第2章 对称密钥密码体系.pptVIP

第2章 对称秘钥密码体系 2.1 密码体系的原理和基本概念 2.2 数据加密标准(DES) 2.3 IDEA 2.4 AES 2.5 序列密码 2.1 密码体系的原理 加密解密公式 明文用M（消息）或P（明文）表示，密文用C表示。加密函数E作用于M得到密文C，用数学式子表示为： E（M）=C 相反地，解密函数D作用于C产生M D（C）=M 先加密后再解密消息，原始的明文将恢复出来，下面的等式必须成立： D（E（M））=M 2.1.2 安全密码准则 所有算法的安全性都基于密钥的安全性，而不是基于算法细节的安全性。 只有公开的算法才是安全的。 2.1.3 对称密钥密码和非对称密钥密码 基于密钥的算法通常有两类：对称算法和非对称算法。 对称算法有时又叫传统密码算法，就是加密密钥能够从解密密钥中容易地推算出来，反过来也成立。 在大多数对称算法中，加/解密密钥是相同的。 对称算法可分为两类。 一次只对明文中的单个比特（有时对字节）运算的算法称为序列密码或流密码算法。 另一类算法是对明文的一组比特进行运算，这些比特组称为分组，相应的算法称为分组算法。 图2-4 分组密码的工作原理 非对称算法是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的有限时间内）。 非对称算法也叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。 2.1.4 密码分析 根据被破译的难易程度，不同的密码算法具有不同的安全等级 如果破译算法的代价大于加密数据的价值，那么可能是安全的。 如果破译算法所需的时间比加密数据保密的时间更长，那么可能是安全的。 如果用单密钥加密的数据量比破译算法需要的数据量少得多，那么可能是安全的。 复杂性 几乎所有密码系统在唯密文攻击中都是可破的，只要简单地一个接一个地去试每种可能的密钥，并且检查所得明文是否有意义。这种方法叫做蛮力攻击。 密码学更关心在计算上不可破译的密码系统。如果一个算法用（现在或将来）可得到的资源在可接受的时间内都不能破译，这个算法则被认为在计算上是安全的。 可以用不同方式衡量攻击方法的复杂性： (1) 数据复杂性：用作攻击输入所需要的数据量。 (2) 时间复杂性：完成攻击所需要的时间。 (3) 存储复杂性：进行攻击所需要的存储量。 2.2 数据加密标准(DES) 2.2.1 DES算法 DES加密算法如图2-3所示，由以下四个部分组成。 1. 初始置换函数IP DES对64位明文分组进行操作。首先，64位明文分组x经过一个初始置换函数IP，产生64位的输出x0，再将分组x0分成左半部分L0和右半部分R0，即： x0=IP(x)=L0R0 置换表如表2-1所示。此表顺序为从上到下，从左至右。如初始置换把明文的第58位换至第1位，把第50位换至第二位，以此类推。 2．获取子密钥Ki DES加密算法的密钥长度为56位，但一般表示为64位，其中，每个第8位用于奇偶校验。在DES加密算法中，将用户提供的64位初始密钥经过一系列的处理得到K1，K2，…，K16，分别作为1～16轮运算的16个子密钥。现在来看如何获得这16个子密钥。 首先，将64位密钥去掉8个校验位，用密钥置换PC–1置换剩下的56位密钥；再将56位分成前28位C0和后28位D0两部分，即PC–1(K56)=C0D0。密钥置换PC-1如表2-2所示。 接下来，根据轮数，这两部分分别循环左移1位或2位。具体每轮移位的位数如表2-3所示。 移动后，将两部分合并成56位后通过压缩置换PC–2后得到48位子密钥，即Ki=PC-2(CiDi)。压缩置换如表2-4所示。 3．密码函数F 1) 函数F的操作步骤 密码函数F的输入是32比特数据和48比特的子密钥，其操作步骤如图2-5所示。 (1) 扩展置换(E)。将数据的右半部分Ri从32位扩展为48位。位选择函数(也称E盒)如表2-5所示。 (2) 异或。扩展后的48位输出E(Ri)与压缩后的48位密钥Ki作异或运算。 (3) S盒替代。将异或得到的48位结果分成八个6位的块，每一块通过对应的一个S盒产生一个4位的输出。八个S盒如表2-6所示。 S盒的具体置换过程为：某个Si盒的6位输入的第1位和第6位形成一个2位的二进制数(从0～3)，对应表中的某一行；同时，输入的中间4位构成4位二进制数(从0～15)对应表中