04.0密码学.ppt

一、密码学概述 二、加密和解密 二、加密和解密 二、加密和解密 二、加密和解密 二、加密和解密 二、加密和解密 三、密码分析 三、密码分析 三、密码分析 四、传统密码学 四、传统密码学 四、传统密码学 四、传统密码学 四、传统密码学 四、传统密码学 四、传统密码学 四、传统密码学 四、传统密码学 五、密码体制评价 六、单表密码分析 六、单表密码分析 一、 DES算法概述 一、 DES算法概述 一、 DES算法概述 一、 DES算法概述 一、 DES算法概述 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 二、数据加密标准(DES) 混淆(confusion)：使密文与明文的统计独立性关系复杂化。使得输出是输入的非线性函数；用于掩盖明文和密文间的关系。通过代替法实现，如S盒。 散布 (diffusion)：使每位明文尽可能影响多位密文。扩展输出对输入的相关性，尽量使密文的每一位受明文中多位影响。通过置换法实现，如P盒。 单独用一种方法，容易被攻破。 DES算法的脆弱性 DES的半公开性：S盒的原理至今必威体育官网网址，所以不能算作真正的公开加密算法。 1）函数构造与作用域： 加密强度取决于函数f的复杂度 (S、P)和f的执行次数。 64位固定分组，短组模式，易造成密文重复组块 有限的函数作用域 ASCII码 0~127 子密钥只参与异或简单的运算，有可能损害变换精度。 2）迭代问题 无法证明迭代16次最好 迭代在有限的作用域中存在封闭性；迭代次数多不仅费时，还可能被一次简单的变换所代替。 DES算法的脆弱性 3）S盒中的重复因子及密钥多值问题 S盒设计中利用重复因子，导致S盒对不同输入可能产生相同输出，使加密、解密变换的密钥具有多值性。 子密钥长度48位，只影响32位输出，因此加密强度达不到256，实际只有232x16=236 S盒是精心设计的，它有利于设计者破译密码。 提高加密强度（如增加密钥长度），系统开销呈指数增长，除提高硬件、并行处理外，算法本身和软件技术无法提高加密强度。 DES算法存在的问题与挑战 多重DES及IDEA 二重DES （二个密钥，长度112位） ： 加密：C=Ek2[Ek1(P)] 解密：P=Dk1[Dk2(C)] 要防止中途攻击 三重DES（二个密钥） 加密： C=Ek1[Dk2 [Ek1(P)]] 解密： P=Dk1[Ek2 [Dk1(C)]] IDEA加密算法 1992年，瑞士的Lai和Massey 128位密钥，8轮，快速，软硬件实现。 三、托管加密标准(EES) 托管加密标准的基本特点： 加密体制具有在法律许可时进行密钥合成的功能。 该标准使用Skipjack分组密码体制。 Skipjack算法是一个32轮的分组密码，分组长度为64b，密钥长度为80b，加解密速度快，但安全性弱。 四、高级加密标准(AES) Rijindael算法特点 针对差分分析和线性分析使用宽轨迹设计策略。 是一个迭代分组密码，其分组长度和密钥长度都是可变的。为满足AES要求，限定分组长度为128b，密钥长度为128b，192b，256b，相应的迭代次数r为10，12，14。 加密过程中，需要r＋1个密钥。 分组密码运行模式 分组密码运行模式 CBC（密码分组链接）模式： Cn=Ek[Cn-1⊕Pn]；初始向量V1； 用途：传送数据分组 分组密码运行模式 CFB（密码反馈）模式：利用CFB、OFB模式，可将DES转换为流密码。流密码无需填充消息，实时运行。 Cn=Pn ⊕Sj(E(C n-1)) 分组密码运行模式 OFB（输出反馈）模式：用分组密码产生一个随机密钥流，将此密钥流和明文流进行异或可得密文流。仍然需要一个初始向量（IV） 公开密钥密码体制 公开密钥密码体制 公