网络安全-06：对称密码.pptVIP

Chapter6

对称密码《密码编码学与网络平安》

2025/6/15西安电子科技大学计算机学院2选择当前对称密码算法的标准：密码强度广泛应用于Internet上代表了自DES以来的现代密码技术本章介绍算法：3DESBlowfishRC4,RC5

2025/6/15西安电子科技大学计算机学院3§6.1三重DES算法§6.1.12DES？

2025/6/15西安电子科技大学计算机学院42DES？C=EK2(EK1(P))＝EK3(P)？对单步加密进行推导EK2(EK1(P))＝EK3(P)？中间相遇攻击明文攻击可以成功对付密钥长度为112位的2DESX=EK1(P)=DK2(C)用所有可能的密钥加密明文并存储用所有可能的密钥解密密文，并与存储的X匹配2112/264=248，248/264=2-16，两组明密对后，正确密钥的概率是1-2-16；三组明密对后，正确密钥的概率是1-2-80付出数量级为O(256),比攻击单DES的O(255)多不了多少§6.1.12DES？DES关于密钥不构成群！(264)！1010202561017

2025/6/15西安电子科技大学计算机学院5§6.1.2使用两个密钥的3DES三重两密思路：加密-解密-加密：说明：第二步用解密运算，可适应单DES，即当k2＝k1时，3DES＝1DES平安性：目前无可行攻击方法应用：较多，如密钥管理标准ANSIX9.17和ISO8732。攻击

2025/6/15西安电子科技大学计算机学院6

2025/6/15西安电子科技大学计算机学院7三重三密思路：加密-解密-加密应用：较多，如PGP和S/MINE。五重三密DES思路：加密-解密-加密-解密-加密应用：可适应单DES或三重两密的情形§6.1.3使用三个密钥的3DES

2025/6/15西安电子科技大学计算机学院8§6.2Blowfish算法Blowfish——会膨胀的鱼BruceSchneier设计，1993/94算法的性质快速紧凑简单平安性可变概况分组：64位密钥长度：32位～448位〔即1～14个32位字〕

2025/6/15西安电子科技大学计算机学院9§6.2.1子密钥和S盒的产生原始密钥：K，32to448bit18个32位的子密钥：Pi〔i＝1，2，…，18〕4个8X32的S盒，每个有256项，每项32位：Si,j〔i＝1,2,3,4；j＝0,1,…,255〕

2025/6/15西安电子科技大学计算机学院10根本运算加法：＋，mod232按位异或,⊕,XOR查找§6.2.2加密和解密

2025/6/15西安电子科技大学计算机学院11

2025/6/15西安电子科技大学计算机学院12加密§6.2.2加密和解密明文分为左右两个32-bit的分组L0，R0fori=1to16doRi=Li-1XORPi;Li=F[Ri]XORRi-1;L17=R16XORP18;R17=L16XORP17;其中F[a,b,c,d]=((S1,a+S2,b)XORS3,c)+S4,a

2025/6/15西安电子科技大学计算机学院13

2025/6/15西安电子科技大学计算机学院14函数F设F的输入为x〔32bit〕，将x分为4个字节x＝〔a，b，c，d〕，那么F定义为F(x)＝(a，b，c，d)＝§6.2.2加密和解密

2025/6/15西安电子科技大学计算机学院15解密§6.2.2加密和解密密文分为左右两个32-bit的分组L0，R0fori=1to16doRi=Li-1XORP19-i;Li=F[Ri]XORRi-1;L17=R16XORP1;R17=L16XORP2;其中F[a,b,c,d]=((S1,a+S2,b)XORS3,c)+S4,a明文M＝〔L17，R17〕

2025/6/15西安电子科技大学计算机学院16

2025/6/15西安电子科技大学计算机学院17特点〔主要与DES比较〕S盒与密钥有关；子密钥和S盒由算法本身生成，故数据完全不可识别，对密钥分析异常困难；每轮运算都是对数据的左右两局部同时执行；对穷举攻击是平安的〔密钥可达448位〕；执行速度快。〔可在32-bitCPUs上快速实现，内存的使用可少至5K〕〔设计算法时所考虑的〕因素穷举攻击的难度来自两个方面：密钥长度和密钥产生过程；由函数F产生了很好的雪崩效应；F的每一位输入仅用作一个S盒的一位输入；函数F的形式与迭代轮数无关，而CAST〔加拿大〕那么有关。§6.2.3讨论

2025/6