《《应用密码学》DES课件.ppt》由会员分享,可在线阅读,更多相关《《应用密码学》DES课件.ppt(48页珍藏版)》请在三一办公上搜索。
1、数据加密标准(DES),应用密码学,背景资料,1973年NBS国家标准局 (NIST国家标准与技术研究所)算法要求: 算法公开,安全性依赖于密钥而不是算法 算法应能测试和验证 不同的设备可以相互通信,背景资料,19681974,IBM研制1976 被定为联邦标准 并命名为DES(Data Encryption Standard)1981、1987、1993 分别被NIST再次认证,Feistel网络,加密过程:1. 把一个分组分成长度相等的 左右两部份:L,R2. 进行n次叠代, 其第i 轮的输出取决于前一轮的输出: Li=Ri-1 Ri=Li -1(Ri-1,Ki) Ki是第i轮使用的子密钥
2、 是任意的轮函数3. 最后交换左右两部分,Feistel网络,解密过程与加密过程的区别: 子密钥的顺序正好相反:加密: K1, K2, K3, K(n-1), Kn 解密: Kn, K(n-1), K3, K2, K1,L0,R0,R2,L2,L2=R1,R2,L1=R0,R1,(R0,K1),(R1,K2),K1,K2,加密,R2,L2,L0,R0,R0,L0,L2,R0,(L2,K2),(R0,K1),K2,K1,解密,1010,1110,0011,1110,0001,1001,1111,1010,加密,1010,1110,0011,1110,0100,1101,1000,1001,100
3、0,1001,0100,1101,0011,1110,1000,1001,0010,0111,0111,0011,0001,1001,1111,1010,加密,0100,1101,1000,1001,1111,1010,0001,1001,解密,0100,1101,1000,1001,1010,1110,0011,1110,0011,1110,1010,1110,1000,1001,0011,1110,0111,0011,0010,0111,1111,1010,0001,1001,解密,采用Feistel网络的著名的分组密码,DESFEAL:由日本电报电话公司的 Akihiro Shimizu
4、 和 Shooji Miyaguchi 设计 LOKI: 由澳大利亚人于 1990 年首先提出作为DES的一种潜在替换算法 GOST 是前苏联设计的分组密码算法 CAST 由加拿大的 C.Adams 和 S.Tavares 设计 Blowfish 由 Bruce Schneier 设计 ,DES的参数:,分组长度:64位密钥长度:64位 其中第8,16,24,56,64为校验位有效密钥长度:56位密钥空间:256,DES的加密过程:,64位明文,初始置换,乘积变换,逆初始变换,64位密文,初始置换,逆初始置换,乘积变换,16次叠代的Feistel网络需要解决的问题: 1. 函数的构造 2. 把
5、64位主密钥转换为16个48位的子密钥,函数,S盒代替,扩展置换,P盒置换,子密钥Ki,48bit,48bit,32bit,32bit,扩展置换,下图显示了扩展置换,有时它也叫做E盒。对每个4位输入分组,第1和第4位分别表示输出分组中的两位,而第2和第3位分别表示输出分组中的一位。,扩展置换,下表是从32位到48位的扩展置换,给出了哪一输出位对应于哪一输入位。例如,处于输入分组中第3位的位置的位移到了输出分组中第4位的位置,而输入分组中第21位的位置的位移到了输出分组中第30和第32位的位置。尽管输出分组大于输入分组,但每一个输入分组产生唯一的输出分组。,S-盒代替,S1,S2,S3,S4,S
6、5,S6,S7,S8,48位输入,32位输出,6bit,4bit,Si: 416矩阵,S1,b0,b1,b2,b3,b4,b5,行号:03,列号:015,S盒的设计准则,没有一个S的输出位是接近输入位的线性函数如果将输入位的最左及最右端的位固定,变化中间的4位,每个可能的4位数出只能得到一次如果s盒的两个输入仅有1位的差异,则输出至少必须有2位不同如果s盒的两个输入仅有中间2位不同,则输出至少必须有2位不同如果s盒的两个输入仅前2位不同,后2位已知则输出必不同对于输入之间的任何非零的6位差分,32对中至多有8对显示出的差分导致了相同的输出差分,P盒置换,S盒代替运算后的32位输出依照P盒进行置
7、换。该置换把每输入位映射到输出位,任意一位不能被映射两次,也不能被略去,这个置换叫做直接置换。下表给出了每位移到的位置。例如,第21位移到了第4位处,同时第4位移到了第31位处。最后,将P盒置换的结果与最初的64位分组的左半部分异或,然后左、右半部分交换,接着开始另一轮。,子密钥生成,PC-1密钥置换,64比特的密钥K,经过PC-1后,生成56比特的串。其下标如表所示:,PC-2压缩置换,每轮移位的位数,DES解密,加密和解密可使用相同的算法。DES使得用相同的函数来加密或解密每个分组成为可能,二者的唯一不同之处是密钥的次序相反。这就是说,如果各轮的加密密钥分别是K1,K2,K3,K16, 那
8、么解密密钥就是K16,K15,K14,K1。,差分密码分析,1900年Eli Biham 和Adi Shamir 提出了差分密码分析。利用这种方法, Eli Biham 和Adi Shamir 对DES算法进行了选择明文攻击,比穷举攻击有效对于DES的差分密码分析,如果选择明文攻击,需要247对于DES的差分密码分析,如果已知明文攻击,需要255,线性密码分析,线性密码分析是Mitsuru Matsui提出的是一种已知明文攻击如果将明文的一些位、密文的一些位进行异或运算,然后再对这两个结果异或,那么将得到一个位,这一位是将密钥的一些位进行异或运算的结果对于DES的线性密码分析,已知明文攻击数为
9、243,X17Y3Y8Y14Y25=Ki,261/2-5/16,DES的安全强度,密钥长度问题56-bit 密钥有256 = 72,057,584,037,927,936 7.2亿亿之多技术进步使穷举搜索成为可能1997年1月28日,RSA公司发起破译RC4、RC5、MD2、MD5,以及DES的活动,破译DES奖励10000美金。明文是:Strong cryptography makes the world a safer place. 结果仅搜索了24.6%的密钥空间便得到结果,耗时96天。1998年在一台专用机上(EFF)只要几天时间即可 1999年在超级计算机上只要22小时!S-box问
10、题,其设计标准没有公开线性密码分析攻击问题,DES不能抵御线形分析,二重DES,为了提高DES的安全性,并利用实现DES的现有软硬件,可将DES算法在多密钥下多重使用。二重DES是多重使用DES时最简单的形式,如图3.8所示。其中明文为P,两个加密密钥为K1和K2,密文为:解密时,以相反顺序使用两个密钥:,二重DES,对二重DES的中途相遇攻击,对二重DES的中途相遇攻击,如果已知一个明文密文对(P,C),攻击的实施可如下进行:首先,用256个所有可能的K1对P加密,将加密结果存入一表并对表按X排序,然后用256个所有可能的K2对C解密,在上述表中查找与C解密结果相匹配的项,如果找到,则记下相
11、应的K1和K2。最后再用一新的明文密文对(P,C)检验上面找到的K1和K2,用K1和K2对P两次加密,若结果等于C,就可确定K1和K2是所要找的密钥。,对二重DES的中途相遇攻击,对已知的明文P,二重DES能产生264个可能的密文,而可能的密钥个数为2112,所以平均来说,对一个已知的明文,有2112/264=248个密钥可产生已知的密文。而再经过另外一对明文密文的检验,误报率将下降到248-64=2-16。所以在实施中途相遇攻击时,如果已知两个明文密文对,则找到正确密钥的概率为1-2-16。,两个密钥的三重DES,三个密钥的三重DES,例题,已知:在DES算法中第轮的输出为:R1=1011,0011, 0000,0010, 0111, 0011, 1101,0100L1=0000,0000, 1111,1111,1001,0010,1010,1000第轮子密钥为:K2=111000, 001011,111011,110110, 100110,111011,111000,111100求R2答案:1001,0111,0111,1101,1011,0101,0001,0111,下此课内容,AES,下次课再见!,
