网络信息全第二章.ppt

② 函数f(Ri-1, ki)的结构如图2.3所示。图2.3中E是位选择表（见表2.3），它将Ri-1扩展成48位二进制块E(Ri=1)然后对E(Ri=1)和ki进行操作，并将结果分成8个6 bit二进制块B1,B2,…, B8，此处B1, B2,…, B8=ki⊕E(Ri-1)，每个6位子块Bi都是选择（代换）函数Si的输入，其输出是一个4位的二进制块， 把这些子块合并成32位二进制块后，用置换表P(如表2.4)将它变成P(S1(B1), S2(B2), …,S8(B8))这就是函数f(Ri-1, ki)的输出。每个Si将一个6位块Bi=b1, b2, …, b6转换成一个4位块(如表2.5），与b1, b6对应的整数确定表中的行号，与b2, b3, b4, b5相对应的整数确定表中的列号， Si(Bi)的值就是位于该行和该列的整数的4位二进制表示形式。 图 2.3 DES中间变换过程 表 2.3 位选择表 表 2.4 换位表 表2.5 选择（替代)函数S 表2.5 选择（替代)函数S 表2.5 选择（替代)函数S 密钥ki是由初始密钥推导得到的，初始密钥k是一个64位的二进制块， 其中8位是奇偶校验位，分别位于第8、16、……、64位。 子密钥换位函数PC-1 把这些奇偶校验去掉，并把剩下的56位进行换位，如表（2.3）。换位后的结果PC-1(k)被分成两半C和D， 各有28位，令Ci和Di分别表示推导ki时所用的C和D的值，变换公式如下  Ci=LS(Ci-1) Di=LS(Di-1) 式中，LS是循环左移位变换，其中LS1, LS2, LS9, LS16是循环左移一位变换，其余的LSi是循环左移两位变换。C0,D0是C和D的初始值。最后，通过子密钥变换函数PC2（参见表2.5）得出 ki=PC-2(Ci, Di) 解密算法和加密算法相同，但是它使用的子密钥顺序是相反的。第一次是用k16, 第2次迭代用k15, 最后一次用k1，这是因为最终换位IP-1是初始换位IP的逆变换且 Ri-1=Li  Li-1=Ri⊕f(Li, ki) DES代换使得输出成为输入的非线性函数， 换位扩展了输出对输入的依赖性。 (2) IDEA 国际数据加密算法IDEA（International Data Encryption Algorithm）是由两位研究员 Xuejia Lai 和 James L. Massey 在苏黎世的 ETH公司开发的， 一家瑞士Ascom systec 公司拥有专利权。IDEA 是作为迭代的分组密码实现的， 使用 128 位的密钥和 8 个循环。 这比 DES 提供了更多的安全性， 但是在选择用于 IDEA 的密钥时， 应该排除那些称为“弱密钥”的密钥。 DES 只有四个弱密钥和 12 个次弱密钥， 而 IDEA 中的弱密钥数相当可观，有251个。但是，如果密钥的总数非常大，达到2128个， 那么仍有277个密钥可供选择。 2) 序列密码 与分组密码相比，序列密码是非常快速的，尽管某些方式下工作的一些分组密码（如 CFB 或 OFB 中的 DES）可以与序列密码一样有效地运作, 但序列密码作用于由若干位组成的一些小型组，通常使用称为密钥流的一个位序列作为密钥对它们逐位应用“异或”运算。有些序列密码基于一种称做“线性反馈移位寄存器（LFSR, Linear Feedback Shift Register）”的机制，该机制生成一个二进制位序列。 2. 非对称密码 非对称密码术相对于对称密码术的最大区别就在于它的加密和解密不是使用同一个密钥和算法。 在对称密码术中加密和解密都需要共享一个密钥， 这可能是使用密码术的对称密码体制的主要弱点。在非对称密码术或公钥密码术中没有这样的问题。 使用在数学上相关的两个密钥，并通过用其中一个密钥加密的明文只能用另一个密钥进行解密的方法来使用它们。通常，其中一个密钥由个人秘密持有， 因此几乎没有必要共享密钥，从而避免了对安全性的威胁。第二个密钥，即所谓的公钥，需要让尽可能多的人知道。 非对称密码体制提供的安全性取决于难以解决的数学问题。 例如，将大整数因式分解成质数。公钥系统使用这样两个密钥， 一个是公钥，用来加密文本； 另一个是安全持有的私钥，只能用此私钥来解密。 也可以使用私钥加密某些信息， 然后用公钥来解密，而公钥是大家都知道的，这样拿此公钥能够解密的人就知道此消息是来自持有私钥的人，从而达到了认证作用。对于认证的应用方式我们下面会给出几种常见的非对称密码加