北京交通大學(xué)-密碼學(xué)-對(duì)稱密碼學(xué)復(fù)習(xí)

對(duì)稱密碼學(xué)復(fù)習(xí)本章內(nèi)容密碼學(xué)概述古典密碼對(duì)稱分組密碼序列密碼隨機(jī)數(shù)的生成一、密碼學(xué)概述密碼學(xué)研究?jī)?nèi)容：密碼體制：對(duì)稱密碼體制、公鑰密碼體制雜湊（Hash）函數(shù)與消息認(rèn)證數(shù)字簽名與身份識(shí)別密鑰分配與密鑰管理各類密碼協(xié)議：如密鑰分發(fā)、秘密共享、零知識(shí)證明單向函數(shù)與偽隨機(jī)序列生成器密碼學(xué)提供的功能：機(jī)密性、完整性、鑒別、抗抵賴性；

一、密碼學(xué)概述教學(xué)目標(biāo)：（1）掌握密碼學(xué)的基本概念、基本原理、基本思想與基本方法。（2）掌握國內(nèi)外典型密碼算法和密碼學(xué)的應(yīng)用技術(shù)。（3）具備典型密碼的軟件開發(fā)能力和密碼應(yīng)用能力。一、密碼學(xué)概述基本概念：密碼學(xué)被分類成密碼編碼學(xué)（Cryptography）和密碼分析學(xué)(Cryptanalytics)；加密通信模型；密碼體制的定義；密碼體制的分類；常見的密碼分析類型；幾種密碼算法的安全性的含義；

二、古典密碼C.D.Shannon：采用擴(kuò)散、混淆和乘積的方法設(shè)計(jì)密碼：混淆（Confusion）：使密文和明文、密鑰的統(tǒng)計(jì)特性之間的關(guān)系復(fù)雜化，如非線性因素；擴(kuò)散（Diffussion）：將每一位明文和密鑰的影響擴(kuò)大到盡可能多的密文位中，以便隱藏明文的統(tǒng)計(jì)特性和防止對(duì)密鑰進(jìn)行逐段破譯，使密文中每一位由明文中多位產(chǎn)生。乘積和迭代：多重加密方法混合使用

對(duì)一個(gè)加密函數(shù)多次迭代古典密碼學(xué)的兩種基本技術(shù)：

代替（substitution）、置換(permutation）

二、古典密碼典型算法舉例：數(shù)據(jù)安全基于算法保密

1、代換密碼：弄明白典型算法的設(shè)計(jì)，僅要求進(jìn)行簡(jiǎn)單的安全性分析單字母代換密碼：?jiǎn)伪泶鷵Q密碼：移位密碼：密鑰空間僅為26；仿射密碼：e(x)=(ax+b)modm,密鑰空間為廣義的單表代換密碼：26!易受字母統(tǒng)計(jì)頻率分析攻擊；多表代換密碼：維吉尼亞密碼、Hill密碼、轉(zhuǎn)子機(jī)②多字母代換密碼：Playfair密碼2、置換密碼：弄清置換表的含義；二、古典密碼多表代換密碼：非周期多表代換密碼：一次一密、量子密碼；周期多表代換密碼：維吉尼亞（Vigenere)密碼、轉(zhuǎn)子機(jī)、Hill密碼維吉尼亞密碼密鑰空間為：26m，但仍然保留了字符頻率統(tǒng)計(jì)特性；二、古典密碼Hill密碼：

完全隱藏了明文的統(tǒng)計(jì)信息，但是線性變換的安全性很脆弱，易受已知明文攻擊；

二、古典密碼②多字母代換密碼：Playfair密碼Playfair有26×26=676種字母對(duì)組合，字符出現(xiàn)概率一定程度上被均勻化，基于字母頻率的攻擊比較困難，被廣泛應(yīng)用了很多年，但依然保留了相當(dāng)?shù)慕Y(jié)構(gòu)信息。對(duì)于替換密碼舉例，弄明白典型算法的設(shè)計(jì)，僅要求進(jìn)行簡(jiǎn)單的安全性分析二、古典密碼2、置換密碼：弄清置換表的含義；三、對(duì)稱分組密碼

對(duì)稱分組密碼的概述DES+雙重DES與3DESAES+相關(guān)數(shù)學(xué)基礎(chǔ)分組密碼工作模式三、對(duì)稱分組密碼

3.1對(duì)稱分組密碼的概述分組密碼體制的定義分組密碼的安全性、復(fù)雜度的概念僅要求了解；分組密碼的設(shè)計(jì)原則：分組長(zhǎng)度、密鑰長(zhǎng)度、混淆和擴(kuò)散、易實(shí)現(xiàn)；典型迭代密碼定義理解典型迭代密碼分析：窮盡密鑰搜索、線性分析法、差分分析法、相關(guān)密鑰密碼分析、中間相遇攻擊典型密碼結(jié)構(gòu)：Feistel結(jié)構(gòu)、SP結(jié)構(gòu)（代換－置換網(wǎng)絡(luò)）Feistel結(jié)構(gòu)：

DES14SP結(jié)構(gòu)（代換－置換網(wǎng)絡(luò)）AES初始化前Nr-1輪每一輪操作輪密鑰加每子串S盒代換整個(gè)分組P置換最后一輪輪密鑰加每子串S盒代換第二次輪密鑰加輸出三、對(duì)稱分組密碼

每種典型算法了解產(chǎn)生、特點(diǎn)及應(yīng)用情況掌握加解密算法掌握密鑰生成算法掌握算法的實(shí)現(xiàn)中的問題及編程實(shí)現(xiàn)：填充方式、工作模式；了解算法的安全性三、對(duì)稱分組密碼

3.2DES1、DES的基本參數(shù)、特點(diǎn)及應(yīng)用：對(duì)稱分組密碼，明文、密鑰、密文長(zhǎng)度都為64位，面向二進(jìn)制；2、DES的加解密算法:DES加解密結(jié)構(gòu)DES一輪變換S盒3、DES的密鑰生成算法4、DES算法的安全性：了解雪崩效應(yīng)、密鑰長(zhǎng)度的爭(zhēng)論、差分分析、線性分析、弱密鑰和半弱密鑰。5、雙重DES和3DESDES加密算法的數(shù)學(xué)描述：DES解密算法的數(shù)學(xué)描述：DES加密---輪的過程22AE(A)JB1B2B3B4B5B6B7B8

C1C2C3C4C5C6C7C8

f(A,J)S盒代換操作

0123

4

5

67

8

91011

1213

14151441312151183106125907015741421311061211653841148136211151297310501512824917511314100613BoxS1例如,S1(101010)=6=0110；S1(110011)=11=1011注：行列數(shù)均從0開始0123DES密鑰編排算法24三、對(duì)稱分組密碼雙重DES:很難抵擋中間相遇攻擊3DES:密鑰足夠長(zhǎng),兼容性好,目前廣泛應(yīng)用,速度較慢雙密鑰的3DES：ISO8732，ANSIX9.17三密鑰的3DES：PGP，S/MIME三、對(duì)稱分組密碼

3.3AES1、AES相關(guān)數(shù)學(xué)基礎(chǔ)2、AES的基本參數(shù)：AES具有128比特的分組長(zhǎng)度，并支持128、192和256比特的密鑰長(zhǎng)度；SP網(wǎng)絡(luò)；基本輪函數(shù)加迭代，輪數(shù)可變；數(shù)學(xué)基礎(chǔ)好；簡(jiǎn)單快速；3、AES加解密算法：狀態(tài)4、AES密鑰生成算法5、AES的安全性及實(shí)現(xiàn)問題，了解

三、對(duì)稱分組密碼1、AES相關(guān)數(shù)學(xué)基礎(chǔ)數(shù)論：整除性：因子，素?cái)?shù)，最大公因子，互素整數(shù)分解，求解最大公因子的方法，Euclid算法模運(yùn)算：概念、模加法、模乘法、單位元、加法逆元、乘法逆元、運(yùn)算性質(zhì)、推廣的Euclid算法求乘法逆元的方法有限域：概念、特殊的域中元素的表示及其運(yùn)算有限域GF(p):加法，乘法，逆元，系數(shù)在Zp中的多項(xiàng)式加法和乘法運(yùn)算GF(28)：加法、乘法、X乘一個(gè)字節(jié)：有限域GF(28)中的一個(gè)元素一個(gè)字：系數(shù)在GF(28)中并且次數(shù)小于4的多項(xiàng)式有限域GF(28)

AES的理論基礎(chǔ)定義在GF(28),其基本運(yùn)算有三種：加法、乘法和x乘；AES的GF(28)表示AES采用GF(28)的多項(xiàng)式元素表示：將b7b6b5b4b3b2b1b0構(gòu)成的字節(jié)看成系數(shù)在{0,1}中的多項(xiàng)式：b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0加法：兩元素多項(xiàng)式的系數(shù)按位模2加；乘法：兩元素多項(xiàng)式相乘，模m(x)AES采用的既約模多項(xiàng)式為：乘法逆元：a(x)b(x)=1modm(x)根據(jù)推廣的Euclid算法求出X乘xTime：用x乘以GF(28)的元素若b7=0,則字節(jié)左移一位補(bǔ)0；若b7≠0,則左移一位補(bǔ)0后，與1B異或；系數(shù)在GF(28)中的多項(xiàng)式字：系數(shù)在GF(28)中并且次數(shù)小于4的多項(xiàng)式例：57834AD1←→57x3+83x2+4Ax+D1三種基本運(yùn)算：字加法、字乘法、字x乘法字加法：對(duì)應(yīng)項(xiàng)系數(shù)按位模2加字乘法：多項(xiàng)式乘積再模m(x)=x4+1AES選定一個(gè)固定的可逆多項(xiàng)式做乘法；字X乘法：相當(dāng)于字節(jié)循環(huán)移位；

三、對(duì)稱分組密碼2、AES的加解密算法結(jié)構(gòu)：SP網(wǎng)絡(luò)，雖然加解密算法不同，但是加解密結(jié)構(gòu)相同；幾個(gè)基本變換及逆變換AES加密算法流程AES解密算法流程2、AES的加解密算法:幾個(gè)基本變換及逆變換：標(biāo)準(zhǔn)輪變換：Round(State,RoundKey){ByteSub(State);S盒變換ShiftRow(State);行移位變換MixColumn(State);列混淆變換AddRoundKey(State,RoundKey)

輪密鑰加變換

}標(biāo)準(zhǔn)逆輪變換Inv_Round(State,Inv_RoundKey){Inv_ByteSub(State);逆S盒變換

Inv_ShiftRow(State);逆行移位變換

Inv_MixColumn(State);逆列混淆變換AddRoundKey(State,Inv_RoundKey)

逆輪密鑰加變換

}三、對(duì)稱分組密碼2、AES的加解密算法幾個(gè)基本變換及逆變換的定義：S盒（即SubBytes操作）：非線性變換，矩陣定義特點(diǎn)；行移位；逆變換時(shí)位移量Nb-C1列混淆.三、對(duì)稱分組密碼352、AES的密鑰生成算法

加密密鑰生成算法密鑰擴(kuò)展：擴(kuò)展密鑰的比特?cái)?shù)等于分組長(zhǎng)度乘以輪數(shù)加1特定位置的擴(kuò)展密鑰計(jì)算方法不同,輪數(shù)不同稍不同；輪密鑰選擇:三、對(duì)稱分組密碼2、AES的密鑰生成算法

加密密鑰生成算法密鑰擴(kuò)展：擴(kuò)展密鑰的比特?cái)?shù)等于分組長(zhǎng)度乘以輪數(shù)加1特定位置的擴(kuò)展密鑰計(jì)算方法不同,輪數(shù)不同稍不同；輪密鑰選擇:Nb=6且Nk=4時(shí)的密鑰擴(kuò)展與輪密鑰選取三、對(duì)稱分組密碼2、AES的密鑰生成算法解密密鑰生成算法中解密的密鑰擴(kuò)展與加密的密鑰擴(kuò)展算法稍有不同；解密密鑰生成算法定義如下：

①加密算法的密鑰擴(kuò)展；

②把InvMixColumn應(yīng)用到除第一和最后一輪外是所有

輪密鑰上；

③輪密鑰選擇:三、對(duì)稱分組密碼

3.4分組密碼工作模式：了解采用工作模式的目的和原則，掌握幾種常用模式采用工作模式的目的掩蓋數(shù)據(jù)模式：相同明文、密鑰相同，則密文相同；使算法適應(yīng)具體應(yīng)用；工作模式對(duì)于DES、AES、3DES等任何分組密碼都適用；在很多標(biāo)準(zhǔn)中都有規(guī)定：如：NIST(SP800-38A)、FIPSPUB74和81、ANSIX3.106、ISO9732、ISO/IEC97116等；三、對(duì)稱分組密碼

3.4分組密碼工作模式設(shè)計(jì)的一般原則密碼模式通常是基本密碼、一些反饋、和一些簡(jiǎn)單運(yùn)算的組合。運(yùn)算是簡(jiǎn)單的，因?yàn)榘踩砸蕾囉诨久艽a，而不依賴模式。強(qiáng)調(diào)一點(diǎn)，密碼模式不會(huì)損害算法的安全性。效率是另一個(gè)值得考慮的事情。運(yùn)算模式將不會(huì)明顯地降低基本密碼的效率。第三個(gè)考慮事情是容錯(cuò)。一些應(yīng)用需要并行加密或解密，而其它一些則需要能夠盡可能多的進(jìn)行預(yù)處理。無論怎樣，在丟失或增加比特的密文流中，解密過程能夠從比特錯(cuò)誤中恢復(fù)是很重要的

三、對(duì)稱分組密碼

3.5分組密碼工作模式常用的有五種加密模式：設(shè)計(jì)方法、特點(diǎn)和應(yīng)用場(chǎng)所、錯(cuò)誤傳播電碼本模式ECB（ElectronicCodeBook）密文分組鏈接模式CBC（CipherBlockChaining）密文反饋模式CFB（CiphertextFeedback）輸出反饋模式OFB（OutputFeedback）計(jì)數(shù)器模式CRT（CounterMode）短塊加密：填充技術(shù)、密文挪用技術(shù)、序列加密

分組密碼工作模式模式描述典型應(yīng)用電碼本(ECB)用相同的密鑰分別對(duì)明文分組獨(dú)立加密單個(gè)數(shù)據(jù)的安全傳輸（如：一個(gè)加密密鑰）密文分組鏈接(CBC)加密算法的輸入是上一個(gè)密文組和下一個(gè)明文組的異或面向分組的通用傳輸認(rèn)證密文反饋(CFB)一次處理s位，上一塊密文作為加密算法的輸入，產(chǎn)生的偽隨機(jī)數(shù)輸出與明文異或作為下一單元的密文面向數(shù)據(jù)流的通用傳輸認(rèn)證輸出反饋(OFB)與CFB類似，只是加密算法的輸入是上一次加密的輸出，且使用整個(gè)分組噪聲信道上的數(shù)據(jù)流的傳輸（如：衛(wèi)星通信）計(jì)數(shù)器(CTR)每個(gè)明文分組都與一個(gè)以經(jīng)過加密的計(jì)數(shù)器相異或，對(duì)每個(gè)后續(xù)分組計(jì)數(shù)器遞增面向分組的通用傳輸用于高速需求電碼本模式ECB電碼本模式ECB特點(diǎn)

簡(jiǎn)單和有效

可以并行實(shí)現(xiàn)

不能隱藏明文的模式信息相同明文→相同密文同樣信息多次出現(xiàn)造成泄漏改變一個(gè)明文塊，只引起相應(yīng)的密文塊的改變，而其他密文塊不變。–對(duì)明文的主動(dòng)攻擊是可能的，信息塊可被替換、重排、刪除、重放；

誤差傳遞：密文塊損壞→僅對(duì)應(yīng)明文塊損壞

適合于傳輸短信息密文分組鏈接模式CBC密文分組鏈接模式CBC特點(diǎn)

沒有已知的并行實(shí)現(xiàn)算法

能隱藏明文的模式信息需要共同的初始化向量IV相同明文→不同密文初始化向量IV可以用來改變第一塊，應(yīng)該唯一，但不必須改變一個(gè)明文塊,則相應(yīng)的密文塊及其后的所有密文塊將會(huì)改變.對(duì)明文的主動(dòng)攻擊是不容易的，信息塊不容易被替換、重排、刪除、重放這個(gè)特性意味著CBC模式適用于鑒別的目的，即：這些模式能用來產(chǎn)生消息鑒別碼（MAC），MAC附在明文塊序列的后面，用來保護(hù)消息的完整性。誤差傳遞：密文塊損壞→兩明文塊損壞安全性好于ECB適合于傳輸長(zhǎng)度大于64位的報(bào)文，還可以進(jìn)行用戶鑒別,是大多系統(tǒng)的標(biāo)準(zhǔn)如SSL、IPSec密文反饋模式CFB加密示意圖

46

密文反饋模式CFB解密示意圖

47密文反饋模式CFB特點(diǎn)

分組密碼→流密碼沒有已知的并行實(shí)現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值IV對(duì)于不同的消息，IV必須唯一改變一個(gè)明文塊，則相應(yīng)的密文塊及其后的所有密文塊將會(huì)改變，這個(gè)特性意味著CFB模式適用于鑒別的目的；誤差傳遞：一個(gè)單元損壞影響多個(gè)單元,1+Nb/j適用于面向數(shù)據(jù)流的通用傳輸，認(rèn)證輸出反饋模式OFB加密示意圖

49輸出反饋模式OFB解密示意圖

50輸出反饋模式OFB特點(diǎn)

分組密碼→流密碼沒有已知的并行實(shí)現(xiàn)算法

隱藏了明文模式需要共同的移位寄存器初始值IV對(duì)不同的消息，IV必須唯一改變一個(gè)明文塊，只引起相應(yīng)的密文塊的改變，而其他密文塊不變。對(duì)明文的主動(dòng)攻擊是可能的，信息塊可被替換、重排、刪除、重放；有些情況下這可能是一個(gè)好的特性。例如，OFB模式通常用來加密衛(wèi)星傳輸。誤差傳遞：一個(gè)單元損壞只影響對(duì)應(yīng)單元安全性較CFB差適用于噪聲信道上的數(shù)據(jù)流的傳輸（如：衛(wèi)星通信）5、計(jì)數(shù)器模式CTR

52計(jì)數(shù)器模式CTR特點(diǎn)

使用一個(gè)與明文分組等長(zhǎng)的計(jì)數(shù)器，每個(gè)明文組，計(jì)數(shù)器的值必須不同。面向分組的通用傳輸，適用高速需求可以并行處理；可以預(yù)處理：由于加解密算法不依賴于明（密）文，在存儲(chǔ)條件允許以及安全保障的條件下，可以預(yù)先將要使用的異或值計(jì)算出來，以供隨后使用；隨機(jī)存取：對(duì)于鏈接模式,必須加密Ci-1后才能加密Ci,CTR模式可以任意的加密一個(gè)組塊,有些應(yīng)用中,可能無需加密或解密所有的組塊,只需要解密其中的一個(gè).簡(jiǎn)單：只要實(shí)現(xiàn)加密算法，不需要解密算法，當(dāng)加密算法與解密算法相差較大時(shí)，這個(gè)模式有較大優(yōu)勢(shì)；可證明安全：已經(jīng)能夠證明CTR模式至少與前面的模式同樣的安全；短塊加密

分組密碼一次只能對(duì)一個(gè)固定長(zhǎng)度的明文（密文）塊進(jìn)行加解密；稱長(zhǎng)度小于分組長(zhǎng)度的數(shù)據(jù)塊為短塊；必須采用合適的技術(shù)解決短塊加密問題填充技術(shù)：ANSIX.923、ISO10126、PKCS7、ISO/IEC7816-4等密文挪用技術(shù)序列加密密文挪用技術(shù)：不增加密文長(zhǎng)度，但控制復(fù)雜密文挪用法也需要指示挪用位數(shù)的指示符；負(fù)責(zé)收信者不知道挪用了多少位，從而不能正確解密;密文挪用加密短塊的優(yōu)點(diǎn)是：不引起數(shù)據(jù)的擴(kuò)展;缺點(diǎn)是：解密時(shí)要先解密Cn，還原挪用后再解密Cn-1，從而使控制復(fù)雜.密文挪用技術(shù)：不增加密文長(zhǎng)度，但控制復(fù)雜四、序列密碼1、序列密碼的基本概念2、線性移位寄存器序列密碼3、非線性序列密碼4、RC4

四、序列密碼

1、序列密碼的基本概念：基本思想：分類：同步序列密碼，自同步序列密碼二元同步流密碼體制模型流密碼對(duì)密鑰流的要求密鑰流產(chǎn)生器的通常構(gòu)建方法；LFSR+非線性