第八讲 数据加密标准（des）.pptVIP

3.4 密钥变换 3.4 密钥变换 (续) 3.5 DES的安全 DES存在关于密钥长度、叠代次数、S-盒设计准则的问题。特别是S-盒以常量形式给出，但并未明确说明这些常量为何以这种形式出现。虽然IBM声称这些是经过17年大量密码分析得出的结果，但是人们还是十分担心NSA的介入可能为算法安装陷门以利于其解密。 3.5 DES的安全 (续) 在90年代初期，IBM 终于公开了S-盒设计的基本原理。 (1) 每个S-盒为6比特输入和4比特输出。这是1974年芯片处理数据的最大能力。 (2) S-盒的输出不应该和输入接近线性的函数关系。 (3) S-盒的每一行都应该包括全部0到15这16个数字。 (4) 如果输入每个S-盒的两个数据有一位不相同，则输出必须有至少两位不同。 3.5 DES的安全 (续) (5) 如果两个S-盒输入的前两位不同但最后两位相同，则输出必不相等。 (6) 对于每个给定的异或XOR值存在32种可能的输入对。这些输入对可以得到相应异或XOR 输出。所有这些输出不得有8个的值完全相同。 这一原则显然是用来阻止差分分析的。 (7) 这一原则与(6)类似，只是这里考虑3个S-盒的情况。 (详细论述，参见 “D. Coppersmith, The data encryption standard and its strength against attacks) 4 DES 不是一个群 选择两个密K1和K2加密明文P得到EK2(EK1(P))。这样的做法是否可以增加安全性？如果攻击者有足够的存储空间，这样做提供的安全保障有限。进一步，如果两次加密等于单次加密，密码的安全性将比我们想象的还要弱。例如，这一条件要是对DES成立，那么穷尽搜索256的密钥空间将被搜索大约228的密钥空间所替代。 5 破译DES 5.1 DES已显老迈 (1) 1977年，Diffie和Hellman 估计如果花费2千万美元制造一台机器大约仅需一天就可以破译DES。 (2) 1993年，Wiener利用开关技术设计了更加有效的破译DES设备。 (3) 到1996年逐渐形成了三种破译DES的基本方法。一种方法是利用分布计算。一种是设计专用攻击芯片。折中的方法是使用可编程逻辑门阵列。 5.1 DES已显老迈(续) (4) 分布计算方法破译DES变得十分流行，特别是在Internet兴起和壮大的情况下。1997年，RSA数据安全公司开展了破译DES密钥和其加密消息的竞赛。仅仅5个月，Rocke Verser 就在搜索了25% 的密钥空间后发现密钥。接下来，RSA 数据安全公司又开展了第二次竞赛。结果用时39天搜索了密钥空间的85%发现了对应密钥。 5.1 DES已显老迈(续) (5) 1998年，电子领域基金会(EFF)展开了一项名为DES破译的计划。计划的基本思想是：一般使用的计算机对于完成破译DES的任务来说不是最优的。计划使用的结构是硬件用来判定排除大量不可能的密钥并返回那些可能的密钥。软件则用来处理每一个可能的密钥，判定这些密钥是否确实为密码系统使用的密钥。结果是计划使用1500个芯片平均在大约4.5天可以完成对DES 的破译。 5.1 DES已显老迈(续) (6) 有传言说根据预先处理的不同，NSA可以在3到5分钟成功破译DES。而在机器方面的开销仅有5万美元。 #上述结果说明对于90年代晚期的计算技术而言，加密系统使用56比特的密钥显得过短，不能提供强有利的安全保护。 5.2 增加安全性的DES变化 5.2 增加安全性的DES变化 (续) 6 口令安全 问题. 口令一般与每一个实体相关联，是一个6到10或更多的方便记忆的字符串。口令由实体和系统共享。为了获得访问系统资源的权限(例如，计算帐户，打印机，或软件应用)， 实体输入身份-口令对。系统则核实对于相应的身份和口令输入是否正确。如果正确，系统就按照身份分配实体相应的访问授权。系统通过实体展示其掌握口令秘密来将其与声称身份挂钩。 6.1 口令方案 存储口令文件 加密口令文件 (IDA，pwdA) 实体 A 拒绝 接受 系统 口令表 否 是 f() IDA … … f(pwdA) … … = pwdA f(pwdA) f(pwdA) 6.1 口令方案(续) (3) 降低口令映射速度 (4) 口令加盐 为了使口令猜测攻击无效，每一个口令条目都增加t比特的随机串叫做盐，将盐和口令一同作为单向函数的输入。口令Hash值和盐一同记入口令文件，