现代分组加密算法-DES.pptVIP

01前8个子密钥直接从密钥中取出；02对密钥进行25bit的循环左移，接下来的密钥就从中取出；03重复进行直到52个子密钥都产生出来。56个16bit的子密钥从128bit的密钥中生成7.6.4IDEA的密钥生产IDEA的解密加密解密实质相同，但使用不同的密钥；解密密钥以如下方法从加密子密钥中导出：解密循环I的头4个子密钥从加密循环10－I的头4个子密钥中导出；解密密钥第1、4个子密钥对应于1、4加密子密钥的乘法逆元；2、3对应2、3的加法逆元；对前8个循环来说，循环I的最后两个子密钥等于加密循环9－I的最后两个子密钥；7.6.5IDEA简介(Cont.)IDEA是PGP的一部分；IDEA能抗差分分析和相关分析；IDEA似乎没有DES意义下的弱密钥；BruceSchneier认为IDEA是DES的最好替代，但问题是IDEA太新，许多问题没解决。可变密钥长度01混合操作02依赖数据的循环移位03依赖于密钥的循环移位04依赖密钥的S盒子05冗长的密钥调度算法06可变的F函数和可变的明文/密文长度07可变的循环次数08在每次循环中都对两半数据进行操作09先进分组密码的特点7.7AES候选算法背景DES已走到了它生命的尽头56比特密钥实在太小DES的软件实现效率低（设计主要针对硬件实现）1997年4月15日美国国家标准和技术研究所（NIST）征集AES（AES—AdvancedEncryptionStandard）算法并成立了AES工作组。目的是为了确定一个非保密的、公开披露的、全球免费使用的加密算法，用于保护下一世纪政府的敏感信息。也希望能够成为保密和非保密部门公用的数据加密标准（DES）。--比三重DES快，至少还要一样的安全，ACB--应当具有128比特分组长度和256比特分组密钥长度（不过必须支持128和192比特的密钥）--还应该具有较大的灵活性。要求AES候选算法（续1）现代分组加密算法-DES上海交通大学计算机系第七讲分组密码理论--DES7.1DES7.2IDEA7.3AES010203040506DES的历史011971IBM，由HorstFeistel领导的密码研02究项目组研究出LUCIFER算法。并应用于03商业领域。041973美国标准局征求标准，IBM提交结果，05在1977年，被选为数据加密标准。067.1数据加密标准（DES)7.2DES的描述DES利用56比特长度的密钥K分组长度64比特，密文64比特算法分三个阶段实现：

1.对明文X，通过一个固定的初始置换IP得到X0。

X0=IP（X）=L0R0

分为左右两部分2.函数F的16次迭代：LiRi(1=i=16）

Li=Ri-1,Ri=Li-1?F(Ri-1,Ki)

其中Ki是长为48位的子密钥。子密钥K1，K2，…，K16是作为密钥K（56位）的函数而计算出的。3.对比特串R16L16使用逆置换IP-1得到密文Y。

Y=IP-1（R16L16）58,50,42,34,26,18,10,2,160,52,44,36,28,20,12,4,262,54,46,38,30,22,14,6,364,56,48,40,32,24,16,8,457,49,41,33,25,17,9,1,559,51,43,35,27,19,11,3,661,53,45,37,29,21,13,5,763,55,47,39,31,23,15,78IP-初始置换57,49,41,33,25,17,9,CHalf11,58,50,42,34,26,18,210,2,59,51,43,35,27,319,11,3,60,52,44,36,463,55,47,39,31,23,15,DHalf57,62,54,46,38,30,22,614,6,61,53,45,37,29,721,13,5,28,20,12,48PC101123456789abcdefCOLS[1]0214,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7,030,15,7,