Ch02分组密码体制试题.ppt

网络与信息安全 Ch02 分组密码体制 本次课总结 要求掌握 基本概念：分组密码、流密码、对称密码、非对称密码 分组密码模型，能画出模型 理解经典密码体制： 单表代换、多表代换、多字母代换 了解 DES,AES 分组密码的工作模式 下次课前预习 第三章 单向散列函数 什么是单身散列函数？ 作用是什么？ Any Question? 1 DES加密标准 四 数据加密标准 破解：发明人在1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。 1997年开始，RSA公司发起了一个称作“向DES挑战”的竞技赛。 1997年1月，用了96天时间，成功地破解了用DES加密的一段信息；一年之后，在第二届赛事上，这一记录41天 ；1998年7月， “第2-2届DES挑战赛（DES Challenge II-2）” 把破解DES的时间缩短到了只需56个小时； “第三届DES挑战赛（DES Challenge III）”把破解DES的时间缩短到了只需22.5小时 。 标准已不适用 2 DES算法框图 四 数据加密标准 输入64位比特明文数据 初始变换IP 初始逆变换IP-1 在密钥控制下16轮迭代 交换左右32比特 输出64位比特密文数据 3 DES的问题讨论 四 数据加密标准 DES算法中，除S盒外，所有计算都是线性的。有人质疑S盒可能存在陷门，但至今没发现。 担心实际56比特的密钥长度不足以抵抗穷举攻击，因为密钥量只有256≒1017个。事实也如此，1997年即被破解。 3 DES的问题讨论 四 数据加密标准 DES算法中，除S盒外，所有计算都是线性的。有人质疑S盒可能存在陷门，但至今没发现。 担心实际56比特的密钥长度不足以抵抗穷举攻击，因为密钥量只有256≒1017个。事实也如此，1997年即被破解。 4 DES的变形 四 数据加密标准 双重DES 已知明文P和两个密钥K1和K2，密文为C=EK2(EK1(P)),解决过程做逆运算：P=DK1(DK2(C)) 问题： 是否存在K3,使得EK2(EK1(P))=EK3(P)? 直到1992年，这个结论才被证明是不成立的。 中途攻击 已知明文、密文对（P,C）,是可能找到K1和K2的； 三重DES 为解决中途攻击而设计，密钥长度2112. 1 高级加密标准 五 高级加密标准 NIST(国家标准技术研究所)1997年9月12日发出征集高级加密标准的通知 。 1998年8月首次选出15个候选者，1999年3月遴选出5个，包括：E2、MARS、RC6、Rijndael、Twofish。 2000年10月2日，美国商务部部长宣布比利时的Rijndael算法成为新的AES。 选择的基本条件：公开；分组单钥，分组长度128；密钥可为128，192，256；可软硬件实现。 优劣标准：安全性；计算效率；内存要求；简便灵活。 此外：适应性；减少专利纠纷；分散目标减少攻击。 AES被开发用于替代DES，但NIST预测Triple DES仍将在近期作为一种实用的算法。 1 流密码概述 六 流密码简介 流密码的基本思想： 利用密钥K生成一个密钥流z=z0z1…, 密钥流由其生成器f产生：zi=f(k, σi), σi是加密器中的记忆元件在时刻i状态，是随机数，f是由密钥k和ai生成的函数。 σi独立于明文字符的流密码叫同步流密码，否则称为自同步流密码。 2 同步流密码 七 流密码简介 由于密钥流zi=f(k, σi)的产生与明文字符无关，因而密文字符yi=ezi(xi)也不依赖于此前的明文字符。 因此，同步流密码的加密器可分成密钥流生成器和加密变换器两个部分。反之，对应的解密变换为xi=dzi(yi)。 注意： 加密变换ezi可以有多种选择，只要保证可逆即可。 二元加法流密码是最受欢迎的流密码体制， yi=zi xi. 一次一密密码是加法流密码的原形，即:zi=ki,密钥用作滚动密钥流，则加法流密码就退化成一次一密密码。 3 同步流密码体制模型 七 流密码简介 滚动密钥生成器 … K Zi ezi(xi) xi 滚动密钥生成器 … K Zi ezi(yi) xi yi 安全信道 同步流密码体制模型 4 密钥流生成器 七 流密码简介 密钥流生成器可看作一个参数为k的有限状态自动机 设计密钥流生成器的基本原则： 密钥量足够大：一般密钥长度为128或256比特； 周期要足够长：一般为2128或2256; 线性复杂度：线性复杂度大于周期长度的一半，同时要有好的线性复杂度稳定性、好的线性复杂度曲线等； 良好的统计特性：如均匀的0-1分布等； 混淆和扩散：如每个密钥流比特是全部或大多数密钥比特的一个复杂变换结构； 组合函数：良好的密码学性质。 * * 本章学习目