K-湖南大学.ppt

* Page: * 对称密码体制：分组密码的差分密码分析 差分密码分析的r-轮特征 明文对Y0和Y0’的差分序列a0,…,ar(其中ai是第i轮输出Yi和Yi’的差分) r-轮特征a0,…,ar条件下，轮函数输出特定差分的概率 pi = P(△F(Y) = ai | △Y = ai-1) 即为输入差分为ai-1的条件下，轮函数F的输出差分为ai的概率。 r-轮特征的概率 r-轮特征a0,…,ar条件下， r-轮特征的概率为 p = p0 × p1 × … × pr * Page: * 对称密码体制：分组密码的差分密码分析 差分密码分析步骤 找出一个(r-1)-轮特征，使它的概率达到最大； 均匀选择Y0并计算Y0’，使得Y0和Y0’的差分为a0，找出在实际密钥加密下所得到的密文Yr和Yr’。若最后一轮的子密钥kr有2m个可能krm，则设置2m个计数器；用每个子密钥解密Yr和Yr’，得到Yr-1和Yr-1’，如果差分是ar-1，则对应计数器加一； 重复第二步，直到一个或几个计数器的值明显高于其它计数器，输出它们所对应的子密钥(或部分比特)。 * Page: * 对称密码体制：分组密码的差分密码分析 研究结果表明，迭代密码的简单轮函数f在如下意义下通常是密码上弱的： 对于Yi=f(Yi－1, ki)和Y’i=f(Y’i－1, ki)，若三元组(?Yi,Yi,Y’i)的一个或者多个值是已知的，则确定子密钥ki是容易的。从而，若密文对已知，并且最后一轮的输入对的差分能以某种方式得到，则一般来说，确定最后一轮的子密钥或其一部分是可行的。在差分密码分析中，通过选择具有特定差分值?Y0的明文对(Y0,Y’0)，使得最后一轮的输入差分以很高的概率取特定值来达到这一点。 * Page: * 对称密码体制：分组密码的线形密码分析 线性密码分析的内涵 使用线性近似值来描述分组密码 线性密码分析的原理 将明文的一些位、密文的一些位分别进行异或运算； 将这个结果进行异或。 * Page: * 对称密码体制：分组密码的线形密码分析 假设条件 设明文分组长度和密文分组长度都为n比特，密钥分组长度为m比特； 明文：P[1],…,P[n]；密文：P[1],…,P[n]；密钥：K[1],…,K[m]。 定义 A[i,…,j] = P[i]⊕…⊕P[j] 线性分析的目标 找出有效的线性方程：P[i1,…,ia]⊕C[j1,…,jb] = K[k1,…,kc]； 上面的线性方程将得到一个位，这一位是将密钥的一些位进行异或运算的结果。 * Page: * 对称密码体制：分组密码的线形密码分析 方程成立的概率p(如果p≠1/2，那么就可以使用该偏差，用得到的明文及对应的密文来猜测密钥的位值) 如果p≠1/2，则称该方程是有效的线性逼近； 如果|p - 1/2|是最大的，则称该方程是最有效的线性逼近。 设N表示明文数，T是使方程左边为0的明文数 T N / 2 ①K[k1,…,kc] = 0(p ?) ② K[k1,…,kc] = 1(p ?) T N / 2 ①K[k1,…,kc] = 1(p ?) ② K[k1,…,kc] = 0(p ?) * Page: * 对称密码体制：分组密码的线形密码分析 一个重要的数学结论(线性密码分析的思想，抗线性密码分析的强度就是非线性度) 如果明文和密文的关系是n维线性关系，且系数是密钥，则n个明文-密文对(而不是2n个)就可以破解密钥； 如果明文与密文的关系是n维r次函数关系，且系数是密钥，则nr 个明文-密文对就可以破解密钥； 如果虽然次数r较大，但明文与密文的关系“非常逼近”一个n维线性关系，则n个明文-密文对就可以“基本上”破解密钥。 * Page: * 对称密码体制：两重DES * Page: * 对称密码体制：三重DES * Page: * 对称密码体制组成 流密码 分组密码 数据加密标准(DES) 高级加密标准(AES) * Page: * 对称密码体制：高级加密标准( AES)的由来 1997年1月，美国NIST向全世界密码学界发出征集21世纪高级加密标准(Advanced Encryption Standard, AES)算法的公告，并成立了AES标准工作研究室，1997年4月15日的例会制定了对AES的评估标准。 * Page: * 对称密码体制：高级加密标准的评估标准 高级加密标准(AES)的评估标准 AES是公开的； AES为单钥体制分组密码； AES的密钥长度可变，可按需要增大； AES适于用软件和硬件实现； AES可以自由地使用/按符合美国国家标准(ANST)策略的条件使用； 满足以上要求的AES算法，需按下述条件判断优劣：a. 安全性，b. 计算效率， c.