现代密码学-分组密码DES.pptVIP

分组密码 1 分组密码概述 分组密码（block cipher）框图 1 分组密码概述 1 分组密码概述 Feistel 密码 Feistel 密码 Feistel 密码 2 数据加密标准(DES) 数据加密标准(DES: data encryption standard)概况 1972美国国家标准局(NBS)开始实施计算机数据保护标准的开发计划 1973.5.13 NBS发布文告征集在传输和存储数据中保护计算机数据的密码算法 1975.3.17首次公布DES算法描述，进行公开讨论 1977.1.15正式批准为无密级应用的DES (美国联邦信息处理标准：FIPS-46)，1977.7.15正式生效 以后每5年NBS做出评估，并重新确定是否继续作为加密标准 1994年1月，NBS做了最后一次评估，决定1998年12月以后不再作为加密标准 DES算法描述 分组大小: 2w=64 密钥大小: |K|=56 子密钥: |Ki|=48 轮数: h=16 对明文作置换IP后开始第1次迭代 第16次迭代后，交换左、右32bit数据，再作逆置换IP-1，即得密文 2 数据加密标准(DES) 初始置换IP 将64位明文打乱重新排列. 设x=x1x2…x64，则IP(x)=x58x50x42…x23x15x7 轮函数F的设计 轮函数F的结构 F(Ri?1, Ki): {0,1}32?{0,1}48 ?{0,1}32 扩展变换E 扩展变换E: 将32位变为48位，扩展了16位 S-盒 Sk: {0,1}6 ?{0,1}4 (k=1,2,…,8) 输入: b1 b2 b3 b4 b5 b6, 用10进制表示: (i)10=b1b6 (0?i?3), (j)10=b2b3b4b5 (0?j?15) 输出: Sk-盒的表中第i行j列位置元素(4位二进制) 例: 对于S1，输入b=101011, 有i=11=3, j=0101=5, 输出: S1(b)= S1(3,5)=9=1001. S-盒 S-盒设计准则(1992年，IBM与NSA公布) S-盒的每一行都是整数0-15的一个置换; 每个S-盒的输出都不是输入的线性或仿射函数; 任意改变输入的一位,输出至少有2位发生变化; 保持输入的1位不变,其余5位变化,则输出中的0和1的个数接近相等; 对任何输入x, 有Sk(x)和Sk(x?001100)至少有2位不同; 对任何输入x, e,f ?{0,1}, 有 Sk(x)?Sk(x?11ef00). 置换P P：整数1-32的置换 DES子密钥生成算法 DES子密钥生成算法 由64位密钥K产生16个48位的子密钥: K1, K2,…,K16. DES子密钥生成算法 置换选择1: PC-1 64位密钥K的第8, 16, 24,…,64位共8位是奇偶校验位, 其余56位作为密钥用. 选择K的第57,49,…位共28位作为密钥段C0;选择K的第63,55,…位共28位作为密钥段D0. DES子密钥生成算法 循环左移LSi 将28位的密钥段作为Ci, Di循环左移1或2位,左移位数由下表确定. DES子密钥生成算法 置换选择2: PC-2 从56位密钥段Ci||Di中选择48位作为子密钥Ki. DES解密算法 DES算法的实现 DES的安全性 DES的安全性 二重DES 二个密钥的三重DES 三个密钥的三重DES * 1 分组密码概述 2 数据加密标准（DES） 加密 算法 解密 算法 明文 x=(x0, x1,…,xn-1) 密文 y=(y0, y1,…,ym-1) 明文 x=(x0, x1,…,xn-1) 密钥 k=(k0, k1,…,xt-1) 密钥 k=(k0, k1,…,xt-1) 分组长度: n 数据扩展：nm 数据压缩：nm 一般要求：n=m; xi, yi ?{0,1}. 加密算法 分组密码算法基本要求 分组长度n足够大 密钥长度t足够大 加密算法足够复杂 差错传播尽可能小 迭代密码 明文：X=Y(0) 密文：Y=Y(r) 迭代 函数:F 迭代 次数:r 种子密钥：k 迭代的子密钥：Z(i) Feistel加密结构 子密钥产生算法 K? K1, K2,…, Kh. 明文:x =L0||R0 第i轮迭代 Li=Ri-1 Ri=Li-1?F(Ri-1, Ki) F: 轮函数 密文:y =Lh+1||Rh+1 代换-置换网络(substitution-permutation network) ? F L1 R1 K1 L0(w-bit) R0(w-bit) 明文: x(2w-bit)