第三章 分组密码 3.1 分组密码概述 3.2 DES 3.3 AES 3.4 分组密码运行模式.ppt

第三章 分组密码 3.1 分组密码概述 3.2 DES 3.3 AES 3.4 分组密码运行模式 一、分组密码概述 分组密码概述 分组密码是许多系统安全的一个重要组成部分。可用于构造 伪随机数生成器 流密码 消息认证码(MAC)和杂凑函数 消息认证技术、数据完整性机构、实体认证协议以及单钥数字签字体制的核心组成部分。 应用中对于分组码的要求 安全性 运行速度 存储量(程序的长度、数据分组长度、高速缓存大小) 实现平台(硬、软件、芯片) 运行模式 分组密码概述 明文序列 x1, x2,…, xi,… 加密函数E: Vn×K?Vn 这种密码实质上是字长为m的数字序列的代换密码。 分组密码概述 通常取n=m。 若nm，则为有数据扩展的分组密码。 若nm，则为有数据压缩的分组密码。 分组密码设计问题 分组密码的设计问题在于找到一种算法，能在密钥控制下从一个足够大且足够好的置换子集中，简单而迅速地选出一个置换，用来对当前输入的明文的数字组进行加密变换。 分组密码设计准则 混淆：人们所设计的密码应使用使得密钥和明文以及密文之间的依赖关系相当复杂以至于这种依赖性对密码分析者来说是无法利用的。 扩散：人们所设计的密码应使得密钥的每一位数字影响密文的许多位数字以防止对密钥进行逐段破译，而且明文的每一位数字也应影响密文的许多位数字以便隐藏明文数字统计特性。 分组密码算法应满足的要求 分组长度n要足够大： 防止明文穷举攻击法奏效。 密钥量要足够大： 尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。 由密钥确定置换的算法要足够复杂： 充分实现明文与密钥的扩散和混淆，没有简单的关系可循，要能抗击各种已知的攻击。 分组密码算法应满足的要求 加密和解密运算简单： 易于软件和硬件高速实现。 数据扩展： 一般无数据扩展，在采用同态置换和随机化加密技术时可引入数据扩展。 差错传播尽可能地小。 分组密码的实现原则 软件实现的原则：使用子块和简单的运算。如将分组n化分为子段，每段长为8、16或32。在以软件实现时，应选用简单的运算，使作用于子段上的密码运算易于以标准处理器的基本运算，如加、乘、移位等实现，避免用以软件难于实现的逐比特置换。 硬件实现的原则：加密解密可用同样的器件来实现。 代换网络 代换是输入集A到输出A’上的双射变换： fk：A?A＇ k是控制输入变量，在密码学中则为密钥。 实现代换fk的网络称作代换网络。双射条件保证在给定k下可从密文惟一地恢复出原明文。 代换网络 代换fk的集合： S={fk?k?K} K是密钥空间。如果网络可以实现所有可能的2n!个代换，则称其为全代换网络。 全代换网络密钥个数必须满足条件： ＃{k}?2n! 代换网络 密码设计中需要先定义代换集S，而后还需定义解密变换集，即逆代换网络S-1，它以密文y作为输入矢量，其输出为恢复的明文矢量x。 要实现全代换网络并不容易。因此实用中常常利用一些简单的基本代换，通过组合实现较复杂的、元素个数较多的代换集。实用密码体制的集合S中的元素个数都远小于2n!。 代换盒(S盒) 在密码设计中，可选 n=r?n0，其中r和n0都为正整数，将设计n个变量的代换网络化为设计r个较小的子代换网络，而每个子代换网络只有n0个输入变量，称每个子代换网络为代换盒(Substitution Box) DES的S1-盒的输入和输出关系 x5 x0 x5 x4 x3 x2 x1 x0 1 0 1 0 1 1 0 0 列号 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 行