网络安全-03分组密码与数据加密标准

Chapter3分组密码与数据加密标准《计算机与网络安全》2019/10/2西安电子科技大学计算机学院2Playfair、hill、Vigenère的密钥空间？单表和多表的区别？2019/10/2西安电子科技大学计算机学院3本节课程内容分组密码一般原理、设计准则、设计方法DES加解密算法DES的强度2019/10/2西安电子科技大学计算机学院4§3.1分组密码原理流密码每次加密数据流的一位或一个字节分组密码将一个明文组作为整体加密且通常得到的是与之等长的密文组2019/10/2西安电子科技大学计算机学院52019/10/2西安电子科技大学计算机学院6分组密码的一般设计原理：分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列理想分组密码体制2n!个映射大规模2019/10/2西安电子科技大学计算机学院7Feistel网络（1）Feistel网络的设计动机密钥长为k位，分组长为n位，采用2k个变换2019/10/2西安电子科技大学计算机学院8Shannon目的：挫败基于统计方法的密码分析混淆（confusion）：使得密文的统计特性与密钥的取值之间的关系尽量复杂扩散（diffusion）：明文的统计特征消散在密文中，使得明文和密文之间的统计关系尽量复杂。刻画密码系统的两个基本构件Feistel网络（2）2019/10/2西安电子科技大学计算机学院9分组长度密钥长度轮数子密钥生成算法轮函数快速软件加解密易于分析Feistel网络（3）2019/10/2西安电子科技大学计算机学院10§3.2数据加密标准DESDES的历史DES的基本结构DES核心构件的细节描述DES轮密钥的生成DES的安全性分析2019/10/2西安电子科技大学计算机学院11数据加密标准(DES)第一个并且是最重要的现代分组密码算法2019/10/2西安电子科技大学计算机学院12历史发明人：美国IBM公司W.Tuchman和C.Meyer1971-1972年研制成功基础：1967年美国HorstFeistel提出的理论产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告，公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳了IBM的LUCIFER方案标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标准局颁布为数据加密标准（DataEncryptionStandard），于1977年7月15日生效2019/10/2西安电子科技大学计算机学院13DES是一种用56位密钥来加密64位数据的方法。概述2019/10/2西安电子科技大学计算机学院14DES算法框图输入64bit明文数据初始置换IP乘积变换（16轮迭代）逆初始置换IP-164bit密文数据输出标准数据加密算法DES的核心部件：•两次置换（初始置换和初始逆置换）•密钥控制下的十六轮迭代加密•轮密钥生成2019/10/2西安电子科技大学计算机学院152019/10/2西安电子科技大学计算机学院16初始置换和初始逆置换2019/10/2西安电子科技大学计算机学院17初始置换和初始逆置换DES中的初始置换和初始逆置换2019/10/2西安电子科技大学计算机学院18初始置换与初始逆置换是互逆的严格而言不具有加密的意义Note2019/10/2西安电子科技大学计算机学院19DES的十六轮迭代加密十六轮迭代加密Roundi第i轮加密2019/10/2西安电子科技大学计算机学院20DES第i轮迭代加密2019/10/2西安电子科技大学计算机学院21F函数2019/10/2西安电子科技大学计算机学院22扩展E置换（E-盒）2019/10/2西安电子科技大学计算机学院23S盒（1）2019/10/2西安电子科技大学计算机学院24S-盒是DES加密算法的唯一非线性部件S盒（2）2019/10/2西安电子科技大学计算机学院25S-盒S盒（3）2019/10/2西安电子科技大学计算机学院268S2110101b2100100010203040506070809101112131415012313020804061511011009031405001207011513081003070412050611001409020711040109121402000610131503050802011407041008131512090003050611输入输出S-盒的查表操作S盒（4）2019/10/2西安电子科技大学计算机学院27DES中其它算法都是线性的，而S-盒运算则是非线性的提供了密码算法所必须的混乱作用S-盒不易于分析，它提供了更好的安全性S-盒的设计未公开NoteS盒（5）2019/10/2西安电子科技大学计算机学院28P置换2019/10/2西安电子科技大学计算机学院29直接P置换（P-盒）P置换2019/10/2西安电子科技大学计算机学院30F函数2019/10/2西安电子科技大学计算机学院31DES第i轮迭代加密2019/10/2西安电子科技大学计算机学院322019/10/2西安电子科技大学计算机学院33子密钥产生器密钥（64bit）置换选择1，PC1置换选择2，PC2Ci(28bit)Di(28bit)循环左移循环左移除去第8,16,,64位(8个校验位)ki2019/10/2西安电子科技大学计算机学院342019/10/2西安电子科技大学计算机学院35置换选择1循环左移的次数（舍弃了奇偶校验位，即第8，16，…，64位）2019/10/2西安电子科技大学计算机学院36压缩置换2舍弃了第9,18,22,25,35,38,43,54比特位2019/10/2西安电子科技大学计算机学院37加密过程:L0R0IP(64bit明文)LiRi-1i=1,...,16(1)RiLi-1f(Ri-1,ki)i=1,...,16(2)64bit密文IP-1(R16L16)(1)(2)运算进行16次后就得到密文组。解密过程:R16L16IP(64bit密文)Ri-1Lii=1,...,16(3)Li-1Rif(Li-1,ki)i=1,...,16(4)64bit明文IP-1(R0L0)(3)(4)运算进行16次后就得到明文组。DES加解密的数学表达2019/10/2西安电子科技大学计算机学院38安全性DES的安全性完全依赖于所用的密钥。从DES诞生起，对它的安全性就有激烈的争论，一直延续到现在弱密钥和半弱密钥DES算法在每次迭代时都有一个子密钥供加密用。如果给定初始密钥k，各轮的子密钥都相同，即有k1=k2=…=k16，就称给定密钥k为弱密钥(Weakkey)§3.3DES的强度2019/10/2西安电子科技大学计算机学院39若k为弱密钥，则有DESk(DESk(x))=xDESk-1(DESk-1(x))=x即以k对x加密两次或解密两次都可恢复出明文。其加密运算和解密运算没有区别。而对一般密钥只满足DESk-1(DESk(x))=DESk(DESk-1(x))=x弱密钥下使DES在选择明文攻击下的搜索量减半。如果随机地选择密钥，则在总数256个密钥中，弱密钥所占比例极小，而且稍加注意就不难避开。因此，弱密钥的存在不会危及DES的安全性。DES的强度（1）2019/10/2西安电子科技大学计算机学院40雪崩效应DES的强度（2）2019/10/2西安电子科技大学计算机学院4156位密钥的使用256=7.2x10161997，几个月1998，几天1999，22个小时!DES算法的性质：S盒构造方法未公开！计时攻击DES的强度（3）2019/10/2西安电子科技大学计算机学院42差分密码分析通过分析明文对的差值对密文对的差值的影响来恢复某些密文比特线性密码分析通过寻找DES变换的线性近似来攻击DES的强度（4）2019/10/2西安电子科技大学计算机学院43§3.4分组密码的工作模式FIPS81中定义了4种模式，到800-38A中将其扩展为5个。可用于所有分组密码。DES的工作模式若明文最后一段不足分组长度，则补0或1，或随机串。2019/10/2西安电子科技大学计算机学院44模式描述典型应用电码本（ECB）单个数据的安全传输密码分组链接（CBC）普通目的的面向分组的传输；认证密码反馈（CFB）普通目的的面向分组的传输；认证输出反馈（OFB）噪声信道上的数据流的传输计数器（CTR）普通目的的面向分组的传输；用于高速需求DES的工作模式2019/10/2西安电子科技大学计算机学院45电码本模式ECB工作模式加密：Cj=Ek(Pj),(j=1,2,…,n)解密：Pj=Dk(Cj)应用特点错误传播不传播，即某个Ct的传输错误只影响到Pt的恢复，不影响后续的（j＞t）。2019/10/2西安电子科技大学计算机学院46ElectronicCodebookBook(ECB)2019/10/2西安电子科技大学计算机学院47摘自：NISTSpecialPublication800-38A2001Edition2019/10/2西安电子科技大学计算机学院48密码分组链接模式工作模式加密解密应用加密长度大于64位的明文P认证特点错误传播2019/10/2西安电子科技大学计算机学院49CipherBlockChaining(CBC)2019/10/2西安电子科技大学计算机学院50摘自：NISTSpecialPublication800-38A2001Edition2019/10/2西安电子科技大学计算机学院51工作模式加密解密应用保密：加密长度大于64位的明文P；分组随意；可作为流密码使用。认证：特点分组任意安全性优于ECB模式加、解密都使用加密运算（不用解密运算）错误传播有误码传播，设，则错误的Ct会影响到Pt…,Pt+r。密码反馈模式sr642019/10/2西安电子科技大学计算机学院52CipherFeedBack(CFB)2019/10/2西安电子科技大学计算机学院53摘自：NISTSpecialPublication800-38A2001Edition2019/10/2西安电子科技大学计算机学院54输出反馈模式工作模式加密解密应用特点缺点：抗消息流篡改攻击的能力不如CFB。错误传播不传播2019/10/2西安电子科技大学计算机学院55OutputFeedBack(OFB)2019/10/2西安电子科技大学计算机学院56摘自：NISTSpecialPublication800-38A2001Edition2019/10/2西安电子科技大学计算机学院57工作模式加密：给定计数器初值IV，则j=1,2,…,N解密特点优点硬件效率：可并行处理；软件效率：并行化；预处理；随机访问：比链接模式好；可证明的安全性：至少与其它模式一样安全；简单性：只用到加密算法。错误传播不传播计数器模式1PjjIVECKj1jIVEPCKjj2019/10/2西安电子科技大学计算机学院58Counter(CTR)2019/10/2西安电子科技大学计算机学院59摘自：NISTSpecialPublication800-38A2001Edition2019/10/2西安电子科技大学计算机学院60小结分组密码与流密码blockvsstreamciphersFeistel密码设计与结构design&structure轮数，函数F，密钥扩展DES算法细节密码强度工作模式2019/10/2西安电子科技大学计算机学院61第三章作业思考题：3.5，3.7，3.8