第11讲 分组密码和S盒.pptxVIP

密码学 第十一讲一口吃地球2014年3月27日密码学课件本讲内容密码学课件第四章 分组密码1.分组密码概念2.分组密码的基本设计原则3.混乱部件：S盒分组密码概念密码学课件序列密码回顾??……????（公共信道）??发送方接收方密钥序列发生器（KG）密钥序列发生器（KG）（种子密钥）K（种子密钥）K序列密码体制通信模型密钥源密码学课件（秘密信道）（秘密信道)分组密码概念????…?…?…??（公共信道）（种子密钥）K（种子密钥）K密钥源接收方发送方（秘密信道）（秘密信道)密码学课件分组密码体制通信模型序列与分组密码比较密码学课件上述明文分组长度和密文分组长度均为n。在实际的分组密码中，一般明文信号均取自{0,1}，且没有扩展序列密码与分组密码的主要区别加密方式体制的内部结构(分组密码无记忆)分组密码定义?假设分组长度为n。假定明文和密文空间均为。密钥空间为K。?定义：分组密码是一种满足下列条件的映射集合:对集合中的每一个元素，都是到的一个置换。E既是加密变换空间，马上得到脱密变换空间：也是到的一个置换。?密码学课件分组密码的基本设计原则?上的置换共有个，记为，称为阶对称群。那么对称群的哪些置换是一个好的分组密码加密变换？恒等映射E线性映射简单映射?密码学课件分组密码的基本设计原则密码学课件分组密码的基本设计原则密码学课件针对实现的2个设计原则密码学课件1.软件实现的设计原则使用子块和简单的运算。要求子块的数据长度能自然地适应软件编程，比如8、16或32比特等；尽量避免按比特操作（如bit置换难于用软件实现）。子块上所进行的密码运算应该是一些易于软件实现的运算，最好是用一些标准处理器所具有的那些基本指令，比如加法、乘法和移位等。 , ,~ ^ , ,|,+针对实现的2个设计原则2. 硬件实现的设计原则加密和解密应具有相似性（最好只是在密钥的使用方式上存在不同，其余皆同），以便用同样的器件来实现。尽量使用规则结构，且应符合国际的统一标准，以便适合于用超大规模集成电路来实现。密码学课件针对安全性的5个设计原则密码学课件1.分组长度n要足够大：防止查字典攻击。常见的分组长度为64、128比特等。2.密钥空间K要足够大：以防止穷密钥搜索攻击。常见的密钥长度为128、192、256比特等。3.安全强度的稳定性：部分密钥被破译后，分组密码仍具有一定的抗攻击能力。针对安全性的5个设计原则4.混乱：要是密文和明文以及密钥之间的依赖关系相当复杂，以至于这种依赖性对密文分析者来说是无法利用的。5.扩散：要使每一位密钥数据影响一半以上的密文数据，以防止对密钥进行逐段破译；而且每一位明文数据也应该影响一半以上密文数据，以便隐蔽明文数字的统计特性。分组密码必须能够抵抗现有的所有分析方法密码学课件针对密码函数的攻击模式密码学课件已知明文攻击已知密文攻击选择明文攻击选择密文攻击针对分组密码现有的分析方法朴素密码分析方法穷尽密钥搜素攻击字典攻击查表攻击时间存储折中攻击差分密码分析方法线性密码分析方法相关密钥密码分析方法积分密码分析，碰撞分析，代数攻击，滑动攻击，差值攻击，相关密码攻击。。。。。。密码学课件差分密码分析简介?当分组密码的输出不够均匀，不够随机时，往往能利用输出求出输入。假设对于，某些等式的解的数量明显比其他的多。想要从密文中求出明文，可以选择尝试对一些加密得到。如果，则对应的明文很可能是。密码学课件分组密码的基本设计原则?在分组密码的设计中，通常利用非线性的盒达到混乱，利用线性变换达到扩散。；值得注意的是：分组密码常常以乘积密码的方式来设计,即由精心选择的若干子密码复合而成。乘积密码可以获得良好的混乱性和扩散性。混乱混乱混乱扩散扩散扩散明文密文。。。密码学课件密钥?混乱部件： 盒密码学课件?混乱部件： 盒盒首次出现在Lucifer算法中，随后因DES的使用而广泛流行。盒是许多分组密码的唯一非线性模块，因此，它的密码强度将直接影响整个分组密码的安全强度。盒本质上可以看做映射，通常简称是一个的盒。?密码学课件?混乱部件： 盒密码学课件盒通常采用查表实现，表的存储量为比特。当参数n和m选择很大时，几乎所有的盒都是非线性的，而且发现某些攻击所用的统计特性比较困难。但反过来，n和m过大将给盒的设计带来困难，而且增加算法的存储量。常用的有和的盒。?一个例子密码学课件一个的盒。是一张阶的矩阵（表）。计算。查表用两比特确定的行，用4比特来确定的列。?一个例子?假设求。?100101密码学课件于是，S(010011)=0110一个例子?关于这个盒的部分设计原则：1. 盒的每一行是整数0~15的一个置换；2. 盒的输出不是它的输入的线性或者仿射函数；;;3.改变盒的一个输入比特，将输出至少有两个比特产生变化；密码学课件一个例子?=?=101101101101101