第二章密码学基础NEW演示文稿.pptVIP

2.1.4 密码分析 ? 密码分析：试图获得加密体制细节、解密密钥和 明文等机密信息的过程，通常包括：分析统计截 获的密文材料、假设、推断和证实等步骤。 ? 密码分析方法有传统破译方法和物理破译方法两 大类。 （1） 基本概念 当前第31页\共有70页\编于星期六\16点 ? 传统破译方法包括穷举破译法和数学分析法两类。 ? 数学分析法又分为确定性分析法的和统计分析法。 ? 四种破译类型： ? 唯密文破译（ciphertext only attacks）， 分析者仅知道有限数量的密文。 ? 已知明文破译（known plaintext attacks）， 分析者除了拥有有限数量的密文外，还有数量限 定的一些已知“明文—密文”对。 当前第32页\共有70页\编于星期六\16点 ? 四种破译类型（续）： ? 选择明文破译（chosen plaintext attacks）， 分析者除了拥有有限数量的密文外，还有机会使 用注入了未知密钥的加密机，通过自由选择明文 来获取所希望的“明文—密文”对（集合）。 ? 选择密文破译（chosen ciphertext attacks）， 分析者除了拥有有限数量的密文外，还有机会使 用注入了未知密钥的解密机，通过自由选择密文 来获取所希望的“密文—明文”对（集合）。 当前第33页\共有70页\编于星期六\16点 （2）防止密码破译的措施 为防止密码被破译，可以采取以下措施： ? 强壮的加密算法； ? 动态会话密钥 ? 保护关键密钥 当前第34页\共有70页\编于星期六\16点 2.2 密码算法 （1）IDEA的历史 ? 1990年，瑞士的来学嘉（Xuejia Lai）和 James Massey于1990年公布了IDEA密码算法第 一版，称为PES (Proposed Encryption Standard)； ? 1991年，为抗击差分密码攻击，他们增强了算法的强 度，称IPES（Improved PES)； ? 1992年，改名为IDEA（International Data Encryption Algorithm）。 2.2.1 IDEA算法 当前第35页\共有70页\编于星期六\16点 （2）IDEA加密过程 ? IDEA是一个分组长度为 64bit的分组密码算法，密 钥长度为128bit（抗强力攻 击能力比DES强），同一 算法既可加密也可解密。 ? IDEA的“混淆”和“扩散” 设计原则来自三种运算， 它们易于软、硬件实现 （加密速度快）： Z6 F2 F1 Z5 G1 G2 当前第36页\共有70页\编于星期六\16点 在IDEA的模乘运 算中，为什么将模数 取为216+1，而不是 216 ？ 2. 在其模加运算中，为什么模数取为216而不是 216+1 ？ 当前第37页\共有70页\编于星期六\16点 IDEA加密的总体方案图 循环2 循环8 循环1 输出变换 64位密文 64位明文 Z1 Z6 Z7 Z12 Z43 Z48 Z49 Z52 子密钥生成器 128bit密钥 Z1 Z52 16 当前第38页\共有70页\编于星期六\16点 IDEA加密的单个循环图 X1 X2 X3 X4 Z1 Z2 Z3 Z4 Z5 Z6 W11 W12 W13 W14 当前第39页\共有70页\编于星期六\16点 IDEA的密钥生成 ? 56个16bit的子密钥从128bit的密钥中生成前8 个子密钥直接从密钥中取出； ? 对密钥进行25bit的循环左移，接下来的密钥 就从中取出； ? 重复进行直到52个子密钥都产生出来。 当前第40页\共有70页\编于星期六\16点 （3）IDEA的解密 ? 加密解密实质相同，但使用不同的密钥； ? 解密密钥以如下方法从加密子密钥中导出： — 解密循环I的头4个子密钥从加密循环10－I 的头4个子密钥中导出；解密密钥第1、4个 子密钥对应于1、4加密子密钥的乘法逆元； 2、3对应2、3的加法逆元； — 对前8个循环来说，循环I的最后两个子密钥 等于加密循环9－I的最后两个子密钥； 当前第41页\共有70页\编于星期六\16点 ? 使用子分组：16bit的子分组； ? 使用简单操作（易于加法、移位等操作实现） ； ? 加密解密过程类似； ? 规则的结构（便于VLSI实现）。 （4）实现上的考虑 当前第42页\共有70页\编于星期六\16点 （5）IDEA的安全性 ? IDEA能抗差分分析