第二讲密码学祥解.ppt

古典加密技术 代替密码 置换密码 代替密码 代替密码（substitution cipher）：明文中的每个字符被替换成密文中的另一个字符。 简单代替，即单字母密码，如Caesar密码； 多码代替密码； 多字母代替密码； 多表代替密码，如Vigenère密码。 置换密码 置换密码（permutation cipher）：又称换位密码（transposition cipher） ，并没有改变明文字母，只改变了这些字母的出现顺序。 Vigenère密码 构成 明文：每个字符惟一对应一个0~25间的数字。 密钥：一个字符串，其中每个字符同明文一样对应一个数字，代表位移值，如a 表示位移 0，b 表示位移 1，c 表示位移 2，...... ）。 加密过程： 将明文数字串依据密钥长度分段，并逐一与密钥数字串相加（模26），得到密文数字串； 最后，将密文数字串转换为字母串。 维吉尼亚密码引入了“密钥”的概念，即根据密钥来决定用哪一行的密表来进行替换，以此来对抗字频统计 Kerckhoffs假设1883 假定：密码分析者知道对方所使用的密码系统 包括明文的统计特性、加密体制（操作方式、处理方法和加/解密算法 ）、密钥空间及其统计特性。 不知道密钥。 在设计一个密码系统时，目标是在Kerckhoffs 假设的前提下实现安全 。 DES的安全性 互补性。DES算法具有下述性质。若明文组x逐位取补，密钥k逐位取补，即y=DESk(x), 则有 这种互补性会使DES在选择明文破译下所需的工作量减半。 弱密钥和半弱密钥。DES算法在每次迭代时都有一个子密钥供加密用。如果给定初始密钥k，各轮的子密钥都相同，即有 k1=k2= … =k16 就称给定密钥k为弱密钥(Weak key)。 DES的安全性 若k为弱密钥，则有 DESk(DESk(x))=x DESk-1(DESk-1(x))=x 即以k对x加密两次或解密两次都可恢复出明文。其加密运算和解密运算没有区别。 弱密钥下使DES在选择明文攻击下的搜索量减半。 如果随机地选择密钥，弱密钥所占比例极小，而且稍加注意就不难避开。因此，弱密钥的存在不会危及DES的安全性。 DES的安全性 密文与明文、密文与密钥的相关性。 Meyer[1978]详细研究了DES的输入明文与密文及密钥与密文之间的相关性。表明每个密文比特都是所有明文比特和所有密钥比特的复合函数，并且指出达到这一要求所需的迭代次数至少为5。Konheim[1981]用?2检验证明，迭代8次后输出和输入就可认为是不相关的了。 DES的安全性 S盒设计。 DES靠S盒实现非线性变换。 密钥搜索机。 对DES安全性批评意见中，较为一致的看法是DES的密钥短了些。IBM最初向NBS提交的建议方案采用112 bits密钥，但公布的DES标准采用64 bits密钥。有人认为NSA故意限制DES的密钥长度。采用穷搜索对已经对DES构成了威胁． 二重DES 用DES进行两次加密，但这是否就意味着两重DES加密的强度等价于112 bit密钥的密码的强度？答案是否定的。 中途相遇攻击法(Meet-in-the-Middle Attack) 由Diffie和Hellman[1977]最早提出，可以降低搜索量其基本想法如下。若有明文密文对(xi,yi)满足 yi=Ek2[Ek1[xi]] 则可得 z=Ek1[xi]=Dk2[yi] 二重DES 图4-14-1 中途相遇攻击示意图 中途相遇攻击 给定一已知明密文对(x1,y1)，可按下述方法攻击。 以密钥k1的所有256个可能的取值对此明文x1加密，并将密文z存储在一个表中； 从所有可能的256个密钥k2中依任意次序选出一个对给定的密文y1解密，并将每次解密结果z?在上述表中查找相匹配的值。一旦找到，则可确定出两个密钥k1和k2； 以此对密钥k1和k2对另一已知明文密文对(x2, y2)中的明文x2进行加密，如果能得出相应的密文y2就可确定k1和k2是所要找的密钥。 中途相遇攻击 对于给定明文x，以两重DES加密将