11分组密码.pptVIP

分组密码 大 纲 一、分组密码概述 二、分组密码的运行模式 三、DES 四、IDEA 五、AES 参考书籍 《Handbook of Applied Cryptography》: Chapter 6 《Applied Cryptography: Protocols, algorithms, and source code in C》：Chapter 12, 13 《经典密码学与现代密码学》：第7章 分组密码概述 分组密码是许多系统安全的一个重要组成部分。可用于构造 拟随机数生成器 流密码 消息认证码(MAC)和杂凑函数 消息认证技术、数据完整性机构、实体认证协议以及单钥数字签字体制的核心组成部分。 应用中对于分组码的要求 安全性 运行速度 存储量(程序的长度、数据分组长度、高速缓存大小) 实现平台(硬、软件、芯片) 运行模式 分组密码概述 分组密码设计问题 分组密码的设计问题在于找到一种算法，能在密钥控制下从一个足够大且足够好的置换子集中，简单而迅速地选出一个置换，用来对当前输入的明文的数字组进行加密变换。 双射 假设M={m1,m2,m3},C={c1,c2,c3}，密钥空间K={1,2,3,4,5,6} C=Ek(M)， M=Dk(C) 分组密码算法应满足的要求 分组长度n要足够大： 防止明文穷举攻击法奏效。 密钥量要足够大： 尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。 由密钥确定置换的算法要足够复杂： 充分实现明文与密钥的扩散和混淆，没有简单的关系可循，要能抗击各种已知的攻击。 分组密码算法应满足的要求 加密和解密运算简单： 易于软件和硬件高速实现。 数据扩展： 一般无数据扩展，在采用同态置换和随机化加密技术时可引入数据扩展。 差错传播尽可能地小。 二、分组密码的运行模式 分组密码算法： 仅提供输入到输出的加/解密变换 与输入输出的形式无关 改变分组密码的输入与输出的形式，可产生不同的分组密码工作模式 填充(Padding) 给定加密消息的长度是随机的，若按64 bit分组时，最后一组消息长度可能不足64 bit。可以填充一些数字，通常用最后1字节作为填充指示符（PI）。它所表示的十进制数字就是填充占有的字节数。数据尾部、填充字符和填充指示符一起作为一组进行加密。 主要工作模式 即使有了安全的分组密码算法，也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等，以提高整体的安全性，降低删除、重放、插入和伪造成功的机会。 电码本(Electric Code Book) 密码分组链接(Cipher Block Chaining) 密码反馈(Cipher Feed Back) 输出反馈(Output Feed Back) (1) 电码本ECB模式 直接利用加/解密算法分别对分组数据组加/解密 每个分组之间彼此独立。 相同明文(在相同密钥下)得出相同密文。 这会暴露明文数据的格式和统计特征。 明文数据都有固定的格式，需要以协议的形式定义，重要的数据常常在同一位置上出现，使密码分析者可以对其进行统计分析、重传和代换攻击。 单个密文分组中的一个或多个比特错误只会影响该分组的解密结果。 ECB模式的安全缺陷 不能隐藏数据模式 易遭受插入、删除等主动攻击 (2) 密码分组链接CBC模式 每个明文组xi加密之前，先与反馈至输入端的前一组密文yi-1按位模2求和后，再送至加密算法加密 特性 在相同的密钥和IV下，相同的明文分组会得到相同的密文分组 各密文组yi不仅与当前明文组xi有关，而且通过反馈作用还与所有以前的明文组x1, x2,…, xi-1有关 单个密文分组yi中的一个比特错误会影响分组yi和yi+1的解密。 若单个密文分组yi出现错误，则能自同步；只要yi+1没有错误，则yi+2可正确解密 初始矢量IV(Initial Vector)：第一组明文xi加密时尚无反馈密文，为此需要在寄存器中预先置入一个。收发双方必须选用同一IV。 实际上，IV的完整性要比其保密性更为重要。在CBC模式下，最好是每发一个消息，都改变IV，比如将其值加一。 (3) k-比特CFB模式 若待加密消息必须按字符(如电传电报)或按比特处理时，可采用CFB模式。 CFB实际上是将加密算法作为一个密钥流产生器，当分组长度k＝1时就退化为前面讨论的流密码了。 CFB与CBC的区别 是反馈的密文分组长度k为1或8 不是直接与明文相加，而是反馈至密钥产生器； 若使用非对称的分组算法，则不能用CFB模式 用于要求无延迟的加密和传播的应用中。 特性 在相同的密钥和IV下，相同的明文分组会得到相同的密文分组 (与CBC模式一样) 各密文组yi