分组密码详降拟.pptVIP

现代密码学 彭代渊 信息科学与技术学院 dypeng@swjtu.edu.cn 2009.9-2010.1 现代密码学 Modern Cryptography 彭代渊 信息科学与技术学院 dypeng@swjtu.edu.cn 2009年10月 第 3章 分组密码 3.1 分组密码概述 分组密码（block cipher）框图 3.1 分组密码概述 3.1 分组密码概述 Feistel 密码 Feistel 密码 Feistel 密码 第 3章 分组密码 3.2 数据加密标准(DES) 数据加密标准(DES: data encryption standard)概况 1972美国国家标准局(NBS)开始实施计算机数据保护标准的开发计划 1973.5.13 NBS发布文告征集在传输和存储数据中保护计算机数据的密码算法 1975.3.17首次公布DES算法描述，进行公开讨论 1977.1.15正式批准为无密级应用的DES (美国联邦信息处理标准：FIPS-46)，1977.7.15正式生效 以后每5年NBS做出评估，并重新确定是否继续作为加密标准 1994年1月，NBS做了最后一次评估，决定1998年12月以后不再作为加密标准 DES算法描述 分组大小: 2w=64 密钥大小: |K|=56 子密钥: |Ki|=48 轮数: h=16 对明文作置换IP后开始第1次迭代 第16次迭代后，交换左、右32bit数据，再作逆置换IP-1，即得密文 3.2 数据加密标准(DES) 初始置换IP 将64位明文打乱重新排列. 设x=x1x2…x64，则IP(x)=x58x50x42…x23x15x7 轮函数F的设计 轮函数F的结构 F(Ri?1, Ki): {0,1}32?{0,1}48 ?{0,1}32 扩展变换E 扩展变换E: 将32位变为48位，扩展了16位 S-盒 Sk: {0,1}6 ?{0,1}4 (k=1,2,…,8) 输入: b1 b2 b3 b4 b5 b6, 用10进制表示: (i)10=b1b6 (0?i?3), (j)10=b2b3b4b5 (0?j?15) 输出: Sk-盒的表中第i行j列位置元素(4位二进制) 例: 对于S1，输入b=101011, 有i=11=3, j=0101=5, 输出: S1(b)= S1(3,5)=9=1001. S-盒 S-盒设计准则(1992年，IBM与NSA公布) S-盒的每一行都是整数0-15的一个置换; 每个S-盒的输出都不是输入的线性或仿射函数; 任意改变输入的一位,输出至少有2位发生变化; 保持输入的1位不变,其余5位变化,则输出中的0和1的个数接近相等; 对任何输入x, 有Sk(x)和Sk(x?001100)至少有2位不同; 对任何输入x, e,f ?{0,1}, 有 Sk(x)?Sk(x?11ef00). 置换P P：整数1-32的置换 DES子密钥生成算法 DES子密钥生成算法 由64位密钥K产生16个48位的子密钥: K1, K2,…,K16. DES子密钥生成算法 置换选择1: PC-1 64位密钥K的第8, 16, 24,…,64位共8位是奇偶校验位, 其余56位作为密钥用. 选择K的第57,49,…位共28位作为密钥段C0;选择K的第63,55,…位共28位作为密钥段D0. DES子密钥生成算法 循环左移LSi 将28位的密钥段作为Ci, Di循环左移1或2位,左移位数由下表确定. DES子密钥生成算法 置换选择2: PC-2 从56位密钥段Ci||Di中选择48位作为子密钥Ki. DES解密算法 DES算法的实现 DES的安全性 DES的安全性 二重DES 二个密钥的三重DES 三个密钥的三重DES 第 3章 分组密码 3.3 国际数据加密算法（IDEA） 1990年，Xuejia Lai(来学嘉，旅居瑞士中国学者)和J.L.Massey(国际著名密码学家)提出一个建议加密标准(PES: proposed encryption standard) 1991年，设计出改进型建议加密标准(IPES),能够抗击差分密码分析 1992年，改名为国际数据加密算法 (IDEA: international data encryption algorithm) 是DES之后又一个成功的分组密码，已被用于Internet的E-mail加密系统PGP和其他加密系统 分组长度: 64 密钥长度: 128 Xuejia Lai(来学嘉)简介 国际著名密码学