密码学与信息安全 第3章 分组密码和数据加密标准.pptVIP

* 由于加密是可逆的，每一个明文分组将唯一对应一个密文分组，所以是一种可逆映射 * * * * * * * 经过IBM和NSA协商，密钥长度由128-》48》56位，但抗密码分析能力更强（除了修改密钥长度，还修改了S盒设计，S盒相当于一个黑盒，其设计原理是必威体育官网网址的） * * * * * * * * * DES中S盒来路不明也是密码学届的一个著名的谜团。因为由IBM提交NSA的DES设计和最后审批下来的设计不一样，如密钥长度由原来的128位缩减至56位，S盒的设计也被更改，不少学者（也可以说是阴谋论）认为DES中隐藏了NSA设计的一个后门，NSA可以用来快速解密使用DES加密的密文。但是至今也没有人找到这个后门。 由于S盒的设计非常具有前瞻性，有测试表明如果不使用官方 S 盒而是使用其他的 S 盒（如用随机数S盒，对于DES这种6*4的“小”S盒安全性更差），则安全性显著下降；16轮也是个非常特别的选择，在15轮的迭代中，差分分析能够比暴力破解更有效率，但16轮迭代后，差分分析几乎和暴力破解一样费时，甚至效率还要稍微低一点点；大于16轮，则差分分析完全不如暴力破解来得快，也就是说，16轮是精心选择的--说明70年代，NSA内部已经掌握了差分分析，只是没有公布，直到90年代后才正式场合出现差分分析方法。 * 第3章 分组密码和数据加密标准 第3章 分组密码和数据加密标准 3.1 分组密码的原理 3.2 DES数据加密标准 3.3 对DES的讨论 3.1 分组密码原理 将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是同等固定长度的密文（即对某一密钥可以构造相应的明密文对照表）。典型的分组大小是64位或128位。 对称密码 公开密钥密码 分组密码 流密码 每次加密数据流的一位或一字节 基于密钥算法 Stream ciphers： Block ciphers： 由于分组密码应用范围比流密码广泛，本章讨论的主要是分组密码，现在使用的大多数对称分组加密算法都是基于Feistel分组密码结构，所以研究Feistel结构非常重要。 3.1 分组密码原理 设计原理： 把n位的明文组，转换成n位的密文组 ( ) 1 1 0 , , , - = n x x x x L ( ) 1 1 0 , , , - = n y y y y L ( ) 1 1 0 , , , - = n x x x x L ( ) 1 1 0 , , , - = t k k k k L 加密算法 ( ) 1 1 0 , , , - = t k k k k L 密钥 密钥 明文 明文 密文 解密算法 3.1 分组密码原理 加密过程 明文信息：中文、字母、字符 编码 数字序列（011101 ……… ） 分组 ……… 64bits 128bits 加密 经公共信道传输给对方 3.1.2 feistel密码结构的设计动机 分组密码作用在n位明文组上，而产生n位密文组（即共有2n个不同分组），其不同的可逆代换映射有2n!个，下图为n=4的一个普通代换密码的结构，4位输入有16种可能的输入状态，图中为n=4的分组密码映射中的一种，这是分组密码的最一般形式，用来表示明密文之间的任意可逆变换。 四位二进制，取值为0-15 3.1.2 feistel密码结构的设计动机 课本P49表3.1为上图所示代换密码的加密与解密表，可以看出，应用这种方法，如果n值小，例如等于4，和传统代换密码没区别，如果n充分大，并且有明密文直接的任意可逆变换，那么是安全的。 但从现实角度来看，使用大规模分组的任意可逆变换，不太现实，通过表3.1，可以知道它定义了n=4时的某个可逆映射，这个映射可以直接由表中第二列来定义，它给出了每个明文对应的密文，本质上它就是决定所有可能映射中某一个映射的密钥，这个密钥长度可以从表中看出为（4位）*（24行）=64位，对应n，密钥长度为n*2n,一个64位的分组密码，密钥长度将达到1021。 考虑到这些困难，Feistel指出我们只需要对这种理想分组体系采取一种近似体制，用一些其他手段来达到加密强度，但又不需要这么大的密钥空间。 3.1.3 Feistel密码 问题的解决： Horst Feistel提出了Feistel Cipher 基本思想： Product cipher： 用乘积密码来表达大尺寸的代换变换 交替同时使用置换和代换，所得结果的密码强度将强于所有单个密码的强度。这种方法本质是开发一个分组密码，密钥长为k比特，分组长为n比特，采用2k个变换，而不是理想分组密码的2n！个可用变换。 以上的思想