3.对称加密算法3.对称加算法密算法.ppt

实际安全性定义 考虑攻击所需的时间和数据量才能准确估计算法的强度，为此可将攻击按计算复杂度进行分类 数据复杂度(Data complexity) 即实施攻击所必须的外部输入数据量，以分组长度n为单位，记为Cd 处理复杂度(Proceessing complexity)即实施攻击所花费的时间，以加密次数为单位，记为Cp 显然，攻击的复杂度Ca=max(Cd ， Cp). 在选择明文攻击下目前对DES的差分攻击的最好结果是 1.强力攻击 在唯密文攻击下，密码分析者依次试用密钥空间中的所有密钥解译一个或多个截获的密文，直至得到一个或多个有意义的明文块 在已知(选择)明文攻击下，密码分析者试用密钥空间中的所有可能的密钥对一个已知明文加密，将加密结果同该明文相应的已知密文比较，直至二者相符，然后再用其它几个已知明密文对来验证该密钥的正确性 强力攻击适用于任何分组密码 DES密钥攻击 56比特的密钥长度不足以抵御穷举式 256 ≈ 1017 1977年，Diffie和Hellman已建议制造一个每秒能测试100万个密钥的VLSI芯片。每秒测试100万个密钥的机器大约需要一天就可以搜索整个密钥空间。他们估计制造这样的机器大约需要2000万美元 在CRYPTO’93上，Session和Wiener给出了一个非常详细的密钥搜索机器的设计方案，这个机器基于并行运算的密钥搜索芯片，所以16次加密能同时完成。花费10万美元，平均用1.5天左右就可找到DES密钥 美国克罗拉多洲的程序员Verser从1997年2月18日起，用了96天时间，在Internet上数万名志愿者的协同工作下，成功地找到了DES的密钥，赢得了悬赏的1万美元 1998年7月电子前沿基金会（EFF）使用一台25万美圆的电脑在56小时内破译了56比特密钥的DES 1999年1月RSA数据安全会议期间，电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥 2.差分攻击 也称差分分析，是一种选择明文攻击方法，最早由以色列密码学家Eli Biham和Adi Shamir于1990年提出 该方法充分利用了明文对的特殊差分对输出密文对差分的影响，通过分析某个(些)最大概率差分来确定可能密钥的概率并找出最可能的密钥 差分分析是目前用于分组密码的最强有力的攻击方法之一，成功地用于攻击DES的复杂度为 Ca ≈ 247 3.线性攻击 是一种已知明文攻击方法，最早由Matsui在1993年提出 该攻击利用了明文、密文和密钥的若干位之间的线性关系。在对DES的线性攻击下，这种线性关系可以通过组合各轮的线性关系而得到(假定各轮子密钥相互独立).此时攻击者希望找到一个等式 使得该等式在密钥空间上成立的概率pl ≠ ?，且| pl - ? |最大 线性攻击 N个已知明密文对的线性攻击如下: 对所有明文p和密文c，令T表示上式左边为0的次数 若 ，猜测 ，否则猜测 线性分析是攻击分组密码的另一个最强有力的方法，成功地用于攻击DES的复杂度为 4.相关密钥攻击 类似于差分分析，该方法利用密钥差分来攻击分组密码，这是因为Biham证明了许多分组密码的密钥编排算法明显保持了密钥间的关系 这种方法与密码体制的轮数和加密函数无关 弱密钥与半弱密钥 弱密钥：若给定的密钥k，k1=k2=…=k16，则称K为弱密钥 半弱密钥：若给定的密钥k, 相应的16个子密钥只有两种取值, 且每一种都出现8次，则称K为半弱密钥 弱密钥: ，DES存在4个弱密钥 0101010101010101 1f1f1f1f0e0e0e0e e0e0e0e0f1f1f1f1 fefefefefefefefe 半弱密钥: EK1 = EK2 ，至少有12个半弱密钥 即： 5.中间相遇攻击 这是一种适用于多重加密下的已知明文攻击. 对DES来说，这种攻击方法需要256次加密，256个存贮记录 作业 完成实验3 DES密码分析实验的课堂实验内容部分 给定1个S盒，求它的差分分布矩阵 实现DES加密密钥的暴力破解(perl) 学习AES加密算法 谢 谢! * NBS(National Security Agency) * * * Shannon提出 * * * 有限域 GF(2) * * * 分组加密算法：明文和密文为64位分组长度 对称算法：加密和解密除密钥编排不同外，使用同一算法 密钥长度：56位，但每个第8位为奇偶校验位，可忽略 密钥可为任意的56位数，但存在弱密钥，容易避开 采用混乱和扩散的组合，每个组合先替代后置换，共16轮 只使用了标准的算术和逻辑运算，易于实现 * DES算法的设计者迫于公众压