第三章 分组密码和数据加密标准 .pptVIP

密码编码学与网络安全 福州大学软件学院 林宇峰 Lin_yf@yahoo.cn 回顾上节课内容 分组加密 数据加密标准 矛与盾 较小的分组： 1.密码系统等价于传统的代换密码 2.利用统计分析法破解（轻而易举） 3.脆弱性的来源：小，而非代换 4.若n充分大，且有可逆变换，掩盖统计学特征 大规模分组 1.密钥的确定 n=4 ：4*16=64；n=64：64*264=270 密钥长度 ： n*2n，变换为2n！ Feistel网络 Feistel解密 DES加密算法 Keyi (48bit) C0D0 … C15D15 轮 One Round 轮函数 Round Function S盒 S-Boxes：1/4 强劲的分析方法 蛮力攻击 计时攻击 差分分析 线性分析 正面分析密码算法的新技术， 在很多算法上取得很好的效果 蛮力攻击对明文内容的要求 * 问题：如何辨别出来？ 对给定的某个密文，任何一个密钥都可以解密出一个可能的明文，但是其中应该只有一个是正确的明文。 必须事先知道明文的结构，比如已经知道这是 文字文本、源程序（图像、声音、压缩的？） 如果有两个密钥，解密出来的两个明文都有意义？ 可能性极小 因为密钥空间2^k 可逆映射个数(2^n)! One time pad就是让对手分辨不出哪个更像正确明文 差分分析 Differential Cryptanalysis 差分密码分析的威力 第一种小于2^55的复杂度对DES进行破译的方法 要求2^47个选择的明文，2^47的复杂度。 对DES的效用： 1.1974年，IBM研究小组就知晓改分析方法 2.S盒子和P置换的设计考虑到了这中攻击方法 对IDEA的影响：PES（128）的修改版 差分密码分析攻击 设明文m(m0,m1) 每次循环产生32bit的新分组mi 则： 设明文m，m’ 差分密码分析攻击策略 总体策略： 基于对整个循环的考虑 整个过程： 从给定的具体的两个明文m，m’开始，跟踪每个循环之后的差值模式（利用概率等知识）以便产生一个可能的密文差值模式。 线性密码分析 攻击策略：找到DES中进行变换的线性近似。 对DES的攻击：2^43个已知明文就可以找到DES的密钥。 已知明文比选择密文容易得多，但是仍然只是具有理论意义！ 线性密码分析的原理： 对于nbit的明文分组和密文分组，mbit密钥的密码： 明文分组：p[1],p[2],……,p[n] 密文分组：c[1],c[2],……c[n] 密钥：k[1],k[2],……,k[m] 线性密码分析的目标是，找到一个如下形式的线性方程： 其中： DES其它 DES肯定能破译 不单是RSA challenge DES算法仍值得信赖 但是关键场合不要用 DES对一般个人用户仍是安全的 RSA challenge 反而给了信心 DES还是AES，或者其他 DES模块仍广泛存在，AES还没有普及 如果软件实现，任何一个经过考验的算法都好 DES/3DES、AES、RC4、RC5、IDEA、Blowfish Free/Open 分组密码的设计原则 20世纪70年代早期Feistel和DES设计小组所做的工作以来，基本的设计原理并没有很大的改变。 DES的公开的设计标准 分组密码设计的三个主要问题： 加密轮数 函数F 密钥的使用方案 DES的设计准则 S盒子的设计准则： @非线性 @每一行包括4bit的全排列 @S的输入变化引起输出的更多随机变化 目的：增强算法的扰乱特性 P置换的设计准则 @ S盒子的4个bit输出，尽可能分散地影响下一 个循环 目的：增强算法的扩散特性 Feistel密码的强度分析 Feistel密码的强度来自三个方面： 迭代轮数，函数F、密钥使用算法 迭代轮数：轮数越多抗分析能力就越强 选择的标准：使密码的分析难度大于简单的穷举 攻击的难度。（DES的设计） 意义：利用这个标准可以判别算法的强度和比较 算法优劣变得容易。 函数F的设计：设计准则（扰乱） 1. 较强的非线性 2. 良好的雪崩效应，严格的雪崩效应（SAC） 3. 比特独立准则（BIC） S盒子的设计准则： 非线性、SAC、BIC 密钥的扩展算法（与S盒子相比……） 设计准则： 1. 密钥/密文的严格雪崩效应准则； 2. 比特独立的准则。 介绍两个使用DES的加密应用 电子密码本（ECB） 密码分组