《密码学基础》课件 （张薇） 第3、4章　AES、 序列密码.ppt

掌握随机性的含义及衡量方法理解随机性假设的含义掌握线性同余发生器的原理及参数选择理解如何用密码产生随机数理解BBS发生器的原理随机序列：不能重复产生的序列几个相关概念真随机——不能重复产生密码学意义上的随机——不能预测伪随机——看起来是随机的，并能通过许多随机性测试真随机数发生器（TRNG）：利用物理方法实现的随机数发生器，它是自然界随机的物理过程（所产生物理现象的不确定性）的反映，即使算法等重要信息被暴露，都无法猜测其结果1．若序列的周期为偶数，则在一个周期内，0、1的个数相等；若周期为奇数，则在一个周期内，0、1的个数相差1。2．在一个周期内，长度为l的游程数占游程总数的1/2l，且对于任意长度，0游程与1游程个数相等。3．所有异相自相关函数值相等。第一节序列的随机性伪随机数发生器——将一个短的随机数“种子”扩展为较长的伪随机序列的确定算法。线性同余发生器（Linearcongruentialgenerator）用加密方式产生随机数BBS发生器第一节序列的随机性评价线性同余发生器有以下准则：（1）完整周期：即在一个周期中，０至m-1之间的数都出现。（2）满足随机性测试。（3）可以高效地实现。线性同余法的优点：方便，快速；缺点：除初值外，其它数字都用确定算法产生。第一节序列的随机性线性同余发生器先后被JimReeds和JoanBoyar破译后者还破译了二次同余发生器Xn=(ax2n-1+bxn+c)modm和三次同余发生器Xn=ax3n-1+bx2n-1+cxn-1+dNIST为银行电子支付系统建议的标准算法，被PGP采纳，在Internet中使用。方法：用三重DES的EDE模式产生，使用两个密钥K1，K2两个驱动随机数：初始化时，设DT0为初始时刻的日期和时间(64bit)，V0为种子密钥(64bit)输出：64bit的随机数Ri和更新后的Vi+1第一节序列的随机性（3）ANSIX9.17伪随机数产生器每一时刻要进行三次加密，相当于9次DES加密，由两个伪随机数驱动。第一节序列的随机性用K1，K2对DT0加密，结果与V0相加，再对其加密，得到R0BlumBlumShub产生器（BBS发生器）:利用数论方法产生伪随机数选择两个大素数p，q，满足p≡q≡3mod4；计算其乘积n=pq；选择随机数s，(s,n)=1；通过以下公式迭代计算序列{Bi}第一节序列的随机性BBS发生器在密码学意义上是相对安全的，但计算量比较大。第一节序列的随机性AES概述Rijndael加密算法了解高级加密标准的设计思想掌握AES算法的运算过程1997年4月15日，（美国）国家标准技术研究所（NIST）发起征集高级加密标准AES的活动，目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法，作为新的数据加密标准。1997年9月12日，美国联邦登记处公布了正式征集AES候选算法的通告。第一节AES概述对AES的基本要求：比三重DES快至少与三重DES一样安全数据分组长度为128比特密钥长度为128/192/256比特。第一节AES概述1998年8月，首届AES会议，指定15个候选算法。1999年3月22日，第二次AES会议，候选名单减少为5个：RC6，Rijndael，SERPENT，Twofish和MARS。2000年4月13日，第三次AES会议，对这5个候选算法的各种分析结果进行了讨论。2000年10月2日，NIST宣布了获胜者—Rijndael算法，2001年11月出版了最终标准FIPSPUB197。第一节AES概述Rijndael加解密过程第六节高级加密标准AES唯一的非线性运算，代替表（S盒）可逆，由两个变换构成：首先在GF(28)中模m(x)取乘法逆，m(x)=x8+x4+x3+x+1，0映射到自身；然后经过一个仿射变换第二节Rijndael加密算法逆运算（InvByteSub）先经过仿射变换的逆变换作用之后，再在GF(28)中模m(x)取乘法逆。第二节Rijndael加密算法第二节Rijndael加密算法状态行移位不同的位移量第0行不移动第1行循环左移C1字节第2行循环左移C2字节第3行循环左移C3字节，逆运算（InvShiftRow）后面3行分别循环左移： Nb-C1字节 Nb-C2字节 Nb-C3字节第二节Rijndael加密算法Rijndael加密程序S=B⊕K0