密碼學分組密碼

1、第三章 分組密碼體制n分組密碼概述n數(shù)據(jù)加密標準n差分密碼分析與線性密碼分析n分組密碼的運行模式n其他分組密碼體制分組密碼概述 分組密碼因其實現(xiàn)速度較快，在許多密碼系統(tǒng)中是一個重要的組成部分。分組密碼與流密碼在區(qū)別在于分組密碼將明文的消息編碼后劃分成長度為n的組，在一個密鑰的控制下變換成等長（m）的輸出序列。一般情況下，nm。若mn，為由數(shù)據(jù)擴充的分組密碼；若m2nt= l0和1互換分組密碼的操作模式n電子密碼本ecb (electronic codebook mode)n密碼分組鏈接cbc (cipher block chaining)n密碼反饋cfb (cipher feedback)n輸

2、出反饋ofb (output feedback)美國nsb在fips pub 74和81中規(guī)定ansi 在ansi x3.106中規(guī)定iso和iso/iec在iso 9732 iso/iec 10116中規(guī)定電子密碼本（ecb）ci = ek(pi) pi = dk(ci) ecb特點簡單和有效可以并行實現(xiàn)不能隱藏明文的模式信息相同明文相同密文同樣信息多次出現(xiàn)造成泄漏對明文的主動攻擊是可能的信息塊可被替換、重排、刪除、重放誤差傳遞：密文塊損壞僅對應明文塊損壞適合于傳輸短信息密碼分組鏈接cbcci=ek(ci-1pi) pi=ek(ci ) ci-1cbc特點沒有已知的并行實現(xiàn)算法能隱藏明文的模

3、式信息需要共同的初始化向量iv相同明文不同密文初始化向量iv可以用來改變第一塊對明文的主動攻擊是不容易的信息塊不容易被替換、重排、刪除、重放誤差傳遞：密文塊損壞兩明文塊損壞n安全性好于ecbn適合于傳輸長度大于64位的報文，還可以進行用戶鑒別,是大多系統(tǒng)的標準如 ssl、ipsec 密碼反饋cfbcfb:分組密碼流密碼 si 為移位寄存器,j為流單元寬度 加密: ci =pi(ek(si)的高j位) si+1=(sij)|ci 解密: pi=ci(ek(si)的高j位) si+1=(sij)|ci cfb加密示意圖加密示意圖ci =pi (ek(si)的高的高j位位) ; si+1=(sij)

4、|ci cfb解密示意圖解密示意圖pi=ci (ek(si)的高的高j位位); si+1=(sij)|ci cfb特點分組密碼流密碼沒有已知的并行實現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值ivn對于不同的消息，iv必須唯一n誤差傳遞：一個單元損壞影響多個單元 輸出反饋ofbofb:分組密碼流密碼 si 為移位寄存器,j為流單元寬度 加密: ci =pi(ek(si)的高j位) si+1=(sij)|(ek(si)的高j位) 解密: pi=ci(ek(si)的高j位) si+1=(sij)|(ek(si)的高j位) ofb加密示意圖加密示意圖ci =pi (ek(si)的高的高j位位);s

5、i+1=(sij)|(ek(si)的高的高j位位) ofb解密示意圖解密示意圖pi=ci (ek(si)的高的高j位位); si+1=(sij)|(ek(si)的高的高j位位)ofb特點nofb:分組密碼流密碼沒有已知的并行實現(xiàn)算法隱藏了明文模式n需要共同的移位寄存器初始值ivn誤差傳遞：一個單元損壞只影響對應單元對明文的主動攻擊是可能的信息塊可被替換、重排、刪除、重放安全性較cfb差其他分組密碼體制nidea1.設計原理2.加密過程國際數(shù)據(jù)加密idea（international data encryption algorithm)算法n1990年瑞士聯(lián)邦技術學院的來學嘉和massey提出，

6、pes，91年修訂，92公布細節(jié)設計目標從兩個方面考慮n加密強度n易實現(xiàn)性n強化了抗差分分析的能力， pgp高級加密標準naes算法rijndael1.數(shù)學基礎和設計思想2.算法描述aes背景-in1997年4月15日，（美國）國家標準技術研究所（nist）發(fā)起征集高級加密標準（advanced encryption standard）aes的活動，活動目的是確定一個非保密的、可以公開技術細節(jié)的、全球免費使用的分組密碼算法，作為新的數(shù)據(jù)加密標準。n1997年9月12日，美國聯(lián)邦登記處公布了正式征集aes候選算法的通告。作為進入aes候選過程的一個條件，開發(fā)者承諾放棄被選中算法的知識產(chǎn)權。 對a

7、es的基本要求是：比三重des快、至少與三重des一樣安全、數(shù)據(jù)分組長度為128比特、密鑰長度為128/192/256比特。aes背景-iin1998年8月12日，在首屆aes會議上指定了15個候選算法。n1999年3月22日第二次aes會議上，將候選名單減少為5個，這5個算法是rc6，rijndael，serpent，twofish和mars。n2000年4月13日，第三次aes會議上，對這5個候選算法的各種分析結果進行了討論。n2000年10月2日，nist宣布了獲勝者rijndael算法，2001年11月出版了最終標準fips pub197。rijndael簡介n不屬于feistel結構

8、n加密、解密相似但不對稱n支持128/32=nb數(shù)據(jù)塊大小n支持128/192/256(/32=nk)密鑰長度n有較好的數(shù)學理論作為基礎n結構簡單、速度快aes參數(shù)sp網(wǎng)絡結構在這種密碼的每一輪中，輪輸入首先被一個由子密鑰控在這種密碼的每一輪中，輪輸入首先被一個由子密鑰控制的可逆函數(shù)制的可逆函數(shù)s作用，然后再對所得結果用置換（或可逆作用，然后再對所得結果用置換（或可逆線性變換）線性變換）p作用。作用。s和和p分別被稱為混亂層和擴散層，主分別被稱為混亂層和擴散層，主要起混亂和擴散作用。要起混亂和擴散作用。 aes算法結構-inaes算法的輪變換中沒有feistel結構，輪變換是由三個不同的可逆一

9、致變換組成，稱之為層， 線性混合層：確保多輪之上的高度擴散。非線性層：具有最優(yōu)最差-情形非線性性的s-盒的并行應用。密鑰加層：輪密鑰簡單地異或到中間狀態(tài)上。aes算法結構-iiaes-128加解密過程aes算法描述n假設：state表示數(shù)據(jù)，以及每一輪的中間結果roundkey表示每一輪對應的子密鑰n算法如下：n第一輪之前執(zhí)行addroundkey(state,roundkey)nround(state,roundkey) bytesub(state);shiftrow(state);mixcolumn(state);addroundkey(state,roundkey); nfinalrou

10、nd(state,roundkey) bytesub(state);shiftrow(state);addroundkey(state,roundkey); 狀態(tài)、密鑰狀態(tài)/密鑰的矩陣表示s00s01s02s03s04s05s06s07s08s09s10s11s12s13s14s15k00k01k02k03k10k11k12k13k20k21k22k23k30k31k32k33字節(jié)代替(substitute bytes )變換n字節(jié)代替是一個非線性的字節(jié)代替，獨立地在每個狀態(tài)字節(jié)上進行運算。代替表（s-盒）是可逆的，是一個1616的矩陣。 example行移位(shift row)變換簡單的置

11、換簡單的置換example列混合mix column變換n代替操作，將狀態(tài)的列看作有限域gf（28）上的4維向量并被有限域gf（28）上的一個固定可逆方陣a乘 example輪密鑰加（add round key)一個簡單地按位異或的操作一個簡單地按位異或的操作aes的密鑰調(diào)度n輪密鑰是通過密鑰調(diào)度算法從密鑰中產(chǎn)生，包括兩個組成部分：密鑰擴展和輪密鑰選取?；驹砣缦拢?所有輪密鑰比特的總數(shù)等于分組長度乘輪數(shù)加1。（如128比特的分組長度和10輪迭代，共需要1408比特的密鑰）。 將種子密鑰擴展成一個擴展密鑰。輪密鑰按下述方式從擴展密鑰中選?。旱谝粋€輪密鑰由開始nb個字組成，第二個輪密鑰由接下來的nb個字組成，如此繼續(xù)下去。aes的密鑰擴展 g變換nrotword執(zhí)行一字節(jié)循環(huán)左移 b0,b1,b2,b3 b1,b2,b3,b0nsubword執(zhí)行使用s-盒實行字節(jié)替換n前兩步的結果xor輪常數(shù)rconjexamplerijndael安全性l沒有發(fā)現(xiàn)弱密鑰或補密鑰l能有效抵抗目前已知的攻擊算法n線性攻擊n差分攻擊先進對稱分組加密算法的特點l可變的密鑰長度: rc5l混合的運算 ideal數(shù)據(jù)相關的輪數(shù) rc5l密鑰相關的輪數(shù) cast-128l密鑰相關的s盒: blow