密码学-常规加密体制.ppt

《信息安全技术》之常规分组加密体制 一、分组密码概述 1、分组密码定义 2、通用代换密码结构 3、 Feistel密码结构 1、分组密码定义 分组密码是将明文消息编码表示后的数字序列x0,x1,…,xi,…划分成长为 n 的分组 x=(x0,x1,…,xn-1)，各组（长为n的矢量）分别在密钥 k=(k0,k1,…,kt-1) 的控制下变换成等长的输出数字序列 y=(y0,y1,…,ym-1)（长为m的矢量），该变换必须是可逆的： (y0,y1,…,ym-1) = Ek(x0,x1,…,xn-1)，k= (k0,k1,…,kt-1) (x0,x1,…,xn-1) = Dk(y0,y1,…,ym-1) , k= (k0,k1,…,kt-1) 分组密码实质上是字长为 n 的数字序列的代换密码。 一般情况下有： 1）n = m 2）xi, yi ∈GF(2) 2、通用代换密码结构 如果明密文分组的长度都为 n 比特，则每个分组有 2n 个可能的取值，因此，从明文分组到密文分组的可逆变换的总数为：2n! 个。 例如，当n=4时，代换密码的一般结构如下所示: 通用代换密码结构 显然，可以采用上述（明文分组、密文分组）表格来定义分组密码，表示明、密文间的任何一种可逆变换，一个代换表相当于一个密钥。 使用通用代换结构构造分组密码的问题： 1）为了表达 n 比特分组的任意可逆变换，需要的表达式的总长度为：n ×2n bit，是分组长度 n 的指数函数； 2）现代分组密码为了达到计算安全性，要求分组长度 n不能太小(一般要求n=64bit)，否则将等价于古典代换密码； 3）在这种情况下（n=64比特），定义一种变换需要 64×264≈1021bit=1.25×1011GB，这在实现上显然是不可行的。 3、Feistel密码结构的设计动机 Feistel指出我们真正需要的是在n很大时对上述理想分组密码系统的一个近似，这个近似要能够用容易实现的部分组合起来。 Feistel提出，可以用乘积密码的概念对理想的分组密码系统进行近似，采用较短的密钥和简单操作的组合，以接近理想分组系统的性能。 扰乱(confusion)和扩散(diffusion) 特别地，Feistel提出交替采用替代和置换的方式构造密码，这正是Shannon关于用扰乱和扩散交替的方法构造乘积密码的一个实际应用。 所谓扩散，是让明文的每个数字影响许多密文数字的取值，使明文的统计结构被扩散消失到密文的长程统计特性中。 而扰乱是使密文的统计特性和密钥的取值之间的关系尽量复杂，以挫败发现密钥的尝试。 扩散和扰乱非常成功地抓住了分组密码应该具有的特性的本质，因此成为现代分组密码设计的基础。 Feistel密码结构 Feistel密码结构是Shannon提出的替代-置换网络SPN的一种特殊形式。 该算法的输入是长度为2w比特的明文分组和一个密钥k，明文分组被分成两个部分L0和R0，这两个部分经过n轮处理后组合起来产生密文分组。每一轮 i 以从前一轮得到的Li-1和Ri-1为输入，另外的输入还有从总的密钥K中生成的子密钥Ki。 算法的每一轮都对数据的右边一半应用round函数F(在各轮子密钥的参与下)，然后将函数的输出和数据的左边一半做异或。 在上述操作后，算法把数据的两个部分互换。 Feistel密码设计特点的选择 分组大小(一般为64比特) 密钥大小(一般为56, 64, 128比特) 循环次数(一般为16轮) 以上三点的值越大越安全，但加密速度会越慢 子密钥产生算法 Round函数 以上两点越复杂越安全，但加密速度会越慢 快速的软件加密/解密 便于分析 使算法的安全性容易得到证实 Feistel解密算法 Feistel密码的解密过程与其加密过程实质上是相同的，解密规则如下：以密文作为算法的输入，但是以相反的次序使用子密钥Ki。 Feistel解密正确性的证明 二、数据加密标准DES 1、DES概况； 2、DES算法描述； 3、DES的安全性和强度。 1、数据加密标准(DES) DES — Data Encryption Standard； DES是第一个得到广泛应用的密码算法； DES是一种单钥分组密码体制； DES的明密文分组均为64比特； DES的密钥长度为64比特，但每隔8比特位是一个奇偶校验位，其实际密钥长度为56比特； DES的历史和意义 DES出现之前； 1972，NBS为保护计算机和通信安全，提出开发一个单独的标准加密算法，并于1973年提出具体需求（见下页）； IBM提出LUCIFER算法作为候选； NBS在NSA的协助下对LUCIFER进行评估和修改，并公开了算法细节，征求各研究机构和学者的评论； 经过激烈讨论和责难，经过修改的算法于1976年11月被采纳作为联邦标准