第三讲分组密码2.pptVIP

密码学 第三讲：分组密码 上节回顾 密码学基本模型 密码算法的分类 DES算法 基本思想 穷举破解 DES 加密过程 DES(m)=IP-1 ? T16 ? T15 ?..... T2 ? T1 ? IP(m) 初始置换， IP 16轮迭代，Ti , i=1,2,…16 末置换，IP-1 DES算法概要 初始换位（IP） 扩展置换(E) S－盒置换 P-盒置换 子密钥的生成 末置换 DES的算法模式 DES的安全性和速度 DES的变形 三重DES 简化的DES 先进分组密码的特点 1.3.1 AES产生背景 随着密码破译进程加速,DES的安全应用前景受到挑战,需要设计一个非保密、公开披露的全球免费使用的新的分组密码算法取代DES，成为新一代数据加密标准，取名高级数据加密标准(Advanced Encryption Standards,AES) 1977.4.15美国国家标准技术研究所（NIST）发起征集AES算法的活动，并成立了AES工作组。 1997.9.12公布了征集AES算法的通告。1998.6.15NIST共收到21个提交的算法.1998.8.10NIST召开第一次会议,公布了15个候选算法.1999.3.22从15个候选算法种选择了5个,作为进一步讨论的对象. 2000.10.2正式公布由比利时Joan Daemen 和Vicent Rijmen设计的算法Rijndael成为AES算法.并发表了长116页的报告,总结了采用的理由： S1 S1 S1 S1 S1 S1 S1 S1 x8(8) x7(8) x6(8) x5(8) x4(8) x3(8) x2(8) x1(8) z’8(8) z’7(8) z’6(8) z’5(8) z’4(8) z’3(8) z’2(8) z’1(8) z8 z7 z6 z5 z4 z3 z2 z1 y8 y7 y6 y5 y4 y3 y2 y1 Ri(64) 1轮SPN F函数用一个64bit的子密钥变换64 比特的明文为64bit的密文，简单表示为：Y(64)=F(x(64),ki(64))=P(s(x(64) ki(64))；P是一个基于字节的线性变换，s是8个并行的8x8 S-盒代换运算。 FL和FL-1函数 每6轮插入FL/FL-1函数层,提供轮间的不规则性,作用是击退未知的攻击.同时该函数层的插入并未改变Fiestel密码的加密相似的特点. FL/FL-1函数仅由逻辑运算(如:与 或 异或 轮转)组成.如图.故软硬件实现很快. X(64) XL(32) XR(32) kliL(32) kliR(32) yR(32) yL(32) X(64) y(64) yR(32) yL(32) y(64) kliR(32) kliL(32) XL(32) XR(32) X(64) 函数FL和FL-1 (3) P函数 P函数是F函数的一部分，是基于字节的线性变换 为了计算的有效性，仅用字节异或，为抗击差分和线性分析，其分支数必须是最优的，在所有满足条件的线性变换，可示为： z8 z7 … z1 z’8 z’7 … z’1 z8 z7 … z1 =P P=10111100111000111011011111101101 (4)S-盒 Camellia总共用了4个不同的8x8 双射S-盒,类似于AES算法,它们都是GF(28)上x-1的仿射变换.4个S-盒稍微不同.目的是改进密码的抗截断差分分析能力. 4个S-盒可表示如下: s1:x(8)→h(g(f(c5 x(8))) 6E, s2:x(8) →s1(x(8))1, s3:x(8) →s1(x(8))1, s4:x(8) →s1(x(8))1. f函数是一个字节变换,若记f:a1a2 … a8→b1b2…b8 则 b1=a6 a2 , b2=a7 a1 , b3=a8 a5 a3 , b4=a8 a3 , b5=a7 a4 , b6=a5 a2 , b7=a8 a1 , b8=a6 a4 q函数也是字节变换, 若记g:a1a2 … a8→b1b2…b8 则 (b8+b7α+b6α2+b5α3)+ (b4+b3α+b2α2+b1α3)= 1/((a8+a7α+a6α2+a5α3)+ (a4+a3α+a2α2+a1α3)β) 其中β是GF(28)上满足β8+β6+β5+β3+1=0 m 元素 α=β238=β6+β5+β3+β2 是 GF(24)中满足α4+α+1=0