第7 8讲分组密码ppt课件.pptVIP

第四章 分组密码 王 滨 2005年3月14日 明文处理方式 分组密码（block cipher) 将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。 流密码（stream cipher) 又称序列密码。序列密码每次加密一位或一字节的明文。 背景 发明人：美国IBM公司 W. Tuchman 和 C. Meyer 1971-1972年研制成功 基础：1967年美国Horst Feistel提出的理论 产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告， 公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳 了IBM的LUCIFER方案 标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标 准局颁布为数据加密标准（Data Encryption Standard），于 1977年7月15日生效 背景 美国国家安全局（NSA, National Security Agency)参与了美国国家标准局制定数据加密标准的过程。NBS接受了NSA的某些建议，对算法做了修改，并将密钥长度从LUCIFER方案中的128位压缩到56位 1979年，美国银行协会批准使用DES 1980年，DES成为美国标准化协会(ANSI)标准 1984年2月，ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作 置 换 定义4.1 ：设S是一个有限集合， φ是从S到S的一 个映射。如果对任意的u，v，当u≠v 时，φ(u) ≠φ(v),则称φ是S上的一 个置换。 IP和IP-1 注意 无论f函数如何选取，DES的圈函数是一个对合变换。 ① E盒扩展 扩展变换的作用是将输入的32比特数据扩展为48比特数据 压缩替代S-盒－48位压缩到32位 S-盒的构造要求 S-盒是算法的唯一非线性部件,因此,它的密码强度决定了整个算法的安全强度 提供了密码算法所必须的混乱作用 非线性度、差分均匀性、严格雪崩准则、可逆性、没有陷门 DES的加密和脱密变换 加密： y=IP-1。fek16 。 D 。 … 。 D 。 fek2 。 D 。 fek1 。 IP(x) 脱密 x=IP-1。fdk16 。 D 。 … 。 D 。 fdk2 。 D 。 fdk1 。 IP(y) 注意 (1)加密密钥eki和脱密密钥dki的关系： dki=ek(16-i) (2)最后一圈若添加交换则无法正常脱密： y=IP-。D 。fek16 。 D 。 … 。 D 。 fek2 。 D 。 fek1 。 IP(x) x=IP-。fdk16 。 D 。 … 。 D 。 fdk2 。 D 。 fdk1 。 D 。 IP(y) DES的安全性 F函数(S-Box)设计原理未知 密钥长度的争论 DES的破译 弱密钥与半弱密钥 DES密钥长度 关于DES算法的另一个最有争议的问题就是担心实际56比特的密钥长度不足以抵御穷举式攻击，因为密钥量只有 个 早在1977年，Diffie和Hellman已建议制造一个每秒能测试100万个密钥的VLSI芯片。每秒测试100万个密钥的机器大约需要一天就可以有哪些信誉好的足球投注网站整个密钥空间。他们估计制造这样的机器大约需要2000万美元 DES密钥长度 在CRYPTO’93上，Session和Wiener给出了一个非常详细的密钥有哪些信誉好的足球投注网站机器的设计方案，这个机器基于并行运算的密钥有哪些信誉好的足球投注网站芯片，所以16次加密能同时完成。花费10万美元，平均用1.5天左右就可找到DES密钥 美国克罗拉多洲的程序员Verser从1997年2月18日起，用了96天时间，在Internet上数万名志愿者的协同工作下，成功地找到了DES的密钥，赢得了悬赏的1万美元 DES密钥长度 1998年7月电子前沿基金会（EFF）使用一台25万美圆的电脑在56小时内破译了56比特密钥的DES 1999年1月RSA数据安全会议期间，电子前沿基金会用22小时15分钟就宣告破解了一个DES的密钥 1990年，以色列密码学家Eli Biham和Adi Shamir提出了差分密码分析法，可对DES进行选择明文攻击 线性密码分析比差分密码分析更有效 弱密钥与半弱密钥 弱密钥: EK?EK = I ，DES存