第三章对称密码体制.pptVIP

3.1 分组密码原理 对称密码体制根据对明文加密方式的不同分为 分组密码和流密码。 分组密码：按一定长度（如64bit，128bit）对 明文进行分组，然后以组为单位采用同样的密 钥进行加/解密； 流密码：不进行分组，而是按位进行加/解密 分组密码对不同的组采用同样的密钥k进行加/解密。设密文组为y=y1y2???ym，则对明文组x=x1x2 ??? xm用密钥k加密可得到y=ek(x1)ek(x2) ??? ek(xm)。 流密码的基本思想是利用密钥k产生一个密钥流z=z0z1 ???，并使用如下规则加密明文串x=x0 x1 x2 ??? ，y=y0y1y2???= ez0(x0)ez1(x1) ez2(x2)??? 。密钥流由密钥流发生器f产生。 分组密码与流密码的区别就在于记忆性。 3.1.1 分组密码设计原理 分组密码是将明文消息编码表示后的数字（简称明文数字）序列x0，x1，… ，划分成长度为n的组x=(x0,x1,…,xn-1)，每组分别在密钥 k=(k0,k1,…,km-1)的控制下变换成等长的输出数字（简称密文数字）序列y=(y0,y1,…,yn-1) 。 分组密码的算法应满足如下安全性和软/硬件实现的要求： （1）分组长度足够大，防止明文被穷举攻击。如n=64bit (DES) ，新的标准n=128bit (AES) （2）密钥空间足够大，从而防止穷举密钥攻击。同时，密钥又不能太长，以利于密钥管理，DES采用56bit有效密钥，现在不够长，今后采用128bit是足够安全的。 （3）由密钥确定的算法要足够复杂，充分实现明文与密文的扩散和混淆，没有简单的关系可循。 （4）软件实现的要求：尽量使用适合编程的子块和简单的运算 （5）硬件实现的要求：加密和解密应具有相似性。 3.1.2 分组密码的一般结构 分组密码的一般结构可以分为两种：Feistel网络 结构和SP网络结构。 Feistel网络结构 Feistel网络结构如图所示：DES采用的是Feistel网络 结构 2. SP网络结构是分组密码的另一种重要结构，AES等重要算法采用的是此结构。 迭代变换是DES算法的核心部分，每轮开始时将输入的64bit数据分成左、右长度相等的两部分，右半部分原封不动地作为本轮输出的64bit数据的左半部分，同时对右半部分进行一系列的变换，即用轮函数F作用右半部分，然后将所得结果与输入数据的左半部分进行逐位异或，最后将所得数据作为本轮输出的64bit数据的右半部分。 轮函数F由选择扩展运算E、与子密钥的异或运算、选择压缩运算S和置换P组成。 （2）与子密钥的异或运算 与子密钥的异或运算：将选择扩展运算的48 bit数据与子密钥Ki(48 bit)进行异或运算。 （后面详述） 中途攻击： 中途攻击算法基于以下观察，如果有C=EK2(EK1(P))，则X=EK1(P)=DK2(C)。给定一个已知明、密文对（P,C），攻击方法如下： 首先用所有256个可能的密钥加密P，得到256个可能的值，把这些值从小到大存在一个表中； 然后再用256个可能的密钥对密文C进行解密，每次做完解密都将所得的值与表中值进行比较，如果发现与表中的一个值相等，则它们对应的密钥可能分别是K1和K2。 现在用一个新的明、密文对检测所得到的两个密钥，如果满足X=EK1(P)=DK2(C)，则把它们接受为正确的密钥。 SP网络结构在这种密码的每一轮中，轮输入首先被一个由子密钥控制的可逆函数S作用，然后再对所得结果用置换（或可逆线性变换）P作用。S和P分别被称为混乱层和扩散层，主要起混乱和扩散作用。 AES算法结构-ii 为了克服ECB的安全性缺陷，我们希望设计一个工作模式,可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。 3.4.3 密码反馈模式（CFB) 若待加密消息需按字符、字节或比特处理时，可采用CFB或OFB模式。实际上将DES转换为流密码。流密码不需要对消息进行填充，而且运行是实时的。并称待加密消息按 j 比特处理的CFB模式为 j 比特CFB模式。 适用范围: 适用于每次处理 j比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要. 例如,数据库加密要求加密时不能改变明文的字节长度,这时就要以明文字节为单位进行加密. 优点： （1）这是将分组密码当作序列密码使用的一种方式，但乱数与明文和密