计算机安全与保密_现代对称分组密码.ppt

电子密码本模式: 特点 简单和有效； 可并行实现； 相同明文?相同密文，同样信息多次出现造成泄漏，不能隐藏明文的模式信息； 对明文的主动攻击是可能的，信息块可重放； 误差传递：密文块损坏?仅对应明文块损坏； 适合于传输短信息。 分组链接模式: CBC特点： 不能并行实现； 相同明文?不同密文，需共同初始向量IV，能隐藏明文的模式信息； 不易对明文主动攻击； 密文块损坏?两明文块损坏； 安全性好于ECB； 适合长报文传输，可进行用户鉴别，是大多系统的标准，如SSL、IPSec。 密码反馈模式CFB: CFB特点： 分组密码!流密码； 隐藏了明文模式； 需要共同的移位寄存器初始值IV； 误差传递：一个单元损坏影响多个单元。 输出反馈模式OFB OFB特点 分组密码!流密码； 隐藏了明文模式； 需要共同的移位寄存器初始值IV； 误差传递：一个单元损坏只影响对应单元； 对明文的主动攻击是可能的,信息块可被替换、重放； 安全性较CFB差。 计算机安全与保密 现代对称分组密码 回顾上一讲的内容 乘积密码 乘积密码 1、扩大密码体制的密钥空间 2、挫败语言的统计分析 分组密码 分组密码 分组密码的一般设计原理 为了有效地抵抗攻击者对密码体制的统计分析，香农提出了混乱原则和扩散原则的基本设计思想。 混乱：将明文与密钥以及密文之间的统计关系变得尽可能复杂，使破译者无法理出相互间的关系。常用非线性替代变换达到混乱效果 扩散：让明文中的每一位影响密文中的许多位。常用置换达到扩散效果。 非线性替代和置换是分组密码的两个基本组件，采用替代和置换交替使用的方式构造密码体制。 分组密码的整体结构 在1949年，香农提出了代替置换结构(SP结构）的思想。 分组密码的整体结构 Feistel可以利用任何轮函数迭代构造分组密码 DES的产生 ＤＥＳ描述 DES利用56比特串长度（不包括8比特的奇偶校验位）的密钥K来加密长度为64位的明文，得到长度为64位的密文。 ＤＥＳ描述 明文(64位)输入 初始密钥(56位) 初始置换IP 迭代16次 迭代16次产生16个子密钥 初始逆置换IP-1 密文(64位)输出 初始置换:对明文中的各位进行换位,以打乱明文原有的排列次序. 输出m’=m1’m2’? m64’=m58m50? m7 迭代过程:利用Feistel密码结构完成迭代过程.其加密公式为 Li=Ri-1, Ri=Li-1 f(Ri-1,ki), 1· i·16 注意:在最后一轮中左右部分没有交换 F(R,K)函数 迭代函数的三个子过程 扩展置换E:将32位扩展到48位 压缩替换(S-Box):通过8个S-Box,将48位输入变换为32位输出. 每个S盒都是4￡ 16的矩阵.若输入为a1a2a3a4a5a6,将a1a6作为S盒的行号,a2a3a4a5作为列号 如对于S1盒,如果输入为101011,则行号112=3,列号01012=5,因此输出为9=10012 P置换:将变换后得到的32位结果重新排列,其即为迭代函数的输出. 子密钥的产生: PC-1置换: 将56位密钥重新编排,将前28位作为C,后28位作为D; 循环左移: Ci=LSi(Ci-1),Di=LSi(Di-1),1· i· 16 其中LS_i表示循环左移1位或两位: 当i=1,2,9,16时,左移1位;其余左移2位. 置换选择: 删除C的第9,18,22,25位以及D的第7,9,15,26比特位,并将余下的48位重新排列后作为子密钥输出. DES的解密: DES的解密算法和加密算法完全相同，只是各子密钥的使用顺序相反，即为k16,k15,k14,…,k2,k1。 DES的安全性: 最可靠的攻击办法。强力攻击。 最有效的攻击。差分密码分析，通过分析明文对的差值对密文对的差值的影响来恢复某些密钥比特。 线性密码分析。本质上是一种已知明文攻击方法，通过寻找一个给定密码算法的有效的线性近似表达式来破译密码系统。 插值攻击方法、密钥相关攻击 双重ＤＥＳ 3重DES 在3重DES中,如果k1=k2=k3,则其就是单重DES.较好的选取方式是k1=k3,其攻击复杂度从O(256)提高到O(2112). DES的工作模式 电子密码本ECB (electronic codebookmode)； 密码分组链接CBC (cipher blockchaining)； 密码反馈CFB (cipher feedback)； 输出反馈OFB (output feedback)；