信息安全概论 PPT 课件 第三章new.pptVIP

第三章 对称密码体制 本章先介绍对称分组密码的一般原理，然后介绍典型分组密码DES和AES，最后简要介绍流密码 。 3.1分组密码原理 对称密码体制根据对明文的加密方式的不同而分为分组密码和流密码。前者先按一定长度（如64字节、128字节等）对明文进行分组，以组为单位加/解密；后者则不进行分组，而是按位加密。 分组密码系统对不同的组采用同样的密钥来进行加/解密。设密文组 ，则通过如下方式对明文组 ，加密可得到： 。 流密码的基本思想是利用密钥产生一个密钥流 ： ,并使用如下规则加密明文串 , ,密钥流由密钥流发生器 产生： , 这里 是加密器中的记忆元件（存储器）在时刻 的状态 ， 是由密钥 和 产生的函数。 分组密码与流密码的区别就在于记忆性（如图3.1）。流密码的滚动密钥 由函数 、密钥 和指定的初 态 完全确定。此后，由于输入加密器的明文可能影响到 加密器中内部记忆元件的存储状态，因而 可能依赖 于 等参数。 3.1.1 分组密码设计原理 分组密码是将明文消息编码表示后的数字（简称明文数字）序列 ，划分成长度为 n的组 （可看成长度为n的矢量），每组分别在密钥 的控制下变换成等长的输出数字（简称密文数字）序列 ， 的控制下变换成等长的输出数字（简称密文数字）序列 ，其加密函数是 ， 是n维矢量空间， 为密钥空间，如图3.2所示。在相同的密钥k的控制下，加密函数可看成是函数 。这实质上是对字长为n的数字序列的置换。在二元的情况下，x和y都是二元序列，共有 个不同的明文分组。为了使加密运 算可逆，从而解密运算可行，每个明文分组对应惟一的一个密文分组，即置换 是可逆的。众所周知， 上这样的置换共有 个，因而密钥个数最多为 。实际使用中的许多分组密码，如DES、IDEA等，所用的置换只不过是上述置换集的一个很小的子集。 分组密码的设计就是要找到一种算法，在密钥的控制下，能从一个足够大和足够好的置换子集中简单而迅速地选出一个置换，用来对当前输入的明文数字组进行加密变换。因此，设计的算法应满足下述安全性和软/硬件实现的要求： （1）分组长度足够大，使不同明文分组的个数 足 够 大，防止明文穷举攻击法奏效。如 ， 则在生日 攻击下用 分组密文成功的概率为 ，同时需要 bit MB存储，因而 采用穷举攻击是不可行的。新的算法标准一般 要求 。 （2）密钥空间足够大，尽可能消除弱密钥，从而使 所有密钥同等概率，以防穷举密钥攻击。同时 ，密钥不能太长，以利于密钥管理。DES 采用 56比特有效密钥，现在显然不够长。今后一段 时间内，128比特密钥应该是足够安全的。 （3）由密钥确定的算法要足够复杂，充分实现明文 与密钥的扩散和混淆，没有简单关系可循，要 能抵抗各种已知的攻击，如差分攻击和线性攻 击等；另外，还要求有较高的非线性阶数。 （4）软件实现的要求：尽量使用适合编程的子块 和简单的运算。密码运算在子块上进行，要 求子块的长度能自然地适应软件编程，如8、 16、32比特等。应尽量避免按比特置换，在 子块上所进行的密码运算尽量采用易于软件 实现的运算。最好是用处理器的基本运算， 如加法、乘法、移位等。 （5）硬件实现的要求：加密和解密应具有相似性， 即加密和解密过程的不同应仅仅在密钥使用方 式上，以便采用同样的器件来实现加密和解密， 以节省费用和体积。尽量采用标准的组件结构， 以便能适应于在超大规模集成电路中实现。 需要指出的是， 混淆和扩散是Shannon提出的设计密 码系统的两种基本方法。Shannon认为，在理想密码系统 中，密文的所有统计特性都应与所使用的密钥独立。然而 实用的密码系统很难达到这个目标。在扩散中，要求明文 的统计结构被扩散消失到密文的长程统计特性中。要做到 这一点，必须让明文的每个比特影响到密文的许多比特的取值，即每个密文比特被许多明文比特影响。所有的分组密码都包含明文分组到密文分组的代换，具体代换依赖于密钥。而混淆则试图使得密文的统计特性与密钥的取值之间的关系尽量复杂。扩散和混淆的目的都是为了挫败推测出密钥的尝试，从而抗击统计分析。 迭代密码是实现混淆和扩散原则的一种有效的方法。合理选择的轮函数经过若干次迭代后能够提供必要的混淆和扩散。所以本书中讨论的分组密码只是迭代分组密码。分组密码由加密算法、解密算法和密钥扩展算法三部分组成。解密算法是加密算法的逆，由加密算法惟一确定，因而我们主要讨论加密算法和密钥扩展算法。 3.1.2 分组密码的一般结构 分组密码的结构一般可以分为两种：Feistel网络结构和SP网络结构。 （1）Feistel网络结构 Feistel网络是由Horst Feistel在设计Lucifer分组密码时发明的，并因被DES采用而流