现代密码学 第2讲流密码.pptVIP

第2章 流密码 2.1 流密码的基本概念 流密码的基本思想 y y0y1y2… Ez0 x0 Ez1 x1 Ez2 x2 …。 密钥流z z0z1…，明文串x x0x1x2…： 密钥流由密钥流发生器f产生：zi f k,σi ， σi是加密器中的记忆元件（存储器）在时刻i的状态， f是由密钥k和σi产生的函数。 加解密变换的选取 二元加法流密码 加密变换可表示为yi zi xi。 流加密举例 2.1.3 密钥流产生器 状态转移函数φ:σi→σi+1 输出函数 ψ:σi→zi， 2.2线性反馈移位寄存器 反馈移位寄存器 状态：每一时刻的状态对应于GF 2 上的一个n维向量 a1,a2,…,an ，ai是第i级存储器的内容。共有2n种可能的状态。 线性反馈移位寄存器LFSR 线性反馈移位寄存器LFSR（linear feedback shift register）:反馈函数f a1,a2,…,an 是线性函数. f a1,a2,…,an cna1cn-1a2…c1an 其中常数ci 0或1，是模2加法。 ci 0或1可用开关的断开和闭合来实现， 例下图是一个5级线性反馈移位寄存器，其初始状态为（a5，a4，a3， a2， a1 ） 1,1, 0,0,1 LFSR反馈函数 f a1,a2,a3,a4,a5 C2a4+ C5a1 定义LFSR特征多项式（连接多项式） P x 1+x2＋x5 2.3线性移位寄存器的特征多项式与序列周期 n级线性移位寄存器的输出序列满足递推关系 an+k c1an+k-1 c2an+k-2 … cnak 用一个一元高次多项式表示 P x 1+c1x+…＋cn-1xn-1＋cnxn 称这个多项式为LFSR的特征多项式（连接多项式） 序列周期 序列周期 使对所有k，ak+r ak 成立的的最小整数r 多项式的周期使f x 除尽xp-1的最小整数p的取值。 序列的周期r与特征多项式的周期p密切相关。 r/p 特征多项式是n次既约多项式周期为p ，则生成序列的周期为p。 输出序列最大周期为2n-1。 不可约多项式最大周期达到2n-1。 m序列的伪随机性 随机性:如果密钥流是周期的，要完全做到随机性是困难的。 游程:设 ai a1a2a3… 为0、1序列，例其前两个数字是00，称为0的2游程；接着是11，是1的2游程；再下来是0的1游程和1的3游程。 自相关函数:R τ 1/T ∑k 1T-1 -1 ak -1 ak+τ, 序列向后平移τ位，0≤τ≤T-1定义中的和式表示序列 ai 与 ai+τ 在一个周期内对应位相同的位数与对应位不同的位数之差。当τ 0时，R τ 1；当τ≠0时，称R τ 为异相自相关函数。 Golomb随机性假设－PN序列 ①在序列一个周期内，0与1出现个数相差至多为1; （0和1出现概率基本相同） ②长为l的游程占1/2l，在等长的游程中，“0”游程和“1”游程个数相等或至多差一个。 （0和1在各位置上出现概率基本相同） ③异相自相关函数是常数,与白噪声的自相关函数 ?函数 相近 （序列平移不能提供更多信息） PN序列可用于通信中同步序列、码分多址 CDMA 、导航中多基站码、雷达测距码等。PN序列虽与白噪声序列相似，但远还不能满足密码体制要求。 满足密码体制的另外三个条件 ①周期p要足够大，如大于1050； ②序列 ai 产生易于高速生成； ③当序列 ai 的任何部分暴露时，要分析整个序列，在计算上是不可行的 条件③决定了密码的强度，是流密码理论的核心。它包含了流密码要研究的许多主要问题，如线性复杂度、相关免疫性、不可预测性等等。 2.4 m序列的伪随机性 m序列否满足密码要求？ n级m序列的周期为2n－1，n大，周期指数地加大，例如n 166时，p 1050 9.座机电话号码5 ×1049 。 只要知道n次本原多项式，m序列极易生成。 m序列极不安全，只要泄露2n位连续数字，就可完全确定出反馈多项式系数。 因为X是由S1,S2,…,Sn作为列向量，要证X可逆，只要证明这n个向量线性无关。 设序列 ai 满足线性递推关系： 攻击实例： 设敌手得到密文串1XXXXXXXXXX0010和相应的明文串01XXXXXXXXXX001，因此可计算出相应的密钥流为1XXXXXXXXXX1011。进一步假定敌手还知道密钥流是使用5级线性反馈移位寄存器产生的，那么敌手可用密钥流的前10个比特建立如下方程 2.6 非线性序列 非线性移位寄存器序列 f a1,a2,a3 a1a2+a3 输出序...，周期为4. 对线性移位寄存器序列进行非线性组合 非线性移位寄存器研究困难， 对线性移位寄存器