信息安全概论第三章对称密码体制重点课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《信息安全概论第三章对称密码体制重点课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 概论 第三 对称 密码 体制 重点 课件
- 资源描述:
-
1、1 第三章第三章 对称密码体制对称密码体制3.1 3.1 分组密码原理分组密码原理3.2 3.2 数据加密标准(数据加密标准(DESDES)3.3 3.3 高级加密标准高级加密标准(AES)(AES)3.4 3.4 分组密码的工作模式分组密码的工作模式23.1 3.1 分组密码原理分组密码原理对称密码体制根据对明文加密方式的不同分为对称密码体制根据对明文加密方式的不同分为分组密码分组密码和和流密码流密码。分组密码:分组密码:按一定长度(如按一定长度(如64bit64bit,128bit128bit)对)对明文进行分组,然后以组为单位采用同样的密明文进行分组,然后以组为单位采用同样的密钥进行加钥
2、进行加/解密;解密;流密码:流密码:不进行分组,而是按位进行加不进行分组,而是按位进行加/解密解密无记忆元件无记忆元件内部记忆元件kkx1xmymy1y1x1分组密码流密码3 分组密码对不同的组采用同样的密钥k进行加/解密。设密文组为y=y1y2ym,则对明文组x=x1x2 xm用密钥k加密可得到y=ek(x1)ek(x2)ek(xm)。流密码的基本思想是利用密钥k产生一个密钥流z=z0z1,并使用如下规则加密明文串x=x0 x1 x2 ,y=y0y1y2=ez0(x0)ez1(x1)ez2(x2)。密钥流由密钥流发生器f产生。分组密码与流密码的区别就在于记忆性。43.1.1 3.1.1 分组
3、密码设计原理分组密码设计原理 分组密码是将明文消息分组密码是将明文消息编码表示后的数字编码表示后的数字(简(简称明文数字)序列称明文数字)序列x0,x1,划分成长度为,划分成长度为n的组的组x=(x0,x1,xn-1),每组分别在密钥,每组分别在密钥 k=(k0,k1,km-1)的控制下变换成等长的输出数字(简称密文数字)的控制下变换成等长的输出数字(简称密文数字)序列序列y=(y0,y1,yn-1)。5 分组密码的算法应满足如下安全性和软分组密码的算法应满足如下安全性和软/硬件实现的硬件实现的要求:要求:(1)分组长度足够大,防止明文被穷举攻击。如)分组长度足够大,防止明文被穷举攻击。如n=
4、64bit (DES),新的标准,新的标准n=128bit (AES)(2)密钥空间足够大,从而防止穷举密钥攻击。同时,)密钥空间足够大,从而防止穷举密钥攻击。同时,密钥又不能太长,以利于密钥管理,密钥又不能太长,以利于密钥管理,DES采用采用56bit有效密钥,现在不够长,今后采用有效密钥,现在不够长,今后采用128bit是足够安是足够安全的。全的。(3)由密钥确定的算法要足够复杂,充分实现明文与)由密钥确定的算法要足够复杂,充分实现明文与密文的扩散和混淆,没有简单的关系可循。密文的扩散和混淆,没有简单的关系可循。(4)软件实现的要求:尽量使用适合编程的子块和简)软件实现的要求:尽量使用适合
5、编程的子块和简单的运算单的运算(5)硬件实现的要求:加密和解密应具有相似性。)硬件实现的要求:加密和解密应具有相似性。6两个基本设计方法ShannonShannon(香浓,现代信息理论的鼻祖(香浓,现代信息理论的鼻祖)称之为理想密码系统,)称之为理想密码系统,密文的所有统计特性都与所使用的密钥独立。密文的所有统计特性都与所使用的密钥独立。扩散(扩散(Diffusion):Diffusion):明文的统计结构被扩散消失到密文的统计明文的统计结构被扩散消失到密文的统计特性中特性中,使得明文和密文之间的统计关系尽量复杂。使得明文的使得明文和密文之间的统计关系尽量复杂。使得明文的每个比特影响到密文许多
6、比特的取值,即每个密文比特被许多每个比特影响到密文许多比特的取值,即每个密文比特被许多明文比特影响。明文比特影响。混乱混乱(confusion)(confusion):使得密文的统计特性与密钥的取值之间的:使得密文的统计特性与密钥的取值之间的关系尽量复杂。关系尽量复杂。扩散和混淆的目的都是为了挫败推出密钥的尝试,从而扩散和混淆的目的都是为了挫败推出密钥的尝试,从而抗统计抗统计分析分析。香农既精通通信又精通数学,将数理知识和工程很好的融香农既精通通信又精通数学,将数理知识和工程很好的融合在一起。他把深奥和抽象的数学思想和概括而又很具体合在一起。他把深奥和抽象的数学思想和概括而又很具体的对关键技术
7、问题的理解结合起来。他被认为是最近几十的对关键技术问题的理解结合起来。他被认为是最近几十年最伟大的工程师之一,同时也被认为是最伟大的数学家年最伟大的工程师之一,同时也被认为是最伟大的数学家之一。之一。”73.1.2 3.1.2 分组密码的一般结构分组密码的一般结构分组密码的一般结构可以分为两种:分组密码的一般结构可以分为两种:FeistelFeistel网络网络结构和结构和SPSP网络结构。网络结构。1.1.FeistelFeistel网络结构网络结构FeistelFeistel网络结构如图所示:网络结构如图所示:DESDES采用的是采用的是FeistelFeistel网络网络结构结构加密:L
8、i=Ri-1;Ri=Li-1F(Ri-1,Ki)解密:Ri-1=Li,Li-1=RiF(Ri-1,Ki)=RiF(Li,Ki)82.SP2.SP网络结构是分组密码的另一种重要结构,网络结构是分组密码的另一种重要结构,AESAES等重要算法采用的是此结构。等重要算法采用的是此结构。9DESDES(Data Encryption StandardData Encryption Standard)是迄今为止使用最为广泛的加)是迄今为止使用最为广泛的加密算法。密算法。DESDES的产生的产生-i-i 1973 1973年年5 5月月1313日日,NBS(,NBS(美国国家标准局美国国家标准局)开始公开
9、征集标准加密算开始公开征集标准加密算法法,并公布了它的设计要求并公布了它的设计要求:(1)(1)算法必须提供高度的安全性;算法必须提供高度的安全性;(2)(2)算法必须有详细的说明算法必须有详细的说明,并易于理解;并易于理解;(3)(3)算法的安全性取决于密钥算法的安全性取决于密钥,不依赖于算法;不依赖于算法;(4)(4)算法适用于所有用户;算法适用于所有用户;(5)(5)算法适用于不同应用场合;算法适用于不同应用场合;(6)(6)算法必须高效、经济;算法必须高效、经济;(7)(7)算法必须能被证实有效;算法必须能被证实有效;(8)(8)算法必须是可出口的;算法必须是可出口的;3.2 3.2
10、数据加密标准(数据加密标准(DESDES)10DESDES的产生的产生-ii-ii 19741974年年8 8月月2727日日,NBS,NBS开始第二次征集开始第二次征集,IBM,IBM提交了算法提交了算法LUCIFERLUCIFER,该算法由该算法由IBMIBM的工程师的工程师(IBM(IBM公司公司 W.Tuchman W.Tuchman 和和 C.MeyerC.Meyer)在在1971-19721971-1972年研制年研制 1975 1975年年3 3月月1717日日,NBS,NBS公开了全部细节公开了全部细节 1976 1976年年,NBS,NBS指派了两个小组进行评价指派了两个小组
11、进行评价 1976 1976年年1111月月2323日,采纳为联邦标准,批准用于非军事场合的各日,采纳为联邦标准,批准用于非军事场合的各种政府机构种政府机构 1977 1977年年1 1月月1515日日,被正式批准为美国联邦信息处理标准,即被正式批准为美国联邦信息处理标准,即FIPS PUB 46FIPS PUB 46,同年,同年7 7月月1515日开始生效。日开始生效。美国国家安全局(美国国家安全局(NSA,National Security Agency)参与了美国国参与了美国国家标准局制定数据加密标准的过程。家标准局制定数据加密标准的过程。NBS接受了接受了NSA的某些建的某些建议,对算
12、法做了修改,并将密钥长度从议,对算法做了修改,并将密钥长度从LUCIFER方案中的方案中的128位压缩到位压缩到56位位11DES的应用 1979 1979年,美国银行协会批准使用年,美国银行协会批准使用 1980 1980年,美国国家标准局赞同年,美国国家标准局赞同DESDES作为私人使用的标作为私人使用的标准准,称之为称之为DEADEA(ANSI X.392ANSI X.392)19831983年,国际化标准组织年,国际化标准组织ISOISO赞同赞同DESDES作为国际标准,作为国际标准,称之为称之为DEA-1DEA-1 该标准规定每五年审查一次,计划十年后采用新标准该标准规定每五年审查一
13、次,计划十年后采用新标准 最近的一次评估是在最近的一次评估是在19941994年年1 1月,已决定月,已决定19981998年年1212月月以后,以后,DESDES将不再作为联邦加密标准。将不再作为联邦加密标准。新的美国联邦加密标准称为高级加密标准新的美国联邦加密标准称为高级加密标准AES(Advanced Encryption Standard)AES(Advanced Encryption Standard)123.2.1 DES描述描述DES是采用将明文按是采用将明文按64bit分组,密钥长度为分组,密钥长度为64bit,其中每其中每8位有一位奇偶校验位,实际密钥的有效长位有一位奇偶校验
14、位,实际密钥的有效长度为度为56bit,DES算法是公开的,其安全性依赖于密算法是公开的,其安全性依赖于密钥的保密程度。钥的保密程度。DES结构框图如图:结构框图如图:13141.1.初始置换初始置换IPIP和初始逆置换和初始逆置换IPIP1 1152.迭代变换迭代变换16 迭代变换是迭代变换是DESDES算法的核心部分,每算法的核心部分,每轮开始时将输入的轮开始时将输入的64bit64bit数据分成左、右数据分成左、右长度相等的两部分,右半部分原封不动地长度相等的两部分,右半部分原封不动地作为本轮输出的作为本轮输出的64bit64bit数据的左半部分,数据的左半部分,同时对右半部分进行一系列
15、的变换,即用同时对右半部分进行一系列的变换,即用轮函数轮函数F F作用右半部分,然后将所得结果作用右半部分,然后将所得结果与输入数据的左半部分进行逐位异或,最与输入数据的左半部分进行逐位异或,最后将所得数据作为本轮输出的后将所得数据作为本轮输出的64bit64bit数据数据的右半部分。的右半部分。轮函数轮函数F F由选择扩展运算由选择扩展运算E E、与子密钥、与子密钥的异或运算、选择压缩运算的异或运算、选择压缩运算S S和置换和置换P P组成。组成。1718(1)(1)选择扩展运算选择扩展运算将输入的将输入的32bit数据扩展为数据扩展为48bit的输出数据,变换表如的输出数据,变换表如下:下
16、:可以看出可以看出1、4、5、8、9、12、13、16、17、20、21、24、25、28、29、32这这16个位置上的数据被读了两次。个位置上的数据被读了两次。19(2 2)与子密钥的异或运算)与子密钥的异或运算与子密钥的异或运算:将选择扩展运算的与子密钥的异或运算:将选择扩展运算的48 48 bitbit数据与子密钥数据与子密钥Ki(48 bit)Ki(48 bit)进行异或运算。进行异或运算。(后面详述)(后面详述)20(3)选择压缩运算)选择压缩运算将输入的将输入的48bit数据从左至右分成数据从左至右分成8组,每组组,每组6bit。然后输入。然后输入8个个S盒,每个盒,每个S盒为一非
17、线性代换,有盒为一非线性代换,有4bit输出,如图所示:输出,如图所示:212223S-Box 对每个盒,对每个盒,6 6比特输入中的第比特输入中的第1 1和第和第6 6比特组成比特组成的二进制数确定为行,中间的二进制数确定为行,中间4 4位二进制数用来位二进制数用来确定为列。相应行、列位置的十进制数用确定为列。相应行、列位置的十进制数用4 4位位二进制数表示作为输出。例如二进制数表示作为输出。例如S2S2盒输入为盒输入为101001101001,则行数和列数的二进制表示分别是,则行数和列数的二进制表示分别是1111和和01000100,即表中,即表中3 3行和表中行和表中4 4列,表中列,表
18、中3 3行和表行和表中中4 4列的十进制数为列的十进制数为3 3,用,用4 4位二进制数表示为位二进制数表示为00110011,所以输出为,所以输出为00110011。24(4)置换)置换P25 k1 (56 位)(48 位)ki (56 位)(48 位)64 位密钥置换选择 1 C0(28 位)D0(28 位)循环左移循环左移 C1(28 位)D1(28 位)循环左移循环左移 Ci(28 位)Di(28 位)置换选择 2置换选择 2密钥表的计算逻辑循环左移:1 1 9 12 1 10 23 2 11 24 2 12 25 2 13 26 2 14 27 2 15 28 2 16 1DES中的
19、子密钥的生成中的子密钥的生成2627DES加密算法执行过程加密算法执行过程283.2.2 DES问题讨论1.S盒的安全问题有人认为有人认为s s盒可能存在陷门,但至今没有迹象表明盒可能存在陷门,但至今没有迹象表明s s盒盒中存在陷门。中存在陷门。2.密钥长度 关于关于DES算法的另一个最有争议的问题就是担心实际算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击,因为密钥量比特的密钥长度不足以抵御穷举式攻击,因为密钥量只有只有2 2565610101717个。个。早在早在1977年,年,Diffie和和Hellman已建议制造一个每秒能已建议制造一个每秒能测试测试100
20、万个密钥的万个密钥的VLSI芯片。每秒测试芯片。每秒测试100万个密钥万个密钥的机器大约需要一天就可以搜索整个密钥空间。他们估的机器大约需要一天就可以搜索整个密钥空间。他们估计制造这样的机器大约需要计制造这样的机器大约需要2000万美元。万美元。29 在CRYPTO93上,Session和Wiener给出了一个非常详细的密钥搜索机器的设计方案,这个机器基于并行运算的密钥搜索芯片,16次加密能同时完成。此芯片每秒能测试5000万个密钥,用5760个芯片组成的系统需要花费10万美元,它平均用1.5天左右就可找到DES密钥。1997年1月28日,美国的RSA数据安全公司在RSA安全年会上公布了一项“
21、秘密密钥挑战”竞赛,其中包括悬赏1万美元破译密钥长度为56比特的DES。美国克罗拉多洲的程序员Verser从1997年2月18日起,用了96天时间,在Internet上数万名志愿者的协同工作下,成功地找到了DES的密钥,赢得了悬赏的1万美元。30 1998年7月电子前沿基金会(EFF)使用一台25万美元的电脑在56小时内破译了56比特密钥的DES。1999年1月RSA数据安全会议期间,电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥。311.两重两重DES3.2.3 DES的变形的变形双重DES密钥长度为112bit,密码强度似乎增强了一倍,但问题并非如此。双重DES易受中途攻击C
22、=EK2(EK1(P)P=DK1(DK2(C)32中途攻击:中途攻击算法基于以下观察,如果有C=EK2(EK1(P),则X=EK1(P)=DK2(C)。给定一个已知明、密文对(P,C),攻击方法如下:首先用所有256个可能的密钥加密P,得到256个可能的值,把这些值从小到大存在一个表中;然后再用256个可能的密钥对密文C进行解密,每次做完解密都将所得的值与表中值进行比较,如果发现与表中的一个值相等,则它们对应的密钥可能分别是K1和K2。现在用一个新的明、密文对检测所得到的两个密钥,如果满足X=EK1(P)=DK2(C),则把它们接受为正确的密钥。332.三重三重DES(以被广泛采用)(以被广泛
23、采用)优点:优点:能对付中途攻击能对付中途攻击。密钥长度为。密钥长度为168bit 34AES背景-i 1997年4月15日,(美国)国家标准技术研究所(NIST)发起征集高级加密标准(Advanced Encryption Standard)AES的活动,活动目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法,作为新的数据加密标准。1997年9月12日,美国联邦登记处公布了正式征集AES候选算法的通告。作为进入AES候选过程的一个条件,开发者承诺放弃被选中算法的知识产权。对AES的基本要求是:比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为1
展开阅读全文