mod11)。例.求6592被11除的余数。53（孙子算经）今有物不知其数。三三数之余二；五五数之余三；七七数之余二。问物几何？答曰：二十三。23≡2*70+3*21+2*15(mod105)（口诀：三人同行七十稀，五树梅花廿一枝，七子团圆月正半，除百零五便得知。）问，70，21，15如何得到的？原问题为：求解同余方程组3.2.7中国剩余定理54解题口诀提示我们先解下面三个特殊的同余方程组(1) (2)(3) 的特殊解

以方程组(1)为例，相当于解一个这样的同余方程35y≡1(mod3)，假设x＝35y,有：35y≡1(mod3)相当于3|(35y-1)解出y=2（mod3）x35*2(mod(3×35))70(mod105)55

类似地得到(2)和(3)方程的解21、15。

于是有：得若x0为上述同余方程组的解，则x0

=x0+105*k(k∈z)也为上述同余方程组的解。

大衍求一术56中国剩余定理中国剩余定理：设自然数m1,m2,…mr两两互素，并记M=m1m2…mr，b1,b2…br表示r个整数，则同余方程组

（A）在模M同余的意义下有唯一解。57

例：求解同余方程组

x≡1mod2x≡2mod3x≡3mod5解：M=2×3×5=30M1=15,M2=10,M3=615y1≡1mod2,y1=110y2≡1mod3,y2=16y3≡1mod5,y3=1所以,x=1×15×1+2×10×1+3×6×1=53≡23mod3058练习：求解同余方程组x≡1mod2x≡2mod3x≡3mod5x≡5mod7x≡0mod2x≡0mod3x≡1mod5x≡6mod73.22024/9/5网络安全原理与应用592024/9/5网络安全原理与应用603.3古典密码学3.2.1替换密码替换密码的特点是：依据一定的规则，明文字母被不同的密文字母所代替。

1、移位密码移位密码基于数论中的模运算。因为英文有26个字母，故可将移位密码定义如下：令P={A,B,C,……Z}，C={A,B,C,……Z},K={0，1，2,……25}，加密变换：Ek（x）=（x+k）mod26解密变换：Dk（y）=（y-k）mod262024/9/5网络安全原理与应用612、单表代换密码单表代换密码的基本思想是：列出明文字母与密文字母的一一对应关系，

明文abcdefghijklm密文WJANDYUQIBCEF明文nopqrstuvwxyz密文GHKLMOPRSTVXZ例如明文为:networksecurity,则相应的密文为??

GDPTHMCODARMIPX2024/9/5网络安全原理与应用623、多表替换密码Vigenere密码是典型的多表替换密码,算法如下：设密钥K=k1k2……kn,明文M=m1m2……mn,加密变换:ci≡（mi+ki）mod26,i=1,2,……,n解密变换：mi≡（ci-ki）mod26,i=1,2,……,n例如：明文X=cipherblock,密钥为：hit则把明文划分成长度为n=3的序列：

cipherblock每个序列中的字母分别与密钥序列中相应字母进行模26运算，得密文：JQIOMKITHJS2024/9/5网络安全原理与应用633.3.2置乱密码置乱密码的特点是保持明文的所有字母不变，只是利用置换打乱明文字母出现的位置。置乱密码体制定义如下：令m为一正整数，P=C={A,B,C,……Z}，对任意的置换π（密钥），定义:加密变换：Eπ（x1,x2,……,xm）=（xπ（1）,xπ（2）……,xπ（m））,

解密变换：Dπ（y1,y2,……,ym）=（xπ-1（1）,xπ-1

（2）……,xπ-1

（m））,

置乱密码也不能掩盖字母的统计规律，因而不能抵御基于统计的密码分析方法的攻击。2024/9/5网络安全原理与应用64例：2024/9/5网络安全原理与应用652024/9/5网络安全原理与应用663.4对称密码3.4.1分组密码概述2024/9/5网络安全原理与应用673.4.2Feistel网络1、扩散和混乱扩散和混乱是由Shannon提出的设计密码系统的两个基本方法，目的是抵抗攻击者对密码的统计分析。扩散就是指将明文的统计特性散布到密文中去

混乱就是使密文和密钥之间的统计关系变得尽可能复杂

2024/9/5网络安全原理与应用68Feistel网络结构2024/9/5网络安全原理与应用69

2、Feistel网络结构及特点（1）将明文分组分为左右两个部分：L0，R0，数据的这两部分通过n轮（round）处理后，再结合起来生成密文分组；（2）第i轮以其上一轮产生的Li-1和Ri-1和K产生的子密钥Ki作为输入。一般子密钥Ki与K不同，相互之间也不同，它是用子密钥生成算法从密钥生成的；（3）每一轮的处理的结构都相同；（4）处理函数F对每轮处理都有相同的通用结构，但由循环子密钥Ki来区分；（5）在置换之后，数据两部分互换；（6）解密过程与加密过程基本相同。规则如下：用密文作为算法的输入，但以相反顺序使用子密钥Ki；（7）加密和解密不需要用两种不同的方法。2024/9/5网络安全原理与应用703.4.3DES算法

1、算法描述首先把明文分成若干个64-bit的分组，算法以一个分组作为输入；通过一个初始置换（IP）；将明文分组分成左半部分（L0）和右半部分（R0），各为32-bit；然后进行16轮完全相同的运算，这些运算我们称为函数f，在运算过程中数据与密钥相结合；16轮运算后，左、右两部分合在一起，经过一个末转换（初始转换的逆置换IP-1），输出一个64-bit的密文分组。2024/9/5网络安全原理与应用712024/9/5网络安全原理与应用72初始置乱(InitialPermutation)x0=IP(m)=L0R0

InitialPermutation585042342618102605244362820124625446383022146645648403224168574941332517915951433527191136153453729211356355473931231572024/9/5网络安全原理与应用73DES的一轮操作ExpansionPermutation48P-BoxPermutationS-BoxSubstitution32ShiftShift48Compression

PermutationFeistelNetwork563232Keyi-1Ri-1Li-1KeyiRiLi3232562024/9/5网络安全原理与应用74f函数Li=Ri-1

Ri=Li-1

f(Ri-1

,Ki

).将32位输入与48位子密钥结合产生32位输：将32bits输入扩展为48bits将48bits子密钥与扩展后的48bit输入异或上一步输出的48bits进入S盒，产生32bit输出；对输出的32bits进得置乱2024/9/5网络安全原理与应用75

扩展置乱E32123454567898910111213121314151617161718192021202122232425242526272829282930313212024/9/5网络安全原理与应用76将48-bit输入转为32-bit的输出共有8个不同的S-box，每个S-box是4*16的表，每个元素是0~15的一个值（4-bit）48-bit组被分成8个6-bit组，每一个6-bit组作为一个S盒的输入，输出为一个4-bit组。6-bit数的首、末两位数决定输出项所在的行；中间的四位决定输出项所在的列。例如：假设第6个S-盒的输入为110101，则输出为第3行第10列的项（行或列的记数从0开始），即输出为4-bit组0001。

S-盒选择2024/9/5网络安全原理与应用77S-Box48bits==>32bits.(8*6==>8*4)I1I6选择行2bitsrowSii=1,…8.I1I2I3I4I5I6O1O2O3O44bitscolumn2024/9/5网络安全原理与应用78SBoxesUsebits1&6toselecttherowBits2-5toselectthesubstitutionExamples:100101willreturn1000(11X0010)2024/9/5网络安全原理与应用79P-box置乱f(Ri-1,Ki)=P(S(E(Ri-1)

Ki))Pfixedpermutation1672021291228171152326518311028241432273919133062211425Result:bitstringoflength32!!2024/9/5网络安全原理与应用80子密钥的生成密钥通常表示为64-bit，每个第8位用作奇偶校验，实际的密钥长度为56-bit。在DES的每一轮运算中，从56-bit密钥产生出不同的48-bit的子密钥（K1,K2……K16）。首先，由64-bit密钥经过（PC-1）选出56-bit并分成两部分，每部分28位；每部分分别循环左移1位或2位；将生成的56-bit组经过PC-2，生成一个48-bit的子密钥Ki。

2024/9/5网络安全原理与应用81从第1轮到第16轮，相应左移位数分别为：1、1、2、2、2、2、2、2、1、2、2、2、2、2、2、1）子密钥的生成2024/9/5网络安全原理与应用82PC-1(K)=C0D05749413325179158504234261825951433527191136052443663554739312315762544638302266153453729211352820124Ki:=PC-2(CiDi)1417112415328156211023191242681672720132

415231374755304051453348444939563453464250362932子密钥的生成2024/9/5网络安全原理与应用83逆初始置乱最后一步的置乱是初始置乱的逆操作c

=IP-1(R16L16)408481656246432397471555236331386461454226230375451353216129364441252206028353431151195927342421050185826331419491757252024/9/5网络安全原理与应用84DES解密DES解密和加密的操作是完全一样的；解密按照相反的方向使用密钥，第一轮用k16，第二轮用k15，…..为什么这样就可以解密呢？2024/9/5网络安全原理与应用85DES解密过程解密的第一轮输入为：R16L16

；输出为：

[L16][R16

f(L16,K16)]；（1）

从加密过程,有：L16=R15;R16=L15

f(R15,K16)；（2）将(2)代入（1）有：

[L16]=R15

[R16

f(L16,K16)]=L15

f(R15,K16)

f(L16,K16) =L15

f(L16,K16)

f(L16,K16) =L15所以解密第一轮的输出为[R15][L15],作为第二轮的输入，可得到[R14][L14]，完成十六轮后就会回到[R0][L0]2024/9/5网络安全原理与应用86对DES的攻击1977,Diffie&HellmansuggestedaVLSIchipthatcouldtest106keys/sec.Amachinewith106chipscouldtesttheentirekeyspacein10hours.Cost:$20,000,000.56-bitkeyshave256=7.2x1016values1990,differentialcryptanalysis,EliBiham,AdiShamir(Israel).1993,linearcryptanalysis,MitsuruMasui(Japan).2024/9/5网络安全原理与应用87DES变体双重DES:使用两个密钥:K1andK2.加密：EK1(EK2(P))双重DES是否可以达到预期的强度？三重DES使用两个或三个密钥加密:EK1(EK2(EK3(P))))EK1(DK2(EK1(P))))2024/9/5网络安全原理与应用882DESC=2DESk1,k2(m)=Ek1(Ek2(m))??Meet-in-the-middleattack!中间相遇攻击有效的密钥长度只有57bits!EmCDX1X2X256…m1m2m256…Tryallpossiblekeys=?Forkeylengthn,

totalworkis“only”

2n