密码学03－分组密码体制课件.ppt

第三章 分组密码体制 本章提要 3.1 分组密码概述 3.2 数据加密标准DES 3.3 差分密码分析和线性密码分析 3.4 分组密码的运行模式 3.5 IDEA 3.6 AES－Rijndael 3.1 分组密码概述 分组密码(Block Cipher) ： 将明文消息分组，逐组加密；对称密码算法，属于代换密码 将明文消息编码表示后的数字序列x0,x1,…,xi,…划分成长为n的组x=(x0,x1,…,xn-1) 各组（长为n的矢量）分别在密钥k=(k0,k1,…,kt-1)控制下变换成输出序列y=(y0,y1,…,ym-1)（长为m的矢量） 其加密函数E：Vn×K→Vm，Vn和Vm分别是n维和m维矢量空间，K为密钥空间，如图所示。 与流密码不同之处： (1)分组加密。在于输出的每一位数字不是只与相应时刻输入的明文数字有关，而是与一组长为n的明文数字有关。 (2)无记忆性。在相同密钥下，分组密码对长为n的输入明文组所实施的变换是等同的，所以只需研究对任一组明文数字的变换规则。这种密码实质上是字长为m的数字序列的代换密码。 算法的输入长度和输出长度 通常取m=n (用于加密) 若mn，则为有数据扩展的分组密码(用于认证) 若mn，则为有数据压缩的分组密码(用于认证) 在二元情况下，明文x和密文y均为二元数字序列 它们的每个分量xi，yj?GF(2)。 本章将主要讨论二元情况。也是当前分组密码研究的主流。 分组密码的作用 加密(适合软硬件实现) 构成其它密码功能的基本模块 1. 构造伪随机数生成器。用于产生性能良好的随机数 适合产生少量随机数 2. 构造流密码。 速度比移位寄存器慢得多，但软件实现方便 采用适当的分组链接模式(CFB或OFB)可实现 3. 消息认证和数据完整性保护 通过用于构造消息认证码(MAC)和杂凑函数等来实现 分组密码算法设计的研究发展概况 （一）古典密码学阶段 1）算法必威体育官网网址，出现了代换和置换的方法 2）产生了乘积密码的思想 指顺序地执行两个或多个基本密码系统，使最后结果的密码强度高于每个基本密码系统的强度，多轮加密(3.1.3节1段) 3）基尔霍夫准则：早在1883年荷兰密码学家A.Kerckhoffs就在其《军事密码学》中提出如下密码设计准则： a. 密码系统应该是计算安全的； b. 密钥由通信双方事先约定好，并根据一定协议进行更换； c. 密码系统应该易于使用； d. 密码系统应该精确而有效； e. 除了密钥，密码系统的所有细节都为对手所知。 还提出了一次一密的密码设计方法，直接促进了流密码研究 （二）近代密码学阶段(1949-1975)-分组密码的酝酿期 1）计算机技术的发展，开始了密码学面向商业应用的设计 2）Shannon的工作：1949年，C. E. Shannon(1916~2002 )建立了必威体育官网网址系统的通信理论，50-70年代Shannon的工作起着决定性的指导作用。对密码理论的贡献主要有两点 其一，用信息论刻划了密码学中的安全性 提出了语言冗余度和“熵”的概念，论述了破译密码需要多少信息量 定义了“计算安全”与“无条件安全”；前者与破译密码的价值有效性和时间有效性有关。后者是指无论破译者有多少密文也无法解出对应的明文，即使解出也无法验证结果的正确性(One-Time-Pad) 其二，提出了密码设计中的扩散准则和混淆准则 在一次一密无法实现的情况下，这两个准则是设计密码体制的最基本准则。Shannon的思想今天仍然是设计密码体制极其重要的指导准则 3）Smith关于Lucifer密码的设计研究 4）Feistel网络的密码结构 （三）现代密码学阶段－走向成熟 1）密码学由专门应用转向商业应用 美国数据加密标准DES(Data Encryption Standard)是最重大的标志。它和公钥密码体制的提出是现代密码学的开端和密码学发展史上两个重要里程碑。是近代密码学研究重要结晶。 2）DES加密算法的公开及其在商用数据加密中的广泛应用，激发了人们对密码学的研究兴趣，密码学进入了一个新的时期 3）现代分组密码研究的发展 早期的研究基本上是围绕DES进行的，推出了一些类似的算法，例如：LOKI，FEAL，GOST等。 20世纪90年代，对DES算法研究更加深入，特别是差分密码分析（differential cryptanalysis）和线性密码分析（linear cryptanalysis）的提出，迫使人们不得不研究新的密码结构。 IDEA密码打破了DES类密码的垄断局面 随后出现了SQUARE、SHARK、SAFER-64等采用了结构非常清晰的代替—置换（SP）网络 从理论上给出了最大差分特征概率和最佳线性逼近优势的界，证明了密码对差分密码分析和线性密码分析的安全性。 1997~2000年