习题三讲定理21P.pptVIP

习题第三讲定理21 习题第三讲定理21(续) 第五讲 数据加密标准(DES) 1974年，IBM 向美国国家标准局(NBS)提交了一个名为 LUCIFER的加密算法。NBS将其转给了国家安全局 (NSA) 进行审定，之后就得到了一个名为数据加密标准DES的算法。1977年，NBS 正式将其用于无限制级的政府通讯。其间NBS和NSA可能存在某些误会。NSA原本打算DES仅用于硬件执行，但是NBS却公布了过多的技术细节以致于人们可以根据其写出DES加密软件。如果NSA预料到后续的情况发展，他们或许不会同意公布DES。 从1975年起，围绕DES的争论就没有停止。许多学者担心NSA无形的手对算法产生的干预。如： (1) NSA可能修改算法以安装陷门。 (2) NSA将原先的128位密钥缩短到56位。 (3) 算法内部的运行机理始终没有得到明确解释。例如，差分分析。 许多NSA设计算法的原理在90年代逐渐清晰起来，但在70年代这些的确另人迷惑。 DES已经使用了三十多年，因此，2000年，国家标准与技术研究所(NIST)决定使用新的系统代替DES。但是DES仍然值得研究，它代表了一类曾经非常流行的对称加密算法。 DES是分组密码，每个分组为64比特数据。 64比特明文通过加密最后成为64比特密文。 DES 的核心是一个被称为Feistel系统的部件。 本讲提要 简化 DES型算法 差分分析 DES DES 不是一个群 破译 DES 口令安全 修改发现码 (MDC) 1 简化 DES型算法 一轮 Feistel系统 一轮 Feistel系统(续) 一轮 Feistel系统 (续) 函数 f(Ri-1，Ki) 一轮Feistel系统(续) 扩张函数 一轮Feistel系统(续) 2 差分分析 思路：通过适当选择明文得到密文比较它们的差异以推导出使用的密钥。我们从前面的操作可以看出密钥与E(Ri-1)进行异或得到结果，因此，我们可以通过再次异或移除由密钥引入的部分随机性。 2.1 针对三轮的差分分析 2.1 针对三轮的差分分析(续) 2.1 针对三轮的差分分析(续) 2.1 针对三轮的差分分析(续) 2.2 针对四轮的差分分析 2.2 针对四轮的差分分析 (续) 2.2 针对四轮的差分分析 (续) 2.2 针对四轮的差分分析 (续) 2.3 关于差分分析 3 DES DES的密钥通常写为64比特，但每8比特有一位奇偶效验位，可以忽略，因此，实际只有56比特。算法只使用不超过64位的标准算术操作和逻辑操作，所以在70年代仅使用硬件就可以容易地实现算法。算法的重复特性非常适合专用芯片执行。起初采用软件执行的DES显得笨拙，但目前的软件执行效果也相当不错。 3.1 DES 算法描述 3.1 DES 算法描述(续) 3.2 初始计算 3.3 函数 f(Ri-1， Ki) 3.3 函数 f(Ri-1，Ki) (续) 3.3 函数 f(Ri-1， Ki) (续) 3.3 函数 f(Ri-1， Ki) (续) 3.4 密钥变换 3.4 密钥变换 (续) 3.5 DES的安全 3.5 DES的安全 (续) 在90年代初期，IBM 终于公开了S-盒设计的基本原理。 (1) 每个S-盒为6比特输入和4比特输出。这是1974年芯片处理数据的最大能力。 (2) S-盒的输出不应该和输入接近线性的函数关系。 (3) S-盒的每一行都应该包括全部0到15这16个数字。 (4) 如果输入每个S-盒的两个数据有一位不相同，则输出必须有至少两位不同。 3.5 DES的安全 (续) (5) 如果两个S-盒输入的前两位不同但最后两位相同，则输出必不相等。 (6) 对于每个给定的异或XOR值存在32种可能的输入对。这些输入对可以得到相应异或XOR 输出。所有这些输出不得有8个的值完全相同。 这一原则显然是用来阻止差分分析的。 (7) 这一原则与(6)类似，只是这里考虑3个S-盒的情况。 (详细论述，参见 D. Coppersmith, The data encryption standard and its strength against attacks) 4 DES 不是一个群 选择两个密钥K1和K2加密明文P得到EK2(EK1(P))。这样的做法是否可以增加安全性？如果攻击者有足够的存储空间，这样做提供的安全保障有限。进一步，如果两次加密等于单次加密，密码的安全性将比我们想象的还要弱。例如，这一条件要是对DES成立，那么穷尽搜索256的密钥空间将被搜索大约