第3讲_分组密码DES.ppt

密 码 学韦 宝 典 副教授 weibd@mail.sysu.edu.cn中山大学电子系 虽然DES没能长期地作为数据加密标准算法， 但它仍是迄今为止得到最广泛应用的一种算法， 也是一种最有代表性的分组加密体制。 详细地研究这一算法的基本原理、设计思想、安全性分析 以及实际应用中的有关问题， 对于掌握分组密码理论和当前的实际应用都很有意义。 DES 算法 明文分组长度：64 bits 密文分组长度：64 bits 密钥分组长度：64bits/56 bits 初始置换IP 16轮迭代的乘积变换 逆初始置换IP-1 16个子密钥产生器 初始置换IP和逆初始置换IP-1 初始置换IP和逆初始置换IP-1 DES: Function f S-Box 第1、6比特组成二进制数确定行， 中间4位二进制数用来确定的列。 加密过程:运算进行16次后就得到密文组 L0R0 ?IP(〈64 bit 输入〉) i=1,..., 16 Li?Ri-1 Ri?Li-1?f(Ri-1, ki) 〈64 bit密文〉?IP-1 (R16L16) 解密过程:DES的加密运算是可逆的，其解密过程可类似地进行 R16L16 ?IP(〈64 bit密文〉) i=16,... , 1 Ri-1 ?Li Li-1?Ri?f(Li-1, ki) 〈64 bit明文〉?IP-1 (R0L0) QUESTION f 函数中的S盒为6 x 4的多对一映射， S盒无法求逆，如何做逆向加密过程/解密？ DES 安全性 安全性 DES的安全性完全依赖于所用的密钥。 从DES诞生起，对它的安全性就有激烈的争论，一直延续到现在。 互补性 对y=DESk(x)，若明文组x逐位取补得，密钥k逐位取补得，则有 这种互补性会使DES在选择明文破译下所需的工作量减半。 由于各轮密钥是通过改变初始密钥得到(参见第21页图)， 因此当初始值分成两部分，每部分都是0或都是1时， 那么算法的每一周期的密钥是相同的。 这样的弱密钥共有4种：全1，全0，先全1后全0，先全0后全1。 相当于只有一个子密钥，而不是16个。 还有一些密钥只会产生两个不同的子密钥，而不是16个不同的密钥。 这样就造成两个不同的密钥会有相同的加密结果。 这种情况一共有6对：01FE 01FE 01FE 01FE 和 FE01 FE01 FE01 FE01;1FE0 1FE0 0E1F 0E1F 和 E01F E01F F10E F10E;01E0 01E0 01F1 01F1 和 E001 E001 F101 F101;1FFE 1FFE 0EFE 0EFE 和 FE1F FE1F FE0E FE0E;011F 011F 010E 010E 和 1F01 1F01 0E01 0E01;E0FE E0FE F1FE F1FE 和 FEE0 FEE0 FEF1 FEF1.上述“密钥对”他们对明文加密的结果是相同的。 同理，只有4个子密钥的有64个 DES 安全性 若k为弱密钥，则有 DESk(DESk(x))=x ; DESk-1(DESk-1(x))=x 即以k对x加密两次或解密两次都可恢复出明文。 其加密运算和解密运算没有区别。 而对一般密钥只满足 DESk-1(DESk(x))=DESk(DESk-1 (x))=x 弱密钥下使DES在选择明文攻击下的搜索量减半。 如果随机地选择密钥，则在总数256个密钥中，弱密钥所占比例极小，而且稍加注意就不难避开。因此，弱密钥的存在不会危及DES的安全性 发现DES至少有4个弱密钥，12个半弱密钥 DES 安全性 密文与明文、密文与密钥的相关性 Meyer[1978]详细研究了DES的输入明文与密文及密钥与密文之间的相关性。 表明每个密文比特都是所有明文比特和所有密钥比特的复合函数，并且指出 达到这一要求所需的迭代次数至少为5。 Konheim[1981]用?2检验证明，迭代8次后输出和输入就可认为是