第三章对称密码体制课件.ppt

按算法的不同，对称密码体制又分为两类：序列密码体制 分组密码体制,3.1 两种对称密码体制,序列（流）密码(Stream Cipher)：明文信息逐位(或逐字符)和一个永不重复的随机密钥序列异或，且密钥的长度等于明文的长度。算法描述：Ci Pi ki Pi Ci ki,3.1.1 序列密码体制,如：加密过程 解密过程 明文(P):密文(C)：密钥(K):密钥(K)：-密文(C)：明文(P)：,本例中，序列流的长度为5位，则密钥长度也应为5位，而其密钥空间应为?,序列密码的优点：计算简单，效率高，保密性好。缺点：密钥管理困难（因为需要有可靠 的密钥传输渠道和密钥保存方法）。,25，即可能的加密密钥为 32个。,分组密码：在密钥的控制下一次变换一个明文分组。,3.1.2 分组密码体制,-分组长度要足够长，密钥量应足够大 以防止穷举密钥空间的攻击。-密码算法应足够复杂 使破译者除了穷举法攻击之外，找不到其它简洁的数学破译方法。,分组密码设计要求,基于加密的基本方法代替和换位.（代替：用以实现扩散；换位：用以实现混乱）Diffusion(扩散)明文的的统计结构被扩散消失在密文中，明文一位影响密文的多位，增加密文与明文之间关系的复杂性。Confusion(混乱)强调密钥的作用，使得密文的统计特性与密钥的取值之间的关系尽量复杂。,分组密码的工作机制,首先要将一个明文消息M分成若干块，M=M1,M2,.,Mi 分别对每一块进行加密：基于密钥替换一次再换位一次，构成一轮；这个过程重复多次构成循环，循环的正向进行构成加密，反向进行构成解密。（目前，使用最多的对称密码体制就是分组密码体制）,分组密码算法的基本思想,有几种分组密码使用模式：（1）电子密码本（ECB）C=C1C2.Ci 其中Ci=E(Mi,k)特点:每个明文分组的加密是独立的。分组的长度是64位，每一个明文分组与264个密文分组中的一个相对应。在早期流行的商业软件产品中,它曾经是最常用的方式。出于安全考虑，该方式目前已很少使用。,分组密码的应用模式,优点：实现简单。缺点：易于遭受攻击。攻击者可以根据已知的“明文密文对”建立一个自己的密码本来 实施攻击。,（2）密码分组链接（CBC）(目前多采用这种模式)特点:前后分组有关联，即前一分组的加密结果被用于后一分组的加密，这样，每一个分组的密文不仅依赖于该分组的明文，而且还受前面所有分组的影响。C1=E(M1V，k),V-初始向量.Ci=E(MiCi-1,k)，i=1,2,s 最后一块|Mi|若不满64位，则应补齐，以保证密文与明文长度相等。,（3）输出反馈（OFB）（4）密文反馈（CFB）这两种模式的特点都是将分组用流密码方式加密，目前不常用。,常用的分组密码算法包括:DES,3DES,IDES,RC5，.,AES(Rijndael),3.2 DES,3.2.1 DES概述 DES（数据加密标准）为feistel 密码。H.Feistel是IBM 的一个专家,最初设计了一个128位密钥的分组密码,70年代因不需要128位长的密钥,太浪费，降为64 位（8个字节）,其中每个字节的最后一位为奇偶校验，因此，实际密钥长度为56位。DES的密钥空间为256，即对一个分组的可能加密密钥为256个。对DES攻击的唯一有效方法是：“穷举法”。,穷举法：逐个试验所有的密钥 k，直到 C=Ek(m)。由于DES的256的密钥空间，通过猜测256个可能的密钥破译一个分组，按当时的计算机水平，使用穷举法需要2283年。该标准1977年由美国国家标准局(NBS)颁布，1981年，被美国商业组织所采纳，作为美国国家标准数据加密算法，之后，很快被用于政府、金融等领域。并成为事实上的国际标准。,NBS规定：每5年对DES进行一次重新审查和修订。1983年-没有任何修改 1987年-NBS认为DES已不够安全，宣布不再对其进行认证，但仍宣布过渡5年。1993年-由于NSA没有提出新的民用加密算法，而且DES也没有被攻破的公开声明，因此要继续过度5年。1998年-1997年人们通过穷举密钥破译了它，（通过网络，利用集体的力量，用了大约100天左右的时间）。它的主要缺陷就是密钥太短。关于DES的另一个争论焦点是，DES中是否存在陷门。但由于当时还没有更好的算法来代替它，所以1998年的情况依然如此，DES仍然继续使用。,2000年10月，NIST（美国国家标准和技术协会）宣布将从15种侯选算法中选出一项新的加密标准。新的标准将会代替旧的DES算法。Rijndael被选中成为将来的AES(高级加密标准Advanced Encryption Standard)。Rijndael这个名字是从它的两个发明者Rijmen和Daemen的名字得来的。从2001年开始，美国政府开始使用DES的“接班人”-AES。在其他国家，DES还在广泛使用。,DES是一个分组加密算法，它以64位为一个分组对数据加密。64位一组的明文从算法的一端输入，64位的密文从另一端输出。由于它是对称体制，加密解密使用同一算法。DES算法的原理:简单地说，算法只不过是加密的两个基本技术 混乱(confusion)和扩散(diffusion)的组合。实现混乱和扩散的方法是：代替和换位。,3.2.2 DES的基本原理,它基于密钥作用于明文，运算一次为一轮，共进行16轮相同的运算，即在明文分组上16次实施相同的组合运算，最后输出密文。为什么要进行16轮迭代运算？轮数越多越安全，但代价与轮数成正比，16轮是一个合适的选择。,算法流程：首先，通过一个初始置换将64位的明文分组分成左右两部分，各32位长，然后进行16轮完全相同的运算。这些运算被称为f 函数,在运算过程中，数据与密钥结合。f函数的作用是将32比特的0,1打乱，即实现混乱。每一轮中的密钥K不同。,1 算法的描述：,示意图：,2 DES的加密和解密过程 令i表示迭代次数，表示逐位模2求和，f为加密函数。加密过程：解密过程：,初始置换IP和初始逆置换IP-1：,3 每一轮的简单描述 每一轮：（如下图）,简单描述：,在每一轮中，密钥位移位，然后再从密钥的56位中选出48位。通过一个扩展置换将数据的右半部分扩展成48位（实现扩散），并通过一个异或操作与48位密钥结合，再通过8个S盒将这48位替代成新的32位数据(实现混乱），再将其置换一次。这四步运算为一轮，称为函数f。,DES的安全性主要依赖于S盒，而且S盒是唯一的非线性部分。解密过程与加密过程一样,只是所使用的密钥次序为逆序。,4函数f 扩展：32 48S-box（进行压缩）:48 32P盒置换,（1）扩展:Ri从 32 48,（2）S-Box,选择压缩运算,48比特被分成8个6比特的子块（B1,B2,B3,B4,B5,B6,B7,B8），输入到相应的S盒（S1,S2,S3,S4,S5,S6,S7,S8）。对每个盒，6比特输入中的第1和第6比特组成的二进制数确定“S-Box表”的行，中间4位二进制数用来确定表的列。表中相应行、列位置的十进制数的4位二进制数表示作为输出。例如：若子块B2=101001，输入到S2，则S2对应“S-Box表”的行数和列数的二进制表示分别是：？11和0100，即第3行和第4列，查表知：对应的十进制数为3，用4位二进制数表示为0011，即S2的输出为0011。所以，可用0011代替101001。,表 S-Box,（3）P盒置换,16 07 20 21 29 12 28 1701 15 23 26 05 18 31 1002 08 24 14 32 27 03 0919 13 30 06 22 11 04 25,输入输出数据的位置置换。如：将输入的第16位放到输出的第1位上，,将输入的第23位放到输出的第?位上?,11,5子密钥的产生,6数据的变位 64位的数据在加密之前和加密之后各进行一次重新变换，其目的？目的不是为了增加保密强度，而是为了增加软件实现的难度，降低计算效率。,（1）DES的设计思想有利于硬件的实现 设计者希望对加密技术能够适当控制，利用硬件实现的复杂性使得只有少数国家和少数厂家才有能力设计和生产这种芯片，并将其实用化。由于其算法的简单性，软件实现容易，所以算法的设计者尽可能降低其计算效率，以提高硬件实现的优势。随着计算机系统性能提高 DES的软件实现越来越多。,7.对DES讨论,软硬件实现的比较：硬件实现方面：DEC公司，DES芯片处理速度可达1Gb/s（每秒1000b），每秒可处理1680 万个分组；美国VLSI公司，6868商用芯片处理速度为512Mb/s。软件实现方面：基于8048/66MHz的处理速度为2.7b/s；基于Sun Sparc 10/52的处理速度为3.4b/s。,（2）密钥长度的争论关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击，因为密钥量只有256 1017 个 每秒测试100万个密钥的机器大约需要一天就可以搜索整个密钥空间。估计制造这样的机器大约需要2000万美元。,（3）S-Box问题 在DES中，其他算法都是线性的，只有S盒运算是非线性的，它提供了密码算法所必须的混乱作用，改变S盒的一个输入至少要引起两位的输出改变。S盒不易于分析，它提供了更好的安全性，所以S盒是算法的关键所在。但F函数(S-Box)设计原理未知，是否存在密码分析的捷径（人们怀疑S盒中可能存在着不安全的因素）？另外，是否留有陷门？,3.3 DES算法的程序实现（自选）,根据DES算法的原理，利用C语言，VC+6.0环境下，实现其加密和解密算法。,3.4 其它对称加密算法,有多种，只简介其中的3种：1IDEA：国际数据加密算法 该算法是由两个瑞士人于1991年提出的，其算法在形式上与DES类似，也是使用循环加密方式，把64位的明文加密成64位的密文。所不同的是，IDEA使用128位的密钥，强度高于DES。加密和解密时使用的密钥不同，但它们是从同一个密钥派生出来，所以仍属于对称密码体制。使用128位密钥加密64位明文分组，穷举分析需要1038次试探。算法本身倾向于软件实现，加密速度快。到目前为止，尚未找到破译它的方法。但IDEA没有代替DES，其中一个可能的原因是它有专利，另一个原因是人们一直在等待密码分析家分析该算法的安全强度。,2 三重DES 以DES为基本模块，通过组合分组方法设计出分组加密算法，是DES的的多重加密方法，即:加密解密加密 所以也称三重DES。使用3DES得到的密文更难用穷举法破译。,设:Ek()和Dk()代表DES算法的加/解密过程，K为密钥，P代表明文，C代表密文，则 加密过程：C=Ek3(Dk2(Ek1(P)解密过程：P=Dk1(EK2(Dk3(C)其中：K1、K2、K3决定了算法的安全性，若三个密钥互不相同，本质上就相当于用一个长为168位的密钥进行加密。,3DES的具体实现：,若数据对安全性要求不很高，K1可以等于K3。在这种情况下，密钥的有效长度为112位。例如：选用两个56位密钥（加上校验位后为64位），要加密的数据先后三次通过DES进行加密。数据先通过第一个56位密钥进行加密。再通过第二个密钥，然后再次通过第一个密钥。,到目前为止，还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索，那么由于空间太大为2112=51033，这实际上是不可行的。若用差分攻击的方法，相对于单一DES来说复杂性以指数形式增长。虽然目前还没有针对两个密钥三重DES的实用攻击方法。但对两个密钥三重DES的攻击有一些设想，以这些设想为基础将来可能设计出更成功的攻击技术。另外，随着Internet、智能卡、手机和掌上电脑等应用日益普及，对通信安全的要求也增强了。不过这些小型设备需要的是,用更少代码,占用更少资源的数据加密算法，所以3DES不是今后这方面需求的解决办法。,3 AES 简介：2000年，Rijndael算法被选中成为将来的AES(高级加密标准Advanced Encryption Standard)，2001年正是使用。AES是一个用来代替DES的算法。目前使用的一般为128,196和256位密钥，这三种密钥都是相当安全的。而且美国政府也是这样认为的。他们批准将128位密钥的AES算法用于一般数据加密，196位和256位密钥的AES算法用于秘密数据和绝密数据的加密。,Rijndael特点：不属于Feistel结构加密、解密相似但不对称支持128数据块大小支持128/192/256密钥长度有较好的数学理论作为基础结构简单、速度快,SP结构 AES 是一个迭代的对称密钥分组的算法。迭代加密使用一个循环结构，在该循环中重复置换（Permutations）和代替(Substitutions）输入数据。即 在每一轮中，轮输入首先被一个由子密钥控制的可逆函数S作用，然后再对所得结果用置换（或可逆线性变换）P作用。称为SP结构。S和P分别被称为混乱层和扩散层，主要起混乱和扩散作用。,AES算法结构：,AES算法具体描述：（略。）,Rijndael安全性：没有发现弱密钥能有效抵抗目前已知的攻击算法线性攻击差分攻击,作业二,1.简述两种对称密码体制（序列密码和分组密码）的基本思想。理解并描述CBC模式的基本思想。2.理解并描述DES加密算法原理。,The End,