现代密码学第4章1概述.ppt

分组密码 本章主要内容 1、分组密码概述 2、数据加密标准DES算法 3、分组密码的运行模式 4、差分密码分析与线性密码分析 5、IDEA算法 6、AES算法——Rijndael 在许多密码系统中，单钥分组密码是系统安全的一个重要组成部分，用分组密码易于构造伪随机数生成器、流密码、消息认证码（MAC）和杂凑函数等，还可进而成为消息认证技术、数据完整性机制、实体认证协议以及单钥数字签字体制的核心组成部分。 1 分组密码概述 实际应用中对于分组密码可能提出多方面的要求，除了安全性外，还有运行速度、存储量（程序的长度、数据分组长度、高速缓存大小）、实现平台（硬件、软件、芯片）、运行模式等限制条件。这些都需要与安全性要求之间进行适当的折中选择。 1 分组密码概述 是一种单钥或对称算法 通信实体双方使用相同的密钥加密和解密 现代分组密码（由乘积密码构成）包括DES, Blowfish, IDEA, LOKI, RC5, Rijndael (AES) 及其它一些算法 1 分组密码概述 在分组密码中，消息被分成许多块，每块都要被加密 类似于许多字符被替换-（64-bits or more ） 许多现代分组密码具有下列形式： 1 分组密码概述 分组密码理论基础 理想的方法是使用尽可能大的替换模块，但不实际，因为对每个64bit的模块，将需要264 个实体的替换表，因此使用一些小的模块代替。 使用乘积密码的思想 这种概念由 Shannon and Feistel 提出 分组密码的设计原理 可变密钥长度 混合操作 依赖数据的循环移位 依赖于密钥的循环移位 依赖密钥的S盒子 冗长的密钥调度算法 可变的F函数和可变的明文/密文长度 可变的循环次数 在每次循环中都对两半数据进行操作 Shannons 必威体育官网网址系统理论 Claude Shannon 对现代密码的重要工作： C E Shannon, Communication Theory of Secrecy Systems, Bell System Technical Journal, Vol 28, Oct 1949, pp 656-715 C E Shannon, Prediction and Entropy of printed English, Bell System Technical Journal, Vol 30, Jan 1951, pp 50-64 在上述文章中，提出了下列概念: “熵”的概念 语言冗余度 破译密码需要多少信息量 定义了”计算安全”与”无条件安全” Shannons 必威体育官网网址系统理论 即如果通过填加一些英语字母加密英文内容，是不安全的。 因为英语有80%的冗余度，英语密文如果有60%的冗余度，就可以破解。 分组密码是将明文消息编码表示后的数字序列x0,x1,…,xi,…划分成长为n的组x=(x0,x1,…,xn-1)，各组（长为n的矢量）分别在密钥k=(k0,k1,…,kt-1)控制下变换成等长的输出数字序列y=(y0,y1,…,ym-1)（长为m的矢量），其加密函数E：Vn×K→Vm，Vn和Vm分别是n维和m维矢量空间，K为密钥空间，如图1所示。 明文序列 x1, x2,…, xi,… 加密函数E: Vn×K?Vn 这种密码实质上是字长为m的数字序列的代换密码。 它与流密码不同之处在于输出的每一位数字不是只与相应时刻输入的明文数字有关，而是与一组长为n的明文数字有关。 在相同密钥下，分组密码对长为n的输入明文组所实施的变换是等同的，所以只需研究对任一组明文数字的变换规则。这种密码实质上是字长为n的数字序列的代换密码。 通常取m=n。若mn，则为有数据扩展的分组密码；若mn，则为有数据压缩的分组密码。 在二元情况下，x和y均为二元数字序列，它们的每个分量xi，yi∈GF(2)。本节将主要讨论二元情况。设计的算法应满足下述要求： 分组密码概述 分组密码是许多系统安全的一个重要组成部分。可用于构造 拟随机数生成器 流密码 消息认证码(MAC)和杂凑函数 消息认证技术、数据完整性机构、实体认证协议以及单钥数字签字体制的核心组成部分。 应用中对于分组码的要求 安全性 运行速度 存储量(程序的长度、数据分组长度、高速缓存大小) 实现平台(硬、软件、芯片) 运行模式 分组密码设计问题 分组密码的设计问题在于找到一种算法，能在密钥控制下从一个足够大且足够好的置换子集中，简单而迅速地选出一个置换，用来对当前输入的明文的数字组进行加密变换。 ① 分组