1-2：密码学-对称密码.pptVIP

对称密码体制 Symmetric Cryptosystem 主要内容 古典密码 现代密码体制 对称密码体制 分组密码 序列密码 公钥密码体制 1949年 《保密系统的通信理论》 密码：艺术→科学 20世纪70年代 军事、政治→民用 分组密码 将明文消息分组（每组含有多个字符，逐组地进行加密） 分组密码的典型代表是DES (Data Encryption Standard)、IDEA、AES 分组密码的基本方法 混乱 扩散 分组密码的标准化 计算机系统在商业中的应用，需要一种能使不同企业间进行秘密通信的加密标准 DES（联邦数据加密标准） NBS（美国国家标准局）1973年开始征集 1974年，IBM提交了算法LUCIFER 关于Lucifer IBM公司在60年代启动LUCIFER研究 Lucifer发明者为Horst Feistel，其核心算法被称为feistel网络 Feistal Network DES 1977年NBS颁布FIPS PUB 46 原型为lucifer，但密钥降为56位，明文/密文64位 软件实现原则：输入/输出均为8bits的倍数，使用标准处理器的基本指令（加法、移位）完成 硬件实现原则：可以使用相同的器件来进行加/解密运算，尽量使用标准组件结构 DES DES DES E表 DES S变换 S盒 DES S盒（S1） DES P盒 DES DES 子密钥的产生 64bits密钥k 删除8个校验比特，进行PC-1置换 分为左右两部分C0，D0 对于第i轮， Ci=LSi(Ci-1), Di=LSi(Di-1), k=PC-2(CiDi) DES PC-1置换 DES PC-2置换 DES 安全性 DES的安全性主要依赖于8个非线性代换S-盒 DES算法目前最大的问题就是实际56比特的密钥长度不足以抵御穷举式攻击 弱密钥问题 弱密钥、半弱密钥 DES 改进 S盒随机化 三重DES（为什么不用二重DES？） DES 针对DES的密码分析 差分分析法 属于选择明文攻击 基本思想：通过分析特定明文差对结果密文差的影响来获得可能性最大的密钥 247对选择明文，攻击复杂度降到O(237) DES 针对DES的密码分析 线性分析法 思想：用线性近似描述DES变换 根据247已知明文，可以找到DES的密钥 对称密码体制 其他分组密码体系 IDEA 1990年，由来学嘉与James Massey提出 1992年修订完成 输入/输出：64bits 密钥：128bits 对称密码体制 其他分组密码体系 AES 1997年NIST宣布征集AES算法 要求: 与三重DES比，要快且至少一样安全,分组128位,密钥128/192/256位 1998年确定第一轮15个候选者 1999年确定第二轮五个候选者: MARS, RC6, Rijndael, Serpent, Twofish 2000年底Rijndael胜出，2001年11月出版了最终标准FIPS PUB197 Rijndael 轮函数构成 AES AES AES的4层轮函数之一 AES AES的S盒 AES AES的4层轮函数之二 AES AES的4层轮函数之三 AES AES的4层轮函数之四 AES 加密过程 初始阶段：只计算轮函数四 1－9轮：依次计算轮函数一～四 10轮：计算轮函数一、二、四 AES AES 密钥扩展 AES 密钥扩展 AES 密钥扩展 AES 轮密钥选取 AES 对称密码体制 AES 消除了DES中出现的弱密钥的可能 消除了IDEA中发现的弱密钥 使用有限域逆运算构造的S盒，可使线性逼近和差分均匀分布。 有效抵抗了线性攻击和差分攻击。 对称密码体制 分组密码操作模式 电子密码本(electronic codebook mode) ECB 密码分组链接(cipher block chaining) CBC 密码反馈(cipher feedback) CFB 输出反馈(output feedback) OFB 密码分组链接 密码反馈 输出反馈 对称密码体制 序列密码 军事和外交使用的主要密码技术 产生伪随机序列，对消息按比特进行数据处理 常用方法 LFSR 非线性序列反馈器 RC4 Ron Rivest于1987年发明 广泛用于SSL、WEP等协议 RC4 S盒初始化 线性填充S，循环填充K for i = 0 to 255 do S[i] = i K[i] = Key[i mod keylen] 对i＝0～255: 计算j，交换Si与Sj j = 0 for i = 0 to 255 do j = (j + S[i] + K[i]) (mod 256) swap (S[i], S[j]) RC4 加密 i = j = 0 for