对称密码学及其应用 第3章 分组密码简介与设计准则.ppt

《对称密码学及其应用 第3章 分组密码简介与设计准则.ppt》由会员分享，可在线阅读，更多相关《对称密码学及其应用 第3章 分组密码简介与设计准则.ppt（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、对称密码学及其应用对称密码学及其应用1第三章第三章 分组密码简介与设计准则分组密码简介与设计准则 n分组密码概述分组密码概述 n分组密码的一般设计原理分组密码的一般设计原理 n分组密码的整体结构分组密码的整体结构 nS-盒的设计准则及其构造盒的设计准则及其构造 nP置换的设计准则及构造方法置换的设计准则及构造方法n轮函数的设计准则及其构造轮函数的设计准则及其构造n密钥扩展算法的设计密钥扩展算法的设计 n分组密码的工作模式分组密码的工作模式 对称密码学及其应用对称密码学及其应用23.1 分组密码概述分组密码概述 n分组密码（分组密码（Block Cipher），），也称之为块密也称之为块密码，是

2、将明文消息编码表示后的数字序列，划码，是将明文消息编码表示后的数字序列，划分成固定大小的组（或位块），各组分别在密分成固定大小的组（或位块），各组分别在密钥的控制下变换成等长的输出数字序列钥的控制下变换成等长的输出数字序列 对称密码学及其应用对称密码学及其应用33.1 分组密码概述分组密码概述n分组密码分类分组密码分类n加密方式的不同，分组密码又可分为三类：加密方式的不同，分组密码又可分为三类：代替密码、移位密码和乘积密码。代替密码、移位密码和乘积密码。n根据加密和解密密钥密钥是否相同，可以将根据加密和解密密钥密钥是否相同，可以将分组密码分为对称分组密码和非对称分组密分组密码分为对称分组密码和

3、非对称分组密码。码。对称密码学及其应用对称密码学及其应用43.2 分组密码的一般设计原理分组密码的一般设计原理 n一般设计原理一般设计原理n分组长度要足够大分组长度要足够大n密钥量要足够大密钥量要足够大 n由密钥确定置换的算法要足够复杂由密钥确定置换的算法要足够复杂 n加密和解密运算简单加密和解密运算简单 n数据扩展数据扩展 n差错传播尽可能地小差错传播尽可能地小 对称密码学及其应用对称密码学及其应用53.2 分组密码的一般设计原理分组密码的一般设计原理n扩散和混乱原则扩散和混乱原则 nShannon为了应对统计分析而提出的两种为了应对统计分析而提出的两种方法方法 n扩散就是将每一位明文的影响

4、尽可能迅速地扩散就是将每一位明文的影响尽可能迅速地作用到较多的输出密文位中去，以便隐藏明作用到较多的输出密文位中去，以便隐藏明文的统计特性。文的统计特性。n混乱是指密文和明文之间的统计特性关系尽混乱是指密文和明文之间的统计特性关系尽可能地复杂化，用于掩盖明文、密文和密钥可能地复杂化，用于掩盖明文、密文和密钥之间的关系。之间的关系。对称密码学及其应用对称密码学及其应用63.3 分组密码的整体结构分组密码的整体结构 nSPN结构结构 nShannon提出提出n是一种采用混乱和扩散的迭代密码结构是一种采用混乱和扩散的迭代密码结构n属于乘积密码属于乘积密码 nSAFER和和SHARK等著名的密码算法都

5、采用等著名的密码算法都采用此结构此结构 对称密码学及其应用对称密码学及其应用73.3 分组密码的整体结构分组密码的整体结构nSPN密码结构与两种基本密码变换操作密码结构与两种基本密码变换操作 对称密码学及其应用对称密码学及其应用83.3 分组密码的整体结构分组密码的整体结构 nFeistel结构结构n由由IBM公司的公司的Horst Feistel在在20世纪世纪60年年代末设计代末设计Lucifer分组密码时发明的分组密码时发明的 n在在Lucifer密码的基础上，密码的基础上，IBM提出的算法提出的算法中标美国国家标准局（中标美国国家标准局（NBS）公开征集的标）公开征集的标准密码算法，即

6、准密码算法，即DES算法算法 n许多分组密码也都采用了许多分组密码也都采用了Feistel结构，如结构，如Blowfish、E2、FEAL、GOST、LOKI和和RC5等等 对称密码学及其应用对称密码学及其应用93.3 分组密码的整体结构分组密码的整体结构nLucifer算算法法 对称密码学及其应用对称密码学及其应用103.3 分组密码的整体结构分组密码的整体结构nFeistel结构实现结构实现n对于一个分组长度为对于一个分组长度为2W的的n-轮轮Feistel结构结构密码的加密过程如图密码的加密过程如图 3.3.4所示，其中所示，其中K1，Kn是由种子密钥是由种子密钥K生成的子密钥。生成的子

7、密钥。2W长度的明文被分为长度的明文被分为L0和和R0两部分，这两部分，这两部分经过两部分经过n轮迭代后组合在一起成为密文轮迭代后组合在一起成为密文。其运算逻辑关系为：。其运算逻辑关系为：nLi=Ri-1，(i=1,2,n)nRi=Li-1 F(Ri-1,Ki)，(i=1,2,n)对称密码学及其应用对称密码学及其应用113.3 分组密码的整体结构分组密码的整体结构nFeistel结构实现结构实现n每轮迭代都有相同的结构（如图每轮迭代都有相同的结构（如图 3.3.5所所示）。代替作用在数据的左半部分，它通示）。代替作用在数据的左半部分，它通过轮函数过轮函数F作用数据的右半部分，与左半作用数据的右

8、半部分，与左半部分数据进行异或来完成。每轮迭代的轮部分数据进行异或来完成。每轮迭代的轮函数都相同，但每轮的子密钥函数都相同，但每轮的子密钥Ki不同。代不同。代替之后，交换数据的左右部分实现置换，替之后，交换数据的左右部分实现置换，这就是这就是Feistel结构的思想。结构的思想。对称密码学及其应用对称密码学及其应用12n每轮迭代都有相同的结构（如图每轮迭代都有相同的结构（如图 3.3.5所所示）。代替作用在数据的左半部分，它示）。代替作用在数据的左半部分，它通过轮函数通过轮函数F作用数据的右半部分，与左作用数据的右半部分，与左半部分数据进行异或来完成。每轮迭代半部分数据进行异或来完成。每轮迭代

9、的轮函数都相同，但每轮的子密钥的轮函数都相同，但每轮的子密钥Ki不不同。代替之后，交换数据的左右部分实同。代替之后，交换数据的左右部分实现置换，这就是现置换，这就是Feistel结构的思想。结构的思想。对称密码学及其应用对称密码学及其应用133.4 S-盒的设计准则及其构造盒的设计准则及其构造 nS-盒的设计准则盒的设计准则 n非线性度。非线性度。n差分均匀性。差分均匀性。n代数次数及项数分布。代数次数及项数分布。n完全性和雪崩效应。完全性和雪崩效应。n可逆性。可逆性。n没有陷门。没有陷门。对称密码学及其应用对称密码学及其应用143.4 S-盒的设计准则及其构造盒的设计准则及其构造 nS-盒的

10、盒的构造方法构造方法n随机选取并测试随机选取并测试。n按一定规则构造并测试按一定规则构造并测试。n数学函数构造。数学函数构造。n指数函数和对数函数指数函数和对数函数 n有限域有限域GF（2n）上的逆映射）上的逆映射对称密码学及其应用对称密码学及其应用153.5 P置换的设计准则及构造方法置换的设计准则及构造方法nP置换的设计准则：置换的设计准则：n在在SP网络中，混淆层一般由若干个网络中，混淆层一般由若干个S-盒并置盒并置而成，扩散层一般由一个置换（或一个可逆而成，扩散层一般由一个置换（或一个可逆的线性变换）的线性变换）P来实现。来实现。P盒的目的就是实现盒的目的就是实现雪崩效应，进一步提高扩

11、散和混淆程度。由雪崩效应，进一步提高扩散和混淆程度。由于按比特置换在软件实现中是难以实现的，于按比特置换在软件实现中是难以实现的，因此，如果混淆层是由因此，如果混淆层是由m个个nn的的S-盒并置而盒并置而成，则成，则P一般设计成的一个一般设计成的一个 置换，置换，其中其中 。对称密码学及其应用对称密码学及其应用163.5 P置换的设计准则及构造方法置换的设计准则及构造方法nP置换的构造置换的构造 n分支数最佳的置换分支数最佳的置换P的构造的构造n多维多维2-点变换扩散器点变换扩散器对称密码学及其应用对称密码学及其应用173.6 轮函数的设计准则及其构造轮函数的设计准则及其构造n设计轮函数设计轮

12、函数F的基本准则就是非线性。除的基本准则就是非线性。除此之外，还包括雪崩效应准则和位独立此之外，还包括雪崩效应准则和位独立准则。准则。n评价轮函数设计质量的指标评价轮函数设计质量的指标n安全性安全性 n速度速度n灵活性灵活性对称密码学及其应用对称密码学及其应用183.6 轮函数的设计准则及其构造轮函数的设计准则及其构造n现有的密码算法的轮函数可以分为现有的密码算法的轮函数可以分为n有有S-盒的，例如盒的，例如DES、LOKI系列及系列及E2等；等；n没有没有S-盒的，例如盒的，例如IDEA、RC5及及RC6等。等。n一般来说，轮函数的一般来说，轮函数的“混淆混淆”由由S-盒或盒或算术运算来实现

13、。算术运算来实现。n而没有而没有S-盒的轮函数的盒的轮函数的“混淆混淆”则主要则主要靠加法运算、乘法运算及数据依赖循环靠加法运算、乘法运算及数据依赖循环等来实现等来实现 对称密码学及其应用对称密码学及其应用193.7 密钥扩展算法的设计密钥扩展算法的设计 n子密钥生成方法的理论设计目标子密钥生成方法的理论设计目标n子密钥的统计独立性子密钥的统计独立性n密钥更换的有效性密钥更换的有效性n评价子密钥的生成方法质量的指标评价子密钥的生成方法质量的指标 n实现简单实现简单 n速度速度 n不存在简单关系不存在简单关系 n种子密钥的所有比特对每个子密钥比特的影响大致种子密钥的所有比特对每个子密钥比特的影响

14、大致相同相同 n从一些子密钥比特获得其他子密钥（或者种子密钥）从一些子密钥比特获得其他子密钥（或者种子密钥）比特在计算上是困难的比特在计算上是困难的 n没有弱密钥没有弱密钥 对称密码学及其应用对称密码学及其应用203.8 分组密码的工作模式分组密码的工作模式n分组密码的工作模式，也称为密码模式，通分组密码的工作模式，也称为密码模式，通常是由基本密码算法、一些反馈和一些简单常是由基本密码算法、一些反馈和一些简单运算组合而成。运算组合而成。n特点：特点：n其安全性依赖于基本密码其安全性依赖于基本密码n模式的效率将不会明显地低于基本密码模式的效率将不会明显地低于基本密码n不同的模式有不同的特点，适用

15、于不同场合不同的模式有不同的特点，适用于不同场合对称密码学及其应用对称密码学及其应用213.8 分组密码的工作模式分组密码的工作模式n电子密码本电子密码本ECB(electronic codebook mode)n密码分组链接密码分组链接CBC(cipher block chaining)n密码反馈密码反馈CFB(cipher feedback)n输出反馈输出反馈OFB(output feedback)n计数器模式计数器模式对称密码学及其应用对称密码学及其应用22电子密码本（ECB）n Ci=EK(Pi)Pi=DK(Ci)对称密码学及其应用对称密码学及其应用23ECB特点n简单和有效简单和有效

16、n可以并行实现可以并行实现n不能隐藏明文的模式信息不能隐藏明文的模式信息n相同明文相同明文 相同密文相同密文n同样信息多次出现造成泄漏同样信息多次出现造成泄漏n对明文的主动攻击是可能的对明文的主动攻击是可能的n信息块可被替换、重排、删除、重放信息块可被替换、重排、删除、重放n误差传递：密文块损坏误差传递：密文块损坏 仅对应明文块损坏仅对应明文块损坏适合于传输短信息适合于传输短信息对称密码学及其应用对称密码学及其应用24密码分组链接CBCnCi=EK(Ci-1Pi)Pi=DK(Ci)Ci-1对称密码学及其应用对称密码学及其应用25CBC特点n没有已知的并行实现算法没有已知的并行实现算法n能隐藏明

17、文的模式信息能隐藏明文的模式信息n需要共同的初始化向量需要共同的初始化向量IVn相同明文相同明文 不同密文不同密文n初始化向量初始化向量IV可以用来改变第一块可以用来改变第一块n定期更换定期更换IVn对明文的主动攻击是不容易的对明文的主动攻击是不容易的n信息块不容易被替换、重排、删除、重放信息块不容易被替换、重排、删除、重放n误差传递：密文块损坏误差传递：密文块损坏 两明文块损坏两明文块损坏n安全性好于安全性好于ECBn适合于传输长度大于适合于传输长度大于64位的报文位的报文对称密码学及其应用对称密码学及其应用26密码反馈CFBnCFB:分组密码分组密码 自同步流密码自同步流密码 Si 为移位

18、寄存器为移位寄存器,j为流单元宽度为流单元宽度 加密加密:Ci=Pi(EK(Si)的高的高j位位)Si+1=(Sij)|Ci 解密解密:Pi=Ci(EK(Si)的高的高j位位)Si+1=(Sij)|Ci对称密码学及其应用对称密码学及其应用27CFB加密示意图nCi=Pi(EK(Si)的高j位);Si+1=(Sij)|Ci对称密码学及其应用对称密码学及其应用28CFB解密示意图nPi=Ci(EK(Si)的高j位);Si+1=(Sij)|Ci对称密码学及其应用对称密码学及其应用29CFB特点n 分组密码分组密码 自同步流密码自同步流密码n 没有已知的并行实现算法没有已知的并行实现算法n 优点：隐藏

19、了明文模式优点：隐藏了明文模式n 缺点：缺点：n误差传递，一个单元损坏影响多个单元误差传递，一个单元损坏影响多个单元n对于不同的消息，对于不同的消息，IV必须唯一，因此需要共必须唯一，因此需要共同的移位寄存器初始值同的移位寄存器初始值IV，并且，并且IV要和密钥要和密钥同时进行更换同时进行更换对称密码学及其应用对称密码学及其应用30输出反馈OFBnOFB:分组密码分组密码 同步流密码同步流密码 Si 为移位寄存器为移位寄存器,j为流单元宽度为流单元宽度 加密加密:Ci=Pi(EK(Si)的高的高j位位)Si+1=(Sij)|(EK(Si)的高的高j位位)解密解密:Pi=Ci(EK(Si)的高的

20、高j位位)Si+1=(Sij)|(EK(Si)的高的高j位位)对称密码学及其应用对称密码学及其应用31OFB加密示意图Ci=Pi(EK(Si)的高j位);Si+1=(Sij)|(EK(Si)的高j位)对称密码学及其应用对称密码学及其应用32P Pi i=C Ci i(E(EK K(S(Si i)的高j j位);S);Si+1i+1=(=(S Si ij)|(Ej)|(EK K(S(Si i)的高j j位)OFB解密示意图对称密码学及其应用对称密码学及其应用33OFB特点nOFB:分组密码分组密码 同步流密码同步流密码n没有已知的并行实现算法没有已知的并行实现算法n优点：优点：n隐藏了明文模式隐

21、藏了明文模式n没有误差传递：一个单元损坏只影响对应单元没有误差传递：一个单元损坏只影响对应单元n缺点：缺点：n不具有自同步能力，要求系统要保持严格的同步不具有自同步能力，要求系统要保持严格的同步n重新同步时需要新的重新同步时需要新的IV，IV可以用明文形式传送可以用明文形式传送n对明文的主动攻击是可能的对明文的主动攻击是可能的n信息块可被替换、重排、删除、重放信息块可被替换、重排、删除、重放n安全性较安全性较CFB差差 对称密码学及其应用对称密码学及其应用34计数器模式计数器模式(Counter Mode)nDiffie等人在等人在1979年提出年提出n将一个计数器输入到寄存器中。将一个计数器

22、输入到寄存器中。每一个分组完成加密后，计数器每一个分组完成加密后，计数器都要增加某个常数，典型值是都要增加某个常数，典型值是1。n该模式的同步和错误扩散特性同该模式的同步和错误扩散特性同OFB模式完全一样。模式完全一样。n可直接生成第可直接生成第i 个密钥比特个密钥比特ki；保密随机访问数据文件时是非常保密随机访问数据文件时是非常有用有用 内部状态输出函数（分组密码算法，选最低位输出）下一状态函数（计数器）kki对称密码学及其应用对称密码学及其应用35工作模式选用原则工作模式选用原则nECB模式，简单、高速，但最弱，易受重发攻击，一般模式，简单、高速，但最弱，易受重发攻击，一般不推荐；不推荐；

23、nCBC,CFB,OFB的选择取决于实用特殊考虑；的选择取决于实用特殊考虑；nCBC适用于文件加密，但较适用于文件加密，但较ECB慢，且需要另加移存器慢，且需要另加移存器和组的异或运算，但安全性加强。软件加密最好选用此和组的异或运算，但安全性加强。软件加密最好选用此种方式；种方式；nOFB和和CFB较较CBC慢许多，每次迭代只有少数慢许多，每次迭代只有少数bit完成加完成加密。若可以容忍少量错误扩展，可选密。若可以容忍少量错误扩展，可选CFB。否则，可选。否则，可选OFB;n在字符为单元的流密码种多选在字符为单元的流密码种多选CFB模式，如终端和主机模式，如终端和主机间通信。而间通信。而OFB用于高速同步系统，不容忍差错传播。用于高速同步系统，不容忍差错传播。