密码学03-分组密码体制

资源描述

本科生学位课：现代密码学第三章分组密码体制主讲教师：董庆宽研究方向：密码学与信息安全Email ：个人主页： http:/ 2/155 3.1 分组密码概述3.2 数据加密标准 DES3.3 差分密码分析和线性密码分析3.4 分组密码的运行模式3.5 IDEA 3.6 AES Rijndael本章提要 3/155 3.1 分组密码概述分组密码 (Block Cipher) ：l 将明文消息分组，逐组加密；对称密码算法，属于代换密码l 将明文消息编码表示后的数字序列 x0,x1,xi,划分成长为 n的组x=(x0,x1,xn-1)l 各组（长为 n的矢量）分别在密钥 k=(k0,k1,kt-1)控制下变换成输出序列 y=(y0,y1,ym-1)（长为 m的矢量） l 其加密函数 E： Vn KVm， Vn和 Vm分别是 n维和 m维矢量空间， K为密钥空间，如图所示。 4/155 与流密码不同之处：l (1)分组加密。在于输出的每一位数字不是只与相应时刻输入的明文数字有关，而是与一组长为 n的明文数字有关。l (2)无记忆性。在相同密钥下，分组密码对长为 n的输入明文组所实施的变换是等同的，所以只需研究对任一组明文数字的变换规则。这种密码实质上是字长为 m的数字序列的代换密码。算法的输入长度和输出长度l 通常取 m=n (用于加密 ) l 若 mn，则为有数据扩展的分组密码 (用于认证 )l 若 m 。l 另一方面，对每个不同的密钥， DES都定义了一个映射，总映射数为2 561017N/2，则令l Kk1,k2,kc 如果 T|Tmin N/2 |,将 Tmax对应的候选者 Kn(i)作为 Kn，并猜定 Kk1,k2,kc 0(p1/2)或 1 (p6有所不同。当 Nk6时，扩展算法如下l KeyExpansion (byte Key4*Nk , word WNb*(Nr+1)l l for (i =0; i Nk; i +)l Wi=(Key4* i,Key4* i +1,Key4* i +2,Key4* i +3 );l for (i =Nk; i 6时，扩展算法如下l KeyExpansion (byte Key4*Nk , word WNb*(Nr+1)l l for (i=0; i Nk; i +)l Wi=(Key4* i, Key4* i +1, Key4* i +2, Key4* i +3 );l for (i =Nk; i 6与 Nk6的密钥扩展算法的区别在于：当 i为 Nk的 4的倍数时，须先将前一个字 Wi-1经过 SubByte变换。以上两个算法中， Rconi/Nk 为轮常数，其值与Nk无关，定义为（字节用十六进制表示，同时理解为 GF(28)上的元素）：l Rcon i=(RCi, 00, 00, 00)l 其中 RCi 是 GF(28) 中值为 xi-1的元素，因此 l RC1 =1(即 01)l RCi = x(即 02)RCi-1= xi-1 147/155 (2) 轮密钥选取l 轮密钥 i（即第 i 个轮密钥）由轮密钥缓冲字 WNb* i到WNb*(i+1)给出，如图 3.23所示。l Nb=6且 Nk=4时的密钥扩展与轮密钥选取W0 W1 W2 W3 W4 W5 W6 W7 W8 W9 W10 W11 W12 W13 W14 轮密钥0轮密钥1 148/155 4 加密算法加密算法为顺序完成以下操作：初始的密钥加；(Nr-1)轮迭代；一个结尾轮。即l Rijndael (State, CipherKey)l l KeyExpansion (CipherKey, ExpandedKey);l AddRoundKey (State, ExpandedKey); l for (i=1; i Nr; i +) l Round (State, ExpandedKey+Nb* i);l FinalRound (State, ExpandedKey+Nb*Nr)l 149/155 其中 CipherKey是种子密钥， ExpandedKey是扩展密钥。密钥扩展可以事先进行（预计算），且 Rijndael密码的加密算法可以用这一扩展密钥来描述，即l Rijndael (State, ExpandedKey)l l AddRoundKey (State, ExpandedKey);l for (i=1; i N r; i +)l Round (State, ExpandedKey+Nb* i);l FinalRound (State, ExpandedKey+Nb*Nr)l 150/155 5.加解密的相近程度及解密算法首先给出几个引理。引理 3.1 设字节代换（ ByteSub）、行移位（ ShiftRow）的逆变换分别为 InvByteSub、InvShiftRow。l 则组合部件 “ ByteSubShiftRow”的逆变换为“ InvByteSubInvShiftRow” l 证明：组合部件 “ ByteSubShiftRow”的逆变换原本为 “ InvShiftRowInvByteSub”。由于字节代换（ ByteSub）是对每个字节进行相同的变换，故“ InvShiftRow”与 “ InvByteSub”两个计算部件可以交换顺序。（证毕） 151/155 引理 3.2 设列混合（ MixColumn）的逆变换为InvMixColumn 则列混合部件与密钥加部件（ AddRoundKey）的组合部件“ MixColumnAddRoundKey ( , Key)”的逆变换为“ InvMixColumnAddRoundKey ( , InvKey)”l 其中密钥 InvKey与 Key的关系为：InvKey=InvMixColumn (Key) 152/155 证明：l 组合部件 “ MixColumnAddRoundKey ( , Key)” 的逆变换原本为 “ AddRoundKey ( , Key)InvMixColumn”，l 由于列混合（ MixColumn）实际上是线性空间 GF(28)4上的可逆线性变换，因此 “ AddRoundKey ( ,Key)InvMixColumn”l =“InvMixColumnAddRoundKey ( , InvMixColumn (Key)”（证毕） l 由 t(x)=a(x)*c(x)+key(x),知逆向列混淆后 t(x)*c-1(x)= a(x)+key(x)*c-1(x),从而 a(x) = t(x)*c-1(x) + key(x)*c-1(x),所以逆的列混淆后应该加上轮密钥列混淆后的结果 153/155 引理 3.3 将某一轮的后两个计算部件和下一轮的前两个计算部件组成组合部件，该组合部件的程序为l MixColumn (State)；l AddRoundKey (State, Key(i);l ByteSub (State);l ShiftRow (State) 则该组合部件的逆变换程序为l InvByteSub (State); l InvShiftRow (State);l InvMixColumn (State);l AddRoundKey (State, InvMixColumn (Key(i) 证明：这是引理 3.1和引理 3.2的直接推论。l 注意到在引理 3.3所描述的逆变换中，第 2步到第 4步在形状上很像加密算法的轮函数，这将是解密算法的轮函数。注意到结尾轮只有 3个计算部件，因此可以得到如下定理。 154/155 定理 3-2 Rijndael密码的解密算法为顺序完成以下操作：初始的密钥加； (Nr-1)轮迭代；一个结尾轮。其中解密算法的轮函数为l InvRound (State, RoundKey)l l InvByteSub (State);l InvShiftRow (State);l InvMixColumn (State);l AddRoundKey (State, RoundKey) l 解密算法的结尾轮为l InvFinalRound (State, RoundKey)l l InvByteSub (State);l InvShiftRow (State);l AddRoundKey (State, RoundKey) l 155/155 设加密算法的初始密钥加、第 1轮、第 2轮、、第Nr轮的子密钥依次为l k(0), k(1), k(2), , k(Nr-1), k(Nr) 则解密算法的初始密钥加、第 1轮、第 2轮、、第Nr轮的子密钥依次为l k(Nr), InvMixColumn (k(Nr-1), InvMixColumn (k(Nr-2), , InvMixColumn (k(1), k(0)。证明：这是上述 3个引理的直接推论。 l 综上所述， Rijndael密码的解密算法与加密算法的计算网络相同，只是将各计算部件换为对应的逆部件。 156/155 作业： p76,1,2,3,4,5,6 已知明文为 01234567的 ASCII码表示的 128比特密钥： k1是 01011011的 7次重复， k2是 00001110的 7次重复构成的一共 112比特密钥编写 EDE的加解密程序，对明文进行加密，并进行解密验证 (1个月以后交 ),11月中旬 l 1.编写的代码； 2.运行结果截屏； 3。只交电子版

展开阅读全文

密码学03-分组密码体制

最新文档