网络安全原理与技术(第二版) 作者 冯登国 徐静 chapter2b.pptVIP

AES背景--i 1997年4月15日，（美国）国家标准技术研究所（ NIST ） 发起征集高级加密标准AES的活动，活动目的是确定一个非必威体育官网网址的、可以公开技术细节的、全球免费使用的分组密码算法，作为新的数据加密标准。 1997年9月12日，美国联邦登记处公布了正式征集AES候选算法的通告。作为进入AES候选过程的一个条件，开发者承诺放弃被选中算法的知识产权。 AES背景--ii 对AES的基本要求是：比三重DES快、至少与三重DES一样安全、数据分组长度为128比特、密钥长度为128/192/256比特。 1998年8月12日，在首届AES会议上指定了15个候选算法。 1999年3月22日第二次AES会议上，将候选名单减少为5 个， 这5 个算法是RC6 ， Rijndael ，SERPENT，Twofish和MARS。 2000年10月2日，NIST宣布了获胜者—Rijndael算法， 2001 年11 月出版了最终标准FIPS PUB197。 AES评估准则 安全性— 最重要，包括抗密码分析的强度、稳定的数学基础、算法输出的随机性、与其他候选算法比较的相对安全性 代价— 各种实现的计算效率（包括软、硬件实现和智能卡实现） 算法与实现特性— 算法的灵活性、简洁性及其他因素 在不同类型的环境中能安全有效地实现 与DES的S盒相比，AES的S盒能进行代数上的定义，而不像DES的S盒那样是明显的随机代换。 S盒的输入和输出都是8bit,S是由两个变换复合而成 S=L·F F是有限域GF(28)上的求逆操作 L是仿射变换 利用有限域上的逆映射构造S-盒的好处是：表述简单，使人相信没有后门，最重要的是其具有良好的抗差分和线性分析的能力。 附加的仿射变换，目的是用来复杂化S-盒的代数表达，防止代数插值攻击。 密钥加 Add Round Key 轮密钥与状态进行逐比特异或。 轮密钥由种子密钥通过密钥编排算法得到 轮密钥长度与分组密钥长度相同 表示为AddRoundKey(State,RoundKey) 轮函数的伪C代码 Round(State,RoundKey) { ByteSub(State); ShiftRow(State); MixColumn(State); AddRoundKey(State,Roundkey); } 结尾轮的轮函数 Round(State,RoundKey) { ByteSub(State); ShiftRow(State); AddRoundKey(State,Roundkey); } AES安全性 对目前所有已知攻击而言，AES是安全的。 使用有限域逆运算构造的S盒，可使线性逼近和差分均匀分布。 有效抵抗了线性攻击和差分攻击。 电子密码本（ECB） Ci = EK(Pi) ? Pi = DK(Ci) ECB的特点 在整个报文中同一个64bit明文分组如果出现多次，它们产生的密文总是一样的 对于长报文，ECB方式可能不安全。如果报文是高度结构化的，密码分析者就可能利用这些规律性。 密码分组链接CBC Ci=EK(Ci-1?Pi) ? Pi=DK(Ci )? Ci-1 CBC的特点 同一明文分组重复出现时，产生不同密文 需要共同的初始化向量IV 误差传递：密文块损坏?两明文块损坏；明文有一组中有错，会使以后的密文组都受影响 是大多系统标准如 SSL、IPSec采用的模式 密文反馈CFB 密文反馈CFB 输出反馈模式（OFB） 基于公开密钥的加密模型 基于公开密钥的加密模型 通过一个包含各通信方的公钥的公开目录，任何一方都可以使用这些密钥向另一方发送机密信息。 具体办法：发送者查出接收者的公钥并且使用该密钥加密消息。注意：只有拥有对应私钥的接收者才能解读消息。 基于公开密钥的认证模型 可逆公钥密码体制： 该密码体制可用于加密和认证两种模型 不可逆公钥密码体制： 该公钥密码体制只能用于认证模型，而不能用于加密模型。 公钥密码的应用范围 加密/解密：发送方用接收方的公开密钥加密报文 数字签名：发送方用自己的私有密钥签署报文。 密钥交换：两方合作以便交换会话密钥 公钥密码应满足的要求 涉及到各方：发送方A、接收方B、敌手 涉及到数据：公钥、私钥、明文、密文 公钥密码应满足的要求 接收方B产生密钥对在计算上是容易的 发送方A用收方的公开钥对消息m加密以产生密文c在计算上是容易的。 收方B用自己的秘密密钥对密文c解密在计算上是容易的。 敌手由密文c和B的公开密钥恢复明文在计算上是不可行的。 敌手由密文c和B的公开密钥恢复秘密密钥在计算上是不可行的 加解密次序可换，即EPKB[DSKB(m)]=D