第4章节-分组(对称)密码.ppt

第四讲 单钥体制（二） 分组密码 分组密码：单钥分组密码是许多系统安全的一个重要组成部分。分组密码易于构造拟随机数生成器、流密码、消息认证码(MAC)和杂凑函数等，还可进而成为消息认证技术、数据完整性机构、实体认证协议以及单钥数字签字体制的核心组成部分。实际应用中对于分组码可能提出多方面的要求，除了安全性外， 还有运行速度、存储量(程序的长度、数据分组长度、高速缓存大小)、实现平台(硬、软件、芯片)、运行模式等限制条件。这些都需要与安全性要求之间进行适当的折衷选择。 内容：分组密码的基本概念、设计原理、工作原理、运行模式、以及一些标准算法， DES、IDEA、SAFER K-64、、RC-5、Twofish等。 分组密码：明文序列x1, x2,…, xi,… 加密函数E: Vn×K?Vn 这种密码实质上是字长为m的数字序列的代换密码。 密钥k=(k0, k1,…, kt-1 ) 密钥k=(k0, k1,…, kt-1 ) 明文 密文 明文 x=(x0, x1,…, xm-1) y=(y0, y1,… , yn-1) x=(x0, x1,…, xm-1) 加密算法 解密算法 图4-1-1 分组密码框图 一、分组密码概述 　　　通常取n=m。若nm，则为有数据扩展的分组密码。若nm，则为有数据压缩。在二元情况下，x和y均为二元数字序列，它们的每个分量xi，yi?GF(2)。我们将主要讨论二元情况。将长为n的二元x和y表示成小于2n的整数，即： (4—1—1) (4—1—2) 则分组密码就是将 映射为 ， 即为到其自身的一个置换?，即 y=?(x) (4—1—3) 一、分组密码概述 置换的选择由密钥k决定。所有可能置换构成一个对称群SYM(2n)，其中元素个数或密钥数为 (4—1—4) 例如n=64 bit时, (264)!10347380000000000000000(1010)20 为表示任一特定置换所需的二元数字位数为 log2(2n!)?(n－1.44)2n (bit) (4—1—5) 即密钥长度达n2n bit，n=64时的值为64?264=270 bit，DES的密钥仅为56 bit，IDEA的密钥也不过为128 bit。实用中的各种分组密码(如后面要介绍的DES、IDEA、RSA和背包体制等)所用的置换都不过是上述置换集中的一个很小的子集。 一、分组密码概述 分组密码的设计问题在于找到一种算法，能在密钥控制下从一个足够大且足够好的置换子集中，简单而迅速地选出一个置换，用来对当前输入的明文的数字组进行加密变换。 设计的算法应满足下述要求： 　(1) 分组长度n要足够大，防止明文穷举攻击法奏效。 　(2) 密钥量要足够大，尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。 　(3) 由密钥确定置换的算法要足够复杂，充分实现明文与密钥的扩散和混淆，没有简单的关系可循，要能抗击各种已知的攻击。 一、分组密码概述 设计的算法应满足下述要求： (4) 加密和解密运算简单，易于软件和硬件高速实现。 (5) 数据扩展。一般无数据扩展，在采用同态置换和随机化加密技术时可引入数据扩展。 (6) 差错传播尽可能地小。 实现上述几点要求并不容易。首先，代换网络的复杂性随分组长度n呈指数增大，常常会使设计变得复杂而难以控制和实现；实际中常常将n分成几个小段，分别设计各段的代换逻辑实现电路，采用并行操作达到总的分组长度n足够大，这将在下面讨论。其次，为了便于实现，实际中常常将较简单易于实现的密码系统进行组合，构成较复杂的、密钥量较大的密码系统。 一、分组密码概述 Shannon曾提出了以下两种可能的组合方法： ? “概率加权和”的方法。设有r个子系统，