对称密码学及其应用 第3章 分组密码简介与设计准则

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,对称密码学及其应用,*,第三章 分组密码简介与设计准则,分组密码概述,分组密码的一般设计原理,分组密码的整体结构,S-,盒的设计准则及其构造,P,置换的设计准则及构造方法,轮函数的设计准则及其构造,密钥扩展算法的设计,分组密码的工作模式,3.1,分组密码概述,分组密码（,Block Cipher,），也称之为块密码，是将明文消息编码表示后的数字序列，划分成固定大小的组（或位块），各组分别在密钥的控制下变换成等长的输出数字序列,3.1,分组密码概述,分组密码分类,加密方式的不同，分组密码又可分为三类：代替密码、移位密码和乘积密码。,根据加密和解密密钥密钥是否相同，可以将分组密码分为对称分组密码和非对称分组密码。,3.2,分组密码的一般设计原理,一般设计原理,分组长度要足够大,密钥量要足够大,由密钥确定置换的算法要足够复杂,加密和解密运算简单,数据扩展,差错传播尽可能地小,3.2,分组密码的一般设计原理,扩散和混乱原则,Shannon,为了应对统计分析而提出的两种方法,扩散就是将每一位明文的影响尽可能迅速地作用到较多的输出密文位中去，以便隐藏明文的统计特性。,混乱是指密文和明文之间的统计特性关系尽可能地复杂化，用于掩盖明文、密文和密钥之间的关系。,3.3,分组密码的整体结构,SPN,结构,Shannon,提出,是一种采用混乱和扩散的迭代密码结构,属于乘积密码,SAFER,和,SHARK,等著名的密码算法都采用此结构,3.3,分组密码的整体结构,SPN,密码结构与两种基本密码变换操作,3.3,分组密码的整体结构,Feistel,结构,由,IBM,公司的,Horst,Feistel,在,20,世纪,60,年代末设计,Lucifer,分组密码时发明的,在,Lucifer,密码的基础上，,IBM,提出的算法中标美国国家标准局（,NBS,）公开征集的标准密码算法，即,DES,算法,许多分组密码也都采用了,Feistel,结构，如,Blowfish,、,E2,、,FEAL,、,GOST,、,LOKI,和,RC5,等,3.3,分组密码的整体结构,Lucifer,算法,3.3,分组密码的整体结构,Feistel,结构实现,对于一个分组长度为,2W,的,n-,轮,Feistel,结构密码的加密过程如图,3.3.4,所示，其中,K1,，,Kn,是由种子密钥,K,生成的子密钥。,2W,长度的明文被分为,L0,和,R0,两部分，这两部分经过,n,轮迭代后组合在一起成为密文。其运算逻辑关系为：,Li=Ri-1,，,(i=1,2,n),Ri=Li-1F(Ri-1,Ki),，,(i=1,2,n),3.3,分组密码的整体结构,Feistel,结构实现,每轮迭代都有相同的结构（如图,3.3.5,所示）。代替作用在数据的左半部分，它通过轮函数,F,作用数据的右半部分，与左半部分数据进行异或来完成。每轮迭代的轮函数都相同，但每轮的子密钥,K,i,不同。代替之后，交换数据的左右部分实现置换，这就是,Feistel,结构的思想。,每轮迭代都有相同的结构（如图,3.3.5,所示）。代替作用在数据的左半部分，它通过轮函数,F,作用数据的右半部分，与左半部分数据进行异或来完成。每轮迭代的轮函数都相同，但每轮的子密钥,K,i,不同。代替之后，交换数据的左右部分实现置换，这就是,Feistel,结构的思想。,3.4,S-,盒的设计准则及其构造,S-,盒的设计准则,非线性度。,差分均匀性。,代数次数及项数分布。,完全性和雪崩效应。,可逆性。,没有陷门。,3.4,S-,盒的设计准则及其构造,S-,盒的,构造方法,随机选取并测试。,按一定规则构造并测试。,数学函数构造。,指数函数和对数函数,有限域,GF,（,2,n,）上的逆映射,3.5,P,置换的设计准则及构造方法,P,置换的设计准则：,在,SP,网络中，混淆层一般由若干个,S-,盒并置而成，扩散层一般由一个置换（或一个可逆的线性变换）,P,来实现。,P,盒的目的就是实现雪崩效应，进一步提高扩散和混淆程度。由于按比特置换在软件实现中是难以实现的，因此，如果混淆层是由,m,个,n,n,的,S-,盒并置而成，则,P,一般设计成的一个 置换，其中 。,3.5,P,置换的设计准则及构造方法,P,置换的构造,分支数最佳的置换,P,的构造,多维,2-,点变换扩散器,3.6,轮函数的设计准则及其构造,设计轮函数,F,的基本准则就是非线性。除此之外，还包括雪崩效应准则和位独立准则。,评价轮函数设计质量的指标,安全性,速度,灵活性,3.6,轮函数的设计准则及其构造,现有的密码算法的轮函数可以分为,有,S-,盒的，例如,DES,、,LOKI,系列及,E2,等；,没有,S-,盒的，例如,IDEA,、,RC5,及,RC6,等。,一般来说，轮函数的“混淆”由,S,-,盒或算术运算来实现。,而没有,S-,盒的轮函数的“混淆”则主要靠加法运算、乘法运算及数据依赖循环等来实现,3.7,密钥扩展算法的设计,子密钥生成方法的理论设计目标,子密钥的统计独立性,密钥更换的有效性,评价子密钥的生成方法质量的指标,实现简单,速度,不存在简单关系,种子密钥的所有比特对每个子密钥比特的影响大致相同,从一些子密钥比特获得其他子密钥（或者种子密钥）比特在计算上是困难的,没有弱密钥,3.8,分组密码的工作模式,分组密码的工作模式，也称为密码模式，通常是由基本密码算法、一些反馈和一些简单运算组合而成。,特点：,其安全性依赖于基本密码,模式的效率将不会明显地低于基本密码,不同的模式有不同的特点，适用于不同场合,3.8,分组密码的工作模式,电子密码本,ECB(electronic codebook mode),密码分组链接,CBC(cipher block chaining),密码反馈,CFB(cipher feedback),输出反馈,OFB(output feedback),计数器模式,电子密码本（,ECB,）,C,i,=,E,K,(P,i,)P,i,=,D,K,(C,i,),ECB,特点,简单和有效,可以并行实现,不能隐藏明文的模式信息,相同明文 相同密文,同样信息多次出现造成泄漏,对明文的主动攻击是可能的,信息块可被替换、重排、删除、重放,误差传递：密文块损坏 仅对应明文块损坏,适合于传输短信息,密码分组链接,CBC,C,i,=E,K,(C,i-1,P,i,)P,i,=,D,K,(C,i,)C,i-1,CBC,特点,没有已知的并行实现算法,能隐藏明文的模式信息,需要共同的初始化向量,IV,相同明文 不同密文,初始化向量,IV,可以用来改变第一块,定期更换,IV,对明文的主动攻击是不容易的,信息块不容易被替换、重排、删除、重放,误差传递：密文块损坏 两明文块损坏,安全性好于,ECB,适合于传输长度大于,64,位的报文,密码反馈,CFB,CFB:,分组密码 自同步流密码,S,i,为移位寄存器,j,为流单元宽度,加密,:,C,i,=,P,i,(E,K,(S,i,),的高,j,位,),S,i+1,=(,S,i,j)|C,i,解密,:P,i,=,C,i,(E,K,(S,i,),的高,j,位,),S,i+1,=(,S,i,j)|C,i,CFB,加,密示意图,C,i,=,P,i,(E,K,(S,i,),的高,j,位,);S,i+1,=(,S,i,j)|C,i,CFB,解密示意图,P,i,=,C,i,(E,K,(S,i,),的高,j,位,);S,i+1,=(,S,i,j)|C,i,CFB,特点,分组密码 自同步流密码,没有已知的并行实现算法,优点：隐藏了明文模式,缺点：,误差传递，一个单元损坏影响多个单元,对于不同的消息，,IV,必须唯一，因此需要共同的移位寄存器初始值,IV,，并且,IV,要和密钥同时进行更换,输出反馈,OFB,OFB:,分组密码 同步流密码,S,i,为移位寄存器,j,为流单元宽度,加密,:,C,i,=,P,i,(E,K,(S,i,),的高,j,位,),S,i+1,=(,S,i,j)|(E,K,(S,i,),的高,j,位,),解密,:P,i,=,C,i,(E,K,(S,i,),的高,j,位,),S,i+1,=(,S,i,j)|(E,K,(S,i,),的高,j,位,),OFB,加密示意图,C,i,=,P,i,(E,K,(S,i,),的高,j,位,);S,i+1,=(,S,i,j)|(E,K,(S,i,),的高,j,位,),P,i,=,C,i,(E,K,(S,i,),的高,j,位,);S,i+1,=(,S,i,j)|(E,K,(S,i,),的高,j,位,),OFB,解密示意图,OFB,特点,OFB:,分组密码 同步流密码,没有已知的并行实现算法,优点：,隐藏了明文模式,没有误差传递：一个单元损坏只影响对应单元,缺点：,不具有自同步能力，要求系统要保持严格的同步,重新同步时需要新的,IV,，,IV,可以用明文形式传送,对明文的主动攻击是可能的,信息块可被替换、重排、删除、重放,安全性较,CFB,差,计数器模式,(Counter Mode),Diffie,等人在,1979,年提出,将一个计数器输入到寄存器中。每一个分组完成加密后，计数器都要增加某个常数，典型值是,1,。,该模式的同步和错误扩散特性同,OFB,模式完全一样。,可直接生成第,i,个密钥比特,ki,；保密随机访问数据文件时是非常有用,内部状态,输出函数（分组密码,算法，选最低位输出）,下一状态函数,（计数器）,k,k,i,工作模式选用原则,ECB,模式，简单、高速，但最弱，易受重发攻击，一般不推荐；,CBC,CFB,OFB,的选择取决于实用特殊考虑；,CBC,适用于文件加密，但较,ECB,慢，且需要另加移存器和组的异或运算，但安全性加强。软件加密最好选用此种方式；,OFB,和,CFB,较,CBC,慢许多，每次迭代只有少数,bit,完成加密。若可以容忍少量错误扩展，可选,CFB,。否则，可选,OFB;,在字符为单元的流密码种多选,CFB,模式，如终端和主机间通信。而,OFB,用于高速同步系统，不容忍差错传播。,