密码学培训课件.pptVIP

2.3.6 安全Hash算法SHA-1(续) SHA-1消息处理过程： (1) 消息填充。填充使得消息的比特长度为512比特的某个倍数减64，即使原始消息已满足要求，仍要填充。这样填充的比特数在1到512。填充方式是第一位为1其他位是0。最后64比特位用来填充消息被填充前的长度。这形成了长度为512比特的一系列分组Y0， Y1，… ，YL-1。 需要产生Hash值的消息 100…0 消息长度K 填充长度1-512比特 K比特 L×512比特 图 2.21 消息填充 2.3.3 AES算法描述(续) 图 2.16 AES的结构 2.3.3 AES算法描述(续) 每一轮由四个基本步骤称为层(layers)组成： (1)字节转换(The Byte Sub Transformation)： 这是一个非线性层主要用于防止差分和线性分析攻击。 (2) 移动行变换(The Shift Row Transformation)：这是一个线性组合，可以导致多轮之间各个比特位间的扩散。 (3) 混合列变换(The Mix Column Transformation)： 这一层的目的与移动行变换相同。 (4) 轮密钥加密变换(Add Round Key)：轮密钥与上一层的结果进行异或操作。 2.3.3 AES算法描述(续) 一轮的过程 Byte Sub (BS) Shift Row (SR) Mix Column (MC) Add Round Key (ARK) Rijndael加密 (1) 使用第0轮密钥执行ARK操作。 (2) 依次使用第1轮到9轮密钥按顺序执行BS， SR， MC，和ARK操作。 (3) 使用第10轮密钥按顺序执行BS， SR，和ARK操作。 注意最后一轮忽略了混合列变换(MC)层。 2.3.3 AES算法描述(续) 层 2.3.3 AES算法描述(续) (1) 字节转换 2.3.3 AES算法描述(续) 2.3.3 AES算法描述(续) (2) 移动行变换 2.3.3 AES算法描述(续) (3) 混合列变换 2.3.3 AES算法描述(续) (4) 轮密钥加密变换 2.3.3 AES算法描述(续) 轮密钥产生方法 2.3.3 AES算法描述(续) 解密 字节转换、移动行变换、混合列变换、轮密钥加密变换都存在相应的逆变换： (1)字节转换的逆变换可以通过查另一个表来完成，我们称之为逆字节转换(IBS)。 (2) 移动行变换的逆变换可以通过字节右移来实现，我们称之为逆移动行变换(ISR) 。 (3) 逆混合列变换 (IMC) 通过乘上另一个矩阵实现。 (4) 轮密钥加密变换实际上是自身的逆。 2.3.3 AES算法描述(续) S-盒原理 2.3.3 AES算法描述(续) 2.3.3 AES算法描述(续) 解密变换 2.3.3 AES算法描述(续) Rijndael 解密 (1) 使用第10轮密钥执行ARK操作。 (2) 依次使用第9轮到1轮密钥按顺序执行IBS，ISR， IMC，和IARK操作。 (3) 使用第0轮密钥按顺序执行IBS， ISR，和ARK操作。 # 为了保持结构的一致性，在最后一轮加密中忽略了 MC操作。 2.3.4 AES的安全与执行 设计思考 (1) 由于加密和解密过程不一致，相比DES(全1密钥，加密两次恢复为本身)，相信AES不存在任何弱密钥。 (2) 不同于Feistel系统，AES对输入所有比特的处理相同，这使得输入的扩展速度很快。实践表明两轮计算就能得到充分扩展，也就是说，所有的128比特输出完全依赖于所有128比特输入。 (3) AES的S-盒的建立有明晰而简单的代数意义，这样可以避免任何建立在算法上的门陷，较好避免存在于DES的S-盒上的神秘色彩。AES的S-盒具有良好的非线性特性，它可以很好地用来阻止差分和线性分析。 2.3.4 AES的安全与执行(续) (4) 移动行这一层可以很好地阻止新发现的截断攻击和平方攻击。 (5) 混合列可以达到字节扩散的目的。这步1个输入字节的改变导致所有4个输出字节改变。 (6) 轮密钥产生方法使用了密钥位的非线性组合，因为它使用了S-盒，这种非线性组合用来对付当解密者知道了部分密钥并以此推测余下部分的攻击。循环常量(10)(i-4)/4是用来消除在循环过程中生成每个循环差别的对称性。 2.3.4 AES的安全与执行(续) (7) 轮次之所以选择10，是因为在6轮情况下存在比强力搜索攻击更好的算法。到2004年，