第五章分组密码(5.1-5.3)案例.ppt

第五章 分组密码;5.1分组密码基本概念;5.1分组密码基本概念;分组密码基本概念 ;扩散例子;分组密码的基本要求;分组密码的原理—乘积密码;乘积密码的实现—SPN网络;乘积密码的实现—SPN网络;SPN结构的性质;*;*;*;*;*;5.2 数据加密标准DES;*;*;*;*;*;5.2.1 DES加密算法概述;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;*;;*;*;*;*;*;*;;*;*;*;;;2DES;三重DES加密;三重DES加密;;;;;*;高级加密标准AES;AES的评估准则;AES的设计者;RIJNDAEL的数学基础;群.环.域;环;域;Galois 域;*;*;举例;*;*;*;*;*;*;*;*;*;*;*;*;*;AES的分组;1. 字节代替（ByteSub）;*;*;;*;*;*;子密钥生成算法;密钥扩展;T函数;;;*;*;*;AES的等价解密;等价的解密过程;例子;等价操作;*;;国际数据加密标准IDEA;;来学嘉;IDEA的三种基本操作;;;IDEA加密;IDEA轮函数;在每一轮中，执行的过程如下;IDEA最终输出变换;IDEA算法的解密;IDEA密钥生成;*;SMS4密码算法;SMS4密码算法结构;SMS4的算法描述;;轮函数F(以第一轮为例);;;S盒;;SMS4密钥扩展算法;;;;;5.6 分组密码工作模式;什么是分组密码工作模式?;工作模式的分类;;加密模式;;密码分组链接模式(CBC);;;密码反馈模式(CFB);;;;输出反馈模式(OFB);;;;计数器模式(CTR);;CTR模式的加密/解密;;模式的比较和选用;;分组密码的分析方法;差分分析;Prof. Eli Biham;Adi Shamir;;;差分分析;差分分析;例子; 0000 0001 0010 0011 0100 0101 0110 0111 注意！16个可能输出异或中，仅有8种出现。它们的分布是不均匀的 一般说来，对固定的一个S盒Sj说来，给一个输入异或Bj’, 那么平均出现75%-80%的相异输出异或 为描述这类分布如何产生的，先表述一些进一步的概念;差分分析;差分分析;差分分析;差分分析;例子2：假设E1=000001，E1*=110101和C1? =1101，因为N1(110100，1101)=8，可知集合Test1(000001，110101，1101)中，刚好有8个比特串： IN1(110100，1101)={000110，010000，010110， 11100，100010，100100，101000，110010} 分别计算它们与E1=000001的异或得： Test1(000001,110101,1101)={000111,010001,0101111,011101,100011,100101,101001,110011}如果有两个这样的三元组E1，E1*，C1? ，那么就可得到J1中密钥比特可能值的第2个集合Test1(2)(E1,E1*,C1?)。易见密钥比特Jj∈Test1∩Test1 (2) !! 自然这样的三元组如果更多些，定出Jj是肯定的。关于这方面的计算，可想出若干技巧。;明文P(64bits);输入32比特;我们对3轮作选择明文攻击。用明文对和相应的密文对开始我们的分析：明文对为：L0R0; L0*R0*密文对为：L3R3; L3*R3*。有表达式： R3=L2 ?f(R2,K3)=R1 ?f(R2,K3)=L0 ?f(R0,K1) ?f(R2,K3) R3*可用类似的方法得到： R3*=L0* ?f(R0*,K1) ?f(R2*,K3), 于是有： R3′=L0′ ?f(R1,K1) ?f(R0*,K1) ?f(R2,K3) ?f(R2*,K3)  假设选择了明文，使R0=R0*,此时R0′=00…0且f(R0,K)=f(R0*,K)，所以 R3′=L0′ ?f(R2,K3) ?f(R2*,K3)由于R3′可从两个密文R3,R3*计算出，可知R3′和L0′已知。有: F(R2,K3) ?f(R2*,K3)=R3′ ?L0′;知f(R2,K3)=P(C) 和f(R2*,K3)=P(C*),其中C和C*分别表示8个S盒的两个输出。而P是固定的，为公开已知的置换，因此 P(C) ?=P(C*)=R3′ ?L0′,由此可知 C′=C ?C*=P-1(R3′ ?L0′)….为3轮中8个S盒的两个输出异或。 另外，R2=L3和R2*=L3*是已知的(它们是密文的一部分)，因此，可用公