第4章 数据加密标准DES.pptVIP

密码学基础 赵海燕zhaohaiyan@ 第4章　数据加密标准DES §4－1 分组密码 分组密码算法实际上就是通过某个置换来实现对明文分组的加密 对分组密码算法的要求 分组长度足够大 一般为64位或128位 若分组较小则类似于古典密码 密钥量足够大 用于抵抗穷举攻击 密码变换足够复杂 增加破译难度 分组密码原理 扩散 就是将每一位明文的影响尽可能迅速地作用到较多的输出密文位中去，以便隐藏明文的统计特性。 混乱 是指密文和明文之间的统计特性关系尽可能地复杂化。避免有规律的、线性的相关关系。 乘积密码 指依次使用两个或两个以上的基本密码，所得结果的密码强度将强于所有单个密码的强度 S变换-代替-起混乱作用 P变换-换位-起扩散作用 线性 非线性 1比特密钥 Feistel密码结构 课本图4-1 Feistel结构的实现依赖于参数： 分组长度：64位或128位 密钥长度：128位 迭代轮数：16轮 子密钥生成算法：越复杂越难破译 轮函数 ：越复杂越能抵抗攻击 分组密码的设计准则 S盒的设计准则——混乱 P盒的设计准则——扩散 轮函数F的设计准则——安全性、速度、灵活性 迭代的轮数 子密钥的生成方法——实现简单、速度、不存在简单关系、种子密钥的影响、计算子密钥困难、没有弱密钥 雪崩效应、位独立准则 §4－2　数据加密标准（DES） DES用软件进行解码需要用很长时间，而用硬件解码速度非常快。 1977年，人们估计要耗资2000万美元才能建成一个专门计算机用于DES的解密，所以，当时DES被认为是一种十分强壮的加密方法。 但今天，只需20万美元就可以制造一台破译DES的特殊计算机，所以现在 DES 对要求“强壮”加密的场合已经不再适用了。 对DES的攻击 DES在金融领域的应用 DES算法 分组长度为64 bits (8 bytes) 密文分组长度也是64 bits 密钥长度为64 bits，有8 bits奇偶校验，有效密钥长度为56 bits DES密钥总数为：256 算法主要包括：初始置换IP、16轮迭代的乘积变换、逆初始置换IP-1以及子密钥产生器 DES的加密处理略图 Feistel密码结构 +8 +8 +8 重用 F函数的计算 S1盒的定义 使用S1盒的一个例子 输入 输出：0010 轮密钥的产生 8的倍数位（8，16，24，32，40，48，56，64 ，共8位）被去掉 第9，18，22，25，35，38，43，54位（共8位）被去掉 循环左移位 轮 序 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 移 位 数 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1 DES加密的一个例子 取16进制明文X：0123456789ABCDEF 密钥K为：133457799BBCDFF1 去掉奇偶校验位以二进制形式表示的密钥是：00010010011010010101101111001001101101111011011111111000 使用IP，我们得到：L0=11001100000000001100110011111111L1=R0=11110000101010101111000010101010 …… 然后进行16轮加密。 最后对L16, R16使用IP-1得到密文：85E813540F0AB405 DES的安全性 DES密钥空间：256 如果要在2小时内破译DES，则需要每秒搜索5万亿个密钥。 10美元专用集成电路芯片可以每秒测试2亿个密钥，而且可以并行处理。 则花一千万美元投资就可以造一个6分钟内破译DES的计算机。 DES的安全性 目前对DES体制的攻击方法主要有三种，它们是穷举搜索攻击（ 256数量级）、差分攻击和线性攻击。 1991年，Biham和Shmair提出差分密码分析，把对DES的破译难度从256数量级上降低到247的数量级上，并用差分攻击法在PC机上用两分钟便攻破了8轮的DES。 1993年Matasui采用线性攻击法，对16轮的DES利用247个明文用50天时间破译了16轮的DES。 3DES 随着计算机处理能力的提高，只有56位密钥长度的DES算法不再是安全的，因此出现了三重DES算法，即3DES，它是DES的替代者，分为以下四种模式： DES-EEE3 DES-EDE3 DES-EEE2 DES-EDE2 密钥长度： 168位 密钥长度： 112位 3DES的优、缺点 优点： 密钥长度增加到112位或168位，可以有效克服穷举搜索攻击； 相对于DES，增强了抗差分分析和线性分析的能力； 具备继续使用现有的DES实现的可能。 缺点： 处理速度相对较慢，特别是对于软件实现。 明文分组的长度仍为64