liweiguo_第六章DES.ppt

2）半弱密钥K: 初始密钥K经PC-1置换后, C0和D0分别为下述12个 情形之一, 称为半弱密钥： 存在一对密钥K和K?使得 DESK(M)= DESK??1 (M) 01 FE 01 FE 01 FE 01 FE FE 01 FE 01 FE 01 FE 01 1F E0 1F E0 1F E0 1F E0 E0 1F E0 1F E0 1F E0 1F E0 01 E0 01 E0 01 E0 01 01 E0 01 E0 01 E0 01 E0 1F FE 1F FE 1F FE 1F FE FE 1F FE 1F FE 1F FE 1F E0 FE E0 FE E0 FE E0 FE FE E0 FE E0 FE E0 FE E0 6.5 DES的变形 DES密钥太短，超期服役时间太长，安全性面临威胁。 DES密钥56位， 256约等于 7x 1016 1990年，Eli Biham Adi Shamir 提出“差分算法”，在选择明文下，可使复杂度下降。 选择 247对明文密文对，复杂度降至 O( 237 ) 若使用8轮DES，选择 214对明文密文对， 攻击复杂度会降至 O( 29 ) 3-DES ： 补充内容: 对S 盒的顺序随机化 可将56位密钥扩大到64位 6.6 IDEA 分组密码简介（补充内容） IDEA: 国际数据加密算法 International Data Encryption Algorithm 设计者：Xuejia Lai（来学嘉，中国） James Massey 完成时间：1990-1993 目前状态： 已获专利，并被认为是最好、最安全的. 其算法易由软件和硬件实现， 解密和加密运算速 度都非常快. IDEA简单描述： 明文：分组长度64 位 密钥：解密密钥和加密密钥不同, 长度均为128位 基本运算： 三个不同的代数群进行混合运算， 用软件和硬件均容易实现, IDEA的混淆特性也是由这三个运算实现： 1. 16 位的逐位异或运算, 记为 ； 2. 模216的加法运算, 记为 ； 3. 模216+1的乘法运算, 记为 . + ? + 注: 216+1=65537 为一素数(称为Fermat 数). 这三个代数群上的运算，基于以下“不兼容性”而发挥IDEA的混淆特性： （1） 三个运算中任意两个都不满足分配律. 例如， 存在a, b, c?F(216)使得： a (b c)?(a b) (a c); + ? + ? + （2） 三个运算中任意两个都不满足分配律. 例如， 存在a, b, c?F(216)使得： a (b c)?(a b) c. + + + + 轮算法： 第一批的8个子密钥中的前6个 用于第一轮，后两个Z1(2), Z2(2)用于第二轮的前两个。 密钥向左循环移25位再分成8个子密钥，其中前4个与第一批中剩下的Z1(2), Z2(2)（作为第二批的前两个子密钥）作为第二轮的子密钥；等等. 共进行8轮. 设第八轮的输出为 W1, W2, W3, W4 则分别与最后4个子密钥Z1(9), Z2(9), Z3(9), Z4(9)作运算： W1 ?16 Z1(9)=Y1 W2 +16 Z2(9)=Y2 W3 +16 Z3(9)=Y3 W4 ?16 Z4(9)=Y4 ? 密文为：Y1Y2Y3Y4 解密过程与加密过程完全一样, 只是所用的解密蜜钥对应于加密密钥为: 轮次 加密密钥 解密密钥 1 Z1(1) Z2(1) Z3(1) Z4(1) Z5(1) Z6(1) Z1(9)?1?Z2(9) ?Z3(9) Z4(9)?1Z5(8) Z6(8) 2 Z1(2)