现代密码学(第三章)精品.ppt

第三章：分组密码 一、分组密码的基本概念 二、分组密码DES 三、分组密码IDEA 四、分组密码Rijndael 五、分组密码SAFER+ 一、分组密码的基本概念 分组密码 若明文流被分割成等长串，各串用相同的加密算法和相同的密钥进行加密，就是分组密码。即当 （1）明文和密文是固定长度为n的比特串 m=m1m2m3… mn ， c=c1c2c3… cn ， （2）加密密钥和解密密钥相等，是固定长度为j的比特串 z=z1z2z3… zj， （3）加密算法为c=E(m, z)， （4）解密算法为m=D(c, z)=D(E(m, z), z)。 则称这样的加解密算法为分组密码。 一、分组密码的基本概念 分组密码的优缺点 分组密码的加解密算法（E，D）简洁快速，所占用的计算资源小，易于软件和硬件实现。一般来说，用硬件实现时，流密码比分组密码更简单快速；用软件实现时，分组密码比流密码更简单快速。 加解密算法（E，D）参数固定，比流密码更容易实现标准化。 由于明文流被分段加密，因此容易实现同步，而且传输错误不会向后扩散。 分组密码的安全性很难被证明，至多证明局部安全性。 一、分组密码的基本概念 分组密码所面对的主要威胁： 已知明文攻击 分组密码的密钥z被重复使用，即多次一密。因此最主要的威胁就是已知明文攻击。 设攻击者Eve获得了一组明文/密文对（m，c）。他试图在加密方程c=E(m, z) 或解密方程m=D(c, z)中求出密钥z 。 一、分组密码的基本概念 Eve的一种办法是穷举搜索密钥的所有可能值。（密钥z长度为j，共有2j个可能值）为了抵抗穷举搜索，密钥的长度j不能太小。当然密钥长度也不能太大，否则加解密的计算量就会很大。当前常用的密钥长度为64或128或256。 Eve的另一种办法是充分利用加解密算法（E，D）的弱点。如果某一组明文/密文对（m，c）使得方程m=D(c, z)特别容易解出z，m就称为一个弱明文，z就称为一个弱密钥。 一、分组密码的基本概念 Eve时刻都在对加解密算法（E，D）进行研究，以便找到弱明文和弱密钥。 (当然，即使Eve通过研究找到了弱明文m和弱密钥z，也不见得能够在实际中碰到这样的m) 如果给Eve更加优越的条件，让他能够故意“碰到”弱明文m。这就是说，让Eve获得一个正在使用的加密黑盒，可以随意地输入明文，输出密文。这样的攻击是已知明文攻击的强化型，称为选择明文攻击。 要求：加解密算法（E，D）不存在弱明文和弱密钥。 一、分组密码的基本概念 为了抵抗已知明文攻击（甚至选择明文攻击），分组密码应该满足的性质 混淆性：所设计的密码应使得明文、密文、密钥之间的依赖关系相当复杂，以至于这种依赖关系对密码分析者来说是无法利用的。密码分析者利用这种依赖关系的方法非常多，因此混淆性也是一个极为繁杂的概念。 一、分组密码的基本概念 扩散性：所设计的密码应使得 （1）密钥的每一个比特影响密文的每一个比特，以防止对密钥进行逐段破译； （2）明文的每一个比特影响密文的每一个比特，以便最充分地隐蔽明文。 对扩散性可以有多种理解，比如 “粘连性”指的是明文、密文、密钥的每一位都相互依赖； “不连续性”或“雪崩性” 指的是当改变明文的任何一个比特时，对应密文改变的比特的个数是一个随机变量； “不可部分破译性”指的是分组密码不能分解成若干子密码。这就是说，对分组密码的攻击要么彻底破译，要么一无所获。（everything or nothing） 一、分组密码的基本概念 非线性度：这一项属于混淆性。基本数学原理： 如果明文与密文的关系是n维线性关系，系数是密钥，则n个明文/密文对（而不是2n个）就可破解密钥； 如果明文与密文的关系是n维r次函数关系，且系数是密钥，则nr个明文/密文对就可破解密钥； 如果虽然次数r较大，但明文与密文的关系“非常逼近”一个n维线性关系，则n个明文/密文对就可“基本上”破解密钥。 一、分组密码的基本概念 这就是线性密码分析的思想。 抵抗线性密码分析的强度就是非线性度。 一、分组密码的基本概念 安全强度的稳定性：指的是当部分密钥被破译后，分组密码仍有一定的抗攻击能力。 以下举一个简单的例子来说明安全强度的稳定性。 设明文x为n比特长；两个n比特长的密钥k1和k2；密文y=(x‘+’k1)“+”k2，其中‘+’为逐比特异或，“+”为(mod2n)加法。这个加密算法所使用的密钥长度为2n。 一、分组密码的基本概念 假设攻击者已经获得了k2的低m比特。根据“+”的进位规则，只需要一对明文/密文对就可立即推算出k1的低m比特；因此对未来任意的密文，可立即得到其对应明文的低m比特。这就是说，2n长的密钥的各比特对安全性的贡献是极不平均的，在截获一对明文/密文对的前提下，安全性完全依赖于k2的低位的保密性。