第3单元对称密码体制.pptVIP

第3章 对称密码体制 Feistel网络的安全性和软、硬件实现速度取决于下列参数： ①分组长度：长度越大,安全性越高,但同时加/解密速度也越慢。最好采用128比特的分组. ②密钥长度：长度越大，安全性越高 ③循环次数：次数越多，安全性越高，通常选16次 ④子密钥算法：越复杂，安全性越高 ⑤轮函数：越复杂，安全性越高 ⑥快速的软件实现 ⑦算法简洁 SP网络结构 在这种结构中，每一轮的输入首先被一个由子密钥控制的可逆函数S作用，然后再对所得结果用置换P作用。S和P被分别称为混淆层和扩散层。 3.2.1DES描述 将64比特明文数据用初始置换IP置换，得到一个乱序的64比特明文分组，然后分成左右等长的32比特，分别记为L0和R0。进行16轮完全类似的迭代运算后，将所得左、右长度相等的两半L16和R16交换得到64比特数据R16L16，最后再用初始逆置换IP-1进行置换,产生密文数据组。 例如将64比特数据表示为M=(m1,m2,···,m64),则在初始置换IP的作用下变为IP(M)=(m58,m50,m42,m34,m26,m18···m31,m23,m15,m7)。如果将IP(M)用初始逆置换IP-1作用，将会得到M。说明IP和IP-1互逆。 3.2.1.4迭代变换 它是DES算法的核心部分，如图所示。每轮开始时将输入的64比特数据分成左右长度相等的两半，右半部分原封不动的作为本轮输出的64比特数据的左半部分，同时对右半部分进行一系列的变换，即用轮函数F作用右半部分，然后将所得结果（32比特数据）与输入数据的左半部分进行逐位异或，最后将所得数据作为本轮输出的64比特数据的右半部分。 轮函数由选择运算E、与子密钥的异或运算、选择压缩运算S和置换P组成，后面将分别介绍他们。 3.2.1.5选择扩展运算E 将输入的32比特数据扩展为48比特的输出数据，变换表如下图。 如果将输入的32比特数据按E中所标位置顺序读出，则可得到48比特输出数据。可以看出1、4、5、8、9、12、13、16、17、20、21、24、25、28、29、32这16个位置上的数据都被读了两次。 3.2.1.6与子密钥的异或运算 将选择扩展运算的48比特输出数据与子密钥Ki（48比特）进行异或运算。 3.2.1.9子密钥Ki的产生 给定64比特的密钥K，用置换选择PC-1作用，去掉了第8、16、24、31、40、48、56、64位，这8比特是奇偶校验位，并重排实际56比特的密钥，将得到56比特数据分成左右等长的28比特，分别记为C0和D0.计算Ci=LSi(Ci-1)和Di=LSi(Di-1)。将每轮56比特数据CiDi用置换选择PC-2作用，去掉第9、18、22、15、35、38、43、54位，同时重排剩下的48比特，输出作为Ki。这里LSi表示循环左移1位（当i=1，2，9，16时）或2位（其他情况）。进行16轮完全类似的迭代运算后，将所得左右两半L16和R16交换，得到R16L16，用初始逆置换IP-1进行置换，产生密文数据组。 3.2.2DES的变形 1、双重DES 最简单的多次加密形式是用两个密钥进行两次加密。 2、中途攻击 使用DES算法用不同的密钥进行两次加密并不等价于一次DES加密。但是用另一种方法可以攻击这种算法，它并不依赖于任何DES的特殊属性，对任何分组密码都有效，称其为中途攻击算法。 2、中途攻击 若有C=EK2(EK1(P)),则X=EK1(P)=DK2(C)。 给定一个已知明、密文对(P,C)，攻击方法如下：首先用所有256个可能的密钥加密P，得到256个可能的值，把这些值从小到大存在一个表中；然后再用所有256个可能的密钥对C进行加密，每次做完解密都将所得的值与表中值进行比较，如果发现与表中的一个只相等，则对它们对应的密钥可能分别是K1和K2。现在用一个新的明密文对检测所得到的两个密钥，如果满足EK1(P)=DK2(C)，则把它们接受为正确的密钥。 3、三重DES对付中途攻击的有效方法是用三个密钥进行三次加密。 3.3 AES 3.3.1 群 3.3.2 域 3.3.3 AES中定义的+与· 3.3.4 AES算法结构 3.3.5 一轮迭代结构 3.3.6 状态、密钥和轮数 3.3.7 字节代替BS 3.3.8 行移位SR 3.3.9 列混合MC 3.3.10 密钥调度算法 1、F的元素关于加法“+”成交换群，记其单位元为“0”(称为域的零元)；2、(2)F\{0}关于乘法“·”成交换群，记其单位元为1(仍然称其为域的单位元或幺元);3、乘法在加法上满足分配律，即：对任意的a,