现代密码学第三章.pptVIP

第3章 分组密码体制;在许多密码系统中，单钥分组密码是系统安全的一个重要组成部分; 用分组密码易于构造 伪随机数生成器、流密码、消息认证码（MAC）和杂凑函数等，还可进而成为消息认证技术、数据完整性机制、实体认证协议以及单钥数字签字体制的核心组成部分。;应用中对于分组码的要求;明文x0,x1,…,xi,… 明文分组 x=(x0, x1,…, xn-1)， 密钥 k=(k0, k1,…, kt-1) 密文分组 y=(y0,y1,…,ym-1 加密函数 E：Vn×K→Vm; 图3.1 分组密码框图;通常取m=n。 若mn，则为有数据扩展的分组密码； 若mn，则为有数据压缩的分组密码。; ① 分组长度n要足够大，使分组代换字母表中的元素个数2n足够大，防止明文穷举攻击法奏效。 DES、IDEA、FEAL和LOKI等分组密码都采用n=64，在生日攻击下用232组密文成功概率为1/2，同时要求232×64b=215MB存贮，故采用穷举攻击是不现实的。;② 密钥量要足够大??即置换子集中的元素足够多），尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。 但密钥又不能过长，以便于密钥的管理。 DES采用56比特密钥，太短了，IDEA采用128比特密钥，据估计，在今后30～40年内采用80 比特密钥是足够安全的。;③ 由密钥确定置换的算法要足够复杂，充分实现明文与密钥的扩散和混淆