應(yīng)用密碼學第6講

1、2022-6-17應(yīng)用密碼學12008-2009年度濟南大學網(wǎng)絡(luò)工程專業(yè)本科班課程應(yīng)用密碼學第六講分組密碼工作模式賈忠田辦公電話：82767529電子信箱：辦公地點：新信息樓806室2022-6-17應(yīng)用密碼學2回顧：回顧：1、分組密碼的基本概念。、分組密碼的基本概念。2、DES加密算法加密算法。)32(0bitL)32(0bitREs-盒置換48bit1k(48bit)32(1bitR)32(1bitL2022-6-17應(yīng)用密碼學3 分組密碼的運行模式q電子本電子本ECB（electronic codebook）q密碼反饋密碼反饋 CFB （cipher feedback）q密碼分組鏈接密碼

2、分組鏈接CBC（cipher block chaining）q輸出反饋輸出反饋OFB（output feedback）美國美國NSB在在FIPS PUS 74和和81中定義了中定義了DES的的4種運行種運行 模式。模式。-這些模式也可以用于其它分組密碼。下面以DES算法為例來介紹這四種模式。2022-6-17應(yīng)用密碼學4一、電子本一、電子本 ECB 模式模式圖3-10 ECB模式示意圖2022-6-17應(yīng)用密碼學5電子本電子本ECB模式的特點：模式的特點：q一次對一次對64比特的分組加密，且每次加密密鑰都相同；比特的分組加密，且每次加密密鑰都相同；q每一個明文分組都有一個密文分組與之對應(yīng)每一個

3、明文分組都有一個密文分組與之對應(yīng)-可以認為有可以認為有 一個非常大的電碼本，對任意可能的明文分組，電碼本中一個非常大的電碼本，對任意可能的明文分組，電碼本中 都有一個對應(yīng)的密文都有一個對應(yīng)的密文 ；q最后一個分組長度不夠最后一個分組長度不夠64比特，則要填充；比特，則要填充；q相同的明文分組產(chǎn)生相同的密文分組；相同的明文分組產(chǎn)生相同的密文分組；q適用于短數(shù)據(jù)的加密；適用于短數(shù)據(jù)的加密；2022-6-17應(yīng)用密碼學6二、密碼分組鏈接（二、密碼分組鏈接（CBC）模式）模式DES加密KDES加密K1P2P第1次第2次IV1C2C(a)加密DES加密KNP第N次NC1NCDES加密KDES加密KIV1

4、C2C1P2PDES加密KNC1NCNP(b)解密圖 3-11 CBC模式示意圖2022-6-17應(yīng)用密碼學7解密時每個密文分組被解密后，再與前一個密文分組分組異或。111nnnKKnnKCPCEDCCDnnnnPCPC111nnknPCEC設(shè)：下面證明這種解密結(jié)構(gòu)的確能夠獲得明文。證畢2022-6-17應(yīng)用密碼學8CBC的特點的特點q每次加密使用相同的密鑰；q重復的明文分組產(chǎn)生不同的密文分組；q需要一個初始向量和第一個明文分組異或； -初始向量需要像密鑰一樣保密，因為11PIVECK11CDIVPK，用)(iX表示64比特分組的第i個比特，那么q算法的輸入是當前明文分組與前一次密文分組的異或

5、；2022-6-17應(yīng)用密碼學9)()()(11iCDiIViPK由異或特性知)()()(11iCDiIViPK撇號表示比特補。如果敵手能夠欺騙接收方使用不同的初始向量，則敵手能夠在明文的第一個分組中插入自己選擇的比特值。qCBC模式對加密長于64比特的消息非常合適。qCBC模式除了能夠獲得保密性外，還能夠用于認證2022-6-17應(yīng)用密碼學10三、密碼反饋（三、密碼反饋（CFB）模式）模式DES是分組長為64的分組密碼，但利用CFB或OFB模式可將DES轉(zhuǎn)換為流密碼。流密碼不需要填充，且運行是實時的。棄 bit 選 bitj64j1P1C(a)加密)(移位寄存器IV bit bitj64jD

6、ES加密k bit bitj64jDES加密棄 bit 選 bitj64j2P2Ck bit bitj64jDES加密棄 bit 選 bitj64jMPMC1MCk2022-6-17應(yīng)用密碼學11(b)解密圖3-12 CFB模式示意圖 bit bitj64jDES加密棄 bit 選 bitj64j1P1CIVk bit bitj64jDES加密棄 bit 選 bitj64j2P2Ck bit bitj64jDES加密棄 bit 選 bitj64jMPMC1MCk2022-6-17應(yīng)用密碼學12解密時仍然使用加密算法，這是因為：設(shè))(XSj是X的j個最高有效位，那么)(11IVESPCj所以)(

7、11IVESCPj當1i時：)|)(164ijjiiCXSESPC所以)|)(164ijjiiCXSESCP2022-6-17應(yīng)用密碼學13密碼反饋（密碼反饋（CFB）模式的特點：）模式的特點：q每個分組使用相同的密鑰；每個分組使用相同的密鑰；q與與CFB模式一樣明文被鏈接在一起，密文是前面所有明文模式一樣明文被鏈接在一起，密文是前面所有明文 分組的函數(shù)；分組的函數(shù)；q每次實際被加密的分組長為每次實際被加密的分組長為j，一般是，一般是8；qCFB模式除了加密外，還用于認證。模式除了加密外，還用于認證。2022-6-17應(yīng)用密碼學14四、輸出反饋（OFB）模式(a)加密)(移位寄存器IV bit

8、 bitj64jDES加密棄 bit 選 bitj64j1P1Ck bit bitj64jDES加密棄 bit 選 bitj64j2P2Ck bit bitj64jDES加密棄 bit 選 bitj64jMPMCk2022-6-17應(yīng)用密碼學15(b)解密圖3-12 OFB模式示意圖 bit bitj64jDES加密棄 bit 選 bitj64j1P1C)(移位寄存器IVk bit bitj64jDES加密棄 bit 選 bitj64j2P2Ck bit bitj64jDES加密棄 bit 選 bitj64jMPMCk2022-6-17應(yīng)用密碼學16OFB的特點的特點q傳輸過程中的比特錯誤不會

9、被傳播；？q比CFB更易受到對消息流的篡改攻擊。？q每個分組都使用相同的密鑰；q將加密算法輸出的最高j位反饋到移位寄存器；2022-6-17應(yīng)用密碼學17IDEA算法一、設(shè)計原理明文：64比特，密文：64比特，密鑰：128比特1、密碼強度算法的強度主要通過有效的混淆和擴散來實現(xiàn)?；煜幕煜?種運算種運算（兩個16比特輸入，一個16比特輸出）逐比特異或，表示為模162即（65536）整數(shù)加法，表示為 ，其輸入和輸出作為16位無符號位來處理。模1216（即65537）整數(shù)乘法，表示為，其輸入，輸出除16位全為0作為162處理外，都作為16位無符號數(shù)處理。2022-6-17應(yīng)用密碼學18例如：00

10、0000000000000010000000000000001000000000000001這是因為12) 12mod(1516151622 這3種運算的任意兩種都不滿足分配率，例如abc ()(a b)()b c這3種運算的任意兩種都不滿足結(jié)合率，例如abc ()(a b)c這3中運算結(jié)合起來使用可對算法的輸入提供復雜的變換，從而使得對IDEA的密碼分析比僅使用異或運算的DES更安全。2022-6-17應(yīng)用密碼學19 X Y X Y X Y X Y0000000001010002100003111010001011011012101013112100002101012102102103113

11、11000311101311210311311表表3-6 IDEA中的中的3種運算（種運算（2比特數(shù)）比特數(shù)） 模模？2022-6-17應(yīng)用密碼學20 1F2F5Z6Z1G2G圖 3-14MA結(jié)構(gòu)2、實現(xiàn)、實現(xiàn)q軟件軟件 軟件采用16比特子段處理，可通過使用容易編程的加法、移位等運算實現(xiàn)3種運算。q硬件硬件 由于加解密相似，差別僅為密鑰的使用方式，因此可使用同一器件實現(xiàn)。算法的模塊結(jié)構(gòu)可方便VLSI的實現(xiàn)。擴散擴散 由乘加（MA）結(jié)構(gòu) 實現(xiàn)，如圖3-14所示。該 結(jié)構(gòu)的輸入是兩個16比特 的子段和兩個16比特的子 密鑰，輸出也是兩個16比 特的子段。這一結(jié)構(gòu)在算法 中重復使用了8次。 2022

12、-6-17應(yīng)用密碼學21補充：集成電路IC，集成電路IC(Interrgrated Circuit)，是將晶體管、電阻、電容、二極管等電子組件整合裝至一芯片(chip)上，由于集成電路的體積極小，使電子運動的距離大幅縮小，因此速度極快且可靠性高，集成電路的種類一般是以內(nèi)含晶體管等電子組件的數(shù)量來分類。 SSI (小型集成電路)，晶體管數(shù) 10100 MSI (中型集成電路)，晶體管數(shù) 1001,000 LSI (大規(guī)模集成電路)，晶體管數(shù) 1,00010,0000 VLSI (超大規(guī)模集成電路)，晶體管數(shù) 100,000 2022-6-17應(yīng)用密碼學22二、加密過程加密過程（如圖3.15所示）

13、由連續(xù)的8輪迭代和一個輸出變換組成。算法將64比特的明文分組分成4個16比特的子段，每輪迭代以4個16比特的子段作為輸入，輸出也為4個16比特的子段。最后的輸出變換也產(chǎn)生4個16比特的子段，鏈接起來后形成64比特的密文分組。每輪迭代還需使用6個16比特的子密鑰，最后的輸出變換需使用4個16比特的子密鑰，所以子密鑰總數(shù)為52。 圖3.15的右半部分表示由初始的128比特密鑰產(chǎn)生52個子密鑰的子密鑰產(chǎn)生器。2022-6-17應(yīng)用密碼學23圖圖3.15 IDEA的加密框圖的加密框圖2022-6-17應(yīng)用密碼學241. 輪結(jié)構(gòu)圖3.16是IDEA第1輪的結(jié)構(gòu)示意圖，以后各輪也都是這種結(jié)構(gòu)，但所用的子密

14、鑰和輪輸入不同。從結(jié)構(gòu)圖可見，IDEA不是傳統(tǒng)的Feistel密碼結(jié)構(gòu)。每輪開始時有一個變換，該變換的輸入是4個子段和4個子密鑰，變換中的運算是兩個乘法和兩個加法，輸出的4個子段經(jīng)過異或運算形成了兩個16比特的子段作為MA結(jié)構(gòu)的輸入。MA結(jié)構(gòu)也有兩個輸入的子密鑰，輸出是兩個16比特的子段。2022-6-17應(yīng)用密碼學25圖圖3.16 IDEA第第1輪的輪結(jié)構(gòu)輪的輪結(jié)構(gòu)2022-6-17應(yīng)用密碼學26最后，變換的4個輸出子段和MA結(jié)構(gòu)的兩個輸出子段經(jīng)過異或運算產(chǎn)生這一輪的4個輸出子段。注意，由X2產(chǎn)生的輸出子段和由X3產(chǎn)生的輸出子段交換位置后形成W12和W13，目的在于進一步增加混淆效果，使得算

15、法更易抵抗差分密碼分析。2022-6-17應(yīng)用密碼學27算法的第9步是一個輸出變換，如圖3.17所示。它的結(jié)構(gòu)和每一輪開始的變換結(jié)構(gòu)一樣，不同之處在于輸出變換的第2個和第3個輸入首先交換了位置，目的在于撤銷第8輪輸出中兩個子段的交換。還需注意，第9步僅需4個子密鑰，而前面8輪中每輪需要6個子密鑰。2022-6-17應(yīng)用密碼學28圖圖3.17 IDEA的輸出變換的輸出變換2022-6-17應(yīng)用密碼學292. 子密鑰的產(chǎn)生加密過程中52個16比特的子密鑰是由128比特的加密密鑰按如下方式產(chǎn)生的： 前8個子密鑰Z1，Z2，Z8直接從加密密鑰中取，即Z1取前16比特（最高有效位），Z2取下面的16比特

16、，依次類推。加密密鑰循環(huán)左移25位，再取下面8個子密鑰Z9，Z10，Z16，取法與Z1，Z2，Z8的取法相同。這一過程重復下去，直到52子密鑰都被產(chǎn)生為止。2022-6-17應(yīng)用密碼學303. 解密過程解密過程解密過程和加密過程基本相同，但子密鑰的選取不解密過程和加密過程基本相同，但子密鑰的選取不同。解密子密鑰同。解密子密鑰U1，U2，U52是由加密子密鑰是由加密子密鑰按如下方式得到（將加密過程最后一步的輸出變換按如下方式得到（將加密過程最后一步的輸出變換當作第當作第9輪）：輪）： 2022-6-17應(yīng)用密碼學311. 第i(i=1,9)輪解密的前4個子密鑰由加密過程第(10-i)輪的前4個子密鑰得出： 其中第1和第4個解密子密鑰取為相應(yīng)的第1和第4個加密子密鑰的模216+1乘法逆元。 第2和第3個子密鑰的取法為： 當輪數(shù)