第8讲--DES安全性(密码学).ppt

* DES的解密算法及 安全性分析 * * DES的 F 函数 1 2 3 * DES加密算法　 Li（32位） Ri（32位） Li-1（32位） Ri-1（32位） f DES的第 i 圈加密结构图 Ki * DES解密算法　 解密结构与加密结构完全相同，只不过是所使用的子密钥的顺序正好相反! 加密子密钥： 解密子密钥： * DES中的子密钥的生成 * 置换选择1： 从64比特密钥中取出56个有效比特。 置换选择2： 从56个密钥比特中取出48个作为子密钥 * 移位次数 意想不到的效果： 子密钥寄存器的内容经16次迭代后又回到原来的设置。 * DES分组密码算法小结 (3)基本参数 ●分组长度：64比特 ●密钥长度：64比特 ●有效密钥长度：56比特 ●迭代圈数：16圈 ●每圈子密钥长度：48比特 (4) 编码环节 ● 6进4出的S盒变换 ●逐位模2加变换 ●比特移位变换P盒 (1)密码模型 ● Feistel模型 (2) F函数模型 ● S----P网络 实现性能: 软件实现慢、硬件实现快；可全部用布尔电路实现 ●比特扩展变换E盒 ●比特抽取变换PC1、PC2和IP * DES算法的安全性分析 * 一、 Feistel模型分析 Li（32位） Ri（32位） Li-1（32位） Ri-1（32位） f 1. 设计容易:f 函数不要求可逆,加、解密算法结构相同； 2.强度高：如果f 函数是随机的,则连续若干圈复合形成的函数与随机置换是无法区分的. 优点: * Li（32位） Ri（32位） Li-1（32位） Ri-1（32位） f 每圈加密时输入有一半没有改变; 左右块的加密处理不能并行实施 缺点: * Feistel模型实现完全性的性能分析 定义2 如果对每个密钥k,迭代次数为m的加密变换Ek(x)的每个输入比特的变化都可能会影响到每个输出比特的变化,则称 Ek(x)是完全的. 意义: 实现了Shannon提出的扩散性原则. 扩散原则(Diffusion) 让明文中的每一位影响密文中的尽可能多的位，或者说让密文中的每一位都受到明文中的尽可能多位的影响。 因为在检验完全性时,无法对所有的密钥都来检验影响的必然性, 只好退而求其次,来分析这种可能性. * 结论: (1) Feistel模型至少需要3圈才可实现完全性. (2) 如果Feistel模型的 f 函数需要T圈迭代才能实现完全性,则Feistel模型经T+2圈迭代可实现完全性. (3) DES算法需且只需5圈即可实现完全性! * 结论: (1) Feistel模型至少需要3圈才可实现完全性,且当其f 函数具有完全性时,只需3圈即可实现完全性. 证明: 设(x,y)是Feistel模型的输入,则其第1圈至第3圈的输出依次为 如果函数f是完全的, 当不考虑变换结果的抵消时,则无论改变x或y的一个比特, 第3圈的输出的左半和右半的每个比特都可能改变,这说明此时3圈能够实现完全性. * 二、DES的S盒的设计标准 DES算法的设计者迫于公众压力公布的S盒的设计标准为 1. S盒的每一位输出都不是输入的线性或仿射函数。 3. 当固定S盒的1位输入时，S盒的每一位输出中0和1的个数尽可能平衡。 2. S盒的输入发生1比特变化，输出至少有2比特发生变化。 * 1. S盒的每一位输出都不是输入的线性或仿射函数。 仿射函数的定义 设 f是n元布尔函数,如果 则称f 是仿射函数;又若仿射函数满足f(0)=0,则 f 为线性函数. 等价定义: 设 f是n元布尔函数,则 f是仿射函数等价于存在常数c1,c2,…,cn和a使对所有x,都有 此时,如果a=0,则 f为线性函数.其中 仿射函数的缺点: (1) 输入与输出之间的代数关系太简单; (2) 输入的变化与输出的变化之间的代数关系太简单. 仿射函数的优点: 实现简单 * 线性性质是密码设计的大敌! * S盒是DES算法中唯一的非线性变换，是在DES算法起核心作用的密码变换! S盒的设计标准对于实现DES算法的完全性，对于实现混乱和扩散原则，对于确保DES算法的密码强度，具有十分重要的作用。 　　S盒实现了局部的混乱和扩散；这种局部的混乱和扩散通过E盒和P盒并