信息安全导论课程ch其他对称算法要点.ppt

6.1 3DES DES回顾 2DES 2K3DES 3K3DES DES回顾 Feistel网络 DES DES(P, K) = C DES(C, K) = P DES强度分析 DES破译 DES总结 DES算法对个人用户仍值得信赖 DES算法本身没有大的缺陷 对DES攻击方法复杂度为2^47 DES使用的2^56密钥空间不够大，蛮力攻击目前已能够奏效 (DES Challenges III)，所以关键场合不能使用了 DES已经不再是推荐标准 DES还是AES，或者RC4、RC5、IDEA、BF Free/Open DES模块仍广泛存在 保护和延续DES投资 对DES的改造 使用现存的软件硬件在强度上提高 DES改造思路 算法基本函数不能改变 否则将不能利用现有的软硬件部署 密钥空间得加大 密钥过短正是目前DES的主要弱点，加大密钥空间以抵抗穷举攻击 三个递进思路： * 用2个key，加密2回 * 用3个key，加密3回 * 用2个key，加密3回 2DES - Double DES C＝DES(DES(P，K1)，K2) P＝DES(DES(C，K2)，K1) C＝EK2(EK1(P)) P＝DK1(DK2(C)) 主要用意 密钥空间 2^56 ? 2^112 Double DES分析 是否存在另外的一个kx，使 EKx(P)＝EK2(EK1(P)) * 即DES是否是一个群 (group) 如果是，那么用两个密钥就没有意义 直观上看，因为2^56 (2^64)!，故大概不会 事实上，《DES is not a group 》 Keith W. Campbell, Michael J. Wiener 1992 /rsalabs/faq/3-2-5.html 中间相遇攻击 (meet-in-the-middle attack) 由于C＝EK2(EK1(P))，故存在中间值 X＝EK1(P)＝DK2(C) 如已知明密文对(Pa, Ca)则可找到对应的Xa和K1及K2 1. 构造（Pa，K1，X＝EK1 (Pa)）共2^56项，按X值排序 2. 构造（Ca，K2，X＝DK2(Ca)）共2^56项，按X值排序 3. 对X值取交集，则所对应的K1、K2以很大的概率正确 4. 用另外一对明密文对（Pb，Cb）验证，几可定夺 用K1的所有可能加密Pa，获得一个很大的表； 用所有可能的K2解密Ca，找其结果在是否在表中 3DES - Triple DES 使用3个密钥，168bits 抵抗中间相遇攻击，从2^56 ? 2^112了 EK3(EK2(EK1(P)))＝C DK1(DK2(DK3(C)))＝P 为了对称性： EK3(DK2(EK1(P)))＝C DK1(EK2(DK3(C)))＝P 进一步，取K3＝K1，即2key3des EK1(DK2(EK1(P)))＝C DK1(EK2(DK1(C)))＝P 多重DES应用 3DES(2K/3K)是高强度的加密算法 实现方便，节省投资 DES模块本身不需改变， 只改变上层应用程序 应用情况 PGP、S/MIME、Mozilla 加密算法（in Mozilla） 6.a 其他分组对称算法 Blowfish RC5 RC2 IDEA CAST-128 Blowfish Bruce Schneier /schneier.html Books Applied Cryptography Practical Cryptography Secrets Lies Beyond Fear Blowfish 基本参数 分组大小 64bits 密钥变长 32～ 448bits 基本操作 MOD 2^32加法；XOR 特性 结构简单快速，32字长处理器上 每字节18个时钟 紧凑，占用内存5k 密钥变长灵活 * 属于改进的类Feistel网络结构 稍有变化，即每轮两半都被异或而变化 动态S盒 Subkey S-Box Key 1~14个32bit字 18个×32bit子钥 4个×（256项×32bits）S-Boxes 演化 Π用作子钥和S盒初始值，共18项＋1024项＝521对 把K和18个子钥XOR（重复使用K） 初始用64bits 0，使用当前的子钥和S盒加密每一对，用密文取代其相邻的后面一对 演化操作本身很慢 阻止了穷举密钥攻击 不适合频繁更换密钥的场合 Blowfish Enc/Dec Blowfish 特点 S盒依赖于密钥 密钥可以足够长 强力攻击更费时 密钥可以很长 子钥的产生很费事 Speed Comparisons (1) Speed Comp (2)