分组密码体制-1- DES算法.ppt

*/129 DES密钥的产生 密钥(64bit) PC-1 K1 C0 置换选择1(去奇偶校验、置换56bit) D0 LS1 LS1 C1 D1 LS2 LS2 C2 D2 PC-2 置换选择2 28bit 28bit 56bit K2 PC-2 56bit LS16 LS16 C16 D16 K16 PC-2 56bit 转下页 48bit 48bit 48bit 循环左移 */129 C0 D0 64bit?56bit 参见书P48－P49 其中，第8，16，24，32，40，48，56和64位被丢弃（奇偶校验位）。 置换 选择 PC-1 56bit?48bit 其中，第9，18，22，25，35，38，43和54位被丢弃。 置换 选择 PC-2 轮数(i) 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 LSi 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1 LSi的取值 */129 DES的解密算法： 同任何Feistel网络结构密码一样，解密使用与加密同样的算法，不过子密钥反序使用。 DES加密的一个例子：取16进制明文分组M：0123456789ABCDEF （8个字节） 密钥K为：13 34 57 79 9B BC DF F1 （8个字节）  去掉奇偶校验位以二进制形式表示的密钥是： 0001001 0011010 0101011 0111100 1001101 1011110 1101111 1111000 */129 DES加密的一个例子(续) 明文经过初始IP置换，得到： L0=11001100000000001100110011111111 R0=L1=11110000101010101111000010101010然后进行16轮加密。最后对L16, R16使用IP-1得到密文： 85E813540F0AB405（8个字节） 明文分组M：0123456789ABCDEF （8个字节） 2.3. DES算法的几个问题 */129 1） 循环次数的考虑 循环次数越多，进行密码分析的难度越大。 2） 函数F的设计准则 原则：函数F 的非线性程度越大，进行密码分析的难度越大。 （1）严格雪崩效应准则（SAC, Strict Avalanche Criterion）: 对于任何的 i，j，当任何一个输入比特 i 变化时，函数输出比特 j 变化的概率为1/2。 “改变输入中的1位，平均要导致一半的位被改变” （2）比特独立准则（BIC, Bit Independence Criterion）: 对于任何的 i，j，k，当任何一个输入比特 i 变化时，函数输出比特 j和k 应当独立地变化。 设计有两条用于加强分组密码扩散和扰乱功能的准则： */129 1） 随机性：输出与输入之间是无规律的 2）完全性：每个输出位都是所有输入位的一个复杂函数。 3）非线性：加密函数对任何密钥值都是非线性的。 4）相关免疫性：输出是统计上独立与任何输入位的子集，不会与输入位的任何子集相关。 在明文和密文之间不存在明显的统计关系； 5）满足严格雪崩准则 每当其任一明文输入位或密钥位取反时，每一密文输出位都将以1/2的概率变化； 4. DES的特性与安全强度 */129 6）存在互补特性： 如果： 选择明文攻击： 若选择明文集合中有（M1,C1）和 所以，一旦得出用密钥K对明文M1加密得到的密文C1或 ，一次就可推出两个密钥来。这就使得攻击之前的工作量减少一半。 */129 若满足，Ek(Ek(m)) = m，则称k为弱密钥。 0101010101010101 FEFEFEFEFEFEFEFE 1F1F1F1F0E0E0E0E E0E0E0E0F1F1F1F1 若满足，Eka(Ekb(m)) = m，则称ka、 kb为半弱密钥。 01FE01FE01FE01FE 和 FE01FE0