第二講信息安全技術第2章密碼技術基礎第3章對稱密碼體系第4章公鑰密碼體系第5章公鑰基礎設施PKI第六章信息隱藏技術第二講信息安全技術第2章密碼技術基礎第三章對稱密碼體系3.1概述3.2序列密碼（流密碼）3.3分組密碼3.4DES數據加密標準

3.5IDEA算法3.6RC5算法第三章對稱密碼體系3.1概述3.1概述對稱加密算法是應用較早的加密算法，技術成熟。在對稱加密算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密。也稱為“傳統加密算法”、“單密鑰加密算法”、“秘密密鑰算法”。3.1概述對稱加密算法是應用較早的加密算法，技術成熟。對稱密鑰保密體制模型注意：一個密鑰對稱密鑰保密體制模型注意：對存儲信息的保護模型對存儲信息的保護模型對傳輸信息的保護模型對傳輸信息的保護模型優/缺點優點：算法簡單，效率高，系統開銷小，適合加密大量數據。缺點：(1)通信雙方都使用同樣鑰匙，安全性得不到保證，存在密鑰安全交換問題。(2)每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長，密鑰管理成為用戶的負擔。優/缺點優點：對稱加密算法分類(1)序列密碼（流密碼）(streamcipher)一次只對明文中的單個位（有時對字節）運算的算法稱為序列算法或序列密碼。(2)分組密碼(blockcipher)對明文的一組位進行運算，這些位組稱為分組，相應的算法稱為分組算法或分組密碼。對稱加密算法分類(1)序列密碼（流密碼）(streamc3.2序列密碼（流密碼）

（StreamCipher）序列密碼是由一種專業的密碼，Vernam密碼（也稱為一次性密碼本（one-timepad）），發展而來的。具有實現簡單、便于硬件實施、加解密處理速度快、沒有或只有有限的錯誤傳播等特點。3.2序列密碼（流密碼）

（StreamCi序列密碼主要原理通過有限狀態機產生性能優良的偽隨機序列，使用該序列加密信息流，（逐比特加密）得到密文序列。序列密碼主要原理通過有限狀態機產生性能優良的偽隨機序列，使用加密與解密加密：解密：加密與解密加密：密鑰流生成器構造密鑰流生成器是流密碼最核心的內容。密鑰流生成器的目的是由一個短的隨機密鑰(也稱實際密鑰或種子密鑰)k生成一個長的密鑰流，用這個長的密鑰流對明文加密或對密文解密，從而使一個短的密鑰可用來加密更長的明文或解密更長的密文的目的。密鑰流生成器構造密鑰流生成器是流密碼最核心的內容。由于大部分密碼是基于世界上公開的數學難題，所以造成大多數密鑰流生成器的不安全性。目前應用最廣泛的流密碼是同步流密碼。一個同步流密碼是否具有很高的密碼強度主要取決于密鑰流生成器的設計。

由于大部分密碼是基于世界上公開的數學難題，所以造成大多數密鑰序列密碼典型算法RC4算法RC4加密算法是大名鼎鼎的RSA三人組中的頭號人物RonRivest在1987年設計的密鑰長度可變的流加密算法簇。之所以稱其為簇，是由于其核心部分的S-box長度可為任意，但一般為256字節。該算法的速度可以達到DES加密的10倍左右。A5算法歐洲GSM標準中規定的加密算法，用于數字蜂窩移動電話的加密，加密從用戶設備到基站之間的鏈路。A5算法包括很多種，主要為A5/1和A5/2。其中，A5/1為強加密算法，適用于歐洲地區；A5/2為弱加密算法，適用于歐洲以外的地區。序列密碼典型算法RC4算法Seal算法IBM提出的、適合于軟件實現的160位流密碼算法，世界公認的高安全加密算法。加解密速度快，比128bitAES快8倍左右。PKZIP

廣泛應用于數據壓縮的算法，是一種按字節加密的流密碼。

Seal算法流密碼的重點研究方向①自同步流密碼的研究;②有記憶前饋網絡密碼系統的研究;③多輸出密碼函數的研究;④高速密碼芯片的開發;⑤同步序列密碼在失步后如何重新同步的問題;流密碼的重點研究方向①自同步流密碼的研究;3.3分組密碼3.3.1分組密碼工作方式3.3.2分組密碼的設計原則3.3.3典型分組密碼算法3.3分組密碼3.3.1分組密碼工作方式3.3.1分組密碼工作方式分組密碼的工作方式：將明文分成固定長度的組（塊），如64比特一組

，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。其中，明文為分組長度為m比特的序列，密文為分組長度為n的序列，加密與解密過程由x比特密鑰控制。3.3.1分組密碼工作方式分組密碼的工作方式：其分組密碼的優缺點分組密碼主要有兩個優點：易于標準化易于實現同步一些局限性。比如：分組密碼不便于隱藏明文的數據模式，對于重放、插入、刪除等攻擊方式的抵御能力不強。但是通過采用流密碼的設計思想，在加密過程中采用合理的記憶組件，能夠消除這些局限性。如果在構造分組密碼系統的時候直接采用分組密碼算法，則稱這種工作模式為電碼本（ECB）模式。分組密碼的上述缺陷導致了這種工作模式也具有相應的缺陷。因此，實際采用的分組密碼工作模式是對電碼本（ECB）模式的改進。分組密碼的優缺點分組密碼主要有兩個優點：3.3.2分組密碼的設計原則

為保證密碼的安全性，Shannon提出了混亂原則和擴散原則：

混亂原則指的是：為了避免密碼分析者利用明文和密文之間的依賴關系進行破譯，密碼的設計因該保證這種依賴關系足夠復雜。

擴散原則指的是：為避免密碼分析者對密鑰逐段破譯，密碼的設計因該保證密鑰的每位數字能夠影響密文中的多位數字

在設計分組密碼時，必須結合預定的實現方法進行考慮

3.3.2分組密碼的設計原則為保證密碼的安全性，Shan3.3.3典型分組密碼算法DESIDEARC5SAFERBlowfishSkipjack3.3.3典型分組密碼算法DES3.4DES數據加密標準DES算法描述DES安全分析三重DES3.4DES數據加密標準DES算法描述3.4.1DES算法描述DES算法加密時把明文以64bit為單位分成塊，而后用密鑰把每一塊明文轉化成同樣64bit的密文塊。DES可提供72，000，000，000，000，000個密鑰，用每微秒可進行一次DES加密的機器來破譯密碼需兩千年。。

3.4.1DES算法描述DES算法加密時把明文以64b1、DES歷史歷史：IBM在60年代啟動了LUCIFER項目，當時的算法采用128位密鑰改進算法，降低為56位密鑰，IBM提交給NBS(NIST)，于是產生DES

1977年由美國的標準化局(NBS，現為NIST采納)選為數據加密標準。該標準每5年重新審查和評估一次，至今繼續64位分組、56位密鑰1、DES歷史歷史：2、DES算法步驟DES算法大致可以分成四個部分：（1）初始置換（2）迭代過程（3）逆初始置換（4）子密鑰生成2、DES算法步驟DES算法大致可以分成四個部分：①DES算法基本邏輯結構①DES算法基本邏輯結構結構說明16輪迭代：Round1~Round16每輪采用不同的密鑰：K1~K16每輪的密鑰都是從上一輪密鑰產生而來結構說明16輪迭代：Round1~Round16②迭代過程DES每一輪：Li=Ri-1Ri=Li-1F(Ri-1,Ki)②迭代過程DES每一輪：Li=Ri-1Ri=L③DES:FunctionFExpansion:3248S-box:64Permutation32bits③DES:FunctionFExpansion:32④DES:32位到48位的擴展表—E-table32|01020304|0504|05060708|0908|09101112|1312|13141516|1716|17181920|2120|21222324|2524|25262728|2928|29303132|01比特位序號第30個位值④DES:32位到48位的擴展表—E-table32⑤DES:S-box把Si的輸入b1,b2,b3,b4,b5,b6分成中b1b6和b2,b3,b4,b5，計算出x=b1*2+b6,y=b5+b4*2+b3*4+b2*8。然后從Si表中查出x行，y列的值Sxy。將Sxy化為二進制，即得Si盒的輸出。⑤DES:S-box把Si的輸入b1,b2,b3,b4,bSi表Si表⑥DES:Permutation⑥DES:PermutationIP置換表58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157(1)58表示：結果中位于第1個位置的值，等于原文中第58個位置的值(2)圖中的一格代表1bit，共有64bit，即8字節⑦DES:InitialPermutation待加密的64比特明文串m，經過IP置換后，得到的比特串的下標列表如下：34IP置換表5850423426181026052443628⑧DES:InverseInitialPermutation⑧DES:InverseInitialPermutat3、密鑰生成64位初始密鑰k＝8位是奇偶校驗位＋56位密鑰。56位密鑰的密鑰生成16個48比特的子密鑰。其生成過程如右圖。3、密鑰生成64位初始密鑰k＝8位是奇偶校驗位＋56位密鑰。PC-1置換64bits密鑰變換為56bits密鑰經置換后的56bits密鑰分為各28bits的C0和D0。PC-1置換64bits密鑰變換為56bits密鑰經置換后的循環左移運算初始密鑰k經過PC-1置換后分為C0和D0，其它的Ci和Di循環左移得到：式中i=1,2,…,16，LS是循環左移位變換，其中LS1、LS2、LS9、LS16是循環左移一位，其余的LSi是循環左移兩位。第i次密鑰循環左移運算初始密鑰k經過PC-1置換后分為C0和D0，其它PC-2置換首先將Ci和Di組合成56位，然后按下面表進行置換。PC-2置換首先將Ci和Di組合成56位，然后按下面表進行置4、解密算法

解密是加密的逆變換解密算法和加密算法相同，但是它使用的子密鑰順序是相反的：第一次是用K16，第2次迭代用K15，……最后一次用K1。4、解密算法解密是加密的逆變換5、DES加密的一個例子取16進制明文X：0123456789ABCDEF密鑰K為：133457799BBCDFF1去掉奇偶校驗位以二進制形式表示的密鑰是：00010010011010010101101111001001101101111011011111111000應用IP，我們得到：

L0=11001100000000001100110011111111

L1=R0=11110000101010101111000010101010然后進行16輪加密。最后對L16,R16使用IP-1得到密文：85E813540F0AB4055、DES加密的一個例子取16進制明文X：0123456786、DES的四種工作方式

第一種：電子密碼本方式（ECB）這種模式是最早采用和最簡單的模式，它將加密的數據分成若干組，每組的大小跟加密密鑰長度相同，然后每組都用相同的密鑰進行加密。DES算法中，采用該模式加密時，就是將要加密的數據分成每組64位的數據，如果最后一組不夠64位，那么就補齊為64位,然后每組數據都采用DES算法的64位密鑰進行加密。

6、DES的四種工作方式

第一種：電子密碼本方式（ECB）ECB加密模型ECB加密模型第二種：密文分組鏈接方式（CBC）

在CBC方式下，每個明文組xi在加密前與先一組密文按位模二加后，再送到DES加密，CBC方式克服了ECB方式報內組重的缺點，但由于明文組加密與前一組密文有關，因此前一組密文的錯誤會傳播到下一組。第二種：密文分組鏈接方式（CBC）

在CBC方式下，每個明文CBC加密模型CBC加密模型CBC加密步驟1）首先將數據按照8個字節一組進行分組得到D1D2……Dn（若數據不是8的整數倍，用指定的PADDING數據補位）2）第一組數據D1與初始化向量I異或后的結果進行DES加密得到第一組密文C1（初始化向量I為全零）3）第二組數據D2與第一組的加密結果C1異或以后的結果進行DES加密，得到第二組密文C24）之后的數據以此類推，得到Cn5）按順序連為C1C2C3……Cn即為加密結果。CBC加密步驟1）首先將數據按照8個字節一組進行分組得到D1CBC解密過程1）首先將數據按照8個字節一組進行分組得到C1C2C3……Cn2）將第一組數據進行解密后與初始化向量I進行異或得到第一組明文D1（注意：一定是先解密再異或）3）將第二組數據C2進行解密后與第一組密文數據進行異或得到第二組數據D24）之后依此類推，得到Dn5）按順序連為D1D2D3……Dn即為解密結果。CBC解密過程1）首先將數據按照8個字節一組進行分組得到C1第三種：密文反饋方式（CFB）

將少量遞增的純文本加密成密碼文本，而不是一次處理整個塊。該模式使用在長度上為一個塊且被分為幾部分的移位寄存器。例如，如果塊大小為8個字節，并且每次處理一個字節，則移位寄存器被分為8個部分。如果密碼文本中有一個位出錯，則一個純文本位出錯，并且移位寄存器損壞。這將導致接下來若干次遞增的純文本出錯，直到出錯位從移位寄存器中移出為止。第三種：密文反饋方式（CFB）

CFB加密模型CFB加密模型CFB解密模型CFB解密模型第四種：輸出反饋方式（OFB）

將少量遞增的純文本處理成密碼文本，而不是一次處理整個塊。此模式與CFB相似。與CFB唯一不同的是OFB是直接取DES輸出的t個比特，而不是取密文的t個比特，其余都與CFB相同。但它取的是DES的輸出，所以它克服了CFB的密文錯誤傳播的缺點。第四種：輸出反饋方式（OFB）

3.4.2DES安全分析DES的安全性取決于密鑰的保密

，與算法無關。主要表現在：密鑰的互補性、弱密鑰與半弱密鑰、密文－明文相關性、密文－密鑰相關性、S盒的設計、密鑰搜索等。對DES的攻擊方法：

（1）窮舉攻擊

（2）差分密碼分析（3）線性密碼分析3.4.2DES安全分析DES的安全性取決于密鑰的保密，不同條件下DES攻擊時間的預測攻擊者類型密鑰長度個人攻擊小組攻擊院校網絡攻擊大公司軍事情報機構計算資源（假設）1臺高性能計算機16臺高性能計算機256臺高性能計算機大型機（百萬美元級）大型機（百萬美元級）及先進攻擊技術40bit數周數日數小時數毫秒數微秒56bit數百年數十年數年數小時數秒鐘64bit數千年數百年數十年數日數分鐘80bit不可能不可能不可能數百年數百年128bit不可能不可能不可能不可能數千年不同條件下DES攻擊時間的預測攻擊者類型個人攻擊小組攻擊3.4.3三重DESDES的唯一密碼學缺點就是密鑰長度較短。解決密鑰長度的問題的辦法之一是采用三重DES。三重DES由Tuchman于1979年提出，使用了168bits密鑰。1985年成為金融應用標準，1999年并入美國國家標準與技術研究局的數據加密標準。三重DES方法需要執行三次常規的DES加密步驟。其算法步驟：①用密鑰進行DES加密；②用步驟①的結果使用密鑰進行DES解密③用步驟②的結果使用密鑰進行DES加密3.4.3三重DESDES的唯一密碼學缺點就是密鑰長度較三重DES示意圖三重DES示意圖三重DES加密：設K1、K2、K3是三個長度為56的密鑰，給定明文m，則密文為：解密：給定密文c，則明文為：56三重DES加密：56三重DES說明三重DES的加密次序：考慮兼容性；當K1=K2=K3，三重DES退化為單重DES；當K1=K3，密鑰長度為112bits。三重DES說明三重DES的加密次序：考慮兼容性；3.5IDEA算法IDEAInternationDataEncryptionAlgorithm可用于加密和解密，一個非常成功的分組密碼，并廣泛的應用在安全電子郵件PGP中。主要有三種運算：異或、模加、模乘，容易用軟件和硬件來實現583.5IDEA算法IDEA581、IDEA算法歷史由中國學者來學嘉博士和著名的密碼專家

James

L.

Massey

于1990年聯合提出的，91年修訂，92公布細節128位密鑰，64位分組設計目標可從兩個方面考慮加密強度易實現性1、IDEA算法歷史由中國學者來學嘉博士和著名的密碼專家

2、IDEA

算法框架2、IDEA

算法框架IDEA總共進行8輪迭代操作，每輪需要6個子密鑰，另外還需要4個額外子密鑰，所以總共需要52個子密鑰，這52個子密鑰都是從128位密鑰中擴展出來的。IDEA總共進行8輪迭代操作，每輪需要6個子密鑰，另外還需要異或運算（）整數模216加（+）整數模216+1乘（）(IDEA的S盒）擴散由稱為MA結構的算法基本構件提供。3、IDEA運算MA盒子異或運算（）3、IDEA運算MA盒子4、IDEA每一輪4、IDEA每一輪64IDEA的各輪都相同的結構，但所用的子密鑰和輪輸入不同。從結構圖可見，IDEA不是傳統的Feistel密碼結構。每輪開始時有一個變換，該變換的輸入是4個子段和4個子密鑰，變換中的運算是兩個乘法和兩個加法，輸出的4個子段經過異或運算形成了兩個16比特的子段作為MA結構的輸入。MA結構也有兩個輸入的子密鑰，輸出是兩個16比特的子段。5、IDEA的輪結構64IDEA的各輪都相同的結構，但所用的子密鑰和輪輸入不同。65加密過程由連續的8輪迭代和一個輸出變換組成，算法將64比特的明文分組分成4個16比特的子段，每輪迭代以4個16比特的子段作為輸入，輸出也為4個16比特的子段。最后的輸出變換也產生4個16比特的子段，鏈接起來后形成64比特的密文分組。每輪迭代還需使用6個16比特的子密鑰，最后的輸出變換需使用4個16比特的子密鑰，所以子密鑰總數為52。6.IDEA加密過程65加密過程由連續的8輪迭代和一個輸出變換組成，算法將64比66算法框架的右半部分表示由初始的128比特密鑰產生52個子密鑰的子密鑰產生器。

最后，變換的4個輸出子段和MA結構的兩個輸出子段經過異或運算產生這一輪的4個輸出子段。注意，由X2產生的輸出子段和由X3產生的輸出子段交換位置后形成Wi2和Wi3，目的在于進一步增加混淆效果，使得算法更易抵抗差分密碼分析。IDEA加密過程（續）66算法框架的右半部分表示由初始的128比特密鑰產生52個子67在每一輪中，執行的順序如下：1.X1和第一個子密鑰相乘。2.X2和第二個子密鑰相加。3.X3和第三個子密鑰相加。4.X4和第四個子密鑰相乘。5.將第1步和第3步的結果相異或。6.將第2步和第4步的結果相異或。7、IDEA每一輪的加密順序67在每一輪中，執行的順序如下：7、IDEA每一輪的加密順序687.將第5步的結果與第五個子密鑰相乘。8.將第6步和第7步的結果相加。9.將第8步的結果與第六個子密鑰相乘。10.將第7步和第9步的結果相加。11.將第1步和第9步的結果相異或。12.將第3步和第9步的結果相異或。13.將第2步和第10步的結果相異或。14.將第4步和第10步的結果相異或。IDEA每一輪的加密順序（續1）687.將第5步的結果與第五個子密鑰相乘。IDEA每一輪的69

算法的第9步是一個輸出變換。它的結構和每一輪開始的變換結構一樣，不同之處在于輸出變換的第2個和第3個輸入首先交換了位置，目的在于撤銷第8輪輸出中兩個子段的交換。還需注意，第9步僅需4個子密鑰，而前面8輪中每輪需要6個子密鑰。IDEA每一輪的加密順序（續2）69算法的第9步是一個輸出變換。它的結構和每一輪開8、IDEA輸出變換階段8、IDEA輸出變換階段9、IDEA的安全性①窮舉法攻擊IDEA的密匙空間（密匙長度）是128位，用十進制表示所有可能的密匙個數將是一個天文數字：340,282,366,920,938,463,463,374,607,431,768,211,456.

為了試探出一個特定的密匙，平均要試探一半上面的可能性。即使你用了十億臺每秒鐘能夠試探十億個密匙的計算機，所需的時間也比目前所知的宇宙的年齡要長，而即使是在當代制造每秒試探十億個密匙的計算機還是不可能的。②差分密碼分析已證明IDEA算法在其8輪迭代的第4圈之后便不受差分密碼分析的影響了③線性分析④弱密鑰

9、IDEA的安全性①窮舉法攻擊3.6RC5算法

Ron.Rivest于1994年設計的一種新的分組算法，1995年正式公開。它的前身RC2、RC4分別是可變密鑰長度的分組和流加密算法。RC5是可變密文長度、可變輪數、可變密鑰長度的分組加密算法。3.6RC5算法Ron.Rivest于1994年設計的一1、算法特點RC5加密算法的特點有：基本運算是微處理器上常見的初等運算字的位數作為RC5的參數安全性依賴于旋轉運算和不同運算的混合存儲要求低，適合在智能卡上實現輪數和密鑰長度可以變化RC5算法由密鑰擴展算法、加密算法、解密算法組成。1、算法特點RC5加密算法的特點有：2、RC5的參數RC5實際上是由三個參數決定的一族加密算法。一個特定的RC5表示為

RC5-w/r/b,data=2w2、RC5的參數RC5實際上是由三個參數決定的一族加密算法2、RC5的參數（續）Rivest建議使用的標注RC5為

RC5-32/12/16明文分組32位的字，長度64位加密輪數12密鑰長度128bits2、RC5的參數（續）Rivest建議使用的標注RC5為3、三個基本運算三個基本運算字的加法模2w+按位異或⊕左循環移位<<<3、三個基本運算三個基本運算4、RC5密鑰擴展

RC5采用t=2r+2個子密鑰字，每個密鑰的長度為一個字長（wbits)。子密鑰存儲在數組S[i],i=0..t-1中s[0],s[1],…,s[t-1]它為w×t矩陣對給定的密鑰K來說，經過一些復合運算可產生總數為t的字密鑰，使得每一輪都分配一對密鑰。除此之外的非輪運算部分也要分配一對密鑰。4、RC5密鑰擴展RC5采用t=2r+2個子密鑰字，每個初始化混合轉換s[0]S[1]

S[t-1]……L[0]L[1]L[c-1]……K[0]K[1]……K[b-1]S[0]S[1]……S[t-1]r,wByteswordswords步驟初始化混合轉換s[0]S[1]S[t-1]……L[0]說明1將參數r，w輸入，左面標出的t-字陣列是一些偽隨機bit，按r,w的規格選入的。然后把b-bytes長的密鑰K[0,…,b-1]轉換成c-字陣列L[0,…,c-1]（字的bit數為w，這里c=b×8/w；注意：密鑰長度為b個字節）。如果b不是w的整數倍，那么L右端的空位用0填入。下面描述密鑰生成的細節：說明1將參數r，w輸入，左面標出的t-字陣列是一些偽隨機bi對于給定的參數r和w，開始初始化運算

Pw=Odd((e-2)2w)Qw=Odd((Φ-1)2w)這里

e=2.718281828459…(自然對數的底）

Φ=1.618033988749…（黃金分割比率）并且Odd[x]表示最接近x且可左可右的奇整數。例：Odd[e]=3,Odd[Φ]=1用上述兩個常數，按下述方式得到初始化的陣列S:S[0]=PwFori=1tot-1do S[i]=S[i-1]+Qw

其中的加法是模2w的加法運算。說明2對于給定的參數r和w，開始初始化運算說明2

得到初始化陣列S，然后與最后產生的密鑰陣列L做混合，最終得到子密鑰陣列。注1*.為了增強復雜性，可對陣列S,L做多次處理：

i=j=x=y=0do3×max(t,c)times:{S[i]=(S[i]+X+Y)<<<3；

X=S[i]；i=(i+1)(modt);L[j]=(L[j]+X+Y)<<<(X+Y)；

Y=L[j]；j=(j+1)(modc);}2*.Rivest聲稱，這個擴張函數具有單向性。說明3得到初始化陣列S，然后與最后產生的密鑰陣列L5、加解密運算圖5、加解密運算圖6、加密算法加密：將明文分組為左右A，B；用變量LEi，REi參與運算程序為：

LE0=A+S[0]RE0=B+S[1]fori=1tordoLEi=((LEi-1⊕REi-1)<<<REi-1)+S[2×i];REi=((REi-1⊕LEi)<<<LEi)+S[2×i+1];每一輪相當DES的兩輪，移位是算法中唯一的非線性部分6、加密算法加密：將明文分組為左右A，B；用變量LEi，RE7、解密算法對兩個1-字變量LDr和RDr。用變量LDi和RDi從r到1做：

fori=rdownto1doRDi-1=((RDi-S[2*i+1]>>>LDi)⊕LDi);LDi-1=((LDi-S[2*i]>>>RDi-1)⊕RDi-1);B=RD0-S[1];A=LD0-S[0].7、解密算法對兩個1-字變量LDr和RDr。用變量LDi和R8、RC5運行模式RFC2040定義了RC5的4種運行模式RC5BlockCipher,isECBmodeRC5-CBC,isCBCmodeRC5-CBC-PAD,isCBCwithpaddingbybyteswithvaluebeingthenumberofpaddingbytesRC5-CTS,avariantofCBCwhichisthesamesizeastheoriginalmessage,usesciphertextstealingtokeepsizesameasoriginal8、RC5運行模式RFC2040定義了RC5的4種運行9、RC5的安全性①RC5的安全主要依賴循環移位操作和不同運算的混合使用。②逐位異或操作與mod2w加法操作存在漏洞。③5輪迭代后的統計特性相當好。④56位密鑰的RC5算法已被攻破。9、RC5的安全性①RC5的安全主要依賴循環移位操作和不同運思考題

1、分組密碼設計原則應考慮哪些問題？2、試述DES算法的加密過程。3、在DES數據加密標準中，設主密鑰K（64位）為：

K=00000001*00100011*01000101*01100111*10001001*10101011*11001101*11101111*

其中帶*號為奇偶校驗位，分別求出：

(1)經過PC-1選定后的C0、D0(56位)結果；

(2)經循環左移LS1=1位后的C1、D1結果；

(3)由C1、D1再經PC-2選擇后的K1(48位)結果。4、DES算法中，密鑰的生成主要分幾步？5、試分析DES的安全性。思考題

1、分組密碼設計原則應考慮哪些問題？6、簡述DES的四種加密方式。7、簡述三重DES的加密過程。8、簡述分組密碼設計的兩個原則及其目的。9、典型的流密碼算法有哪些？10、典型的分組密碼算法有哪些？11、試簡述攻擊DES的方法。6、簡述DES的四種加密方式。結束結束ClaudeElwoodShannon克勞德?艾爾伍德?香農(1916-2001):anAmericanelectronicengineerandmathematician,is“thefatherofinformationtheory”。/wiki/Claude_ShannonClaudeElwoodShannon克勞德?艾爾伍德窮舉攻擊窮舉攻擊——窮舉各種可能性的攻擊。窮舉攻擊可用于任何分組密碼，攻擊的復雜性只依賴于分組長度和密鑰長度。窮舉攻擊窮舉攻擊——窮舉各種可能性的攻擊。窮舉攻擊可用于任何差分密碼分析差分分析是以色列密碼學家Biham和Shamir于1991年提出的一種分析方法。其基本思想是：通過分析明文對的差值對密文對的差值的影響來恢復某些密鑰比特。差分密碼分析最初是針對DES提出的一種攻擊方法，雖然差分密碼分析方法未能破譯16-輪的DES，但是用它破譯輪數低的DES是很成功的。差分密碼分析有許多的推廣方法，如截段差分密碼分析、高階差分密碼分析、不可能差分密碼分析等。BihamEli,ShamirAdi;DifferentialCryptanalysitofFealandN-hash[M];LectureNotesinComputerScience;1991年差分密碼分析差分分析是以色列密碼學家Biham和Shamir線性密碼分析線形分析是Matsui和Yamagishi于1992年提出的一種攻擊方法。基本思想：通過尋找一個給定密碼算法的有效的線性近似表達式來破譯密碼系統。本質是一種已知明文攻擊方法。這種方法可用于243個已知明文破譯8輪DES。MitsuruMatsui,AtsuhiroYamagishi:ANewMethodforKnownPlaintextAttackofFEALCipher.EUROCRYPT1992:81–91線性密碼分析線形分析是Matsui和Yamagishi于19弱密鑰弱密鑰(Weakkey)是指因為它的獨特數

學特性能夠被很容易破壞的密碼密鑰。DES

只有四個弱密鑰和

12

個次弱密鑰，

而

IDEA

中的弱密鑰數相當可觀，有

2

的

51

次方個。弱密鑰弱密鑰(Weakkey)是指因為它的獨特數第二講之第3章對稱密碼體系課件第二講信息安全技術第2章密碼技術基礎第3章對稱密碼體系第4章公鑰密碼體系第5章公鑰基礎設施PKI第六章信息隱藏技術第二講信息安全技術第2章密碼技術基礎第三章對稱密碼體系3.1概述3.2序列密碼（流密碼）3.3分組密碼3.4DES數據加密標準

3.5IDEA算法3.6RC5算法第三章對稱密碼體系3.1概述3.1概述對稱加密算法是應用較早的加密算法，技術成熟。在對稱加密算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密。也稱為“傳統加密算法”、“單密鑰加密算法”、“秘密密鑰算法”。3.1概述對稱加密算法是應用較早的加密算法，技術成熟。對稱密鑰保密體制模型注意：一個密鑰對稱密鑰保密體制模型注意：對存儲信息的保護模型對存儲信息的保護模型對傳輸信息的保護模型對傳輸信息的保護模型優/缺點優點：算法簡單，效率高，系統開銷小，適合加密大量數據。缺點：(1)通信雙方都使用同樣鑰匙，安全性得不到保證，存在密鑰安全交換問題。(2)每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發收信雙方所擁有的鑰匙數量成幾何級數增長，密鑰管理成為用戶的負擔。優/缺點優點：對稱加密算法分類(1)序列密碼（流密碼）(streamcipher)一次只對明文中的單個位（有時對字節）運算的算法稱為序列算法或序列密碼。(2)分組密碼(blockcipher)對明文的一組位進行運算，這些位組稱為分組，相應的算法稱為分組算法或分組密碼。對稱加密算法分類(1)序列密碼（流密碼）(streamc3.2序列密碼（流密碼）

（StreamCipher）序列密碼是由一種專業的密碼，Vernam密碼（也稱為一次性密碼本（one-timepad）），發展而來的。具有實現簡單、便于硬件實施、加解密處理速度快、沒有或只有有限的錯誤傳播等特點。3.2序列密碼（流密碼）

（StreamCi序列密碼主要原理通過有限狀態機產生性能優良的偽隨機序列，使用該序列加密信息流，（逐比特加密）得到密文序列。序列密碼主要原理通過有限狀態機產生性能優良的偽隨機序列，使用加密與解密加密：解密：加密與解密加密：密鑰流生成器構造密鑰流生成器是流密碼最核心的內容。密鑰流生成器的目的是由一個短的隨機密鑰(也稱實際密鑰或種子密鑰)k生成一個長的密鑰流，用這個長的密鑰流對明文加密或對密文解密，從而使一個短的密鑰可用來加密更長的明文或解密更長的密文的目的。密鑰流生成器構造密鑰流生成器是流密碼最核心的內容。由于大部分密碼是基于世界上公開的數學難題，所以造成大多數密鑰流生成器的不安全性。目前應用最廣泛的流密碼是同步流密碼。一個同步流密碼是否具有很高的密碼強度主要取決于密鑰流生成器的設計。

由于大部分密碼是基于世界上公開的數學難題，所以造成大多數密鑰序列密碼典型算法RC4算法RC4加密算法是大名鼎鼎的RSA三人組中的頭號人物RonRivest在1987年設計的密鑰長度可變的流加密算法簇。之所以稱其為簇，是由于其核心部分的S-box長度可為任意，但一般為256字節。該算法的速度可以達到DES加密的10倍左右。A5算法歐洲GSM標準中規定的加密算法，用于數字蜂窩移動電話的加密，加密從用戶設備到基站之間的鏈路。A5算法包括很多種，主要為A5/1和A5/2。其中，A5/1為強加密算法，適用于歐洲地區；A5/2為弱加密算法，適用于歐洲以外的地區。序列密碼典型算法RC4算法Seal算法IBM提出的、適合于軟件實現的160位流密碼算法，世界公認的高安全加密算法。加解密速度快，比128bitAES快8倍左右。PKZIP

廣泛應用于數據壓縮的算法，是一種按字節加密的流密碼。

Seal算法流密碼的重點研究方向①自同步流密碼的研究;②有記憶前饋網絡密碼系統的研究;③多輸出密碼函數的研究;④高速密碼芯片的開發;⑤同步序列密碼在失步后如何重新同步的問題;流密碼的重點研究方向①自同步流密碼的研究;3.3分組密碼3.3.1分組密碼工作方式3.3.2分組密碼的設計原則3.3.3典型分組密碼算法3.3分組密碼3.3.1分組密碼工作方式3.3.1分組密碼工作方式分組密碼的工作方式：將明文分成固定長度的組（塊），如64比特一組

，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。其中，明文為分組長度為m比特的序列，密文為分組長度為n的序列，加密與解密過程由x比特密鑰控制。3.3.1分組密碼工作方式分組密碼的工作方式：其分組密碼的優缺點分組密碼主要有兩個優點：易于標準化易于實現同步一些局限性。比如：分組密碼不便于隱藏明文的數據模式，對于重放、插入、刪除等攻擊方式的抵御能力不強。但是通過采用流密碼的設計思想，在加密過程中采用合理的記憶組件，能夠消除這些局限性。如果在構造分組密碼系統的時候直接采用分組密碼算法，則稱這種工作模式為電碼本（ECB）模式。分組密碼的上述缺陷導致了這種工作模式也具有相應的缺陷。因此，實際采用的分組密碼工作模式是對電碼本（ECB）模式的改進。分組密碼的優缺點分組密碼主要有兩個優點：3.3.2分組密碼的設計原則

為保證密碼的安全性，Shannon提出了混亂原則和擴散原則：

混亂原則指的是：為了避免密碼分析者利用明文和密文之間的依賴關系進行破譯，密碼的設計因該保證這種依賴關系足夠復雜。

擴散原則指的是：為避免密碼分析者對密鑰逐段破譯，密碼的設計因該保證密鑰的每位數字能夠影響密文中的多位數字

在設計分組密碼時，必須結合預定的實現方法進行考慮

3.3.2分組密碼的設計原則為保證密碼的安全性，Shan3.3.3典型分組密碼算法DESIDEARC5SAFERBlowfishSkipjack3.3.3典型分組密碼算法DES3.4DES數據加密標準DES算法描述DES安全分析三重DES3.4DES數據加密標準DES算法描述3.4.1DES算法描述DES算法加密時把明文以64bit為單位分成塊，而后用密鑰把每一塊明文轉化成同樣64bit的密文塊。DES可提供72，000，000，000，000，000個密鑰，用每微秒可進行一次DES加密的機器來破譯密碼需兩千年。。

3.4.1DES算法描述DES算法加密時把明文以64b1、DES歷史歷史：IBM在60年代啟動了LUCIFER項目，當時的算法采用128位密鑰改進算法，降低為56位密鑰，IBM提交給NBS(NIST)，于是產生DES

1977年由美國的標準化局(NBS，現為NIST采納)選為數據加密標準。該標準每5年重新審查和評估一次，至今繼續64位分組、56位密鑰1、DES歷史歷史：2、DES算法步驟DES算法大致可以分成四個部分：（1）初始置換（2）迭代過程（3）逆初始置換（4）子密鑰生成2、DES算法步驟DES算法大致可以分成四個部分：①DES算法基本邏輯結構①DES算法基本邏輯結構結構說明16輪迭代：Round1~Round16每輪采用不同的密鑰：K1~K16每輪的密鑰都是從上一輪密鑰產生而來結構說明16輪迭代：Round1~Round16②迭代過程DES每一輪：Li=Ri-1Ri=Li-1F(Ri-1,Ki)②迭代過程DES每一輪：Li=Ri-1Ri=L③DES:FunctionFExpansion:3248S-box:64Permutation32bits③DES:FunctionFExpansion:32④DES:32位到48位的擴展表—E-table32|01020304|0504|05060708|0908|09101112|1312|13141516|1716|17181920|2120|21222324|2524|25262728|2928|29303132|01比特位序號第30個位值④DES:32位到48位的擴展表—E-table32⑤DES:S-box把Si的輸入b1,b2,b3,b4,b5,b6分成中b1b6和b2,b3,b4,b5，計算出x=b1*2+b6,y=b5+b4*2+b3*4+b2*8。然后從Si表中查出x行，y列的值Sxy。將Sxy化為二進制，即得Si盒的輸出。⑤DES:S-box把Si的輸入b1,b2,b3,b4,bSi表Si表⑥DES:Permutation⑥DES:PermutationIP置換表58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157(1)58表示：結果中位于第1個位置的值，等于原文中第58個位置的值(2)圖中的一格代表1bit，共有64bit，即8字節⑦DES:InitialPermutation待加密的64比特明文串m，經過IP置換后，得到的比特串的下標列表如下：129IP置換表5850423426181026052443628⑧DES:InverseInitialPermutation⑧DES:InverseInitialPermutat3、密鑰生成64位初始密鑰k＝8位是奇偶校驗位＋56位密鑰。56位密鑰的密鑰生成16個48比特的子密鑰。其生成過程如右圖。3、密鑰生成64位初始密鑰k＝8位是奇偶校驗位＋56位密鑰。PC-1置換64bits密鑰變換為56bits密鑰經置換后的56bits密鑰分為各28bits的C0和D0。PC-1置換64bits密鑰變換為56bits密鑰經置換后的循環左移運算初始密鑰k經過PC-1置換后分為C0和D0，其它的Ci和Di循環左移得到：式中i=1,2,…,16，LS是循環左移位變換，其中LS1、LS2、LS9、LS16是循環左移一位，其余的LSi是循環左移兩位。第i次密鑰循環左移運算初始密鑰k經過PC-1置換后分為C0和D0，其它PC-2置換首先將Ci和Di組合成56位，然后按下面表進行置換。PC-2置換首先將Ci和Di組合成56位，然后按下面表進行置4、解密算法

解密是加密的逆變換解密算法和加密算法相同，但是它使用的子密鑰順序是相反的：第一次是用K16，第2次迭代用K15，……最后一次用K1。4、解密算法解密是加密的逆變換5、DES加密的一個例子取16進制明文X：0123456789ABCDEF密鑰K為：133457799BBCDFF1去掉奇偶校驗位以二進制形式表示的密鑰是：00010010011010010101101111001001101101111011011111111000應用IP，我們得到：

L0=11001100000000001100110011111111

L1=R0=11110000101010101111000010101010然后進行16輪加密。最后對L16,R16使用IP-1得到密文：85E813540F0AB4055、DES加密的一個例子取16進制明文X：0123456786、DES的四種工作方式

第一種：電子密碼本方式（ECB）這種模式是最早采用和最簡單的模式，它將加密的數據分成若干組，每組的大小跟加密密鑰長度相同，然后每組都用相同的密鑰進行加密。DES算法中，采用該模式加密時，就是將要加密的數據分成每組64位的數據，如果最后一組不夠64位，那么就補齊為64位,然后每組數據都采用DES算法的64位密鑰進行加密。

6、DES的四種工作方式

第一種：電子密碼本方式（ECB）ECB加密模型ECB加密模型第二種：密文分組鏈接方式（CBC）

在CBC方式下，每個明文組xi在加密前與先一組密文按位模二加后，再送到DES加密，CBC方式克服了ECB方式報內組重的缺點，但由于明文組加密與前一組密文有關，因此前一組密文的錯誤會傳播到下一組。第二種：密文分組鏈接方式（CBC）

在CBC方式下，每個明文CBC加密模型CBC加密模型CBC加密步驟1）首先將數據按照8個字節一組進行分組得到D1D2……Dn（若數據不是8的整數倍，用指定的PADDING數據補位）2）第一組數據D1與初始化向量I異或后的結果進行DES加密得到第一組密文C1（初始化向量I為全零）3）第二組數據D2與第一組的加密結果C1異或以后的結果進行DES加密，得到第二組密文C24）之后的數據以此類推，得到Cn5）按順序連為C1C2C3……Cn即為加密結果。CBC加密步驟1）首先將數據按照8個字節一組進行分組得到D1CBC解密過程1）首先將數據按照8個字節一組進行分組得到C1C2C3……Cn2）將第一組數據進行解密后與初始化向量I進行異或得到第一組明文D1（注意：一定是先解密再異或）3）將第二組數據C2進行解密后與第一組密文數據進行異或得到第二組數據D24）之后依此類推，得到Dn5）按順序連為D1D2D3……Dn即為解密結果。CBC解密過程1）首先將數據按照8個字節一組進行分組得到C1第三種：密文反饋方式（CFB）

將少量遞增的純文本加密成密碼文本，而不是一次處理整個塊。該模式使用在長度上為一個塊且被分為幾部分的移位寄存器。例如，如果塊大小為8個字節，并且每次處理一個字節，則移位寄存器被分為8個部分。如果密碼文本中有一個位出錯，則一個純文本位出錯，并且移位寄存器損壞。這將導致接下來若干次遞增的純文本出錯，直到出錯位從移位寄存器中移出為止。第三種：密文反饋方式（CFB）

CFB加密模型CFB加密模型CFB解密模型CFB解密模型第四種：輸出反饋方式（OFB）

將少量遞增的純文本處理成密碼文本，而不是一次處理整個塊。此模式與CFB相似。與CFB唯一不同的是OFB是直接取DES輸出的t個比特，而不是取密文的t個比特，其余都與CFB相同。但它取的是DES的輸出，所以它克服了CFB的密文錯誤傳播的缺點。第四種：輸出反饋方式（OFB）

3.4.2DES安全分析DES的安全性取決于密鑰的保密

，與算法無關。主要表現在：密鑰的互補性、弱密鑰與半弱密鑰、密文－明文相關性、密文－密鑰相關性、S盒的設計、密鑰搜索等。對DES的攻擊方法：

（1）窮舉攻擊

（2）差分密碼分析（3）線性密碼分析3.4.2DES安全分析DES的安全性取決于密鑰的保密，不同條件下DES攻擊時間的預測攻擊者類型密鑰長度個人攻擊小組攻擊院校網絡攻擊大公司軍事情報機構計算資源（假設）1臺高性能計算機16臺高性能計算機256臺高性能計算機大型機（百萬美元級）大型機（百萬美元級）及先進攻擊技術40bit數周數日數小時數毫秒數微秒56bit數百年數十年數年數小時數秒鐘64bit數千年數百年數十年數日數分鐘80bit不可能不可能不可能數百年數百年128bit不可能不可能不可能不可能數千年不同條件下DES攻擊時間的預測攻擊者類型個人攻擊小組攻擊3.4.3三重DESDES的唯一密碼學缺點就是密鑰長度較短。解決密鑰長度的問題的辦法之一是采用三重DES。三重DES由Tuchman于1979年提出，使用了168bits密鑰。1985年成為金融應用標準，1999年并入美國國家標準與技術研究局的數據加密標準。三重DES方法需要執行三次常規的DES加密步驟。其算法步驟：①用密鑰進行DES加密；②用步驟①的結果使用密鑰進行DES解密③用步驟②的結果使用密鑰進行DES加密3.4.3三重DESDES的唯一密碼學缺點就是密鑰長度較三重DES示意圖三重DES示意圖三重DES加密：設K1、K2、K3是三個長度為56的密鑰，給定明文m，則密文為：解密：給定密文c，則明文為：151三重DES加密：56三重DES說明三重DES的加密次序：考慮兼容性；當K1=K2=K3，三重DES退化為單重DES；當K1=K3，密鑰長度為112bits。三重DES說明三重DES的加密次序：考慮兼容性；3.5IDEA算法IDEAInternationDataEncryptionAlgorithm可用于加密和解密，一個非常成功的分組密碼，并廣泛的應用在安全電子郵件PGP中。主要有三種運算：異或、模加、模乘，容易用軟件和硬件來實現1533.5IDEA算法IDEA581、IDEA算法歷史由中國學者來學嘉博士和著名的密碼專家

James

L.

Massey

于1990年聯合提出的，91年修訂，92公布細節128位密鑰，64位分組設計目標可從兩個方面考慮加密強度易實現性1、IDEA算法歷史由中國學者來學嘉博士和著名的密碼專家

2、IDEA

算法框架2、IDEA

算法框架IDEA總共進行8輪迭代操作，每輪需要6個子密鑰，另外還需要4個額外子密鑰，所以總共需要52個子密鑰，這52個子密鑰都是從128位密鑰中擴展出來的。IDEA總共進行8輪迭代操作，每輪需要6個子密鑰，另外還需要異或運算（）整數模216加（+）整數模216+1乘（）(IDEA的S盒）擴散由稱為MA結構的算法基本構件提供。3、IDEA運算MA盒子異或運算（）3、IDEA運算MA盒子4、IDEA每一輪4、IDEA每一輪159IDEA的各輪都相同的結構，但所用的子密鑰和輪輸入不同。從結構圖可見，IDEA不是傳統的Feistel密碼結構。每輪開始時有一個變換，該變換的輸入是4個子段和4個子密鑰，變換中的運算是兩個乘法和兩個加法，輸出的4個子段經過異或運算形成了兩個16比特的子段作為MA結構的輸入。MA結構也有兩個輸入的子密鑰，輸出是兩個16比特的子段。5、IDEA的輪結構64IDEA的各輪都相同的結構，但所用的子密鑰和輪輸入不同。160加密過程由連續的8輪迭代和一個輸出變換組成，算法將64比特的明文分組分成4個16比特的子段，每輪迭代以4個16比特的子段作為輸入，輸出也為4個16比特的子段。最后的輸出變換也產生4個16比特的子段，鏈接起來后形成64比特的密文分組。每輪迭代還需使用6個16比特的子密鑰，最后的輸出變換需使用4個16比特的子密鑰，所以子密鑰總數為52。6.IDEA加密過程65加密過程由連續的8輪迭代和一個輸出變換組成，算法將64比161算法框架的右半部分表示由初始的128比特密鑰產生52個子密鑰的子密鑰產生器。

最后，變換的4個輸出子段和MA結構的兩個輸出子段經過異或運算產生這一輪的4個輸出子段。注意，由X2產生的輸出子段和由X3產生的輸出子段交換位置后形成Wi2和Wi3，目的在于進一步增加混淆效果，使得算法更易抵抗差分密碼分析。IDEA加密過程（續）66算法框架的右半部分表示由初始的128比特密鑰產生52個子162在每一輪中，執行的順序如下：1.X1和第一個子密鑰相乘。2.X2和第二個子密鑰相加。3.X3和第三個子密鑰相加。4.X4和第四個子密鑰相乘。5.將第1步和第3步的結果相異或。6.將第2步和第4步的結果相異或。7、IDEA每一輪的加密順序67在每一輪中，執行的順序如下：7、IDEA每一輪的加密順序1637.將第5步的結果與第五個子密鑰相乘。8.將第6步和第7步的結果相加。9.將第8步的結果與第六個子密鑰相乘。10.將第7步和第9步的結果相加。11.將第1步和第9步的結果相異或。12.將第3步和第9步的結果相異或。13.將第2步和第10步的結果相異或。14.將第4步和第10步的結果相異或。IDEA每一輪的加密順序（續1）687.將第5步的結果與第五個子密鑰相乘。IDEA每一輪的164

算法的第9步是一個輸出變換。它的結構和每一輪開始的變換結構一樣，不同之處在于輸出變換的第2個和第3個輸入首先交換了位置，目的在于撤銷第8輪輸出中兩個子段的交換。還需注意，第9步僅需4個子密鑰，而前面8輪中每輪需要6個子密鑰。IDEA每一輪的加密順序（續2）69算法的第9步是一個輸出變換。它的結構和每一輪開8、IDEA輸出變換階段8、IDEA輸出變換階段9、IDEA的安全性①窮舉法攻擊IDEA的密匙空間（密匙長度）是128位，用十進制表示所有可能的密匙個數將是一個天文數字：340,282,366,920,938,463,463,374,607,431,768,211,456.

為了試探出一個特定的密匙，平均要試探一半上面的可能性。即使你用了十億臺每秒鐘能夠試探十億個密匙的計算機，所需的時間也比目前所知的宇宙的年齡要長，而即使是在當代制造每秒試探十億個密匙的計算機還是不可能的。②差分密碼分析已證明IDEA算法在其8輪迭代的第4圈之后便不受差分密碼分析的影響了③線性分析④弱密鑰