密码编码学与网络安全(第五版)向金海04对称密码aesrc4课件.ppt

Chapter 4 对 称 密 码,Chapter 4 对 称 密 码,DES？继续加强DES：2DES、3DES 寻找替代性算法,2022/12/16,2,DES？2022/9/242,2022/12/16,3,三重DES算法,2DES 3DES,2022/9/243三重DES算法 2DES,2022/12/16,4,2DES？C = EK2(EK1(P) EK3(P)？对单步加密进行推导EK2(EK1(P) EK3(P)？中间相遇攻击已知明文攻击可以成功对付密钥长度为112位的2DESX = EK1(P) = DK2(C)用所有可能的密钥加密明文并存储用所有可能的密钥解密密文，并与存储的X匹配2112/264=248，248/264=2-16，两组明密对后，正确密钥的概率是1-2-16 ；三组明密对后，正确密钥的概率是1-2-80付出数量级为 O(256),比攻击单DES的O(255)多不了多少,2DES？,(264)！101020 2561017,2022/9/2442DES？2DES？(264)！101,2022/12/16,5,使用两个密钥的3DES,三重两密思路：加密-解密-加密：说明：第二步用解密运算，可适应单DES，即当k2 k1时，3DES1DES安全性：目前无可行攻击方法应用：较多，如密钥管理标准ANSI X9.17和ISO 8732。,2022/9/245使用两个密钥的3DES三重两密,2022/12/16,6,2022/9/246,2022/12/16,7,三重三密思路：加密-解密-加密应用：较多，如PGP和S/MINE 。五重三密DES思路：加密-解密-加密-解密-加密 应用：可适应单DES或三重两密的情形,使用三个密钥的3DES,2022/9/247三重三密使用三个密钥的3DES,高级加密标准 AES,2022/12/16,8,高级加密标准 AES2022/9/248,2022/12/16,9,Advanced Encryption Standard （AES）2001年由美国国家标准技术局（NIST）发布对称分组密码算法，用以取代DES,2022/9/249Advanced Encryption,2022/12/16,10,高级加密标准的评估准则,高级加密标准的起源1997年4月15日，NIST发起征集高级加密标准的活动，活动目的是确定一个非保密的、可以公开技术细节的、全球免费使用的分组密码算法，作为新的数据加密标准。1997年9月12日，美国联邦登记处公布了正式征集AES候选算法的通告。作为进入AES候选过程的一个条件，开发者承诺放弃被选中算法的知识产权。,2022/9/2410高级加密标准的评估准则 高级加密标准的,2022/12/16,11,NIST对AES算法的要求算法应比三重DES快而且至少还要一样的安全应当具有128比特分组长度和128/192/256比特密钥长度1998年NIST收到12个国家的15个候选算法1999年NIST从中选出5个算法进一步筛选：MARS（IBM）、RC6（MIT）、Rijndael（ 比） 、Serpent（ 英、以、美） 、Twofish（美）。2 0 0 0 年NIST 宣布选择比利时的密码专家的Rijndael作为最终AES的算法。,2022/9/2411NIST对AES算法的要求,2022/12/16,12,AES Requirements,private key symmetric block cipher 128-bit data, 128/192/256-bit keys stronger & faster than Triple-DES active life of 20-30 years (+ archival use) provide full specification & design details both C & Java implementationsNIST have released all submissions & unclassified analyses,2022/9/2412AES Requirementspri,2022/12/16,13,AES Evaluation Criteria,initial criteriasecurity effort for practical cryptanalysiscost in terms of computational efficiencyalgorithm & implementation characteristicsfinal criteriageneral securityease of software & hardware implementationimplementation attacksflexibility (in en/decrypt, keying, other factors),2022/9/2413AES Evaluation Crit,2022/12/16,14,AES Shortlist,after testing and evaluation, shortlist in Aug-99: MARS (IBM) - complex, fast, high security margin RC6 (USA) - v. simple, v. fast, low security margin Rijndael (Belgium) - clean, fast, good security margin Serpent (Euro) - slow, clean, v. high security margin Twofish (USA) - complex, v. fast, high security margin then subject to further analysis & commentsaw contrast between algorithms with few complex rounds verses many simple rounds which refined existing ciphers verses new proposals,2022/9/2414AES Shortlistafter,2022/12/16,15,The AES Cipher - Rijndael,designed by Rijmen-Daemen in Belgium has 128/192/256 bit keys, 128 bit data an iterative rather than feistel cipherprocesses data as block of 4 columns of 4 bytesoperates on entire data block in every rounddesigned to be:resistant against known attacksspeed and code compactness on many CPUsdesign simplicity,2022/9/2415The AES Cipher - Ri,2022/12/16,16,2022/9/2416,2022/12/16,17,2022/9/2417,2022/12/16,18,AES密码,AES的参数,2022/9/2418AES密码AES的参数AES-128A,2022/12/16,19,AES密码,AES的特性所有的已知攻击具有免疫性在各种平台上执行速度快，代码紧凑设计简单,2022/9/2419AES密码AES的特性,2022/12/16,20,AES密码,数据结构以字节为单位的方阵描述：输入分组in、中间数组State、输出、密钥排列顺序：方阵中从上到下，从左到右,2022/9/2420AES密码数据结构,2022/12/16,21,AES密码,SP网络结构在这种密码的每一轮中，轮输入首先被一个由子密钥控制的可逆函数S作用，然后再对所得结果用置换（或可逆线性变换）P作用。S和P分别被称为混乱层和扩散层，主要起混乱和扩散作用。,2022/9/2421AES密码SP网络结构,2022/12/16,22,AES密码,AES算法结构AES算法的轮变换中没有Feistel结构，轮变换是由三个不同的可逆一致变换组成，称之为层。线性混合层：确保多轮之上的高度扩散非线性层：具有最优最差-情形非线性性的S-盒的并行应用密钥加层：轮密钥简单地异或到中间状态上,2022/9/2422AES密码AES算法结构,2022/12/16,23,AES密码,AES算法结构,2022/9/2423AES密码AES算法结构,2022/12/16,24,AES-128加解密过程,Rijndael,2022/9/2424AES-128加解密过程Rijndae,2022/12/16,25,2022/9/2425,2022/12/16,26,AES密码,数据结构:状态、密钥、输出的矩阵表示,2022/9/2426AES密码数据结构:状态、密钥、输出的,2022/12/16,27,字节代换（Substitute Bytes ）变换,正向和逆向变换字节代替是一个非线性的字节代替，独立地在每个状态字节上进行运算。代替表（S-盒）是可逆的，是一个1616的矩阵。,2022/9/2427字节代换（Substitute Byt,2022/12/16,28,2022/9/2428,2022/12/16,29,字节代换（Substitute Bytes ）变换,S-盒代替表（S-盒）是可逆的，是一个1616的矩阵。,2022/9/2429字节代换（Substitute Byt,2022/12/16,30,2022/9/2430,2022/12/16,31,字节代换（Substitute Bytes ）变换,例子,2022/9/2431字节代换（Substitute Byt,2022/12/16,32,S盒的构造初始化元素求逆：在GF中求逆元素置换,其中：,=（01100011）2,2022/9/2432S盒的构造其中：=（01100011）,2022/12/16,33,行移位(shift Row)变换,正向和逆向变换,2022/9/2433行移位(shift Row)变换正向和,2022/12/16,34,行移位(shift Row)变换,例子,2022/9/2434行移位(shift Row)变换例子,2022/12/16,华中农业大学信息学院,35,列混淆（Mix Column）变换,正向和逆向变换代替操作，将状态的列看作有限域GF（28）上的4维向量并被有限域GF（28）上的一个固定可逆方阵A乘 乘法是GF(28)定义中定义的，素多项式为： m(x) =x8+x4+x3+x+1,2022/9/24华中农业大学信息学院35列混淆（Mix C,2022/12/16,华中农业大学信息学院,36,2022/9/24华中农业大学信息学院36,2022/12/16,华中农业大学信息学院,37,列混淆（Mix Column）变换,例子,2022/9/24华中农业大学信息学院37列混淆（Mix C,2022/12/16,华中农业大学信息学院,38,轮密钥加（Add Round Key）变换,一个简单地按位异或的操作,2022/9/24华中农业大学信息学院38轮密钥加（Add,2022/12/16,华中农业大学信息学院,39,内部函数的功能小结,SubBytes 的目的是为了得到一个非线性的代换密码。对于分析密码抗差分分析来说，非线性是一个重要的性质。 ShiftRows 和MixColumns 的目的是获得明文消息分组在不同位置上的字节混合。 AddRoundKey 给出了消息分布所需的秘密随机性。,2022/9/24华中农业大学信息学院39内部函数的功能小结,2022/12/16,华中农业大学信息学院,40,AES的密钥扩展,轮密钥是通过密钥调度算法从密钥中产生，包括两个组成部分：密钥扩展和轮密钥选取。基本原理如下： 所有轮密钥比特的总数等于分组长度乘轮数加1。（如128比特的分组长度和10轮迭代，共需要1408比特的密钥）。 将密钥扩展成一个扩展密钥。 轮密钥按下述方式从扩展密钥中选取：第一个轮密钥由开始Nb个字组成，第二个轮密钥由接下来的Nb个字组成，如此继续下去。,2022/9/24华中农业大学信息学院40AES的密钥扩展,2022/12/16,华中农业大学信息学院,41,AES的密钥扩展,密钥扩展扩展过程,2022/9/24华中农业大学信息学院41AES的密钥扩展密,2022/12/16,华中农业大学信息学院,42,2022/9/24华中农业大学信息学院42,2022/12/16,华中农业大学信息学院,43,AES的密钥扩展,函数gRotWord执行一字节循环左移b0,b1,b2,b3 b1,b2,b3,b0SubWord执行使用S-盒实行字节替换前两步的结果XOR与轮常数Rconj,2022/9/24华中农业大学信息学院43AES的密钥扩展函,2022/12/16,华中农业大学信息学院,44,AES的密钥扩展,轮常量,2022/9/24华中农业大学信息学院44j12345678,2022/12/16,华中农业大学信息学院,45,AES的密钥扩展,例子,2022/9/24华中农业大学信息学院45AES的密钥扩展例,2022/12/16,华中农业大学信息学院,46,对应的逆运算,2022/9/24华中农业大学信息学院46对应的逆运算,2022/12/16,华中农业大学信息学院,47,实现,可以在8-bit CPU上有效实现byte substitution works on bytes using a table of 256 entriesshift rows is simple byte shiftadd round key works on byte XORsmix columns requires matrix multiply in GF(28) which works on byte values, can be simplified to use table lookups & byte XORs,2022/9/24华中农业大学信息学院47实现可以在8-bi,2022/12/16,华中农业大学信息学院,48,实现,可以在32-bit CPU上有效实现重新定义步骤以适应32-bit的字长可以预先计算256个字的四个表then each column in each round can be computed using 4 table lookups + 4 XORs4Kb用于存储表设计者认为在AES大选中有效实现是一个关键因素,2022/9/24华中农业大学信息学院48实现可以在32-b,2022/12/16,华中农业大学信息学院,49,分组密码的工作模式,FIPS 81中定义了4种模式，到800-38A中将其扩展为5个。可用于所有分组密码。DES的工作模式若明文最后一段不足分组长度，则补0或1，或随机串。,2022/9/24华中农业大学信息学院49分组密码的工作模式,2022/12/16,华中农业大学信息学院,50,DES的工作模式,2022/9/24华中农业大学信息学院50模式描述典型应用电,RC4RC5,2022/12/16,华中农业大学信息学院,51,RC42022/9/24华中农业大学信息学院51,2022/12/16,华中农业大学信息学院,52,RSADSI拥有版权（ RSA Data Security, Inc. ）由Ronald Rivest设计（MIT） RSA DSI 所拥有， 1987年Ron Rivest 设计,1994年9月公开流密码，面向字节操作密钥长度可变广泛使用Web SSL/TLSIEEE 802.11 WEPWiFi WPA,RC4,2022/9/24华中农业大学信息学院52RSADSI拥有版,2022/12/16,华中农业大学信息学院,53,RC4流密码,Stream Ciphers：RC4消息的处理以bit为单位以流的方式进行 伪随机密钥流 keystream密钥流与明文进行按位的异或运算 (XOR) 密钥的随机性破坏明文中的统计规律 Ci = Mi XOR StreamKeyi 不能重复使用密钥流否则将被破译,2022/9/24华中农业大学信息学院53RC4流密码Str,2022/12/16,华中农业大学信息学院,54,流密码的特性,设计流密码需要考虑的因素:加密序列的周期要长 统计上满足随机性密钥要足够长，以免穷举攻击（128bits）要有高的线性复杂度通过合理的设计，可以达到相同密钥尺寸下分组密码的安全性简单快速,2022/9/24华中农业大学信息学院54流密码的特性设计流,2022/12/16,华中农业大学信息学院,55,2022/9/24华中农业大学信息学院55,2022/12/16,华中农业大学信息学院,56,流密码的结构,2022/9/24华中农业大学信息学院56流密码的结构,2022/12/16,华中农业大学信息学院,57,数学基础：随机置换；周期 T10100；特点：算法简单，易于描述。符号K0L1（原始）密钥（1L256），每个Ki为1个字节S0255状态矢量，每个Si为1个字节T临时矢量，与S同大小k密钥流（子密钥）,RC4,2022/9/24华中农业大学信息学院57数学基础：随机置换,2022/12/16,华中农业大学信息学院,58,初始化S赋初值j0for i0 to 255 do Sii； Ti K i mod L 初始置换j0for i0 to 255 do jjSiTi mod 256； swap(Si,Sj) ,RC4,2022/9/24华中农业大学信息学院58初始化SRC4,2022/12/16,华中农业大学信息学院,59,密钥流的生成ij0while （true） ii1 mod 256； jj Si mod 256； swap（Si，Sj）； tSi Sj mod 256； kSt,6.6.2 RC4,2022/9/24华中农业大学信息学院59密钥流的生成6.,2022/12/16,华中农业大学信息学院,60,RC4 逻辑结构,2022/9/24华中农业大学信息学院60RC4 逻辑结构,2022/12/16,华中农业大学信息学院,61,RC4 的安全强度,声称可以对付已知攻击有许多攻击方法，但没有哪种方法对于足够长度密钥（128比特）的RC4有效。 非线性很高永远不能重复使用密钥WEP的产生密钥的漏洞与RC4无关,2022/9/24华中农业大学信息学院61RC4 的安全强度,2022/12/16,华中农业大学信息学院,62,小结,2DES、3DESAESRC4,2022/9/24华中农业大学信息学院62小结2DES、3D,2022/12/16,华中农业大学信息学院,63,作 业,2022/9/24华中农业大学信息学院63作 业,