密碼編碼學(xué)與網(wǎng)絡(luò)安全(第五版)-03-分組密碼與des課件

Chapter3

分組密碼與數(shù)據(jù)加密標(biāo)準(zhǔn)

Chapter3

分組密碼與數(shù)據(jù)加密標(biāo)準(zhǔn)2022/10/112Playfair、hill、Vigenère的密鑰空間？單表和多表的區(qū)別？2022/10/102Playfair、hill、Vige2022/10/113本節(jié)課程內(nèi)容

分組密碼一般原理、設(shè)計準(zhǔn)則、設(shè)計方法DES加解密算法DES的強(qiáng)度2022/10/103本節(jié)課程內(nèi)容 分組密碼一般原理、設(shè)計準(zhǔn)2022/10/114§3.1分組密碼原理流密碼每次加密數(shù)據(jù)流的一位或一個字節(jié)分組密碼將一個明文組作為整體加密且通常得到的是與之等長的密文組2022/10/104§3.1分組密碼原理流密碼2022/10/115流密碼模型加密算法密文明文密鑰Kb位b位2022/10/105流密碼模型加密算法密文明文密鑰Kb位2022/10/116分組密碼的一般設(shè)計原理：分組密碼是將明文消息編碼表示后的數(shù)字（簡稱明文數(shù)字）序列，劃分成長度為n的組（可看成長度為n的矢量），每組分別在密鑰的控制下變換成等長的輸出數(shù)字（簡稱密文數(shù)字）序列理想分組密碼體制2n!個映射大規(guī)模2022/10/106分組密碼的一般設(shè)計原理：2022/10/117Feistel網(wǎng)絡(luò)（1）Feistel網(wǎng)絡(luò)的設(shè)計動機(jī)密鑰長為k位，分組長為n位，采用2k個變換2022/10/107Feistel網(wǎng)絡(luò)（1）Feistel一個分組密碼是一種映射： 記為E(X,K)或 稱為明文空間，稱為密文空間，為密鑰空間。Feistel網(wǎng)絡(luò)（2）一個分組密碼是一種映射：Feistel網(wǎng)絡(luò)（2）2022/10/119Shannon目的：挫敗基于統(tǒng)計方法的密碼分析混淆（confusion）：使得密文的統(tǒng)計特性與密鑰的取值之間的關(guān)系盡量復(fù)雜。擴(kuò)散（diffusion）：明文的統(tǒng)計特征消散在密文中，使得明文和密文之間的統(tǒng)計關(guān)系盡量復(fù)雜?？坍嬅艽a系統(tǒng)的兩個基本構(gòu)件Feistel網(wǎng)絡(luò)（3）2022/10/109刻畫密碼系統(tǒng)的兩個基本構(gòu)件Feiste2022/10/1110分組長度密鑰長度

輪數(shù)

子密鑰生成算法輪函數(shù)F快速軟件加解密易于分析Feistel網(wǎng)絡(luò)（4）2022/10/1010分組長度Feistel網(wǎng)絡(luò)（4）2022/10/1111§3.2數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES的歷史DES的基本結(jié)構(gòu)DES核心構(gòu)件的細(xì)節(jié)描述DES輪密鑰的生成DES的安全性分析2022/10/1011§3.2數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES的2022/10/1112數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)第一個并且是最重要的現(xiàn)代分組密碼算法2022/10/1012數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2022/10/1113歷史發(fā)明人：美國IBM公司W(wǎng).Tuchman和C.Meyer1971-1972年研制成功基礎(chǔ)：1967年美國HorstFeistel提出的理論產(chǎn)生：美國國家標(biāo)準(zhǔn)局（NBS)1973年5月到1974年8月兩次發(fā)布通告，公開征求用于電子計算機(jī)的加密算法。經(jīng)評選從一大批算法中采納了IBM的LUCIFER方案標(biāo)準(zhǔn)化：DES算法1975年3月公開發(fā)表，1977年1月15日由美國國家標(biāo)準(zhǔn)局頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard），于

1977年7月15日生效2022/10/1013歷史發(fā)明人：美國IBM公司W(wǎng).2022/10/1114DES是一種用56位密鑰來加密64位數(shù)據(jù)的方法。概述2022/10/1014DES是一種用56位密鑰來加密64位2022/10/1115DES算法框圖輸入64bit明文數(shù)據(jù)初始置換IP乘積變換（16輪迭代）逆初始置換IP-164bit密文數(shù)據(jù)輸出標(biāo)準(zhǔn)數(shù)據(jù)加密算法DES的核心部件：兩次置換（初始置換和初始逆置換）密鑰控制下的十六輪迭代加密輪密鑰生成2022/10/1015DES算法框圖2022/10/11162022/10/10162022/10/1117初始置換和初始逆置換2022/10/1017初始置換和初始逆置換2022/10/1118初始置換和初始逆置換DES中的初始置換和初始逆置換2022/10/1018初始置換和初始逆置換DES中的初始置2022/10/1119初始置換與初始逆置換是互逆的嚴(yán)格而言不具有加密的意義Note2022/10/1019初始置換與初始逆置換是互逆的No2022/10/1120DES的十六輪迭代加密十六輪迭代加密Roundi第i輪加密2022/10/1020DES的十六輪迭代加密十六輪迭代加密2022/10/1121DES第i輪迭代加密2022/10/1021DES第i輪迭代加密2022/10/1122F函數(shù)2022/10/1022F函數(shù)2022/10/1123擴(kuò)展E置換（E-盒）2022/10/1023擴(kuò)展E置換（E-盒）2022/10/1124S盒（1）2022/10/1024S盒（1）2022/10/1125S-盒是DES加密算法的唯一非線性部件S盒（2）2022/10/1025S-盒是DES加密算法的唯一非線性部2022/10/1126S-盒S盒（3）2022/10/1026S-盒S盒（3）2022/10/112700010203040506070809101112131415012313020804061511011009031405001207011513081003070412050611001409020711040109121402000610131503050802011407041008131512090003050611輸入輸出S-盒的查表操作S盒（4）2022/10/1027000102032022/10/1128DES中其它算法都是線性的，而S-盒運算則是非線性的提供了密碼算法所必須的混亂作用S-盒不易于分析，它提供了更好的安全性S-盒的設(shè)計未公開NoteS盒（5）2022/10/1028DES中其它算法都是線性的，而S2022/10/1129P置換2022/10/1029P置換2022/10/1130直接P置換（P-盒）P置換2022/10/1030直接P置換（P-盒）P置換2022/10/1131F函數(shù)2022/10/1031F函數(shù)2022/10/1132DES第i輪迭代加密2022/10/1032DES第i輪迭代加密2022/10/11332022/10/10332022/10/1134子密鑰產(chǎn)生器

密鑰（64bit）置換選擇1，PC1置換選擇2，PC2

Ci(28bit)

Di(28bit)循環(huán)左移循環(huán)左移除去第8,16,,64位(8個校驗位)ki2022/10/1034子密鑰產(chǎn)生器

密2022/10/11352022/10/10352022/10/1136置換選擇1循環(huán)左移的次數(shù)（舍棄了奇偶校驗位，即第8，16，…，64位）2022/10/1036置換選擇1循環(huán)左移的次數(shù)（舍棄了奇偶2022/10/1137壓縮置換2舍棄了第9,18,22,25,35,38,43,54比特位2022/10/1037壓縮置換2舍棄了第9,18,22,22022/10/1138加密過程:L0R0IP(<64bit明文>)LiRi-1

i=1,...,16(1)RiLi-1f(Ri-1,

ki)i=1,...,16(2)<64bit密文>IP-1(R16L16)

(1)(2)運算進(jìn)行16次后就得到密文組。解密過程:R16L16

IP(<64bit密文>)Ri-1Li

i=1,...,16(3)Li-1Rif(Li-1,ki)i=1,...,16(4)<64bit明文>IP-1(R0L0)(3)(4)運算進(jìn)行16次后就得到明文組。DES加解密的數(shù)學(xué)表達(dá)2022/10/1038加密過程:DES加解密的數(shù)學(xué)表達(dá)2022/10/1139安全性DES的安全性完全依賴于所用的密鑰。從DES誕生起，對它的安全性就有激烈的爭論，一直延續(xù)到現(xiàn)在弱密鑰和半弱密鑰DES算法在每次迭代時都有一個子密鑰供加密用。如果給定初始密鑰k，各輪的子密鑰都相同，即有k1=k2=…=k16，就稱給定密鑰k為弱密鑰(Weakkey)§3.3DES的強(qiáng)度2022/10/1039安全性§3.3DES的強(qiáng)度2022/10/1140若k為弱密鑰，則有DESk(DESk(x))=xDESk-1(DESk-1(x))=x即以k對x加密兩次或解密兩次都可恢復(fù)出明文。其加密運算和解密運算沒有區(qū)別。而對一般密鑰只滿足DESk-1(DESk(x))=DESk(DESk-1(x))=x弱密鑰下使DES在選擇明文攻擊下的搜索量減半。如果隨機(jī)地選擇密鑰，則在總數(shù)256個密鑰中，弱密鑰所占比例極小，而且稍加注意就不難避開。因此，弱密鑰的存在不會危及DES的安全性。DES的強(qiáng)度（1）2022/10/1040若k為弱密鑰，則有DES的強(qiáng)度（1）2022/10/1141雪崩效應(yīng)DES的強(qiáng)度（2）2022/10/1041雪崩效應(yīng)DES的強(qiáng)度（2）2022/10/114256位密鑰的使用256=7.2x10161997，幾個月

1998，幾天

1999，22個小時!DES算法的性質(zhì)：S盒構(gòu)造方法未公開！計時攻擊DES的強(qiáng)度（3）2022/10/104256位密鑰的使用DES的強(qiáng)度（3）2022/10/1143差分密碼分析通過分析明文對的差值對密文對的差值的影響來恢復(fù)某些密文比特線性密碼分析通過尋找DES變換的線性近似來攻擊DES的強(qiáng)度（4）2022/10/1043差分密碼分析DES的強(qiáng)度（4）2022/10/1144§3.4分組密碼的工作模式FIPS81中定義了4種模式，到800-38A中將其擴(kuò)展為5個?？捎糜谒蟹纸M密碼。DES的工作模式若明文最后一段不足分組長度，則補(bǔ)0或1，或隨機(jī)串。

2022/10/1044§3.4分組密碼的工作模式FIPS2022/10/1145模式描述典型應(yīng)用電碼本（ECB）單個數(shù)據(jù)的安全傳輸密碼分組鏈接（CBC）普通目的的面向分組的傳輸；認(rèn)證密碼反饋（CFB）普通目的的面向分組的傳輸；認(rèn)證輸出反饋（OFB）噪聲信道上的數(shù)據(jù)流的傳輸計數(shù)器（CTR）普通目的的面向分組的傳輸；用于高速需求DES的工作模式2022/10/1045模式描述典型應(yīng)用電碼本（ECB）單個2022/10/1146電碼本模式ECB工作模式

加密：Cj=Ek(Pj),(j=1,2,…,n)解密：Pj=Dk(Cj)應(yīng)用特點錯誤傳播

不傳播，即某個Ct的傳輸錯誤只影響到Pt的恢復(fù)，不影響后續(xù)的（j＞t）。2022/10/1046電碼本模式ECB工作模式2022/10/1147ElectronicCodebookBook(ECB)2022/10/1047ElectronicCodeboo2022/10/1148摘自：NISTSpecialPublication800-38A2001Edition2022/10/1048摘自：NISTSpecialPu2022/10/1149密碼分組鏈接模式工作模式

加密解密應(yīng)用加密長度大于64位的明文P認(rèn)證特點錯誤傳播

2022/10/1049密碼分組鏈接模式工作模式2022/10/1150CipherBlockChaining(CBC)2022/10/1050CipherBlockChain2022/10/1151摘自：NISTSpecialPublication800-38A2001Edition2022/10/1051摘自：NISTSpecialPu2022/10/1152工作模式加密解密應(yīng)用保密：加密長度大于64位的明文P；分組隨意；可作為流密碼使用。認(rèn)證：特點分組任意安全性優(yōu)于ECB模式加、解密都使用加密運算（不用解密運算）錯誤傳播有誤碼傳播，設(shè)，則錯誤的Ct會影響到Pt…,Pt+r。密碼反饋模式2022/10/1052工作模式密碼反饋模式2022/10/1153CipherFeedBack(CFB)2022/10/1053CipherFeedBack(C2022/10/1154摘自：NISTSpecialPublication800-38A2001Edition2022/10/1054摘自：NISTSpecialPu2022/10/1155輸出反饋模式

工作模式

加密解密應(yīng)用特點缺點：抗消息流篡改攻擊的能力不如CFB。

錯誤傳播

不傳播

2022/10/1055輸出反饋模