第三章-序列密码-3.5-典型序列密码算法-密码学课件.ppt

密码学第三章 序列密码3.5 典型序列密码算法第三章 序列密码 移位寄存器基础移位寄存器基础 m序列特性序列特性 序列密码编码技术序列密码编码技术 前馈函数的设计准则前馈函数的设计准则 典型序列密码算法典型序列密码算法一一 A5-1序列密码算法用于蜂窝式移动电话系统语音和数字加密。用于蜂窝式移动电话系统语音和数字加密。（一）基本用法（一）基本用法通信模式通信模式 用户用户A 用户用户B 基站基站1 1 基站基站2 2 基站基站n A5-1A5-1算法用于用户的手机到基站之间的通信算法用于用户的手机到基站之间的通信加密，通信内容到基站后先脱密变成明文，然后加密，通信内容到基站后先脱密变成明文，然后再进行基站到基站之间、以及基站到用户手机之再进行基站到基站之间、以及基站到用户手机之间的信息加密，完成通信内容在通信过程的加密间的信息加密，完成通信内容在通信过程的加密保护。保护。一一 A5-1序列密码算法1 1、应用环节、应用环节 只需考察用户只需考察用户A A到基站到基站1 1之间通信内容的加脱密，中之间通信内容的加脱密，中间消息的传送由基站到基站之间的加密完成，而接收方间消息的传送由基站到基站之间的加密完成，而接收方用户用户B B对消息的加脱密与用户对消息的加脱密与用户A A到基站到基站1 1之间的通信完全之间的通信完全类似，只不过是用户类似，只不过是用户B B先脱密消息。先脱密消息。2 2、基本密钥、基本密钥KA1基本密钥基本密钥K KA1A1：预置在：预置在SIMSIM卡中，与基站卡中，与基站1 1共享。共享。生存期：一旦植入生存期：一旦植入SIMSIM卡将不再改变。卡将不再改变。用途：用来分配用户和基站之间的会话密钥。用途：用来分配用户和基站之间的会话密钥。一一 A5-1序列密码算法4 4、明文处理、明文处理 按每帧按每帧228228比特分为若干帧后逐帧加密，每比特分为若干帧后逐帧加密，每帧处理方式相同。帧处理方式相同。发送发送114114比特比特接收接收114114比特比特每帧处理方式每帧处理方式加密后发送加密后发送接收后脱密接收后脱密一一 A5-1序列密码算法加密：加密：一次通话使用一个会话密钥，对每帧使用不同的一次通话使用一个会话密钥，对每帧使用不同的帧密钥。帧密钥。5 5、加密方式、加密方式帧会话密钥帧会话密钥：帧序号，长度为：帧序号，长度为2222比特。比特。一次通话量：一次通话量：至多至多2 22222帧数据，约帧数据，约0.8920.8923030比特比特 。帧会话密钥共产生帧会话密钥共产生228228比特乱数，实现对本帧比特乱数，实现对本帧228228比特通信数据的加脱密。比特通信数据的加脱密。明密结合方式：明密结合方式：逐位模逐位模2 2加。加。一一 A5-1序列密码算法xn-1xn-2x1x0n级左移级左移LFSR的结构框图的结构框图c0=1c1 1c2 2cn-2-2cn-1-1cn=1 移存器的左移和右移方式，除移位方式不同移存器的左移和右移方式，除移位方式不同外，其工作原理完全相同。外，其工作原理完全相同。一一 A5-1序列密码算法以移存器以移存器1 1为例的密钥参与过程：为例的密钥参与过程：初始状态：初始状态：动作动作1 1步后状态：步后状态：动作动作2 2步后状态：步后状态：动作动作1414步后状态：步后状态：动作动作1515步后状态：步后状态：动作动作6464步完成密钥参与过程。步完成密钥参与过程。一一 A5-1序列密码算法Step 3：(帧帧序序号号参参与与)三三个个LFSRLFSR都都规规则则动动作作2222次次，每每次次动动作作1 1步步。在在第第i步步动动作作时时，三三个个LFSRLFSR的的反反馈馈内内容容都都首首先先与与帧帧序序号号的的第第i比比特特模模2 2加加，并并将将模模2 2加加的的结结果果作作为为LFSRLFSR反反馈的内容；帧序号比特的序号是从最低位编到最高位。馈的内容；帧序号比特的序号是从最低位编到最高位。帧序号参与方式：帧序号参与方式：与密钥参与方式相同，不同的与密钥参与方式相同，不同的明文数据帧按顺序编号，每个编号为明文数据帧按顺序编号，每个编号为2222比特。比特。记帧序号为记帧序号为 帧密钥参与的目的帧密钥参与的目的：对不同的帧设置不同的帧会话：对不同的帧设置不同的帧会话密钥，保证对每帧以不同的起点生成乱数，尽可能避免密钥，保证对每帧以不同的起点生成乱数，尽可能避免密钥重用。密钥重用。一一 A5-1序列密码算法Step 4：三个：三个LFSRLFSR以钟控方式连续动作以钟控方式连续动作100100次，但不输出次，但不输出乱数；乱数；Step 5：三个：三个LFSRLFSR以钟控方式连续动作以钟控方式连续动作114114次，在每次动次，在每次动作后，三个作后，三个LFSRLFSR都将最高级寄存器中的值输出，这三个都将最高级寄存器中的值输出，这三个比特的模比特的模2 2和就是当前时刻输出的和就是当前时刻输出的1 1比特乱数。比特乱数。连续动作连续动作114114步，共输出步，共输出114114比特乱数，用于对用户比特乱数，用于对用户手机到基站传送的手机到基站传送的114114比特数据的加密；比特数据的加密；加密方式：加密方式：关于加密关于加密一一 A5-1序列密码算法Step 6：三个：三个LFSRLFSR以钟控方式连续动作以钟控方式连续动作100100次，但不输出次，但不输出乱数；乱数；Step 7：三个：三个LFSRLFSR以钟控方式连续动作以钟控方式连续动作114114次，在每次动次，在每次动作后，三个作后，三个LFSRLFSR都将最高级寄存器中的值输出，这三个都将最高级寄存器中的值输出，这三个比特的模比特的模2 2和就是当前时刻输出的和就是当前时刻输出的1 1比特乱数。比特乱数。连续动作连续动作114114步，共输出步，共输出114114比特乱数，这比特乱数，这114114比特比特用于对基站到用户手机传送的用于对基站到用户手机传送的114114比特数据的脱密。比特数据的脱密。关于脱密关于脱密脱密方式：脱密方式：一一 A5-1序列密码算法4 4、A5-1A5-1算法的结构框图算法的结构框图0 0 0 0 1 1走走停停走走前馈函数前馈函数一一 A5-1序列密码算法设计者：设计者：Ron Rivest设计时间：设计时间：1987年年算法公开时间：算法公开时间：1994 密钥：支持可变的密钥长度密钥：支持可变的密钥长度二二 RC4算法S盒的初始化：盒的初始化：线性填充：线性填充：S0=0；S11；S255255；密钥密钥key:40256个字节个字节 用密钥重复填充另一个用密钥重复填充另一个256字节的数组，不字节的数组，不断重复密钥直到填充到整个数组，得到：断重复密钥直到填充到整个数组，得到：K0,K1,K255 对于对于i=0到到255j=(j+SiKi)mod256交换交换Si和和Sj 二二 RC4算法（一）欧洲（一）欧洲NESSIE工程简介工程简介欧洲于欧洲于2000年年1月月1日启动了日启动了NESSIE工程，为期三工程，为期三年。年。总投资总投资：264万欧元。万欧元。主要目的主要目的：通过公开征集和评估提出一整套高效的：通过公开征集和评估提出一整套高效的密码标准密码标准。NESSIE（New European Schemes for Signatures，Integrity，and Encryption）1、背景、背景三三 序列密码标准化进程2、征集算法的要求、征集算法的要求评选准则：评选准则：长期安全，市场需要，效率以及灵活性。长期安全，市场需要，效率以及灵活性。对序列密码算法安全性的最低要求：密钥长度至少对序列密码算法安全性的最低要求：密钥长度至少256比特，内部记忆至少比特，内部记忆至少256比特比特 3、评估准则、评估准则（1）安全准则：攻击的难度至少要等同最一般的攻击）安全准则：攻击的难度至少要等同最一般的攻击。（2）实现准则：软硬件实现的效率不低于同类已有的算法。）实现准则：软硬件实现的效率不低于同类已有的算法。（3）其它准则：设计上的简单、清晰。）其它准则：设计上的简单、清晰。（4）许可要求：选中的算法将被特许为免费使用。）许可要求：选中的算法将被特许为免费使用。三三 序列密码标准化进程4、NESSIE工程进程工程进程2000年年1月月 NESSE工程第一阶段开始工程第一阶段开始2000年年9月月 算法提交截止，共提交算法提交截止，共提交39个算法个算法2001年年6月月 NESSIE进行第一次评估进行第一次评估2001年年7月月 NESSIE工程第二个阶段开始工程第二个阶段开始2001年年9月、月、10月月 分别召开两次分别召开两次NESSIE专题研讨会专题研讨会2002年年12月月 NESSIE计划最终评选计划最终评选2003年年2月月 公布公布17种推荐算法，种推荐算法，NESSIE工程结束工程结束 序列密码算法：第一阶段共选出了序列密码算法：第一阶段共选出了6个算法，第二阶个算法，第二阶段选出了段选出了3个算法，最终没有选定算法作为标准。个算法，最终没有选定算法作为标准。三三 序列密码标准化进程2、eSTREAM简介简介类型类型 1：适应软件快速执行；：适应软件快速执行；类型类型 2：在有限资源下硬件能快速执行。：在有限资源下硬件能快速执行。类型类型 1A：适应软件快速执行；自身带认证机制；：适应软件快速执行；自身带认证机制；类型类型 2A：在有限资源下硬件能快速执行；带认证机制。：在有限资源下硬件能快速执行；带认证机制。（2）提交算法的类型）提交算法的类型（1）提交算法的要求）提交算法的要求输入：消息流；密钥；初始值输入：消息流；密钥；初始值(IV);辅助数据辅助数据(AD)。输出：密文输出：密文;认证码（认证码（AU）。）。三三 序列密码标准化进程（3）提交算法的数据要求）提交算法的数据要求类型类型 1：128-bit的密钥，至少的密钥，至少64或或128bit的的IV；类型类型 2：80-bit的密钥，至少的密钥，至少32或或64bit的的IV；类型类型 1A：128-bit的密钥，至少的密钥，至少64或或128bit的的IV；至少；至少32,64,96或或128-bit的认证码；的认证码；类型类型 2 A：80-bit的密钥，至少的密钥，至少32或或64bit的的IV；至少；至少32或或64bit的认证码。的认证码。三三 序列密码标准化进程 第二阶段（第二阶段（2006年年8月至月至2007年年3月月）评选结果：）评选结果：三三 序列密码标准化进程第三阶段（第三阶段（2007年年4月至月至2008年年4月月）评选结果：）评选结果：Profile 1(SW)Profile 2(HW)HC-128RabbitSalsa20/12SOSEMANUKF-FCSR-H v2Grain v1MICKEY v2Trivium2008年年9月，修订后的结果：删去月，修订后的结果：删去F-FCSR-H v2算法。算法。三三 序列密码标准化进程