现代密码学第四讲：分组密码1.pptVIP

北邮现代密码学 分组密码（一） 上讲内容回顾 问题的定义及分类 算法复杂度定义及分类 P问题和NP问题 密码算法的计算安全性 本节主要内容 分组密码定义 分组密码的发展历史 保密系统的安全性分析及分组密码的攻击 数据加密标准（DES）算法介绍 高级加密标准（AES）算法介绍 中国无限局域网标准（SMS4）算法介绍 分组密码算法的运行模式 分组密码的定义 分组密码（block cipher）是现代密码学中的重要体制之一，其主要任务是提供数据保密性 分组密码加解密速度较快 (对称密码特点) 现代分组密码发展非常快，技术较成熟（公开测评） ，使用广泛 其他密码算法设计领域有广泛应用，例如：可以用于构造伪随机数生成器、流密码、认证码和哈希函数等 分组密码的定义 定义 一个分组密码体制(P, K, C, E, D)，其中P=C={0,1}l ；K={0,1}t. 加密变换： E：P×K→C, 当k ∈K确定时，Ek为P →C的一一映射. 解密变换： D: C×K →P, 当k ∈K确定时，Dk为C →P的一一映射. Dk· Ek=I 分组密码的发展历史 二十世纪之前的密码算法 算法、密钥保密 二十世纪之后的密码算法 Kerokhoffs假设：密码分析者已有密码算法及实现的全部详细资料. Kerckhoff假设蕴涵着密码的安全性完全依赖于密钥. 分组密码的发展历史 分组密码的发展历史 1973年5月美国联邦政府提出征求在传输和存储数据中保护计算机数据的密码算法的建议； 1975年3月，美国国家标准局(NBS) 首次公布IBM公司提出的算法Lucifer中选； 1977年1月NBS正式向社会公布，采纳IBM公司设计的方案作为非机密数据的数据加密标准 (Data Encryption Standard). DES正式成为美国联邦政府信息处理标准，即FIPS-46标准，同年7月开始生效。 此后，每隔5年美国国家保密局（NSA）对DES作新的评估，并重新审定它是否继续作为联邦加密标准。 分组密码的发展历史 理论强度，97年$100000的机器可以在6小时内用穷举法攻破DES. 实际攻破的例子，97年1月提出挑战，有人利用Internet的分布式计算能力，组织志愿军连接了70000多个系统在96天后攻破. 这意味着随着计算能力的增长，必须相应地增加算法密钥的长度。 分组密码的发展历史 1997年, 美国标准技术研究所（NIST）对DES进行再次评测并宣布：DES算法的安全强度已经不足以保障联邦政府信息数据的安全性, 所以NIST建议撤销相关标准. 同时, NIST开始征集新的数据加密标准----高级数据加密标准(Advanced Encryption Standard). 新算法的分组长度为128, 支持可变密钥长度128、192、256比特. 分组密码的发展历史 1999年，NIST从提交的15个候选草案中选取了5个优良的算法作为AES的候选算法：MARS、RC6、Rijndael、Serpent和Twofish， 综合评价最终确定Rijndael算法为新的数据加密标准，2001年12月正式公布FIPS-197标准。 /aes 分组密码的发展历史 欧洲于2000年1月启动了NESSIE工程, 该工程的目的是评价出包含分组密码, 流密码等在内的一系列安全, 高效和灵活的密码算法. 至2000年9月, 共征集到了17个分组密码算法, 同时将TDES和AES纳入了评估范围，并作为分组密码算法的评测基准. 经过3年2个阶段的筛选，最终确定下列算法为推荐的分组密码算法：MISTY-64、Camllia-128、AES-128和SHACAL-2。 分组密码的发展历史 日本政府在2000年成立了密码研究与评估委员会（CRYPTREC）并参考欧洲NESSIE工程的作法对密码算法的安全性和效率等问题进行评估，以备政府使用. 2002年初步拟定了推荐算法的草案, 2003年3月确定了推荐算法名单, 其中分组密码算法包括： (1)分组长度为64比特的算法：CIPHERUNICORN-E、MISTY1和3-key-TDES. (2)分组长度为128比特的算法：Camellia、CIPHERUNICORN-A、Hierocrypt-3、SC2000和Rijndael128. 回顾分组密码设计准则 迭代结构：选择某个较为简单的密码变换，在密钥控制下以迭代方式多次利用它进行加密变换，就可以实现预期的扩散和混乱效果。（轮函数） 混淆：是指在加密变换过程中是明文、密钥以及密文之间的关系尽可能地复杂化，以防密码破译者采用统计分析法进行破译攻击。(线性ax+b=c /非线性ax2+b=c) 扩散：明文和密钥中任何一比特值得改变，都