信息安全与加密课件.ppt

对称密码体制 DES DES的发展(2/5) 双重DES的讨论 假设对于 DES和所有56比特密钥，给定任意两个密钥K1和K2，都能找到一个密钥K3使得EK2(EK1(P)) = EK3 (P) 。如果这个假设是事实，则DES的两重加密或者多重加密都将等价于用一个56比特密钥的一次加密。 直观上看，上面的假设不可能为真。因为DES的加密事实上就是从一个64比特分组到另一个64分组的置换， 而64比特分组共有264可能的状态，因而可能的置换个数为： 264000 000 000 000 000103·1020 另一方面， DES的每个密钥确定了一个置换，因而总的置换个数为: 2561017。 1992年有人证明了这个结果——上述假设不成立。 对称密码体制 DES DES的发展(3/5) 2.中途攻击 C = EK2(EK1(P)) ? X = EK1(P) = DK2(C) 给定明文密文对(P,C) 对所有256个密钥,加密P,对结果排序 对所有256个密钥,解密C,对结果排序 逐个比较,找出K1,K2使得EK1(P) = DK2(C) 对称密码体制 DES DES的发展(4/5) 已知，给定一个明文P，经二重DES加密有264个可能的密文。而二重DES所用密钥的长度应是112 bits，所以选择密钥有2112个可能性。于是对给定一个明文P加密成密文有2112/264=248种可能。给定两个明密文对,虚警率降为248-64=2-16。换句话说，对已知2个明文-密文对的中间相遇攻击成功的概率为1-2-16。 攻击用的代价(加密或解密所用运算次数)≦256 需要大量的存储器: 256 ? 64=1017字节 对称密码体制 DES DES的发展(5/5) 3.三重DES 加密 解密 D E P A B K1 K2 E C K3 C=EK1(DK2(EK1(P))) E D C A B K1 K2 D P K3 P=DK1(EK2( DK1(C))) 对称密码体制 DES 分组密码原理 对称密码体制概述 分组密码的工作模式 AES AES简介 AES算法结构 AES的背景 对称密码体制 AES AES的背景(1/4) 1997年4月15日，美国国家标准技术研究所(NIST)发起征集高级加密标准(Advanced Encryption Standard)AES的活动，活动目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法，作为新的数据加密标准。 1997年9月12日，美国联邦登记处公布了正式征集AES候选算法的通告。作为进入AES候选过程的一个条件，开发者承诺放弃被选中算法的知识产权。 对AES的基本要求是：比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。 对称密码体制 AES AES的背景(2/4) 1998年8月12日，在首届AES会议上指定了15个候选算法。 1999年3月22日第二次AES会议上，将候选名单减少为5个，这5个算法是RC6，Rijndael，SERPENT，Twofish和MARS。 2000年4月13日，第三次AES会议上，对这5个候选算法的各种分析结果进行了讨论。 2000年10月2日，NIST宣布了获胜者——Rijndael算法，2001年11月出版了最终标准FIPS PUB197。 为AES开发Rijndael算法的是两位来自比利时的密码专家：Proton World International的Joan daemen 博士、 Katholieke Universiteit Leuven电子工程系(ESAT)的Vincent Rijmen 博士后。两位先生在加密领域里一直比较活跃。 NIST主任 Ray Kammer 在马里兰召开的新闻发布会上说，之所以选中Rijndael，是因为它很快而且所需的内存不多。这个算法是如此可靠，就连在密码方面最内行的美国国家安全局也决定将用它来保护一些关键数据不被窥视。 对称密码体制 AES AES的背景(3/4) 对称密码体制 AES AES的背景(4/4) Rijndael也是5个上了决赛名单中唯一一个不面临潜在的日立公司侵犯专利诉讼的算法。 日立在2001年早些时候宣布了对一系列密码采用的数学技术的所有权，但Kammer说法律问题不是决定算法选择的因素。 对称密码体制 DES 分组密码原理 对称密码体制概述 分组密码的工作模式 AES AES简介 AES算法结构 AES的背景 对称密码体制 AES AES简介(1/3) Rijndael算法的原形是Square算法。 它的设计策略是宽