1、密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)12022-3-7第三章第三章 對(duì)稱(chēng)密碼體制對(duì)稱(chēng)密碼體制密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)22022-3-7本章內(nèi)容本章內(nèi)容Feistel密碼簡(jiǎn)化的數(shù)據(jù)加密標(biāo)準(zhǔn)S-DES數(shù)據(jù)加密標(biāo)準(zhǔn)DES差分分析和線(xiàn)性分析分組密碼的設(shè)計(jì)原理密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)32022-3-71. Feistel密碼當(dāng)前使用的大部分對(duì)稱(chēng)加密算法都基于被稱(chēng)為Feistel分組密碼的結(jié)構(gòu)。 數(shù)據(jù)映射設(shè)計(jì)擴(kuò)散和擾亂(混淆)加密算法結(jié)構(gòu)解密算法密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)42022-3-71.0 流密

2、碼與分組密碼流密碼流密碼每次加密數(shù)據(jù)流的一位或一個(gè)字節(jié)。每次加密數(shù)據(jù)流的一位或一個(gè)字節(jié)。例子：古典密碼中的例子：古典密碼中的VigenreVigenre密碼和密碼和VernamVernam密碼。密碼。分組密碼分組密碼將一個(gè)明文組作為整體加密且通常得到的是與之等長(zhǎng)將一個(gè)明文組作為整體加密且通常得到的是與之等長(zhǎng)的密文組。的密文組。典型分組大小是典型分組大小是6464位或位或128128位。位。密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)52022-3-71.1 1.1 數(shù)據(jù)映射設(shè)計(jì)數(shù)據(jù)映射設(shè)計(jì)可逆映射 明文 密文 0011011010001101不可逆映射 明文 密文 001101101

3、0011101密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)62022-3-7 4 bit 輸入 4 到 16 譯碼器 16 到 4 譯碼器 4 bit 輸出 1 0 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1 0 2 3 4 5 6 7 8 9 10 11 12 13 14 15 n=4n=4時(shí)的一個(gè)時(shí)的一個(gè)n n比特到比特到n n比特的分組密碼比特的分組密碼密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)72022-3-7示例：示例：4bit4bit明文明文一般替代一般替代線(xiàn)性映射線(xiàn)性映射y y1 1k k1111x x1 1k k1212x x2

4、 2k k1313x x3 3k k1414x x4 4y y2 2k k2121x x1 1k k2222x x2 2k k2323x x3 3k k2424x x4 4y y3 3k k3131x x1 1k k3232x x2 2k k3333x x3 3k k3434x x4 4y y4 4k k4141x x1 1k k4242x x2 2k k4343x x3 3k k4444x x4 4明文明文 密文密文 密文密文 明文明文 000011100000111000010100000100110010110100100100001100010011100001000010010000

5、0101011111010111000110101101101010011110000111111110000011100001111001101010011101101001101010100110111100101101101100010111001011110110011101001011100000111000001111011111110101替代密碼的加密與解密表替代密碼的加密與解密表密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)82022-3-7可逆映射和不可逆映射可逆映射和不可逆映射n bitn bit的可逆映射的不同變換個(gè)數(shù)為的可逆映射的不同變換個(gè)數(shù)為2 2n n！分

6、組長(zhǎng)度較小時(shí)等同于古典的替代密碼分組長(zhǎng)度較小時(shí)等同于古典的替代密碼n bitn bit的一般替代分組密碼，密鑰的大小是的一般替代分組密碼，密鑰的大小是 n n x 2 2n nn bitn bit線(xiàn)性映射的密鑰的大小是線(xiàn)性映射的密鑰的大小是n n2 2 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)92022-3-71.2 1.2 擴(kuò)散和混淆（擾亂）擴(kuò)散和混淆（擾亂）現(xiàn)代分組密碼設(shè)計(jì)的基礎(chǔ)是為統(tǒng)計(jì)分析制造障礙現(xiàn)代分組密碼設(shè)計(jì)的基礎(chǔ)是為統(tǒng)計(jì)分析制造障礙擴(kuò)散擴(kuò)散 將明文的統(tǒng)計(jì)特征消散到密文中，讓明文的每個(gè)數(shù)將明文的統(tǒng)計(jì)特征消散到密文中，讓明文的每個(gè)數(shù)字影響許多密文數(shù)字的取值，亦即每個(gè)密文數(shù)

7、字被字影響許多密文數(shù)字的取值，亦即每個(gè)密文數(shù)字被許多明文數(shù)字影響。許多明文數(shù)字影響。混淆（擾亂）混淆（擾亂） 明文分組到密文分組的變換依賴(lài)于密鑰，使得密文明文分組到密文分組的變換依賴(lài)于密鑰，使得密文的統(tǒng)計(jì)特性與加密密鑰的取值之間的關(guān)系盡量復(fù)雜的統(tǒng)計(jì)特性與加密密鑰的取值之間的關(guān)系盡量復(fù)雜 ，使得即使攻擊者掌握了密文的某些統(tǒng)計(jì)特性，由于使得即使攻擊者掌握了密文的某些統(tǒng)計(jì)特性，由于密鑰產(chǎn)生密文的方式是如此復(fù)雜以至于攻擊者難于密鑰產(chǎn)生密文的方式是如此復(fù)雜以至于攻擊者難于從中推測(cè)出密鑰從中推測(cè)出密鑰 。密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)102022-3-7擴(kuò)散擴(kuò)散采用平均操作進(jìn)行加密

8、采用平均操作進(jìn)行加密 重復(fù)使用對(duì)數(shù)據(jù)的某種置換，并對(duì)置換結(jié)果再應(yīng)用某重復(fù)使用對(duì)數(shù)據(jù)的某種置換，并對(duì)置換結(jié)果再應(yīng)用某個(gè)函數(shù)。個(gè)函數(shù)。擾亂擾亂采用復(fù)雜的替代算法（非線(xiàn)性函數(shù)）。采用復(fù)雜的替代算法（非線(xiàn)性函數(shù)）。kiinnmc126mod密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)112022-3-71.3 1.3 Feistel加密算法結(jié)構(gòu)明文分組被分為兩個(gè)部分明文分組被分為兩個(gè)部分L L0 0和和R R0 0，數(shù)據(jù)的，數(shù)據(jù)的這兩個(gè)部分經(jīng)過(guò)這兩個(gè)部分經(jīng)過(guò)n n輪的處理后組合起來(lái)產(chǎn)輪的處理后組合起來(lái)產(chǎn)生密文分組。生密文分組。每一輪每一輪i i以從前一輪得到的以從前一輪得到的L Li-1i-

9、1和和R Ri-1i-1為輸為輸入，另外的輸入還有從總的密鑰入，另外的輸入還有從總的密鑰K K生成的生成的子密鑰子密鑰K Ki i。子密鑰子密鑰K Ki i不同于不同于K K，它們彼此之間也不相，它們彼此之間也不相同。同。每一輪的結(jié)構(gòu)都一樣。對(duì)數(shù)據(jù)的左邊一半每一輪的結(jié)構(gòu)都一樣。對(duì)數(shù)據(jù)的左邊一半進(jìn)行替代操作，替代的方法是對(duì)數(shù)據(jù)右邊進(jìn)行替代操作，替代的方法是對(duì)數(shù)據(jù)右邊一半應(yīng)用一半應(yīng)用roundround函數(shù)函數(shù)F F，然后用這個(gè)函數(shù)的，然后用這個(gè)函數(shù)的輸出和數(shù)據(jù)的左邊一半做異或。輸出和數(shù)據(jù)的左邊一半做異或。 roundround函數(shù)在每一輪中有著相同的結(jié)構(gòu)，函數(shù)在每一輪中有著相同的結(jié)構(gòu)，但是以各輪

10、的子密鑰但是以各輪的子密鑰K Ki i為參數(shù)形成區(qū)分。為參數(shù)形成區(qū)分。在這個(gè)替代之后，算法做一個(gè)置換操作把在這個(gè)替代之后，算法做一個(gè)置換操作把數(shù)據(jù)的兩個(gè)部分進(jìn)行互換。數(shù)據(jù)的兩個(gè)部分進(jìn)行互換。 明文(2w 比特) w 比特 w 比特 第 1 輪 L0 R0 L1 K1 R1 Rn+1 F 第 i 輪 Li Ki Ri F 第 n 輪 Ln Kn Rn F Ln+1 密文(2w 比特) 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)122022-3-7分組大小：分組越大意味著安全性越高（如果其他條件相分組大小：分組越大意味著安全性越高（如果其他條件相同），但加密同），但加密/ /解密速度也

11、越慢。解密速度也越慢。密鑰大小：密鑰長(zhǎng)度越長(zhǎng)則安全性越高，但加密密鑰大小：密鑰長(zhǎng)度越長(zhǎng)則安全性越高，但加密/ /解密速度解密速度也越慢。也越慢。循環(huán)次數(shù)：一個(gè)循環(huán)不能保證足夠的安全性，而循環(huán)越多循環(huán)次數(shù)：一個(gè)循環(huán)不能保證足夠的安全性，而循環(huán)越多 則安全性越高。則安全性越高。子密鑰產(chǎn)生算法子密鑰產(chǎn)生算法 ：算法越復(fù)雜則密碼分析就應(yīng)該越困難。：算法越復(fù)雜則密碼分析就應(yīng)該越困難。RoundRound函數(shù)：復(fù)雜性越高則抗擊密碼分析的能力就越強(qiáng)。函數(shù)：復(fù)雜性越高則抗擊密碼分析的能力就越強(qiáng)。FeistelFeistel具體實(shí)現(xiàn)依賴(lài)的參數(shù)和設(shè)計(jì)特點(diǎn)具體實(shí)現(xiàn)依賴(lài)的參數(shù)和設(shè)計(jì)特點(diǎn) 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)

12、密碼體制(第四講319)132022-3-7FeistelFeistel具體實(shí)現(xiàn)應(yīng)考慮的其它因素具體實(shí)現(xiàn)應(yīng)考慮的其它因素快速的軟件加密快速的軟件加密/ /解密：在很多情況下，加密過(guò)程被以某種解密：在很多情況下，加密過(guò)程被以某種方式嵌入在應(yīng)用程序或工具函數(shù)中以至于沒(méi)法用硬件實(shí)現(xiàn)，方式嵌入在應(yīng)用程序或工具函數(shù)中以至于沒(méi)法用硬件實(shí)現(xiàn)，因此，算法的執(zhí)行速度就成為一個(gè)重要的考慮因素。因此，算法的執(zhí)行速度就成為一個(gè)重要的考慮因素。便于分析：如果算法能夠簡(jiǎn)潔地解釋清楚，那么就很容易通便于分析：如果算法能夠簡(jiǎn)潔地解釋清楚，那么就很容易通過(guò)分析算法而找到密碼分析上的弱點(diǎn)，也就能夠?qū)ζ淅喂坛踢^(guò)分析算法而找到密碼分

13、析上的弱點(diǎn)，也就能夠?qū)ζ淅喂坛潭扔懈笮判摹６扔懈笮判摹Ｃ艽a編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)142022-3-71.4 Feistel解密算法RD15=LE1 LD15=RE1 LD16=RE0 輸出(明文) 輸入(密文) RD16=LE0 RD14=LE2 F F K1 K2 LD14=RE2 RD0=LE16 RD1=LE15 RD14=LE14 F F K15 LD1=RE15 K16 LD2=RE14 LD0=RE16 LD16=RE0 RD16=LE0 輸出(密文) RE16 LE16 LE1 輸入(明文) LE0 F F K1 RE0 K2 RE1 RE2 LE

14、2 LE15 LE14 F F K15 RE14 K16 RE15 RE16 LE16 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)152022-3-7FeistelFeistel密碼的解密過(guò)程與其加密過(guò)程實(shí)質(zhì)是相同的。密碼的解密過(guò)程與其加密過(guò)程實(shí)質(zhì)是相同的。以密文作為算法的輸入，但是以相反的次序使用子密鑰以密文作為算法的輸入，但是以相反的次序使用子密鑰K Ki i。這就是說(shuō)在第一輪用。這就是說(shuō)在第一輪用K Kn n，在第二輪用，在第二輪用k kn-1n-1，如此等等，如此等等，直到在最后一輪使用直到在最后一輪使用K K1 1。 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)

15、162022-3-7證明：證明：設(shè)：LEi和REi表示加密過(guò)程中各個(gè)階段的數(shù)據(jù) LDi和RDi表示解密過(guò)程中各個(gè)階段的數(shù)據(jù)則：LE16RE15 RE16=LE15 F(RE15，K16) LD1=RD0=LE16=RE15 RD1=LD0 F(RD0，K16) =RE16 F(RE15，K16) LE15 F(RE15，K16) F(RE15，K16) 由于：A B C = A B C D D = 0 E 0 = E 故： RD1=LE15通式： 由于：LEi = REi-1 REi = LEi-1 F(REi-1，Ki) 因此：REi-1 = LEi LEi-1 = REi F(REi-1，

16、Ki) = REi F(LEi，Ki) RD15=LE1 LD15=RE1 LD16=RE0 輸出(明文) 輸入(密文) RD16=LE0 RD14=LE2 F F K1 K2 LD14=RE2 RD0=LE16 RD1=LE15 RD14=LE14 F F K15 LD1=RE15 K16 LD2=RE14 LD0=RE16 LD16=RE0 RD16=LE0 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)172022-3-72. 2. 簡(jiǎn)化的數(shù)據(jù)加密標(biāo)準(zhǔn)簡(jiǎn)化的數(shù)據(jù)加密標(biāo)準(zhǔn)S-DESS-DESDES-Data Encryption Standard DES-Data Encrypti

17、on Standard (1977(1977年元月年元月1515日日- -美國(guó)聯(lián)邦標(biāo)準(zhǔn)）美國(guó)聯(lián)邦標(biāo)準(zhǔn)） 19981998年被破解。年被破解。Simplified DESSimplified DES方案，簡(jiǎn)稱(chēng)方案，簡(jiǎn)稱(chēng)S-DESS-DES方案。方案。1.1. 加密算法涉及五個(gè)函數(shù)：加密算法涉及五個(gè)函數(shù)： (1)(1)初始置換初始置換IP(initial permutation) IP(initial permutation) (2)(2)復(fù)雜函數(shù)復(fù)雜函數(shù)f fk1k1，它是依賴(lài)于密鑰，它是依賴(lài)于密鑰K K，具有置換和替換，具有置換和替換的運(yùn)算。的運(yùn)算。 (3)(3)置換函數(shù)置換函數(shù)SW SW (

18、4)(4)復(fù)雜函數(shù)復(fù)雜函數(shù)f fk2 k2 (5)(5)初始置換初始置換IPIP的逆置換的逆置換IPIP-1-1密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)182022-3-7 10 bit 密鑰 加密 解密 8 bit 明文規(guī)定 8 bit 密文 K1 K1 8 bit 密文 8 bit 明文規(guī)定 K2 K2 P10 移位 P8 移位 P8 IP fK fK fK fK IP-1 SW SW IP IP-1 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)192022-3-72.2.加密算法的數(shù)學(xué)表示：加密算法的數(shù)學(xué)表示： IPIP-1-1* *f fk2k2* *SWSW*

19、 *f fk1k1* *IPIP 也可寫(xiě)為也可寫(xiě)為 密文密文=IP=IP-1-1（f fk2k2(SW(f(SW(fk1k1(IP(IP(明文明文) ) 其中其中 K K1 1=P8(=P8(移位移位(P10(P10(密鑰密鑰K) K) K K2 2=P8(=P8(移位移位( (移位移位(P10(P10(密鑰密鑰K) K) 解密算法的數(shù)學(xué)表示：解密算法的數(shù)學(xué)表示： 明文明文=IP=IP-1-1（f fk1k1(SW(f(SW(fk2k2(IP(IP(密文密文)密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)202022-3-7（1 1） S-DESS-DES的密鑰生成：的密鑰生成： 10

20、 bit 密鑰 K1 K2 5 5 8 10 P10 LS-1 P8 LS-2 LS-2 LS-1 P8 5 5 5 5 8 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)212022-3-7（1 1） S-DESS-DES的密鑰生成：的密鑰生成： 設(shè)設(shè)10bit10bit的密鑰為（的密鑰為（k k1 1,k,k2 2,k,k3 3,k,k4 4,k,k5 5,k,k6 6,k,k7 7, k, k8 8,k,k9 9,k,k1010) ) 置換置換P10P10是這樣定義的是這樣定義的 P10(kP10(k1 1,k,k2 2,k,k1010)=(k)=(k3 3,k,k5 5,k,k

21、2 2,k,k7 7,k,k4 4,k,k1010,k,k1 1,k,k9 9,k,k8 8,k,k6 6) ) 相當(dāng)于相當(dāng)于 P10= P10= LS-1LS-1為循環(huán)左移，在這里實(shí)現(xiàn)左移為循環(huán)左移，在這里實(shí)現(xiàn)左移1 1位位; ; LS-2 LS-2為循環(huán)左移，在這里實(shí)現(xiàn)左移為循環(huán)左移，在這里實(shí)現(xiàn)左移2 2位位; ; P8= P8= 若若K K選為選為( (1010000010), ), 產(chǎn)生的兩個(gè)子密鑰分別為產(chǎn)生的兩個(gè)子密鑰分別為K K1 1=(=(1 0 1 0 0 1 0 0),K),K2 2=(=(0 1 0 0 0 0 1 1) )6891104725310987654321910

22、58473687654321密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)222022-3-7(2)S-DES(2)S-DES的加密運(yùn)算的加密運(yùn)算: :初始置換用初始置換用IPIP函數(shù)函數(shù): :末端算法的置換為末端算法的置換為IPIP的逆置換的逆置換: :易見(jiàn)易見(jiàn)IPIP-1-1(IP(X)=X (IP(X)=X 3 5 7 4 2 1 8 6 IP 3 5 7 4 2 1 8 6 IP-1 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)232022-3-7(3)S-DES(3)S-DES加密圖加密圖 8 bit 密密文 IP-1 SW 8 8 2 2 4 4 4 E/P S0

23、 S1 P4 fK K2 4 4 4 8 F 8 8 2 2 4 4 4 8 bit 明文明文 E/P IP S0 S1 P4 fK K1 8 4 4 4 F 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)242022-3-7函數(shù)函數(shù)f fk k，是加密方案中的最重要部分，它可表示為：，是加密方案中的最重要部分，它可表示為： f fk k(L,R)=(L(L,R)=(L F(R,SK),R)F(R,SK),R)其中其中L L，R R為為8 8位輸入位輸入, , 左右各為左右各為4 4位位, F, F為從為從4 4位集到位集到4 4位集的位集的一個(gè)映射一個(gè)映射, , 并不要求是一一映射的

24、。并不要求是一一映射的。SKSK為子密鑰。為子密鑰。對(duì)映射對(duì)映射F F來(lái)說(shuō)：來(lái)說(shuō)：首先輸入是一個(gè)首先輸入是一個(gè)4 4位數(shù)（位數(shù)（n n1 1,n,n2 2,n,n3 3,n,n4 4），第一步運(yùn)算是擴(kuò)張），第一步運(yùn)算是擴(kuò)張/ /置換置換（E/PE/P）運(yùn)算：）運(yùn)算： 事實(shí)上，它的直觀(guān)表現(xiàn)形式為：事實(shí)上，它的直觀(guān)表現(xiàn)形式為： 2 3 2 4 3 1 4 1 E/P 13432124nnnnnnnn密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)252022-3-78-bit8-bit子密鑰：子密鑰：K1=(kK1=(k1111,k,k1212,k,k1313,k,k1414,k,k1515

25、,k,k1616,k,k1717,k,k1818),),然后與然后與E/PE/P的結(jié)果作異或運(yùn)算得：的結(jié)果作異或運(yùn)算得：把它們重記為把它們重記為8 8位：位：上述第一行輸入進(jìn)上述第一行輸入進(jìn)S S盒盒S0S0，產(chǎn)生，產(chǎn)生2-2-位的輸出；第二行的位的輸出；第二行的4 4位輸位輸入進(jìn)入進(jìn)S S盒盒S1S1，產(chǎn)生，產(chǎn)生2-2-位的輸出。兩個(gè)位的輸出。兩個(gè)S S盒按如下定義：盒按如下定義：181143174163132121152114knknknknknknknkn3 , 13 , 02, 11 , 12, 01 , 00, 10, 0pppppppp23133120012323010S30120

26、103310232101S密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)262022-3-7S S盒按下述規(guī)則運(yùn)算：盒按下述規(guī)則運(yùn)算：將第將第1 1和第和第4 4的輸入比特做為的輸入比特做為2bit2bit數(shù)，指示為數(shù)，指示為S S盒的一個(gè)行；盒的一個(gè)行；將第將第2 2和第和第3 3的輸入比特做為的輸入比特做為S S盒的一個(gè)列。如此確定為盒的一個(gè)列。如此確定為S S盒矩陣的（盒矩陣的（i,ji,j）數(shù)。）數(shù)。例如：（例如：（P P0,0, 0,0, P P0,30,3）=(00),=(00),并且并且(P(P0,10,1,P,P0,20,2)=(1 0)=(1 0)確定了確定了S0S0

27、中的第中的第0 0行行2 2列（列（0 0，2 2）的系數(shù)為）的系數(shù)為3 3，記為（，記為（1 11 1）輸出。輸出。由由S0, S1S0, S1輸出輸出4-bit4-bit經(jīng)置換經(jīng)置換它的輸出就是它的輸出就是F F函數(shù)的輸出。函數(shù)的輸出。 3 1 2 4 P4 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)272022-3-7(4)S-DES(4)S-DES的安全性分析的安全性分析無(wú)法抗強(qiáng)力攻擊無(wú)法抗強(qiáng)力攻擊具有一定的抗密碼分析能力具有一定的抗密碼分析能力置換和加法操作都是線(xiàn)性映射置換和加法操作都是線(xiàn)性映射 非線(xiàn)性來(lái)自于非線(xiàn)性來(lái)自于S S盒子盒子 設(shè)：設(shè)： S S盒子盒子 輸入為輸入

28、為( (p p0,00,0，p p0,10,1，p p0,20,2，p p0,30,3) = () = (a a，b b，c c，d d) ) 和和( (p p1,01,0，p p1,11,1，p p1,21,2，p p1,31,3) = () = (w w，x x，y y，z z) ) S S盒子輸出為盒子輸出為( (q q，r r，s s，t t) ) 則：則：q q = = abcdabcd + + abab + + acac + + b b + + d d （模（模2 2加）加） r r = = abcdabcd + + abdabd + + abab + + acac + + ada

29、d + + a a + + c c +1 +1 （模（模2 2加）加）線(xiàn)性映射和非線(xiàn)性映射交替使用將產(chǎn)生復(fù)雜的密文比特多線(xiàn)性映射和非線(xiàn)性映射交替使用將產(chǎn)生復(fù)雜的密文比特多項(xiàng)式，其復(fù)雜性可用項(xiàng)式，其復(fù)雜性可用8 8個(gè)包含個(gè)包含1010個(gè)未知數(shù)的非線(xiàn)性方程表個(gè)未知數(shù)的非線(xiàn)性方程表示，每一個(gè)方程大約有示，每一個(gè)方程大約有2 29 9個(gè)項(xiàng)個(gè)項(xiàng) （含有（含有1010個(gè)二進(jìn)制未知數(shù)個(gè)二進(jìn)制未知數(shù)的一個(gè)多項(xiàng)式方程可以有的一個(gè)多項(xiàng)式方程可以有2 21010個(gè)可能的項(xiàng)個(gè)可能的項(xiàng) ）。）。密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)282022-3-7背景背景發(fā)明人：美國(guó)發(fā)明人：美國(guó)IBMIBM公司公司

30、 W. Tuchman W. Tuchman 和和 C. Meyer C. Meyer 1971-1972 1971-1972年研制成功年研制成功基礎(chǔ)：基礎(chǔ)：19671967年美國(guó)年美國(guó)Horst FeistelHorst Feistel提出的理論提出的理論產(chǎn)生：美國(guó)國(guó)家標(biāo)準(zhǔn)局（產(chǎn)生：美國(guó)國(guó)家標(biāo)準(zhǔn)局（NBS)1973NBS)1973年年5 5月到月到19741974年年8 8月兩次發(fā)布月兩次發(fā)布通告，通告， 公開(kāi)征求用于電子計(jì)算機(jī)的加密算法。經(jīng)評(píng)選從一大批公開(kāi)征求用于電子計(jì)算機(jī)的加密算法。經(jīng)評(píng)選從一大批算法中采納了算法中采納了IBMIBM的的LUCIFERLUCIFER方案方案標(biāo)準(zhǔn)化：標(biāo)準(zhǔn)化：

31、DESDES算法算法19751975年年3 3月公開(kāi)發(fā)表，月公開(kāi)發(fā)表，19771977年年1 1月月1515日由美國(guó)國(guó)日由美國(guó)國(guó)家標(biāo)準(zhǔn)局頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)家標(biāo)準(zhǔn)局頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)( Data Encryption Standard ),( Data Encryption Standard ),于于19771977年年7 7月月1515日生效日生效3. 3. 數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)292022-3-7背景背景美國(guó)國(guó)家安全局（美國(guó)國(guó)家安全局（NSA, National Security Agency)NSA, National

32、Security Agency)參與了美參與了美國(guó)國(guó)家標(biāo)準(zhǔn)局制定數(shù)據(jù)加密標(biāo)準(zhǔn)的過(guò)程。國(guó)國(guó)家標(biāo)準(zhǔn)局制定數(shù)據(jù)加密標(biāo)準(zhǔn)的過(guò)程。NBSNBS接受了接受了NSANSA的某些的某些建議，對(duì)算法做了修改，并將密鑰長(zhǎng)度從建議，對(duì)算法做了修改，并將密鑰長(zhǎng)度從LUCIFERLUCIFER方案中的方案中的128128位壓縮到位壓縮到5656位位19791979年，美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用年，美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用DESDES19801980年，年，DESDES成為美國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)成為美國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)(ANSI)(ANSI)標(biāo)準(zhǔn)標(biāo)準(zhǔn)19841984年年2 2月，月，ISOISO成立的數(shù)據(jù)加密技術(shù)委員會(huì)成立的數(shù)據(jù)加密技術(shù)委員會(huì)(

33、SC20)(SC20)在在DESDES基礎(chǔ)基礎(chǔ)上制定數(shù)據(jù)加密的國(guó)際標(biāo)準(zhǔn)工作上制定數(shù)據(jù)加密的國(guó)際標(biāo)準(zhǔn)工作密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)302022-3-7nDESDES利用利用5656比特串長(zhǎng)度的密鑰比特串長(zhǎng)度的密鑰K K來(lái)加密長(zhǎng)度為來(lái)加密長(zhǎng)度為6464位的明文，得到位的明文，得到長(zhǎng)度為長(zhǎng)度為6464位的密文位的密文n該算法分三個(gè)階段實(shí)現(xiàn)：該算法分三個(gè)階段實(shí)現(xiàn)：1. 1. 給定明文給定明文X X，通過(guò)一個(gè)固定的初始置換，通過(guò)一個(gè)固定的初始置換IPIP來(lái)排列來(lái)排列X X中的位，中的位，得到得到X X0 0。 X X0 0=IP=IP（X X）=L=L0 0R R0 0其中其

34、中L L0 0由由X X0 0前前3232位組成，位組成，R R0 0由由X X0 0的后的后3232位組成。位組成。2.2.計(jì)算函數(shù)計(jì)算函數(shù)F F的的1616次迭代次迭代, , 根據(jù)下述規(guī)則來(lái)計(jì)算根據(jù)下述規(guī)則來(lái)計(jì)算L Li iR Ri i(1=i=16(1=i=16） L Li i=R=Ri-1i-1, Ri=L, Ri=Li-1i-1 F(R F(Ri-1i-1, K, Ki i) )其中其中K Ki i是長(zhǎng)為是長(zhǎng)為4848位的子密鑰。子密鑰位的子密鑰。子密鑰K K1 1，K K2 2，K K1616是作為密是作為密鑰鑰K K（5656位）的函數(shù)而計(jì)算出的。位）的函數(shù)而計(jì)算出的。 3.3.

35、對(duì)比特串對(duì)比特串R R1616L L1616使用逆置換使用逆置換IPIP-1-1得到密文得到密文Y Y。 Y=IP Y=IP-1-1（R R1616L L1616）密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)312022-3-7DESDES加密加密流程圖流程圖 K2 K16 K1 循環(huán)左移 循環(huán)左移 循環(huán)左移 置換選擇 1 置換選擇 2 置換選擇 2 第 16 輪 初始置換 第 1 輪 置換選擇 2 第 2 輪 32 bit 對(duì)換 逆初始置換 64 bit 明文 56 bit 密鑰 64 bit 密文 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)322022-3-7初始置換

36、及逆初始置換初始置換及逆初始置換初始置換初始置換IP58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157逆初始置換逆初始置換IP-140848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四

37、講319)332022-3-7IPIP和和IPIP-1-12014MM1420MMIPIP1密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)342022-3-7DES的一輪迭代37密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)352022-3-7選擇壓縮運(yùn)算選擇壓縮運(yùn)算41密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)362022-3-7一輪加密通式 Li = Ri-1Ri = Li-1 F(Ri-1, Ki) 一輪加密擴(kuò)展置換及P置換擴(kuò)展置換擴(kuò)展置換E32 123454567898910 11121312 13 14 15161716 17 18 19202120 21

38、 22 23242524 25 26 27282928 29 30 31321P置換置換16720 21 29 12 28 17115 23 26518 31 102824 14 32 273919 13 30622 11425密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)372022-3-7擴(kuò)展置換-盒32位擴(kuò)展到48位擴(kuò)展39密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)382022-3-7nF(RF(R，K)K)的計(jì)算的計(jì)算n S S盒選取盒選取每一個(gè)每一個(gè)S S盒都接受盒都接受6 6個(gè)比特作為輸入并產(chǎn)生個(gè)比特作為輸入并產(chǎn)生4 4個(gè)比特作為輸個(gè)比特作為輸出。出。 輸入的第

39、一和最后一個(gè)比特構(gòu)成一個(gè)輸入的第一和最后一個(gè)比特構(gòu)成一個(gè)2 2位二進(jìn)制數(shù)，用來(lái)位二進(jìn)制數(shù)，用來(lái)選擇由選擇由S Si i表中的四行所定義的四種替代的一種，中間的表中的四行所定義的四種替代的一種，中間的4 4個(gè)比特則選出一列。個(gè)比特則選出一列。 P S1 48 bit 32 bit R(32 bit) S2 S3 S4 S5 S6 S7 S8 K(48 bit) E 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)392022-3-7nS S盒定義盒定義S215181461134972131205103134715281412011069115014711104131581269321513

40、81013154211671205149S11441312151183106125907015741421311061211953841148136211151297310501512824917511314100613S47131430691012851112415138115615034721211014910690121171315131452843150610113894511127214S31009146315511312711428137093461028514121115113649815301112125101471101306987415143115212密碼編碼學(xué)網(wǎng)絡(luò)安全第

41、03章對(duì)稱(chēng)密碼體制(第四講319)402022-3-7S S-盒的構(gòu)造盒的構(gòu)造1 2 3 4 5 61 6262 3 4 521133 911001110019bbbbbbbbSbbbb行 ：-盒 子 行列列 ：值 ： 14=1100密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)412022-3-7n密鑰的產(chǎn)生置換選擇置換選擇157494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124置換選擇置換選擇2141711241532815621

42、1023191242681672720132415231374755304051453348444939563453464250362932左移調(diào)度左移調(diào)度循環(huán)序號(hào)12345678910111213141516轉(zhuǎn)動(dòng)比特?cái)?shù) 1122222212222221密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)422022-3-7子密鑰的產(chǎn)生子密鑰的產(chǎn)生64 位 密 鑰密鑰表的計(jì)算邏輯循環(huán)左移：置換選擇 112311291011122C 0 （ 2 8 位 ）循環(huán)左移D 0 （ 2 8 位 ）循環(huán)左移4567822222121314151622221C 1 （ 2 8 位 ）D 1 （ 2 8 位

43、 ）（ 56 位 ） 置 換 選 擇 2k 1(48 位 )循環(huán)左移C i （ 2 8 位 ）循環(huán)左移D i （ 2 8 位 ）（ 56 位 ）置換選擇 2k i（ 48 位 ）密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)432022-3-7nDESDES加密的示例加密的示例取取1616進(jìn)制明文進(jìn)制明文X X：0123456789ABCDEF0123456789ABCDEF密鑰密鑰K K為：為：133457799BBCDFF1133457799BBCDFF1去掉奇偶校驗(yàn)位以二進(jìn)制形式表示的密鑰是去掉奇偶校驗(yàn)位以二進(jìn)制形式表示的密鑰是111111111000111111111000應(yīng)用

44、應(yīng)用IPIP，我們得到：，我們得到：L L0 0=1111111111=1111111111L L1 1=R=R0 0=1111101010=1111101010然后進(jìn)行然后進(jìn)行1616輪加密。輪加密。最后對(duì)最后對(duì)L L1616, R, R1616使用使用IPIP-1-1得到密文：得到密文：85E813540F0AB40585E813540F0AB405密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)442022-3-7nDESDES的雪崩效應(yīng)的雪崩效應(yīng) P P置換的目的是提供雪崩效應(yīng)置換的目的是提供雪崩效應(yīng): : 明文或密鑰的一點(diǎn)小的變動(dòng)都引起密文的較大變化明文或密鑰的一點(diǎn)小的變動(dòng)都引

45、起密文的較大變化明文變化的影響明文變化的影響明文明文1 1：0 00000 00000 00000 00000 0000 00000 00000 00000 明文明文2 2：1 10000 00000 00000 00000 0000 00000 00000 00000 密鑰：密鑰：0000001 1001011 0100100 1100010 0011100 0011000 0011100 0000001 1001011 0100100 1100010 0011100 0011000 0011100 0110010 0110010 密鑰變化的影響密鑰變化的影響 明文明文:01101 0010

46、111 01111 01110110 11101 :01101 0010111 01111 01110110 11101 密鑰密鑰1 1：1 1110010 1111011 1101111 0011000 0011101 0000100 0110110010 1111011 1101111 0011000 0011101 0000100 0110 密鑰密鑰2 2：0 0110010 1111011 1101111 0011000 0011101 0000100 0110 110010 1111011 1101111 0011000 0011101 0000100 0110 密碼編碼學(xué)網(wǎng)絡(luò)安全第

47、03章對(duì)稱(chēng)密碼體制(第四講319)452022-3-7DES的雪崩效應(yīng) 明文的變化明文的變化 循環(huán) 不同比特的個(gè)數(shù) 01162213354395346327318299421044113212301330142615291634密鑰的變化密鑰的變化 循環(huán) 不同比特的個(gè)數(shù) 00122143284325306327358349401038113112331328142615341635密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)462022-3-7nDESDES的爭(zhēng)論的爭(zhēng)論密鑰長(zhǎng)度密鑰長(zhǎng)度最初最初IBMIBM設(shè)計(jì)設(shè)計(jì)LuciferLucifer時(shí)的鑰長(zhǎng)為時(shí)的鑰長(zhǎng)為128128位，當(dāng)位，當(dāng)

48、DESDES成為標(biāo)準(zhǔn)時(shí)有效成為標(biāo)準(zhǔn)時(shí)有效長(zhǎng)度縮減為長(zhǎng)度縮減為5656位，要求增加鑰長(zhǎng)的爭(zhēng)論主要是針對(duì)蠻力攻擊的位，要求增加鑰長(zhǎng)的爭(zhēng)論主要是針對(duì)蠻力攻擊的可能性。可能性。 nDESDES的爭(zhēng)論的爭(zhēng)論DESDES設(shè)計(jì)標(biāo)準(zhǔn)設(shè)計(jì)標(biāo)準(zhǔn)NSANSA告誡告誡DESDES的設(shè)計(jì)者，代替和換位變換等的設(shè)計(jì)標(biāo)準(zhǔn)是的設(shè)計(jì)者，代替和換位變換等的設(shè)計(jì)標(biāo)準(zhǔn)是“敏感敏感”的，并要求的，并要求IBMIBM公司不要公布這些信息和數(shù)據(jù)。公司不要公布這些信息和數(shù)據(jù)。nDESDES的爭(zhēng)論的爭(zhēng)論選代次數(shù)選代次數(shù) 在在8 8輪迭代之后，密文基本上就是每一明文位和密鑰位的隨機(jī)函數(shù)，為什么輪迭代之后，密文基本上就是每一明文位和密鑰位的隨機(jī)函

49、數(shù)，為什么算法不在算法不在8 8輪之后停止？輪之后停止？ nDESDES的爭(zhēng)論的爭(zhēng)論抗差分分析抗差分分析差分分析表明任何少于差分分析表明任何少于1616次迭代的次迭代的DESDES算法都可以用比窮舉法更有效的方法算法都可以用比窮舉法更有效的方法破譯，而破譯，而DESDES恰巧為恰巧為1616次迭代，這是偶然的巧合嗎？差分分析方法是以色列次迭代，這是偶然的巧合嗎？差分分析方法是以色列學(xué)者學(xué)者E. BihamE. Biham和和A. ShamirA. Shamir在在19901990年發(fā)明的，但據(jù)稱(chēng)年發(fā)明的，但據(jù)稱(chēng)IBMIBM在在19741974年就掌握了年就掌握了這種差分分析方法。這種差分分析方

50、法。密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)472022-3-7nDESDES的爭(zhēng)論的爭(zhēng)論SS盒盒DESDES的核心是的核心是S S盒，除此之外的計(jì)算是屬線(xiàn)性的。盒，除此之外的計(jì)算是屬線(xiàn)性的。S S盒作為該密碼體制的非盒作為該密碼體制的非線(xiàn)性組件對(duì)安全性至關(guān)重要。線(xiàn)性組件對(duì)安全性至關(guān)重要。19761976年美國(guó)年美國(guó)NSANSA提出了下列幾條提出了下列幾條S S盒的設(shè)計(jì)準(zhǔn)則：盒的設(shè)計(jì)準(zhǔn)則：1. S1. S盒的每一行是整數(shù)盒的每一行是整數(shù)0 0，1515的一個(gè)置換的一個(gè)置換2. 2. 沒(méi)有一個(gè)沒(méi)有一個(gè)S S盒是它輸入變量的線(xiàn)性函數(shù)盒是它輸入變量的線(xiàn)性函數(shù)3.3.改變改變S S盒的一

51、個(gè)輸入位至少要引起兩位的輸出改變盒的一個(gè)輸入位至少要引起兩位的輸出改變4.4.對(duì)任何一個(gè)對(duì)任何一個(gè)S S盒和任何一個(gè)輸入盒和任何一個(gè)輸入X X，S S（X X）和）和 S(XS(X 001100001100）至少有兩個(gè)）至少有兩個(gè) 比特不同（這里比特不同（這里X X是長(zhǎng)度為是長(zhǎng)度為6 6的比特串）的比特串）5.5.對(duì)任何一個(gè)對(duì)任何一個(gè)S S盒，對(duì)任何一個(gè)輸入對(duì)盒，對(duì)任何一個(gè)輸入對(duì)e,fe,f屬于屬于0,1,S(X) S(X0,1,S(X) S(X e ef00)f00)6.6.對(duì)任何一個(gè)對(duì)任何一個(gè)S S盒，如果固定一個(gè)輸入比特，來(lái)看一個(gè)固定輸出比特的值盒，如果固定一個(gè)輸入比特，來(lái)看一個(gè)固定輸出

52、比特的值, , 這個(gè)輸出比特為這個(gè)輸出比特為0 0的輸入數(shù)目將接近于這個(gè)輸出比特為的輸入數(shù)目將接近于這個(gè)輸出比特為1 1的輸入數(shù)目。的輸入數(shù)目。盒子的設(shè)計(jì)標(biāo)準(zhǔn)（其實(shí)也就是整個(gè)算法的設(shè)計(jì)標(biāo)準(zhǔn)）并未公開(kāi)，人們懷疑盒子的設(shè)計(jì)標(biāo)準(zhǔn)（其實(shí)也就是整個(gè)算法的設(shè)計(jì)標(biāo)準(zhǔn)）并未公開(kāi)，人們懷疑這些盒子的設(shè)計(jì)可能隱藏著一種可以使得了解這些盒子的設(shè)計(jì)可能隱藏著一種可以使得了解S S盒子弱點(diǎn)的敵對(duì)方成功盒子弱點(diǎn)的敵對(duì)方成功進(jìn)行密碼分析的隱患。這種可能性使人心神不安，而且這么多年以來(lái)的確進(jìn)行密碼分析的隱患。這種可能性使人心神不安，而且這么多年以來(lái)的確有不少有不少S S盒子的規(guī)律性以及未曾料到的行為被發(fā)現(xiàn)。盡管如此，至今還沒(méi)

53、盒子的規(guī)律性以及未曾料到的行為被發(fā)現(xiàn)。盡管如此，至今還沒(méi)有人成功地發(fā)現(xiàn)有人成功地發(fā)現(xiàn)S S盒子想象中的致命缺陷（至少?zèng)]有人公開(kāi)承認(rèn)這樣一個(gè)盒子想象中的致命缺陷（至少?zèng)]有人公開(kāi)承認(rèn)這樣一個(gè)發(fā)現(xiàn)）。發(fā)現(xiàn)）。 密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)482022-3-7DESDES的強(qiáng)度的強(qiáng)度n 5656位密鑰位密鑰長(zhǎng)度問(wèn)題（密鑰容量），且各次迭代中使用長(zhǎng)度問(wèn)題（密鑰容量），且各次迭代中使用的密鑰的密鑰K K（i i）是遞推產(chǎn)生的。是遞推產(chǎn)生的。n S S盒子盒子設(shè)計(jì)標(biāo)準(zhǔn)未公開(kāi)（但有部分準(zhǔn)則）設(shè)計(jì)標(biāo)準(zhǔn)未公開(kāi)（但有部分準(zhǔn)則）n 加密單位僅有加密單位僅有6464位二進(jìn)制，這對(duì)于數(shù)據(jù)傳輸來(lái)說(shuō)

54、太小，因位二進(jìn)制，這對(duì)于數(shù)據(jù)傳輸來(lái)說(shuō)太小，因?yàn)槊總€(gè)區(qū)組僅含為每個(gè)區(qū)組僅含8 8個(gè)字符，而且其中某些位還要用于奇偶個(gè)字符，而且其中某些位還要用于奇偶校驗(yàn)或其他通訊開(kāi)銷(xiāo)。校驗(yàn)或其他通訊開(kāi)銷(xiāo)。密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)492022-3-7強(qiáng)力攻擊：強(qiáng)力攻擊：2 25555次嘗試次嘗試差分密碼分析法：差分密碼分析法：2 24747次嘗試次嘗試線(xiàn)性密碼分析法：線(xiàn)性密碼分析法：2 24343次嘗試次嘗試n 其他加密標(biāo)準(zhǔn)（其他加密標(biāo)準(zhǔn)（3-3-DES IDEADES IDEA）n 新加密標(biāo)準(zhǔn)（新加密標(biāo)準(zhǔn)（Advanced Encryption StandardAdvanced E

55、ncryption Standard：AESAES）可隨可隨機(jī)產(chǎn)生機(jī)產(chǎn)生128128、192192或或256256位密鑰為信息加密。位密鑰為信息加密。n 如能如能1 1秒內(nèi)破解秒內(nèi)破解DESDES密碼，那么用這種計(jì)算機(jī)來(lái)破解密碼，那么用這種計(jì)算機(jī)來(lái)破解AESAES的的128128位算法的密碼仍需要位算法的密碼仍需要149149萬(wàn)億年。萬(wàn)億年。DESDES的強(qiáng)度的強(qiáng)度密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)502022-3-7DESDES密鑰長(zhǎng)度密鑰長(zhǎng)度關(guān)于關(guān)于DESDES算法的另一個(gè)最有爭(zhēng)議的問(wèn)題就是擔(dān)心實(shí)際算法的另一個(gè)最有爭(zhēng)議的問(wèn)題就是擔(dān)心實(shí)際5656比特的密鑰長(zhǎng)度不足以抵御窮

56、舉式攻擊，因?yàn)槊荑€量只比特的密鑰長(zhǎng)度不足以抵御窮舉式攻擊，因?yàn)槊荑€量只有有 個(gè)個(gè) 早在早在19771977年，年，DiffieDiffie和和HellmanHellman已建議制造一個(gè)每秒能已建議制造一個(gè)每秒能測(cè)試測(cè)試100100萬(wàn)個(gè)密鑰的萬(wàn)個(gè)密鑰的VLSIVLSI芯片。每秒測(cè)試芯片。每秒測(cè)試100100萬(wàn)個(gè)密鑰的萬(wàn)個(gè)密鑰的機(jī)器大約需要一天就可以搜索整個(gè)密鑰空間。他們估計(jì)機(jī)器大約需要一天就可以搜索整個(gè)密鑰空間。他們估計(jì)制造這樣的機(jī)器大約需要制造這樣的機(jī)器大約需要20002000萬(wàn)美元萬(wàn)美元1756102密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)512022-3-7DESDES密鑰長(zhǎng)

57、度密鑰長(zhǎng)度在在CRYPTO93CRYPTO93上，上，SessionSession和和WienerWiener給出了一個(gè)非常詳細(xì)的密給出了一個(gè)非常詳細(xì)的密鑰搜索機(jī)器的設(shè)計(jì)方案，這個(gè)機(jī)器基于并行運(yùn)算的密鑰搜索鑰搜索機(jī)器的設(shè)計(jì)方案，這個(gè)機(jī)器基于并行運(yùn)算的密鑰搜索芯片，所以芯片，所以1616次加密能同時(shí)完成。花費(fèi)次加密能同時(shí)完成。花費(fèi)1010萬(wàn)美元，平均用萬(wàn)美元，平均用1.51.5天左右就可找到天左右就可找到DESDES密鑰密鑰美國(guó)克羅拉多洲的程序員美國(guó)克羅拉多洲的程序員VerserVerser從從19971997年年2 2月月1818日起，用了日起，用了9696天時(shí)間，在天時(shí)間，在Internet

58、Internet上數(shù)萬(wàn)名志愿者的協(xié)同工作下，成功地上數(shù)萬(wàn)名志愿者的協(xié)同工作下，成功地找到了找到了DESDES的密鑰，贏(yíng)得了懸賞的的密鑰，贏(yíng)得了懸賞的1 1萬(wàn)美元萬(wàn)美元密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)522022-3-7DESDES密鑰長(zhǎng)度密鑰長(zhǎng)度19981998年年7 7月電子前沿基金會(huì)（月電子前沿基金會(huì)（EFFEFF）使用一臺(tái)使用一臺(tái)2525萬(wàn)美圓的電萬(wàn)美圓的電腦在腦在5656小時(shí)內(nèi)破譯了小時(shí)內(nèi)破譯了5656比特密鑰的比特密鑰的DESDES19991999年年1 1月月RSARSA數(shù)據(jù)安全會(huì)議期間，電子前沿基金會(huì)用數(shù)據(jù)安全會(huì)議期間，電子前沿基金會(huì)用2222小小時(shí)時(shí)151

59、5分鐘就宣告破解了一個(gè)分鐘就宣告破解了一個(gè)DESDES的密鑰的密鑰密碼編碼學(xué)網(wǎng)絡(luò)安全第03章對(duì)稱(chēng)密碼體制(第四講319)532022-3-74. 4. 差分分析和線(xiàn)性分析差分分析和線(xiàn)性分析n差分密碼分析差分密碼分析Differential CryptanalysisDifferential Cryptanalysis歷史歷史 19901990年，年，MurphyMurphy、BihamBiham和和ShamirShamir首次提出用差分密碼分析攻擊分組首次提出用差分密碼分析攻擊分組密碼和散列函數(shù)，是第一種可以以少于密碼和散列函數(shù)，是第一種可以以少于2 25555的復(fù)雜性對(duì)的復(fù)雜性對(duì)DESDES

60、進(jìn)行破譯的方進(jìn)行破譯的方法。法。 Differential Cryptanalysis compares two related pairs of Differential Cryptanalysis compares two related pairs of encryptions.encryptions.差分密碼分析攻擊方法差分密碼分析攻擊方法with a known difference in the input, searching for a known with a known difference in the input, searching for a known diffe