密码编码学与网络安全第五版 向金海 03 分组密码与des 课件.ppt

2019/3/18 31 F 函数 2019/3/18 32 DES 第 i 轮迭代加密 2019/3/18 33 2019/3/18 34 子密钥产生器 密钥（ 64 bit ） 置换选择 1 ， PC1 置换选择 2 ， PC2 C i (28 bit) D i (28 bit) 循环左移 循环左移 除去第 8,16, ? ,64 位 (8 个校验位 ) k i 2019/3/18 35 2019/3/18 36 置换选择 1 循环左移的次数 （舍弃了奇偶校验位，即第 8 ， 16 ， … ， 64 位） 2019/3/18 37 压缩置换 2 舍弃了第 9,18,22,25,35,38,43,54 比特位 2019/3/18 38 ? 加密过程 : ? L 0 R 0 ? IP (64 bit 明文 ) ? L i ? R i-1 i =1,...,16 (1) ? R i ? L i-1 ? f ( R i-1 , k i ) i =1,...,16 (2) ? 64 bit 密文 ? IP -1 ( R 16 L 16 ) (1)(2) 运算进行 16 次后就得到密文组。 ? 解密过程 : ? R 16 L 16 ? IP (64 bit 密文 ) ? R i-1 ? L i i =1,...,16 (3) ? L i-1 ? R i ? f ( L i-1 , k i ) i =1,...,16 (4) ? 64 bit 明文 ? IP -1 ( R 0 L 0 ) (3)(4) 运算进行 16 次后就得到明文组。 DES 加解密的数学表达 2019/3/18 39 ? 安全性 ? DES 的安全性完全依赖于所用的密钥。 从 DES 诞 生起，对它的安全性就有激烈的争论，一直延续 到现在 ? 弱密钥和半弱密钥 ? DES 算法在每次迭代时都有一个子密钥供加密用。 如果给定初始密钥 k ，各轮的子密钥都相同，即有 k 1 = k 2 = … = k 16 ，就称给定密钥 k 为 弱密钥 (Weak key) § 3.3 DES 的强度 2019/3/18 40 ? 若 k 为弱密钥，则有 ? DES k (DES k ( x ))= x ? DES k -1 (DES k -1 ( x ))= x ? 即以 k 对 x 加密两次或解密两次都可恢复出明文。其加密运算和解密运 算没有区别。 ? 而对一般密钥只满足 ? DES k -1 (DES k ( x ))=DES k (DES k -1 ( x ))= x ? 弱密钥下使 DES 在选择明文攻击下的搜索量减半。 ? 如果随机地选择密钥，则在总数 2 56 个密钥中，弱密钥所占比例极小， 而且稍加注意就不难避开。 ? 因此，弱密钥的存在不会危及 DES 的安全性。 DES 的强度（ 1 ） 2019/3/18 41 雪崩效应 DES 的强度（ 2 ） 2019/3/18 42 ? 56 位密钥的使用 ? 2 56 = 7.2 x 10 16 ? 2019 ，几个月 ? 2019 ，几天 ? 2019 ， 22 个小时 ! ? DES 算法的性质： S 盒构造方法未公开！ ? 计时攻击 DES 的强度（ 3 ） 2019/3/18 43 ? 差分密码分析 ? 通过分析明文对的差值对密文对的差值的影响来 恢复某些密文比特 ? 线性密码分析 ? 通过寻找 DES 变换的线性近似来攻击 DES 的强度（ 4 ） 2019/3/18 44 § 3.4 分组密码的工作模式 ? FIPS 81 中定义了 4 种模式，到 800-38A 中将其 扩展为 5 个。 ? 可用于所有分组密码。 ? DES 的工作模式 若明文最后一段不足分组长度，则补 0 或 1 ，或随机串。 2019/3/18 45 模式 描述 典型应用 电码本（ ECB ） 单个数据的安全传输 密码分组链接（ CBC ） 普通目的的面向分组的传输； 认证 密码反馈（ CFB ）