网络安全分组密码与数据加密标准 -03

Chapter3分组密码与数据加密标准《密码编码学与网络安全》2020/2/10西安电子科技大学计算机学院2§3.1分组密码原理流密码与分组密码的比较2020/2/10西安电子科技大学计算机学院4分组密码将一个明文组作为整体加密且通常得到的是与之等长的密文组。典型分组大小：64位或128位。分组密码的应用范围比流密码要广泛。绝大部分基于网络的对称密码应用使用的是分组密码。分组密码2020/2/10西安电子科技大学计算机学院5分组密码的一般设计原理：分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列。Feistel密码结构的设计动机理想分组密码2020/2/10西安电子科技大学计算机学院6缺点：n太小的话，就是单表代换n太大的话，密钥长度太长。对于n位的代换分组密码，密钥的规模是n*2^n。对策：Feistel指出我们所需要的是对应较大n的理想分组密码体制的一种近似体制而已，它可以在容易实现部件的基础上逐步建立起来。具体方法：利用乘积密码的概念来逼近简单代换密码。所得结果的密码强度将强于所有单个密码的强度。2020/2/10西安电子科技大学计算机学院7Feistel密码结构的设计动机乘积密码乘积密码：密码长为k比特，分组为n比特，采用2^k个变换，而不是理想分组密码的(2^n)!个可用变化。特别地，Feistel建议交替地使用代换和置换。这是Shannon提出的交替使用混淆和扩散乘积密码的实际应用。2020/2/10西安电子科技大学计算机学院82020/2/10西安电子科技大学计算机学院9扩散（diffusion）：明文的统计特征消散在密文中，让每个明文数字尽可能多地影响多个密文数字，使得明文和密文之间的统计关系尽量复杂。混淆（confusion）：使得密文的统计特性与密钥的取值之间的关系尽量复杂，以阻止攻击者发现密钥。2020/2/10西安电子科技大学计算机学院10Feistel密码结构第i轮的输出：LEi=REi-1REi=LEi-1F(REi-1,ki)Feistel密码结构2020/2/10西安电子科技大学计算机学院11Feistel结构的具体实现依赖于一下安全参数：分组长度密钥长度迭代轮数子密钥生成算法轮函数Feistel密码还有两个其他方面的考虑：快速软件加解密易于分析：DES不符合Feistel密码结构：解密规则：将密文作为算法的输入，但逆序使用子密钥ki2020/2/10西安电子科技大学计算机学院122020/2/10西安电子科技大学计算机学院13§3.3数据加密标准(DES)20世纪60年代，IBM公司成立了由HorstFeistel负责的计算机密码学研究项目。1971年设计出了算法LUCIFER，后来给出了修订版：Tuchman-Meyer。1973年，美国国家标准局NBS征求国家密码标准方案，IBM提交了该算法。1977年正式颁布为数据加密标准（DES-DataEncryptionStandard）。1979年，美国银行协会批准使用DES。DES的发展历程1980年，DES成为美国标准化协会(ANSI)标准。1984年，ISO开始在DES基础上制定数据加密的国际标准。美国国家安全局NSA每隔年对该算法进行评估，1994年，决定1998年12月之后不再使用DES。现已经确定了选用Rijndael算法作为高级加密算法AES。2020/2/10西安电子科技大学计算机学院142020/2/10西安电子科技大学计算机学院15DES加密§3.3数据加密标准(DES)2020/2/10西安电子科技大学计算机学院16§3.3.1DES加密加密算法框架2020/2/10西安电子科技大学计算机学院172020/2/10西安电子科技大学计算机学院18初始置换2020/2/10西安电子科技大学计算机学院19单轮变换的详细过程函数F第i轮输入第i轮输出函数F2020/2/10西安电子科技大学计算机学院20单轮变换的详细过程函数FExpansion:32-48S-box:48-32Permutation:32-322020/2/10西安电子科技大学计算机学院21单轮变换的详细过程单轮操作结构2020/2/10西安电子科技大学计算机学院22单轮变换的详细过程函数F2020/2/10西安电子科技大学计算机学院23单轮变换的详细过程扩展置换E：32bit→48bit第32比特→第1比特第01比特→第2比特…………第01比特→第48比特2020/2/10西安电子科技大学计算机学院24单轮变换的详细过程压缩置换（S盒）：6bit→4bit,48bit→32bit2020/2/10西安电子科技大学计算机学院258个S盒2020/2/10西安电子科技大学计算机学院268S2110101b21001例：00010203040506070809101112131415012313020804061511011009031405001207011513081003070412050611001409020711040109121402000610131503050802011407041008131512090003050611输入输出2020/2/10西安电子科技大学计算机学院27单轮变换的详细过程P置换（P盒）：32bit→32bit第16比特→第1比特第07比特→第2比特…………第25比特→第32比特2020/2/10西安电子科技大学计算机学院28子密钥生成算法框架2020/2/10西安电子科技大学计算机学院29子密钥生成两个选择置换（64bit→56bit，56bit→48bit）第57比特→第1比特第49比特→第2比特…………第04比特→第56比特（舍弃了奇偶校验位，即第8，16，…，64位）第14比特→第1比特第17比特→第2比特…………第32比特→第48比特（舍弃了第9,18,22,25,35,38,43,54比特位）2020/2/10西安电子科技大学计算机学院30子密钥生成循环移位第3~8，10~15轮，左移2位，其余为1位2020/2/10西安电子科技大学计算机学院312020/2/10西安电子科技大学计算机学院32§3.3.2DES解密与加密算法相同，子密钥倒序。2020/2/10西安电子科技大学计算机学院33§3.2.3雪崩效应明文或密钥的微小改变将对密文生成很大的影响。这是任何加密算法需要的一个好的性质。2020/2/10西安电子科技大学计算机学院3456密钥的使用256=7.2x10161998年出现了“DES破译机”计时攻击：利用加密算法或解密算法对于不同的输入所花的时间的细微的差异。§3.4DES的强度2020/2/10西安电子科技大学计算机学院35DESCrackerTheElectronicFrontierFoundationbuilttheso-calledDESCrackersupercomputerin1998tocrack56-bitDESencryption.ItlaterwonRSALaboratory'sDESChallengeIIcontestinabout56hours.DESCrackerhad26(andlater27)systemboards,eachwith32or64customAWT-4500DeepCrackchips,foratotalofabout1,500to1,800chips.2020/2/10西安电子科技大学计算机学院36差分密码分析线性密码分析§3.5差分分析和线性分析差分密码分析查分密码分析的合理性在于：它关注了一对明文分组在加密过程中通过轮函数的演变情况，而不是观察单个明文分组的演变。对于DES而言，如有2^47个选择明文，用差分分析就可以在2^47次加密运算内成功攻击DES，但这种方法只有理论意义。2020/2/10西安电子科技大学计算机学院372020/2/10西安电子科技大学计算机学院38差分密码分析2020/2/10西安电子科技大学计算机学院39线性密码分析通过寻找DES变换的线性近似来攻击。2020/2/10西安电子科技大学计算机学院40DES的设计准则（见教材3.5P60）主要针对S盒及P函数的设计。Feistel密码的密码强度来自于三个方面迭代轮数迭代轮数的选择标准是使密码分析的难度大于简单穷举攻击的难度。16轮时，255.1255函数F的设计非线性度要高较好的雪崩效应（严格雪崩效应）独立准则§3.6分组密码的设计原理§3.6分组密码的设计原理S盒的设计本质上，我们希望输入向量的任何变化导致S盒的输出近乎随机的变化。Mister和Adams提出一系列S盒的设计标准：应该满足严格的雪崩效应和独立准则。【Heys95】提出S盒的一个相关设计标准：严格雪崩准则。Nyberg提出了下列方法：随机方法，随机加预测方法，人工构造方法，数学构造方法。2020/2/10西安电子科技大学计算机学院41§3.6分组密码的设计原理密钥扩展算法没有受到向S盒那样的关注。一般来说，子密钥的选择应该加大推导子密钥及密钥的难度。Hall指出该算法至少应保证密钥和明文符合严格雪崩准则和位独立准则。2020/2/10西安电子科技大学计算机学院422020/2/10西安电子科技大学计算机学院43小结分组密码与流密码blockvsstreamciphersFeistel密码设计与结构design&structure轮数，函数F，密钥扩展DES算法细节密码强度差分和线性密码分析2020/2/10西安电子科技大学计算机学院44第三章作业思考题：第5，7，8题上机编程设计DES算法