分组密码课件.pptVIP

第四章 分组密码 王 滨 2005年3月14日 明文处理方式 分组密码（block cipher) 将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 流密码（stream cipher) 又称序列密码。序列密码每次加密一位或一字节的明文。 背景 发明人：美国IBM公司 W. Tuchman 和 C. Meyer 1971-1972年研制成功 基础：1967年美国Horst Feistel提出的理论 产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告， 公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳 了IBM的LUCIFER方案 标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标 准局颁布为数据加密标准（Data Encryption Standard），于 1977年7月15日生效 背景 美国国家安全局（NSA, National Security Agency)参与了美国国家标准局制定数据加密标准的过程。NBS接受了NSA的某些建议，对算法做了修改，并将密钥长度从LUCIFER方案中的128位压缩到56位 1979年，美国银行协会批准使用DES 1980年，DES成为美国标准化协会(ANSI)标准 1984年2月，ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作 置 换 定义4.1 ：设S是一个有限集合， φ是从S到S的一 个映射。如果对任意的u，v，当u≠v 时，φ(u) ≠φ(v),则称φ是S上的一 个置换。 IP和IP-1 注意 无论f函数如何选取，DES的圈函数是一个对合变换。 ① E盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特数据 压缩替代S-盒－48位压缩到32位 S-盒的构造要求 S-盒是算法的唯一非线性部件,因此,它的密码强度决定了整个算法的安全强度 提供了密码算法所必须的混乱作用 非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门 DES的加密和脱密变换 加密： y=IP-1。fek16 。 D 。 … 。 D 。 fek2 。 D 。 fek1 。 IP(x) 脱密 x=IP-1。fdk16 。 D 。 … 。 D 。 fdk2 。 D 。 fdk1 。 IP(y) 注意 (1)加密密钥eki和脱密密钥dki的关系： dki=ek(16-i) (2)最后一圈若添加交换则无法正常脱密： y=IP-。D 。fek16 。 D 。 … 。 D 。 fek2 。 D 。 fek1 。 IP(x) x=IP-。fdk16 。 D 。 … 。 D 。 fdk2 。 D 。 fdk1 。 D 。 IP(y) DES的安全性 F函数(S-Box)设计原理未知 密钥长度的争论 DES的破译 弱密钥与半弱密钥 DES密钥长度 关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击，因为密钥量只有 个 早在1977年，Diffie和Hellman已建议制造一个每秒能测试100万个密钥的VLSI芯片。每秒测试100万个密钥的机器大约需要一天就可以搜索整个密钥空间。他们估计制造这样的机器大约需要2000万美元 DES密钥长度 在CRYPTO’93上，Session和Wiener给出了一个非常详细的密钥搜索机器的设计方案，这个机器基于并行运算的密钥搜索芯片，所以16次加密能同时完成。花费10万美元，平均用1.5天左右就可找到DES密钥 美国克罗拉多洲的程序员Verser从1997年2月18日起，用了96天时间，在Internet上数万名志愿者的协同工作下，成功地找到了DES的密钥，赢得了悬赏的1万美元 DES密钥长度 1998年7月电子前沿基金会（EFF）使用一台25万美圆的电脑在56小时内破译了56比特密钥的DES 1999年1月RSA数据安全会议期间，电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥 1990年，以色列密码学家Eli Biham和Adi Shamir提出了差分密码分析法，可对DES进行选择明文攻击 线性密码分析比差分密码分析更有效 弱密钥与半弱密钥 弱密钥: EK?EK = I ，DES存