现代密码学原理与应用课件作者宋秀丽第3章节.ppt

设移位寄存器的当前状态为 则 将 作为移位寄存器的输入，代替第n个位置上的值，而驱使寄存器的所有位向右移，达到新的状态 且输出 。由此可以得到序列 显然，当移位寄存器的反馈函数f是的线性函数时，称移位寄存器为线性反馈移位寄存器LFSR，否则，为非线性反馈移位寄存器NLFSR。 线性移位寄存器的反馈函数f可表示为 其中 或1(i=1,2,…,n)称为反馈系数，其中至少有一个非零，一般总假定 。 的作用就相当于一个开关，用断开和闭合来表示0和1，这样的线性函数共个 【例3-6】有一个6级线性反馈移位寄存器如图3-10所示。其中初始状态为(0,1,1,0,1,0)，输出序列为 0 1 0 1 1 0 1 0 0 1 0… 周期为8。 图3-10 一个6级线性反馈移位寄存器 LFSR的输出序列 满足以下递推关系： 其中i为正整数。 这种递推关系描述了LFSR的数学结构，可用一个GF(2)上的一元n次多项式表示 称此多项式为n位LFSR的特征多项式。 图3-10所示的LFSR的特征多项式为。 n位LFSR产生的周期为2n-1的序列被称为该LFSR的m序列。m序列具有良好的伪随机性，满足Golomb随机性的三个假设。 对于多项式 ，能够被其整除的多项式 的最小的k称为 的周期或阶。可以证明，一个n位LFSR能够产生m序列的充要条件是其特征多项式为阶 为的不可约多项式（即本原多项式）。 对于二元加法流密码，有以下两种典型的攻击方法：插入攻击法和已知明文攻击法。 3.5 二元加法流密码的破译 3.5.1 插入攻击法 攻击方法：在明文流中插入一个位，并截获密文流。下面对此攻击进行分析。假设原始明文、密钥流和密文分别为： 假如能在明文流的已知位（如第一位的后面）中插入一个m，然后用同样的密钥加密后发送，结果将是： 如果攻击者已知插入位和两个密文流，则可以构建如下方程组： 就可以按照顺序 解出明文。 【例3-9】如果原始明文、密钥流为 10011…，11001…， 密文为01010…， 攻击者获取了这个密文，并在明文的第二个位置插入1，得到明文110011，仍用相同的密钥流110010…进行加密，得到密文000001，攻击者也截取了此密文。则攻击者由明文的第二个位置的1和密文可以解出 根据LFSR输出序列的递推关系 如果以输出流 直接作为密钥流，即 在此方程中，将反馈系数 看做未知数，如果能够用已知的密钥流 构建一个关于 的线性方程组，则有可能解出n个反馈系数，从而得到反馈函数。要使这个线性方程组有唯一解，则需要如下n个方程构成方程组： 3.5.2 已知明文攻击法 = 【例3-10】已知一个3位的LFSR，明文串为01101001100001及其相应的密文串11001110100100，则计算出相应的密钥串为10100111000101。由密钥串中前6个比特可建立如下方程： 解出 。 其特征多项式为 如果移位寄存器的反馈函数 为非线性函数，则该移位寄存器构成非线性移位寄存器NLFSR。 【例3-11】设 ，初始状态为(1,0,1,0) 则其输出序列为101011010110101101011…。 3.6 非线性反馈移位寄存器 NLFSR的输出序列为非线性周期或准周期序列，n位NLFSR的输出序列的周期最大可达2n，称周期达到最大值的非线性移位寄存器序列为m序 列。 一般的NLFSR的输出序列还无法预测，随着初态的不同，输出序列会呈现很大的差异性。因此，非线性移位寄存器还处于研究之中，还没有大量地作为密钥流生成器使用。 在现实中，为了弥补线性移位寄存器序列密码的可破译性，通常将线性移位寄存器序列进行非线性化，增强密钥的强度。常采用的方法是由一个或多个线性移位寄存器和一个非线性组合函数f构成一个密钥流生成器。 3.7 流密码RC4 为了实现输出元素的随机性，RC4包含了两个算法：密钥调度算法（Key-Scheduling Algorithm, 简称KSA）和伪随机生成算法（Pseudo Random-Ge