第8-9次课 分组密码体制-des精品.ppt

* 中途相遇攻击 给定一已知明密文对(x1,y1)，可按下述方法攻击。 以密钥k1的所有256个可能的取值对此明文x1加密，并将密文z存储在一个表中； 从所有可能的256个密钥k2中依任意次序选出一个对给定的密文y1解密，并将每次解密结果z?在上述表中查找相匹配的值。一旦找到，则可确定出两个密钥k1和k2； 以此对密钥k1和k2对另一已知明文密文对(x2, y2)中的明文x2进行加密，如果能得出相应的密文y2就可确定k1和k2是所要找的密钥。 破译双重DES的难度为257量级，和单次DES的255差不多。 * 三重DES加密 加密：y=Ek1[Dk2[Ek1 [x]]] 解密：x=Dk1[Ek2[Dk1[y]]] 称其为加密-解密-加密方案，简记为EDE(encrypt-decrypt-encrypt)。 此方案已在ANSI X9.17和ISO 8732标准中采用，并在保密增强邮递(PEM)系统中得到利用。 破译它的穷举密钥搜索量为2112?5×1035量级，而用差分分析破译也要超过1052量级。此方案仍有足够的安全性。 * Feistel模型分析 优点： 1. 设计容易:f 函数不要求可逆,加、解密算法结构相同； 2.强度高：如果f 函数是随机的,则连续若干圈复合形成的函数与随机置换是无法区分的. Li（32位） Ri（32位） Li-1（32位） Ri-1（32位） f * Feistel模型分析 缺点： 每圈加密时输入有一半没有改变; 左右块的加密处理不能并行实施。 Li（32位） Ri（32位） Li-1（32位） Ri-1（32位） f * Feistel模型实现完全性的性能分析 定义2 如果对每个密钥k ，迭代次数为m的加密变换Ek(x)的每个输入比特的变化都可能会影响到每个输出比特的变化,则称 Ek(x)是完全的. 意义: 实现了Shannon提出的扩散性原则. 扩散原则(Diffusion) 让明文中的每一位影响密文中的尽可能多的位，或者说让密文中的每一位都受到明文中的尽可能多位的影响。 因为在检验完全性时,无法对所有的密钥都来检验影响的必然性, 只好退而求其次,来分析这种可能性. * 结论: (1) Feistel模型至少需要3圈才可实现完全性. (2) 如果Feistel模型的 f 函数需要T圈迭代才能实现完全性,则Feistel模型经T+2圈迭代可实现完全性. (3) DES算法需且只需5圈即可实现完全性! * 结论: (1) Feistel模型至少需要3圈才可实现完全性,且当其f 函数具有完全性时,只需3圈即可实现完全性. 证明: 设(x,y)是Feistel模型的输入,则其第1圈至第3圈的输出依次为 如果函数f是完全的, 当不考虑变换结果的抵消时,则无论改变x或y的一个比特, 第3圈的输出的左半和右半的每个比特都可能改变,这说明此时3圈能够实现完全性. ) * 讨论：使用二重DES产生的映射是否等价于单重DES加密? 华北电力大学 * 第三章 分组密码 一、分组密码概述 二、DES 三、分组密码运行模式 四、IDEA 五、AES 六、分组密码的分析 * 二、美国数据加密标准—DES（Data Encryption Standard） * 美国制定数据加密标准简况 目的 通信与计算机相结合是人类步入信息社会的一个阶梯，它始于六十年代末，完成于90年代初。计算机通信网的形成与发展，要求信息作业标准化，安全保密亦不例外。只有标准化，才能真正实现网络的安全，才能推广使用加密手段，以便于训练、生产和降低成本。 * 背景 发明人：美国IBM公司 W. Tuchman 和 C. Meyer 1971-1972年研制成功 基础：1967年美国Horst Feistel提出的理论 产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告， 公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳 了IBM的LUCIFER方案 标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标 准局颁布为数据加密标准（Data Encryption Standard），于 1977年7月15日生效 * 背景 美国国家安全局（NSA, National Security Agency)参与了美国国家标准局制定数据加密标准的过程。