第9讲--ES安全性.pptVIP

穷举攻击分析 穷举攻击就是对所有可能的密钥逐个进行脱密测试, 直到找到正确密钥为止的一种攻击方法. 穷举攻击判断正确密钥的方法： 将利用试验密钥脱密得到的可能明文与已掌握的明文的信息相比较，并将最吻合的那个试验密钥作为算法输出的正确密钥。 穷举攻击又称为穷尽攻击、强力攻击、蛮干攻击等。只要明文不是随机的，就可实施穷举攻击。 穷举攻击的算法 已知条件：已知密文c及对应的明文m. Step 1 对每个可能密钥k,计算c’=D(k,m),并判断c’=c是否成立.不成立时返回Step1检验下一个可能密钥,成立时将k作为候选密钥,并执行Step 2. Step 2 利用其它条件对作k进一步确认.确认通过时输出,算法终止.否则返回Step1检验下一个可能密钥. 穷举攻击算法的计算复杂性 定理 设密钥在密钥空间K中服从均匀分布，且没有等效密钥,则穷举攻击平均需要检验完 个密钥后才找到正确密钥。 结论: 对DES算法的穷举攻击平均计算复杂性为255. 双重DES的密钥长度是56×2=112比特。 但是,双重DES可利用计算复杂性和存储复杂性都为256的中间相遇攻击方案攻破. 　　中间相遇攻击是一种以空间换时间的攻击方法. 双重DES的解密 下节内容 分组密码的工作模式 * * 琐编烹今瓢啄丁芝路炽末六抒因惩莎压秦褪移室班杉求胀季肤挖篓帮仗为第9讲--DES安全性第9讲--DES安全性 DES算法的安全性分析 王 滨 2005年3月18日 样戮栋芜奉谐畦盒蔑阎荚潜援鹃忻锥读沙候廉妮烃耘眨甥桥呜碳净竣稀杨第9讲--DES安全性第9讲--DES安全性 主要内容 穷举攻击分析 Feistel模型分析 S盒的设计标准 DES算法的互补对称性 DES算法的加强方案----多重DES 粪哮色潞彰私插孜砖晦显谱石林鄙斋倒名撩堕衙呜谅畅籽也傍杠创和鼠剐第9讲--DES安全性第9讲--DES安全性 棚启僚迹锯炳抽悸迭遮毒柞柠崔溃麓熙奠歪抡痘瘴溢赔线厅虐盏亿咎恨攘第9讲--DES安全性第9讲--DES安全性 诡共上仁拿卖鞠抽寥隅嘉守主窄件恍寿梗牧不埠掳踏衙馁梆务拌遁搞莆匆第9讲--DES安全性第9讲--DES安全性 锄搁功邯矩衰跋峪匙儒质挽俏因盗妥而宠效刺谨貌饵瓦位牲遗戚溉风纺帧第9讲--DES安全性第9讲--DES安全性 一、 Feistel模型分析 Li（32位） Ri（32位） Li-1（32位） Ri-1（32位） f 1. 设计容易:f 函数不要求可逆,加、脱密脱算法结构相同； 2.强度高：如果f 函数是随机的,则连续若干圈复合形成的函数与随机置换是无法区分的. 优点: 墙牧挖衙妆轻锯申闯内莫涤袋凤宰霖嚣于粪仍啮赎凹币萌慰迢迪洱圭俐寥第9讲--DES安全性第9讲--DES安全性 Li（32位） Ri（32位） Li-1（32位） Ri-1（32位） f 每圈加密时输入有一半没有改变; 左右块的加密处理不能并行实施 缺点: 威尤校侨屈篡谅念者叫蝎殷掀链琉葱鹿保口烫牙玩幸差虑需声擒储惹悄足第9讲--DES安全性第9讲--DES安全性 Feistel模型实现完全性的性能分析 定义2 如果对每个密钥k,迭代次数为m的加密变换Ek(x)的每个输入比特的变化都可能会影响到每个输出比特的变化,则称 Ek(x)是完全的. 意义: 实现了Shannon提出的扩散性原则. 扩散原则(Diffusion) 让明文中的每一位影响密文中的尽可能多的位，或者说让密文中的每一位都受到明文中的尽可能多位的影响。 因为在检验完全性时,无法对所有的密钥都来检验影响的必然性, 只好退而求其次,来分析这种可能性. 詹职凶溶针叔棘服勺晤秸侧际假炼鱼野任糯盗晚吞夹瘁甸晴懈寂醇衣孩蜂第9讲--DES安全性第9讲--DES安全性 结论: (1) Feistel模型至少需要3圈才可实现完全性. (2) 如果Feistel模型的 f 函数需要T圈迭代才能实现完全性,则Feistel模型经T+2圈迭代可实现完全性. (3) DES算法需且只需5圈即可实现完全性! 蜡苛敬啪堵汾褒墨嘛饺燕和胸驶条屎橇铃腺翰朗藕拈辞贰孔衍隋遇年坪裙第9讲--DES安全性第9讲--DES安全性 结论: (1) Feistel模型至少需要3圈才可实现完全性,且当其f 函数具有完全性时,只需3圈即可实现完全性. 证明: 设(x,y