信息保障与安全课件：对称密钥密码体系=========.ppt

1、第第2 2章章 对称密钥密码体系对称密钥密码体系 1第第2 2章对称密钥密码体系章对称密钥密码体系第第2 2章章 对称密钥密码体系对称密钥密码体系 2密码体系的原理和基本概念密码体系的原理和基本概念数据加密标准数据加密标准(DES)IDEAAES 序列密码序列密码 主要内容主要内容第第2 2章章 对称密钥密码体系对称密钥密码体系 32.1 密码学原理密码学原理凯撒密码，又叫循环移位密码。其加密方法就是将明文中的每个字母凯撒密码，又叫循环移位密码。其加密方法就是将明文中的每个字母都用其右边固定步长的字母代替，构成密文。都用其右边固定步长的字母代替，构成密文。例如：步长为例如：步长为4 4，则明文

2、，则明文A A、B B、C C、Y Y、Z Z可分别由可分别由E E、F F、G G、C C、D D代替。如果明文是代替。如果明文是“about”about”，则变为密文，则变为密文“efsyxefsyx”，其密钥，其密钥k=+4k=+4。两个循环的字母表对应。两个循环的字母表对应。思考：若步长为思考：若步长为3 3，密文是，密文是“LORYHBRX”,LORYHBRX”,则明文是多少？则明文是多少？齐默尔曼电报（英语齐默尔曼电报（英语: Zimmermann Telegram: Zimmermann Telegram，德语，德语: Zimmermann-: Zimmermann-Depesc

3、heDepesche）是一份由德意志帝国外交秘书阿瑟）是一份由德意志帝国外交秘书阿瑟齐默尔曼于齐默尔曼于19171917年年1 1月月1616号向德国驻墨西哥大使冯号向德国驻墨西哥大使冯伯恩托夫发出的加密电报。伯恩托夫发出的加密电报。 电报内容建议与墨西哥结成对抗美国的军事联盟，但被英国电报内容建议与墨西哥结成对抗美国的军事联盟，但被英国4040号办公号办公室情报机关截获。英国通过外交部将电报全文交给美国总统并约定该室情报机关截获。英国通过外交部将电报全文交给美国总统并约定该电报是美国自己截获并破译的。电报是美国自己截获并破译的。第第2 2章章 对称密钥密码体系对称密钥密码体系 42.1 密码

4、学原理密码学原理 1. 1. 密码学的发展简史密码学的发展简史 早在四千多年以前，古埃及人就开始使用密码技术来保密要传递的消早在四千多年以前，古埃及人就开始使用密码技术来保密要传递的消息。息。 一直到第一次世界大战前，密码技术的进展很少见诸于世，直到一直到第一次世界大战前，密码技术的进展很少见诸于世，直到19181918年，年，William F.FriedmanWilliam F.Friedman的论文的论文“The Index of Coincidence and Its The Index of Coincidence and Its Applications in Cryptograp

5、hyApplications in Cryptography”（重合指数及其在密码学中的应用）发（重合指数及其在密码学中的应用）发表时，情况才有所好转。表时，情况才有所好转。 第第2 2章章 对称密钥密码体系对称密钥密码体系 52022-1-20 19491949年，年，C.E. ShannonC.E. Shannon（香农）在（香农）在贝尔系统技术杂贝尔系统技术杂志志上发表了上发表了“The Communication Theory of Secrecy The Communication Theory of Secrecy SystemSystem（保密系统的通信理论）（保密系统的通信理论

6、）”，为密码技术奠定了坚，为密码技术奠定了坚实理论基础。使密码学真正成为一门科学。实理论基础。使密码学真正成为一门科学。 19761976年，年，W.E. DiffieW.E. Diffie和和M.E. HellmanM.E. Hellman发表了发表了“New New Direction in CryptographyDirection in Cryptography（密码学新方向）（密码学新方向）”一文，提一文，提出了一种全新的密码设计思想，导致了密码技术上的一场出了一种全新的密码设计思想，导致了密码技术上的一场革命。他们首次证明了在发送端和接收端不需要传送密钥革命。他们首次证明了在发送端

7、和接收端不需要传送密钥的保密通信是可能的，从而开创了公钥密码技术的新纪元的保密通信是可能的，从而开创了公钥密码技术的新纪元，成为现代密码技术的一个里程碑。，成为现代密码技术的一个里程碑。 第第2 2章章 对称密钥密码体系对称密钥密码体系 62022-1-20 19771977年美国国家标准局年美国国家标准局NBSNBS（National Bureau of National Bureau of StandardsStandards，即现在的国家标准与技术研究所，即现在的国家标准与技术研究所NISTNIST）正式）正式公布了数据加密标准公布了数据加密标准DESDES（Data Encryptio

8、n StandardData Encryption Standard） 1978 1978年，年，R.L.RivestR.L.Rivest，A.ShamirA.Shamir和和L.AdlemanL.Adleman实现了实现了RSARSA公钥密码技术，此后成为了公钥密码技术中杰出代表公钥密码技术，此后成为了公钥密码技术中杰出代表。 19841984年，年，Bennett.Charles H.Bennett.Charles H.，Brassard. GilleBrassard. Gille首首次提出了量子密码技术（现称为次提出了量子密码技术（现称为BB84BB84协议）。协议）。 第第2 2章章

9、对称密钥密码体系对称密钥密码体系 72022-1-20 19851985年，年，N.KoblitzN.Koblitz和和V.MillerV.Miller把椭圆曲线理论把椭圆曲线理论运用到公钥密码技术中，成为公钥密码技术研究的运用到公钥密码技术中，成为公钥密码技术研究的新亮点。新亮点。 密码技术的另一个重要方向密码技术的另一个重要方向序列密码（也称为序列密码（也称为流密码，序列密码主要用于政府、军方等国家要害部门流密码，序列密码主要用于政府、军方等国家要害部门）理论也取得了重大的进展。）理论也取得了重大的进展。19891989年，年，R.MathewsR.Mathews，D.WheelerD.W

10、heeler，L.M.PecoraL.M.Pecora和和CarrollCarroll等人首次把混沌理论等人首次把混沌理论使用到序列密码及保密通信理论中，为序列密码的研究使用到序列密码及保密通信理论中，为序列密码的研究开辟了一条新的途径。开辟了一条新的途径。 第第2 2章章 对称密钥密码体系对称密钥密码体系 82.1.1 密码学基本原理密码学基本原理 意义意义解决数据的机密性、完整性、不可否认性以及身份识别等问题均需要解决数据的机密性、完整性、不可否认性以及身份识别等问题均需要以密码为基础以密码为基础，密码技术是保障信息安全的核心基础。，密码技术是保障信息安全的核心基础。 研究内容研究内容密码

11、学以研究数据保密为目的，对存储和传输的信息进行秘密变换以密码学以研究数据保密为目的，对存储和传输的信息进行秘密变换以防止第三者窃取信息的科学。包括防止第三者窃取信息的科学。包括密码编码学密码编码学和和密码分析学密码分析学两部两部分。分。 密码编码学密码编码学：研究如何编码，采用什么样的密码体制保证：研究如何编码，采用什么样的密码体制保证 信息被安全加密。信息被安全加密。 密码分析学密码分析学：破译密文，在未知密钥的情况下推演出明文和密：破译密文，在未知密钥的情况下推演出明文和密钥的技术。钥的技术。第第2 2章章 对称密钥密码体系对称密钥密码体系 9基本概念：基本概念： 未经过加密的原始消息称为

12、未经过加密的原始消息称为明文明文m或或p（Plain Text）。 伪装消息以隐藏它的内容的过程称为伪装消息以隐藏它的内容的过程称为加密加密E(Encrypt) 加密后的消息，即经过伪装后的明文称为加密后的消息，即经过伪装后的明文称为密文密文c(Cipher Text) 把密文转变为明文的过程称为把密文转变为明文的过程称为解密解密D(Decrypt)。密码密码方案方案确切地描述了加密变换和解密变换的具体规则确切地描述了加密变换和解密变换的具体规则加密算法加密算法对明文进行加密时所使对明文进行加密时所使用的规则的描述用的规则的描述E(m)E(m)解密算法解密算法对密文进行还原时所使对密文进行还原

13、时所使用的规则的描述用的规则的描述D(c)D(c)第第2 2章章 对称密钥密码体系对称密钥密码体系 10加密和解密的原理如图2-1所示 加密 解密 明文 密文 原始明文 图图2-1 2-1 加密和解密原理加密和解密原理加密函数加密函数E E作用于作用于M M得到密文得到密文C C，用数学公式表示为：，用数学公式表示为：E(M)=CE(M)=C相反地，解密函数相反地，解密函数D D作用于作用于C C产生产生M M：D(C)=MD(C)=M先加密消息后解密，原始的明文将恢复出来，下面的等式必须成立：先加密消息后解密，原始的明文将恢复出来，下面的等式必须成立：D(E(M)=MD(E(M)=M第第2

14、2章章 对称密钥密码体系对称密钥密码体系 112.1.2 安全密码准则安全密码准则 如果密码的保密性是基于保持算法的秘密，这种密码算法就如果密码的保密性是基于保持算法的秘密，这种密码算法就称为称为受限制的算法。受限制的算法。 缺陷缺陷： 大型的或经常变换用户的组织不能使用它们。大型的或经常变换用户的组织不能使用它们。 受限制的密码算法不可能进行质量控制或标准化。受限制的密码算法不可能进行质量控制或标准化。解决方法：解决方法：现代密码学用现代密码学用密钥密钥解决了这个问题。解决了这个问题。密钥密钥：加密和解密算法的操作在称为密钥（：加密和解密算法的操作在称为密钥（K K）的元素控制下进）的元素控

15、制下进行。行。K K可以是很多数值里的任意值。秘钥可以是很多数值里的任意值。秘钥K K的可能值的范围叫的可能值的范围叫做密钥空间。做密钥空间。 加加/ /解密函数：解密函数：E Ek k(M(M）=C =C D Dk k(C)=M(C)=M第第2 2章章 对称密钥密码体系对称密钥密码体系 12加密的过程：加密的过程：c=Ec=Ekeke(m)(m)解密的过程：解密的过程：m=Dm=Dkdkd(c)(c)注意：注意：KeKe和和KdKd可以相同，也可以不同。可以相同，也可以不同。加密加密/ /解密过程示意图解密过程示意图第第2 2章章 对称密钥密码体系对称密钥密码体系 13所有算法的安全性都所有

16、算法的安全性都基于密钥的安基于密钥的安全性全性，而，而不是不是基于基于算法细节的安全算法细节的安全性性。无数的事实已经证明，只有公开的无数的事实已经证明，只有公开的算法才是安全的。算法才是安全的。 第第2 2章章 对称密钥密码体系对称密钥密码体系 14 2.1.3 对称密钥密码和非对称密钥密码对称密钥密码和非对称密钥密码 基于密钥的算法通常有两类：基于密钥的算法通常有两类：对称算法和非对称算法对称算法和非对称算法。 对称算法有时又叫传统密码算法，就是对称算法有时又叫传统密码算法，就是加密密钥能够加密密钥能够从解密密钥中容易地推算出来从解密密钥中容易地推算出来，反过来也成立。，反过来也成立。 在

17、大多数对称算法中，加在大多数对称算法中，加/ /解密密钥是相同的。这些算解密密钥是相同的。这些算法也叫秘密密钥算法或单密钥算法，它要求发送者和法也叫秘密密钥算法或单密钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。接收者在安全通信之前，商定一个密钥。 对称算法可分为两类。对称算法可分为两类。 一次只对明文中的单个比特（有时对字节）一次只对明文中的单个比特（有时对字节）运算的算运算的算法称为法称为序列密码或流密码算法序列密码或流密码算法。 另一类算法是对明文的一组比特进行运算，这些比特另一类算法是对明文的一组比特进行运算，这些比特组组称为分组称为分组，相应的算法称为分组算法。，相应的算

18、法称为分组算法。第第2 2章章 对称密钥密码体系对称密钥密码体系 15分组密码的工作原理如图分组密码的工作原理如图2-4所示所示：图图2-4 分组密码的工作原理分组密码的工作原理 加密算法 mbit 明文 xbit 密钥 nbit 密文 解密算法 xbit 密钥 mbit 明文 第第2 2章章 对称密钥密码体系对称密钥密码体系 16 非对称算法是这样设计的：用作非对称算法是这样设计的：用作加密的密钥不加密的密钥不同于用作解密的密钥同于用作解密的密钥，而且，而且解密密钥不能根据解密密钥不能根据加密密钥计算出来加密密钥计算出来（至少在合理假定的有限时（至少在合理假定的有限时间内）。间内）。 非对称

19、算法也叫做非对称算法也叫做公开密钥算法公开密钥算法，是因为加密，是因为加密密钥能够公开，即陌生者能用加密密钥加密信密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。息，但只有用相应的解密密钥才能解密信息。第第2 2章章 对称密钥密码体系对称密钥密码体系 172.1.4 密码分析（密码攻击）密码分析（密码攻击）攻击者在攻击者在不知道密钥不知道密钥的情况下，对密文进行分析，试图获得的情况下，对密文进行分析，试图获得机密信息（明文或密钥）。机密信息（明文或密钥）。密码编码与密码分析是共生的、密码编码与密码分析是共生的、互逆互逆的，两者解决问题的途的，两者解决问题的途径有

20、很多差别。径有很多差别。 密码编码设计是利用密码编码设计是利用数学数学基础构造密码。基础构造密码。 密码分析出了依靠数学、工程背景、语言学等知识外，还靠经验、密码分析出了依靠数学、工程背景、语言学等知识外，还靠经验、测试、眼力、运气、直觉判断能力等。测试、眼力、运气、直觉判断能力等。 根据密码分析者对明文、密文等数据资源所掌握的程度，将根据密码分析者对明文、密文等数据资源所掌握的程度，将密码分析攻击划分为不同的形式：密码分析攻击划分为不同的形式： 第第2 2章章 对称密钥密码体系对称密钥密码体系 18密码攻击分类密码攻击分类（1）唯密文攻击唯密文攻击密码分析者已知的内容只有密文，即假设密码分析

21、者密码分析者已知的内容只有密文，即假设密码分析者已已知算法知算法并能并能截取到密文截取到密文，他要尽力找出所使用的秘钥，他要尽力找出所使用的秘钥和对应的明文。和对应的明文。唯密文攻击最容易实施，因为密码分析者只需要知道密唯密文攻击最容易实施，因为密码分析者只需要知道密文，密码算法必须要抵抗这类攻击，这是密码算法设文，密码算法必须要抵抗这类攻击，这是密码算法设计的最低要求。计的最低要求。Network and Network and Information SecurityInformation Security第第2 2章章 对称密钥密码体系对称密钥密码体系 19（2）已知明文攻击）已知明文攻

22、击密码分析者已知的内容包括一密码分析者已知的内容包括一个或多个明文个或多个明文-密文密文对以及对以及截获的待解密截获的待解密密文密文。明文。明文-密文对被事先搜集。密文对被事先搜集。Network and Network and Information SecurityInformation Security第第2 2章章 对称密钥密码体系对称密钥密码体系 20（3）选择明文攻击）选择明文攻击 与已知明文攻击类似，不同点在于选择明文攻击的与已知明文攻击类似，不同点在于选择明文攻击的密码分析者可以密码分析者可以自己选定明文消息自己选定明文消息，并知道其对应的，并知道其对应的密文密文。Networ

23、k and Network and Information SecurityInformation Security第第2 2章章 对称密钥密码体系对称密钥密码体系 21（4）选择密文攻击）选择密文攻击 与选择明文攻击类似，密码分析者可以与选择明文攻击类似，密码分析者可以自己选择密自己选择密文文并解密形成并解密形成密文密文-明文对明文对。Network and Network and Information SecurityInformation Security第第2 2章章 对称密钥密码体系对称密钥密码体系 22（5）选择文本攻击）选择文本攻击 选择文本攻击是选择明文攻击与选择密文攻击的结

24、选择文本攻击是选择明文攻击与选择密文攻击的结合。合。密码分析者已知的内容包括密码分析者已知的内容包括：加密算：加密算 法、由密码法、由密码分析者选择的明文消息和它对应的密文，以及由密码分析者选择的明文消息和它对应的密文，以及由密码分析者选择的猜测性密文和它对应的已破译的明文。分析者选择的猜测性密文和它对应的已破译的明文。 很明显，唯密文攻击是最困难的，因为密码分析者很明显，唯密文攻击是最困难的，因为密码分析者有最少量的信息可供利用。上述攻击的强度是递增的。有最少量的信息可供利用。上述攻击的强度是递增的。 Network and Network and Information SecurityI

25、nformation Security第第2 2章章 对称密钥密码体系对称密钥密码体系 23Network and Network and Information SecurityInformation Security 根据被破译的难易程度，不同的密码算法具有不同的安全等级根据被破译的难易程度，不同的密码算法具有不同的安全等级 如果如果破译算法的破译算法的代价代价大于加密数据的价值大于加密数据的价值，那么可能是安全的。，那么可能是安全的。 如果破译算法如果破译算法所需的所需的时间时间比加密数据比加密数据保密保密的时间更长，那么可的时间更长，那么可能是安全的。能是安全的。 如果用单密钥如果用单

26、密钥加密的加密的数据量数据量比破译算法需要的比破译算法需要的数据量少得多数据量少得多，那么可能是安全的。那么可能是安全的。第第2 2章章 对称密钥密码体系对称密钥密码体系 24学者学者Lars Kundsen把破译算法分为不同的类别，安全性的把破译算法分为不同的类别，安全性的递减顺序如下：递减顺序如下：（1）全盘破译全盘破译：密码分析者找出了秘钥。：密码分析者找出了秘钥。（2）全盘推导全盘推导：密码分析者找到一个代替算法，在不知道：密码分析者找到一个代替算法，在不知道密钥的情况下，可用它得到明文。密钥的情况下，可用它得到明文。（3）实例（或局部）推导实例（或局部）推导：密码分析者从截获的密文中

27、找：密码分析者从截获的密文中找出明文。出明文。（4）信息推导信息推导：密码分析者获得一些有关密钥或明文的信：密码分析者获得一些有关密钥或明文的信息。这些信息可能是密钥的几息。这些信息可能是密钥的几bit、有关明文格式的信息、有关明文格式的信息等。等。Network and Network and Information SecurityInformation Security第第2 2章章 对称密钥密码体系对称密钥密码体系 25Network and Network and Information SecurityInformation Security 几乎所有密码系统在唯密文攻击中都是可破

28、的几乎所有密码系统在唯密文攻击中都是可破的，只，只要简单地一个接一个地去试每种要简单地一个接一个地去试每种可能的密钥可能的密钥，并且，并且检查所得明文是否有意义。这种方法叫做检查所得明文是否有意义。这种方法叫做蛮力攻击蛮力攻击。 密码学更关心密码学更关心在计算上不可破译的密码系统在计算上不可破译的密码系统。如果。如果一个算法用（现在或将来）一个算法用（现在或将来）可得到的资源可得到的资源在可在可接受接受的时间内的时间内都不能破译，这个算法则被认为在都不能破译，这个算法则被认为在计算上计算上是安全的是安全的。第第2 2章章 对称密钥密码体系对称密钥密码体系 26Network and Netwo

29、rk and Information SecurityInformation Security可以用不同方式衡量攻击方法的复杂性：(1) (1) 数据复杂性数据复杂性：用作攻击输入所需要的数据量。：用作攻击输入所需要的数据量。(2) (2) 时间复杂性时间复杂性：完成攻击所需要的时间。：完成攻击所需要的时间。(3) (3) 存储复杂性存储复杂性：进行攻击所需要的存储量。：进行攻击所需要的存储量。第第2 2章章 对称密钥密码体系对称密钥密码体系 272.2 数据加密标准数据加密标准DES 背景背景 基础基础：19671967年美国年美国Horst Horst FeistelFeistel提出的理

30、论。提出的理论。发明人：发明人：美国美国IBMIBM公司公司W.TuchmanW.Tuchman和和C.MeyerC.Meyer 1971-1972 1971-1972年研制成功。年研制成功。产生产生：美国国家标准局美国国家标准局(NBS)1973(NBS)1973年年5 5月月-1974-1974年年8 8月两次月两次发布公告，公开征求用于电子计算机的加密算法，经评发布公告，公开征求用于电子计算机的加密算法，经评选采纳了选采纳了IBMIBM的的LUCIFERLUCIFER方案。方案。标准化标准化：DESDES算法算法19751975年年3 3月公开发表，月公开发表，19771977年年1 1

31、月月1515日日由由NBSNBS颁布为数据加密标准，于颁布为数据加密标准，于19771977年年7 7月月1515日生效。日生效。应用应用：DESDES算法在算法在POSPOS、ATMATM、智能卡（、智能卡（ICIC卡），加油站、卡），加油站、高速公路收费站被广泛应用，以此来实现关键数据的保高速公路收费站被广泛应用，以此来实现关键数据的保密。密。第第2 2章章 对称密钥密码体系对称密钥密码体系 281. S-DES加密算法加密算法(简化的简化的DES)S-DES是由美国圣达卡拉大学的是由美国圣达卡拉大学的Edward Schaeffer教授提出的，主教授提出的，主要用于教学，其设计思想和性质

32、与要用于教学，其设计思想和性质与DES一致，有关函数变换相对简一致，有关函数变换相对简化，具体参数要小得多。化，具体参数要小得多。相关知识相关知识 置换置换：“ABCDEFGH”做一下做一下”82641753置换的结果就置换的结果就是是”HBFDAGEC” 循环移位：循环移位：“ABCDEFGH”循环左移循环左移2位结果就是位结果就是”CDEFG HAB” S盒替代选择盒替代选择：输入的四位数输入的四位数”ABCD”在在S S盒中找第盒中找第ADAD行行BCBC列的列的数字作为输出。比如数字作为输出。比如01010101输入输入S0S0盒的话就是第盒的话就是第1(01)1(01)行第行第2(1

33、0)2(10)列，输出为列，输出为1 1即即01,01,再比如再比如10011001输入输入S1S1的话就是第的话就是第3(11)3(11)行第行第0(00)0(00)列列, ,输出为输出为2 2即即1010 按位异或按位异或：11001010=011011001010=0110第第2 2章章 对称密钥密码体系对称密钥密码体系 29S-DES的体制的体制输入输入为一个为一个8位的二进制明文位的二进制明文组和一个组和一个10位的二进制密钥，位的二进制密钥，输出输出为为8位二进制密文组；位二进制密文组；解密与加密基本一致。解密与加密基本一致。加密加密:IP-1(fk2(SW(fk1(IP(明明文文

34、)解密解密: IP-1(fk1(SW(fk2(IP(密密文文)算法安全性算法安全性：依赖于双方共享：依赖于双方共享的的10位密钥，经过变换生成位密钥，经过变换生成2个个8位密钥，分别用于加、解位密钥，分别用于加、解密的不同阶段。密的不同阶段。第第2 2章章 对称密钥密码体系对称密钥密码体系 30S-DES的密钥产生的密钥产生n置换函数：置换函数：P10=(3,5,2,7,4,10,1,9,8,6)n循环左移函数循环左移函数LSnP8=(6,3,7,4,8,5,10,9)P10(kP10(k1 1,k,k2 2,k,k3 3,k,k4 4,k,k5 5,k,k6 6,k,k7 7,k,k8 8,

35、k,k9 9,k,k1010)=(k)=(k3 3,k,k5 5,k,k2 2,k,k7 7,k,k4 4,k,k1010,k,k1 1,k,k9 9,k,k8 8, ,k k6 6) )循环左移循环左移1 1位，结果被两次位，结果被两次使用，分别产生使用，分别产生k k1 1，k k2 2思考：思考：若初始密钥若初始密钥k k0 0为为(1010000010)(1010000010)，产生的两个子密钥，产生的两个子密钥k k1 1，k k2 2分别为多少？分别为多少？(k1(k1：10100100 k2:01000011)10100100 k2:01000011)第第2 2章章 对称密钥密码

36、体系对称密钥密码体系 31S-DES的加密变换过程的加密变换过程IP=(2,6,3,1,4,8,5,7)IP-1=(4,1,3,5,7,2,8,6)E/P=(4,1,2,3,2,3,4,1)“ ”:按位异或运算；按位异或运算；P4=（2,4,3,1）S盒函数盒函数S0S0和和S1S1为两个盒子函数，将输入作为两个盒子函数，将输入作为索引行列号查表，得到相应的系为索引行列号查表，得到相应的系数作为输出数作为输出。SW:将左将左4位和右位和右4位交换。位交换。思考：如果明文：思考：如果明文：1001010110010101，密钥，密钥k1=10100100k1=10100100，K2=010000

37、11K2=01000011，则密文是多少？，则密文是多少？第第2 2章章 对称密钥密码体系对称密钥密码体系 322022-1-2032322 2DESDES算法算法 DESDES是一个是一个分组密码分组密码算法，使用算法，使用6464位密钥位密钥（除（除去去8 8位奇偶校验，位奇偶校验，实际密钥长为实际密钥长为5656位位）对）对6464比特的比特的数据分组（二进制数据）加密，产生数据分组（二进制数据）加密，产生6464位密文数位密文数据。据。DESDES是一个是一个对称密码体制对称密码体制，加密和解密使用同，加密和解密使用同一密钥，解密和加密使用同一算法。一密钥，解密和加密使用同一算法。DE

38、SDES的所有保的所有保密性均依赖于密钥。密性均依赖于密钥。 第第2 2章章 对称密钥密码体系对称密钥密码体系 332022-1-202022-1-203333DESDES加密加密算法算法图图 第第2 2章章 对称密钥密码体系对称密钥密码体系 34Network and Network and Information SecurityInformation Security （1 1）DESDES的加密过程（的加密过程（3 3个阶段）个阶段） 初始置换初始置换IPIP（如下页表所示）（如下页表所示） DES对对64位明文分组进行操作。首先，位明文分组进行操作。首先，64位明文分组位明文分组x经

39、过经过一个一个初始置换函数初始置换函数IP，产生，产生64位的输出位的输出x0，再将分组，再将分组x0分成分成左半部分左半部分L0和右半部分和右半部分R0，即：，即： x x0 0=IP(x)=L=IP(x)=L0 0R R0 0 置换置换表如表表如表2-12-1所示。此表顺序为从上到下，从左至右。如所示。此表顺序为从上到下，从左至右。如初始置换把明文的第初始置换把明文的第5858位换至第位换至第1 1位，把第位，把第5050位换至第二位，位换至第二位，以此类推。以此类推。第第2 2章章 对称密钥密码体系对称密钥密码体系 35Network and Network and Informatio

40、n SecurityInformation Security表表2-1 初始置换初始置换IP58 50 42 34 26 18 10 260 52 44 36 28 20 12 462 54 46 38 30 22 14 664 56 48 40 32 24 16 857 49 41 33 25 17 9 159 51 43 35 27 19 11 361 53 45 37 29 21 13 563 55 47 39 31 23 15 7特点：整个特点：整个6464位按位按8 8行、行、8 8列排列；最右边一列列排列；最右边一列按照按照2,4,6,82,4,6,8和和1,3, 1,3, 5,

41、75, 7的次序排列；往的次序排列；往左边各列的位序号依左边各列的位序号依次为紧邻其次为紧邻其右边一列右边一列各位序号加各位序号加8.8.第第2 2章章 对称密钥密码体系对称密钥密码体系 36DESDES算法的子密钥的生成过程算法的子密钥的生成过程 Network and Network and Information SecurityInformation SecurityDESDES加密算法的密钥长度为加密算法的密钥长度为5656位位，但一般表示为，但一般表示为6464位位，其，其中，每个第中，每个第8 8位用于奇偶校验。位用于奇偶校验。在在DESDES加密算法中，将用户提加密算法中，将用

42、户提供的供的6464位位初始密钥初始密钥经过经过一系一系列的处理列的处理得到得到K K1 1，K K2 2，K K1616，分别作为分别作为1 11616轮运算的轮运算的1616个个子密钥。子密钥。子密钥的生成过程子密钥的生成过程如右图所示如右图所示 ：8 8的倍数位，即的倍数位，即第第8 8, 16, 24, 32,40,48,56和和64位位共共8位位未被使未被使用。用。第第2 2章章 对称密钥密码体系对称密钥密码体系 37Network and Network and Information SecurityInformation Security首先，将首先，将64位密钥去掉位密钥去掉

43、8个校验位，用密钥置换个校验位，用密钥置换PC1置换剩下的置换剩下的56位位密钥；再将密钥；再将56位分成前位分成前28位位C0和后和后28位位D0两部两部分，即分，即PC1(K56)=C0D0。密钥密钥置换置换PC-1如表如表2-2所示。所示。57 49 41 33 25 17 91 58 50 42 34 26 1810 2 59 51 43 35 2719 11 3 60 52 44 3663 55 47 39 31 23 157 62 54 46 38 30 2214 6 61 53 45 37 2921 13 5 28 20 12 4 表表2-2 密钥置换密钥置换PC1第第2 2章章

44、 对称密钥密码体系对称密钥密码体系 38Network and Network and Information SecurityInformation Security 接下来，根据轮数，这两部分分别接下来，根据轮数，这两部分分别循环循环左移左移1位或位或2位位。具体每轮移位的位数。具体每轮移位的位数如表如表2-3所示。所示。 表表2-3 每轮移动的位数每轮移动的位数 轮次 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 位数 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1第第2 2章章 对称密钥密码体系对称密钥密码体系 39Network and

45、 Network and Information SecurityInformation Security 移动后，将两部分合并成移动后，将两部分合并成56位后通过位后通过压缩置换压缩置换PC2后得到后得到48位子密钥，即位子密钥，即Ki=PC-2(CiDi)。压缩置换压缩置换如表如表2-4所示。所示。表表2-4 压缩置换压缩置换PC2 14 17 11 24 1 514 17 11 24 1 53 28 15 6 21 103 28 15 6 21 1023 19 12 4 26 823 19 12 4 26 816 7 27 20 13 216 7 27 20 13 241 52 31 3

46、7 47 5541 52 31 37 47 5530 40 51 45 33 4830 40 51 45 33 4844 49 39 56 34 5344 49 39 56 34 5346 42 50 36 29 3246 42 50 36 29 329,18?9,18?第第2 2章章 对称密钥密码体系对称密钥密码体系 40Network and Network and Information SecurityInformation Security图2-6 子密钥产生 56位密钥PC-1C0D0左移左移C1D1PC-2K1左移左移CiDiPC-2Ki左移左移C16D16PC-2K16第第2

47、2章章 对称密钥密码体系对称密钥密码体系 41计算计算1616次迭代变换。次迭代变换。 DESDES采用了典型的采用了典型的FeistelFeistel结构，其结构，其算法的核心是算法所规定的算法的核心是算法所规定的1616次迭次迭代变换。代变换。DESDES算法的算法的1616次迭代变换具次迭代变换具有相同的结构，每一次迭代变换都有相同的结构，每一次迭代变换都以前一次迭代变换的结果以前一次迭代变换的结果（第一次第一次迭代以作迭代以作x x0 0=L=L0 0R R0 0为输入为输入）和用户密钥）和用户密钥扩展得到的子密钥扩展得到的子密钥k ki i作为输入；每作为输入；每一次迭代变换只变换一

48、半数据，它一次迭代变换只变换一半数据，它们将输入数据的右半部分经过函数们将输入数据的右半部分经过函数f f后，将其输出与输入数据的左半部后，将其输出与输入数据的左半部分进行异或运算，分进行异或运算，并将得到的结果并将得到的结果作为新的右半部分，原来的右半部作为新的右半部分，原来的右半部分变成了新的左半部分分变成了新的左半部分Network and Network and Information SecurityInformation SecurityDEDES S加加密密算算法法图图 注意：注意：DESDES在最后一轮后，左半部分和右半部分不再交换在最后一轮后，左半部分和右半部分不再交换第第2

49、 2章章 对称密钥密码体系对称密钥密码体系 42Network and Network and Information SecurityInformation Security密码函数密码函数F：1) 函数函数F的操作步骤的操作步骤 密码函数密码函数F的输入是的输入是32比特数据和比特数据和48比特的比特的子密钥，其操作步骤如下页图子密钥，其操作步骤如下页图2-7所示。所示。(1) 扩展置换扩展置换(E)。将数据的右半部分。将数据的右半部分Ri从从32位扩展位扩展为为48位。位选择函数位。位选择函数(也称也称E盒盒)如表如表2-5所示。所示。第第2 2章章 对称密钥密码体系对称密钥密码体系 4

50、3Network and Network and Information SecurityInformation Security图2-7 F(Ri, Ki)计算 Ri1(32比特)E48比特S1S2S3S4S5S6S7S8Ki(48比特)P32比特输出第第2 2章章 对称密钥密码体系对称密钥密码体系 44Network and Network and Information SecurityInformation Security表表2-5 扩展置换扩展置换(E) 32 1 2 3 4 54 5 6 7 8 98 9 10 11 12 1312 13 14 15 16 1716 17 18