密码学对称密码.pptVIP

现代分组对称密码 古典密码特点 使用置换或移位 容易破解 安全性基于算法的保密 现代分组对称密码 现代密码要求 安全性基于密钥的保密，算法可公开 算法容易用计算机实现，运算速度快 高安全性，抗分析 DES算法的产生 1973年5月15日, NBS开始公开征集标准加密算法,并公布了它的设计要求: 算法必须提供高度的安全性 算法必须有详细的说明,并易于理解 算法的安全性取决于密钥,不依赖于算法 算法适用于所有用户和不同应用场合 算法必须高效、经济 算法必须能被证实有效 算法必须是可出口的 DES算法的产生 1974年8月27日,NBS开始第二次征集,IBM提交了算法LUCIFER, 该算法由IBM的工程师在1971~1972年研制 1975年3月17日, NBS公开了全部细节 1976年, NBS指派了两个小组进行评价 1976年11月23日，采纳为联邦标准，批准用于非军事场合的各种政府机构 1977年1月15日,“数据加密标准”FIPS PUB 46发布 DES算法的应用 1979年，美国银行协会批准使用 1980年，美国国家标准学会（ANSI）赞同DES作为私人使用的标准,称之为DEA（ANSI X.392） 1983年，国际化标准组织ISO赞同DES作为国际标准，称之为DEA-1，该标准规定每五年审查一次，计划十年后采用新标准 最近的一次评估是在1994年1月，已决定1998年12月以后，DES将不再作为联邦加密标准。 DES算法的设计原理和方法 分组加密 将明文消息编码表示后的数字序列，划分成长度为n的组，每组分别在密钥的控制下变换成等长的输出数字密文序列 DES是一个分组加密算法，它以64位为分组对数据加密，密钥的长度是56位 扩散（Diffusion) 明文的统计结构被扩散,使得明文和密文之间的统计关系尽量复杂 明文的微小改变会导致密文的巨大变化 混乱(confusion) 使得密文的统计特性与密钥的取值之间的关系尽量复杂 密钥的微小改变会导致密文的巨大变化 扩散和混乱的结果 密文的数字序列呈现随机数的特性 DES算法概要 对64位的明文分组进行操作。通过一个初始置换IP(initial permutation)将明文分组分成左半部分和右半部分，各32位长。然后进行16轮完全相同的运算f，每轮密钥都将参与运算。经过16轮后，左、右两部分合在一起经过一个末置换（初始置换的逆置换），即完成一个分组的加密过程。 DES算法框图 利用56位长度的密钥K来加密长度为64位的明文，得到长度为64位的密文 经过设计，DES有一个非常有用的性质：加密和解密可使用相同的算法 DES算法的一轮变换 是一个先扩散再和密钥异或然后压缩最后进行置换的运算过程 48位子密钥是通过64位密钥分解变换而来 本质上看，DES基本运算也是替代和移位 其他现代常规分组密码 DES的变形 IDEA（国际数据加密算法） RC5 AES 现代常规分组密码 DES的变形 1994年1月，DES的最后一次评估 56位密钥的DES算法越来越不安全 DES已经被大量、广泛使用 考虑如何利用短密钥算法达到长密钥强度 现代常规分组密码 双重DES算法 使用两个不同的56位密钥K1、K2加密两次 解密需要两个56位密钥，强度等效于使用112位密钥？？？ 现代常规分组密码 中途相遇攻击双重DES（不考虑存储容量限制） 已知64位明文P和密文C，找出56位的K1和K2 穷举密钥加密P，保存结果，有256个值； 穷举密钥解密C，保存结果，有256个值； 找出相同的值，分别对应的密钥即为K1和K2 考虑到误报等因素，平均工作量为256次尝试 穷举攻击56位DES的平均工作量为255次尝试 穷举攻击112位DES的平均工作量为2110次尝试 现代常规分组密码 三重DES算法 使用三个56位密钥K1、K2、K3运算三次 可有效防范中途相遇攻击 四种工作模式 DES-EEE3：三个不同密钥，顺序使用三次加密算法 DES-EDE3：三个不同密钥，依次使用加密-解密-加密算法 DES-EEE2：K1=K3，其他同DES-EEE3 DES-EDE2：K1=K3，其他同DES-EDE3 现代常规分组密码 DES-EDE2 加密：C=EK1(DK2(EK1(P))) 解密：P=DK1(EK2( DK1(C))) 穷举攻击的工作量提高到了2112次 最常用，已成为标准(ANS X9.17, ISO8732) 现代常规分组密码 DES-EDE3 加密：C=EK3(DK2(EK1(P))) 解密：P=DK1(EK2( DK3(C))) 比EDE2更安全，有效密钥达到168位 许多基于Internet的应用中被使用(PGP，S/MIME…) 现代常规分组密码 DES的变形 IDEA （国际数据加