《对称密钥密码体系》.ppt

第2章　对称密钥密码体系;密码体系的原理和基本概念 数据加密标准(DES) IDEA AES 序列密码 ;2.1 密码学原理;2.1 密码学原理; 1949年，C.E. Shannon（香农）在《贝尔系统技术杂志》上发表了“The Communication Theory of Secrecy System（保密系统的通信理论）”，为密码技术奠定了坚实理论基础。使密码学真正成为一门科学。 ; 1977年美国国家标准局NBS（National Bureau of Standards，即现在的国家标准与技术研究所NIST）正式公布了数据加密标准DES（Data Encryption Standard） ; 1985年，N.Koblitz和V.Miller把椭圆曲线理???运用到公钥密码技术中，成为公钥密码技术研究的新亮点。 ;2.1.1 密码学基本原理;基本概念：;加密和解密的原理如图2-1所示;2.1.2 安全密码准则;加密的过程：c=Eke(m) 解密的过程：m=Dkd(c);; 2.1.3 对称密钥密码和非对称密钥密码;分组密码的工作原理如图2-4所示：;;2.1.4 密码分析（密码攻击）;密码攻击分类;;（3）选择明文攻击 与已知明文攻击类似，不同点在于选择明文攻击的密码分析者可以自己选定明文消息，并知道其对应的密文。;（4）选择密文攻击 与选择明文攻击类似，密码分析者可以自己选择密文并解密形成密文-明文对。;;根据被破译的难易程度，不同的密码算法具有不同的安全等级 如果破译算法的代价大于加密数据的价值，那么可能是安全的。 如果破译算法所需的时间比加密数据保密的时间更长，那么可能是安全的。 如果用单密钥加密的数据量比破译算法需要的数据量少得多，那么可能是安全的。;学者Lars Kundsen把破译算法分为不同的类别，安全性的递减顺序如下： （1）全盘破译：密码分析者找出了秘钥。 （2）全盘推导：密码分析者找到一个代替算法，在不知道密钥的情况下，可用它得到明文。 （3）实例（或局部）推导：密码分析者从截获的密文中找出明文。 （4）信息推导：密码分析者获得一些有关密钥或明文的信息。这些信息可能是密钥的几bit、有关明文格式的信息等。;几乎所有密码系统在唯密文攻击中都是可破的，只要简单地一个接一个地去试每种可能的密钥，并且检查所得明文是否有意义。这种方法叫做蛮力攻击。 密码学更关心在计算上不可破译的密码系统。如果一个算法用（现在或将来）可得到的资源在可接受的时间内都不能破译，这个算法则被认为在计算上是安全的。 ;可以用不同方式衡量攻击方法的复杂性：;2.2 数据加密标准DES;1. S-DES加密算法(简化的DES);S-DES的体制;S-DES的密钥产生;S-DES的加密变换过程;2．DES算法 ;DES 加密算法图 ;（1）DES的加密过程（3个阶段） 第一阶段：初始置换IP（如下页表所示） DES对64位明文分组进行操作。首先，64位明文分组x经过一个初始置换函数IP，产生64位的输出x0，再将分组x0分成左半部分L0和右半部分R0，即： x0=IP(x)=L0R0 置换表如表2-1所示。此表顺序为从上到下，从左至右。如初始置换把明文的第58位换至第1位，把第50位换至第二位，以此类推。;表2-1 初始置换IP;DES算法的子密钥的生成过程 ;子密钥的生成过程如下： 首先，将64位密钥去掉8个校验位，用密钥置换PC–1置换剩下的56位密钥；再将56位分成前28位C0和后28位D0两部分，即PC–1(K56)=C0D0。密钥置换PC-1如表2-2所示。; 接下来，根据轮数，这两部分分别循环左移1位或2位。具体每轮移位的位数如表2-3所示。 ; 移动后，将两部分合并成56位后通过压缩置换PC–2后得到48位子密钥，即Ki=PC-2(CiDi)。压缩置换如表2-4所示。;图2-6 子密钥产生 ;第二阶段：计算16次迭代变换。 ;密码函数F： 1) 函数F的操作步骤 密码函数F的输入是32比特数据和48比特的子密钥，其操作步骤如下页图2-7所示。 (1) 扩展置换(E)。将数据的右半部分Ri从32位扩展为48位。位选择函数(也称E盒)如表2-5所示。 ;图2-7 F(Ri, Ki)计算 ;表2-5 扩展置换(E) ; (2) 异或。扩展后的48位输出E(Ri)与压缩后的48位密钥Ki作异或运算。 (3) S盒替代。将异或得到的48位结果分成八个6位