分组密码技术课件.pptxVIP

分组密码技术 密码学的历史密码学从形成到发展经历了5个重要阶段手工阶段 机械阶段 电气阶段 计算机阶段 网络化阶段。 保密系统模型 熵的概念 联合熵 条件熵 理论保密性 “一次一密”的密码系统就是这样的无条件安全的密码系统。 实际保密性 一个密码系统是计算上安全的是指，利用最好的算法（已知或者是未知的）来破解这个密码系统需要的计算量是O(N)的，N是一个很大的数。的计算量超过了攻击者所能控制的所有计算资源在合理的时间内能够完成的计算量。所以计算上安全也称为实际的保密性。 什么是分组密码 分组加密的评价标准评价分组加密算法及其工作模式的一般标准是：? 预估的安全水平（如破译需要的密文数量等）? 密钥的有效位长? 分组大小? 加密映射的复杂性? 数据的扩张（Data Expansion）? 错误的扩散（Diffusion）/传播（Propagation） 分组加密的一般结构 Feistel 网络结构 SP 网络结构 DES概述分组加密算法：明文和密文为64位分组长度；对称算法：加密和解密除密钥编排不同外，使用同一算法；密钥长度：56位，但每个第8位为奇偶校验位，可忽略；密钥可为任意的56位数，但存在弱密钥，容易避开；采用混乱和扩散的组合，每个组合先替代后置换，共16轮；只使用了标准的算术和逻辑运算，易于实现； DES加密算法描述DES加密算法的一般描述 初始置换IP和初始逆置换IP—1 DES的一轮叠代Li-1（32比特）Ri-1（32比特）Li（32比特）48比特寄存器选择扩展运算E48比特寄存器子密钥Ki（48比特）32比特寄存器选择压缩运算S置换运算PRi（32比特）Li=Ri-1Li = Ri-1; Ri = Li-1?F(Ri-1,Ki) 扩展置换Ｅ-盒－32位扩展到48位扩展 压缩替代S-盒－48位压缩到32位 压缩替代S-盒S-盒1S-盒4S-盒3S-盒2S-盒5S-盒6S-盒7S-盒8 S-盒的构造 S-盒的构造要求S-盒是许多密码算法的唯一非线性部件,因此,它的密码强度决定了整个算法的安全强度；提供了密码算法所必须的混乱作用；如何全面准确地度量S-盒的密码强度和设计有效的S-盒是分组密码设计和分析中的难题；非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门； S-盒的构造准则S盒的每一行应该包括所有16种比特组合；没有一个S盒是它输入变量的线性函数；改变S盒的一个输入位至少要引起两位的输出改变；S盒的两个输入刚好在两个中间比特不同，则输出必须至少两个比特不同；S盒的两个输入在前两位不同，最后两位相同，两个输出必须不同； P-盒的构造准则每个S盒输出的四个比特被分布开，一边其中的两个影响下次循环的中间比特，另外两个影响两端比特；每个S盒输出的四个比特影响下个循环6个不同的S盒；P置换的目的是增强算法的扩散特性，提供雪崩效应（明文或密钥的一个比特的变动都引起密文许多比特的变化） DES中的子密钥的生成 DES的强度分析循环次数：循环次数越多，密码分析难度越大，循环次数的选择准则是密码分析工作量大于简单的穷举式密钥搜索工作量；函数F：依赖于S盒的使用，非线性程度越大，密码分析难度越大，还应具有良好雪崩性质；密钥调度算法：选择子密钥时要使得推测各个子密钥和由此推出主密钥的难度尽可能大； IDEA ( International Data Encryption Algorithm)瑞士联邦理工学院Xuejia Lai和James Massey提出；IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位，它的设计目标： （1）密码强度：扰乱通过三种操作实现（逐位异或，整数模相加或乘积）； （2）使用方便性：设计考虑到硬件和软件的实现；IDEA是一种相对较新的算法，虽有坚实理论基础，但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析)；IDEA是一种专利算法(在欧洲和美国)，专利由Ascom-Tech AG拥有，PGP中已实现了IDEA； IDEA框图 IDEA轮函数 AESAES是DES的替代品，希望能有20-30年的使用寿命。在评选过程中，最后的5个候选算法：Mars, RC6, Rijndael, Serpent,和Twofish。2000年10月，Rijndael算法被选中；Rijndael算法的原型是Square算法，其设计策略是宽轨迹策略(Wide Trail Strategy)，以针对差分分析和线性分析；Rijndael是迭代分组密码，其分组长度和密钥长度都是可变的，为了满足AES的要求，分组长度为128bit，密码长度为128/192/256bit，相应的轮数r为10/12/14；2001年11月，美国NIST发布标准FIP