编码理论(第二版)第11章分组密码.ppt

第11章 分组密码 11.1分组密码的基本原理 　　设n是一个分组密码的分组长度，k是密钥，x为明文，即 　　如果n＜m，则分组密码对明文加密后有数据扩展；如果n＞m，则分组密码对明文加密后有数据压缩；如果n＝m，则分组密码对明文加密后既无数据扩展也无数据压缩。通常考虑的分组密码都是这种既无数据扩展也无数据压缩的分组密码。　　对于一个分组长度为n，密钥长度为t的分组密码，通常假定每个明文分组和密文分组都是GF(2n)中的向量，密钥是GF(2t)中的向量。　　设S是一个有限集合，φ是从S到S的一个映射。如果对任意u，v∈S，当u≠v时，φ(u)≠φ(v)，则称φ为S上的一个置换(Permutation)。 　　所谓扩散就是让明文中的每一位影响密文中的许多位，或者说让密文中的每一位受明文中的许多位的影响。这样可以隐蔽明文的统计特性。当然，理想的情况是让明文中的每一位影响密文中的所有位，或者说让密文中的每一位受明文中所有位的影响。　　所谓混淆就是将密文与密钥之间的统计关系变得尽可能复杂，使得对手即使获取了关于密文的一些统计特性，也无法推测密钥。使用复杂的非线性代替变换可以达到比较好的混淆效果，而简单的线性代替变换得到的混淆效果则不理想。 　11.2　数据加密标准DES算法 11.2.1　DES的发展　　1972年，美国国家标准局(NBS)制定了一个保护计算机和通信开发的计划，准备通过开发一个标准的密码算法来规范密码技术应用的混乱局面。要求这个算法能够被测试和验证，不同设备间可以互相操作，且实现成本低。1973年5月15日，NBS在《联邦记事》(FederalRegister)上公布了以下征集保护传输、存储系统中计算机数据密码算法的请求及有关技术、经济和兼容性要求： 　　(1)算法具有较高的安全性，安全性仅依赖于密钥，不依赖于算法；　　(2)算法完全确定，易于理解；　　(3)算法对任何用户没有区别，适用于各种用途；　　(4)实现算法的电子器件必须很经济；　　(5)算法必须能够验证、出口。 　 　　(1)算法具有较高的安全性，安全性仅依赖于密钥，不依赖于算法；　　(2)算法完全确定，易于理解；　　(3)算法对任何用户没有区别，适用于各种用途；　　(4)实现算法的电子器件必须很经济；　　(5)算法必须能够验证、出口。 11.2.2　DES结构及其算法　　1.DES结构　　DES算法的加、解密过程，以及密钥加工过程都是公开的，它的安全性主要依赖于密钥的复杂性。DES有明文分组为64比特，64比特密钥中有8比特是校验之用，有效密钥56比特，输出密文64比特，具有16轮迭代的分组对称密码算法。DES加密由初始IP置换，16轮迭代，初始IP-1逆置换组成，其加密过程如图11－1所示。 图11－1　DES的加密算法 DES16轮迭代中的f函数为 图11-2 DES的f函数 　　2.DES算法　　1）初始置换和逆置换　　明文m首先进行了1次初始置换IP，然后进行16轮迭代变换，最后进行逆置换。IP由图11－3给出。其过程为：第58位到位置1，第50位到位置2，……，第7位到位置64。IP的逆置换IP－1由图11－4给出。可以方便地验证，按照IP－1可以将它们的位置复原。 图11-3　初始置换 图11-4　逆初始置换(IP-1) 　　 (2)加密算法　　通过初始置换IP之后，64比特数组分为二组，每组32bits，记为L0，R0，然后进行16次迭代运算，再进行逆初始置换IP－1，就完成了整个加密运算。　　设明文为m，m0=IP(m) =L0R0,L0表示m0的左边32比特，R0表示m0的右边32比特,记第i轮变换为Ti，轮密钥为ki,轮输出xi,i=1，2，…，16，左右交换变换为，则DES输出的密文c 　　3)解密算法　　DES解密算法与加密算法完全一样，所不同的就是解密子密钥与加密子密钥的使用顺序相反，即解密子密钥为k16k15…k2k1。则解密过程为 所以,TρT=ρ。于是： 　　 (4)E置换和P置换 　在计算DES中f函数时,先进行E置换,最后进行P置换。E运算是扩位运算，如图11-5所示,将32比特扩展为48比特，用方阵形式可以容易地看出其扩位方法, 由图11-5的右侧可见，E运算也可称为加边运算。 图11-5　E扩展映射 图11-6　P置换 　　5)S盒运算　　S盒表如表11－1所示,S盒运算由8个S盒函数构成，即 　　每一个S盒都是6比特的输入，4比特的输出。即Si(h1h2h3h4h5h6)的值就是对应表11-1的Si中h1h6行，h2h3h4h5列处的数值，记为：　　Si(h1h2h3h4h5h6)=Si（（h1h6）2，（h