chap-分组密码.pptVIP

针对四轮的差分分析 (续) 针对四轮的差分分析 (续) 关于差分分析 (1) 我们注意到前面的例子表明差分攻击至少和强力攻击有相同的速度。然而，对于更优异的系统如DES ，在一定的轮数下，差分攻击的效率将明显快于搜索全部密钥空间的强力攻击。 (2) Mitsuru Matsui 发明了另一种名为线性攻击的分析方法。这一攻击使用线性估计来描述分组密码的行为。线性分析可以看作是一种效率改进的新型差分分析 (理论上需要大约 243 明-密文对) 。但是并没有证据显示其可以有效的在实际中攻击DES。 谢谢! * * The process of decryption with a Feistel cipher is essentially the same as the encryption process. The rule is as follows: Use the ciphertext as input to the algorithm, but use the subkeys Ki in reverse order. That is, use Kn in the first round, Kn–1 in the second round, and so on until K1 is used in the last round. This is a nice feature because it means we need not implement two different algorithms, one for encryption and one for decryption. * * DES 算法的一般描述 输入64比特明文数据 初始置换IP 在密钥控制下 16轮迭代 初始逆置换IP-1 输出64比特密文数据 交换左右32比特 DES加密过程 初始置换IP和初始逆置换IP—1 Li-1（32比特） Ri-1（32比特） Li（32比特） 48比特寄存器 选择扩展运算E 48比特寄存器 子密钥Ki （48比特） 32比特寄存器 选择压缩运算S 置换运算P Ri（32比特） Li=Ri-1 DES的 一轮迭代 DES一轮迭代的过程 扩展置换Ｅ-盒－32位扩展到48位 扩展 压缩替代S-盒－48位压缩到32位 共8个S盒 S-盒的构造 DES中的子密钥的生成 共16轮，每轮移位如红色 64位的密钥只使用56位，每行的最高位被忽略，或作为奇偶校验位。 DES加密的一个例子取16进制明文X：0123456789ABCDEF密钥K为：133457799BBCDFF1去掉奇偶校验位以二进制形式表示的密钥是00010010011010010101101111001001101101111011011111111000应用IP，我们得到：L0=11001100000000001100110011111111L1=R0=11110000101010101111000010101010然后进行16轮加密。最后对L16, R16使用IP-1得到密文：85E813540F0AB405 雪崩效应 Avalanche Effect 明文或密钥的一比特的变化，引起密文许多比特的改变。如果变化太小，就可能找到一种方法减小有待搜索的明文和密文空间的大小。 如果用同样密钥加密只差一比特的两个明文： 0000000000000000..... 1000000000000000..... 3次循环以后密文有21个比特不同，16次循环后有34个比特不同 如果用只差一比特的两个密钥加密同样明文： 3次循环以后密文有14个比特不同，16次循环后有35个比特不同 强力搜索( brute force search ) 似乎很困难，20世纪70年代估计要1000－2000年 技术进步使穷举搜索成为可能 1997年1月29日，RSA公司发起破译RC4、RC5、MD2、MD5，以及DES的活动，破译DES奖励10000美金。结果仅搜索了24.6%的密钥空间便得到结果，耗时96天。 1998年在一台专用机上(EFF)只要三天时间即可 1999年在超级计算机上只要22小时! 3.3 DES的强度：DES密钥长度 关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击，因为密钥量只有 个 早在1977年，Diffie和Hellman已建议制造一个每秒能测试100万个密钥的VLSI芯片。每秒测试100万个密钥的机器大约需要一天就可以搜索整个密钥空间。他们估计制造这样的机器大约需要2000万美元