第11讲--IDEA算法重点.ppt

IDEA分组密码算法 柳贵平 2011年09月18 IDEA分组密码算法概述 Xuejia Lai和James Massey于1990年提出了PES （Proposed Encryption Standard，推荐加密标准）分组密码算法。为了抗击差分密码分析，设计者于1991年对PES作了改进，并将改进后的算法称为IPES（Improved Proposed Encryption Standard，改进型推荐加密标准）。IPES于1992年改名为IDEA（International Data Encryption Algorithm，国际数 据加密标准）。 算法的描述 分组长度：64比特 密钥长度：128比特 迭代圈数：8圈（每圈6个子密钥），附加一个输出变换（4 个子密钥）。 子密钥长度：16比特。52个子密钥由128比特初始密钥通过 密钥生成算法生成。 使用的三种基本运算：按位模2加；模216加法，模216+1乘法。 整个运算过程全部在16位子分组上进行，因此该算法对16位处理器尤其有效。 将待加密的64比特明文数据X分成4个16位子块 ，作为算法第一圈的输入，每圈有6个16比特圈子密钥参与变换，经过8圈迭代后得4个16比特子块，再通过一个输出变换得算法的输出 ，级连起来即为密文Y。 （一）加密算法 所用符号的含义： xi（i=1, 2, 3, 4）是16比特明文子分组； yi（i=1, 2, 3, 4）是16比特密文子分组； zi （i=1,…,52）16比特圈子密钥； wi,j (i=1,2,...,8; j=1, 2, 3, 4 ）是16比特中间结果； ⊕ 表示16比特的逐位异或运算； 表示16比特整数的模216加法运算； 表示16比特整数的模216+1乘法运算，其中全零子块用216代替。 64bit明文X 循环2 输出变换 循环8 循环1 64bit密文Y 子密钥生成算法 128bit密钥Z IDEA加密总体方案流程图 IDEA第一圈的细节 Fz5,z6 IDEA的输出变换 （二）子密钥生成算法 首先将128比特初始密钥从左到右分成8个16比特子块，并将所得的 8 个子块直接作为加密算法中最前面的8个子密钥，然后将上述128比特密钥循环左移25位，将其从左到右分成8个16比特子块，得到随后的8个子密钥，重复这个过程，直到产生52个16比特子密钥为止。 （三）脱密算法 这里z-1表示z的模216+1乘法逆， -z表示 z的模216加法逆。 脱密密钥 与加密密钥 的对应关系为： 脱密算法与加密算法是相同的，只是在脱密过程中使用脱密密钥。 IDEA加、脱密子密钥的关系 64bit明文X 子加密过程 输出变换 循环8 变 换 64bit密文Y 循环1 循环1 子加密过程 变 换 循环8 输出变换 子加密过程 变 换 输出变换 64bit密文Y 循环1 子加密过程 变 换 64bit密文Y 循环8 （四）IDEA加、脱密变换的相似性 图示的变换是IDEA的圈变换中的一部分，称为共处理变换。 设该变换的输入为： 输出为： 要证明IDEA加、脱密算法的相似性，只需证明共处理变换的4个输入子块经过两次共处理变换后的输出仍然是它本身即可。 若记乘加结构输出的左16比特为LMA，右16比特为RMA，则有下面4个式子： 由于 则： 这说明当共处理变换以 作为输入，而子密钥 不变时，其输出为 。 至此证明了IDEA分组密码加、脱密变换的相似性。 二、IDEA算法的设计原理 IDEA是一种使用128比特密钥以64比特分组为单位加密数据的分组密码，其设计目标可以归结为两方面：一方面与密码强度有关，另一方面与使用的方便性有关。 （一）密码强度 IDEA的下列特性与其密码强度有关： 分组长度：分组长度应足够大，以抵抗统计分析。使用64比特的分组大小通常认为已经足够强，另外使用密码反馈操作方式可以进一步加强算法这方面的强度。 密钥长度：密钥长度应足够长，以抵抗密钥穷尽攻击，通过使用128比特的长度，在将来的很长时间里IDEA似乎在这方面都是安全的。 关于混乱： 密文应以一种复杂的方式依赖于