c2-数据加密标准DES解读.ppt

* * 1.DES概述 1973年美国国家标准局NBS（国家标准与技术研究所NIST的前身）公开征求国家密码标准方案 1975年IBM公司首次提出方案 1977年被NIST确定为联邦信息处理标准并命名为DES 曾经是对称密码体制事实上的国际标准，上世纪被广泛应用 输入：64位明文分组、56位密钥 输出：64位密文分组 解密算法与加密算法相同 交替使用S-变换和P-变换，具有Feistel结构特点 DES的生命期 2. DES的设计准则 随机性：输出与输入之间无规律 雪崩效应：1位输入的改变平均将引起输出中32位的变化 完全性：每个输出位都是所有输入位的函数 非线性性：加密函数相对于密钥都是非线性的 相关免疫性：输出不会与输入位的子集相关 3. DES加密原理 总体上经历3个阶段： 初始置换→16轮乘积变换→逆初始变换 加密算法流程图： 64位明文 初始置换IP 逆置换IP-1 第1轮迭代 左右32位交换 64位密文 置换选择2 64(56)位种子密钥 K1 循环左移 置换选择1 第2轮迭代 置换选择2 K2 循环左移 第16轮迭代 置换选择2 K16 循环左移 加密 48位子密钥 DES加密算法流程图 初始置换IP、逆初始置换IP-1 IP将64位明文作乱序处理、IP-1与IP互逆 IP IP-1 轮函数的实现细节 一轮迭代变换公式 Li = Ri-1 ; Ri = Li-1⊕ F(Ri-1,Ki) (i=1,2,…,16) 轮函数F(Ri-1,Ki)的实现流程 置换P 选择压缩运算S 32位F(Ri-1,Ki) 选择扩展运算E 32位 ⊕ 48位 48位 48位子密钥Ki 32位Ri-1 选择扩展运算E 输入：32位；输出：48位 置换P 输入：32位；输出：32位 选择压缩运算S 输入：48位；输出：32位 分成8组，每组6位经1个S盒选4位 S1盒的定义 将6位输入码第1、6位的十进制数作为行标i (0~3) 将6位输入码的中间4位的十进制数作为列标j (0~15) 从S盒定义中即可得到对应的4位输出码 S盒变换的细节 置换选择PC-1 循环左移LS1 循环左移LS1 置换选择PC-2 64位种子密钥 C0（28位） D0（28位） C1（28位） D1（28位） K1 循环左移LS16 循环左移LS16 置换选择PC-2 C16（28位） D16（28位） K16 循环左移LS2 循环左移LS2 48位子密钥 48位子密钥 56位 密钥的产生 PC-1 输入：64位 输出：56位，分成左、右28位 64位 PC-2 输入：56位 输出：48位 循环移位的位数： LSi= 循环移位1次 （当i=1,2,9,16） 循环移位2次 （当i= 其余） DES算法的安全强度 密钥长度能否抵御各种攻击？①穷举攻击：255次尝试②差分密码分析： 247次尝试③线性密码分析： 243次尝试 S盒设计是必威体育官网网址的，有否陷门？ 密钥过短，1998年被成功破译 软件实现较慢 DES的安全性不断受到威胁 1993年Session和Wiener提出详细的密钥有哪些信誉好的足球投注网站方案：用价值一百万美元的系统平均一天半就能找到DES密钥 1997年1月28日美国RSA数据安全公司悬赏1万美元破译DES密钥，美科罗拉多州程序员Verser用了96天，在数万名网上志愿者的协同下，于6月17日成功找到密钥，赢得了赏金 1998年7月电子前沿基金会（EFF）用一台25美元的电脑在56小时内破译了DES的密钥 1999年1月EFF用22小时15分破译了DES密钥 DES的变形 双重DES 首次加密：首次密文X=EK1(P) ; 二次加密：最终密文C=EK2(X)= EK2(EK1(P) ) 首次解密：X= DK2(C)) ; 二次解密：P=DK1(X)= DK1(DK2(C)) 中途攻击 已知明、密文对(P,C） 用穷举法找满足EK1(P)= DK2 (C)的密钥K1、K2 具体方法如下： 用所有可能的256个密钥（K1）对P进行加密，得到256个值，形成一张表；再用256个密钥（K2）对C进行解密，又得到256个值，也形成一张表；两表比较后如果发现有相同值，则可认定相应的密钥就是K1、K2 可见安全强度等价于单重DES，故一般不用 三重DES (Triple-DES、3DES) 双密钥3DES之EEE2模式 加密：C= EK1(EK2(EK1(P) ) ) 解密：P= DK1(DK2(DK1(C) ) ) 双密钥3DES之EDE2模式 加密：C= EK1(DK2(EK1(P) ) ) 解密：P= DK1(EK2(DK1(C) ) ) 三密钥3DES之EEE3模式 加密：C= EK3(EK2(EK1(