第11讲分组密码与DES1.pptVIP

BESTI * 密 码 学 第11讲 郑秀林 ZXL@Besti.edu.cn 2006年11月13日 第4章　§4.1,§4.2,§4.3 1、分组密码概念 2、分组密码的基本设计原则 3、数据加密标准DES 本讲内容 　　比较分组密码与序列密码，其主要区别是在加密方式上： 序列密码： 1、分组密码概念 k KG k=k0k1k2 … 分组密码： Ek k 　 上述n与n’满足n’?n,分别称为明文分组长度与密文分组长度。大多数实用分组密码的明文信号取自于F2、且满足：n=n’（即明文没有扩展）。 1、分组密码概念 对一个分组密码体制，设K为密钥空间，n为分组长度，那么加密变换空间为： E={Ek|Ek: 是一一映射,k?K} 若将 中点 与其所对应的二进制数 不加区别，则每个Ek(k?K)可等同一个2n-置换。 1、分组密码概念 线性部分 E 　　记 是所有2n-置换构成的2n次对称群，那么一个好的分组密码的加密变换空间E在　 中的位置图示如下： 1、分组密码概念 2、分组密码的基本设计原则 　针对安全性的一般设计原则： 分组长度n要足够大，以防止对明文的穷搜攻击奏效。 密钥空间K要足够大，以防止对密钥的穷搜攻击奏效。 混乱(混淆)：要使密文和明文以及密钥之间的依赖关系相当复杂，以至于这种依赖性对密码分析者来说是无法利用的。这既要求密文依赖于明文和密钥的函数关系是高度非线性的、而且各处的密码强度还是很高的。 扩散：要使密钥的每一位数字影响密文的一半以上数字以防止对密钥进行逐段破译，而且明文的每一位数字也应影响密文的一半以上数字以便隐蔽明文数字的统计特性。 安全强度的稳定性：部分密钥被破译后，分组密码仍有一定的抗攻击能力。 针对实现的设计原则 要考虑用软件还是用硬件来实现分组密码。硬件实现的优点是可获得高速率和形成专用器件，而软件实现的优点是灵活性强（便于移植）、代价低。 2、分组密码的基本设计原则 软件实现的设计原则： 使用子块和简单的运算。要求子块的长度能自然地适应软件编程，比如8、16或32比特等；尽量避免按比特操作（如置换难于用软件实现）。子块上所进行的密码运算应该是一些易于软件实现的运算，最好是用一些标准处理器所具有的那些基本指令，比如加法、乘法和移位等。 2、分组密码的基本设计原则 硬件实现的设计原则： ? 加密和解密应具有相似性（最好只是在密钥的使用方式上存在不同，其余皆同）以便用同样的器件来实现。 ? 尽量使用规则结构，且应符合国际的统一标准，以便适合于用超大规模集成电路来实现。 　　值得注意的是：分组密码常常以乘积密码的方式来设计,即由合理选择的若干子密码复合构成。乘积密码可以获得良好的混乱性和扩散性。 2、分组密码的基本设计原则 3.1 DES的产生背景 　　　DES---Data Encryption Standard 3、数据加密标准DES 数据加密标准的好处： 　? 降低成本 　? 方便通信 　? 削除密码被破的害怕心理 3.1 DES的产生背景（续） 3、数据加密标准DES NBS（National Bureau of Standards）: 　　1973. 5.15 公开征集密码算法。 1974. 8.27 再次征集密码算法并提出4点具体要求。不久，IBM公司向NBS递交了一个算法。NBS请NSA对该算法进行评价和严格的审查。 1975. 3.17 在联邦记事中公布了IBM提交的算法。 1976.11.23 将IBM提交的算法正式命名为DES。 1977. 1.15 将DES以“标准出版物(46)”的形式公开发表。 1977. 7.15 开始正式应用DES。 1976年8、9月间，NBS和NSA组织两次专题研讨会分析和论证DES，结果认定DES可作为数据加密标准，并估计可用10～15年。 DES问世后的影响 DES问世以来一直受到密码学界的高度重视,人们大量的分析和研究她,在20多年的使用中没有发现重大漏洞；只是其使用56bit的密钥长度和64bit的明文分组长度显得有几分脆弱,尤其是人们继发现差分攻击方法之后又发现了所谓线性攻击方法，这致使DES的上述弱点凸显出来。 1997年，NBS技术研究所向全球发起征集保护敏感联邦信息的对称加密算法（称为高级加密标准）。 1998收到15个候选算法，并请密码研究界帮助对每个算法的安全性和有效性进行分析。 1999年8月公布了第一轮评估结果，并选定了入围第二轮评估的5个算法: MARS, RC6, Rijndael, SERPENT, Twofish 2