第7-8次课-分组密码体制(1).ppt

*解释：双射函数*如果分组长度太小，如n=4，系统则等价于古典的代换密码，容易通过对明文的统计分析而被攻破。这个弱点不是代换结构固有的，只是因为分组长度太小。如果分组长度n足够大，而且从明文到密文可有任意可逆的代换，那么明文的统计特性将被隐藏而使以上的攻击不能奏效。然而，从实现的角度来看，分组长度很大的可逆代换结构是不实际的。仍以表3.1为例，该表定义了n=4时从明文到密文的一个可逆映射，其中第2列是每个明文分组对应的密文分组的值，可用来定义这个可逆映射。因此从本质上来说，第2列是从所有可能映射中决定某一特定映射的密钥。这个例子中，密钥需要64比特。一般地，对n比特的代换结构，密钥的大小是n×2n比特。如对64比特的分组，密钥大小应是64×264=270≈1021比特，因此难以处理。*乘积密码：顺序的执行两个或多个基本密码系统，使得最后结果的密码强度高于每个基本密码系统产生的结果。*①分组大小分组越大则安全性越高，但加密速度就越慢。分组密码设计中最为普遍使用的分组大小是64比特。②密钥大小密钥越长则安全性越高，但加密速度就越慢。现在普遍认为64比特或更短的密钥长度是不安全的，通常使用128比特的密钥长度。③轮数单轮结构远不足以保证安全性，但多轮结构可提供足够的安全性。典型地，轮数取为16。④子密钥产生算法该算法的复杂性越大，则密码分析的困难性就越大。⑤轮函数轮函数的复杂性越大，密码分析的困难性也越大。*①快速的软件实现在很多情况中，算法是被镶嵌在应用程序中，因而无法用硬件实现。此时算法的执行速度是考虑的关键。②算法容易分析如果算法能被无疑义地解释清楚，就可容易地分析算法抵抗攻击的能力，有助于设计高强度的算法。华北电力大学**分组密码体制一、分组密码概述二、DES三、分组密码运行模式四、IDEA五、AES六、分组密码的分析**一、分组密码概述代换扩散和混淆Feistel密码结构**分组密码（blockcipher)将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。流密码（streamcipher)又称序列密码。序列密码每次加密一位或一字节的明文。明文处理方式**分组密码概述分组密码是许多系统安全的一个重要组成部分。可用于构造拟随机数生成器流密码消息认证码(MAC)和杂凑函数(散列函数、hash函数）消息认证技术、数据完整性机构、实体认证协议以及单钥数字签字体制的核心组成部分。**应用中对于分组码的要求安全性运行速度存储量(程序的长度、数据分组长度、高速缓存大小)实现平台(硬、软件、芯片)运行模式适当折中**定义1分组密码就是将明文数据按固定长度进行分组，然后在同一密钥控制下逐组进行加密，从而将各个明文分组变换成一个等长的密文分组的密码。其中二进制明文分组的长度称为该分组密码的分组规模.m1m2m3mnc1c2c3cn分组密码概述**

分组密码概述通常取m（mi的长度）=n（ci的长度）。若nm，则为有数据扩展的分组密码。若nm，则为有数据压缩的分组密码。**(1)必须实现起来比较简单,知道密钥时加密和脱密都十分容易,适合硬件和(或)软件实现.(2)加脱密速度和所消耗的资源和成本较低,能满足具体应用范围的需要.例:对高速通信数据的加密----硬件实现;嵌入到系统软件的加密程序----软件实现;智能卡内数据的加密----低成本实现实现原则:**分组密码算法应满足的要求分组长度n要足够大：防止明文穷举攻击法奏效。密钥量要足够大：尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。由密钥确定置换的算法要足够复杂：充分实现明文与密钥的扩散和混淆，没有简单的关系可循，要能抗击各种已知的攻击，如差分攻击和线性攻击；有高的非线性阶数，实现复杂的密码变换；使对手破译时除了用穷举法外，无其它捷径可循。主要讨论二元情况**分组密码算法应满足的要求加密和解密运算简单：易于软件和硬件高速实现。数据扩展：一般无数据扩展，在采用同态置换和随机化加密技术时可引入数据扩展。差错传播尽可能地小。**安全性设计原则1.混乱原则(又称混淆原则)(Confusion)混乱原则就是将密文、明