第二讲之第3章对称密码体系详解.ppt

* 现在有无取代DES? * * * * * * 16个字节，16*8=128 * 弱密钥 弱密钥 (Weak key)是指因为它的独特数 学特性能够被很容易破坏的密码密钥。 DES?只有四个弱密钥和?12?个次弱密钥， 而?IDEA?中的弱密钥数相当可观，有?2?的 ? 51?次方个。 * * * * * * * * 只是该个密码比特出现错误，不会扩散。 * * 通常是异或运算，相同的密钥流可以完成解密运算。 * * 什么是同步流密码？密钥流的每一位是前面固定数量密文位的函数。内部状态完成依赖前面n个密文位，解密密钥流发生器在收到n个密文位后自动跟加密密钥流发生器同步。 * * 为什么易于标准化和实现同步？ 工作模式可以扩展，可以具体参考DES中的工作模式。 * * Permuted Choice：置换选择 * 每个S盒子共有6位，输入共有48位数据，这样就有8个盒子。而每个盒子输出4位数据，因此8个盒子最后输出32位数据。 * 8的整数倍位是奇偶位，因此省去 * * * 分组密码加密固定长度的数据分组，而任意数量的明文加密需采用一些实际方法。 * * * * * * * * * 在穷举法攻击时，密钥的互补性可将密钥的加密测试量降低一半。 * 异或运算（ ） 整数模216加（ + ） 整数模216+1乘（ ）(IDEA的S盒） 扩散由称为MA结构的算法基本构件提供。 3、IDEA运算 MA盒子 4、IDEA每一轮 * IDEA的各轮都相同的结构，但所用的子密钥和轮输入不同。 从结构图可见，IDEA不是传统的Feistel密码结构。每轮开始时有一个变换，该变换的输入是4个子段和4个子密钥，变换中的运算是两个乘法和两个加法，输出的4个子段经过异或运算形成了两个16比特的子段作为MA结构的输入。MA结构也有两个输入的子密钥，输出是两个16比特的子段。 5、IDEA的轮结构 * 加密过程由连续的8轮迭代和一个输出变换组成，算法将64比特的明文分组分成4个16比特的子段，每轮迭代以4个16比特的子段作为输入，输出也为4个16比特的子段。最后的输出变换也产生4个16比特的子段，链接起来后形成64比特的密文分组。每轮迭代还需使用6个16比特的子密钥，最后的输出变换需使用4个16比特的子密钥，所以子密钥总数为52。 6. IDEA加密过程 * 算法框架的右半部分表示由初始的128比特密钥产生52个子密钥的子密钥产生器。 最后，变换的4个输出子段和MA结构的两个输出子段经过异或运算产生这一轮的4个输出子段。注意，由X2产生的输出子段和由X3产生的输出子段交换位置后形成Wi2和Wi3，目的在于进一步增加混淆效果，使得算法更易抵抗差分密码分析。 IDEA加密过程（续） * 在每一轮中，执行的顺序如下： 1. X1和第一个子密钥相乘。 2. X2和第二个子密钥相加。 3. X3和第三个子密钥相加。 4. X4和第四个子密钥相乘。 5. 将第1步和第3步的结果相异或。 6. 将第2步和第4步的结果相异或。 7、IDEA每一轮的加密顺序 * 7. 将第5步的结果与第五个子密钥相乘。 8. 将第6步和第7步的结果相加。 9. 将第8步的结果与第六个子密钥相乘。 10.将第7步和第9步的结果相加。 11.将第1步和第9步的结果相异或。 12.将第3步和第9步的结果相异或。 13.将第2步和第10步的结果相异或。 14.将第4步和第10步的结果相异或。 IDEA每一轮的加密顺序（续1） * 算法的第9步是一个输出变换。它的结构和每一轮开始的变换结构一样，不同之处在于输出变换的第2个和第3个输入首先交换了位置，目的在于撤销第8轮输出中两个子段的交换。还需注意，第9步仅需4个子密钥，而前面8轮中每轮需要6个子密钥。 IDEA每一轮的加密顺序（续2） 8、IDEA输出变换阶段 9、IDEA的安全性 ①穷举法攻击 IDEA的密匙空间（密匙长度）是128位，用十进制表示所有可能的密匙个数将是一个天文数字：340,282,366,920,938,463,463,374,607,431,768,211,456.? 为了试探出一个特定的密匙，平均要试探一半上面的可能性。即使你用了十亿台每秒钟能够试探十亿个密匙的计算机，所需的时间也比目前所知的宇宙的年龄要长，而即使是在当代制造每秒试探十亿个密匙的计算机还是不可能的。 ②差分密码分析 已证明IDEA算法在其8轮迭代的第4圈之后便不受差分密码分析的影响了 ③线性分析 ④弱密钥