习题第三讲定理21课件.pptVIP

精品文档 3.3 函数 f(Ri-1， Ki) (续) 精品文档 3.4 密钥变换 精品文档 3.4 密钥变换 (续) 精品文档 3.5 DES的安全 DES存在关于密钥长度、叠代次数、S-盒设计准则的问题。特别是S-盒以常量形式给出，但并未明确说明这些常量为何以这种形式出现。虽然IBM声称这些是经过17年大量密码分析得出的结果，但是人们还是十分担心NSA的介入可能为算法安装陷门以利于其解密。 精品文档 3.5 DES的安全 (续) 在90年代初期，IBM 终于公开了S-盒设计的基本原理。 (1) 每个S-盒为6比特输入和4比特输出。这是1974年芯片处理数据的最大能力。 (2) S-盒的输出不应该和输入接近线性的函数关系。 (3) S-盒的每一行都应该包括全部0到15这16个数字。 (4) 如果输入每个S-盒的两个数据有一位不相同，则输出必须有至少两位不同。 精品文档 3.5 DES的安全 (续) (5) 如果两个S-盒输入的前两位不同但最后两位相同，则输出必不相等。 (6) 对于每个给定的异或XOR值存在32种可能的输入对。这些输入对可以得到相应异或XOR 输出。所有这些输出不得有8个的值完全相同。 这一原则显然是用来阻止差分分析的。 (7) 这一原则与(6)类似，只是这里考虑3个S-盒的情况。 (详细论述，参见 D. Coppersmith, The data encryption standard and its strength against attacks) 精品文档 4 DES 不是一个群 选择两个密钥K1和K2加密明文P得到EK2(EK1(P))。这样的做法是否可以增加安全性？如果攻击者有足够的存储空间，这样做提供的安全保障有限。进一步，如果两次加密等于单次加密，密码的安全性将比我们想象的还要弱。例如，这一条件要是对DES成立，那么穷尽搜索256的密钥空间将被搜索大约228的密钥空间所替代。 精品文档 精品文档 精品文档 5 破译DES 5.1 DES已显老迈 (1) 1977年，Diffie和Hellman 估计如果花费2千万美元制造一台机器大约仅需一天就可以破译DES。 (2) 1993年，Wiener利用开关技术设计了更加有效的破译DES设备。 (3) 到1996年逐渐形成了三种破译DES的基本方法。一种方法是利用分布计算。一种是设计专用攻击芯片。折中的方法是使用可编程逻辑门阵列。 精品文档 5.1 DES已显老迈(续) (4) 分布计算方法破译DES变得十分流行，特别是在Internet兴起和壮大的情况下。1997年，RSA数据安全公司开展了破译DES密钥和其加密消息的竞赛。仅仅5个月，Rocke Verser 就在搜索了25% 的密钥空间后发现密钥。接下来，RSA 数据安全公司又开展了第二次竞赛。结果用时39天搜索了密钥空间的85%发现了对应密钥。 精品文档 5.1 DES已显老迈(续) (5) 1998年，电子领域基金会(EFF)展开了一项名为DES破译的计划。计划的基本思想是：一般使用的计算机对于完成破译DES的任务来说不是最优的。计划使用的结构是硬件用来判定排除大量不可能的密钥并返回那些可能的密钥。软件则用来处理每一个可能的密钥，判定这些密钥是否确实为密码系统使用的密钥。结果是计划使用1500个芯片平均在大约4.5天可以完成对DES 的破译。 精品文档 5.1 DES已显老迈(续) (6) 有传言说根据预先处理的不同，NSA可以在3到5分钟成功破译DES。而在机器方面的开销仅有5万美元。 #上述结果说明对于90年代晚期的计算技术而言，加密系统使用56比特的密钥显得过短，不能提供强有利的安全保护。 精品文档 习题第三讲定理21 精品文档 习题第三讲定理21(续) 精品文档 第五讲 数据加密标准(DES) 精品文档 1974年，IBM 向美国国家标准局(NBS)提交了一个名为 LUCIFER的加密算法。NBS将其转给了国家安全局 (NSA) 进行审定，之后就得到了一个名为数据加密标准DES的算法。1977年，NBS 正式将其用于无限制级的政府通讯。其间NBS和NSA可能存在某些误会。NSA原本打算DES仅用于硬件执行，但是NBS却公布了过多的技术细节以致于人们可以根据其写出DES加密软件。如果NSA预料到后续的情况发展，他们或许不会同意公布DES。 精品文档 从1975年起，围绕DES的争论就没有停止。许多学者担心NSA无形的手对算法产生的干预。如： (1) NSA可能修改