第78讲--分组密码祥解.pptVIP

第四章 分组密码 明文处理方式 分组密码（block cipher) 将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 流密码（stream cipher) 又称序列密码。序列密码每次加密一位或一字节的明文。 背景 发明人：美国IBM公司 W. Tuchman 和 C. Meyer 1971-1972年研制成功 基础：1967年美国Horst Feistel提出的理论 产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告， 公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳 了IBM的LUCIFER方案 标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标 准局颁布为数据加密标准（Data Encryption Standard），于 1977年7月15日生效 背景 美国国家安全局（NSA, National Security Agency)参与了美国国家标准局制定数据加密标准的过程。NBS接受了NSA的某些建议，对算法做了修改，并将密钥长度从LUCIFER方案中的128位压缩到56位 1979年，美国银行协会批准使用DES 1980年，DES成为美国标准化协会(ANSI)标准 1984年2月，ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作 置 换 定义4.1 ：设S是一个有限集合， φ是从S到S的一 个映射。如果对任意的u，v，当u≠v 时，φ(u) ≠φ(v),则称φ是S上的一 个置换。 IP和IP-1 注意 无论f函数如何选取，DES的圈函数是一个对合变换。 ① E盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特数据 压缩替代S-盒－48位压缩到32位 S-盒的构造要求 S-盒是算法的唯一非线性部件,因此,它的密码强度决定了整个算法的安全强度 提供了密码算法所必须的混乱作用 非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门 DES的加密和脱密变换 加密： y=IP-1。fek16 。 D 。 … 。 D 。 fek2 。 D 。 fek1 。 IP(x) 脱密 x=IP-1。fdk16 。 D 。 … 。 D 。 fdk2 。 D 。 fdk1 。 IP(y) 注意 (1)加密密钥eki和脱密密钥dki的关系： dki=ek(16-i) (2)最后一圈若添加交换则无法正常脱密： y=IP-。D 。fek16 。 D 。 … 。 D 。 fek2 。 D 。 fek1 。 IP(x) x=IP-。fdk16 。 D 。 … 。 D 。 fdk2 。 D 。 fdk1 。 D 。 IP(y) S盒的设计准则 迄今为止，有关方面未曾完全公开有关DES的S盒的设计准则。Branstead等曾披露过下述准则： P1 S盒的输出都不是其输入的线性或仿射函数。 P2 改变S盒的一个输入比特，其输出至少有两比特产生变化，即近一半产生变化。 P3 当S盒的任一输入位保持不变，其它5位输入变化时(共有25 =32种情况)，输出数字中的0和1的总数近于相等。 这三点使DES的S盒能够实现较好的混淆。 S盒的组合 问题: 如何将几个S盒组合起来构成一个n值较大的组。 将几个S盒的输入端并行，并通过坐标置换(P-盒)将各S盒输出比特次序打乱，再送到下一级各S盒的输入端，起到了Shannon所谓的“扩散”作用。S盒提供非线性变换，将来自上一级不同的S盒的输出进行“混淆”。经过P-盒的扩散作用使1均匀地分散到整个输出矢量中，从而保证了输出密文统计上的均匀性，这就是Shannon的乘积密码的作用。 Feistel网络 将n bit明文分成为左右各半、长为n/2 bit的段，以L和R表示。然后进行多轮迭代，其第i轮迭代的输出为前轮输出的函数 Li =Ri-1 Ri =Li-1 ?f(Ri-1, Ki) 式中，Ki是第i轮用的子密钥，f是任意密码轮函数。称这种分组密码算法为Feistel网络（Feistel Network），它保证加密和解密可采用同一算法实施 迭代分