序列密码《现代密码学》.PPT

序列密码 本章主要内容 1、序列密码的基本概念 2、线性反馈移位寄存器 3、线性移位寄存器的一元多项式表示 4、m序列的伪随机性 5、M序列的特性 6、m序列密码的破译 7、非线性序列 8、欧洲NESSIE工程及其征集的Lili-128 候选算法 9、习题 1. 序列密码的基本概念 序列密码的基本思想是利用密钥k产生一个密钥流z=z0z1…，并使用如下规则对明文串x=x0x1x2…加密： y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。 密钥流由密钥流发生器f产生： zi=f(k,σi)，这里σi是加密器中的记忆元件（存储器）在时刻i的状态，f是由密钥k和σi产生的函数。 1. 序列密码的基本概念 分组密码与序列密码的区别就在于有无记忆性（如图）。序列密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指定的初态σ0完全确定。此后，由于输入加密器的明文可能影响加密器中内部记忆元件的存储状态，因而σi(i0)可能依赖于k，σ0，x0，x1，…，xi-1等参数。 分组密码和序列密码的比较 1.1 同步序列密码 根据加密器中记忆元件的存储状态σi是否依赖于输入的明文字符，序列密码可进一步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码，否则叫做自同步序列密码。由于自同步序列密码的密钥流的产生与明文有关，因而较难从理论上进行分析。目前大多数研究成果都是关于同步序列密码的。 1.1 同步序列密码 在同步序列密码中，由于zi=f(k,σi)与明文字符无关，因而此时密文字符yi=Ezi(xi)也不依赖于此前的明文字符。因此，可将同步序列密码的加密器分成密钥流产生器和加密变换器两个部分。 如果与上述加密变换对应的解密变换为xi=Dzi(yi)，则可给出同步序列密码体制的模型如下图所示。 同步序列密码的加密变换Ezi可以有多种选择，只要保证变换是可逆的即可。 实际使用的数字保密通信系统一般都是二元系统，因而在有限域CF(2)上讨论的二元加法序列密码（如下图）是目前最为常用的序列密码体制，其加密变换可表示为 yi=zi xi。 一次一密密码是加法序列密码的原型。事实上，如果（即密钥用作滚动密钥流），则加法序列密码就退化成一次一密密码。 实际使用中，密码设计者的最大愿望是设计出一个滚动密钥生成器，使得密钥经其扩展成的密钥流序列具有如下性质：极大的周期、良好的统计特性、抗线性分析、抗统计分析。 1.2 有限状态自动机 有限状态自动机是具有离散输入和输出（输入集和输出集均有限）的一种数学模型，由以下3部分组成： ① 有限状态集 ② 有限输入字符集 和有限输出字符集 。 ③ 转移函数 即在状态为si，输入为Aj(1)时，输出为Ak(2)，而状态转移为sk。 有限状态自动机可用有向图表示，称为转移图。转移图的顶点对应于自动机的状态，若状态si在输入A(1)i时转为状态sj，且输出一字符A(2)j，则在转移图中，从状态si到状态sj有一条标有(A(1)i,A(2)j)的弧线，见下图。 1.2 有限状态自动机 上例中，若输入序列为 ，初始状态为s1，则得到状态序列 s1s2s2s3s2s1s2 输出字符序列 思考题：如果上面的输入序列变为： 则上面的结果为什么？ 同步序列密码密钥流产生器 同步序列密码的关键是密钥流产生器。一般可将其看成一个参数为k的有限状态自动机，由一个输出符号集Z、一个状态集∑、两个函数φ和ψ以及一个初始状态σ0组成（如下图）。 状态转移函数φ:σi→σi+1，将当前状态σi变为一个新状态σi+1， 输出函数ψ:σi→zi，当前状态σi变为输出符号集中的一个元素zi。 作为有限状态自动机的密钥流生成器 这种密钥流生成器设计的关键在于找出适当的状态转移函数φ和输出函数ψ，使得输出序列z满足密钥流序列z应满足的几个条件，并且要求在设备上是节省的和容易实现的。 为了实现这一目标，必须采用非线性函数。 同步序列密码密钥流产生器 由于具有非线性的φ的有限状态自动机理论很不完善，相应的密钥流产生器的分析工作受到极大的限制。相反地，当采用线性的φ和非线性的ψ时，将能够进行深