现代密码学第五讲(一)：流密码.pptVIP

基于移位寄存器的流密码算法 Geffe序列发生器 两个LFSR作为复合器的 输人，第三个LFSR控制 复合器的输出 如果a1, a2, 和 a3是三个LFSR的输出，则Geffe发生器的输出表示为： b = (a1 ∧ a2) ⊕ (? a1 ∧ a3)= (a1 ∧ a2) ⊕ ( a1 ∧ a3) ⊕ a3 基于移位寄存器的流密码算法 钟控生成器是由一个或几个FSR输出序列，控制一个FSR的时钟。最简单的钟控生成器是用一个LFSR控制另一个LFSR的时钟脉冲，如图： LFSR1 LFSR2 当LFSR1输出1时，时钟脉冲通过与门使LFSR2进行一次移位，从而生成下一位；当LFSR1输出0时，时钟脉冲无法通过与门使LFSR2移位（走），从而LFSR2重复输出前一位（停）。因此，这种钟控生成器也被形象地称之为走停生成器（Sstop-and-Ggo generator）。 A5算法是GSM系统中主要使用的序列密码加密算法，用来保护从基站到移动设备之间传输的信息 。 A5算法有三种版本：A5/1算法限制出口，保密性较强；A5/2算法没有出口限制，但保密性较弱；A5/3算法则是更新的版本，它基于KASUMI算法，但尚未被GSM标准采用。 基于移位寄存器的流密码算法 基于移位寄存器的流密码算法 基于移位寄存器的流密码算法 实际使用中由一个22比特长的参数（帧号码，Fn）和64比特长的参数（会话密钥，Kc）生成两个114比特长的序列（密钥流）的黑盒子。这样设计的原因是GSM会话每帧含228比特，通过与A5算法产生的228比特密钥流进行异或实现保密。 x、y、z（位置分别为A、B、C的第9、11、11位）进行钟控，若三个位中间至少有两个为“1”，则为“1”的寄存器进行一次进动，而为“0”的不移。反过来，若三个位中至少有两个为“0”，则为“0”的寄存器进行一次移位，而为“1”的不移。 这种机制保证了每次至少有两个LFSR被驱动移位。 其它流密码算法——RC4算法 RC4是由Rivest于1987年开发的一种序列密码，它已被广泛应用于Windows、Lotus Notes和其它软件，还被用于安全套接字（SSL）和无线通信系统等。RC4算法最初没有被公布，但其源代码在1994年被人匿名发布，在这种情况下RSA数据公司于1997年公开了RC4算法. RC4不是基于LFSR的序列密码，它使用了一个256字节大小的非线性数据表（简称S表），依据表进行非线性变换，得到密钥流. S表的值S0，S1，…，S255是数字0到255的一个排列，RC4有两个计数器I和J，初值都为0. RC4的优点是算法简单、高效，特别适于软件实现，加密速度比DES大约快10倍. RC4可以支持不同密钥长度，美国政府特别限定，用于出口的RC4的密钥长度不得超过40位. 其它流密码算法——RC4算法 RC4首先进行S表的初始化，过程如下： 对S表进行填充：Si=i，0≤i255； 用密钥填充另一个256字节的数组K，如果密钥长度小于256字节，则依次重复填充，直至填满这个数组：K0，K1，…，K255； J=0； 对于I=0到255重复以下步骤： J=J+ SI+KI （mod 256）； 交换SI和SJ 。 RC4按下列步骤输出密钥流的一个字节z： I=0，J=0； I=I + 1（mod 256）； J= SI + SJ（mod 256）； 交换SI和SJ； t=SI+SJ（mod 256）； z=St。 RC4算法 密钥调度算法KSA 然后利用如下循环构建实际的S数据表： j:=0; for i=0 to 7 do j:=(j+s(i)+k(i)) mod 8; swap(S(i),S(j)); 该循环以j=0和i=0开始。使用更新公式后j为： j=(0+S(0)+K(0)) mod 8=5 S数据表的第一个操作是将S(0)与S(5)互换。 RC4算法 索引i加1后，j的下一个值为： j=(5+S(1)+K(1)) mod 8=(5+1+6) mod 8=4 即将S数据表的S(1)和S(4)互换： RC4算法 伪随机数生成算法PRGA 这样数据表S就可以用来生成随机的密钥流序列。从j=0和i=0开始，RC4如下计算第一个密钥字： i=(i+1) mod 8=(0+1) mod 8 =1 j=(j+s(i)) mod 8=(0+s(1)) mod 8=(0+4) mod 8=4 swap S(1)和S(4) RC4算法 RC4算法 然后如下计算t和k: