第三章 分组密码与数据加密标准

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,Company Logo,*,Click to edit Master title style,密码编码学与网络安全,福州大学软件学院 林宇峰,Lin_yfyahoo,第三章 分组密码和数据加密标准,回顾上节课内容,分组加密,数据加密标准,Company Logo,矛与盾,较小的分组：,1.,密码系统等价于传统的代换密码,2.,利用统计分析法破解（轻而易举）,3.,脆弱性的来源：小，而非代换,4.,若,n,充分大，且有可逆变换，掩盖统计学特征,大规模分组,1.,密钥的确定,n=4,：,4*16=64,；,n=64,：,64*2,64,=2,70,密钥长度,：,n*2,n,，变换为,2,n,！,Company Logo,Feistel,网络,Company Logo,Feistel,解密,Company Logo,DES,加密算法,Company Logo,Key,i,(48bit),C0D0,C15D15,Company Logo,轮,One Round,Company Logo,轮函数,Round Function,Company Logo,S,盒,S-Boxes,：,1/4,两边,2,比特选择行号,中间,4,比特选择列号,Company Logo,Company Logo,强劲的分析方法,蛮力攻击,计时攻击,差分分析,线性分析,正面分析密码算法的新技术，,在很多算法上取得很好的效果,Company Logo,蛮力攻击对明文内容的要求,*问题：,如何辨别出来？,对给定的某个密文，任何一个密钥都可以解密出一个可能的明文，但是其中应该只有一个是正确的明文。,必须事先知道明文的结构，比如已经知道这是,文字文本、源程序（图像、声音、压缩的？）,如果有两个密钥，解密出来的两个明文都有意义？,可能性极小,因为密钥空间,2k,可逆映射个数,(2n)!,One time pad,就是让对手分辨不出哪个更像正确明文,Company Logo,差分分析,Differential Cryptanalysis,Biham,Shamir(S),1991,NSA,1974,攻击实例,对,8,轮,DES,，只需微机几分钟,对,16,轮,DES,，复杂度为,247,需这么多的,选择,明文，使本方法只有理论意义,Differential Cryptanalysis of the Full 16-round DES,Company Logo,差分密码分析的威力,第一种小于,255,的复杂度对,DES,进行破译的方法,要求,247,个,选择的明文，,247,的复杂度。,对,DES,的效用：,1.1974,年，,IBM,研究小组就知晓改分析方法,2.S,盒子和,P,置换的设计考虑到了这中攻击方法,对,IDEA,的影响：,PES,（,128,）的修改版,Company Logo,差分密码分析攻击,设明文,m(m,0,m,1,),每次循环产生,32bit,的新分组,m,i,则：,设明文,m,，,m,Company Logo,差分密码分析攻击策略,总体策略：,基于对整个循环的考虑,整个过程：,从给定的具体的两个明文,m,，,m,开始，跟踪每个循环之后的差值模式（利用概率等知识）以便产生一个可能的密文差值模式。,Company Logo,线性密码分析,攻击策略：找到,DES,中进行变换的线性近似。,对,DES,的攻击：,243,个,已知明文,就可以找到,DES,的密钥。,已知明文比选择密文容易得多，但是仍然只是具有理论意义！,线性密码分析的原理：,Company Logo,对于,nbit,的明文分组和密文分组，,mbit,密钥的密码：,明文分组：,p1,p2,pn,密文分组：,c1,c2,cn,密钥：,k1,k2,km,线性密码分析的目标是，找到一个如下形式的线性方程：,其中：,Company Logo,DES,其它,DES,肯定能破译,不单是,RSA challenge,DES,算法仍值得信赖,但是关键场合不要用,DES,对一般个人用户仍是安全的,RSA challenge,反而给了信心,DES,还是,AES,，或者其他,DES,模块仍广泛存在，,AES,还没有普及,如果软件实现，任何一个经过考验的算法都好,DES/3DES,、,AES,、,RC4,、,RC5,、,IDEA,、,Blowfish,Free/Open,Company Logo,分组密码的设计原则,20,世纪,70,年代早期,Feistel,和,DES,设计小组所做的工作以来，基本的设计原理并没有很大的改变。,DES,的公开的设计标准,分组密码设计的三个主要问题：,加密轮数,函数,F,密钥的使用方案,Company Logo,DES,的设计准则,S,盒子的设计准则：,非线性,每一行包括,4bit,的全排列,S,的输入变化引起输出的更多随机变化,目的：增强算法的扰乱特性,P,置换的设计准则,S,盒子的,4,个,bit,输出，尽可能分散地影响下一 个循环,目的：增强算法的扩散特性,Company Logo,Feistel,密码的强度分析,Feistel,密码的强度来自三个方面：,迭代轮数，函数,F,、密钥使用算法,迭代轮数：轮数越多抗分析能力就越强,选择的标准：使密码的分析难度大于简单的穷举 攻击的难度。（,DES,的设计,）,意义：,利用这个标准可以判别算法的强度和比较 算法优劣变得容易。,Company Logo,函数,F,的设计：设计准则（扰乱）,1.,较强的非线性,2.,良好的雪崩效应，严格的雪崩效应（,SAC,）,3.,比特独立准则（,BIC,）,S,盒子的设计准则：,非线性、,SAC,、,BIC,Company Logo,密钥的扩展算法（与,S,盒子相比,）,设计准则：,1.,密钥,/,密文的严格雪崩效应准则；,2.,比特独立的准则。,Company Logo,介绍两个使用,DES,的加密应用,电子密码本（,ECB,）,密码分组连接（,CBC,）,Company Logo,电子密码本（,ECB,）,每个明文分组用同样的密钥进行加密,每个,64,位的明文分组就有一个唯一的密文与之对应：,ECB,比较适用于少量的数据传输,DES,加密,P,i,K,C,i,Company Logo,密码分组的连接方式,克服,ECB,的缺陷：重复的明文出现重复的密文,CBC,的加密方式：,加密输入,=,当前明文分组前面密文分组,Company Logo,本章小结,分组密码原理,Feistel,密码结构,DES,（加密方法、分析方法）,分组密码的设计原理,Company Logo,