密码学分组密码.ppt

第三章 分组密码体制 分组密码概述 数据加密标准 差分密码分析与线性密码分析 分组密码的运行模式 其他分组密码体制 分组密码概述 分组密码因其实现速度较快，在许多密码系统中是一个重要的组成部分。分组密码与流密码在区别在于分组密码将明文的消息编码后划分成长度为n的组，在一个密钥的控制下变换成等长（m）的输出序列。一般情况下，n＝m。若mn，为由数据扩充的分组密码；若mn，为由数据压缩的分组密码。 为了保证一个分组密码算法的有效性——安全、易于实施。分组密码算法应满足以下要求： 分组n足够大，使得明文空间足够大，防止明文穷举攻击法奏效。 密钥量足够大，尽可能消除弱密钥，使得所有密钥都一样好，防止对密钥的穷举攻击成功。 由密钥确定的算法要足够的复杂，充分实现明文与密钥的扩散和混乱，使得算法能抵抗各种攻击。 加密和解密运算简单，易于软件和硬件的高速实现。 数据扩展。一般无数据扩展，在采用同态置换和随机化加密技术时可引进数据扩展。 差错传播尽可能小。 设计分组密码常用的一些方法介绍 1. 代换 将n长的明文分组变换为唯一n长密文分组，这样的变换是可逆的，称明文分组到密文分组的可逆变换为代换。 若分组长度为n，则明文空间M有 个向量，代换的就是给出在该空间上的一个可逆变换 。 例如：取n＝4， 2. 扩散和混淆 扩散和混淆是Shannon提出的设计密码系统的两个基本的方法，目的是抵抗敌手对密码系统的统计分析。 扩散：就是将明文的统计特性散布到密文中，实现的方法是使明文的每一位影响密文的多位，等价于说密文的每一位均受明文中的多位影响。目的是使明文和密文的统计关系变得尽可能的复杂，使敌手无法得到明文（密文）。 方法：对数据重复执行某个置换，再对该置换作用一函数，可获得扩散。 混淆：是使密文的统计特性和密钥取值的关系变得尽可能的复杂，使敌手无法获得密钥。 方法：使用复杂的代换算法，可获得好的混淆结果，而使用简单的线性代换得到的混淆效果不太理想。 Feistel密码结构 很多分组密码的结构本质上都是基于一个Feistel密码结构。 Feistel密码结构的思想是利用乘积密码实现扩散和混淆。乘积密码是顺序的执行两个或多个密码系统，使得最后结构的密码强度高于每个基本密码系统产生的结果。 Feistel结构定义 数据加密标准 DES描述 二重DES 两个密钥的三重DES 三个密钥的三重DES DES示意图 DES的描述 DES利用56比特长度的密钥K来加密长度为64位的明文，得到长度为64位的密文 DES加解密过程 令i表示迭代次数，?表示逐位模2求和，f为加密函数。DES的加密和解密过程表示如下。 加密过程： 解密过程： S-Box-i S-Box-ii 置换选择1和置换选择2 DES解密 和Feistel密码一样，DES的解密和加密使用同一算法，只是子密钥的使用顺序相反。 子密钥是独立产生的，可以独立存储。 双重DES (Double DES)  C = EK2(EK1(P)) ? P = DK1(DK2(C)) 双重DES的讨论 假设对于 DES和所有56比特密钥，给定任意两个密钥K1和K2，都能找到一个密钥K3使得 EK2(EK1(P))=EK3 (P) 。如果这个假设是事实，则DES的两重加密或者多重加密都将等价于用一个56比特密钥的一次加密。 从直观上看，上面的假设不可能为真。因为DES的加密事实上就是做一个从64比特分组到一个64分组的置换， 而64比特分组共有264可能的状态，因而可能的置换个数为 另一方面， DES的每个密钥确定了一个置换，因而总的置换个数为 。 直到1992年才有人证明了这个结果。 中间相遇攻击 C = EK2(EK1(P)) ? X = EK1(P) = DK2(C) 给定明文密文对(P,C) 对所有256个密钥,加密P,对结果排序 对所有256个密钥,解密C,对结果排序 逐个比较,找出K1,K2使得EK1(P) = DK2(C) 三重DES 三重DES四种模型： DES-EEE3：三个不同密钥，顺序使用三次加密算法 DES-EDE3：三个不同密钥，依次使用加密-解密-加密算法 DES-EEE2：K1=K3，同上 DES-EDE2：K1=K3，同上 三重DES 差分密码分析与线性密码分析 差分密码分析 差分密码分析方法是迄今已知的攻击迭代密码最有效的方法之一，其基本思想是：通过分析明文对的差值对密文对的差值的影响来恢复某些密钥的比特。 本质是一种选择明文攻击。 对明文分组为n的r轮迭代密码，两个n比特串