密码学 对称密码学复习课件

对称密码学复习对称密码学复习对称密码学复习本章内容本章内容密码学概述密码学概述古典密码古典密码对称分组密码对称分组密码序列密码序列密码随机数的生成随机数的生成本章内容密码学概述一、密一、密码学概述学概述密码学研究内容：密码学研究内容：密码体制：对称密码体制、公钥密码体制杂凑（Hash）函数与消息认证数字签名与身份识别密钥分配与密钥管理各类密码协议：如密钥分发、秘密共享、零知识证明单向函数与伪随机序列生成器密码学提供的功能：密码学提供的功能：机密性、完整性、鉴别、抗抵赖性；一、密码学概述密码学研究内容：一、密一、密码学概述学概述教学目标：教学目标：（1）掌握密码学的基本概念、基本原理、基本思想与基本方法。（2）掌握国内外典型密码算法和密码学的应用技术。（3）具备典型密码的软件开发能力和密码应用能力。一、密码学概述教学目标：一、密一、密码学概述学概述基本概念：密码学被分类成密码编码学（Cryptography）和密码分析学(Cryptanalytics)；加密通信模型；密码体制的定义；密码体制的分类；常见的密码分析类型；几种密码算法的安全性的含义；一、密码学概述基本概念：二、古典密二、古典密码C.D.Shannon：采用扩散、混淆和乘积的方法设计密码：混淆（Confusion）：使密文和明文、密钥的统计特性之间的关系复杂化，如非线性因素；扩散（Diffussion）：将每一位明文和密钥的影响扩大到尽可能多的密文位中，以便隐藏明文的统计特性和防止对密钥进行逐段破译，使密文中每一位由明文中多位产生。乘积和迭代：多重加密方法混合使用对一个加密函数多次迭代古典密码学的两种基本技术：代替（substitution）、置换(permutation）二、古典密码C.D.Shannon：采用扩散、混淆和乘积的二、古典密二、古典密码典型算法举例：数据安全基于算法保密1、代换密码：弄明白典型算法的设计，仅要求进行简单的安全性分析单字母代换密码：单表代换密码：移位密码：密钥空间仅为26；仿射密码：e(x)=(ax+b)modm,密钥空间为广义的单表代换密码：26!易受字母统计频率分析攻击；多表代换密码：维吉尼亚密码、Hill密码、转子机多字母代换密码：Playfair密码2、置换密码：弄清置换表的含义；二、古典密码典型算法举例：数据安全基于算法保密二、古典密二、古典密码多表代换密码：非周期多表代换密码：一次一密、量子密码；周期多表代换密码：维吉尼亚（Vigenere)密码、转子机、Hill密码p维吉尼亚密码密钥空间为：26m，但仍然保留了字符频率统计特性；二、古典密码多表代换密码：二、古典密二、古典密码pHill密码：完全隐藏了明文的统计信息，但是线性变换的安全性很脆弱，易受已知明文攻击；二、古典密码Hill密码：完全隐藏了明文的统计信息，但是线二、古典密二、古典密码多字母代换密码：Playfair密码Playfair有2626=676种字母对组合，字符出现概率一定程度上被均匀化，基于字母频率的攻击比较困难，被广泛应用了很多年，但依然保留了相当的结构信息。对于替换密码举例，弄明白典型算法的设计，仅要求进行简单的安全性分析二、古典密码多字母代换密码：Playfair密码二、古典密二、古典密码2、置换密码：弄清置换表的含义；二、古典密码2、置换密码：弄清置换表的含义；三、三、对称分称分组密密码对称分组密码的概述DES+双重DES与3DESAES+相关数学基础分组密码工作模式三、对称分组密码对称分组密码的概述三、三、对称分称分组密密码3.1对称分组密码的概述分组密码体制的定义分组密码的安全性、复杂度的概念仅要求了解；分组密码的设计原则：分组长度、密钥长度、混淆和扩散、易实现；典型迭代密码定义理解典型迭代密码分析：穷尽密钥搜索、线性分析法、差分分析法、相关密钥密码分析、中间相遇攻击典型密码结构：Feistel结构、SP结构（代换置换网络）三、对称分组密码3.1对称分组密码的概述Feistel结构：DES14Feistel结构：14密码学对称密码学复习课件SP结构（代换置换网络）AES初始化前Nr-1轮每一轮操作轮密钥加每子串S盒代换整个分组P置换最后一轮轮密钥加每子串S盒代换第二次轮密钥加输出SP结构（代换置换网络）AES初始化前Nr-1轮每一轮操作三、三、对称分称分组密密码每种典型算法了解产生、特点及应用情况掌握加解密算法掌握密钥生成算法掌握算法的实现中的问题及编程实现：填充方式、工作模式；了解算法的安全性三、对称分组密码每种典型算法三、三、对称分称分组密密码3.2DES1、DES的基本参数、特点及应用：对称分组密码，明文、密钥、密文长度都为64位，面向二进制；2、DES的加解密算法:DES加解密结构DES一轮变换S盒3、DES的密钥生成算法4、DES算法的安全性：了解雪崩效应、密钥长度的争论、差分分析、线性分析、弱密钥和半弱密钥。5、双重DES和3DES三、对称分组密码3.2DES密码学对称密码学复习课件DES加密算法的数学描述：加密算法的数学描述：DES解密算法的数学描述：解密算法的数学描述：DES加密算法的数学描述：DES解密算法的数学描述：DES加密加密-轮的的过程程DES加密-轮的过程22AE(A)JB1B2B3B4B5B6B7B8C1C2C3C4C5C6C7C8f(A,J)22AE(A)JB1B2B3S盒代盒代换操作操作 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 151441312151183106125907015741421311061211653841148136211151297310501512824917511314100613Box S1例如例如,S1(101010)=6=0110；S1(110011)=11=1011注：行列数均从注：行列数均从0开始开始0123S盒代换操作0123DES密密钥编排算法排算法24DES密钥编排算法24密码学对称密码学复习课件三、三、对称分称分组密密码双重DES:很难抵挡中间相遇攻击3DES:密钥足够长,兼容性好,目前广泛应用,速度较慢双密钥的3DES：ISO8732，ANSIX9.17三密钥的3DES：PGP，S/MIME三、对称分组密码双重DES:很难抵挡中间相遇攻击三、三、对称分称分组密密码3.3AES1、AES相关数学基础2、AES的基本参数：AES具有128比特的分组长度，并支持128、192和256比特的密钥长度；SP网络；基本轮函数加迭代，轮数可变；数学基础好；简单快速；3、AES加解密算法：状态4、AES密钥生成算法5、AES的安全性及实现问题，了解三、对称分组密码3.3AES三、三、对称分称分组密密码1、AES相关数学基础数论：整除性：因子，素数，最大公因子，互素整数分解，求解最大公因子的方法，Euclid算法模运算：概念、模加法、模乘法、单位元、加法逆元、乘法逆元、运算性质、推广的Euclid算法求乘法逆元的方法有限域：概念、特殊的域中元素的表示及其运算有限域GF(p):加法，乘法，逆元，系数在Zp中的多项式加法和乘法运算GF(28)：加法、乘法、X乘一个字节：有限域GF(28)中的一个元素一个字：系数在GF(28)中并且次数小于4的多项式三、对称分组密码1、AES相关数学基础有限域有限域GF(28)AES的理论基础定义在的理论基础定义在GF(28),其基本运算有三种：其基本运算有三种：加法、乘法和加法、乘法和x乘；乘；AES的的GF(28)表示表示AES采用采用GF(28)的多项式元素表示：将的多项式元素表示：将b7b6b5b4b3b2b1b0构成的字节看成系数在构成的字节看成系数在0,1中的多项式：中的多项式：b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0加法加法：两元素多项式的系数按位模：两元素多项式的系数按位模2加；加；乘法乘法：两元素多项式相乘，模：两元素多项式相乘，模m(x)AES采用的既约模多项式为：采用的既约模多项式为：乘法逆元乘法逆元：a(x)b(x)=1modm(x)根据推广的根据推广的Euclid算法求算法求出出X乘乘xTime：用：用x乘以乘以GF(28)的元素的元素若若b7=0,则字节左移一位补则字节左移一位补0；若若b70,则左移一位补则左移一位补0后，与后，与1B异或；异或；有限域GF(28)AES的理论基础定义在GF(28),其系数在系数在GF(28)中的多项式中的多项式字：系数在字：系数在GF(28)中并且次数小于中并且次数小于4的多项式的多项式例：例：57834AD157x3+83x2+4Ax+D1三种基本运算：字加法、字乘法、字三种基本运算：字加法、字乘法、字x乘法乘法字加法字加法：对应项系数按位模：对应项系数按位模2加加字乘法字乘法：多项式乘积再模：多项式乘积再模m(x)=x4+1AES选定一个固定的可逆多项式做乘法；选定一个固定的可逆多项式做乘法；字字X乘法乘法：相当于字节循环移位；：相当于字节循环移位；系数在GF(28)中的多项式字：系数在GF(28)中并且次数三、三、对称分称分组密密码2、AES的加解密算法结构：SP网络，虽然加解密算法不同，但是加解密结构相同；几个基本变换及逆变换三、对称分组密码2、AES的加解密算法AES加密算法流程加密算法流程AES解密算法流程解密算法流程AES加密算法流程AES解密算法流程2、AES的加解密算法:几个基本变换及逆变换：标准轮变换：Round(State,RoundKey)ByteSub(State);S盒变换ShiftRow(State);行移位变换MixColumn(State);列混淆变换AddRoundKey(State,RoundKey)轮密钥加变换标准逆轮变换Inv_Round(State,Inv_RoundKey)Inv_ByteSub(State);逆S盒变换Inv_ShiftRow(State);逆行移位变换Inv_MixColumn(State);逆列混淆变换AddRoundKey(State,Inv_RoundKey)逆轮密钥加变换2、AES的加解密算法:几个基本变换及逆变换：三、三、对称分称分组密密码2、AES的加解密算法几个基本变换及逆变换的定义：S盒（即SubBytes操作）：非线性变换，矩阵定义特点；行移位；逆变换时位移量Nb-C1列混淆.三、对称分组密码2、AES的加解密算法三、三、对称分称分组密密码352、AES的密钥生成算法加密密钥生成算法密钥扩展：扩展密钥的比特数等于分组长度乘以轮数加1特定位置的扩展密钥计算方法不同,轮数不同稍不同；轮密钥选择:三、对称分组密码352、AES的密钥生成算法三、三、对称分称分组密密码2、AES的密钥生成算法加密密钥生成算法密钥扩展：扩展密钥的比特数等于分组长度乘以轮数加1特定位置的扩展密钥计算方法不同,轮数不同稍不同；轮密钥选择:Nb=6且Nk=4时的密钥扩展与轮密钥选取三、对称分组密码2、AES的密钥生成算法Nb=6且Nk=4时三、三、对称分称分组密密码2、AES的密钥生成算法解密密钥生成算法中解密的密钥扩展与加密的密钥扩展算法稍有不同；解密密钥生成算法定义如下：加密算法的密钥扩展；把InvMixColumn应用到除第一和最后一轮外是所有轮密钥上；轮密钥选择:三、对称分组密码2、AES的密钥生成算法三、三、对称分称分组密密码3.4分组密码工作模式：了解采用工作模式的目的和原则，掌握几种常用模式采用工作模式的目的掩盖数据模式：相同明文、密钥相同，则密文相同；使算法适应具体应用；工作模式对于DES、AES、3DES等任何分组密码都适用；在很多标准中都有规定：如：NIST(SP800-38A)、FIPSPUB74和81、ANSIX3.106、ISO9732、ISO/IEC97116等；三、对称分组密码3.4分组密码工作模式：了解采用工作模三、三、对称分称分组密密码3.4分组密码工作模式设计的一般原则密码模式通常是基本密码、一些反馈、和一些简单运算的组合。运算是简单的，因为安全性依赖于基本密码，而不依赖模式。强调一点，密码模式不会损害算法的安全性。效率是另一个值得考虑的事情。运算模式将不会明显地降低基本密码的效率。第三个考虑事情是容错。一些应用需要并行加密或解密，而其它一些则需要能够尽可能多的进行预处理。无论怎样，在丢失或增加比特的密文流中，解密过程能够从比特错误中恢复是很重要的三、对称分组密码3.4分组密码工作模式三、三、对称分称分组密密码3.5分组密码工作模式常用的有五种加密模式：设计方法、特点和应用场所、错误传播电码本模式ECB（ElectronicCodeBook）密文分组链接模式CBC（CipherBlockChaining）密文反馈模式CFB（CiphertextFeedback）输出反馈模式OFB（OutputFeedback）计数器模式CRT（CounterMode）短块加密：填充技术、密文挪用技术、序列加密三、对称分组密码3.5分组密码工作模式分分组密密码工作模式工作模式模式模式描述描述典型应用典型应用电码本(ECB)用相同的密钥分别对明文分组独立加密l单个数据的安全传输（如：一个加密密钥）密文分组链接(CBC)加密算法的输入是上一个密文组和下一个明文组的异或l面向分组的通用传输l认证密文反馈(CFB)一次处理s位，上一块密文作为加密算法的输入，产生的伪随机数输出与明文异或作为下一单元的密文l面向数据流的通用传输l认证输出反馈(OFB)与CFB类似，只是加密算法的输入是上一次加密的输出，且使用整个分组l噪声信道上的数据流的传输（如：卫星通信）计数器(CTR)每个明文分组都与一个以经过加密的计数器相异或，对每个后续分组计数器递增l面向分组的通用传输l用于高速需求分组密码工作模式模式描述典型应用电码本(ECB)用相同的密钥电码本模式本模式ECB电码本模式ECB电码本模式本模式ECB特点特点简单和有效可以并行实现不能隐藏明文的模式信息相同明文相同密文同样信息多次出现造成泄漏改变一个明文块，只引起相应的密文块的改变，而其他密文块不变。对明文的主动攻击是可能的，信息块可被替换、重排、删除、重放；误差传递：密文块损坏仅对应明文块损坏适合于传输短信息电码本模式ECB特点简单和有效密文分密文分组链接模式接模式CBC密文分组链接模式CBC密文分密文分组链接模式接模式CBC特点特点没有已知的并行实现算法能隐藏明文的模式信息需要共同的初始化向量IV相同明文不同密文初始化向量IV可以用来改变第一块，应该唯一，但不必须改变一个明文块,则相应的密文块及其后的所有密文块将会改变.对明文的主动攻击是不容易的，信息块不容易被替换、重排、删除、重放这个特性意味着CBC模式适用于鉴别的目的，即：这些模式能用来产生消息鉴别码（MAC），MAC附在明文块序列的后面，用来保护消息的完整性。误差传递：密文块损坏两明文块损坏安全性好于ECB适合于传输长度大于64位的报文，还可以进行用户鉴别,是大多系统的标准如SSL、IPSec密文分组链接模式CBC特点没有已知的并行实现算法密文反密文反馈模式模式CFB加密示意加密示意图46密文反馈模式CFB加密示意图46密文反密文反馈模式模式CFB解密示意解密示意图47密文反馈模式CFB解密示意图47密文反密文反馈模式模式CFB特点特点分组密码流密码没有已知的并行实现算法隐藏了明文模式需要共同的移位寄存器初始值IV对于不同的消息，IV必须唯一改变一个明文块，则相应的密文块及其后的所有密文块将会改变，这个特性意味着CFB模式适用于鉴别的目的；误差传递：一个单元损坏影响多个单元,1+Nb/j适用于面向数据流的通用传输，认证密文反馈模式CFB特点分组密码流密码输出反出反馈模式模式OFB加密示意加密示意图49输出反馈模式OFB加密示意图49输出反出反馈模式模式OFB解密示意解密示意图50输出反馈模式OFB解密示意图50输出反出反馈模式模式OFB特点特点分组密码流密码没有已知的并行实现算法隐藏了明文模式需要共同的移位寄存器初始值IV对不同的消息，IV必须唯一改变一个明文块，只引起相应的密文块的改变，而其他密文块不变。对明文的主动攻击是可能的，信息块可被替换、重排、删除、重放；有些情况下这可能是一个好的特性。例如，OFB模式通常用来加密卫星传输。误差传递：一个单元损坏只影响对应单元安全性较CFB差适用于噪声信道上的数据流的传输（如：卫星通信）输出反馈模式OFB特点分组密码流密码5、计数器模式数器模式CTR525、计数器模式CTR52计数器模式数器模式CTR特点特点使用一个与明文分组等长的计数器，每个明文组，计数器的值必须不同。面向分组的通用传输，适用高速需求可以并行处理；可以预处理：由于加解密算法不依赖于明（密）文，在存储条件允许以及安全保障的条件下，可以预先将要使用的异或值计算出来，以供随后使用；随机存取：对于链接模式,必须加密Ci-1后才能加密Ci,CTR模式可以任意的加密一个组块,有些应用中,可能无需加密或解密所有的组块,只需要解密其中的一个.简单：只要实现加密算法，不需要解密算法，当加密算法与解密算法相差较大时，这个模式有较大优势；可证明安全：已经能够证明CTR模式至少与前面的模式同样的安全；计数器模式CTR特点使用一个与明文分组等长的计数器，每短短块加密加密分组密码一次只能对一个固定长度的明文（密文）分组密码一次只能对一个固定长度的明文（密文）块进行加解密；块进行加解密；称长度小于分组长度的数据块为称长度小于分组长度的数据块为短块短块；必须采用合适的技术解决短块加密问题必须采用合适的技术解决短块加密问题填充技术：填充技术：ANSIX.923、ISO10126、PKCS7、ISO/IEC7816-4等密文挪用技术密文挪用技术序列加密序列加密短块加密分组密码一次只能对一个固定长度的明文（密文）块进行密文挪用技术：密文挪用技术：不增加密文长度，但控制复杂不增加密文长度，但控制复杂密文挪用技术：不增加密文长度，但控制复杂密文挪用法也需要指示挪用位数的指示符；负责收信者密文挪用法也需要指示挪用位数的指示符；负责收信者不知道挪用了多少位，从而不能正确解密不知道挪用了多少位，从而不能正确解密;密文挪用加密短块的优点是：不引起数据的扩展密文挪用加密短块的优点是：不引起数据的扩展;缺点是：解密时要先解密缺点是：解密时要先解密Cn，还原挪用后再解密，还原挪用后再解密Cn-1，从而使控制复杂从而使控制复杂.密文挪用技术：密文挪用技术：不增加密文长度，但控制复杂不增加密文长度，但控制复杂密文挪用法也需要指示挪用位数的指示符；负责收信者不知道挪用了四、序列密四、序列密码1、序列密码的基本概念2、线性移位寄存器序列密码3、非线性序列密码4、RC4四、序列密码1、序列密码的基本概念四、序列密四、序列密码1、序列密码的基本概念：基本思想：分类：同步序列密码，自同步序列密码二元同步流密码体制模型流密码对密钥流的要求密钥流产生器的通常构建方法；LFSR+非线性组合函数四、序列密码1、序列密码的基本概念：四、序列密四、序列密码2、线性移位寄存器序列密码线性移位寄存器：GF(2)上LFSR的结构反馈函数输出序列的求法四、序列密码2、线性移位寄存器序列密码线性反性反馈移位寄存器移位寄存器GF(2)上的n级线性反馈移位寄存器：LFSR的状态：LFSR的反馈函数：LFSR输出序列的性质完全由其反馈函数决定；一般总是假定Cn=1,n级LFSR输出序列的周期与状态周期相等，也小于等于2n-1。线性反馈移位寄存器GF(2)上的n级线性反馈移位寄存器：四、序列密四、序列密码4、RC4基本特点:面向字节的密钥大小可变（1256字节）的序列密码；密码序列独立于明文代码少,速度快目前应用最广的商密级序列密码基于非线性数据表变换;RC4算法：S表初始化；只有当S表初始化完成后，才能计算产生密钥字符，才能进行加解密，否则将是不安全的；S表一旦完成初始化，输入密钥就不再被使用密钥流的产生；每生成一个字节的密钥k值，S中的元素个体就被重新置换一次四、序列密码4、RC4五、随机数生成五、随机数生成1、随机数的应用和特点了解随机数的应用：随机数的特点：随机性及不可预测性的概念及判定2、伪随机数的产生A、特意构造的算法：线性同余发生器：定义及参数选取BBS发生器：了解密码上安全的伪随机比特产生器B、基于现存密码算法的算法：对称分组密码：理解几种伪随机数产生器的设计（循环加密、分组密码工作模式OFB，ANSIX9.17）；非对称分组密码Hash函数和消息认证五、随机数生成1、随机数的应用和特点期中考期中考试安排安排时间：时间：第第8周上星期三，周上星期三，上午8:00-10:00地点：东校区地点：东校区东区一教东区一教DQ216开卷，可以带计算器开卷，可以带计算器期中考试安排时间：第8周上星期三，专题研究研究报告告分组：自由组合，每组不超过4人，明确分工选题：与密码学相关题目成果：提交3-5页的研究报告，准备5分钟报告ppt专题报告时间：12月23日上课时间专题研究报告分组：自由组合，每组不超过4人，明确分工