什么是對稱密碼體制，分析DES算法及其應用模式1編輯版ppt目錄1235DES算法對稱密碼體制應用模式DES問題討論4

DES的變形2編輯版ppt1對稱密碼體制密碼體制是指實現加密和解密的密碼方案，從使用密碼策略上，可分為對稱密碼體制（SymmetricKeyCryptosystem）和非對稱密碼體制（AsymmetricKeyCryptosystem）。在對稱密碼體制中，使用的密鑰必須完全保密，且要求加密密鑰和解密密鑰相同，或由其中的一個可以很容易地推出另一個。對稱密碼體制根據對明文的加密方式的不同而分為分組密碼和流密碼。分組密碼先按一定長度（如64字節、128字節等）對明文進行分組，以組為單位加/解密流密碼則不進行分組，而是按位加密。3編輯版ppt對稱密碼體制加密算法信道解密算法明文密文明文密鑰加密密鑰解密密鑰優點：加密或解密運算速度快，加密強度高，并且算法公開缺點：密鑰分發困難，更新周期長，不便于管理常見算法：DES、IDEA、AES等4編輯版ppt22DES算法（DataEncryptionStandard）

DES是分組長度為64比特的分組密碼算法，密鑰長度也是64比特，其中每8比特有一位奇偶校驗位，因此有效密鑰長度為56比特。DES算法是公開的，其安全性依賴于密鑰的保密程度。DES結構框圖如圖2.1。圖2.1DES加密算法框圖輸入64比特明文數據初始置換IP在密鑰控制下16輪迭代交換左右32比特

初始逆置換IP-1輸出64比特密文數據5編輯版ppt左圖為DES加密算法執行過程，解密使用與加密同樣的算法，只是子密鑰的使用次序相反。其中迭代變換是DES算法的核心部分且較為復雜，在此單獨做出介紹。在每輪開始將輸入的64比特數據分成左、右長度相等的兩半，將右半部分原封不動地作為本輪輸出的64比特數據的左半部分，同時對右半部分進行一系列的變換，即用輪函數作用右半部分，然后將所得結果（32比特數據）與輸入數據的左半部分進行逐位異或，將所得數據作為本輪輸出的64比特數據的右半部分。6編輯版ppt圖2.2DES的一輪迭代Ri-1（32比特）選擇擴展運算E48比特寄存器48比特寄存器選擇壓縮運算S32比特寄存器置換運算PLi-1（32比特）子密鑰Ki（48比特）Ri（32比特）Li（32比特）Li=Ri-1Ri=Li-1⊕F(Ri-1,Ki)輪函數F7編輯版pptDES中的子密鑰的生成8編輯版pptDES加解密過程令i表示迭代次數，表示異或，f為加密函數。DES的加密和解密過程表示如下。加密過程：解密過程：9編輯版ppt3DES問題討論其他性質2）完全效應指密文中的每個比特都由明文的許多比特決定。由DES中的擴展和S盒產生的擴散和混淆作用表明了強烈的完全效應。1）雪崩效應明文中的一個小變動將會引起密文的顯著變化。已經證明，DES具有強烈的雪崩效應。例：對兩個只有一個比特的不同明文分組進行加密（用同樣的密鑰），觀察每輪加密后比特數的不同。明文：0000000000000000密鑰：22234512987ABB23密文：4789FD476E82A5F1明文：0000000000000001

密鑰：22234512987ABB23密文：0A4ED5C15A63FEA3設計標準10編輯版ppt2、設計標準（1）S盒的設計每一行的元素都是從0-15的置換。S盒是非線性的。如果改變輸入的一個比特，輸出中的兩個或更多比特會改變。如果一個S盒的兩個輸入只有中間兩個比特不同（第3和第4個比特），輸出中至少有兩個比特不同。如果一個S盒的兩個輸入開頭的兩個比特不同（第1和第2比特），且最后兩個比特相同（第5和第6），則輸出一定不同。最后三個輸出比特得到的方式與第一個比特相同，都是補充一些它的輸入比特。在兩個特定的對S盒排列的輸入可以構造出相同的輸出。只改變相鄰的S盒的比特在單輪加密中可能出現箱體的輸出。（2）初始置換和擴展置換不清楚為什么DES的設計者采用初始和最終置換，這沒有安全益處。在擴展置換中，每4個比特序列的第一個和第四個會重復。11編輯版ppt3、其他（1）密鑰中的長度缺陷 關于DES算法的另一個最有爭議的問題就是擔心實際56比特的密鑰長度不足以抵御窮舉式攻擊，因為密鑰量只有256≈1017個。用現有的技術，一秒鐘可以檢查一百萬各密鑰。如果能夠制造出一臺擁有一百萬各芯片的電腦，我們可以在約20小時內測試完成整個密鑰域。

?1998年7月電子前沿基金會（EFF）使用一臺25萬美元的電腦在56小時內破譯了56比特密鑰的DES。?1999年1月RSA數據安全會議期間，電子前沿基金會用22小時15分鐘就宣告破解了一個DES的密鑰。

一個帶有56個比特密鑰密碼的DES還不是足夠安全的。（2）S盒的安全問題有人認為s盒可能存在陷門，但至今沒有跡象表明s盒中存在陷門。由于DES算法完全公開，其安全性完全依賴于對密鑰的保護，必須有可靠的信道來分發密鑰。如采用信使遞送密鑰等。因此，它不適合在網絡環境下單獨使用。12編輯版ppt1.兩重DES

DES的變形雙重DES密鑰長度為112bit,密碼強度似乎增強了一倍，但問題并非如此。雙重DES易受中途攻擊C=EK2(EK1(P))P=DK1(DK2(C))413編輯版ppt2.三重DES（以被廣泛采用）優點：能對付中途攻擊。密鑰長度為168bit即用兩個56位的密鑰K1、K2，發送方用K1加密，K2解密，再使用K1加密。接收方則使用K1解密，K2加密，再使用K1解密，其效果相當于將密鑰長度加倍。

14編輯版ppt5應用模式電子密碼本ECB(electroniccodebookmode)密碼分組鏈接CBC(cipherblockchaining)密碼反饋CFB(cipherfeedback)輸出反饋OFB(outputfeedback)這四種工作模式適用于不同的應用需求15編輯版ppt

5.1電碼本模式（ECB）

ECB(ElectronicCodebook)模式是最簡單的運行模式，它一次對一個64比特長的明文分組加密，而且每次的加密密鑰都相同，如圖所示。當密鑰取定時，對每一個明文組，都有一個惟一的密文組與之對應。Ci

=EK(Pi)?Pi=DK(Ci)16編輯版pptECB的特點ECB用于短數據（如加密密鑰）是非常理想，長消息不夠安全簡單、有效可以并行實現不能隱藏明文的模式信息相同明文生成相同密文，同樣信息多次出現造成泄漏對明文的主動攻擊是可能的信息塊可被替換、重排、刪除、重放誤差傳遞：密文塊損壞僅對應明文塊損壞適合于傳輸短信息17編輯版ppt

典型應用：（1）用于隨機數的加密保護；（2）用于單分組明文的加密。優點：(1)實現簡單;(2)不同明文分組的加密可并行實施,尤其是硬件實現時速度很快.缺點：不同的明文分組之間的加密獨立進行,故保留了單表代替缺點,造成相同明文分組對應相同密文分組,因而不能隱蔽明文分組的統計規律和結構規律,不能抵抗替換攻擊.ECB模式的優、缺點和應用18編輯版ppt

敵手C通過截收從A到B的加密消息，只要將第5至第12分組替換為自己的姓名和帳號相對應的密文，即可將別人的存款存入自己的帳號。

例:假設銀行A和銀行B之間的資金轉帳系統所使用報文模式如下：19編輯版ppt例：假定伊夫每月工資非常低，她知道公司對每一個雇員都使用幾個信息分組，這里第七個分組就是存入該雇員帳戶的錢數。伊夫可以在月底攔截送往銀行的密文，然后復制一個全職雇員的工資信息分組，并用這個分組替換她自己的工資信息分組，這樣伊夫每月都可以得到比應得報酬多的錢。

為了克服ECB的安全性缺陷，我們希望設計一個工作模式,可以使得當同一個明文分組重復出現時產生不同的密文分組。一個簡單的方法是密碼分組鏈接，從而使輸出不僅與當前輸入有關，而且與以前輸入和輸出有關。20編輯版ppt

5.2密碼分組鏈接模式（CBC）為了克服ECB的缺陷，希望設計一種方案使同一明文分組重復出現時產生的密文分組不同。一種簡單的方案就是密碼分組鏈接(CipherBlockChaining)模式。每次加密使用同一密鑰，加密算法的輸入是當前明文與前一次密文組的異或。因此加密算法的輸入與明文分組之間不再有固定的關系，所以重復的明文分組不會在密文中暴露。21編輯版ppt圖4.15CBC模式（加密）加密P1VIKC1n比特n比特加密P2KC2n比特n比特加密PNCN-1KCNn比特n比特……22編輯版ppt1.明文塊的統計特性得到了隱蔽。

CBC模式的特點：

由于在密文CBC模式中，各密文塊不僅與當前明文塊有關，而且還與以前的明文塊及初始化向量有關，從而使明文的統計規律在密文中得到了較好的隱蔽。2.具有有限的(兩步)錯誤傳播特性。一個密文塊的錯誤將導致兩個密文塊不能正確脫密.3.具有自同步功能密文出現丟塊和錯塊不影響后續密文塊的脫密.若從第t塊起密文塊正確,則第t+1個明文塊就能正確求出.23編輯版ppt安全問題

相同明文：在相同密鑰和VI下，加密相同的明文會得到相同密文分組。

鏈接依賴性：鏈接機制致使密文Ci依賴于Pi以及所有前面的明文分組，重排密文的順序會影響到解密。

錯誤傳播：解密時，密文分組Ci中一個單比特錯誤會影響到其他分組；加密時，修改一個明文分組會改變以后所有密文分組。

當密文分組Ci中一個單比特錯誤時，解密結果受影響的分組是哪些？密文分組Ci中一個單比特錯誤會影響到明文分組Pi中大部分比特的錯誤，只對明文分組Pi+1中的一個比特（相同位置）起作用。單個錯誤對從Pi+2到明文PN的明文分組沒有影響。

典型應用:(1)數據加密;(2)完整性認證和身份認證;

24編輯版ppt

例：電腦彩票的防偽技術

----彩票中心檢查兌獎的電腦彩票是否是自己發行的

問題：如何防止電腦彩票的偽造問題。

方法：（1）選擇一個分組密碼算法和一個認證密鑰，將他們存于售票機內；（2）將電腦彩票上的重要信息，如彩票期號、彩票號碼、彩票股量、售票單位代號等重要信息按某個約定的規則作為彩票資料明文；（3）對彩票資料明文擴展一個校驗碼分組后，利用認證密鑰和分組密碼算法對之加密，并將得到的最后一個分組密文作為認證碼打印于彩票上面；

認證過程：

執行（3）,并將計算出的認證碼與彩票上的認證碼比較，二者一致時判定該彩票是真彩票，否則判定該彩票是假彩票。25編輯版ppt5.3密碼反饋模式(CFB)

若待加密的消息必須按字符（如電傳電報）處理時，可以采用CFB(CipherFeedback)模式或OFB(OutputFeedback)模式，這樣做事實上將DES轉換成為流密碼。流密碼不需要對消息填充，而且運行是實時的。因此如果傳送字母流，可使用流密碼對每個字母直接加密并傳送。26編輯版ppt64比特64-j比特64比特加密j比特j比特左移j比特

64-j比特(丟棄）Ci＋1K….64比特移位寄存器64-j比特j比特64比特加密j比特64-j比特(丟棄）Ci左移j比特Ci-1K….Pi+1Pi64比特加密j比特64-j比特(丟棄）….K:ViC1:圖4.16密碼反饋模式加密過程P127編輯版ppt64比特64-j比特64比特加密j比特j比特左移j比特

64-j比特(丟棄）64比特移位寄存器64-j比特j比特64比特加密j比特64-j比特(丟棄）Ci左移j比特Ci-1K….Pi64比特加密j比特64-j比特(丟棄）….K:ViC1….Ci+1Pi+1P1圖4.17CFB模式解密過程:K28編輯版ppt安全問題

相同明文:同CBC。

鏈接依賴：密文分組的正確性依賴于其前面所有明文分組的正確性，密文分組正確解密要求之前n/r個密文組也正確。

錯誤傳播：傳輸過程中密文分組Ci的一個單比特錯誤就可以在明文分組Pi中產生一個單筆特錯誤（相同位置上）。只要Ci中的一些比特還在移位寄存器中，接下來的明文分組中的大多數比特都是錯誤的（50%的概率）。

錯誤恢復:自同步，需要n/r個分組才能恢復

吞吐量：降低了加密速度。29編輯版ppt5.4輸出反饋模式（OFB）

OFB(OutputFeedback)模式在結構上類似于CFB，如圖所示。不同之處是OFB模式將加密算法的輸出反饋到移位寄存器，而CFB模式是將密文單元反饋到移位寄存器。

30編輯版ppt64-j比特(丟棄）Pi＋164比特64-j比特64比特加密j比特j比特左移j比特

64-j比特(丟棄）K….64比特移位寄存器64-j比特j比特64比特加密j比特64-j比特(丟棄）Pi左移j比特K….Ci+1Ci64比特加密j比特….K:VIP1(b)加密C1圖4.18OFB模式31編輯版ppt64比特64-j比特64