第2講對稱密碼

1、網(wǎng)絡(luò)與信息安全技術(shù)網(wǎng)絡(luò)與信息安全技術(shù)第二講第二講對稱密碼對稱密碼華中科技大學(xué)軟件工程碩士課程華中科技大學(xué)軟件工程碩士課程主要內(nèi)容 對稱分組密碼對稱分組密碼-DESDES-AESAES 流密碼流密碼 隨機(jī)數(shù)隨機(jī)數(shù)1. 分組密碼 定義：-將一個明文分組作為整體加密, 通常得到與之等長的密文分組; 除加密外的用途：-構(gòu)造偽隨機(jī)數(shù)生成器、流密碼系統(tǒng)、消息認(rèn)證碼(MAC) 分組密碼的設(shè)計原理 代換結(jié)構(gòu)擴(kuò)散 定義: 將明文的統(tǒng)計特性散布到密文中去, 使得明文的每一位影響密文中多位的值，使明文和密文之間的統(tǒng)計關(guān)系變得盡可能復(fù)雜, 以挫敗推導(dǎo)出密鑰的企圖; 結(jié)果: 明文的統(tǒng)計特性將被散布到密文中, 單字母、雙

2、字母、多字母在密文中出現(xiàn)的頻率比在明文中出現(xiàn)的頻率更接近于相等; 方式: 在分組密碼中, 對數(shù)據(jù)重復(fù)執(zhí)行某個置換, 可獲得擴(kuò)散; 定義定義：使密文和密鑰之間的統(tǒng)計關(guān)系變得盡：使密文和密鑰之間的統(tǒng)計關(guān)系變得盡可能復(fù)雜可能復(fù)雜, , 以阻止攻擊者發(fā)現(xiàn)密鑰。以阻止攻擊者發(fā)現(xiàn)密鑰。 方式方式：使用復(fù)雜的非線性代換算法可以混淆：使用復(fù)雜的非線性代換算法可以混淆的效果。的效果。 擴(kuò)散和混淆成功地實現(xiàn)了分組密碼的本質(zhì)屬性, 因而成為設(shè)計現(xiàn)代分組密碼的基礎(chǔ).混 淆 Feistel密碼結(jié)構(gòu)Feistel解密結(jié)構(gòu) Feistel解密過程本質(zhì)上和加密過程是一樣的， 算法使用密文作為輸入，但使用子密鑰Ki的次序與加密

3、過程相反，即第1輪使用Kn, 第2輪使用Kn-1, , 最后一輪使用K1. 這一特性保證了解密和加密可采用同一算法和硬件結(jié)構(gòu).2 數(shù)據(jù)加密標(biāo)準(zhǔn)DES 數(shù)據(jù)加密標(biāo)準(zhǔn)(data encryption standard, DES), 最為廣泛使用和流行, 美國IBM公司研制, Lucifer密碼(128位密鑰)的一種發(fā)展和修改(56位密鑰); 設(shè)計目標(biāo)-用于加密保護(hù)靜態(tài)存儲和傳輸信道中的數(shù)據(jù), 安全使用1015年. DES的參數(shù) 密鑰：56比特，明文：64位，密文：64位DES加密算法框圖初始置換IP和IP-1DES加密算法的輪結(jié)構(gòu)擴(kuò)展置換32位擴(kuò)展到48位基本方法：32位輸入被4位4位地分成8組,

4、 然后每組從相鄰地兩組中取得位置最遠(yuǎn)地一位而變成6位.目的：使S盒的輸出在下一輪中盡可能影響更多的數(shù)據(jù)位F中的代換由8個S盒組成, 每個S盒的輸入長為6比特、輸出長為4比特, 每個S盒給出了4個代換(由一個表的4行給出)S-Box-iS-盒的構(gòu)造P-盒置換子密鑰的產(chǎn)生DES的解密 DES的解密算法和加密算法完全相同,只是各子密鑰的使用順序相反, 即為 k16,k15,k14,k2,k1. 算法也是循環(huán)右移產(chǎn)生每一圈的子密鑰，每次右移動的位數(shù)為 弱密鑰，半弱密鑰，互補(bǔ)密鑰，總共64個 DES的4種運行模式, 這些模式也可用于其他分組密碼; ECB，CBC，OFB，CFBDES的運行模式電碼本（E

5、CB）模式 相同明文相同密文 密文塊損壞僅對應(yīng)明文塊損壞 適合于傳輸短信息密碼分組鏈接（CBC）模式相同明文不同密文密文塊損壞兩明文塊損壞加密長消息非常合適; 保密性和認(rèn)證密碼反饋（CFB）模式 分組密碼 流密碼 一個單元損壞影響多個單元 分組密碼 流密碼 一個單元損壞只影響對應(yīng)單元輸出反饋(OFB)模式計數(shù)器(CTR)模式計數(shù)器模式的主要特點 可以并行實現(xiàn)，適用于高速網(wǎng)絡(luò)可以并行實現(xiàn)，適用于高速網(wǎng)絡(luò) 可以隨機(jī)訪問加密的數(shù)據(jù)分組可以隨機(jī)訪問加密的數(shù)據(jù)分組 為了提高DES的安全性，并利用現(xiàn)有DES的軟硬件資源，可將DES算法在多密鑰下多重使用. 最簡單的形式是二重DES二重DES算法21 KKC

6、EEP12 KKPDDC二重DES所用密鑰長度為112比特，強(qiáng)度極大地增加二重DES的中間相遇攻擊 如果已知一個明文密文對(P,C), 攻擊的實施可如下進(jìn)行：1. 用256個所有可能的K1對P加密，將加密結(jié)果存入一表并對表按X排序；2. 用256個所有可能的K2對C解密，在上述表中查找與C解密結(jié)果相匹配的項，如果找到，則記下相應(yīng)的K1和K2。3. 再用一新的明文密文對(P,C)檢驗上面找到的K1和K2，用K1和K2對P兩次加密，若結(jié)果等于C，就可確定K1和K2是所要找的密鑰。如果有那么21 KKCEEP12 KKXEPDC兩個密鑰的三重DES121 KKKCEDEP三個密鑰的三重DES321

7、KKKCEDEPAES的歷史 1997年NIST宣布征集AES算法-要求: 與三重DES比，要快且至少一樣安全,分組128位,密鑰128/192/256位 1998年確定第一輪15個候選者 1999年確定第二輪五個候選者: MARS, RC6, Rijndael, Serpent, Twofish 2000年底Rijndael勝出AES算法- Rijndael簡介 不屬于Feistel結(jié)構(gòu) 加密、解密相似但不對稱 支持128數(shù)據(jù)塊大小 支持128/192/256密鑰長度 有較好的數(shù)學(xué)理論作為基礎(chǔ) 結(jié)構(gòu)簡單、速度快AES算法結(jié)構(gòu) 主要有四個基本運算:-字節(jié)代換-行移位-列混淆-輪密鑰加Rijnd

8、ael加解密結(jié)構(gòu)AddRoundKey()For(i=1;iNr;+i) ByteSub();ShiftRow();MixColumn();AddRoundKey() ByteSub();ShiftRow();AddRoundKey() I_AddRoundKey()I_ShiftRow();I_ByteSub();For(i=1;iNr;+i) I_AddRoundKey()I_MixColumn();I_ShiftRow();I_ByteSub();I_AddRoundKey() I_AddRoundKey()For(i=1;iNr;+i) I_ShiftRow();I_ByteSub()

9、;I_AddRoundKey() I_MixColumn();I_ShiftRow();I_ByteSub();I_AddRoundKey()AES算法過程的動畫演示其他的分組密碼 IDEA算法 Blowfish算法 RC5算法 .流密碼 將明文劃分為bit或byte的編碼單位，分別與密鑰流作用進(jìn)行加密，解密時以同步產(chǎn)生的同樣的密鑰流實現(xiàn)。流密碼 安全強(qiáng)度完全依賴于密鑰流生成器生成序列的隨機(jī)性和不可預(yù)測性。-加密關(guān)鍵：密鑰流生成器的設(shè)計-解密關(guān)鍵：保持收發(fā)兩端密鑰流的精確同步流密碼的特點 優(yōu)點: 速度更快,需要編寫的代碼更少 缺點: 不能重復(fù)使用密鑰 使用場合-流密碼: 需要對數(shù)據(jù)流進(jìn)行加解密

10、的應(yīng)用,如數(shù)據(jù)通信或網(wǎng)頁瀏覽器/Web鏈接-分組密碼: 處理成塊的數(shù)據(jù),如文件傳輸、電子郵件、數(shù)據(jù)庫設(shè)計流密碼需要考慮的因素 加密序列的周期要足夠長 密鑰流應(yīng)該盡可能接近于一個真正的隨機(jī)數(shù)流的特征流密碼的實現(xiàn)方式 LSFR方式 DES方式 RC4 量子密碼，混沌密碼LSFR流密碼常見的兩種密鑰流產(chǎn)生器移位寄存器是流密碼產(chǎn)生密鑰流的一個主要組成部分. GF(2)上一個n級反饋移位寄存器由n個二元存儲器與一個反饋函數(shù)f(a1,a2,an)組成, 如圖所示. 線性反饋移位寄存器GF(2)上的n級反饋移位寄存器圖 是一個3級反饋移位寄存器, 其初始狀態(tài)為(a1,a2,a3)=(1,0,1), 輸出見表

11、.一個3級反饋移位寄存器表 一個3級反饋移位寄存器的狀態(tài)和輸出 狀態(tài)狀態(tài)（a3,a2,a1)輸出輸出1 0 11 1 01 1 10 1 11 0 11 1 0 101110即輸出序列為101110111011，周期為4Geffe序列生成器由3個LFSR組成, 其中LFSR2作為控制生成器使用,當(dāng)LFSR2輸出1時, LFSR2與LFSR1相連接；當(dāng)LFSR2輸出0時, LFSR2與LFSR3相連接Geffe序列生成器Geffe序列生成器圖多路復(fù)合器表示的Geffe序列生成器Geffe序列的周期實現(xiàn)了極大化, 且0與1之間的分布大體上是平衡的。J-K觸發(fā)器如圖所示，兩個輸入端分別用J和K表示，

12、其輸出ck不僅依賴于輸入，還依賴于前一個輸出位ck-1，即其中x1和x2分別是J和K端的輸入。J-K觸發(fā)器1211kkcxxcx利用J-K觸發(fā)器的非線性序列生成器見圖利用J-K觸發(fā)器的非線性序列生成器Pless生成器由8個LFSR、4個J-K觸發(fā)器和1個循環(huán)計數(shù)器構(gòu)成，由循環(huán)計數(shù)器進(jìn)行選通控制。Pless生成器鐘控序列最基本的模型是用一個LFSR控制另外一個LFSR的移位時鐘脈沖，如圖所示。鐘控序列生成器最簡單的鐘控序列生成器RC4流密碼 Ron Rivest, RSA公司, 1987 可變密鑰長度, 面向字節(jié)操作的流密碼 該密碼的周期大于10100, 每輸出一字節(jié)的結(jié)果僅需要8到16條機(jī)器周

13、期 SSL/TLS, WEP 1994年公開RC4流密碼RC4算法描述 使用28=256個字節(jié)構(gòu)成的S表和兩個指針(I和J),總共需要258個字節(jié)的存儲空間; S表的值S0,S1,S255是0,1,255的一個排列,I和J的初值為0; 把S表和I,J指針的具體取值稱為RC4的一個狀態(tài): T= 對狀態(tài)T進(jìn)行非線性變換,產(chǎn)生出新的狀態(tài),并輸出密鑰序列中的一個字節(jié)kRC4算法描述(con.) RC4的下一狀態(tài)函數(shù)定義為: (1) I = 0, J = 0; (2) I = I + 1 mod 256; (3) J = J + SI mod 256; (4) 交換SI和SJ RC4的輸出函數(shù)定義為:

14、(1) h=SI+SJ mod 256 (2) k=Sh隨機(jī)數(shù) 隨機(jī)數(shù)的用途 會話密鑰產(chǎn)生 RSA公鑰算法中密鑰的產(chǎn)生 認(rèn)證過程中的臨時交互號，作為握手信息避免重放攻擊 隨機(jī)數(shù)的基本特點 隨機(jī)性 均勻分布: 隨機(jī)數(shù)的分布是一致的 獨立性: 序列中任何數(shù)不能由其它數(shù)推導(dǎo)出來 不可預(yù)測性 認(rèn)證或會話密鑰之類的應(yīng)用隨機(jī)數(shù)的源 真隨機(jī)數(shù)難以獲得-物理噪聲發(fā)生器: 離子輻射事件, 閘流管, 但隨機(jī)性和精確度有問題, 這些設(shè)備又很難連接到網(wǎng)絡(luò)系統(tǒng)中-已經(jīng)公布好的隨機(jī)數(shù): 數(shù)目太少,敵手也可搞到 偽隨機(jī)數(shù)(相對隨機(jī))-使用算法來生成隨機(jī)數(shù), 算法是確定的, 所以產(chǎn)生的序列并非統(tǒng)計隨機(jī)的-但可以經(jīng)受住隨機(jī)性檢測偽隨機(jī)數(shù)的產(chǎn)生偽隨機(jī)數(shù)的產(chǎn)生 線性同余法 Xn+1 = (aXn+c) mod m m 模數(shù) m0 231 a 乘數(shù) 0am a=75=16807 c 增量 0 cm X0 種子 0 X0m基于密碼的隨機(jī)數(shù)產(chǎn)生 循環(huán)加密 DES輸出反饋方式 ANSI X.917 偽隨機(jī)數(shù)產(chǎn)生器 Blum Blum Shub(BBS)產(chǎn)生器循環(huán)加密DES輸出反饋模型ANSI X9.17偽隨機(jī)數(shù)發(fā)生器偽隨機(jī)數(shù)發(fā)生