第3讲_对称密钥密码体制.ppt

第3讲对称密钥密码体制 3.1 流密码 在流密码中，将明文消息按一定长度分组（长度较小，通常按字或字节），然后对各组用相关但不同的密钥进行加密，产生相应的密文，相同的明文分组会因在明文序列中的位置不同而对应于不同的密文分组。 相对分组密码而言，流密码主要有以下优点： 第一，在硬件实施上，流密码的速度一般要比分组密码快，而且不需要有很复杂的硬件电路： 第二，在某些情况下（例如对某些电信上的应用），当缓冲不足或必须对收到的字符进行逐一处理时，流密码就显得更加必要和恰当； 第三，流密码能较好地隐藏明文的统计特征等。 流密码的原理 在流密码中，明文按一定长度分组后被表示成一个序列，并称为明文流，序列中的一项称为一个明文字。加密时，先由主密钥产生一个密钥流序列，该序列的每一项和明文字具有相同的比特长度，称为一个密钥字。然后依次把明文流和密钥流中的对应项输入加密函数，产生相应的密文字，由密文字构成密文流输出。即 设明文流为：M=m1 m2…mi… 密钥流为：K=k1 k2…ki… 则加密为：C=c1 c2…ci…=Ek1(m1)Ek2(m2)…Eki(mi)… 解密为：M=m1 m2…mi…=Dk1(c1)Dk2(c2)…Dki(ci)… 流密码的原理 流密码通信模式框图 例 设明文、密钥、密文都是F2上的二元数字序列，明文m=m1m2···，密钥为k=k1k2···，若加密变换与解密变换都是F2中的模2加法，试写出加密过程与解密过程。 [解] 经加密变换得密文： C = Ek (m) = Ek1(m1)Ek2(m2)··· = (k1+m1) (k2+m2)··· 经解密变换得： Dk (C) = Dk ((k1+m1)(k2+m2)···) = (k1+k1+m1)(k2+k2+m2)··· 由于ki∈F2，则 ki+ki=0，i=1,2,···，故 Dk (C)= m1m2··· = m 。 密文C 可由明文m与密钥k进行模2加获得。因此要用该密码系统通信就要求每发送一条消息都要产生一个新的密钥并在一个安全的信道上传送，习惯上人们称这种通信系统为“一次一密系统”。 流密码的时变性--随时间而变化 流密码采用了类似于一次一密的思想，但加密各明文字的密钥字不是独立随机选取的，而是由一个共同的较短的主密钥按一个算法产生的。因此，它不具有一次一密的无条件安全性，但增加了实用性，只要算法设计得当，其安全性可以满足实际应用的需要。 密钥流中的元素的产生由 i 时刻的流密码内部状态（记作 ）和种子密钥（记作k）决定 ，即 ；加密变换 与解密变换 也和 i 时刻的流密码内部状态有关。 流密码分类 用状态转移函数 描述流密码加密器中存储器的状态随时间变化的过程。 同步流密码 ：如果某个流密码中的状态转移函数 不依赖被输入加密器存储器的明文，即密钥流的生成独立于明文流和密文流的流密码称为同步流密码。使用最广泛。 自同步流密码也叫异步流密码 ：状态转移函数 与输入明文有关，即其中密钥流的产生并不是独立于明文流和密文流的。通常第i个密钥字的产生不仅与主密钥有关，而且与前面已经产生的若干个密文字（与明文字）有关。 同步流密码中，消息的发送者和接收者必须同步才能做到正确地加密解密，即双方使用相同的密钥，并用其对同一位置进行操作。一旦由于密文字符在传输过程中被插入或删除而破坏了这种同步性，那么解密工作将失败。否则，需要在密码系统中采用能够建立密钥流同步的辅助性方法。 密钥流生成器 密钥流生成器设计中，在考虑安全性要求的前提下还应考虑以下两个因素： 密钥k易于分配、保管、更换简单； 易于实现，快速。 目前密钥流生成器大都是基于移位寄存器的。因为移位寄存器结构简单，易于实现且运行速度快。这种基于移位寄存器的密钥流序列称为移位寄存器序列。 密钥流生成器 一个反馈移位寄存器由两部分组成：移位寄存器和反馈函数, 构成一个密钥流生成器。 每次输出一位，移位寄存器中所有位都右移一位，新的最左端的位根据寄存器中其它位计算得到。移位寄存器输出的一位常常是最低有效位。 移位寄存器的周期是指输出序列从开始到重复时的长度。 这种方法通过一个种子（有限长）产生具有足够长周期的、随机性良好的序列。只要生成方法和种子都相同，就会产生完全相同的密钥流。 反馈函数 密钥流生成器 最简单的反馈移位寄存器是线性移位寄存器（LFSR），反馈函数是寄存器中某些位的简单异或。如教材P64图4.5。 异或(XO