《对称密钥密码》PPT课件.ppt

《《对称密钥密码》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《对称密钥密码》PPT课件.ppt（45页珍藏版）》请在三一办公上搜索。

1、对称密钥密码,1,2 对称密钥密码,对称密钥密码,2,对称密钥密码,流密码(Stream Ciphers)根据一次一密获得密钥相对较短密钥被扩展为更长的密钥流(keystream)Keystream被用做一次一密的密钥只用到了混淆分组密码(Block cipher)根据电码本密码获得分组密码密钥决定电码本每个密钥生成一个不同的电码本混淆和扩散都得到利用,对称密钥密码,3,流密码 Stream Ciphers,对称密钥密码,4,流密码,现在已不如分组密码流行本节讨论一种流密码A5/1基于线性移位寄存器（硬件实现）用于GSM移动通信系统,对称密钥密码,5,流密码原理,流密码使用n比特长的密钥K，并

2、将其扩展为更长的密钥流。将密钥流与明文做异或运算，得到密文C。密钥流的使用方法与一次一密中的密钥相同。解密时将密文与密钥做异或运算得到明文。函数可表示为StreamCipher(K)=SK是密钥，S是和一次一密中对等的密钥流,对称密钥密码,6,A5/1 原理1,A5/1 使用3个线性移位寄存器(LFSR)寄存器X:19 bits(x0,x1,x2,x18)寄存器Y:22 bits(y0,y1,y2,y21)寄存器Z:23 bits(z0,z1,z2,z22)三个寄存器共有64 bits密钥K采用64 bits。初始时密钥K被载入3个寄存器,对称密钥密码,7,A5/1 原理2,对每一步做:m=m

3、ajor(x8,y10,z10)Major（多数）函数定义:major(0,1,0)=0 and major(1,1,0)=1 如果 x8=m 那么 X寄存器 进行移位运算 t=x13 x16 x17 x18xi=xi1 for i=18,17,1 and x0=t如果 y10=m 那么 Y寄存器进行移位运算t=y20 y21yi=yi1 for i=21,20,1 and y0=t如果 z10=m 那么 Z寄存器进行移位运算t=z7 z20 z21 z22zi=zi1 for i=22,21,1 and z0=t密钥流比特最后由 x18 y21 z22 产生,对称密钥密码,8,A5/1原理3

4、,每次运算获得一个比特密钥用于初始化三个寄存器每个寄存器是否进行移位操作由M(x8,y10,z10)决定密钥流比特由三个最右端比特进行XOR运算获得,X,Y,Z,对称密钥密码,9,A5/1实例,在这种情况下,m=maj(x8,y10,z10)=maj(1,0,1)=1 寄存器 X 进行移位,Y不进行移位,Z进行移位密钥流比特由最右端比特进行XOR操作而得此例,密钥流比特是 0 1 0=1最后用密钥流和明文做XOR运算进行加密和解密,X,Y,Z,对称密钥密码,10,流密码总结,密钥流的产生看似很复杂，但用硬件实现很简单产生速度与计算机时钟速度相当（可与语音同步）从一个64位密钥可产生无穷多密钥流

5、最终会产生密钥流循环！,对称密钥密码,11,流密码总结,因为过去基于软件的密码系统不能产生高速比特流，流密码曾十分辉煌，当今，基于软件的密码系统的出现，使分组密码成为主流密码流的未来?密码学家Shamir:“密码流已步入死亡-the death of stream ciphers”-2004或许太夸张但分组密码是现今主流,对称密钥密码,12,分组密码 Block Ciphers,对称密钥密码,13,(Iterated)分组密码（迭代）,密文和明文均是固定长度的分组(block)通过若干轮使用轮函数(round function)迭代产生密文轮函数的输入由前一轮的输出和密钥组成分别设计一个安全的

6、分组密码或者一个高速的算法不难，但既安全又高效的算法则非常困难通常用软件实现,对称密钥密码,14,Feistel 密码(Cipher),Feistel 密码 是分组密码的一种(分组)原则，不是一种特殊的密码将明文分解成右半部分和左半部分:明文=(L0,R0)对于每一轮 i=1,2,.,n,计算：Li=Ri1 Ri=Li1 F(Ri1,Ki)此处 F 是 轮函数,Ki是第i轮的 子密钥(subkey)密文=(Ln,Rn),对称密钥密码,15,Feistel 密码解密,解密:密文=(Ln,Rn)对每轮 i=n,n1,1,计算Ri1=LiLi1=Ri F(Ri1,Ki)此处 F 是 轮函数,Ki是第

7、i轮的 子密钥 subkey 明文=(L0,R0)此算法对所有函数F都适用但只对特定函数来说是安全的优点在于所有安全性问题可以转化为轮函数F的问题,对称密钥密码,16,DES密码,20世纪70年代提出DES(Data Encryption Standard)根据IBM公司提出Feistel密码之一的Lucifer密码设计 当时，密码技术除被政府和军方所研究及掌握，民间及商业对此尚无研究但计算机的发展，数据加密对商业至关重要美国标准局(NBS)提出了对密码算法的征集获胜者将成为美国政府及实际上的产业界标准因参与者不多，最终由唯一IBM提出的Lucifer算法获得,对称密钥密码,17,DES密码,

8、由于技术力量不足，NBS求助于政府密码机构NSA(National Security Agency)由于NSA专门负责政府及军方高级敏感信息加密研究，开始不愿参与民间密码开发 后被怀疑在DES中植入后门，使NSA很容易破解DESLucifer算法经过修改成为DES主要修改为将密钥长度由128位减为64位，并且64位中有8位势用来校验奇偶性的，实际密钥长度由为56。破译难度降低了272倍，难怪被指动过手脚,对称密钥密码,18,DES密码归纳,DES是16轮的Feistel结构密码DES的分组长度是64位 DES使用56位密钥DES每一轮使用48位的子密钥，每个子密钥是由56位的密钥的子集构成的D

9、ES竟是住了时间的考验，其遭受攻击只是因为密钥过短，而不是存在比穷举更为有效的攻击方法,对称密钥密码,19,DES的分析,DES是一种Feistel原理的密码系统（将明文分为两部分，然后迭代）64位为一个分段56位长的密钥经过16论迭代每步迭代采用48位长的子密钥(?)每步迭代很简单安全性主要取决于“S盒”每个S盒将6位映射为4位,对称密钥密码,20,L,R,扩展,移位,移位,密钥,密钥,S盒,压缩,L,R,28,28,28,28,28,28,48,32,48,32,32,32,32,DES的一轮,48,32,Ki,P置换,对称密钥密码,21,DES的扩展组合,输入32位(图中L、R)0 1

10、2 3 4 5 6 7 8 9 10 11 12 13 14 151616 17 18 19 20 21 22 23 24 25 26 27 28 29 30 3116输出48位(经过扩展）31 0 1 2 3 4 3 4 5 6 7 812 7 8 9 10 11 12 11 12 13 14 15 161215 16 17 18 19 20 19 20 21 22 23 241223 24 25 26 27 28 27 28 29 30 31 012,对称密钥密码,22,DES的S盒,8个S盒每个S盒将6位输入映射到4位输出下图为1号S盒输入bits(0,5)确定列数 输入bits(1,2

11、,3,4)确定行数|0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111-00|1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 011101|0000 1111 0111 0100 1110 0010 1101 0001 1010 0110 1100 1011 1001 0101 0011 100010|0100 0001 1110 1000 1101 0110 0010 1011 111

12、1 1100 1001 0111 0011 1010 0101 000011|1111 1100 1000 0010 0100 1001 0001 0111 0101 1011 0011 1110 1010 0000 0110 1101矩阵中的四位输出是0，1,2,F的某种置换排列。,对称密钥密码,23,DES的P置换,输入32位 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 1516 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31输出32位15 6 19 20 28 11 27 16 0 14 22 25 4 17 30 9

13、1 7 23 13 31 26 2 8 18 12 29 5 21 10 3 24P置换并非出于安全性考虑，至今仍被认为是一个历史谜团，一个可能的解释是使算法难以用软件实现(当初使用的是特殊硬件)。,对称密钥密码,24,DES 的子密钥,56位的DES密钥,序号0,1,2,55左半部分密钥比特,LK(28bit)49 42 35 28 21 14 7 0 50 43 36 29 22 15 8 1 51 44 37 30 2316 9 2 52 45 38 31右半部分密钥比特,RK(28bit)55 48 41 34 27 20 13 6 54 47 40 33 26 1912 5 53 4

14、6 39 32 2518 11 4 24 17 10 3,对称密钥密码,25,DES 的子密钥,子密钥的产生式一个循环过程，该过程是安全性的关键。最终结果是选择56位中的48位成为子密钥。对于 i=1,2,.,16 轮赋值 LK=(LK 循环左移位ri位)赋值 RK=(RK 循环左移位ri位)左半部分的子密钥Ki 是LK13 16 10 23 0 4 2 27 14 5 20 912位22 18 11 3 25 7 15 6 26 19 12 112位右半部分的子密钥Ki 是RK12 23 2 8 18 26 1 11 22 16 4 1912位15 20 10 27 5 24 17 13 2

15、1 7 0 312位,对称密钥密码,26,DES 的子密钥,对于1,2,9和16轮，ri=1,其他轮 ri=2LK的8,17,21,24位在每轮被忽略RK的6,9,14,25位在每轮被忽略压缩过程后 从56位原始密钥产生48 位子密钥Ki密钥生成机制 产生子密钥,对称密钥密码,27,DES 结束语(Almost),对原文P在第一轮前进行初始置换在最后一轮结束后再进行一次置换在加密时，将左右两部分互换产生密文(R16,L16)以上的这些设计在设计时并不是以安全作为考量的,对称密钥密码,28,DES的安全性,安全的主要依据是依赖于S盒其他部件均为线性部件三十年的使用并未发现有所谓的“后门”直到今天

16、，攻击者仍然只能依靠穷举密钥搜索来解决密钥问题由此得到的唯一结论 DES的设计者当初知道他们在做什么DES的设计者具有超前思维,对称密钥密码,29,分组密码工作模式,对称密钥密码,30,多块分组,如何加密多块分组呢?是否对每个分组采用一个密钥?和一次一密同样困难，甚至更难!对每一组进行独立加密?根据前一个组的信息加密，例如将信息组串联成串?怎样处理部分或是不完全的分组?,对称密钥密码,31,操作的模式,在众多模式中，本节讨论两种电码本模式(ECB)显而易见的方法每个分组分别加密有严重的安全隐患密文链接模式(CBC)将分组板块串在一起比ECB安全,基本上无附加工作,对称密钥密码,32,电码本模式

17、 ECB Mode,符号含义:C=E(P,K)给定明文 P0,P1,Pm,显然的使用分块加密方法是加密 解密C0=E(P0,K),P0=D(C0,K),C1=E(P1,K),P1=D(C1,K),C2=E(P2,K),P2=D(C2,K),对于一个固定的密钥K,有一个版本的电码本对于每个密钥，产生一个新电码本,对称密钥密码,33,ECB 的弱点,假设 Pi=Pj那么 Ci=Cj 而且 Trudy 已知 Pi=Pj在这种情况下即便Trudy不知道明文Pi 或 Pj，也将给Trudy一些关于明文的信息这是否是一个严重的问题呢?,对称密钥密码,34,Alice hate ECB Mode,Alice

18、的未压缩加密图片,Alice经ECB加密后的图片,什么原因导致模糊?同样的明文段 同样的密文段!,对称密钥密码,35,密文链接模式 CBC Mode,字段被“链接”在一起用一个随机初始化的向量IV来初始化 CBC modeIV是随机的并不一定是保密的加密 解密C0=E(IV P0,K),P0=IV D(C0,K),C1=E(C0 P1,K),P1=C0 D(C1,K),C2=E(C1 P2,K),P2=C1 D(C2,K),对称密钥密码,36,CBC 模式,相同的明文段会产生不同的密文段剪切-粘贴依然可能，但更复杂(会产生模糊)如果C1 变的模糊像G，那么P1 C0 D(G,K),P2 G D

19、(C2,K)但 P3=C2 D(C3,K),P4=C3 D(C4,K),自动从错误中恢复过来了!,对称密钥密码,37,Alice 喜欢CBC Mode,Alice未加密压缩图像,Alice经过CBC加密后的图像,为何效果如此?同样的明文生成不同的密文!,对称密钥密码,38,分组密码引发的剪切-粘贴攻击,假定明文是 Alice digs Bob.Trudy digs Tom.假设用 64-bit 分组，8-bit ASCII字符:P0=“Alice di”,P1=“gs Bob.”,P2=“Trudy di”,P3=“gs Tom.”加密后密文:C0,C1,C2,C3Trudy 剪切并粘贴:C0

20、,C3,C2,C1解密后明文为Alice digs Tom.Trudy digs Bob.（部分明文泄露）,对称密钥密码,39,完整性(Integrity),对称密钥密码,40,数据完整性,完整性 防止(至少探测到)未经授权修改数据实例:银行内部资金转账保密性很好,完整性是关键加密提供保密性(防止未经授权地修改信息)单靠加密不能保证完整性(一次一密和电码本),对称密钥密码,41,消息认证码 MAC,Message Authentication Code(MAC)用来确保数据完整性 完整性不 同于保密性MAC通过计算CBC的最后一个分组计算CBC加密,保留最后一个密文段,对称密钥密码,42,MA

21、C 算法,MAC 算法(假设N个分段)C0=E(IV P0,K),C1=E(C0 P1,K),C2=E(C1 P2,K),CN1=E(CN2 PN1,K)=MACMAC必须和明文一起发送接收方使用同一算法计算然后将所得结果与MAC比较看是否一致接收方必须知道密钥K,对称密钥密码,43,MAC算法为何可行?,假设Alice有4块明文要加密Alice计算C0=E(IVP0,K),C1=E(C0P1,K),C2=E(C1P2,K),C3=E(C2P3,K)=MACAlice将 IV,P0,P1,P2,P3及MAC发给Bob 假设Trudy将P1 换为 X Bob的到错误的信息然后计算C0=E(IVP

22、0,K),C1=E(C0X,K),C2=E(C1P2,K),C3=E(C2P3,K)=MAC MAC错误将传递(propagates)到MAC(和CBC解码不同)Trudy在没有密钥K的情况下无法将MAC换成MAC,对称密钥密码,44,保密性和完整性,用一个密钥加密,用另一个密钥计算MAC 为何不用同一密钥?将最后一个加密的版块(MAC)发送两次twice?对安全性无帮助!使用不同的密钥加密和计算MAC是可行的,即使密钥是相对有联系的但需要两倍的付出（相对于加密）能否找到一种加密方法能同时保护保密性与完整？当前正在研究中,对称密钥密码,45,对称密钥密码的应用,保密性在不安全通道上传播数据在不安全媒介上安全存储完整性(MAC)认证协议,