第4节 序列密码体制.pptVIP

知识点： 4.1 密码学中的随机数 4.1.2 伪随机数产生器 4.1.3 基于密码算法的随机数产生器 4.1.4 伪随机数的评价标准 4.2 序列密码的概念及模型 流密码的分类: 4.4 非线性序列简介 4.5.3 RC4序列密码体制 RC4是Ron Rivest 1987年为RSA设计，是一个可变密钥长度、面向字节操作的序列密码 基本思想： 对于n位长的字，它总共N=2n个可能的内部置换状 态矢量S，这些状态是保密的，密钥流K由S中N个元素按照一定方式选出一个元素而生成。每生成一个K值，S中的元素就被重新置换一次 密钥调度算法（KSA） 伪随机数生成算法（PRGA） 密钥调度算法KSA KSA算法描述如下： For i=0 to N-1 do S[i]=i; j=0; For i=0 to N-1 do J=(j+S[i]+K[I mod L]) mod N; Swap(S[i],S[j]) 伪随机数生成算法PRGA i=0； J=0； While(true） i=（i+1）mod N； J=（j+S[i]) mod N; Swap(S[i],S[j]); T=(S[i]+S[j]) mod N; Output k=S[t]; 实例 RC4目前使用在： （1）SSL（安全套接字）中广泛使用 （2）WEP(Wired Equivalent Privacy:有线对等保密) IEEE 802.11 (/159/2027659_1.shtml) 习 题 4．钟控发生器 钟控发生器是由控制序列（由一个或多个移位寄存器来控制生成）的当前值决定被采样的序列寄存器移动次数（即由控制序列的当前值确定采样序列寄存器的时钟脉冲数目）。 控制序列和被采样序列可以是源于同一个LFSR（称为自控），也可以源于不同的LFSR（称为他控），还可以相互控制（称为互控）。钟控发生器示意图如下图所示。 当控制序列当前值为1时，被采样序列生成器被时钟驱动k次后输出；当控制序列当前值为0时，被采样序列生成器被时钟驱动d次后输出。 另外，停走式发生器也是一种钟控模型，它由2个LFSR组成。其中，LFSR-1控制LFSR-2的时钟输入。 当且仅当LFSR-1的时间t-1的输出为1时，LFSR-2在时间t改变状态（也即LFSR-1输出时钟脉冲，使LFSR-2进行输出并反馈以改变移位寄存器的状态）。 5．收缩和自收缩发生器 收缩发生器是又控制序列的当前值决定被采样序列移位寄存器是否输出。 该发生器由2个LFSR组成。LFSR-1、LFSR-2分别按各自时钟运行，LFSR-1在时间t-1时刻的输出为1时，LFSR-2在时间t时刻输出为密钥流，否则舍去。 自收缩发生器从一个LFSR抽出2条序列，其中一条为控制序列，另一条为百采样序列。当控制序列输出为1时，采样序列输出为密钥流，否则舍去。 此外，还有多路复合序列，这类序列也归结为非线性组合序列。 基于LFSR的序列密码非常适合于硬件实现，但是不特别适合软件实现。这导致出现了一些关于序列密码被计划用于快速软件实现的新建议，因为这些建议大部分具有专利，因此这里不讨论它们的技术细节。 比较常用的序列密码是A5、SEAL和RC4序列密码算法，A5是典型的基于LFSR的序列密码算法，SEAL和RC4不是基于LFSR的序列密码算法，而是基于分组密码的输出反馈模式（OFB）和密码反馈模式（CFB）来实现的。其他不基于LFSR的序列密码生成器的安全性基于数论问题的难解性，这些生成器比基于LFSR的生成器要慢很多。 4.5 常用的序列密码算法 A5序列密码算法是利用欧洲数字蜂窝移动电话（GSM）加密的序列密码算法，它用于从用户手机至基站的连接加密，GSM会话每帧数据包含228比特，A5算法每次会话将产生228比特的密钥，算法的密钥长度为64比特，还包含有一个22比特的帧数。A5算法有两个版本：强A5/1和弱A5/2。 A5算法是一种典型的基于LFSR的序列密码算法，它由三个LFSR组成，是一种集控制与停走于一体的钟控模型，但是A5算法没有完全公开，因而各种资料的描述也不尽相同，重要是第二个和第三个LFSR的联接多项式以及钟控的位置。 A5算法的3个LFSR中LFSR-1、LFSR-2、LFSR-3的级数分别为19、22和23。LFSR-1的反馈抽头是18、17、16、13，LFSR-2的反馈抽头是21、20、16、12，LFSR-3的反馈抽头是22、21、18、17（如下页图的数字表示抽头的位置）。 4.5.1 A5序列密码算法 4.5.2 SEAL序列密码算法 1．3级线性反馈移位寄存器在c3=1时可有4种线性反馈函数，设其