网络安全-03分组密码与数据加密标准.pptVIP

西安电子科技大学计算机学院 Chapter 3 分组密码与数据加密标准 Playfair、hill、 Vigenère的密钥空间？ 单表和多表的区别？ 本节课程内容 分组密码一般原理、设计准则、设计方法 DES加解密算法 DES的强度 流密码 每次加密数据流的一位或一个字节 分组密码 将一个明文组作为整体加密且通常得到的是与之等长的密文组 分组密码的一般设计原理： 分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列 理想分组密码体制 2n!个映射 大规模 Feistel网络（1） Feistel网络的设计动机 密钥长为k位，分组长为n位，采用2k个变换 Feistel网络（2） Shannon 目的：挫败基于统计方法的密码分析 混淆（confusion）：使得密文的统计特性与密钥的取值之间的关系尽量复杂 扩散（diffusion）：明文的统计特征消散在密文中，使得明文和密文之间的统计关系尽量复杂。 Feistel网络（3） 分组长度 密钥长度 轮数 子密钥生成算法 轮函数 快速软件加解密 易于分析 DES算法框图 子密钥产生器 DES加解密的数学表达 安全性 DES的安全性完全依赖于所用的密钥。 从DES诞生起，对它的安全性就有激烈的争论，一直延续到现在 弱密钥和半弱密钥 DES算法在每次迭代时都有一个子密钥供加密用。如果给定初始密钥k，各轮的子密钥都相同，即有k1=k2= … =k16，就称给定密钥k为弱密钥(Weak key) 若k为弱密钥，则有 DESk(DESk(x))=x DESk-1(DESk-1(x))=x 即以k对x加密两次或解密两次都可恢复出明文。其加密运算和解密运算没有区别。 而对一般密钥只满足 DESk-1(DESk(x))=DESk(DESk-1 (x))=x 弱密钥下使DES在选择明文攻击下的搜索量减半。 如果随机地选择密钥，则在总数256个密钥中，弱密钥所占比例极小，而且稍加注意就不难避开。 因此，弱密钥的存在不会危及DES的安全性。 雪崩效应 56位密钥的使用 256 = 7.2 x 1016 1997 ，几个月 1998，几天 1999，22个小时! DES算法的性质：S盒构造方法未公开！ 计时攻击 差分密码分析 通过分析明文对的差值对密文对的差值的影响来恢复某些密文比特 线性密码分析 通过寻找DES变换的线性近似来攻击 §3.4 分组密码的工作模式 FIPS 81中定义了4种模式，到800-38A中将其扩展为5个。 可用于所有分组密码。 DES的工作模式 若明文最后一段不足分组长度，则补0或1，或随机串。 电码本模式ECB 工作模式 加密：Cj=Ek(Pj),(j=1,2,…,n) 解密：Pj=Dk(Cj) 应用 特点 错误传播 不传播，即某个Ct的传输错误只影响到Pt的恢复，不影响后续的（j＞t）。 Electronic Codebook Book (ECB) 密码分组链接模式 工作模式 加密 解密 应用 加密长度大于64位的明文P 认证 特点 错误传播 Cipher Block Chaining (CBC) 密码反馈模式 工作模式 加密 解密 应用 保密：加密长度大于64位的明文P；分组随意；可作为流密码使用。 认证： 特点 分组任意 安全性优于ECB模式 加、解密都使用加密运算（不用解密运算） 错误传播 有误码传播，设 ，则错误的Ct会影响到Pt…,Pt+r。 Cipher FeedBack (CFB) 输出反馈模式 工作模式 加密 解密 应用 特点 缺点：抗消息流篡改攻击的能力不如CFB。 错误传播 不传播 Output FeedBack (OFB) 计数器模式 工作模式 加密： 给定计数器初值IV，则 j=1,2,…,N 解密 特点 优点 硬件效率：可并行处理； 软件效率：并行化； 预处理； 随机访问：比链接模式好； 可证明的安全性：至少与其它模式一样安全； 简单性：只用到加密算法。 错误传播 不传播 Counter (CTR) 小结 分组密码与流密码 block vs stream ciphers Feistel 密码设计与结构 design structure 轮数，函数F，密钥扩展 DES 算法细节 密码强度 工作模式 第三章作业 思考题：3.5，3.7，3.8 Chapter 3 summary. Lecture slides by Panfeng fo