流密码存在的问题

按照对明文消息加密方式的不同，对称密码体制一般可以分为两类：分组密码(blockcipher)和流密码(streamcipher)分组密码：对于某一消息m，使用分组密码对其执行加密操作时一般是先对m进行填充得到一个长度是固定分组长度s的整数倍的明文串M；然后将M划分成一个个长度为s的分组；最后对每个分组使用同一个密钥执行加密变换。流密码(也称序列密码)：使用流密码对某一消息m执行加密操作时一般是先将m分成连续的符号(一般为比特串)，m=m1m2m3……；然后使用密钥流k=k1k2k3……中的第i个元素ki对明文消息的第i个元素mi执行加密变换，i=1,2,3,……；所有的加密输出连接在一起就构成了对m执行加密后的密文。与分组密码相比，序列密码受政治的影响很大，目前应用领域主要还是在军事、外交等部门。虽然也有公开设计和研究成果发表，但作为密码学的一个分支，流密码的大多设计与分析成果还是保密的。目前可以公开见到、较有影响的流密码方案包括A5、SEAL、RC4、PIKE等。关于流密码加密容易想到，使用流密码对消息m执行加密时，最简单的做法就是让密钥流中的第i个比特与明文串中的对应比特直接做XOR运算，即对应的解密运算即为：由于实现XOR逻辑运算非常简单，因此这样的加解密操作将是快速有效的。如果这里的密钥流是完全随机的(random)、与明文相同长度的比特串，对应的密码被称为一次一密体制(one-timepad)。显然，此时明文串与密文串之间就是相互独立的。不知道密钥的攻击者即便守候在公开信道上从而得到密文串，他也无法获得关于明文的任何信息。事实上，Shannon曾证明了“一次一密的密码体制是不可破解的(unbreakable)”。使用一次一密体制需要解决如何生成随机密钥流的问题：密钥流必须是随机出现的，并且合法用户可以容易地再生该密钥流。一方面，一个与明文一样长的随机位序列很难记住；另一方面，如果密钥流是重复的位序列，虽然容易记住，但不安全。因此，这是一个两难的处境：如何生成一个可以用作密钥流的“随机”比特序列，要求易于使用，但又不能太短以至于不安全。在通常使用的流密码中，加、解密所需要的这种序列是由一个确定性(deterministic)的密钥流生成器(keygenerator)产生的，该生成器的输入是一个容易记住的密钥，称之为密钥流生成器的初始密钥或种子(seed)密钥。因此，严格来说，密钥流序列都是伪随机序列(pseudorandomsequence)。这样一个完整的流密码系统模型就形如：从上述模型可以看出，流密码体制的安全强度完全取决于密钥流的安全性。因而，什么样的伪随机序列是安全可靠的密钥流序列，如何构造这种序列就是流密码研究中的关键问题。实用的流密码以少量的、一定长度的种子密钥经过逻辑运算产生周期较长、可用于加解密运算的伪随机序列。