信息安全與管理課件

1、信息安全與管理1信息安全與管理第四講 密碼學(xué) 信息安全與管理2一、密碼學(xué)概述 密碼體制：1）傳統(tǒng)密碼體制 2）現(xiàn)代密碼體制傳統(tǒng)密碼體制：對稱密碼體制（單鑰體制）現(xiàn)代密碼體制：非對稱密碼體制（公鑰密碼體制、雙鑰體制）按照對明文的處理方式分為：分組密碼算法和序列密碼算法。分組密碼算法：把明文分成等長的組分別加密序列密碼算法：是一個比特一個比特地處理，用已知的密鑰隨機序列與明文按位異或。第四章 傳統(tǒng)密碼學(xué) 信息安全與管理3二、加密和解密 第四章 傳統(tǒng)密碼學(xué)加密解密明文P密文C原 始 明 文ME（P）=C.D（C）=PD（E（P）=P明文Plaintext 密文Cipher text加密Encrypt

2、ion 解密Decryption密鑰key信息安全與管理4二、加密和解密 第四章 傳統(tǒng)密碼學(xué)密碼就是一組含有參數(shù)k的變換E。設(shè)已知信息m，通過變換E得到密文c。即 c=Ek(m) 這個過程稱之為加密，參數(shù)k稱為密鑰。解密算法D是加密算法E的逆運算，解密算法也是含參數(shù)k的變換。DK（EK（M）=M.加密解密明文P密文C原始明文P密鑰K密鑰KEK（P）=CDK（C）=P.信息安全與管理5二、加密和解密 第四章 傳統(tǒng)密碼學(xué) DK2 （EK1（P）=P 雙鑰密碼體制加密解密明文P密文C原始明文P加密密鑰K1解密密鑰K2EK1（P）=CDK2（C）=P信息安全與管理6定義: (密碼體制）它是一個五元組（

3、P,C,K,E,D)滿足條件： （1）P是可能明文的有限集；（明文空間） （2）C是可能密文的有限集；（密文空間） （3）K是一切可能密鑰構(gòu)成的有限集；（密鑰空間） *（4）任意k K,有一個加密算法 和相應(yīng)的解密算法 ，使得 和 分別為加密解密函數(shù)，滿足dk(ek(x)=x, 這里 x P。二、加密和解密 第四章 傳統(tǒng)密碼學(xué) EekCPek:PCdk:DdkDdk信息安全與管理7二、加密和解密 第四章 傳統(tǒng)密碼學(xué)加密通信的模型信源加密機解密機接收者安全信道密鑰源竊聽者xyxk1密鑰源k2不安全信道密碼分析信息安全與管理81*.Alice要將明文在不安全信道上發(fā)給Bob，設(shè)X=x1 x2 xn

4、 , 其中xi P, Alice用加密算法ek作yi=ek(xi) 1 i n 結(jié)果的密文是 Y=y1y2.yn ,在信道上發(fā)送， Bob收到后解密：xi=dk(yi) 得到明文X=x1 x2 xn .。2*.加密函數(shù)ek必須是單射函數(shù)，就是一對一的函數(shù)。3*.好的密鑰算法是唯密鑰而保密的。4*.若Alice和Bob在一次通信中使用相同的密鑰，那么這個加密體制為對稱的，否則稱為非對稱的。二、加密和解密 第四章 傳統(tǒng)密碼學(xué)信息安全與管理91、對稱算法：加密密鑰能夠從解密密鑰中推算出來，反之也成立。2、對多數(shù)對稱算法，加/解密密鑰是相同的又稱之為秘密密鑰算法或單密鑰算法3、對稱算法有兩類：序列密碼

5、（流密碼）和分組密碼。4、序列密碼算法：已知的密鑰隨機序列與明文按位異或。 加密： 解密：二、加密和解密對稱算法 iiiKCP第四章 傳統(tǒng)密碼學(xué)iiiKPC信息安全與管理10對于一個序列如果對所有的i總有Ki+p=Ki，則序列是以p為周期的，滿足條件的最小的p稱為序列的周期。密鑰流發(fā)生器產(chǎn)生的序列周期應(yīng)該足夠的長，如250?；谝莆患拇嫫鞯男蛄忻艽a應(yīng)用十分廣泛。一個反饋移位寄存器由兩部分組成：移位寄存器和反饋函數(shù)。移位寄存器的長度用位表示，如果是n位長，稱為n位移位寄存器。移位寄存器每次向右移動一位，新的最左邊的位根據(jù)反饋函數(shù)計算得到，移位寄存器輸出的位是最低位。 圖4.6 反饋移位寄存器第四

6、章 傳統(tǒng)密碼學(xué)二、加密和解密對稱算法 信息安全與管理11最簡單的反饋移位寄存器是線形反饋移位寄存器，反饋函數(shù)是寄存器中某些位簡單異或。 產(chǎn)生好的序列密碼的主要途徑之一是利用移位寄存器產(chǎn)生偽隨機序列，典型方法有：(1)反饋移位寄存器：采用非線性反饋函數(shù)產(chǎn)生大周期的非線性序列（2）利用線性移位寄存器序列加非線性前饋函數(shù)，產(chǎn)生前饋序列（3）鐘控序列，利用一個寄存器序列作為時鐘控制另一寄存器序列（或自己控制自己）來產(chǎn)生鐘控序列，這種序列具有大的線性復(fù)雜度。二、加密和解密對稱算法 第四章 傳統(tǒng)密碼學(xué)信息安全與管理125、分組密鑰：將明文分成固定長度的組（塊），如64比特一組，用同一密鑰和算法對每一塊加密

7、，輸出也是固定長度的密文。著名的分組密碼包括出自IBM被美國政府正式采納的數(shù)據(jù)加密算法（Data Encryption Algorithm，DEA）、由中國學(xué)者Xuejia Lai和 James L. Massey 在蘇黎世的ETH開發(fā)的國際數(shù)據(jù)加密算法IDEA（International Data Encryption Algorithm）、比利時Joan Daemen 和 Vincent Rijmen 提交，被美國國家標(biāo)準(zhǔn)和技術(shù)研究所（US National Institute of Standards and Technology，NIST）選為美國高級加密標(biāo)準(zhǔn)（AES）的Rijndae

8、l。二、加密和解密對稱密鑰、公開密鑰算法第四章 傳統(tǒng)密碼學(xué)信息安全與管理13 公開密鑰算法中用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計算出來（至少在合理假定的長時間內(nèi)），所以加密密鑰能夠公開，每個人都能用加密密鑰加密信息，但只有解密密鑰的擁有者才能解密信息。在公開密鑰算法系統(tǒng)中，加密密鑰叫做公開密鑰（簡稱公鑰），解密密鑰叫做秘密密鑰（私有密鑰，簡稱私鑰）。公開密鑰算法主要用于加密/解密、數(shù)字簽名、密鑰交換。自從1976年公鑰密碼的思想提出以來，國際上已經(jīng)出現(xiàn)了許多種公鑰密碼體制，比較流行的有基于大整數(shù)因了分解問題的RSA體制和Rabin體制、基于有限域上的離散對數(shù)問題的

9、Differ-Hellman公鑰體制和ElGamal體制、基于橢圓曲線上的離散對數(shù)問題的Differ-Hellman公鑰體制和ElGamal體制。這些密碼體制有的只適合于密鑰交換，有的只適合于加密/解密。二、加密和解密 公開密鑰算法 第四章 傳統(tǒng)密碼學(xué)信息安全與管理14n對傳輸中的數(shù)據(jù)可以在通信的不同層次來實現(xiàn)，即：n鏈路加密：對兩個節(jié)點之間的單獨通信線路上數(shù)據(jù)進行加密保護。n 側(cè)重于通信鏈路上而非信源和信宿n端到端加密：為網(wǎng)絡(luò)提供從源到目的的傳輸加密保護。三、密碼分析 信息安全與管理15三、密碼分析密碼體制評價 第四章 傳統(tǒng)密碼學(xué)保密強度：與數(shù)據(jù)的重要性有關(guān) 密鑰的長度：安全、保管、記憶算法

10、的復(fù)雜度：開銷大小差錯的傳播性：不應(yīng)使差錯導(dǎo)致通信失敗加密后信息長度的增加程度：信息安全與管理16密碼學(xué)：對信息進行編碼實現(xiàn)隱蔽信息的一門學(xué)問。密碼分析學(xué)：研究分析破譯密碼的學(xué)問。兩者相互對立、促進。1、常用的密碼分析攻擊有四類常用的密碼分析攻擊有四類 ： 加密算法：公開加密算法：公開 。 攻擊目標(biāo)：獲得密鑰攻擊目標(biāo)：獲得密鑰K唯密文攻擊（ciphertext only attacks）。已知：截獲部分密文已知明文攻擊（know plaintext attacks）。已知：截獲部分密文；若干明文密文對。選擇明文攻擊（chosen plaintext attacks）。已知：截獲部分密文；自主選

11、擇的明文密文對。選擇密文攻擊暫時接近密碼機，可選擇密文串，并構(gòu)造出相應(yīng)的明文。三、密碼分析 第四章 傳統(tǒng)密碼學(xué)信息安全與管理172、一個安全的密鑰體制應(yīng)具有如下幾條性質(zhì)：（1）從密文恢復(fù)明文應(yīng)該是難的，即使分析者知道明文空間（2）從密文計算出明文部分信息應(yīng)該是難得。（3）從密文探測出簡單卻有用的事實應(yīng)該是難的，如相同的信息被發(fā)送了兩次。3、從敵手對密碼體制攻擊的效果看，可能達到的結(jié)果： 完全攻破 部分攻破 密文識別三、密碼分析 第四章 傳統(tǒng)密碼學(xué)信息安全與管理18三、密碼分析 第四章 傳統(tǒng)密碼學(xué)4、算法的安全性、算法的安全性 密碼算法具有不同的安全等級 :以下情況可能是安全的. .破譯算法的代

12、價大于加密數(shù)據(jù)的價值 . .破譯算法所需的時間大于加密數(shù)據(jù)保密的時間 . .用單密鑰加密的數(shù)據(jù)量小于破譯算法需要的數(shù)據(jù)量 Shannon理論：僅當(dāng)密鑰至少和明文一樣長時才無條件安全。如果不論密碼分析者有多少密文，都沒有足夠的信息恢復(fù)出明文，那么這個算法就是無條件保密的，只有一次一密亂碼本，才是無條件安全的。所有其它的密碼系統(tǒng)在唯密文攻擊中都是可破的 （蠻力攻擊 ）。信息安全與管理19三、密碼分析 第四章 傳統(tǒng)密碼學(xué)密碼學(xué)更關(guān)心在計算上不可破譯的密碼系統(tǒng)。如果一個算法用（現(xiàn)在或?qū)恚┛傻玫降馁Y源（公開數(shù)據(jù) ）都不能破譯，這個算法則被認(rèn)為在計算上是安全的。 可以用不同方式衡量攻擊方法的復(fù)雜性：數(shù)據(jù)

13、復(fù)雜性。用作攻擊輸入所需的數(shù)據(jù)量。處理復(fù)雜性。完成攻擊所需要的時間，這個經(jīng)常叫做工作因素。存儲需求。進行攻擊所需要的存儲量。作為一個法則，攻擊的復(fù)雜性取這三個因數(shù)的最小化，有些攻擊包括這三種復(fù)雜性的折中：存儲需求越大，攻擊可能越快。 信息安全與管理20四、密碼協(xié)議 第四章 傳統(tǒng)密碼學(xué)1、協(xié)議：兩個或兩個以上的參與者為完成某項特定的任務(wù)而采取的一系列步驟。2、密碼學(xué)待解決的各種問題圍繞著：機密性、完整性、認(rèn)證性、匿名性、公平性。3、密碼協(xié)議（安全協(xié)議）：使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議。 如：消息認(rèn)證協(xié)議、數(shù)字簽名協(xié)議等（1）密鑰建立協(xié)議：在兩個或多個實體之間建立會話密鑰（2）認(rèn)

14、證協(xié)議：防止假冒攻擊將認(rèn)證和密鑰建立協(xié)議結(jié)合在一起，是網(wǎng)絡(luò)通信中最普遍應(yīng)用的安全協(xié)議。信息安全與管理21五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)1、移位法 ：將明文字母互相換位，明文的字母不變，但順序被打亂了。 例如：線路加密法 明文以固定的寬度水平寫出，密文按垂直方向讀出。明文：COMPUTERSYSTEMSECURITYCOMPUTERSYSTEMSECURITY密文：CTSETOETCYMREUPSMRUYSI信息安全與管理22五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)2、代替法 ：代替密碼就是明文中每一個字符被替換成密文中的另外一個字符，代替后的各字母保持原來位置。對密文進行逆替換就可恢復(fù)出明文。有

15、四種類型的代替密碼：（1）單表（簡單）代替密碼：就是明文的一個字符用相應(yīng)的一個密文字符代替。加密過程中是從明文字母表到密文字母表的一一映射。例：愷撒（Caesar)密碼。（2）同音代替密碼：它與簡單代替密碼系統(tǒng)相似，唯一的不同是單個字符明文可以映射成密文的幾個字符之一同音代替的密文并不唯一。（3）多字母組代替密碼：字符塊被成組加密，例如“ABA”可能對應(yīng)“RTQ”，ABB可能對應(yīng)“SLL”等。例：Playfair密碼。（4）多表代替密碼：由多個單字母密碼構(gòu)成，每個密鑰加密對應(yīng)位置的明文。 例：維吉尼亞密碼。信息安全與管理23五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)3、凱撒（Caesar）密碼 令26

16、個字母分別對應(yīng)于025，a=1，b=2y=25，z=0。凱撒加密變換實際上是c (m + k) mod 26其中m是明文對應(yīng)的數(shù)據(jù)，c是與明文對應(yīng)的密文數(shù)據(jù)，k是加密用的參數(shù)，叫密鑰。比如明文：data security 對應(yīng)數(shù)據(jù)序列：4，1，20，1，19，5，3，21，18，9，20，25k=5時，得密文序列9，6，25，6，24，10，8，0，23，14，25，4密文：ifyxjhzwnyd缺點：容易破解密碼。信息安全與管理24置換密碼：1*. 置換的表示： 2*密鑰空間K很大，|k|=26! 41026，破譯者窮舉搜索是不行的，然而，可由統(tǒng)計的方式破譯它。3*移位密碼體制是替換密碼體制

17、的一個特例，它僅含26個置換做為密鑰空間五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)移位密碼：如凱撒（Caesar）密碼 。仿射密碼：如果選取k1，k2兩個參數(shù)，其中 k1 與 26 互素，令c(k1m + k2)mod 26。這種變換稱為仿射變換。 (0 1 2 3 .23 24 250 1 2 3 .23 24 25)信息安全與管理25五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)4、Playfair密碼（英國曾用）密鑰由25個英文字母（J與I相同）組成的5階方陣。 每一對明文字母 m1和m2，都根據(jù)下面的6條規(guī)則進行加密。（1）明文字母 m1和m2同行。密文是其右邊字母。（2）明文字母 m1和m2同列。密文是

18、其下邊字母。（3）明文字母 m1和m2不同行、不同列。密文是長方形的另兩個頂點。（4）明文字母 m1和m2相同。在m1和m2之間加一個無效字母。（5）明文有奇數(shù)個字母，末尾加一個無效字母。（6）I、J看成是相同字母。信息安全與管理26五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)例：25個字母組成5階方陣如下（J與I相同）：HARPS （1）明文字母 m1和m2同行。密文是其右邊字母。ICODB （3） m1和m2不同行、不同列。密文是長方形的另兩個頂點。EFGKLMNQTUVWXYZ例：明文：CO MP UT ER 密文：OD TH MU GH利用規(guī)則： 1 3 1 3信息安全與管理27五、傳統(tǒng)密碼學(xué)

19、第四章 傳統(tǒng)密碼學(xué)5、維吉尼亞（、維吉尼亞（Vigenere）密碼密碼典型的多表密碼，即一個明文字母可表示為多個密文字母。：例如：明文為System，密鑰為dog，加密過程如下：明文：S y s t e m密鑰：d o g d o g密文：V m g w r s在這個例子中，每三個字母中的第一、第二、第三個字母分別移動（mod 26）3個，14個和6個位置。信息安全與管理28五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)優(yōu)點：能抵抗簡單的字母頻率分析攻擊。優(yōu)點：能抵抗簡單的字母頻率分析攻擊。設(shè)密鑰設(shè)密鑰k=kk=k1 1k k2 2kkn n，明文明文M=mM=m1 1m m2 2mmn n，加密變換加密

20、變換E Ek k(M)=c(M)=c1 1c c2 2ccn n。其中其中c ci i( m( mi i + k + ki i) mod 26) mod 26，i=1,2ni=1,2n。 多表密碼加密算法結(jié)果將使得對單表置換用的簡單多表密碼加密算法結(jié)果將使得對單表置換用的簡單頻率分析方法失效。頻率分析方法失效。信息安全與管理29五、傳統(tǒng)密碼學(xué) 第四章 傳統(tǒng)密碼學(xué)6、一次一密密碼、一次一密密碼一次一密密碼，由AT&T公司的Gilbert Vernam在1917年提出。發(fā)方和收方各保存一份一次一密亂碼本，它是一個大的不重復(fù)的真隨機密鑰字母集。發(fā)方用亂碼本中的某一頁密鑰加密明文。加密方法：明文字符和

21、亂碼本密鑰字符的模26加法。每個密鑰僅對一個消息使用一次。發(fā)方對所發(fā)的消息加密，然后銷毀亂碼本中用過的一頁。收方有一個同樣的亂碼本，并依次使用亂碼本上的每個密鑰去解密密文的每個字符，然后銷毀亂碼本中用過的一頁。信息安全與管理30六、單表密碼分析 第四章 傳統(tǒng)密碼學(xué)英語26個字母中，各字母出現(xiàn)的頻率不同而穩(wěn)定，經(jīng)過大量統(tǒng)計，可以給出了各字母出現(xiàn)的頻率值。英文明文字母按出現(xiàn)概率大小分組表：1 e 0.12 t a o i n s h r 0.05-0.13 d l 0.03-0.054 c u m w f g y p b 0.01-0.035 v k j x q z 0.01信息安全與管理31六、

22、單表密碼分析 第四章 傳統(tǒng)密碼學(xué)字母、三字母組合是分析單表密碼的有力手段 。英語單詞以e、s、t、d雙結(jié)尾的超過一半；以t、a、s、w 為起始字母的約為一半。某些常用用法也會提供有價值的線索，如信的開頭寫Dear ；源程序的某一位置是版權(quán)聲明；電子資金傳送報頭格式。 單表密碼的弱點：明文和密文字母之間的一一代替關(guān)系。這使得明文中的一些固有特性和規(guī)律（比如語言的各種統(tǒng)計特性）必然反映到密文中去。信息安全與管理32一、 DES算法概述現(xiàn)代與古典密碼學(xué)采用的基本思想相同：替換與變位。古典：算法簡單，長密鑰?，F(xiàn)代：算法復(fù)雜。P盒和S盒4.3 分組密碼 數(shù)據(jù)加密標(biāo)準(zhǔn) P盒盒 用用 P盒構(gòu)成的盒構(gòu)成的 S

23、盒盒P盒 實質(zhì)上是用硬件實現(xiàn)變位 ，改變輸入序列S盒實質(zhì)上是用硬件實現(xiàn)若干比特的替換譯譯碼碼器器編編碼碼器器信息安全與管理33一、 DES算法概述發(fā)明人：IBM公司W(wǎng). Tuchman 和 C. Meyer 1971-72年研制。產(chǎn)生：美國商業(yè)部的國家標(biāo)準(zhǔn)局NBS1973年5月到1974年8月兩次發(fā)布通告，公開征求用于電子計算機的加密算法。經(jīng)評選從一大批算法中采納了IBM的LUCIFER方案。標(biāo)準(zhǔn)化：于1976年11月被美國政府采用，DES隨后被美國國家標(biāo)準(zhǔn)局和美國國家標(biāo)準(zhǔn)協(xié)會(American National Standard Institute， ANSI) 承認(rèn)。1977年1月以數(shù)據(jù)加

24、密標(biāo)準(zhǔn)DES（Data Encryption Standard）的名稱正式向社會公布。 于1977年7月15日生效。DES的發(fā)展：如衍生出可抗差分分析攻擊的變形DES以及密鑰長度為128比特的三重DES等。 數(shù)據(jù)加密標(biāo)準(zhǔn)信息安全與管理34一、 DES算法概述在1977年，人們估計要耗資兩千萬美元才能建成一個專門計算機用于DES的解密，而且需要12個小時的破解才能得到結(jié)果。 1997年開始，RSA公司發(fā)起了一個稱作“向DES挑戰(zhàn)”的競技賽。1997年1月，用了96天時間，成功地破解了用DES加密的一段信息；一年之后，在第二屆賽事上，這一記錄41天 ；1998年7月， “第2-2屆DES挑戰(zhàn)賽（D

25、ES Challenge II-2）” 把破解DES的時間縮短到了只需56個小時； “第三屆DES挑戰(zhàn)賽（DES Challenge III）”把破解DES的時間縮短到了只需22.5小時 。數(shù)據(jù)加密標(biāo)準(zhǔn)信息安全與管理35一、 DES算法概述數(shù)據(jù)加密標(biāo)準(zhǔn)個 人 攻擊小 組 攻擊院 、 校網(wǎng) 絡(luò) 攻擊大公司軍 事 情報機構(gòu)40（bits） 數(shù)周數(shù)日數(shù)小時數(shù)毫秒數(shù)微秒56數(shù)百年數(shù)十年數(shù)年數(shù)小時數(shù)秒鐘64數(shù)千年數(shù)百年數(shù)十年數(shù)日數(shù)分鐘80不可能不可能不可能數(shù)百年數(shù)百年128不可能不可能不可能不可能數(shù)千年信息安全與管理36一、 DES算法概述數(shù)據(jù)加密標(biāo)準(zhǔn)上表中攻擊者配有如下計算機資源的攻擊能力 攻擊者類型

26、所配有的計算機資源每秒處理的密鑰數(shù)個人攻擊1臺高性能桌式計算機及其軟件217-224小組攻擊16臺高性能桌式計算機及其軟件221-224院、校網(wǎng)絡(luò)攻擊256臺高性能桌式計算機及其軟件225-228大公司配有價值1百萬美元的硬件243 軍事情報機構(gòu)配有價值1百萬美元的硬件及先進的攻擊技術(shù)255 信息安全與管理37二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn) 64位碼64位碼初始變換逆初始變換乘積變換16次迭代明文密文輸入輸出IPIP-1信息安全與管理38二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)利用傳統(tǒng)的換位和置換加密。假定信息空間由0,1組成的字符串，信息被分成64比特的塊，密鑰是56比特。經(jīng)過DE

27、S加密的密文也是64比特的塊。明文：m=m1m2m64 mi = 0,1 i = 1,2,64密鑰：k=k1k2k64 ki = 0,1 i = 1,2,64 其中k8，k16，k64是奇偶校驗位，起作用的僅為56位。 加密算法加密算法:Ek(m) = IP-1T16T15T1IP(m) 其中IP為初始置換，IP-1是IP的逆，Ti，i = 1,2,16是一系列的變換。 解密算法解密算法:Ek-1 (c) = IP-1T1T2T16IP (c) 信息安全與管理39n中間各級算法說明nKi ：每級密鑰不同 二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)Li-1LiRi-1Ri Li-1 f(Ri-1

28、, Ki) 信息安全與管理40二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)加密函數(shù)加密函數(shù)(A,Ki)A(32位)加密時A=Ri-1擴展置換E48位結(jié)果48位Ki+選擇函數(shù)組(S1S8)32位結(jié)果(A,Ki)置換運算P32位信息安全與管理41二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)左32位右32位Li-1Ri-1擴展置換E48位(明文)64位密鑰作第i次迭代的計算機子密鑰Ki密鑰程序表48位(密鑰)8組6位碼S1S2S8模2加選擇函數(shù)Si輸入：6位輸出：4位+乘積變換中的一次迭代乘積變換中的一次迭代信息安全與管理42二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)32位置換運算P32位加密函數(shù)輸出32位L

29、iRi左32位右32位Ri-1Li-1模2加+.+信息安全與管理43二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)擴展置換擴展置換Er1(i)r2(i)r3(i)r4(i) r5(i)r6(i)r7(i)r8(i)r29(i)r30(i)r31(i)r32(i)r32(i)r1(i)r2(i)r3(i)r4(i) r5(i)r4(i)r5(i)r6(i)r7(i)r8(i) r9(i)r28(i)r29(i)r30(i)r31(i)r32(i) r1(i)把R（i）視為由8個4位二進制的塊組成把它們再擴充為8個6位二進制的塊（左右各增加一列）用E(R（i）)表示這個變換，稱為選擇函數(shù)E。信息安全與管

30、理44二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)A32位32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 1312 13 14 15 16 1716 17 18 19 20 2120 21 22 23 24 2524 25 26 27 28 2928 29 30 31 32 1選擇運算E選擇運算E的結(jié)果48位擴展置換擴展置換E信息安全與管理45二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)使用密鑰使用密鑰在第i+1次迭代中，用48位二進制的密鑰（由56位密鑰生成，下邊會介紹）K（i+1）=k1(i+1)k2(i+1)k48(i+1)與E(R（i）)按位相加（邏輯異或），輸出仍

31、是48位，共8行，每行6位。Z 1 ：r32(i)+ k1(i+1) r1(i) +k2(i+1) r5(i) +k6(i+1)Z 2 ：r4(i)+ k7(i+1) r5(i) +k8(i+1) r9(i) +k12(i+1)Z 8 ：r28(i)+ k43(i+1) r29(i) +k44(i+1) r1(i) +k48(i+1)作為8個Si選擇函數(shù)選擇函數(shù)的輸入信息安全與管理46二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)S1,S2.S8選擇函數(shù)選擇函數(shù)其功能是把6bit數(shù)據(jù)變?yōu)?bit數(shù)據(jù)。Si(i=1,2.8)的功能表： S1: 14,4,13,1,2,15,11,8,3,10,6,12

32、,5,9,0,7,0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8,4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0,15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13,S2: 15,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10,3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5,0,14,7,11,10,4,13,1,5,8,12,6,9,3,2,15,13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9,信息安全與管理47數(shù)據(jù)加密標(biāo)準(zhǔn)S6:12,

33、1,10,15,9,2,6,8,0,13,3,4,14,7,5,11,10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8,9,14,15,5,2,8,12,3,7,0,4,10,1,13,11,6,4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13,S7:4,11,2,14,15,0,8,13,3,12,9,7,5,10,6,1,13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6,1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2,6,11,13,8,1,4,10,7,9,5,0,15,14,2,3

34、,12,S8:13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7,1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2,7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8,2,1,14,7,4,10,8,13,15,12,9,0,3,5,6,11,S3:10,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8,13,7,0,9,3,4,6,10,2,8,5,14,12,11,15,1,13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7,1,10,13,0,6,9,8,7,4,15,1

35、4,3,11,5,2,12,S4:7,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15,13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9,10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4,3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14,S5:2,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9,14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6,4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14,11,8,12,7,1,14

36、,2,13,6,15,0,9,10,4,5,3,信息安全與管理48數(shù)據(jù)加密標(biāo)準(zhǔn)S 盒是DES 的最敏感部分，其原理至今未公開。人們擔(dān)心S 盒隱藏陷門，使得只有他們才可以破譯算法，但研究中并沒有找到弱點。美國國家安全局透露了S 盒的幾條設(shè)計準(zhǔn)則：1 所有的S 盒都不是它輸入的線性仿射函數(shù)。就是沒有一個線性方程能將四個輸出比特表示成六個比特輸入的函數(shù)。2 改變S 盒的1 位輸入，輸出至少改變2 位。這意味著S 盒是經(jīng)過精心設(shè)計的，它最大程度上增大了擴散量。3 S 盒的任意一位輸出保持不變時，0 和1 個數(shù)之差極小。即如果保持一位不變而改變其它五位，那么其輸出0 和1 的個數(shù)不應(yīng)相差太多。信息安全與

37、管理49二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)使用選擇函數(shù)使用選擇函數(shù)S將以上第將以上第j個個(1j6)二進制的塊（記為二進制的塊（記為Z j=zj1 zj2 zj3 zj4 zj5 zj6）輸入第輸入第j個選擇函數(shù)個選擇函數(shù)Sj。各選擇函數(shù)各選擇函數(shù)Sj的功能是把的功能是把6位數(shù)位數(shù)變換成變換成4位數(shù)，做法是以位數(shù)，做法是以zj1zj6為行號，為行號，zj2 zj3 zj4 zj5為列號，為列號，查找查找Sj，行列交叉處即是要輸出的行列交叉處即是要輸出的4位數(shù)。位數(shù)。在此以在此以S1為例說明其功能，我們可以看到：在為例說明其功能，我們可以看到：在S1中，共有中，共有4行行數(shù)據(jù)，命名為數(shù)據(jù)，

38、命名為0，1、2、3行；每行有行；每行有16列，命名為列，命名為0、1、2、3，.，14、15列。現(xiàn)設(shè)輸入為：列?，F(xiàn)設(shè)輸入為： D101100令：列令：列0110行行10坐標(biāo)為（坐標(biāo)為（2，6），然后在），然后在S1表中查得對應(yīng)的數(shù)為表中查得對應(yīng)的數(shù)為2，以，以4位二進制表示為位二進制表示為0010，此即選擇函數(shù)，此即選擇函數(shù)S1的輸出。的輸出。信息安全與管理50二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn) 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 150 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 71 0 15 7 4 14 2 13 1

39、 10 6 12 11 9 5 3 82 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 03 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13S11 0 1 1 0 0 1020 0 1 0輸入6位輸出4位使用選擇函數(shù)使用選擇函數(shù)S的例子的例子信息安全與管理51二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)8個選擇函數(shù)的輸出（32位）位）16 7 20 2129 12 28 17 1 15 23 26 5 18 31 10 2 8 24 1432 27 3 919 13 30 622 11 4 25置換P加密函數(shù)的結(jié)果X（32位）位）置換置換P（單

40、單純換位表）純換位表）信息安全與管理52二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)迭代迭代把L（i）與X（i）按位相加，形成R（i+1），且令R（i）為L（i+1），即得到經(jīng)第i+1次迭代加密后的輸出L（i+1）R（i+1），其中L（i+1）= R（i）R（i+1）= L（i） f(R（i）,K（i+1）) (*)(i=0,1,2,15)信息安全與管理53數(shù)據(jù)加密標(biāo)準(zhǔn)64位密鑰置換選擇1C0(28位)D0(28位)循環(huán)左移循環(huán)左移C1(28位)D1(28位)置換選擇2K1(48位)(56位位)循環(huán)左移循環(huán)左移Ci(28位)Di(28位)置換選擇2Ki(48位)(56位位)16個子密鑰的生成算法個

41、子密鑰的生成算法循環(huán)左移：1 1 9 12 1 10 23 2 11 24 2 12 25 2 13 26 2 14 27 2 15 28 2 16 1信息安全與管理54二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)置換選擇置換選擇1密鑰計算的目的在于產(chǎn)生加密和解密時所需要的密鑰計算的目的在于產(chǎn)生加密和解密時所需要的16個子密鑰，記作個子密鑰，記作K(i)。初始密鑰初始密鑰Key值為值為64位，但位，但DES算法規(guī)定，其中第算法規(guī)定，其中第8、16、.64位是奇偶校位是奇偶校驗位，不參與驗位，不參與DES運算。故運算。故Key 實際可用位數(shù)便只實際可用位數(shù)便只有有56位。即：經(jīng)過子密鑰換位表位。即：

42、經(jīng)過子密鑰換位表PC-1的變換后，的變換后，Key 的位數(shù)由的位數(shù)由64 位變成了位變成了56位，此位，此56位分為位分為C0、D0兩部分，各兩部分，各28位。位。信息安全與管理55二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)57 49 41 33 25 17 9 1 58 50 42 34 26 1810 2 59 51 43 35 2719 11 3 60 52 44 3663 55 47 39 31 33 15 7 62 54 46 38 30 2214 6 61 53 45 37 2921 13 5 28 20 12 4不考慮各字節(jié)第8位密鑰（64位）C0(28位)D0(28位)密鑰置換選

43、擇密鑰置換選擇1信息安全與管理56二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)循環(huán)移位規(guī)則：循環(huán)移位規(guī)則：輪數(shù)：輪數(shù)：1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16位數(shù)：位數(shù)：1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1密鑰置換選擇密鑰置換選擇25656位分為位分為C C0 0、D D0 0兩部分，然后分別進行第兩部分，然后分別進行第1次循環(huán)左移，得次循環(huán)左移，得到到C1、D1，將將C1（28位）、位）、D1（28位）合并得到位）合并得到56位，位，再經(jīng)過子密鑰換位表再經(jīng)過子密鑰換位表PC-2，便得到了密鑰便得到了密鑰K1（48位）。位）。 子密鑰換

44、位表子密鑰換位表PC-2給出了選擇及選擇后的次序，可以看出給出了選擇及選擇后的次序，可以看出去掉了第去掉了第9、18、22、25、35、38、43、54位。位。信息安全與管理57二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)Ci(28位)Di(28位)14 17 11 24 1 5 3 28 15 6 21 1023 19 12 4 26 816 7 27 20 13 241 52 31 37 47 5530 40 51 45 33 4844 49 39 56 34 5346 42 50 36 29 32Ki(48位)密鑰置換密鑰置換2去掉第9，18，22，25，35，38，43，54位，56位變成

45、48位信息安全與管理58二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)L0R0 IP(明文)L1R0 R1 L0(R0,K1)L2R1 R2 L1(R1,K2)L16R15 R16 L15(R15,K16)密文 IP-1(R16L16)加密過程加密過程：L0R0 IP()LnRn-1Rn Ln-1(Rn-1,Kn) IP-1(R16L16)解密過程解密過程：R16L16 IP()Rn-1LnLn-1Rn(Ln,Kn) IP-1(L0R0)信息安全與管理59二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法1. 處理密鑰:1.1 從用戶處獲得64位密鑰Key.(每第8位為校驗位,為使密鑰有正確的奇偶校

46、驗,每個密鑰要有奇數(shù)個”1”位.(本文如未特指，均指二進制位)1.2 具體過程:1.2.1 對密鑰實施變換, 經(jīng)過子密鑰換位表PC-1的變換后，Key 的位數(shù)由64 位變成了56位。1.2.2 把變換后的密鑰等分成兩部分,前28位記為C0, 后28位記為D0。信息安全與管理60二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)1.2.3 計算子密鑰(共16個)， 從i=1開始。1.2.3.1 分別對Ci-1、Di-1作循環(huán)左移來生成Ci、Di(共16次)。1.2.3.2 串聯(lián)Ci、Di，得到一個56位數(shù)，然后對此數(shù)作子密鑰換位表PC-2變換以產(chǎn)生48位子密鑰Ki。(P53 表4.6)1.2.3.3 按以

47、上方法計算出16個子密鑰。 2對64位數(shù)據(jù)塊的處理：21 把數(shù)據(jù)分成64位的數(shù)據(jù)塊，不夠64位的以適當(dāng)方式填補。22對數(shù)據(jù)塊利用初始變換IP表作變換。23 將變換后的數(shù)據(jù)塊等分成前后兩部分，前32位記為L0,后32位記為R0。 信息安全與管理61二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)24 用16個子密鑰對數(shù)據(jù)加密。241 利用擴展置換E，擴展32位的成48位242 用ER (i-1)與子密鑰K(i)作按位異或運算。243 把所得的48位數(shù)分成8個6位數(shù)。1-6位為Z 1，7-12位為Z 2,43-48位為Z 8。244 用S密箱里的值替換Z j。從j=1開始。S密箱里的值為4位數(shù)，共8個S密

48、箱2441 取出Z j的第1和第6位串聯(lián)起來成一個2位數(shù)，記為m.。m即是Sj密箱里用來替換Z j的數(shù)所在的列數(shù)。2442 取出Z j的第2至第5位串聯(lián)起來成一個4位數(shù)，記為n。n即是Sj密箱里用來替換Z j的數(shù)所在的行數(shù)。信息安全與管理62二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES) 數(shù)據(jù)加密標(biāo)準(zhǔn)2443 用S密箱里坐標(biāo)（n,m）的值替換。245八個選擇函數(shù)Sj(1j8)的輸出拼接為32位二進制數(shù)據(jù)區(qū)組，把它作為P盒置換的輸入，得到輸出246 把得到的結(jié)果與L（i-1）作異或運算。把計算結(jié)果賦給R（i）。247 把R（i-1）的值賦給L（i），完成第1輪乘積變換。248 從241循環(huán)執(zhí)行，直到K(16)也被用

49、到。216輪25 把R（16）和L（16） 順序串聯(lián)起來得到一個64位數(shù)。對這個數(shù)實施22變換的逆變換IP-1。信息安全與管理63二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)數(shù)據(jù)加密標(biāo)準(zhǔn)+K1+K2+KnDES設(shè)計原理重復(fù)交替使用選擇函數(shù)S和置換運算P兩種變換使用 Feistel密碼結(jié)構(gòu)(1967年）信息安全與管理64DES算法的脆弱性DES的半公開性：S盒的原理至今保密，所以不能算作真正的公開加密算法。1）函數(shù)構(gòu)造與作用域：加密強度取決于函數(shù)f的復(fù)雜度 (S、P)和f的執(zhí)行次數(shù)。n64位固定分組，短組模式，易造成密文重復(fù)組塊n有限的函數(shù)作用域 ASCII碼 0127n子密鑰只參與異或簡單的運算，有可能損害變換

50、精度。2）迭代問題無法證明迭代16次最好 迭代在有限的作用域中存在封閉性；迭代次數(shù)多不僅費時，還可能被一次簡單的變換所代替。信息安全與管理65DES算法的脆弱性3）S盒中的重復(fù)因子及密鑰多值問題S盒設(shè)計中利用重復(fù)因子，導(dǎo)致S盒對不同輸入可能產(chǎn)生相同輸出，使加密、解密變換的密鑰具有多值性。子密鑰長度48位，只影響32位輸出，因此加密強度達不到256，實際只有232x16=236S盒是精心設(shè)計的，它有利于設(shè)計者破譯密碼。提高加密強度（如增加密鑰長度），系統(tǒng)開銷呈指數(shù)增長，除提高硬件、并行處理外，算法本身和軟件技術(shù)無法提高加密強度。信息安全與管理66多重DES及IDEAn二重DES （二個密鑰，長度

51、112位） ：n加密：C=Ek2Ek1(P)n解密：P=Dk1Dk2(C)n要防止中途攻擊n三重DES（二個密鑰）n加密： C=Ek1Dk2 Ek1(P)n解密： P=Dk1Ek2 Dk1(C)vIDEA加密算法 1992年，瑞士的Lai和Massey 128位密鑰，8輪，快速，軟硬件實現(xiàn)。信息安全與管理67三、高級加密標(biāo)準(zhǔn)(AES) NIST(國家標(biāo)準(zhǔn)技術(shù)研究所)1997年9月12日發(fā)出征集高級加密標(biāo)準(zhǔn)的通知 。1998年8月首次選出15個候選者，1999年3月遴選出5個，包括：E2、MARS、RC6、Rijndael、Twofish。2000年10月2日，美國商務(wù)部部長宣布比利時的Rijn

52、dael算法成為新的AES。選擇的基本條件：公開；分組單鑰，分組長度128；密鑰可為128，192，256；可軟硬件實現(xiàn)。優(yōu)劣標(biāo)準(zhǔn)：安全性；計算效率；內(nèi)存要求；簡便靈活。此外：適應(yīng)性；減少專利糾紛；分散目標(biāo)減少攻擊。AES被開發(fā)用于替代DES，但NIST預(yù)測Triple DES仍將在近期作為一種實用的算法，單DES將逐步退出。 信息安全與管理68分組密碼運行模式數(shù)據(jù)加密標(biāo)準(zhǔn)ECB（電碼本）模式： 各明文組獨立地以同一密鑰加密；傳送短數(shù)據(jù)信息安全與管理69nECB模式的主要特點：1.每次加密數(shù)據(jù)長度為64位;2.數(shù)據(jù)塊重新排序不需要檢測;3.相同的明文塊(使用相同的密鑰)產(chǎn)生相同的密文塊，這使得

53、算法容易遭受字典攻擊;4.一個錯誤僅僅會對一個密文塊產(chǎn)生影響.分組密碼運行模式信息安全與管理70分組密碼運行模式 CBC（密碼分組鏈接）模式： Cn=EkCn-1Pn；初始向量V1； 用途：傳送數(shù)據(jù)分組；認(rèn)證。信息安全與管理71nCBC模式的主要特點：1.一次加密64位數(shù)據(jù);2.當(dāng)相同的明文使用相同的密鑰和初始向量的時候CBC模式總是產(chǎn)生相同的密文;3.鏈操作使得密文塊要依賴當(dāng)前和以前處理過的明文塊，所以，密文塊不能進行重新排列;4.可以使用不同的初始化向量來避免相同的明文產(chǎn)生相同的密文,一定程度上抵抗字典攻擊;5.一個錯誤發(fā)生后，會對當(dāng)前以及以后的密文都產(chǎn)生影響 ;n6.不得實時解密，當(dāng)實時

54、性比較高的時候不合適。分組密碼運行模式信息安全與管理72分組密碼運行模式nCFB（密碼反饋）模式：利用CFB、OFB模式，可將DES轉(zhuǎn)換為流密碼。流密碼無需填充消息，實時運行。流密碼中明文和密文長度相同。如對字符加密，只要密鑰長度8bit。 Cn=Pn SSj(E(C n-1)信息安全與管理73分組密碼運行模式nCFB模式的主要特點是：1.每次加密的數(shù)據(jù)(j位)不超過64位;2.當(dāng)使用相同的密鑰和初始向量的時候，相同明文使用CFB模式加密輸出相同的密文;3.鏈操作的方法使得密文數(shù)據(jù)依賴當(dāng)前和以前所有的數(shù)據(jù)，所以j位數(shù)據(jù)都組織在一起，順序不能打亂重排。4.可以使用不同的初始化變量使相同的明文產(chǎn)生

55、不同的密文，防止字典攻擊;5.CFB模式的強度依賴于密鑰的長度k，最大值是(j=k)的情況;6.當(dāng)j的取值比較小的時候，相同的明文一般需要更多的循環(huán)來完成加密，這可能會導(dǎo)致過大的開銷;7.j的位數(shù)應(yīng)該為8的整數(shù)倍;8.一旦某位數(shù)據(jù)出錯，會影響到目前和其后的加密數(shù)據(jù).信息安全與管理74分組密碼運行模式 OFB（輸出反饋）模式：用分組密碼產(chǎn)生一個隨機密鑰流，將此密鑰流和明文流進行異或可得密文流。仍然需要一個初始向量（IV）信息安全與管理75分組密碼運行模式nOFB模式的特點如下：1.每次加密的數(shù)據(jù)(j位)不超過64位;2.當(dāng)使用相同的密鑰和初始向量的時候，相同明文使用CFB模式加密輸出相同的密文,

56、需要注意的是，在OFB模式相同的密鑰和開始變量產(chǎn)生相同的密鑰流，所以，為了安全原因，一個特定的開始變量對一個給定的密鑰應(yīng)該只使用一次;3.因為沒有使用鏈操作，所以使得OFB模式更容易受到攻擊;4.可以使用不同的初始變量，使得產(chǎn)生不同的密鑰流，從而使得相同的明文使用相同密鑰產(chǎn)生不同的密文;5.當(dāng)j的取值比較小的時候，相同的明文一般需要更多的循環(huán)來完成加密，這可能會導(dǎo)致過大的開銷;6.j的位數(shù)應(yīng)該為8的整數(shù)倍;7.OFB模式不會進行錯誤傳播，某位密文發(fā)生錯誤，只會影響該位對應(yīng)的明文，而不會影響別的位;8.OFB模式不是自同步的，如果加密和解密兩個操作失去同步，那么系統(tǒng)需要重新初始化;9.每次重新同

57、步的時候，應(yīng)該使用不同的初始化向量。這樣可以避免產(chǎn)生相同的比特流，從而避免“已知明文”攻擊. 信息安全與管理76一、RSA算法概述 傳統(tǒng)密碼體制的缺陷傳統(tǒng)密碼體制的缺陷：密鑰管理的麻煩：密鑰管理的麻煩：n個用戶保存?zhèn)€用戶保存n*(n-1)/2個密鑰。個密鑰。不能提供法律證據(jù)不能提供法律證據(jù) :不僅要保密還要解決證實問題。 1976年，美國學(xué)者Diffie和Hellman發(fā)表了著名論文密碼學(xué)的新方向，提出了建立“公開密鑰密碼體制”：若用戶A有加密密鑰ka（公開），不同于解秘密鑰ka（保密），要求ka的公開不影響ka的安全。若B要向A保密送去明文m,可查A的公開密鑰ka，若用ka加密得密文c，A收

58、到c后，用只有A自己才掌握的解密密鑰ka對x進行解密得到m。公開密鑰算法 信息安全與管理77一、 RSA算法概述 公鑰密碼(雙鑰密碼、非對稱密碼），是1976年由Diffie和Hellman在其“密碼學(xué)新方向”一文中提出的單向陷門函數(shù)是滿足下列條件的函數(shù)f：(1)給定x，計算y=f(x)是容易的；(2)給定y, 計算x使y=f(x)是非常困難的，無實際意義。(3)存在，已知 時,對給定的任何y，若相應(yīng)的x存在，則計算x使y=f(x)是容易的。注：1*. 僅滿足(1)、(2)兩條的稱為單向函數(shù)；第(3)條稱為陷門性， 稱為陷門信息。第五章 密碼學(xué)的應(yīng)用 信息安全與管理78一、 RSA算法概述 2

59、*. 當(dāng)用陷門函數(shù)f作為加密函數(shù)時，可將f公開，這相當(dāng)于公開加密密鑰。此時加密密鑰便稱為公開密鑰，記為Pk。 f函數(shù)的設(shè)計者將 保密，用作解密密鑰，此時 稱為秘密鑰匙，記為Sk。由于加密函數(shù)是公開的，任何人都可以將信息x加密成y=f(x)，然后送給函數(shù)的設(shè)計者（可以通過不安全信道傳送）；由于設(shè)計者擁有Sk，他自然可以解出x=f-1(y)。 3*.單向陷門函數(shù)的第(2)條性質(zhì)表明竊聽者由截獲的密文y=f(x)推測x是不可行的。第五章 密碼學(xué)的應(yīng)用信息安全與管理79Diffie-Hellman 密鑰交換算法密鑰交換算法 Diffie 和Hellman 并沒有給出公鑰密碼實例，也既沒能找出一個真正帶

60、陷門陷門的單向函數(shù)。然而，他們給出單向函數(shù)的實例，并且基于此提出D-H密鑰交換算法。這個算法是基于有限域中計算離散對數(shù)的困難性問題之上的：對任意正整數(shù)x，計算gx 是容易的；但是已知g和y求x使y= gx，是計算上幾乎不可能的。這稱為有限域上的離散對數(shù)問題。公鑰密碼學(xué)中使最廣泛的有限域為素域FP 。D-H密鑰交換算法擁有美國和加拿大的專利。第五章 密碼學(xué)的應(yīng)用信息安全與管理80D-H密鑰交換協(xié)議：A和B協(xié)商一個大素數(shù)p和大整數(shù)g，1gp，g最好是FP中的本原元，即gx mod p可生成1p-1中的各整數(shù)，例：2是11的本原元。p和g公開。當(dāng)A和B按如下步驟進行保密通信：(1)A取大的隨機數(shù)x，