-第八讲-数据加密标准（DE.ppt

一轮Feistel系统(续) * bjhk 2 差分分析 思路：通过适当选择明文得到密文比较它们的差异以推导出使用的密钥。我们从前面的操作可以看出密钥与E(Ri-1)进行异或得到结果，因此，我们可以通过再次异或移除由密钥引入的部分随机性。 * bjhk 2.1 针对三轮的差分分析 * bjhk 2.1 针对三轮的差分分析(续) * bjhk 2.1 针对三轮的差分分析(续) * bjhk 2.1 针对三轮的差分分析(续) * bjhk 2.2 针对四轮的差分分析 四轮差分分析是建立在三轮基础之上的，但是要扩展到四轮还需要使用一些统计方面的知识。这里我们关注S-盒的一些弱点。 * bjhk 2.2 针对四轮的差分分析 (续) * bjhk 2.2 针对四轮的差分分析 (续) * bjhk 2.2 针对四轮的差分分析 (续) * bjhk 2.3 关于差分分析 (1) 我们注意到前面的例子表明差分攻击至少和强力攻击有相同的速度。然而，对于更优异的系统如DES ，在一定的轮数下，差分攻击的效率将明显快于搜索全部密钥空间的强力攻击。 (2) Mitsuru Matsui 发明了另一种名为线性攻击的分析方法。这一攻击使用线性估计来描述分组密码的行为。线性分析可以看作是一种效率改进的新型差分分析 (理论上需要大约 243 明-密文对) 。但是并没有证据显示其可以有效的在实际中攻击DES。 * bjhk 3 DES DES的密钥通常写为64比特，但每8比特有一位奇偶效验位，可以忽略，因此，实际只有56比特。算法只使用不超过64位的标准算术操作和逻辑操作，所以在70年代仅使用硬件就可以容易地实现算法。算法的重复特性非常适合专用芯片执行。起初采用软件执行的DES显得笨拙，但目前的软件执行效果也相当不错。 * bjhk 3.1 DES 算法描述 * bjhk 3.1 DES 算法描述(续) 明文 IP L0 R0 f K1 L1 R1 ? ? L16 R16 密文 IP-1 * bjhk 3.2 初始计算 * bjhk 3.3 函数 f(Ri-1， Ki) Ri-1 扩张 E(Ri-1) Ki B1 B2 B3 B4 B5 B6 B7 B8 S1 S2 S3 S4 S5 S6 S7 S8 C1 C2 C3 C4 C5 C6 C7 C8 计算 f(Ri-1, Ki) * bjhk 3.3 函数 f(Ri-1，Ki) (续) * bjhk 3.3 函数 f(Ri-1， Ki) (续) * bjhk * bjhk * bjhk * bjhk 3.3 函数 f(Ri-1， Ki) (续) * bjhk 3.4 密钥变换 * bjhk 3.4 密钥变换 (续) * bjhk 3.5 DES的安全 DES存在关于密钥长度、叠代次数、S-盒设计准则的问题。特别是S-盒以常量形式给出，但并未明确说明这些常量为何以这种形式出现。虽然IBM声称这些是经过17年大量密码分析得出的结果，但是人们还是十分担心NSA的介入可能为算法安装陷门以利于其解密。 * bjhk 3.5 DES的安全 (续) 在90年代初期，IBM 终于公开了S-盒设计的基本原理。 (1) 每个S-盒为6比特输入和4比特输出。这是1974年芯片处理数据的最大能力。 (2) S-盒的输出不应该和输入接近线性的函数关系。 (3) S-盒的每一行都应该包括全部0到15这16个数字。 (4) 如果输入每个S-盒的两个数据有一位不相同，则输出必须有至少两位不同。 * bjhk 3.5 DES的安全 (续) (5) 如果两个S-盒输入的前两位不同但最后两位相同，则输出必不相等。 (6) 对于每个给定的异或XOR值存在32种可能的输入对。这些输入对可以得到相应异或XOR 输出。所有这些输出不得有8个的值完全相同。 这一原则显然是用来阻止差分分析的。 (7) 这一原则与(6)类似，只是这里考虑3个S-盒的情况。 (详细论述，参见 “D. Coppersmith, The data encryption standard and its strength against attacks) * bjhk 4 DES 不是一个群 选择两个密K1和K2加密明文P得到EK2(EK1(P))。这样的做法是否可以增加安全性？如果攻击者有足够的存储空间，这样做提供的安全保障有限。进一步，如果两次加密等于单次加密，密码的安全性将比我们想象的还要弱。例如，这一条件要是对DES成立，那么穷尽搜索256的密钥空间将被搜索大约228的密钥空间所替代。 * bjhk * bjhk hjkh l