【安全课件】第78讲分组密码.pptxVIP

第四章 分组密码;明文处理方式 分组密码（block cipher) 将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 流密码（stream cipher) 又称序列密码。序列密码每次加密一位或一字节的明文。;§4.1 分组密码的基本原理;实现原则: (1) 必须实现起来比较简单,知道密钥时加密和脱密都十分容易,适合硬件和(或)软件实现. (2) 加脱密速度和所消耗的资源和成本较低,能满足具体应用范围的需要. 例: 对高速通信数据的加密----硬件实现; 嵌???到系统软件的加密程序----软件实现; 智能卡内数据的加密----低成本实现 ;安全性设计原则; 2. 扩散原则(Diffusion) 　扩散原则就是应将明文的统计规律和结构规律散射到相当长的一段统计中去(Shannon的原话)。 也就是说让明文中的每一位影响密文中的尽可能多的位，或者说让密文中的每一位都受到明文中的尽可能多位的影响。 如果当明文变化一个比特时,密文有某些比特不可能发生变化,则这个明文就与那些密文无关,因而在攻击这个明文比比特时就可不利用那些密文比特. ;分组密码的设计方法;§4.2 DES分组密码算法 (Date Encipher Standard);背景;背景; DES首次被批准使用五年，并规定每隔五年由美国国家保密局作出评估，并重新批准它是否继续作为联邦加密标准。最近的一次评估是在1994年1月，美国已决定1998年12月以后将不再使用DES。因为按照现有的技术水平，采用不到几十万美元的设备，就可破开DES密码体制。目前的新标准是AES，它是由比利时的密码学家Joan Daemen和Vincent Rijmen设计的分组密码—Rijndael（荣代尔）。;§1 DES分组密码算法;输入64比特明文数据 ;;置 换;初始置换与逆初始置换　 输入和输出比特的序号从左向右编排为1, 2, 3, … ,64;IP和IP-1;（二）加密算法　;DES加密算的圈函数----属于Feistel模型:　;注意;;① E盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特数据;① E盒扩展;;压缩替代S-盒－48位压缩到32位;② S盒;;S-盒的构造要求;;③ P盒置换; 例: 利用DES算法和全0密钥对输入19600000 进行1圈加密的结果。 （1）输入的右半部分是= 0001 1001 0110 0000 0000 0000 0000 0000 （2）经E盒扩展后变为 000011 110011 101100 000000 000000 000000 000000 （3）与全0子密钥模2加后变为 000011 110010 101100 000000 000000 000000 000000 （4）查S盒后的32比特输出为 f 8 3 7 2 c 4 d 1111 1000 0011 0111 0010 1100 0100 1101 （5）经P盒后得F函数的32比特输出:9cd89aa7= 1001 1100 1101 1000 1001 1010 1010 0111 （6）将F函数的输入放到左边,将F函数的输出与圈函数的左半输入模2加后放到右边,的圈函数的64比特输出为 8cd89aa6 ;;置换选择1： 从64比特密钥中取出56个有效比特。;移位次数;（三）脱密算法　;DES的加密和脱密变换;DES分组密码算法小结;穷举攻击分析 穷举攻击就是对所有可能的密钥逐个进行脱密测试, 直到找到正确密钥为止的一种攻击方法. 穷举攻击判断正确密钥的方法： 将利用试验密钥脱密得到的可能明文与已掌握的明文的信息相比较，并将最吻合的那个试验密钥作为算法输出的正确密钥。 穷举攻击又称为穷尽攻击、强力攻击、蛮干攻击等。只要明文不是随机的，就可实施穷举攻击。;穷举攻击的算法 已知条件：已知密文c及对应的明文m. Step 1 对每个可能密钥k,计算c’=D(k,m),并判断c’=c是否成立.不成立时返回Step1检验下一个可能密钥,成立时将k作为候选密钥,并执行Step 2.