1 / 60

第 3 章 对称密码体制

第 3 章 对称密码体制. 主要内容. 分组密码 数据加密标准 DES 高级加密标准 AES 序列密码 其他对称加密算法. 概述. 对称密码体制就是在加密和解密是用到的密钥相同,或者加密密钥和解密密钥之间存在着确定的转换关系。 对称密码体制又有两种不同的实现方式,即分组密码和序列密码(或称流密码)。. 流密码与分组密码. 流密码 每次加密数据流中的一位或一个字节。 分组密码 ,就是先把明文划分为许多分组,每个明文分组被当作一个整体来产生一个等长(通常)的密文分组。通常使用的是 64 位或 128 位分组大小。

jerrod
Télécharger la présentation

第 3 章 对称密码体制

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第3章 对称密码体制

  2. 主要内容 • 分组密码 • 数据加密标准DES • 高级加密标准AES • 序列密码 • 其他对称加密算法

  3. 概述 • 对称密码体制就是在加密和解密是用到的密钥相同,或者加密密钥和解密密钥之间存在着确定的转换关系。 • 对称密码体制又有两种不同的实现方式,即分组密码和序列密码(或称流密码)。

  4. 流密码与分组密码 • 流密码每次加密数据流中的一位或一个字节。 • 分组密码,就是先把明文划分为许多分组,每个明文分组被当作一个整体来产生一个等长(通常)的密文分组。通常使用的是64位或128位分组大小。 • 分组密码的实质,是设计一种算法,能在密钥控制下,把n比特明文简单而又迅速地置换成唯一n比特密文,并且这种变换是可逆的(解密)。

  5. 分组密码 • 分组密码算法实际上就是在密钥的控制下,简单而迅速地找到一个置换,用来对明文分组进行加密变换,一般情况下对密码算法的要求是: • 分组长度m足够大(64~128比特) • 密钥空间足够大(密钥长度64~128比特) • 密码变换必须足够复杂(包括子密钥产生算法)

  6. 分组密码的设计思想 • 扩散(diffusion) • 将明文及密钥的影响尽可能迅速地散布到较多个输出的密文中。产生扩散的最简单方法是通过“置换(Permutation)”(比如:重新排列字符)。 • 混淆(confusion) • 其目的在于使作用于明文的密钥和密文之间的关系复杂化,是明文和密文之间、密文和密钥之间的统计相关特性极小化,从而使统计分析攻击不能奏效。通常的方法是“代换(Substitution)”(回忆恺撒密码)。

  7. DES(Data Encryption Standard) • 美国国家标准局NBS于1973年5月发出通告,公开征求一种标准算法用于对计算机数据在传输和存储期间实现加密保护的密码算法。 • 1975 年美国国家标准局接受了美国国际商业机器公司IBM 推荐的一种密码算法并向全国公布,征求对采用该算法作为美国信息加密标准的意见。 • 经过两年的激烈争论,美国国家标准局于1977年7月正式采用该算法作为美国数据加密标准。1980年12月美国国家标准协会正式采用这个算法作为美国的商用加密算法。

  8. DES的实质 • DES是一种对称密码体制,它所使用的加密和解密密钥是相同的,是一种典型的按分组方式工作的密码。其基本思想是将二进制序列的明文分成每64bit一组,用长为64bit(56bit)的密钥对其进行16轮代换和置换加密,最后形成密文。

  9. DES的基本加密流程 • 加密前,先将明文分成64bit的分组,然后将64bit二进制码输入到密码器中,密码器对输入的64位码首先进行初始置换,然后在64bit主密钥产生的16个子密钥控制下进行16 轮乘积变换,接着再进行末置换就得到64位已加密的密文。

  10. DES 算法的一般描述

  11. 0.子密钥产生器 密钥(64bit) 除去第8,16,… ,64位,共8个校验位 置换选择1(PC-1) Ci(28bit) Di(28bit) 循环左移ti+1位 循环左移ti+1位 置换选择2(PC-2) Ki(48bit)

  12. 置换选择1

  13. 移位次数表 若 C1= c1c2…c28,D1= d1d2…d28 则 C2= c2c3…c28 c1, D2= d2d3…d28 d1。

  14. 置换选择2 • 置换选择PC-2将C中第9 18 22 25位和 D 中第7 9 15 26位删去,并将其余数字置换位置后送出48bit数字作为第i次迭代时所用的子密钥ki Ci Di= b1b2…b56 ,则ki= b14 b17 b11 b24…b36 b29 b32

  15. 1.初始置换 • 将64个明文比特的位置进行置换,得到一个乱序的64bit明文组,然后分成左右两段,每段为32bit 以L和R表示。

  16. Li-1(32比特) Ri-1(32比特) 2.乘积变换 选择扩展运算E 48比特寄存器 子密钥Ki(48比特) 48比特寄存器 选择压缩运算S 32比特寄存器 置换运算P Li(32比特) Ri(32比特) Li=Ri-1 Ri=Li-1 F(Ri-1,Ki)

  17. 1,2,…… ……32 E的输入(32bit) 32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 选择扩展运算结果(48bit) 1,2,…… ……48 选择扩展运算E • 对原第 32 1 4 5 8 9 12 13 16 17 20 21 24 25 28 29 各位重复一次得到数据扩展。

  18. 选择压缩运算S • 将前面送来的48bit 数据自左至右分成8组,每组6bit。然后并行送入8个S盒,每个S盒为一非线性代换网络,有4个输出。

  19. S盒的内部结构

  20. S盒的内部计算 • 若输入为b1b2b3b4b5b6其中b1b6两位二进制数表达了0至3之间的数。b2b3b4b5为四位二进制数,表达0至15之间的某个数。 • 在S1表中的b1b6行b2b3b4b5列找到一数m(0≤m≤15),若用二进制表示为m1m2m3m4,则m1m2m3m4便是它的4bit输出。 • 例如,输入为001111,b1b6=01=1,b2b3b4b5 =0111=7,即在S1盒中的第1行第7列求得数1,所以它的4bit输出为0001。

  21. 关于S盒 • S 盒是DES的核心,也是DES算法最敏感的部分,其设计原理至今仍讳莫如深,显得非常神秘。所有的替换都是固定的,但是又没有明显的理由说明为什么要这样,有许多密码学家担心美国国家安全局设计S盒时隐藏了某些陷门,使得只有他们才可以破译算法,但研究中并没有找到弱点。

  22. 置换运算P • 对S1至S8盒输出的32bit 数据进行坐标变换 • 置换P输出的32bit数据与左边32bit即Ri-1诸位模2相加所得到的32bit作为下一轮迭代用的右边的数字段,并将Ri-1并行送到左边的寄存器作为下一轮迭代用的左边的数字段。

  23. 1,2,…… ……64 置换码组(64bit) 40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 密文(64bit) 1,2,…… ……64 3.逆初始置换IP-1 • 将16轮迭代后给出的64bit组进行置换得到输出的密文组

  24. DES的解密 • 解密算法与加密算法相同,只是子密钥的使用次序相反。

  25. DES的安全性 • DES在20多年的应用实践中,没有发现严重的安全缺陷,在世界范围内得到了广泛的应用,为确保信息安全做出了不可磨灭的贡献。 • 存在的安全弱点: • 密钥较短:56位密钥空间约为7.2*1016。1997年6月Rocke Verser小组通过因特网利用数万台微机历时4个月破译了DES;1998年7月,EFF用一台25万美元的机器,历时56小时破译DES。 • 存在弱密钥:有的密钥产生的16个子密钥中有重复者。 • 互补对称性:C=DES(M,K),则C’=DES(M’,K’),其中,M’,C’,K’是M,C,K的非。

  26. DES具有良好的雪崩效应 • 雪崩效应:明文或密钥的微小改变将对密文产生很大的影响。特别地,明文或密钥的某一位发生变化,会导致密文的很多位发生变化。 • DES显示了很强的雪崩效应 • 两条仅有一位不同的明文,使用相同的密钥,仅经过3轮迭代,所得两段准密文就有21位不同。 • 一条明文,使用两个仅一位不同的密钥加密,经过数轮变换之后,有半数的位都不相同。

  27. 多重DES • DES在穷举攻击下相对比较脆弱,因此需要用某种算法来替代它,有两种解决方法: • 设计全新的算法; • 用DES进行多次加密,且使用多个密钥,即多重DES。这种方法能够保护用于DES加密的已有软件和硬件继续使用。

  28. 二重DES(Double DES) • 给定明文P和两个加秘密钥k1和k2,采用DES对P进行加密E,有 密文 C=EK2(EK1(P)) 对C进行解密D,有 明文 P=DK1(DK2(C)) K2 K1 K1 K2 X X P C P E E C D D 加密图 解密图

  29. K2 K1 X P C 加密 E E K2 K1 X C D D P 解密 • 二重DES很难抵挡住中间相遇攻击法(Meet-in-the-Middle Attack) C=EK2(EK1(P)) 从图中可见 X=EK1(P)=DK2(C)

  30. 若给出一个已知的明密文对(P,C)做:对256个所有密钥K1做对明文P的加密,得到一张密钥对应于密文X的一张表;类似地对256个所有可能的密钥K2做对密文C的解密,得到相应的“明文”X。做成一张X与K2的对应表。比较两个表就会得到真正使用的密钥对K1,K2。若给出一个已知的明密文对(P,C)做:对256个所有密钥K1做对明文P的加密,得到一张密钥对应于密文X的一张表;类似地对256个所有可能的密钥K2做对密文C的解密,得到相应的“明文”X。做成一张X与K2的对应表。比较两个表就会得到真正使用的密钥对K1,K2。

  31. 带有双密钥的三重DES(Triple DES with Two Keys) • Tuchman给出双密钥的EDE模式(加密-解密-加密): C=EK1(DK2(EK1(P))) ……对P加密 P=DK1(EK2(DK1(C))) ……对C解密 这种替代DES的加密较为流行并且已被采纳用于密钥管理标准(The Key Manager Standards ANSX9.17和ISO8732).

  32. K2 K1 K1 A B P C E D E 加密图 K2 K1 K1 B A P C D E D 解密图

  33. 到目前为止,还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索,那么由于空间太大为2112=5×1033,这实际上是不可行的。到目前为止,还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索,那么由于空间太大为2112=5×1033,这实际上是不可行的。 注意: • 1*. Merkle和Hellman设法创造一个条件,想把中间相遇攻击(meet-in-the-middle attack)的方法用于三重DES,但目前也不太成功。 • 2*. 虽然对上述带双密钥的三重DES到目前为止还没有好的实际攻击办法,但人们还是放心不下,又建议使用三密钥的三重DES,此时密钥总长为168bits. C=EK3(DK2(EK1(P)))

  34. 高级加密标准AES • 1997年1月,美国国家标准局NIST向全世界密码学界发出征集21世纪高级加密标准(AES——Advanced Encryption Standard)算法的公告,并成立了AES标准工作研究室,1997年4月15日的例会制定了对AES的评估标准。

  35. AES的要求 (1)AES是公开的; (2)AES为单钥体制分组密码; (3)AES的密钥长度可变,可按需要增大; (4)AES适于用软件和硬件实现; (5)AES可以自由地使用,或按符合美国国家标准(ANST)策略的条件使用;

  36. 算法衡量条件 • 满足以上要求的AES算法,需按下述条件判断优劣 • a. 安全性 • b. 计算效率 • c. 内存要求 • d. 使用简便性 • e. 灵活性。

  37. AES的评审 • 1998年4月15日全面征集AES算法的工作结束。1998年8月20日举行了首届AES讨论会,对涉及14个国家的密码学家所提出的候选AES算法进行了评估和测试,初选并公布了15个被选方案,供大家公开讨论。 CAST-256, RC-6, CRYPTON-128,DEAL-128, FROG, DFC, LOKI-97, MAGENTA, MARS, HPC, RIJNDAEL, SAFER+, SERPENT, E-2, TWOFISH。 • 这些算法设计思想新颖,技术水平先进,算法的强度都超过3-DES,实现速度快于3-DES。

  38. AES的评审 • 1999年8月9日NIST宣布第二轮筛选出的5个候选算法为: MARS(C.Burwick等,IBM), RC6TM(R. Rivest等,RSA Lab.), RIJNDEAL(J. Daemen,比), SERPENT(R. Anderson等,英、以、挪威), TWOFISH(B. Schiener)。 • 2000年10月2日,NIST宣布Rijndael作为新的AES

  39. AES加密数学基础 • 群:是一个代数系统,它由一个非空集合组成,在集合上定义了一个二元运算,其满足: • 封闭性:对任意的 , ; • 结合律:对任何的 ,有 ; • 单位元:存在一个元素 (称为单位元),对任意元素有: ; • 逆元:对任意 ,存在一个元素 (称为逆元),使得 。 • 记作:

  40. 交换群与有限群 • 若群还满足交换律,即对任何 ,有: ,则称为交换群(或加法群,阿贝尔群等)。 • 若集合G中只含有有限多个元素,则我们称 为有限群,此时,把集合G中元素的个数称为有限群的阶。

  41. 群的性质 • 群中的单位元是惟一的; • 消去律成立,即对任意的 : • 如果 ,则 • 如果 ,则 • 群中的每一元素的逆元是惟一的。

  42. • 域是一个代数系统,它由一个(至少包含两个元素的)非空集合F组成,在集合F上定义有两个二元运算:加法与乘法,并满足下面条件: • F的元素关于加法成交换群,记其单位元为“0”(称为域的零元) • F关于乘法成交换群,记其单位元为“1”(称其为域的单位元) • 乘法在加法上满足分配律,即 • 记为

  43. 有限域 • 若集合F只包含有限个元素,则称这个域F为有限域。有限域中元素的个数称为该有限域的阶。 • 若有一任意的素数P和正整数 ,存在 阶有限域,这个有限域记为 。当 n=1时,有限域 称为素域。

  44. GF(28)域上的多项式表示及运算 • 一个字节的 元素的二进制展开成的多项式系数为: • 例如, 上的“37”(为十六进制),其二进制为“00110111”,对应多项式为:

  45. GF(28)4域上的多项式表示及运算 • 一个四个字节的字(有32比特位)可以看作是域 上的多项式,每个字对应于一个次数小于4的多项式。 • 两个 域上的元素相加时,将这两个元素对应多项式系数相加即得到结果,相加时采用比特异或来实现。 • 两个 域上的元素相乘时,要将结果对一个特定的多项式取模,以使相乘后的结果还是一个4字节的向量。

  46. AES加密算法的具体实现 • AES每轮要经过四次变换,分别是 • 字节代换运算(SubByte ()) • ShiftRows()(行移位)变换 • MixColumns()(列混合)变换 • AddRoundKey() (轮密钥的混合)变换 我们用的128bit的密钥(循环次数为10),那么每次加密的分组长为128bit,16个字节,每次从明文中按顺序取出16个字节假设为a0a1a2a3a4a5a6a7a8a9a10a11a12a13a14a15,这16个字节在 进行变换前先放到一个4×4的矩阵中。如下页图所示:

  47. 这个矩阵称为状态 (state) 以后所有的变换都是基于这个矩阵进行的,到此,准备工作已经完成。现在按照前面的顺序进行加密变换,首先开始第一次循环的第一个变换:字节代换(SubByte ())。

  48. 字节代换(SubByte ()) 查表

  49. S12={53},则X=5, Y=3, out9=ed 字节代换-S盒变换(查表)

More Related