ch-03分组密码及数据加密标准1.ppt

密 码 学 南京农业大学 主讲：赵力 第三讲 分组密码及数据加密标准-1 突然，现代密码学从半军事的角落里解脱出来，一跃成为通信科学一切领域中的中心研究课题。 ——T.Beth 本讲主要内容 DES的产生 分组密码的基本原理 简化DES Feistel密码结构 DES的产生-1 1972年，美国商业部所属国家标准局National Bureau of Standards NBS ） ，即现在的国家标准与技术研究所NIST，拟定了一个旨在保护计算机和通信数据的计划。作为该计划的一部分，他们想开发一个单独的标准密码算法。这个独立的算法应能测试和验证，而不同的密码设备可互操作，而且实现起来便宜，并易于得到。 DES的产生-2 1973 年 5 月 15日，NBS 开始公开征集标准加密算法，并公布了它的设计要求： (1)算法必须提供高度的安全性 (2)算法必须有详细的说明，并易于理解 (3)算法的安全性取决于密钥，不依赖于算法 (4)算法适用于所有用户 (5)算法适用于不同应用场合 (6)用以实现算法的电子器件必须很经济 (7)算法必须能被验证 (8)算法必须是可出口的 DES的产生-3 1974年8月27日，NBS 开始第二次征集，IBM提交了算法Lucifer，该算法由IBM 的工程师在1971~1972年研制。NBS请NSA帮助，对算法的安全性进行评估以决定它是否适于作联邦标准。 1975年3月17日，NBS公开了全部细节 1976年，NBS指派了两个小组进行评价。讨论(1)算法的数学问题及安放陷门的可能性；(2)增加算法密钥长度的可能性。 1976年11月23日，采纳为联邦标准，批准用于非军事场合的各种政府机构 1977年1月15日，“数据加密标准” FIPS PUB 46发布，同年7月15日开始生效。 DES的产生-4 1980年公布FIPS PUB 81（DES的工作方式） 1981年公布FIPS PUB 74（实现和使用DES的指南） FIPS PUB 112规定了DES用作口令加密的标准 FIPS PUB 113规定了DES如何用作计算机数据鉴别 美国国家标准化局NBS1976后陆续公布了DES的标准正式文本、工作方式、实现和使用指南等。他们公布了足够多的细节，所以人们完全可以写出DES的实现软件。 美国国家安全局NSA曾经将DES视为他们一个最大的错误。如果他们知道细节被公布，从而人们可以写出DES的软件的话，那么他们永远不会同意公布。 DES的评估 标准的条款规定每五年审查一次。 最近的一次评估是在1994年1月，已决定1998年12月以后，DES将不再作为联邦加密标准。 1999年NIST颁布了标准的新版本，规定DES只能用于历史遗留系统以及3-DES的使用情况。 理解DES仍具有重要意义 数据加密标准DES，成为一个世界范围内的标准已经20多年了。尽管它带有过去时代的特征，但它很好地抗住了多年的密码分析，除可能的最强有力的敌手外，对其他的攻击仍是安全的。 DES的一种替代方案3-DES的加、解密算法是相同的，所以理解DES算法仍然有很重要的意义。 复习 古典密码 代换密码 置换密码 对称密码和非对称密码 分组密码和流密码 密码分析和穷举 多轮加密 Kerckhoff假设 本讲主要内容 DES的产生 分组密码的基本原理 简化DES Feistel密码结构 分组密码的一般设计原理-1 分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分等长的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列。 分组密码密文中的每位数字不是仅与某时刻输入的明文数字有关，而是与该明文中一定组长的明文数字有关。 分组密码的一般设计原理-2 其中： 明文 x = (x1，x2，…，xm) 为分组长度为m的序列； 密文 y = (y1，y2，…，yn) 为分组长度为n的序列； 密钥 k = (k1，k2，…，kr) 控制加密和解密过程。 分组密码的一般设计原理-3 分组密码的一般设计原理-4 分组长度足够大，能抵抗针对明文的穷举攻击。 密钥量足够大，能抵抗针对密钥的穷举攻击，但又不能过长，以利于密钥管理。 由密钥确定代替的算法要足够复杂，能抵抗各种已知攻击。 分组密码的设计原则 Shannon 称之为理想密码系统中，密文的所有统计特性都与所使用的密钥独立。 扩散原则（ Diffusion ） 让每个明文数字尽可能地影响多个密文数字，等价于说每个密文数字被许多明文数字影响，使明文的统计特征消散在密文中。 混淆原则（ Confusion） 尽可能使密文和加密密钥间的统计关系更加复杂，以阻止攻击者发现密钥。 扩散和混淆正是抓住了设计分组密码的本质而成为现代分组密码设计的里程碑。 实