中北大学 马巧梅《密码学》课件第3章 分组密码体制.pptVIP

第3章 分组密码体制 3.1 分组密码概述 3.2 数据加密标准(DES) 3.3 差分密码分析与线性密码分析 3.4 分组密码的运行模式 3.6 AES算法——Rijndael 3.1分组密码概述 分组密码可用于： 构造伪随机数生成器 流密码 消息认证码和杂凑函数 消息认证技术、数据完整机制、实体认证协议以及单钥数字签字体制的核心部分 对分组密码的要求： 安全性 运行速度 存储量 实现的平台 运行模式 分组密码： 将明文消息编码表示后的数字序列x0,x1,…,xi,…划分成长为n的组x=(x0,x1,…,xn-1)； 各组（长为n的矢量）分别在密钥k=(k0,k1,…,kt-1)控制下变换成等长的输出数字序列y=(y0,y1,…,ym-1)（长为m的矢量）； 其加密函数E：Vn×K→Vm，Vn和Vm分别是n维和m维矢量空间，K为密钥空间，如图3.1所示。 图3.1 分组密码框图 它与流密码不同之处在于输出的每一位数字不是只与相应时刻输入的明文数字有关，而是与一组长为n的明文数字有关。 这种密码实质上是字长为n的数字序列的代换密码。 通常取m=n。 若mn，则为有数据扩展的分组密码； 若mn，则为有数据压缩的分组密码。 在二元情况下，x和y均为二元数字序列，它们的每个分量xi，yi∈GF(2)。 设计的算法应满足下述要求： ① 分组长度n要足够大。 使分组代换字母表中的元素个数2n足够大，防止明文穷举攻击法奏效。 DES、IDEA、FEAL和LOKI等分组密码都采用n=64，在生日攻击下用232组密文成功概率为1/2，同时要求232×64b=215MB存贮，故采用穷举攻击是不现实的。 ② 密钥量要足够大（即置换子集中的元素足够多）。 尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。但密钥又不能过长，以便于密钥的管理。 DES采用56比特密钥，IDEA采用128比特密钥，据估计，在今后30～40年内采用80 比特密钥是足够安全的。 ③ 由密钥确定置换的算法要足够复杂。 充分实现明文与密钥的扩散和混淆，没有简单的关系可循，能抗击各种已知的攻击，如差分攻击和线性攻击；有高的非线性阶数，实现复杂的密码变换；使对手破译时除了用穷举法外，无其它捷径可循。 ④ 加密和解密运算简单，易于软件和硬件高速实现。 如将分组n化分为子段，每段长为8、16或者32。在以软件实现时，应选用简单的运算，使作用于子段上的密码运算易于以标准处理器的基本运算，如加、乘、移位等实现，避免用以软件难于实现的逐比特置换。为了便于硬件实现，加密和解密过程之间的差别应仅在于由秘密密钥所生成的密钥表不同而已。这样，加密和解密就可用同一器件实现。设计的算法采用规则的模块结构，如多轮迭代等，以便于软件和VLSI快速实现。此外，差错传播和数据扩展要尽可能地小。 ⑤ 数据扩展。 一般无数据扩展，在采用同态置换和随机化加密技术时可引入数据扩展。 ⑥ 差错传播尽可能地小。 3.1.1 代换 如果明文和密文的分组长都为n比特，则明文的每一个分组都有2n个可能的取值。为使加密运算可逆（使解密运算可行），明文的每一个分组都应产生惟一的一个密文分组，这样的变换是可逆的，称明文分组到密文分组的可逆变换为代换。不同可逆变换的个数有2n!个。 实际使用的代换个数小于2n!。 图3.2表示n=4的代换密码的一般结构，4比特输入产生16个可能输入状态中的一个，由代换结构将这一状态映射为16个可能输出状态中的一个，每一输出状态由4个密文比特表示。 加密映射和解密映射可由代换表来定义，如表3.1所示。这种定义法是分组密码最常用的形式，能用于定义明文和密文之间的任何可逆映射。 图3.2 代换结构 但这种代换结构在实用中还有一些问题需考虑。如果分组长度太小，如n=4，系统则等价于古典的代换密码，容易通过对明文的统计分析而被攻破。 这个弱点不是代换结构固有的，只是因为分组长度太小。如果分组长度n足够大，而且从明文到密文可有任意可逆的代换，那么明文的统计特性将被隐藏而使以上的攻击不能奏效。 然而，从实现的角度来看，分组长度很大的可逆代换结构是不实际的。 以表3.1为例，该表定义了n=4时从明文到密文的一个可逆映射，其中第2列是每个明文分组对应的密文分组的值，可用来定义这个可逆映射。因此从本质上