Chapter3

分組密碼與數據加密標準

《計算機與網絡安全》

2023/2/2西安電子科技大學計算機學院2上次課的內容單表和多表的區別？凱撒密碼、Playfair、hill、Vigenère2023/2/2西安電子科技大學計算機學院3本節課程內容

分組密碼一般原理、設計準則、設計方法DES加解密算法DES的強度2023/2/2西安電子科技大學計算機學院4§3.1分組密碼原理流密碼每次加密數據流的一位或一個字節分組密碼將一個明文組作為整體加密且通常得到的是與之等長的密文組2023/2/2西安電子科技大學計算機學院52023/2/2西安電子科技大學計算機學院6分組密碼的一般設計原理：分組密碼是將明文消息編碼表示后的數字（簡稱明文數字）序列，劃分成長度為n的組（可看成長度為n的矢量），每組分別在密鑰的控制下變換成等長的輸出數字（簡稱密文數字）序列理想分組密碼體制2n!個映射大規模2023/2/2西安電子科技大學計算機學院7Feistel密碼（1）Feiste密碼的設計動機我們所需的是對應較大n的理想分組密碼體制的一種近似體制而已，它可以在容易實現的部件上逐步建立起來。密鑰長為k位，分組長為n位，采用2k個變換建議交替使用代換和置換2023/2/2西安電子科技大學計算機學院8目的：挫敗基于統計方法的密碼分析混淆（confusion）：使得密文的統計特性與密鑰的取值之間的關系盡量復雜擴散（diffusion）：明文的統計特征消散在密文中，使得明文和密文之間的統計關系盡量復雜。Feistel密碼（2）2023/2/2西安電子科技大學計算機學院9具體實現依賴于以下參數特征分組長度密鑰長度

輪數

子密鑰生成算法輪函數設計Feistel密碼還有兩個其他方面的考慮

快速軟件加解密易于分析Feistel結構（3）2023/2/2西安電子科技大學計算機學院10§3.2數據加密標準DESDES的歷史DES的基本結構DES核心構件的細節描述DES輪密鑰的生成DES的安全性分析2023/2/2西安電子科技大學計算機學院11數據加密標準(DES)第一個并且是最重要的現代分組密碼算法2023/2/2西安電子科技大學計算機學院12歷史發明人：美國IBM公司W.Tuchman和C.Meyer1971-1972年研制成功基礎：1967年美國HorstFeistel提出的理論產生：美國國家標準局（NBS)1973年5月到1974年8月兩次發布通告，公開征求用于電子計算機的加密算法。經評選從一大批算法中采納了IBM的LUCIFER方案標準化：DES算法1975年3月公開發表，1977年1月15日由美國國家標準局頒布為數據加密標準（DataEncryptionStandard），于

1977年7月15日生效2023/2/2西安電子科技大學計算機學院13DES是一種用56位密鑰來加密64位數據的方法。概述2023/2/2西安電子科技大學計算機學院14DES算法框圖輸入64bit明文數據初始置換IP乘積變換（16輪迭代）逆初始置換IP-164bit密文數據輸出標準數據加密算法DES的核心部件：兩次置換（初始置換和初始逆置換）密鑰控制下的十六輪迭代加密輪密鑰生成2023/2/2西安電子科技大學計算機學院152023/2/2西安電子科技大學計算機學院16初始置換和初始逆置換2023/2/2西安電子科技大學計算機學院17初始置換和初始逆置換DES中的初始置換和初始逆置換2023/2/2西安電子科技大學計算機學院18初始置換與初始逆置換是互逆的嚴格而言不具有加密的意義Note2023/2/2西安電子科技大學計算機學院19DES的十六輪迭代加密十六輪迭代加密Roundi第i輪加密2023/2/2西安電子科技大學計算機學院20DES第i輪迭代加密2023/2/2西安電子科技大學計算機學院21F函數2023/2/2西安電子科技大學計算機學院22擴展E置換（E-盒）2023/2/2西安電子科技大學計算機學院23S盒（1）2023/2/2西安電子科技大學計算機學院24S-盒是DES加密算法的唯一非線性部件S盒（2）2023/2/2西安電子科技大學計算機學院25S-盒S盒（3）2023/2/2西安電子科技大學計算機學院26

00010203040506070809101112131415012313020804061511011009031405001207011513081003070412050611001409020711040109121402000610131503050802011407041008131512090003050611輸入輸出S-盒的查表操作S盒（4）2023/2/2西安電子科技大學計算機學院27DES中其它算法都是線性的，而S-盒運算則是非線性的提供了密碼算法所必須的混亂作用S-盒不易于分析，它提供了更好的安全性S-盒的設計未公開NoteS盒（5）2023/2/2西安電子科技大學計算機學院28P置換2023/2/2西安電子科技大學計算機學院29直接P置換（P-盒）P置換2023/2/2西安電子科技大學計算機學院30F函數2023/2/2西安電子科技大學計算機學院312023/2/2西安電子科技大學計算機學院32子密鑰產生器

密鑰（64bit）置換選擇1，PC1置換選擇2，PC2

Ci(28bit)

Di(28bit)循環左移循環左移除去第8,16,,64位(8個校驗位)ki2023/2/2西安電子科技大學計算機學院332023/2/2西安電子科技大學計算機學院34置換選擇1循環左移的次數（舍棄了奇偶校驗位，即第8，16，…，64位）2023/2/2西安電子科技大學計算機學院35壓縮置換2舍棄了第9,18,22,25,35,38,43,54比特位2023/2/2西安電子科技大學計算機學院36加密過程:L0R0IP(<64bit明文>)LiRi-1

i=1,...,16(1)RiLi-1f(Ri-1,

ki)i=1,...,16(2)<64bit密文>IP-1(R16L16)

(1)(2)運算進行16次后就得到密文組。解密過程:R16L16

IP(<64bit密文>)Ri-1Li

i=1,...,16(3)Li-1Rif(Li-1,ki)i=1,...,16(4)<64bit明文>IP-1(R0L0)(3)(4)運算進行16次后就得到明文組。DES加解密的數學表達2023/2/2西安電子科技大學計算機學院37安全性DES的安全性完全依賴于所用的密鑰。從DES誕生起，對它的安全性就有激烈的爭論，一直延續到現在弱密鑰DES算法在每次迭代時都有一個子密鑰供加密用。如果給定初始密鑰k，各輪的子密鑰都相同，即有k1=k2=…=k16，就稱給定密鑰k為弱密鑰(Weakkey)§3.3DES的強度2023/2/2西安電子科技大學計算機學院38雪崩效應：DES的強度（2）明文或密鑰的微小改變將對密文產生很大的影響2023/2/2西安電子科技大學計算機學院3956位密鑰的使用256=7.2x10161997，幾個月

1998，幾天

1999，22個小時!DES算法的性質：S盒構造方法未公開！DES的強度（3）2023/2/2西安電子科技大學計算機學院40差分密碼分析通過分析明文對的差值對密文對的差值的影響來恢復某些密文比特線性密碼分析通過尋找DES變換的線性近似來攻擊DES的強度（4）2023/2/2西安電子科技大學計算機學院41§3.4分組密碼的工作模式FIPS81中定義了4種模式，到800-38A中將其擴展為5個?？捎糜谒蟹纸M密碼。DES的工作模式若明文最后一段不足分組長度，則補0或1，或隨機串。