《对称密码算法》PPT课件.ppt

信息安全概论第三讲对称密码算法,wzy,武汉大学,2,明文,明文,加密算法,解密算法,信道,C,M,M,C,攻击者,加密钥,解密钥,密钥K,Ke,Kd,安全信道,回顾1通信保密模型,3,回顾1通信保密模型,密码体制的分类按照明文的处理方法分类分组密码(blockcipher)：将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。流密码(streamcipher)：又称序列密码，每次加密一位或一字节的明文。按照密钥使用方法分类对称密码算法(symmetriccipher)：又称传统密码算法(conventionalcipher)或秘密密钥算法、单密钥算法。非对称密钥算法(asymmetriccipher)，又称公开密钥算法(public-Keycipher)或双钥密码算法。,4,回顾2密码分析,按攻击方法分类穷举攻击统计分析攻击数学分析攻击按攻击者可利用的数据资源分类唯密文攻击已知明文攻击选择明文攻击选择密文攻击,5,5,回顾3算法安全性,破译密码算法的代价数据复杂性时间复杂性空间复杂性“计算上不可行”“工程上不可行”,6,回顾3算法安全性,除“一次一密”之外，所有的加密算法都不是无条件安全的。实际可使用的密码应尽量满足：破译密码的代价超出密文信息的价值破译密码的时间超出密文信息的有效生命期计算上安全：满足上述两条标准中的任意一条即可。,7,密码学的一些结论：,公开设计原则：密码的安全只依赖于密钥的保密，不依赖于算法的保密；理论上绝对安全的密码是存在的：一次一密；理论上，任何实用的密码都是可破的；我们追求的是计算上的安全。计算上的安全：使用可利用的计算资源不能破译。,8,密码学的发展史,古代加密方法（手工阶段）古典密码（机械阶段）现代密码（计算机阶段）,9,古典密码,古典密码系统已经初步体现出近代密码系统的雏形，它比古代加密方法复杂，其变化较小。古典加密技术主要使用代替或者置换技术。古典密码使用手工或机械变换的方式实现。,10,两种基本加密技术,代换（代替、替换）技术将明文字母替换成其它字母、数字或符号的方法。置换（换位）技术保持明文的所有字母不变，只是打乱明文字母的位置和次序。,11,置换密码,将明文的字母顺序打乱，得到新的排列最简单的置换密码：栅栏技术,明文meetmeafterthetogaparty置换方法mematrhtgpryetefeteoaat密文mematrhtgpryetefeteoaat,12,置换密码,列置换以固定的宽度把明文按行写入,按列读出,THISISAMESSAGETOSHOW,明文：thisisamessagetoshow,密文：tssohaasimghseeoistw,13,古典密码,换位法思路打乱明文中各字母的顺序，使明文中的单词错乱，隐蔽其含义,14,习题,已知换位密码的换位表为：（2,7,5,3,8,4,6,1），试对明文software加密。答案：orwfetas,15,古典密码,换位法算法特点：易于手工操作，明密文都是字符串且等长算法缺陷：明文密文中的各字母出现次数是相同的，只是位置不同，密码分析员可以通过移动字母顺序进行破译经不起“已知明文攻击”,16,密码学的发展史,古代加密方法（手工阶段）古典密码（机械阶段）现代密码（计算机阶段）,17,两种基本加密技术,代换（代替、替换）技术将明文字母替换成其它字母、数字或符号的方法。置换（换位）技术保持明文的所有字母不变，只是打乱明文字母的位置和次序。,18,代换密码单字母代换,Caesar密码：公元前50年，由JuliusCaesar发明，最早用在军方。将字母表中的每个字母，用它后面的第3个字母代替。加密：c=E(3,p)=(p+3)mod26解密：p=E(3,c)=(c-3)mod26,ABCDEFGHIJKLMNOPQRSTUVWXYZ,DEFGHIJKLMNOPQRSTUVWXYZABC,字母,编码,明文：Systemmodels,密文：Vbvwhpprghov,19,代换密码单字母代换,一般的恺撒密码加密：c=E(k,p)=(p+k)mod26解密：p=E(k,c)=(c-k)mod26其中k为密钥，1k25一般的恺撒密码的破译分析已知加密和解密算法需要测试的密钥只有25个明文所用的语言是已知的，且其意义易于识别。因此：可以采用穷举攻击,20,练习,密文：PHHWPHDIWHVWKHWRJDSDVWB算法：一般的凯撒密码明文:?,meetmeafterthetogaparty,21,已知加密和解密算法需要测试的密钥只有25个明文所用的语言是已知的，且其意义易于识别。因此：可以采用穷举攻击,22,Caesar密码安全性,上面的例子说明，凯撒密码不足以对抗穷举攻击。因此是不安全的。这个例子说明一个密码体制安全至少要能够抵抗穷举密钥搜索攻击，普通的做法是将密钥空间变得足够大。但是，很大的密钥空间并不是保证密码体制安全的充分条件，下面的例子可以说明这一点。,23,古典密码的统计分析,密钥词组单表代替密码的统计分析任何自然语言都有自己的统计规律。如果密文中保留了明文的统计特征，就可用统计方法攻击密码。由于单表代替密码只使用一个密文字母表，一个明文字母固定的用一个密文字母来代替，所以密文的统计规律与明文相同。因此，单表代替密码可用统计分析攻破。,24,古典密码的统计分析,英语的统计规律每个单字母出现的频率稳定。最高频率字母E次高频率字母TAOINSHR中高频率字母DL低频率字母CUMWFGYPB最低频率字母VKJXQZ,25,英文字母统计特性,英文单字母的相对频率表,26,单字母按照出现频率的大小可以分为下面5类：(1)e：出现的频率大约为0.127(2)t,a,o,I,n,s,h,r：出现的频率大约在0.06-0.09之间(3)d,l：出现的频率约为0.04(4)c,u,m,w,f,g,y,p,b：出现的频率大约在0.015-0.028之间(5)v,k,j,x,q,z：出现的频率小于0.01,英文字母统计特性,27,古典密码的统计分析,英语的统计规律频率最高的双字母组：THHEINERANREEDONESSTENATTONTHANDOUEANGASORTIISETITARTESEHIOF,28,古典密码的统计分析,英语的统计规律频率最高的三字母组：THEINGANDHEREREENTTHAWASETHFORDHTHATSHEIONHISERSVER其中THE的频率是ING的3倍！,29,双字母和三字母组合都有现成的统计数据，常见的双字母组合和三字母组合统计表能够帮助破解密文。频率最高的30个双字母（按照频率从大到小排列）：thheineranreedonesstenattonthandoueangasortiisetitartesehiof频率最高的20个3字母（按照频率从大到小排列）：theingandherereentthanthwasethfordthhatsheioninthissthersver,英文字母统计特性,30,古典密码的统计分析,英语的统计规律英文单词以E，S，D，T为结尾的超过一半。英文单词以T，A，S，W为起始字母的约占一半。还有其它统计规律！,31,一次一密,一次一密的安全性是取决于密钥的随机性但产生大规模随机密钥是一件很困难的事情，目前还没有很好的办法来解决这个问题密钥分配也是一个难点，由于密钥不允许重复使用，因此存在大量的密钥分配问题。一次一密在实际中很少使用，主要是用于高度机密的低带宽信道,32,代数密码：,Vernam密码(1917年，AT/S-盒ShiftRow(State);/行循环左移MixColumn(State);/列混淆变换AddRoundKey(State,RoundKey);/与扩展密钥相异或,63,AES算法简介,AES算法中进行运算的单位包括：1个字节1列1行用字节数组表示的整个加密块加密块数组中，n可以是3，5，7，所代表的加密块分别表示128bit，192bit和256bit。,ai,j,AES.swf,64,数据加密标准DES多重DES高级加密标准AES分组密码的工作模式流密码和RC4对称密码的密钥分配,对称密码,65,分组密码的工作模式,分组密码算法是提供数据安全的一个基本构件分组密码是针对固定大小的分组进行加密的,例如,DES是对64比特的明文分组进行加密，AES是对128位分组操作需要保密传输的消息不一定刚好是一个分组大小为了在实际中应用分组密码，定义了五种工作模式。任何一种对称分组密码算法都可以以这些方式进行应用,66,分组密码的工作模式,分组密码的5种工作模式电码本(ECB)密文分组连接(CBC)密文反馈(CFB)输出反馈(OFB)计数器(CTR),67,电码本(ECB),电码本(ElectronicCodeBook，ECB)模式是分组密码的基本工作方式它将明文分割成独立大小的分组b，最后一组在必要时需要填充，一次处理b比特的明文，每次使用相同的密钥加密每一个分组依次独立加密，产生独立的密文组,68,电码本(ECB),加密,p1,c1,k,解密,c1,p1,k,加密,pn,cn,k,加密,cn,pn,k,(a)加密,(b)解密,69,电码本(ECB),特点优点:并行处理来加速加/解密运算;一分组发生错误不会影响到其他分组.缺点:相同的明文组将产生相同的密文组,这样会泄露明文的数据模式.ECB模式特别适合短数据(如加密密钥),70,密文分组链接(CBC),密文分组链接(CiphertextBlockChaining)将明文分成b位的一串分组，最后一组不足b位要进行填充CBC将这些分组链接在一起进行加密操作加密输入是当前明文分组和前一密文分组的异或,它们形成一条链每次加密使用相同的密钥,加密,p1,c1,k,加密,cn,k,IV,加密,c2,k,p2,pn,cn-1,解密,p1,c1,k,解密,cn,k,IV,解密,c2,k,p2,pn,cn-1,(a)加密,(b)解密,72,密文分组链接(CBC),特点能隐藏明文的模式信息，相同明文得到的密文不同使用了初始化向量IV，IV为收发双方共享，需要加以保护信息块不容易被替换、重排、删除、重放误差传递：密文块损坏导致两明文块损坏安全性高于ECB适合于传输长度大于64位的报文，可以进行用户鉴别，是大多系统的标准如SSL、IPSec,分组密码的工作模式,74,数据加密标准DES多重DES高级加密标准AES分组密码的工作模式流密码对称密码的密钥分配,对称密码,75,流密码,一次一密密码是绝对安全的密码，如果能以某种方式仿效一次一密密码，则将可以得到安全性很高的密码人们试图以流密码方式仿效一次一密密码流密码也称为序列密码，它是对明文以一位或者一个字节为单位进行操作为了使加密算法更安全,一般选取尽可能长的密钥但是长密钥的存储和分配都很困难流密码采用一个短的种子密钥来控制密钥流发生器产生出长的密钥序列，供加解密使用,76,流密码的加密过程,种子密钥k输入到密钥流发生器，产生一系列密钥流，通过与同一时刻的一个字节或者一位明文流进行异或操作产生密文流,77,密钥流产生器,流密码的安全强度完全取决于它所产生的密钥流的特性如果密钥流是无限长且为无周期的随机序列，那么流密码属于“一次一密”的密码体制满足这样条件的随机序列在现实中很难生成实际应用当中的密钥流都是由有限存储和有限复杂逻辑的电路产生的字符序列由于密钥流生成器只具有有限状态，那么它产生的序列具有周期性，不是真正的随机序列,78,数据加密标准DES多重DES高级加密标准AES分组密码的工作模式流密码对称密码的密钥分配,对称密码,79,对称密码的密钥分配,对称密码体制要求双方共享一个共同的密钥。为防止攻击者得到密钥，还必须时常更新密钥。密钥分配方法是指将密钥发给需要交换数据的双方而不让别人知道的方法。,80,对称密码的密钥分配,对于参与者A和B，密钥分配的方法有以下几种：(1)密钥由A选取，并通过物理手段交给B(2)密钥由第三方选取，并由第三方通过物理手段交给A和B(3)如果A、B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方(4)如果A和B与可信的第三方C分别有一保密通道，则C为A、B选取密钥后，分别在两个保密信道上发送给A、B。,81,前两种方法称为人工发送,不可取对于第3种方法，攻击者一旦获得一个密钥就可获取以后所有的密钥；而且用这种方法对所有用户分配初始密钥时，代价仍然很大第4种方法比较常用,其中的第三方通常是一个负责为用户分配密钥的密钥分配中心(KeyDistributionCerter,KDC)每一用户必须和密钥分配中心有一个共享密钥，称为主密钥通过主密钥分配给一对用户的密钥称为会话密钥，用于这一对用户之间的保密通信通信完成后，会话密钥即被销毁,对称密码的密钥分配,82,会话密钥的有效期,会话密钥更换得越频繁，系统的安全性就越高但会话密钥更换得太频繁,会延迟用户之间的交换,同时还造成网络负担,在决定会话密钥的有效期时，应权衡这两个方面。对于面向连接的协议，在连接未建立前或断开时，会话密钥的有效期可以很长。而每次建立连接时，都应使用新的会话密钥对于无连接协议,无法明确地决定更换密钥的频率。比较好的方案是在某一固定周期内或对一定数目的交易使用同一会话密钥。,第三讲对称密码,结束,