安徽工程大学-信息安全原理及应用-第3讲-对称密钥密码体制(下)课件.ppt

1、1第第3讲讲对称密钥密码体制对称密钥密码体制分组密码分组密码网络与信息安全网络与信息安全主要内容主要内容原理与设计原则原理与设计原则12Feistel密码结构密码结构3数据加密标准数据加密标准DES4其他分组密码其他分组密码5分组密码工作模式分组密码工作模式信息与网络安全的目标信息与网络安全的目标进不来进不来拿不走拿不走看不懂看不懂改不了改不了跑不了跑不了加密加密解密解密AliceBob举例：假设举例：假设Alice与与Bob进行进行保密通信保密通信，过程如下：，过程如下：按加解密采用的密钥不同按加解密采用的密钥不同按密码出现的时间不同按密码出现的时间不同古典密码古典密码现代密码现代密码密码学

2、密码学（Cryptology）(Symmetric cipher)(Asymmetric cipher)分组密码分组密码流密码流密码公钥密码公钥密码按加密的方式按加密的方式对称密码对称密码非对称密码非对称密码(Classical cipher)(Modern cipher)(Block cipher)(Stream cipher)(Public-Key cipher)对称密码和公钥密码对称密码和公钥密码对称密码对称密码公钥密码公钥密码一般要求一般要求一般要求一般要求安全性要求安全性要求安全性要求安全性要求加密和解密使用相同的密钥加密和解密使用相同的密钥收发双方必须共享密钥收发双方必须共享密钥同

3、一算法用于加密和解密，但加同一算法用于加密和解密，但加密和解密使用不同密钥密和解密使用不同密钥发送方拥有加密或解密密钥，而发送方拥有加密或解密密钥，而接收方拥有另一密钥接收方拥有另一密钥密钥必须是保密的密钥必须是保密的若没有其他信息，则解密消息是若没有其他信息，则解密消息是不不 可能或自少是不可行的可能或自少是不可行的直到算法和若干密文不足以确定直到算法和若干密文不足以确定密钥密钥两个密钥之一必须是保密的两个密钥之一必须是保密的若没有其他信息，则解密消息是若没有其他信息，则解密消息是不可能或至少是不可行的不可能或至少是不可行的知道算法和其中一个密钥以及若知道算法和其中一个密钥以及若干不足以确定

4、另一密钥干不足以确定另一密钥3.3 数据加密标准数据加密标准 DES（Data Encryption Standard）v DES（Data Encryption Standard）算法于）算法于1977年得到美国政年得到美国政府的正式许可，是一种用府的正式许可，是一种用56位密钥来加密位密钥来加密64位数据的方法，位数据的方法，其密文的长度也为其密文的长度也为64位。位。v DES算法在算法在ATM、磁卡及智能卡（、磁卡及智能卡（IC卡）、加油站、高速公卡）、加油站、高速公路收费站等领域被广泛应用，以此来实现关键数据的保密。路收费站等领域被广泛应用，以此来实现关键数据的保密。DES的生命周期

5、的生命周期 v 1975 年，年，NBS最终采纳了最终采纳了 IBM 的的 LUCIFER 方案，公开发表方案，公开发表DES。v 1977 年正式颁布为数据加密标准（年正式颁布为数据加密标准（DES-Data Encryption Standard）。）。v 1979 年，美国银行协会批准使用年，美国银行协会批准使用 DES。v 1980 年，年，DES 成为美国标准化协会成为美国标准化协会(ANSI)标准。标准。v 1984 年，年，ISO 开始在开始在 DES 基础上制定数据加密的国际标准。基础上制定数据加密的国际标准。v 1994年，决定年，决定1998年年12月之后不再使用月之后不再

6、使用DES。v 现已经确定了选用现已经确定了选用Rijndael算法作为高级加密算法算法作为高级加密算法AES。vDES算法具有以下特点：算法具有以下特点：（1）DES算法是分组加密算法：以算法是分组加密算法：以64位为分组。位为分组。（2）DES算法是对称算法：加密和解密用同一密钥。算法是对称算法：加密和解密用同一密钥。（3）DES算法的有效密钥长度为算法的有效密钥长度为56位。位。（4）换位换位和和置换置换。（5）易于实现。）易于实现。1.DES的特点的特点2.DES算法要点算法要点 v 算法设计中采用的基本变换和操作：算法设计中采用的基本变换和操作：置换置换（P）：重新排列输入的比特位置

7、。）：重新排列输入的比特位置。交换交换（SW）：将输入的左右两部分的比特进行互换。）：将输入的左右两部分的比特进行互换。循环移位循环移位：将输入中的比特进行循环移位，作为输出。：将输入中的比特进行循环移位，作为输出。一个复杂变换一个复杂变换（fK）通常是一个多阶段的乘积变换；通常是一个多阶段的乘积变换；与密钥与密钥 Key 相关；相关；必须是非线性变换；必须是非线性变换；实现对密码分析的扰乱；实现对密码分析的扰乱；是密码设计安全性的关键。是密码设计安全性的关键。3.DES的加密过程的加密过程第一步：第一步：初始置换初始置换IP。对于给定的明文对于给定的明文m，通过初始置换，通过初始置换IP获得

8、获得 ，并将，并将 分为两部分，分为两部分，前面前面32位记为位记为 ，后面，后面32位记为位记为 ，即，即第二步：第二步：乘积变换乘积变换（16轮）。轮）。在每一轮中依据下列方法计算在每一轮中依据下列方法计算 （）（）（16轮中的计算方法相轮中的计算方法相同）：同）：，其中，其中，为第为第i轮使用的子密钥，各轮使用的子密钥，各 均为均为 的一个置换选择，所有的一个置换选择，所有 构成密钥方案。函数构成密钥方案。函数 中的变量中的变量 为为32位字符串，位字符串，为为48位字位字符串，符串，函数函数 输出的结果为输出的结果为32位字符串。位字符串。0m0m0L0R000)(RLmIPmiiRL

9、161 i1iiRL),(11iiiiKRfLRiKiKKiK),(21XXf1X2X),(21XXfDES的加密过程的加密过程第三步：初始置换第三步：初始置换 的逆置换的逆置换 。应用初始置换应用初始置换 的逆置换的逆置换 对对 进行置换，得进行置换，得到密文到密文c，即，即 。IP1IP1IP1616RL)(16161RLIPcIPLi-1Ri-1LiRikif+一轮一轮DES加密过程加密过程IPL0R0L1=R0R1=L0 f(R0,K1)R2=L1 f(R1,K2)L2=R1明文明文L15=R14R16=L15 f(R15,K16)R15=L14 f(R14,K15)L16=R15IP

10、-1密文密文fK1fK2fK16DES加密流程图（1）IP置换表和置换表和IP-1逆置换表逆置换表v输入的输入的64位数据按位数据按IP表置换进行重新组合，并把输出分为表置换进行重新组合，并把输出分为L0和和R0两部分，两部分，每部分各每部分各32位，其位，其IP表置换如表表置换如表3-1所示所示表表3-1 IP置换表置换表58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157置换过程置换过程1234567891

11、0111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364585042342618102置换过程置换过程123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263645850423426181025850423426181026052443628201246254

12、4638302214664564840322416857494133251791595143352719113615345372921135635547393123715 将输入的将输入的64位明文的第位明文的第58位换到第位换到第1位，第位，第50位换到第位换到第2位，依此类推，最后一位是原来的第位，依此类推，最后一位是原来的第7位。位。L0和和R0则是换位输则是换位输出后的两部分，出后的两部分，L0是输出的左是输出的左32位，位，R0是右是右32位。比如：置换位。比如：置换前的输入值为前的输入值为D1D2D3D64，则经过初始置换后的结果为：，则经过初始置换后的结果为：L0=D58D50D

13、8，R0=D57D49D7 表表3-2 IP-1逆置换表逆置换表 逆置换正好是初始置的逆运算，例如，第逆置换正好是初始置的逆运算，例如，第1位经过初始置换位经过初始置换后，处于第后，处于第40位，而通过逆置换位，而通过逆置换IP-1，又将第，又将第40位换回到第位换回到第1位，位，其逆置换其逆置换IP-1规则表如规则表如3-2所示。所示。40848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725 初始置换初始置换IP

14、和和IP-12014MM1420MMIPIP-1(2)函数函数 f的内部流程的内部流程Ri-1（32bit）ES1S2S8PKi（48bit）48bit32bitf(Ri-1,ki)(32bit)v E变换的算法是从变换的算法是从Ri-1的的32位中选取某些位，构成位中选取某些位，构成48位，即位，即E将将32位扩展为位扩展为48位。变换规则根据位。变换规则根据E位选择表，如表位选择表，如表3-3所示。所示。表表3-3 E位选择表位选择表123456789101112131415161718192021222324252627282930313232 481216202428591317212

15、5291v每个每个S盒输出盒输出4位，共位，共32位，位，S盒的工作原理将在第盒的工作原理将在第4步介绍。步介绍。S盒的输出作为盒的输出作为P变换的输入，变换的输入，P的功能是对输入进行置换，的功能是对输入进行置换，P换位表如表换位表如表3-4所示。所示。vKi是由密钥产生的是由密钥产生的48位比特串，具体的算法是：将位比特串，具体的算法是：将E的选位的选位结果与结果与Ki作异或操作，得到一个作异或操作，得到一个48位输出。分成位输出。分成8组，每组组，每组6位，作为位，作为8个个S盒的输入。盒的输入。表表3-4 P换位表如表换位表如表16720212912281711523265183110

16、28241432273919133062211425（3）DES的密钥的密钥Ki计算计算v DES在各轮中所用的密钥均为由初始密钥（即种子密钥）导在各轮中所用的密钥均为由初始密钥（即种子密钥）导出的出的48位密钥。位密钥。v 初始密钥为初始密钥为64位，其中第位，其中第8、16、24、32、40、48、56、64位均为校验位。位均为校验位。v 如此设置校验位的目的是使每如此设置校验位的目的是使每8个字节所含的字符个字节所含的字符“1”个数为个数为奇数，以便能够检测出每个字节中的错误。奇数，以便能够检测出每个字节中的错误。子密钥子密钥ki产生流程图产生流程图PC-1C0D0LS1LS1C1D1L

17、S2LS2C2D2LS16LS16C16D16PC-2PC-2PC-2K(64bit)K1(48bit)K2(48bit)K16(48bit)假设初始密钥为假设初始密钥为K，长度为长度为64位，但是位，但是其中第其中第8，16，24，32，40，48，64作作奇偶校验位，实际奇偶校验位，实际密钥长度为密钥长度为56位。位。K下标下标i的取值范围的取值范围是是1到到16，用，用16轮来轮来构造。构造过程如构造。构造过程如图所示。图所示。产生子密钥产生子密钥Ki具体描述为：具体描述为：v首先，对于给定的密钥首先，对于给定的密钥K，应用，应用PC1变换进行选位，选定后变换进行选位，选定后的结果是的结

18、果是56位，设其前位，设其前28位为位为C0，后，后28位为位为D0。PC1选位如选位如表表3-5所示。所示。表表 3-5 PC-1选位表选位表57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124v 第第1轮：对轮：对C0作左移作左移LS1得到得到C1，对，对D0作左移作左移LS1得到得到D1，对，对C1D1应用应用PC2进行选位，得到进行选位，得到K1。其中。其中LS1是左移的位数，如表是左移的位数，如表3-6所示。所示。v 第第2轮：对

19、轮：对C1和和D1作左移作左移LS2得到得到C2和和D2，进一步对，进一步对C2D2应用应用PC2进行选进行选位，得到位，得到K2。如此继续，分别得到。如此继续，分别得到K3，K4，K16。v。表表3-6 LS移位表移位表轮轮 数数循环左移循环左移位数位数轮轮 数数循环左移循环左移位数位数轮轮 数数循环左移循环左移位数位数轮轮 数数循环左移循环左移位数位数115291132216210214232721121524282122161表表 3-7 PC-2选位表选位表14171124153281562110231912426816727201324152313747553040514533484

20、44939563453464250362932（4）S盒的工作原理盒的工作原理vS盒以盒以6位作为输入，而以位作为输入，而以4位作为输出，现在以位作为输出，现在以S1为例说明为例说明其过程。其过程。v假设输入为假设输入为A=a1a2a3a4a5a6，则，则a2a3a4a5所代表的数是所代表的数是0到到15之之间的一个数，记为：间的一个数，记为：k=a2a3a4a5；由；由a1a6所代表的数是所代表的数是0到到3间间的一个数，记为的一个数，记为h=a1a6。在。在S1的的h行，行，k列找到一个数列找到一个数B，B在在0到到15之间，它可以用之间，它可以用4位二进制表示，为位二进制表示，为B=b1

21、b2b3b4，这就是，这就是S1的输出。的输出。vS盒由盒由8张数据表组成，如教材张数据表组成，如教材P84-85所示。所示。S-盒的构造盒的构造 DES加密范例加密范例v 已知明文已知明文m=computer，密钥，密钥k=program。m=01100011 01101111 01101101 01110000 01110101 01110100 01100101 01110010 k=01110000 01110010 01101111 01100111 01110010 01100001 01101101v 这里这里k只有只有56bit，必须插入第，必须插入第8，16，24，32，40

22、，48，56，64这这8个奇偶校验位成为个奇偶校验位成为64比特。比特。k=0111000*0011100*1001101*1110110*0111011*1001001*1000010*1101101*v m经过经过IP置换后得置换后得 L0=11111111 10111000 01110110 01010111 R0=00000000 11111111 00000110 10000011v 密钥密钥k经经PC-1置换得置换得 C0=11101100 10011001 00011011 1011 D0=10110100 01011000 10001110 0111v C0和和 D0各循环左移

23、一位后通过各循环左移一位后通过PC-2得到得到48bit的子密钥的子密钥k1。C1=11011001 00110010 00110111 0111 D1=01101000 10110001 00011100 1111 k1=00111101 10001111 11001101 00110111 00111111 01001000DES加密范例加密范例v R0经过经过E变换后扩展为变换后扩展为48bit。10000000 00010111 11111110 10000000 11010100 00000110v 再和再和k1 作异或运算，得作异或运算，得 10111101 10011000 00

24、110011 10110111 11101011 01001110v 分成分成8组组 101111 011001 100000 110011 101101 111110 101101 001110v 经过经过S盒后输出盒后输出32bit 0111 0110 1101 0100 0010 0110 1010 0001v 再经过再经过P置换得置换得 01000100 00100001 10011111 1001101101(,)f R kDES加密范例加密范例v所以第一轮迭代的结果为所以第一轮迭代的结果为v =10111011 10011001 11101001 1100110010LR1001(

25、,)RLf R kDES加密范例加密范例4.DES的解密过程的解密过程v采用与加密相同的算法。采用与加密相同的算法。v以逆序（即以逆序（即 ）使用密钥。）使用密钥。11516,KKK 111 216()()DEScIP TTTIP c实现效果实现效果不同微处理器上的不同微处理器上的DES软件实现速度软件实现速度 处理器处理器处理器速度（处理器速度（MHz）每秒处理的每秒处理的DES分组个数分组个数80884.7370680007.69008028661,10068020163,50068030163,90080286255,000680305010,000680402516,000680404023,000804866643,000v 由于由于DES的密钥长度相对于穷举攻击过短，所以一般使用多的密钥长度相对于穷举攻击过短，所以一般使用多重重DES进行加密，一般的是三重进行加密，一般的是三重DES，定义为：，定义为：C=E(D(E(P,K1),K2),K1)，即，即EDE（112 bit key）v P=D(E(D(C,K1),K2),K1)DESDES-1DESDES-1DESDES-1mck1k2k1DES的变形的变形 3-DES