[所有分类]现代密码学与应用.ppt

2008-9-21 111  现代密码学与应用 ——分组密码 大 纲 一、分组密码概述 二、分组密码的运行模式 三、DES 四、IDEA 五、AES 参考书籍 《Handbook of Applied Cryptography》: Chapter 6 《Applied Cryptography: Protocols, algorithms, and source code in C》：Chapter 12, 13 《经典密码学与现代密码学》：第7章 上节内容回顾——分组密码的设计原则 分组密码的设计原则 DES 分组密码的工作模式 上节内容回顾——分组密码的设计原则 分组密码的设计问题在于找到一种算法，能在密钥控制下从一个足够大且足够好的置换子集中，简单而迅速地选出一个置换，用来对当前输入的明文的数字组进行加密变换。 假设明文M的分组长度为n bits 则总共有(2n)!种置换子集。 上节内容回顾——分组密码的设计原则 实现的设计原则： 软件：使用子块和简单的运算 子块长度为8、16和32 bits 基本指令:加法、乘法和移位 硬件：尽量实用规则机构 上节内容回顾——DES 分组长度为64 bits (8 bytes) 密文分组长度也是64 bits。 有8 bits奇偶校验，有效密钥长度为56 bits。 DES的解密过程与加密过程完全相同。唯一的不同是，子密钥的使用顺序完全相反。 加密： k1,k2,k3, … , k16 解密：k16, … , k3, k2, k1 算法主要包括： 16个子密钥产生器 初始置换IP 16轮迭代的乘积变换（E,B,P) 逆初始置换IP-1 上节内容回顾——DES DES动画演示 上节内容回顾——DES的安全性 互补性。 弱密钥。 密钥的长度 提交时为112 bits 成为标准时，被削减至56 bits 迭代的次数为什么刚好是16轮？ S盒设计。 DES靠S盒实现非线性变换 NSA被指责修改了S-盒的内容，可能在中间隐藏了“陷门” 上节内容回顾——分组密码的工作模式 上节内容回顾——分组密码的工作模式 上节内容回顾——分组密码的工作模式 上节内容回顾——分组密码的工作模式 三、美国数据加密标准—DES（Data Encryption Standard） 背景 DES的描述 DES的安全性 差分及线性分析 实际设计的准则 DES的各种变形 现今的安全性如何 证明：DES=DES-1 若明文分组为x，记轮变换为T,最后一轮变化后的左右部交换操作记为 则： 差分密码分析(Differential cryptanalysis) DES经历了近20年全世界性的分析和攻击，提出了各种方法，但破译难度大都停留在255量级上。 1991年Biham和Shamir公开发表了差分密码分析法 推进了对DES一类分组密码的分析工作 目前这一方法是攻击迭代密码体制的最佳方法 它对多种分组密码和Hash函数都相当有效，相继攻破了FEAL、LOKI、LUCIFER等密码。 对分组密码的研究设计也起到巨大推动作用。 差分密码分析(Differential cryptanalysis) 以这一方法攻击DES，尚需要用247个选择明文和247次加密运算。 为什么DES在强有力的差值密码分析攻击下仍能站住脚? 根据Coppersmith[1992内部报告]透露，IBM的DES研究组早在1974年就已知道这类攻击方法，因此，在设计S盒、P-置换和迭代轮数上都做了充分考虑，从而使DES能经受住这一有效破译法的攻击。 差分密码分析(Differential cryptanalysis) 差分密码分析是一种攻击迭代分组密码的选择明文统计分析破译法。 它不是直接分析密文或密钥的统计相关性，而是分析明文差分和密文差分之间的统计相关性。 差分密码分析(Differential cryptanalysis) 给定一个r轮迭代密码，对已知n长明文对X和X‘，定义明文差分为 ?X=X⊕(X’) 在密钥ki作用下，各轮迭代所产生的中间密文差分为 ?Y(i)=Y(i)⊕Y’(i)-1 0?i?r DES中初始置换IP及其逆置换IP-1是公开的、且与密钥无关，故只仅对16轮DES进行分析。 已知明文差分，经过初始置换IP后，输出差分是唯一的。（与密钥无关） 在每轮DES (1?i?16)中： 只分析8个S盒，分析各S盒中输入差分的不同对输出差分的影响。 对于某个S盒，给定一个输入差分，输出差分有多个结果。并将每个可能结果的次数填入差分分布表（16行4列）。共8个差分分布表 给定明文差分为1的明文对，其对应的密文差分可计算得到（不唯一）。（选择明文攻击，此时敌手有DES加密器，但不知道密钥