第8讲 序列密码体制(续1).ppt

知识点： 4.4 非线性序列简介 4.5.2 RC4序列密码体制 RC4是美国RSA数据安全公司1987年设计的一种一个可变密钥长度（40至2048比特可变）、面向字节（ 256个bytes ）操作的序列密码。RSA数据安全公司将其收集在加密工具软件BSAFE中。最初并没有公布RC4的算法。人们通过软件进行逆向分析得到了算法；在这种情况下，RSA数据安全公司于1997年公布了RC4密码算法； 基本思想： 对于n位长的字（RC4是8位长的字），它总共N=2n（ RC4是28个）个可能的内部置换状态矢量S表，这些状态是保密的，密钥流K由S中N个元素按照一定方式选出一个元素而生成。每生成一个K值，S中的元素就被重新置换一次。 密钥流的生成有两个过程：密钥调度算法（KSA）和伪随机数生成算法（PRGA）。 KSA主要用于设置数据表S的初始排列(初始化数据表S)；PRGA用于选取随机元素元素并修改S表中的排列顺序。 密钥调度算法KSA -伪随机子密钥生成算法PRGA i=0； j=0； while(true） i=（i+1）mod N； j=（j+S[i]) mod N; swap(S[i],S[j]); t=(S[i]+S[j]) mod N; output k=S[t]; 实例 RC4算法的优点是：算法简单、高效，特别适合软件实现， RC4是目前应用最广的商密级序列密码 RC4目前使用在： （1）目前被用于SSL/TLS标准中 （2）WEP(Wired Equivalent Privacy:有线对等保密) IEEE 802.11 (/159/2027659_1.shtml) 第六次作业 KSA主要用于初始化数据表S，即S(i)=i(0≤i≤255)(一个字节)，通过选取一系列的数字，并加载到密钥数据表k(0), k(1),…, k(255)。 步骤：(1)对S表进行线性填充，即S(0)=0,S(1)=1,…, S(255)=255; (2)用种子密钥填充另一个256字符的K表k(0), k(1),…, k(255)。如果密钥的长度小于K的长度，则依次重复填充，直至将K表填满。 (3) j=0; (4) for 0≤i≤255: j=j+S(i)+k(i)(mod 256) 交换S(i)和S(j) KSA算法描述如下： （1）初始化阶段 N=256 for i=0 to N-1 do S[i]=i; j=0; for i=0 to N-1 do j=(j+S[i]+K[i mod l ]) mod N; swap(S[i],S[j]) 伪随机子密钥生成算法PRGA 当KSA算法完成了S的初始化后，PRGA算法就开始工作，为密钥流选取字节，选取时时是从S表中选取随机元素，并修改S以便下一次选取，选取过程取决于索引i和j。 (1) i=0,j=0; (2) i=i+1(mod 256) (3)j=j+S(i)(mod 256) (4)交换S(i)和S(j) (5) t=S(i)+S(j)(mod 256) (6)输出密钥字k=S(t) - 步骤（是选取密钥流的每个字（一个字节））： 1．3级线性反馈移位寄存器在c3=1时可有4种线性反馈函数，设其初始状态为(a1,a2,a3)=(1,0,1)，求各线性反馈函数的输出序列及周期。 2．设n级线性反馈移位寄存器的特征多项式为p(x)，初始状态为(a1,a2,…,an-1,an)=(00…01)，证明输出序列的周期等于p(x)的阶。 3．设n=4, ,初始状态为(a1,a2,a3,a4)=(1,1,0,1)，求此非线性反馈移位寄存器的输出序列及周期。 4．已知流密码的密文串1010110110和相应的明文串0100010001，而且还已知密钥流是使用3级线性反馈移位寄存器产生的，试破译该密码系统。 * 应 用 密 码 学 张仕斌 万武南 张金全 孙宣东编著 西安电子科技大学出版社 二00九年十二月 第4章 序列密码体制 ????? ◇ 序列密码的概念 ????? ◇ 线性反馈移位寄存器 ◇ 序列和周期 ????? ◇ 非线性序列简介 ????? ◇ 常用序列密码 线性移位寄存器序列密码在已知明文攻击下是可破译的这一事实促使人们向非线性领域探索。目前研究