信息保障与安全课件：第3章--现代对称密钥密码=========.ppt

1、1 对称密钥密码对称密钥密码 概念：概念：指的是这样一种密码体制，在这种指的是这样一种密码体制，在这种密码系统里，密码系统里，加密和解密过程使用相同的加密和解密过程使用相同的密钥密钥。即信息的发送方和接收方用同一个。即信息的发送方和接收方用同一个密钥去加密和解密数据。它的密钥去加密和解密数据。它的优势优势是加密是加密/解密的速度快，适用于解密的速度快，适用于 对大量数据进行加对大量数据进行加密密/解密，但解密，但劣势劣势是对密钥的管理困难。是对密钥的管理困难。本章将要讨论两类对称密钥密码：本章将要讨论两类对称密钥密码：分组密码分组密码和和流密码流密码。对称密钥密码对称密钥密码 分组密码：分组密

2、码：明文消息按照一定长度（如明文消息按照一定长度（如64bit、128bit等）进行分组，每组都使用等）进行分组，每组都使用完全相同的密钥进行加密，产生相应的密完全相同的密钥进行加密，产生相应的密文。一个明文分组被当作一个整体来产生文。一个明文分组被当作一个整体来产生一个等长的密文分组。一个等长的密文分组。 相同的明文分组不管处在明文序列的什么相同的明文分组不管处在明文序列的什么位置，总是对应相同的密文分组。位置，总是对应相同的密文分组。即密文即密文仅与给定的密码算法和密钥有关，而与被仅与给定的密码算法和密钥有关，而与被处理的明文数据段（明文分组）在明文中处理的明文数据段（明文分组）在明文中所

3、处的位置无关。所处的位置无关。对称密钥密码对称密钥密码 流密码：流密码：又称为序列密码，是一种针对又称为序列密码，是一种针对比比特流特流的重要加密方法，的重要加密方法，这种密码每次只对这种密码每次只对二进制序列的一个比特（即一位）进行加二进制序列的一个比特（即一位）进行加密密。 流密码的流密码的核心是：核心是：创建密钥流的随机比特创建密钥流的随机比特串，然后将明文比特和密钥流比特逐位组串，然后将明文比特和密钥流比特逐位组合在一起，最后生成的比特串就是密文。合在一起，最后生成的比特串就是密文。 加密时，加密时，将密钥流将密钥流S与明文与明文P逐位做异或逐位做异或(XOR)运算，生成密文运算，生成

4、密文C； 解密时，解密时，将密文将密文C与密钥流与密钥流S逐位做异或逐位做异或(XOR)运算，恢复成明文运算，恢复成明文P。5内容提要内容提要 对称分组密码的设计原理与方法对称分组密码的设计原理与方法 数据加密标准数据加密标准DES 其它现代对称分组密码其它现代对称分组密码 分组密码的操作模式分组密码的操作模式 加密的位置加密的位置 流密码流密码6三个安全设计原则三个安全设计原则 对称分组密码先将明文消息用对称分组密码先将明文消息用二进制编码表示二进制编码表示，然后再将编码，然后再将编码后的数字序列划后的数字序列划分成若干个长度为分成若干个长度为n n的分组（简称的分组（简称“明文分明文分组组

5、”），每个分组分别在相同的密钥控制下按照一定的算法变），每个分组分别在相同的密钥控制下按照一定的算法变换成等长的输出数字序列（简称换成等长的输出数字序列（简称“密文分组密文分组”）。）。 分组加密算法分组加密算法本质上体现了本质上体现了n n位明文分组和位明文分组和n n位密文分组的一一位密文分组的一一映射。映射。 分组大小分组大小n n的选择的选择 1 1）如果）如果n n较小，则得到的明文空间和密文空间有限，容易受到较小，则得到的明文空间和密文空间有限，容易受到“统计分析统计分析”方法的攻击。方法的攻击。 2 2）如果）如果n n充分大，则由于得到的明文空间和密文空间足够大，充分大，则由于

6、得到的明文空间和密文空间足够大，明文的统计特征将被掩盖，明文的统计特征将被掩盖，可以抵抗可以抵抗“统计分析统计分析”方法的攻击；方法的攻击；但同时也将导致密钥数目的急剧增加和密钥空间的急剧增大，但同时也将导致密钥数目的急剧增加和密钥空间的急剧增大，这会给密钥的分配、管理和存储带来很大的困难。这会给密钥的分配、管理和存储带来很大的困难。一般的，对于一般的，对于n位分组的对称分组密位分组的对称分组密码，不同变换的总数为码，不同变换的总数为(2n)!，也就是，也就是说，密钥的个数为说，密钥的个数为(2n)!个。个。7对称分组密码设计的安全原则对称分组密码设计的安全原则 分组长度足够大。分组长度足够大

7、。使明文分组的个数足够使明文分组的个数足够多，以抵抗多，以抵抗“统计分析统计分析”攻击。攻击。 密钥数量足够多。密钥数量足够多。能抵抗能抵抗“穷举密钥穷举密钥”攻攻击，但又不能过长，以利于密钥管理。还击，但又不能过长，以利于密钥管理。还要尽量消除弱密钥，使各个密钥的出现等要尽量消除弱密钥，使各个密钥的出现等概率。概率。 密码算法要足够复杂。密码算法要足够复杂。充分实现明文与密充分实现明文与密钥的钥的“混淆混淆”和和“扩散扩散”，以抵抗各种已，以抵抗各种已知攻击。知攻击。8两个基本设计方法两个基本设计方法 由于对称分组密码的缺点是不善于隐藏明文的由于对称分组密码的缺点是不善于隐藏明文的统计特性，

8、因而对统计特性，因而对“统计分析统计分析”攻击方式的抵御能攻击方式的抵御能力不强，故力不强，故Shannon提出了两个抵抗提出了两个抵抗“统计分析统计分析”的方法：的方法：混淆和扩散。混淆和扩散。混淆：混淆：目的是为了隐藏明文和密文之间的关系，增加密目的是为了隐藏明文和密文之间的关系，增加密钥和密文之间关系的复杂性。可以使用钥和密文之间关系的复杂性。可以使用“代替代替”的方法的方法来实现。来实现。扩散：扩散：目的是让密文没有统计特征，也就是将明文中的目的是让密文没有统计特征，也就是将明文中的统计信息散布到整个密文中，增加密文与明文之间关系统计信息散布到整个密文中，增加密文与明文之间关系的复杂性

9、，以挫败推测出密钥的尝试。可以使用的复杂性，以挫败推测出密钥的尝试。可以使用“置换置换”的方法来实现。的方法来实现。两个基本设计方法两个基本设计方法 代替置换网络（代替置换网络（S-P网络）结构网络）结构1949年，年，Shannon提出了提出了“代替置换网络代替置换网络”的思想，这是构成现代分组密码的基础的思想，这是构成现代分组密码的基础。S-P网网络基于密码学的两个基本操作：代替和置换络基于密码学的两个基本操作：代替和置换。代替被称为代替被称为S盒（盒（S-box），提供了信息的混淆），提供了信息的混淆；置换被称为；置换被称为P盒（盒（P-box），提供了信息的扩），提供了信息的扩散散 在

10、对称分组密码中，同时运用了在对称分组密码中，同时运用了“混淆混淆”和和“扩散扩散”的设计方法。的设计方法。分组密码的发展历史分组密码的发展历史1973年年5月，美国联邦政府提出征求在传输和存储数据中月，美国联邦政府提出征求在传输和存储数据中保护计算机数据安全的密码算法的建议；保护计算机数据安全的密码算法的建议；1975年年3月，美国国家标准局月，美国国家标准局(NBS) 首次公布首次公布IBM公司提公司提出的算法出的算法Lucifer中选；中选；1977年年1月，月，NBS正式向社会公布，采纳正式向社会公布，采纳IBM公司设计的公司设计的方案作为方案作为非机密数据的数据加密标准非机密数据的数据

11、加密标准 (Data Encryption Standard)。DES正式成为美国联邦政府信息处理标准，正式成为美国联邦政府信息处理标准，即即FIPS-46标准，同年标准，同年7月开始生效。月开始生效。1983年，国际标准化组织（年，国际标准化组织（ISO）也将）也将DES作为数据加密作为数据加密标准，称为标准，称为DEA-1。此后，每隔此后，每隔5年美国国家保密局（年美国国家保密局（NSA）对）对DES作新的评作新的评估，并重新审定它是否继续作为联邦加密标准。估，并重新审定它是否继续作为联邦加密标准。最近的一次评估是在最近的一次评估是在1994年年1月，决定从月，决定从1998年年12月以后

12、月以后，DES将不再作为联邦数据加密标准。将不再作为联邦数据加密标准。11内容提要内容提要 对称分组密码的设计原理与方法对称分组密码的设计原理与方法 数据加密标准数据加密标准DES 其它现代对称分组密码其它现代对称分组密码 分组密码的操作模式分组密码的操作模式 流密码流密码12内容提要内容提要 DES的产生与应用的产生与应用 Feistel密码结构密码结构 对对DES的描述的描述 对对DES的讨论的讨论13DES的产生的产生 1973年年5月月15日日，NBS开始公开征集标准加密算法开始公开征集标准加密算法，并并公布了它的设计要求公布了它的设计要求:(1)算法必须提供高度的安全性算法必须提供高

13、度的安全性(2)算法必须有详细的说明算法必须有详细的说明，并易于理解并易于理解(3)算法的安全性取决于密钥算法的安全性取决于密钥，不依赖于算法不依赖于算法(4)算法适用于所有用户算法适用于所有用户(5)算法适用于不同应用场合算法适用于不同应用场合(6)算法必须高效、经济算法必须高效、经济(7)算法必须能被证实有效算法必须能被证实有效(8)算法必须是可出口的算法必须是可出口的DES的应用的应用 1979年，美国银行协会批准使用年，美国银行协会批准使用DES。 1980年，美国国家标准协会（年，美国国家标准协会（ANSI）将）将DES作为私人使用的标准，称为作为私人使用的标准，称为DEA。 198

14、3年，国际化标准组织（年，国际化标准组织（ISO）将）将DES作为国际数据加密标准，称为作为国际数据加密标准，称为DEA-1。15内容提要内容提要 DES的产生与应用的产生与应用 Feistel密码结构密码结构 对对DES的描述的描述 对对DES的讨论的讨论DES算法的整体结构算法的整体结构 Feistel密码结构密码结构 Feistel密码结构是由密码结构是由Horst Feistel在设计在设计Lucifer分组密码时发明的，并因分组密码时发明的，并因DES的使的使用而流行。用而流行。 Feistel密码结构是分组密码设计的一个原密码结构是分组密码设计的一个原则，则，而不是一种特殊的密码。

15、而不是一种特殊的密码。 许多分组密码都采用了许多分组密码都采用了Feistel结构。结构。 对一个分组长度为对一个分组长度为2w比特比特的的n轮轮Feistel密密码结构（对码结构（对DES算法，分组长度为算法，分组长度为64bit，轮数是轮数是16轮）其加密过程如下：轮）其加密过程如下： DES算法的整体结构算法的整体结构 Feistel密码结构密码结构（1）给定明文分组）给定明文分组P，将，将P分为长度相等的分为长度相等的左右两部分，分别记为左右两部分，分别记为L0和和R0。即。即P=L0R0。（2）进行完全相同的）进行完全相同的n轮迭代运算。轮迭代运算。（3）n轮迭代运算后，先将左右两部

16、分互换轮迭代运算后，先将左右两部分互换得到得到Rn和和Ln,再将这两部分组合生成密文分再将这两部分组合生成密文分组组C，即，即C=RnLn。Feistel密码结构密码结构Ln+1=RnRn+1=LnDES算法的整体结构算法的整体结构 Feistel密码结构密码结构 每一轮的迭代算法每一轮的迭代算法 加密：加密：对于每一轮对于每一轮 i=1,2,.,n,新新的左右部分根据如下规则重新的左右部分根据如下规则重新计算：计算： Li=Ri-1 Ri=Li-1 F(Ri-1,Ki) 解密：解密：对于每一轮对于每一轮 i=n,n-1,.,1,新的左右部分根据如下规则重新的左右部分根据如下规则重新计算：新计

17、算： Ri-1=Li Li-1=Ri F(Li,Ki)DES算法的整体结构算法的整体结构 Feistel密码结构密码结构 说明：说明：F是轮函数是轮函数 F(Ri-1,Ki)=p_box(S_boxes(Expand(Ri-1)，Ki) F(Li,Ki)=p_box(S_boxes(Expand(Li)，Ki) 其中：其中：p_box：P盒盒 S_boxes：S盒盒 Expand：扩展置换：扩展置换DES算法的整体结构算法的整体结构 Feistel密码结构密码结构 说明：说明： Ki是第是第i轮的子密钥轮的子密钥(subkey)。子密钥是由种子密钥。子密钥是由种子密钥K通过密钥扩展算法产生的。

18、通过密钥扩展算法产生的。 对于对于DES来说，种子密钥来说，种子密钥K为为64bit，由，由K产生的子产生的子密钥密钥Ki为为48bit，在，在16轮迭代运算中，每一轮的子密钥轮迭代运算中，每一轮的子密钥Ki均不同。均不同。Feistel密码结构的密码结构的优点优点在于所有密码的安全性问题在于所有密码的安全性问题可以转化为轮函数可以转化为轮函数F的问题，故分析的重点可以集中的问题，故分析的重点可以集中在轮函数在轮函数F上。上。DES算法的整体结构算法的整体结构 Feistel密码结构密码结构 基于基于Feistel结构的分组密码算法的特点结构的分组密码算法的特点（1）分组长度（分组长度（2w）

19、：）：分组长度越大安全性越高，但会导致加分组长度越大安全性越高，但会导致加密密/解密速度下降，故应选择合理的分组长度。解密速度下降，故应选择合理的分组长度。（2）密钥位数（密钥位数（K）：）：密钥位数越大安全性越高，但会导致加密钥位数越大安全性越高，但会导致加密密/解密速度下降。现在通常使用的密钥长度是解密速度下降。现在通常使用的密钥长度是128bit。（。（DES使使用的密钥长度为用的密钥长度为64bit） （3）循环次数循环次数/轮数（轮数（n）：）：多轮加密可以提高安全性。（多轮加密可以提高安全性。（DES轮函数的迭代次数为轮函数的迭代次数为16次）次） （4）子密钥产生算法（子密钥产生

20、算法（Ki）：）：算法越复杂，就越增加密码分析算法越复杂，就越增加密码分析的难度。的难度。 （5）轮函数（轮函数（F）：）：轮函数越复杂，越增加密码分析的难度。轮函数越复杂，越增加密码分析的难度。DES算法的整体结构算法的整体结构 Feistel密码结构密码结构 分组密码算法设计上的特点分组密码算法设计上的特点（1）能够用软件快速实现加密算法和解密）能够用软件快速实现加密算法和解密算法。算法。（2）易于分析，便于掌握算法的保密强度）易于分析，便于掌握算法的保密强度以及密钥的扩展方法。以及密钥的扩展方法。24内容提要内容提要 DES的产生与应用的产生与应用 Feistel密码结构密码结构 对对D

21、ES的描述的描述 对对DES的讨论的讨论 DES(Data Encryption Standard）是）是“数据加密数据加密标准标准”的缩写。的缩写。DES是基于是基于Lucifer密码设计的，密码设计的，Lucifer密码是密码是IBM公司提出的一种基于公司提出的一种基于Feistel密密码结构的密码。码结构的密码。 从从Lucifer转变成转变成DES的过程的过程（1）密钥长度从原来的）密钥长度从原来的128位减少到位减少到64位，并且位，并且64位密钥中的位密钥中的8位在实际使用中是没有作用的，只位在实际使用中是没有作用的，只是用来进行奇偶校验。如果采用是用来进行奇偶校验。如果采用“穷举

22、搜索穷举搜索”密密钥钥 的攻击方法进行破译，虽然工作量从的攻击方法进行破译，虽然工作量从2128减少到减少到256，但实际，但实际56位密钥的位密钥的DES的强度与拥有更长密的强度与拥有更长密钥的钥的 Lucifer的强度是相当的。的强度是相当的。 （2）对）对S盒进行置换，即盒进行置换，即S盒的改变。对于盒的改变。对于S盒的盒的改变增强了改变增强了DES算法抵抗密码攻击的能力。算法抵抗密码攻击的能力。 DES密码的特点密码的特点（1）DES是一种对是一种对二进制数据二进制数据进行加密进行加密/解密的算解密的算法。法。（2）DES的明文分组长度为的明文分组长度为64bit，得到的密文分，得到的

23、密文分组长度也为组长度也为64bit。（3）使用的密钥长度为）使用的密钥长度为64bit。其中有效密钥长度。其中有效密钥长度为为56bit，有，有8bit用于奇偶校验。用于奇偶校验。（4）DES的加密过程与解密过程相似，但子密钥的加密过程与解密过程相似，但子密钥Ki的使用顺序正好相反。加密时，使用顺序为的使用顺序正好相反。加密时，使用顺序为K1，K2，.，K16；解密时，使用顺序为；解密时，使用顺序为K16，K15，.,K1。（5）DES整个密码体制是公开的，整个密码体制是公开的，系统的安全性系统的安全性完全取决于密钥的保密完全取决于密钥的保密。（6）DES同时使用了同时使用了“混淆混淆”和和

24、“扩散扩散”两种分两种分组密码设计的基本方法。组密码设计的基本方法。 DES每一轮使用每一轮使用48位的子密钥位的子密钥Ki，每个子密钥都是由，每个子密钥都是由56位密钥构成的集合中的子集构成的。位密钥构成的集合中的子集构成的。 DES是基于是基于Feistel结构的密码，因此它的加密结构的密码，因此它的加密/解密过解密过程与程与Feistel密码结构一样。密码结构一样。 对于轮函数对于轮函数F的要求：的要求：（1）通常是一个多阶段的）通常是一个多阶段的乘积变换乘积变换；（2）与子密钥）与子密钥Ki相关；相关；（3）是非线性变换，且不要求可逆；）是非线性变换，且不要求可逆；（4）实现对密码分析

25、的扰乱，是密码设计）实现对密码分析的扰乱，是密码设计 安全性的关键。安全性的关键。 对于对于DES的轮函数的轮函数F，可以写成如下形式：，可以写成如下形式： F(Ri-1,Ki)=p_box(S_boxes(Expand(Ri-1) Ki) 其中：其中：p_box：P盒盒 S_boxes：S盒盒 Expand：扩展置换：扩展置换 DES的分组长度是的分组长度是64位，所以每个位，所以每个Li和和Ri都是都是32位。位。 扩展置换将扩展置换将32位的输入扩展为位的输入扩展为48位，扩展后位，扩展后的结果与的结果与48位的子密钥位的子密钥按位进行按位进行XOR运算运算。 然后然后S盒将这盒将这48

26、位的输入压缩成位的输入压缩成32位再输出。位再输出。 最后对最后对S盒的输出结果进行盒的输出结果进行P置换。置换。 P置换的输出（即得到的轮函数置换的输出（即得到的轮函数F）再与上一）再与上一轮的左半部分轮的左半部分按位进行按位进行XOR运算运算，最终得到，最终得到新新一轮的右半部分一轮的右半部分。 DES的加密过程的加密过程 64bit的明文分组经过的明文分组经过初初始置换始置换IP后，被分成相等后，被分成相等的左右两部分各的左右两部分各32bit，记为记为L0和和R0。 在子密钥的控制下经过在子密钥的控制下经过16轮迭代的乘积变换轮迭代的乘积变换（也（也是轮函数是轮函数F的具体实现）的具体

27、实现），得到，得到L16和和R16。 先交换左右两部分，再先交换左右两部分，再将交换后的两部分连接起将交换后的两部分连接起来形成来形成64bit的预输出。的预输出。 64bit的预输出经过的预输出经过初始初始逆置换逆置换IP-1，得到，得到64bit的的密文分组。密文分组。 将上图细化后得到如图所示将上图细化后得到如图所示DES加密流程图。加密流程图。初始置换初始置换IP和初始逆置换和初始逆置换IP-1在密码意义上作用是：打乱原在密码意义上作用是：打乱原来输入的明文分组中来输入的明文分组中ASCII码码字的划分关系字的划分关系 第一步：初始置换第一步：初始置换IP对于给定的对于给定的64位的明

28、文位的明文p，通过初始置换，通过初始置换IP获得获得64位的位的p0，并将，并将p0分为左右两部分，前面分为左右两部分，前面32位记为位记为L0，后面，后面32位记为位记为R0，即，即p0=IP(p)=L0R0。IP置换如图所示。置换如图所示。置换表中的数字置换表中的数字164代表的仅仅是明文代表的仅仅是明文分组中元素所处的位置，而非元素的值！分组中元素所处的位置，而非元素的值！ 第四步：初始逆置换第四步：初始逆置换IP-1应用初始逆置换应用初始逆置换IP-1对最后一轮迭代之后得到对最后一轮迭代之后得到的的R16L16进行置换，得到密文进行置换，得到密文C。即即C=IP-1(R16L16)。初

29、始逆置换。初始逆置换IP-1如图所示。如图所示。33 初始置换初始置换IP和和IP-12014MM1420MMIPIP-1M1M40M40M1初始置换IP和初始逆置换IP-1互为逆运算逆运算轮函数轮函数 第二步：第二步：16轮迭代变换轮迭代变换轮函数轮函数F(Ri-1,Ki)=p_box(S_boxes(Expand(Ri-1) Ki)在每轮的开始将经过初始置换在每轮的开始将经过初始置换IP后输入的后输入的64bit数据分为长度相等的左右两部分。数据分为长度相等的左右两部分。将右半部分原封不动作为本轮要输出的将右半部分原封不动作为本轮要输出的64bit数据的左半部分。即数据的左半部分。即Li=

30、Ri-1。对右半部分进行一系列变换，即用对右半部分进行一系列变换，即用轮函数轮函数作用于右半部分和子密钥，然后将所得结作用于右半部分和子密钥，然后将所得结果（果（32bit数据）与初始输入数据的左半部数据）与初始输入数据的左半部分进行分进行逐位模逐位模2加加。最后将所得数据作为。最后将所得数据作为本轮要输出的本轮要输出的64bit数据的右半部分。即数据的右半部分。即Ri=Li-1 F(Ri-1,Ki)。 第三步：交换左右第三步：交换左右32bit经过经过16轮迭代后得到的轮迭代后得到的64bit数据为数据为L16R16。必须将必须将左右部分进行交换得到左右部分进行交换得到R16L16后后,才能

31、才能作为初始逆置换作为初始逆置换IP-1的输入。的输入。37 DES加解密过程加解密过程令令i表示迭代次数，表示迭代次数， 表示逐位模表示逐位模2求和，求和，f为加密为加密函数。函数。DES的加密和解密过程表示如下。的加密和解密过程表示如下。加密过程：加密过程：解密过程：解密过程：)(6416, 2 , 1),(16, 2 , 1)64(1616111100LRIPbitikRFLRiRLbitIPRLiiiiii密文输入码)(641 ,15,16),(1 ,15,16)64(0011111616LRIPbitikRFRLiLRbitIPLRiiiiii明文密文 轮函数轮函数F的使用的使用轮函

32、数由轮函数由扩展置换运算扩展置换运算E、与子密钥的异或运算与子密钥的异或运算、选选择压缩变换择压缩变换S盒盒和和置换运算置换运算P盒盒组成。组成。 F(Ri-1,Ki)=p_box(S_boxes(Expand(Ri-1) Ki)轮函数轮函数的内部的内部结构结构 扩展置换运算扩展置换运算E扩展置换运算扩展置换运算E将输入将输入的的32bit数据扩展为数据扩展为48bit数据输出，变换表数据输出，变换表如图所示。它的作用有如图所示。它的作用有三个：三个：1、产生与子密钥长度、产生与子密钥长度相同的数据进行异或相同的数据进行异或运算。运算。2、它产生的、它产生的48bit的输的输出数据，使得在进行

33、出数据，使得在进行S盒代替运算时能进盒代替运算时能进行压缩。行压缩。3、输入的、输入的1位将影响位将影响2个替换，使得输出对个替换，使得输出对输入的依赖性传播的输入的依赖性传播的更快，产生更快，产生“雪崩效雪崩效应应”。40 扩展置换扩展置换扩展扩展Ri-1(32bit) 选择压缩变换选择压缩变换S盒盒 选择压缩变换选择压缩变换S盒将输入的盒将输入的48bit数据从左数据从左到右分成到右分成8组，组，每组每组6bit。 将将8个分组的个分组的数据分别输入数据分别输入8个个S盒中的一个盒中的一个，每个，每个S盒为盒为一一非线性变换，非线性变换，得到得到4bit输出。输出。如图所示。如图所示。 S

34、盒的使用盒的使用 8个个S盒的使用方法相同。对每个盒的使用方法相同。对每个S盒：盒：都可以看成是一个都可以看成是一个4*16的矩阵。的矩阵。每一行都是每一行都是015的一个置换。的一个置换。6bit输入中的第输入中的第1和第和第6比特位组成的二进比特位组成的二进制数用于确定制数用于确定S盒的盒的行行。中间。中间4个比特位组个比特位组成的二进制数用于确定成的二进制数用于确定S盒的盒的列列。将对应将对应S盒的盒的行列交叉处的十进制数转换行列交叉处的十进制数转换成成4位二进制数，作为输出位二进制数，作为输出。43S-盒的构造盒的构造 S盒是许多密码算法的盒是许多密码算法的唯一非线性部件唯一非线性部件

35、，它的，它的安全强度决定了整个密码算法的安全强度。安全强度决定了整个密码算法的安全强度。S盒提供了密码算法所必须的盒提供了密码算法所必须的“混淆混淆”作用作用。 DES的每一轮都使用相同的的每一轮都使用相同的8个个S盒。盒。 置换运算置换运算P盒盒P置换的目的是提置换的目的是提供供“雪崩效应雪崩效应”，使明文或密钥，使明文或密钥的一点小变动都的一点小变动都会引起密文的大会引起密文的大变动。如图所示变动。如图所示。46 P-盒置换盒置换P置换置换M1M9M22M29 子密钥的生成子密钥的生成子密钥的产生过子密钥的产生过程如图所示。程如图所示。48 子密钥的产生子密钥的产生（1）给定）给定64bi

36、t的种子密钥的种子密钥K，在，在置换选择置换选择1(PC-1)的的作用下，去掉了输入的第作用下，去掉了输入的第8,16,24,32,40,48,56,64比特比特位（即：去掉位（即：去掉8个字节中，每个字节的第个字节中，每个字节的第8比特位）比特位）（2）将得到的）将得到的56bit数据分成左右相等的两部分，各数据分成左右相等的两部分，各28bit，分别记为，分别记为C0和和D0。（3）对）对1i16，计算，计算Ci=LSi(Ci-1)和和Di=LSi(Di-1)。其中。其中，LS表示循环左移，每轮循环左移的位数为：表示循环左移，每轮循环左移的位数为：（4）将循环左移后的）将循环左移后的Ci和

37、和Di重新组合成重新组合成56bit数据，在数据，在置换置换选择选择2（PC-2）的的 作用下，去掉了第作用下，去掉了第9,18,22,25,35,38,43,54比特位，同时，比特位，同时，重新排列了剩下的重新排列了剩下的48bit数据并将其输数据并将其输出，作为第出，作为第i轮的子轮的子密钥密钥Ki。 置换选择置换选择1（PC-1）和置换选择和置换选择2(PC-2)如图所示。如图所示。51 子密钥的产生子密钥的产生 DES的解密的解密1）DES的解密算法和加密算法完全相同，只是各的解密算法和加密算法完全相同，只是各子密钥的使用顺序相反，即为子密钥的使用顺序相反，即为K16，K15，K14，

38、.,K2，K1。2）在每一轮的子密钥）在每一轮的子密钥Ki产生过程中，使用的是产生过程中，使用的是循循环右移环右移。每一轮的右移位数如表所示。每一轮的右移位数如表所示。53内容提要内容提要 DES的产生与应用的产生与应用 Feistel密码结构密码结构 对对DES的描述的描述 对对DES的讨论的讨论54对对DES的讨论的讨论 弱密钥与半弱密钥弱密钥与半弱密钥 互补密钥互补密钥 DES的破译的破译 密钥长度的争论密钥长度的争论 DES的轮数的轮数55弱密钥弱密钥概念：概念：初始密钥被分成两部分，初始密钥被分成两部分，每部分都单独做每部分都单独做移位移位。如果每一部分的每一位都是。如果每一部分的每

39、一位都是0或都是或都是1，则，则每一圈的子密钥都相同。这样的密钥被称为每一圈的子密钥都相同。这样的密钥被称为弱密弱密钥钥。DES存在存在4个弱密钥个弱密钥基于弱密钥的基于弱密钥的加密过程和解密过程是相同的加密过程和解密过程是相同的，加，加密两次就恢复成明文。密两次就恢复成明文。56半弱密钥半弱密钥概念：概念：有些成对的密钥会将明文加密成相同的密有些成对的密钥会将明文加密成相同的密文，即一对密钥中的一个能用来解密由另一个密文，即一对密钥中的一个能用来解密由另一个密钥加密的消息，这种密钥称作钥加密的消息，这种密钥称作半弱密钥半弱密钥。DES至少有至少有12个半弱密钥，形成个半弱密钥，形成6对。对。

40、每个半弱密钥在每个半弱密钥在16轮迭代中不是产生轮迭代中不是产生16个不同的个不同的子密钥，而是产生子密钥，而是产生2种不同的子密钥，每一种出种不同的子密钥，每一种出现现8次。次。半半弱密钥半半弱密钥 概念：概念：这种密钥在这种密钥在16轮迭代中只产生轮迭代中只产生4种子密钥种子密钥，每种子密钥出现，每种子密钥出现4次。次。 DES有有48个半半弱密钥。个半半弱密钥。 小结：小结： 弱密钥、半弱密钥和半半弱密钥共有弱密钥、半弱密钥和半半弱密钥共有4+12+48=64个，而个，而DES可能的密钥数为可能的密钥数为256个。因此，随机选个。因此，随机选择密钥，能落在这择密钥，能落在这64个中的概率

41、很小，而且个中的概率很小，而且可以在可以在密钥产生器产生种子密钥时进行检查密钥产生器产生种子密钥时进行检查，以避免这些，以避免这些密钥。密钥。58对对DES的讨论的讨论 弱密钥与半弱密钥弱密钥与半弱密钥 互补密钥互补密钥 DES的破译的破译 密钥长度的争论密钥长度的争论 DES的轮数的轮数59互补密钥互补密钥 概念：概念：将密钥的将密钥的0换成换成1，1换成换成0，就得到，就得到该密钥的该密钥的补密钥补密钥。该密钥与其补密钥称为。该密钥与其补密钥称为“互补密钥互补密钥”。 如果用原密钥加密一组明文，则用其补密如果用原密钥加密一组明文，则用其补密钥可以将钥可以将该明文的补码该明文的补码加密成加密

42、成原密文的补原密文的补码码。 设设X 表示表示X的补码，则的补码，则 Ek(M)=C Ek (M )=C 60对对DES的讨论的讨论 弱密钥与半弱密钥弱密钥与半弱密钥 互补密钥互补密钥 DES的破译的破译 密钥长度的争论密钥长度的争论 DES的轮数的轮数61DES的破译的破译 根据攻击者所掌握的信息，可将对根据攻击者所掌握的信息，可将对“对称对称分组密码分组密码”的攻击分为：的攻击分为： （1 1）唯密文攻击）唯密文攻击 （2 2）已知明文攻击）已知明文攻击 （3 3）选择明文攻击）选择明文攻击 攻击复杂度：可以从两个方面衡量攻击复杂度：可以从两个方面衡量（1 1）数据复杂度：即实施该攻击所需

43、输入）数据复杂度：即实施该攻击所需输入 的数据量。的数据量。（2 2）处理复杂度：即处理这些数据所需要）处理复杂度：即处理这些数据所需要 的计算量。的计算量。DES的破译的破译 对对DES最可靠的攻击方法是最可靠的攻击方法是“强力攻击强力攻击”。攻击复杂度依赖于。攻击复杂度依赖于分组长度分组长度和和密钥长度密钥长度。 强力攻击分为：强力密钥搜索攻击，字典强力攻击分为：强力密钥搜索攻击，字典攻击，查表攻击和时间攻击，查表攻击和时间-存储攻击。存储攻击。（1）强力密钥搜索攻击：设）强力密钥搜索攻击：设k是密钥长度是密钥长度，在在唯密文攻击唯密文攻击下，攻击者依次尝试密钥空间下，攻击者依次尝试密钥空

44、间中所有的中所有的2k个密钥来解密密文，直到得到一个密钥来解密密文，直到得到一个有意义的明文。这种攻击的复杂度平均为个有意义的明文。这种攻击的复杂度平均为2k-1。DES的破译的破译（2）字典攻击：）字典攻击：攻击者搜集攻击者搜集明文明文-密文对密文对，并把它，并把它们编成字典。当截获密文时，对照该字典进行查们编成字典。当截获密文时，对照该字典进行查找。找。设设n为分组长度为分组长度，则攻击者需要，则攻击者需要2n个明文个明文-密密文对才能在不知道密钥的情况下解密任何消息。文对才能在不知道密钥的情况下解密任何消息。（3）查表攻击：）查表攻击：是一种选择明文攻击是一种选择明文攻击。设设k是密是密

45、钥长度钥长度，对给定的明文用所有，对给定的明文用所有2k个密钥预先算出个密钥预先算出密文，这样，对于给定的密文就可以从存储表中密文，这样，对于给定的密文就可以从存储表中找到相应的密钥。找到相应的密钥。 （4）时间）时间-存储攻击：存储攻击：是一种选择明文攻击是一种选择明文攻击。由。由“强力密钥搜索攻击强力密钥搜索攻击”和和“查表攻击查表攻击”两种方法两种方法混合而成。它以时间换取空间，它比混合而成。它以时间换取空间，它比 “强力密强力密钥搜索攻击钥搜索攻击”的时间复杂度小，比的时间复杂度小，比“查表攻击查表攻击” 的空间复杂度小。的空间复杂度小。64对对DES的讨论的讨论 弱密钥与半弱密钥弱密

46、钥与半弱密钥 互补密钥互补密钥 DES的破译的破译 密钥长度的争论密钥长度的争论 DES的轮数的轮数65密钥长度密钥长度 DES的实际密钥长度为的实际密钥长度为56bit，构成的密，构成的密钥数量为钥数量为256个。对于个。对于80年代电脑的计算年代电脑的计算速度来说，这个密钥长度是安全的。但速度来说，这个密钥长度是安全的。但随着计算机的发展，其计算能力越来越随着计算机的发展，其计算能力越来越强，计算速度越来越快，这使得强，计算速度越来越快，这使得DES的的密钥长度逐渐失去了安全保证。密钥长度逐渐失去了安全保证。 现在通用的密钥长度是现在通用的密钥长度是128bit。66对对DES的讨论的讨论

47、 弱密钥与半弱密钥弱密钥与半弱密钥 互补密钥互补密钥 DES的破译的破译 密钥长度的争论密钥长度的争论 DES的轮数的轮数67DES的轮数的轮数 对于对于DES，56比特密钥决定了密钥空间是固定的，比特密钥决定了密钥空间是固定的，为什么说循环越多则安全性越高？为什么说循环越多则安全性越高？ 为什么为什么DES是是16轮，而不是轮，而不是32轮？轮？ 一般来说，循环次数越多进行密码分析的难度就一般来说，循环次数越多进行密码分析的难度就越大。越大。一般来说，循环次数的选择准则是要使已一般来说，循环次数的选择准则是要使已知的密码分析的工作量大于简单的穷举式密钥搜知的密码分析的工作量大于简单的穷举式密

48、钥搜索的工作量索的工作量。 对于对于16轮循环的轮循环的DES来说，差分密码分析的运算来说，差分密码分析的运算次数为次数为255.1，而穷举式搜索要求，而穷举式搜索要求255，前者比后者，前者比后者效率稍低，如果效率稍低，如果DES有有15次循环，那么差分密码次循环，那么差分密码分析比穷举式搜索的工作量要小。分析比穷举式搜索的工作量要小。68内容提要内容提要 乘积密码乘积密码 分组密码的设计原理与方法分组密码的设计原理与方法 数据加密标准数据加密标准DES 其它现代对称分组密码其它现代对称分组密码 分组密码的操作模式分组密码的操作模式 流密码流密码69其它现代对称分组密码其它现代对称分组密码

49、一种是对一种是对DES进行复合，强化它的抗攻击能进行复合，强化它的抗攻击能力；另一种是开辟新的方法，即象力；另一种是开辟新的方法，即象DES那样加解那样加解密速度快，又具有抗差分攻击和其他方式攻击的密速度快，又具有抗差分攻击和其他方式攻击的能力。能力。70其它现代对称分组密码其它现代对称分组密码 1. Double DES（双重（双重DES） 2. Triple DES（三重（三重DES）71双重双重DES (Double DES) 给定明文给定明文P和加密密钥和加密密钥K1,K2, 则密文则密文C=EK2(EK1(P)； 解密要求解密要求密钥以相反的次序使用密钥以相反的次序使用， 则明文则明

50、文P=DK1(DK2(C)。 双重双重DES的密钥长度为的密钥长度为112位，密钥数目可达到位，密钥数目可达到2112个个。72中间相遇攻击中间相遇攻击双重双重DES可能会受到可能会受到“基于观察的中间相遇攻击基于观察的中间相遇攻击”。 （1）根据）根据C=EK2(EK1(P)，则有中间结果，则有中间结果X=EK1(P)=DK2(C)。给定明文。给定明文-密文对（密文对（P,C）。）。 （2）先用所有）先用所有256个密钥加密个密钥加密P，对结果排序。，对结果排序。 （3）再用所有）再用所有256个密钥解密个密钥解密C，对结果排序。，对结果排序。 （4）然后逐个比较两个运算的结果，可以找到）然