网络信息安全课件第三章.ppt

* Cryptography and Network Security - 2 */36 Differential Cryptanalysis 反复加密已知输入异或的明文对，直到得到期望的输出异或 如果找到 中间轮次有满足所需的异或，则找到了正确的一对输入right pairs 否则找到的是错误的一对输入wrong pairs，对攻击来说比例是S/N 这样可以推测中间轮次使用的密钥值 right pairs 说明了同样的密钥位 wrong pairs 说明是随机数 对于大轮次加密来说，找到正确的概率很低，要分析的对数比存在的64-bit inputs多 Biham和Shamir表明，13轮的分析可以破解整个16轮的DES * Cryptography and Network Security - 2 */36 如果使用相同子密钥，对于f，具有系统差值的许多输入对将产生相同的输出差值，即如果在异或值为X的输入对中，有p部分使输出异或值为Y，则X产生Y的概率为p。假定存在很多X，具有很大概率产生一个特定的输出差值。如果已知Δmi-1和Δmi具有很大概率，则Δmi+1也具有很大概率。如果确定很多这样的差值，则容易确定函数f中使用的子密钥。 右图说明差值经过三次循环后的传播情况，输出差值为所示差值的概率为0.25x1x0.25=0.0625 * Cryptography and Network Security - 2 */36 是1993年提出的另一种统计攻击，基于找到DES中进行变换的线性近似来进行攻击，可以在有243个已知明文的情况下破译DES密钥，但仍然是不可行的。 基本原理 令明文分组为P[1], ..., P[n], 密文分组为C[1], ..., C[n], 密钥为K[1], ..., K[m], 则定义： A[i, j, ..., k] = A[i]⊕A[j]⊕...⊕A[k] 线性密码分析的目标是找到如下有效线性方程： P[α1, α2, ..., αa]⊕C[β1, β2, ..., βb] = K[γ1, γ2, ..., γc] 其中，x=0或1；1≤a，b≤n，1≤c≤m，α，β和γ等表示固定的唯一的比特位置。方程以概率p≠0.5成立，p离0.5越远，方程越有效。 对于大量的明文密文对，计算方程左边的值，如果结果中有一半以上为0，则假定K[γ1, γ2, ..., γc] ＝0；如果大多为1，则假定K[γ1, γ2, ..., γc] ＝1。 线性密码分析Linear Cryptanalysis * Cryptography and Network Security - 2 */36 S-boxes的设计准则：增加扰乱性 输出比特不应太接近输入比特的一个线性函数 每一行应该包括所有16种比特组合 两个输入相差一个比特，输出必须相差两个比特 如果两个输入刚好在两个中间比特上不同，输出必须在至少两个比特上不同 两个输入前两位不同而最后两位相同，两个输出必须不同 具有非零6比特差值的输入，32对中有不超过8对输出相同 置换P的设计准则：增加扩散性 第i次循环时每个S盒输出的四个比特被分布开，以便其中两个影响下一循环的中间比特，两个影响两端的比特 每个S盒输出的四个比特影响下一循环的6个不同的S盒，并且任何两个都不会影响同一个S盒 如果Sj的一个输出比特影响下一循环Sk的中间比特，则Sk的一个输出比特就不能影响Sj的一个中间比特。 3.5 分组密码的设计原理 * Cryptography and Network Security - 2 */36 迭代轮数 迭代次数越多则进行密码分析的难度就越大，选择准则是要使已知的密码分析工作量大于简单的穷举密钥搜索的工作量。 函数F的设计 函数F的设计准则(非线性、严格雪崩效应、位独立) 提供扰乱作用，要求强非线性，良好的雪崩性质 S-boxes的设计 希望S盒输入向量的任何变动在输出方都产生看似随机的变动，这两种变动之间的关系应该是非线性的并难以用线性函数近似。 S盒的大小：较大的抗攻击能力强，但越大实现越困难 S盒的组织：要求高度非线性，随机性 密钥扩展算法 选择子密钥时要使得推测各子密钥和由此推出主密钥的难度尽可能大，应该保证密钥/密文的严格雪崩效应准则和位独立准则。 分组密码的设计原理 * Cryptography and Network Security - 2 */36 Summary We have considered in this chapter: Block cipher design principles DES details strength Differential Linear Cry