对称密码体制资料.pptVIP

2、设计标准 （1）S盒的设计 每一行的元素都是从0-15的置换。 S盒是非线性的。 如果改变输入的一个比特，输出中的两个或更多比特会改变。 如果一个S盒的两个输入只有中间两个比特不同（第3和第4个比特），输出中至少有两个比特不同。 如果一个S盒的两个输入开头的两个比特不同（第1和第2比特），且最后两个比特相同（第5和第6），则输出一定不同。 最后三个输出比特得到的方式与第一个比特相同，都是补充一些它的输入比特。 在两个特定的对S盒排列的输入可以构造出相同的输出。 只改变相邻的S盒的比特在单轮加密中可能出现箱体的输出。 （2）初始置换和扩展置换 不清楚为什么DES的设计者采用初始和最终置换，这没有安全益处。 在扩展置换中，每4个比特序列的第一个和第四个会重复。 5.1电码本模式（ECB） ECB (Electronic Codebook)模式是最简单的运行模式，它一次对一个64比特长的明文分组加密，而且每次的加密密钥都相同，如图所示 。当密钥取定时，对每一个明文组，都有一个惟一的密文组与之对应。Ci = EK(Pi) ? Pi = DK(Ci) 例：假定伊夫每月工资非常低，她知道公司对每一个雇员都使用几个信息分组，这里第七个分组就是存入该雇员帐户的钱数。伊夫可以在月底拦截送往银行的密文，然后复制一个全职雇员的工资信息分组，并用这个分组替换她自己的工资信息分组，这样伊夫每月都可以得到比应得报酬多的钱。 为了克服ECB的安全性缺陷，我们希望设计一个工作模式,可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。 5.2 密码分组链接模式（CBC） 为了克服ECB的缺陷，希望设计一种方案使同一明文分组重复出现时产生的密文分组不同。一种简单的方案就是密码分组链接(Cipher Block Chaining)模式。每次加密使用同一密钥，加密算法的输入是当前明文与前一次密文组的异或。因此加密算法的输入与明文分组之间不再有固定的关系，所以重复的明文分组不会在密文中暴露。 安全问题 相同明文：在相同密钥和VI 下，加密相同的明文会得到相同密文分组。 链接依赖性：链接机制致使密文Ci依赖于Pi以及所有前面的明文分组，重排密文的顺序会影响到解密。 错误传播：解密时，密文分组Ci中一个单比特错误会影响到其他分组；加密时，修改一个明文分组会改变以后所有密文分组。 ? 当密文分组Ci中一个单比特错误时，解密结果受影响的分组是哪些？ 密文分组Ci中一个单比特错误会影响到明文分组Pi中大部分比特的错误，只对明文分组Pi+1中的一个比特（相同位置）起作用。单个错误对从Pi+2到明文PN的明文分组没有影响。 典型应用: (1) 数据加密; (2) 完整性认证和身份认证; 5.3 密码反馈模式(CFB) 若待加密的消息必须按字符（如电传电报）处理时，可以采用CFB (Cipher Feedback)模式或OFB (Output Feedback)模式，这样做事实上将DES转换成为流密码。流密码不需要对消息填充，而且运行是实时的。因此如果传送字母流，可使用流密码对每个字母直接加密并传送。 安全问题 相同明文:同CBC。 链接依赖：密文分组的正确性依赖于其前面所有明文分组的正确性，密文分组正确解密要求之前n/r个密文组也正确。 错误传播：传输过程中密文分组Ci的一个单比特错误就可以在明文分组Pi中产生一个单笔特错误（相同位置上）。只要Ci中的一些比特还在移位寄存器中，接下来的明文分组中的大多数比特都是错误的（50%的概率）。 错误恢复:自同步，需要n/r个分组才能恢复 吞吐量：降低了加密速度。 5.4 输出反馈模式（OFB） OFB (Output Feedback) 模式在结构上类似于CFB ，如图所示 。不同之处是OFB模式将加密算法的输出反馈到移位寄存器，而CFB模式是将密文单元反馈到移位寄存器。 特点： 与 CFB模式相比，OFB模式的优点是传输过程中的比特错误不会被传播。例如C1中出现一比特错误，在解密结果中只有P1受影响，以后各明文单元则不受影响 。 OFB模式的缺点是难于检测密文是否被篡改。如在密文中取 1比特的补 ，那么在恢复的明文中相应位置的比特也为原比特的补。因此敌手有可能通过对数据部分和校验部分同时进行篡改，导致纠错码无法检测。 图4.15 CBC模式（加密） 加