[工学]S10 其他分组密码.ppt

中国人民 解放军 一、分组密码的一般设计原理 设计关键在于：在密钥的控制之下， 从一个足够大而且足够好的代替子集中， 简单而迅速地选取出一个代替。 ? 分组长度足够大 ? 密钥量足够大 ? 由密钥确定代替的算法要足够复杂 两个基本设计方法 ? 扩散 ( Diffusion ) – 小扰动的影响波及到全局 – 密文没有统计特征，明文一位影响 密文的多位，增加密文与明文之间关 系的复杂性 ? 混淆 ( Confusion ) – 强调密钥的作用 – 增加密钥与密文之间关系的复杂性 两个基本设计方法 ? Shannon 提出了代替置换网络的思想， 这是构成现代分组密码的基础。 ? S-P 网络基于密码学的两个基本操作。 – 代替 substitution ( S-box ) – 置换 permutation ( P-box ) ? 提供了对消息的扩散与混淆 。 实现设计的原则 ? 软件实现的要求： 使用子块和简单的运算， 密码运算在子块上进行，要求子块 的长度能自然地适应软件编程，如8、 16、32比特等。 实现设计的原则 ? 硬件实现的要求： 加密和解密的相似性， 加密和解密过程的不同应仅在密钥 使用方式上，以便采用同样的器件来实 现加密和解密，以节省费用和体积。 采用标准的组件结构， 适合在超大规模集成电路中实现。 分组密码的一般设计原理 ? 分组密码的设计原理 – 分组长度、 – 密钥长度、 – 代替算法的设计 二、分组密码的分析方法 ? 根据攻击者所掌握的信息,可将分组密码 的攻击分为以下几类: – 唯密文攻击 – 已知明文攻击 – 选择明文攻击 – 选择密文攻击 分组密码的典型攻击方法 ? 强力攻击办法 ( 可靠 ) ? 差分密码分析 ( 有效 ) 通过分析明文对的差值对密文对的 差值的影响来恢复某些密钥比特。 强力攻击办法 ? 密钥搜索攻击 – 穷举密钥, 2 k, k 密钥长度 三、分组密码的整体结构 ? Feistel 网络 ? SP 网络 Feistel 结构 Feistel 结构 ? 基本思想：用简单算法的乘积来近似表达 大尺寸的替换变换。 ? 乘积密码：以某种方式连续执行两个或多 个密码,以使所得的最后结果从密码编码 的角度比其任意一个组成密码都更强。 ? 交替使用代替变换和置换排列。 ? 混淆和扩散概念的应用。 Feistel 结构 Feistel 结构 ? 分组大小 越大安全性越高，但速度下降， 64 比特较合理。 Feistel 结构 ? 快速软件实现， 包括加密和解密算法。 ? 易于分析， 便于掌握算法的保密强度以及 扩展办法。 S P 网络结构 轮输入首先被由子 密钥控制的可逆函数S 作用，然后再被置换P 作用。 S 和 P 分别被称为 混乱层和扩散层。 S 盒的设计准则 ? S-盒是许多密码算法的唯一非线性部件， 其密码强度决定了整个算法的安全强度。 ? 提供了密码算法所必须的混淆作用。 ? 非线性度、差分均匀性、严格雪崩准 则、可逆性、没有陷门。 P 置换的设计准则 ? P 置换的目的是提供雪崩效应 明文或密钥的小的变动都引起密文的 较大变化。 ? 雪崩效应 – 严格雪崩准则 SAC (Strict avalanche criterion)： – 比特独立准则 BIC (bit independence criterion)： 轮函数的设计准则 ? 安全性 ? 速度 ? 灵活性 轮函数的构造 ? 加法、减法和异或 ? 固定循环/移位 ? 数据依赖循环 ? 乘法 密钥扩展算法的设计 ? 子密钥的统计独立性和灵活性； ? 实现简单， 速度快； ? 不存在简单关系； ? 种子密钥的所有比特对每个子密钥 比特的影响大致相同； ? 从一些子密钥比特获得其他的子密 钥比特在计算上是难的； ? 没有弱密钥。 四、其他分组密码算法 ? 对 DES 进行复合， 强化它的抗攻击能力； ? 开辟新的方法， 即象DES那样加、解密速度快，又具 有抗差分攻击和其他方式攻击的能力。 四、其他分组密码算法 （International Data Encryption Algorithm) ? 1990年瑞士联邦技术学院的来学嘉和 Massey