现代密码学理论与实践 第3章 分组密码和数据加密标准.pptxVIP

现代密码学理论与实践第3章 分组密码和数据加密标准 ;本章重点;本章内容;3.1 分组密码的原理;乘积密码的设计思想;3.1.2 Feistel密码结构的设计动机;n = 4时的一个普通代换密码的结构;2016/9/20;分组长度：分组越长则安全性越高，但加/解密速度越低，分组长度为64位是一个合理的折衷 密钥长度：密钥越长越安全，但加/解密速度越低，64位长的密钥已被证明是不安全的，128位是常用的长度 迭代次数：迭代越多越安全，通常为16次迭代 子密钥产生算法：越复杂则密码分析越困难 轮循环函数：越复杂则抗密码分析的能力越强 快速的软件加密/解密：算法的执行速度很重要 简化分析难度：算法简洁清楚，易于分析弱点，发现问题 Feistel解密算法：以密文作为算法的输入，以相反的次序使用密钥Ki，Kn、Kn－1、...、K0.;Feistel Cipher Encryption and Decryption;历史的回顾 IBM公司在1971年由Horst Feistel领导开发了Lucifer Cipher，使用128位密钥加密64位的分组 Tuchman-Mayer在此基础上开发了一个商用密码，使用56位密钥加密64位分组，容易在单个芯片上硬件实现 1973美国国家标准局NBS全面征集加密方案，作为国家密码标准 IBM提交了经过修改的Lucifer加密器，并最终在1976年被接受，公布为数据加密标准DES DES加密;DES加密算法的一般描述;1）初始置换IP (Initial Permutation)和逆置换IP-1;将明文分成左右两部分 Li = Ri–1 Ri = Li–1 xor F(Ri–1, Ki);2016/9/20;将32-bit右半部和48-bit子密钥做以下动作 使用置换表E，将32位右半部R扩展成48位 与48位子密钥做异或 48位结果送给8个替换盒S-boxes，得到32位结果 最后使用32位置换表P，把32位结果再进行一次置换处理 ;扩充置换(E)和置换函数(P);3）S盒(Substitution Boxes);4）子密钥的产生;子密钥的产生;DES的解密 DES的解密是加密的逆过程，采用相同算法，但是子密钥使用的次序正好相反。;DES加密的雪崩效应 雪崩效应 Avalanche Effect 明文或密钥的一比特的变化，引起密文许多比特的改变。如果变化太小，就可能找到一种方法减小有待搜索的明文和密文空间的大小。 如果用同样密钥加密只差一比特的两个明文： 0000000000000000..... 1000000000000000..... 3次循环以后密文有21个比特不同，16次循环后有34个比特不同 如果用只差一比特的两个密钥加密同样明文： 3次循环以后密文有14个比特不同，16次循环后有35个比特不同;密钥的长度问题 56-bit 密钥有256 = 72,057,584,037,927,936 ≈ 7.2亿亿之多 强力搜索( brute force search ) 似乎很困难，20世纪70年代估计要1000－2000年 技术进步使穷举搜索成为可能 1997年1月29日，RSA公司发起破译RC4、RC5、MD2、MD5，以及DES的活动，破译DES奖励10000美金。明文是：Strong cryptography makes the world a safer place. 结果仅搜索了24.6%的密钥空间便得到结果，耗时96天。 1998年在一台专用机上(EFF)只要三天时间即可 1999年在超级计算机上只要22小时! 现在只需要?小时！;S-box问题 其设计标准没有公开，但是迄今没有发现S盒存在致命弱点 计时攻击 计时攻击利用的事实是加密或解密算法对于不同的输入所花的时间有细微的差别 DES能够很好地抵抗计时攻击 差分密码分析攻击问题 DES对差分分析攻击有较好的免疫力 针对DES的密码分析攻击主要利用了加密器的深层结构 搜集加密信息 最终设法恢复部分或全部子密钥的位 如果必要的话对其余部分再辅以穷举搜索 这些攻击实际上是统计分析，包括 差分分析、线性分析、相关密钥攻击;3.4 差分分析和线性分析;差分密码攻击;Differential Cryptanalysis;如果使用相同子密钥，对于f，具有系统差值的许多输入对将产生相同的输出差值，即如果在异或值为X的输入对中，有p部分使输出异或值为Y，则X产生Y的概率为p。假定存在很多X，具有很大概率产生一个特定的输出差值。如果已知Δmi-1和Δmi具有很大概率，则Δmi+1也具有很大概率。如果确定很多这样的差值，则容易