魏普文 山东大学密码技术与信息安全 教育部重点实验室

Slides:



Advertisements
Similar presentations
2007 年 6 月 楚雄师范学院计科系 离 散 数 学 第三章 逻辑代数 ( 上 ) 命题演算.
Advertisements

创造现代生活 纸的利用与装饰. 中国古代四大发明对世界文明的发 展有什么影响? 我们的调查:  四大发明在人类文明史上的重要地位 :  四大发明在欧洲近代文明产生之前陆续传入西方,成为 “ 资 产阶级发展的必要前提 ”( 《马克思恩格斯全集》 ) ,为资产阶 级走上政治舞台提供了物质基础:印刷术的出现改变了只有.
2011 年中考复习教学研讨会议程 一、初三质检试卷分析(学科中学组成员) 1. 启明中学 2. 连江三中片 3. 凤城中学片 4. 全县质检数据通报 二、考试说明解读及复习建议.
第三章 對稱式金鑰密碼系統 - 資料加密標準.  1970 年代 Horst Feistel 為美國 IBM 電腦公司研發出 “Lucifer” 系統。  美國國家標準局 (NBS, 現為 NIST) 在 1973 年徵求構想 書,希望能訂定國際加密標準。  DES 最後在 1997 年 1.
年輕駕駛交通工具 考上駕照的 18 歲, 正好是高中畢業, 離家工作、上大學 的時候。 年輕人對新環境的 好奇及生疏,以及 尚未養成良好駕駛 習慣,造成意外的 產生。
亲子沟通技巧 ---- 如何说孩子才会听,怎么听孩子才肯说 —— 大豫网、郑州市心理咨询师协会幸福课.
优化备课和讲课 的思考 黄恕伯
當我已老 謹以此文獻給像我一樣流浪在外的子女們.
3.1 信息加密技术概述 3.2 密码技术 3.3 密钥管理 3.4 网络加密技术 习题与思考题 参考文献 实训指南
王同学的苦恼﹗ MC 4.1 诚可贵﹗.
第三课题 “有限域上代数方程算法问题研究” 年度总结报告
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
对应用型本科建设中若干问题的认识 张家钰
近年来,出现了一些制作粗糙、违背史实甚至常理的“抗战雷剧”,社会上也出现了一股“戏说”抗战剧的不良风气。
2015年12月14日-2015年12月20日 缩略版.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
什么是伸展? 无论你是久坐的生活型态或是爱好运动的人,伸展可让你身体柔软,为接下来的动作做好准备,也可以让运动后的肌肉柔缓放松。
论文检索、投稿和搜集 经验交流 清华大学信息网络工程研究中心 王之梁
Chapter 1: 概論 1.1 密碼學術語簡介及假設
公文製作與習作 行政院秘書處 93年10月11日.
課程:諮商概論 指導老師:李秀玉老師 閱讀書籍:傷癒—低估自我的醫治(一) (P.60~69)
团队介绍 (1)西湖区社区街道挂职社会实践基地 (2)武义、缙云、双浦乡镇挂职社会实践基地 (3)BOX企业实习社会实践基地
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.
J107 胡婷涵 28號.
推行使用散装预拌砂浆 全面贯彻落实禁现政策
揭秘 庄家 股市中的 为什么你的股票一买就跌,一卖就涨? 为什么出了利好,股价反而下跌? 为什么有的股票一直涨停?
密码学基础 电子科技大学•计算机学院.
西安电子科技大学 信息论与密码理论 西 安 电 子 科 技 大 学 通信工程学院 王育民 Tel:
2006年台灣醫學中心大搜查 聰明病人 完全就醫指南.
做最好的自己 ——七(6)班主题班会.
社会工作概论 个案工作 课程培训 深圳电大 赖小乐.
时代发展趋势: 科学人文交融 华中科技大学 杨叔子 2010年2月修改.
我最愛的一本書 上課不要看小說 我最愛的一本書—上課不要看小說.
前言.
摘要說明 使用的時機:閱讀教育 步驟:介紹書籍資料後進行討論 適用的領域或議題:語文領域 單元名稱:自創教材.
乳猪断奶后拉稀,掉膘与教槽料.
密码学 教师 孙达志 联系方式 教学网页 成绩评定(暂定) 考试: 90%; 平时: 10%
星星的眼淚 星星的眼淚 班級:S202 座號:46 姓名:鄭媛文 作品:星星的眼淚
密碼學簡介與簡單生活應用 Introduction to Cryptography & Simple Applications in Life 2010 Spring ADSP 05/07.
組員: 陳曉東(2), 張梓錕(3), 蔡浩維(5), 鍾智灝(7), 馮浩然(8)
第5章 高级加密标准(AES) AES的起源 AES的设计原则 AES算法描述.
第三章 公钥基础设施PKI 本章学习重点掌握内容: 密码学基本术语 密码体制分类 私钥密码体制的主要特点 公钥密码体制的主要特点
Cryptography and Network Security - 2
密码学导论˙第5章 分组密码 8学时 李卫海.
Department of Computer Science & Information Engineering
CH19資訊安全 認識資訊安全與其重要性 了解傳統與公開金鑰密碼系統, 以及基本的安全性觀念 了解訊息鑑別與雜湊函數 了解數位簽章法
秘密金鑰密碼系統 (Secret Key Cryptosystems)
[ SpringerLink ] 现有1250种全文期刊 3000多卷科技丛书
SpringerLink簡易使用說明.
Gaussian Elimination 東海大學物理系‧數值分析 施奇廷.
李开祥 郭雪丽 马高峰 杨洋 孙凤英 陈静 Copyright © 2007 西安交通大学电子商务系
近期科研汇报 报告人: 纪爱兵.
參考資料來源:國家圖書館遠距學園 簡報製作:林秀玲.
教育部增置國小圖書教師輔導與教育訓練計畫 圖書資訊教育教學綱要及教學設計小組 設計者:臺北市萬興國小 曾品方老師
參考資料來源:國家圖書館遠距學園 簡報製作:林秀玲.
DES算法.
密碼學 Chapter 4 基於電腦的非對稱性金鑰密碼學演算法
應用加密技術 A 譚惠心 指導教授:梁明章教授.
目次检索 打印 下载 文字摘录 更换背景 多窗口阅读.
第四章 Petri网的结构性质.
98年度兒童課後照顧學程 修課名單確認暨課程說明會 2009/09/15(二) 08:40~09:20.
(二)盲信号分离.
公文書信製作 國立二林工商 人事室主任王慶城.
百艳图.
張仁俊 (Jen-Chun Chang) 國立台北大學 資訊工程學系 通訊工程研究所 電機工程研究所
資料來源:九德國小 新庄國小中年級圖書利用教育 書的身體 資料來源:九德國小 授課者 王美惠老師.
Computer Security and Cryptography
轉換成二進位、八進位及十六進位 = ( ) = ( ) = ( )16.
Website: 第1章 密码学概论 Website: 年10月27日.
Presentation transcript:

魏普文 山东大学密码技术与信息安全 教育部重点实验室 第五章 分组密码 2.攻击方法 魏普文 山东大学密码技术与信息安全 教育部重点实验室

DES攻击方法 时间-存储权衡攻击 差分分析 线性分析

时间-存储权衡攻击(Time-memory trade-off) 选择明文攻击 不依赖于DES的结构,只与输入/输出/密钥长度有关 穷搜法与查表法的混合 S=O(n2/3), T=O(n2/3), 其中n为密钥量 关于符号O

时间-存储权衡攻击 穷搜法(已知明文攻击) 查表法(选择明文攻击) 给定一个明密文对(m*,c*),穷举所有可能2^56密钥k, 直到c=E(k*,m*) 时间复杂度T=O(256), 空间复杂度S=O(1) 查表法(选择明文攻击) 给定一个明文m*,对于所有可能的密钥k, 预计算 有序对表{(c,k)|c=E(k,m)},参照加密者提供的相应密 文c*, 选出正确的密钥 空间复杂度S=O(256),构建预计算表至少与穷搜同 样耗时

时间-存储权衡攻击 定义约化函数 目标

时间-存储权衡攻击: 随机选择s个长度为56-bit的串 K(1, 0), K(2,0),…,K(s,0) 根据所选择的明文m*, 利用 计算K(i , j): K(i , j)=g(K(i,j-1))=R(E(K(i,j-1,m*)))

时间-存储权衡攻击: 计算K(i,j): K(i,j)=g(K(i,j-1))

时间-存储权衡攻击: 进一步节省空间 只需存储K(i,j)表的第一列与最后一列 n为密钥量大小

参考文献 [Hel80] M. Hellman. A cryptanalytic time memory trade-off, IEEE Transactions on Information Theory 26 (4): 401–406.

DES差分分析 80年代末,Eli Biham与Adi Shamir提出的一种选 择明文攻击方法 基本观点 Eli Biham, Adi Shamir, Differential Cryptanalysis of the Data Encryption Standard, Springer Verlag, 1993. ISBN 0-387-97930-1, ISBN 3-540-97930-1. 基本观点 比较两个明文的异或(差分值)与相应的两个密文 的异或。分析特定明文差分对相应密文差分的影响 来获得可能性最大的密钥

DES差分分析 差分分析理论依据

DES差分分析 差分分析理论依据 Bj Bj*有序对

S1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 DES差分分析 差分分析理论依据 0000 0001 0010 0011 0100 0101 0110 0111 8 16 6 2 12 1000 1001 1010 1011 1100 1101 1110 1111 6 8

input xor 110100 output xor possible inputs 0000 0001 000011,001111,011110,011111,101010,101011,110111,111011 0010 000100,000101,001110,010001,010010,010100,011010,011011, 100000,100101,010110,101110,101111,110000,110001,111010 0011 000001,000010,010101,100001,110101,110110 0100 010011,100111 0101 0110 0111 000000,001000,001101,010111,011000,011101,100011,101001, 101100,110100,111001,111100 1000 001001,001100,011001,101101,111000,111101 1001 1010 1011 1100 1101 111001,010000,010110,011100,100010,100100,101000,110010 1110 1111 000111,001010,001011,110011,111110,111111 为了与3轮DES分析一致,可给出101111的表

DES差分分析 对8个S-盒中的每一个,都有64个可能的输入异或, 所以共需计算512个输入输出异或分布 Bj (6-bit) S-box(j-th) Bj (6-bit) Cj(4-bit)

DES差分分析 将以上规律由S-box向外扩展

DES差分分析 确定密钥

DES差分分析 明文 密文 差分分析应用举例—3轮DES 忽略IP置换,IP逆置换, 注:最后一轮交换

DES差分分析 缩减到3圈的DES的差分分析

DES差分分析 缩减到3圈的DES的差分分析

DES差分分析 缩减到3圈的DES的差分分析 *:差分值任意,0:差分值为0

DES差分分析 缩减到3圈的DES的差分分析

DES差分分析 缩减到3圈的DES的差分分析

DES差分分析 缩减到3圈的DES的差分分析 注意J5,只有7个位置有计数:可能的密钥集合有很多重合

DES差分分析 缩减到3圈的DES的差分分析

DES差分分析 我们现在可通过查找第3轮的密钥方案能构造出密 钥的48比特。密钥K具有下列形式: 0001101 0110001 0001101 0110001 01?01?0 1?00100 0101001 0000??0 111?11? ?100011 这里已略去了校验比特,“?”表示一个未知的 密钥比特。完全的密钥是(用16进制表示,并包 括校验比特)1A624C89520DEC46

DES差分分析 回顾差分分析(Biham,Shamir)

DES差分分析 影响差分特征概率的几个因素(多轮DES) 复杂性分析——选择明文个数,加密次数 活性S-盒:输入差分非零的S-盒 P置换、E扩展对活性S-盒的影响 1.注意J5,只有7个位置有计数:可能的密钥集合有很多重合 2.对于多轮DES,S-box输出差分能以确定(子密钥未知)… 3. 只有S-box,差分位置固定… More in Note

参考文献 Eli Biham, Adi Shamir, Differential Cryptanalysis of the Data Encryption Standard, Springer Verlag, 1993. ISBN 0-387- 97930-1, ISBN 3-540-97930-1. Biham, E. and A. Shamir. (1990). Differential Cryptanalysis of DES-like Cryptosystems. Advances in Cryptology — CRYPTO '90. Springer-Verlag. 2–21. Eli Biham, Adi Shamir,"Differential Cryptanalysis of the Full 16-Round DES," CS 708, Proceedings of CRYPTO '92, Volume 740 of Lecture Notes in Computer Science, December 1991. 

DES线性分析(linear cryptanalysis) M. Matsui提出线性分析攻击方法(1993) Matsui, M., Linear Cryptanalysis Method for DES Cipher, Advances in Cryptology-EUROCRYPT ’93 Lecture Notes in Computer Science, Volume 765, 1994, pp 386-397 线性分析是一种已知明文攻击 221个已知明文 8轮DES 247个已知明文 16轮DES

DES线性分析 基本思想 1.寻找有效的线性逼近式降低密钥的熵,从而破译 密码系统 2.极大似然法确定K [k1,k2…,kc]

DES线性分析 符号表示

DES线性分析 线性分析基本原理 N ¼|p-1/2|-2 1/2|p-1/2|-2 |p-1/2|-2 2|p-1/2|-2 Success Rate 84.1% 92.1% 97.7% 99.8%

DES线性分析 对n轮的DES进行线性分析时,在(n-1)轮DES的 最佳线性逼近式后面添加一轮 ,则逼近式变为 对每一个明-密文对,猜测最后一轮的密钥Kn,并 计算包含在线性关系式中的相关状态比特的异或 值。如果在该等式中带入一个不正确的候选者Kn, 那么这个等式的有效性显著降低 使用最大似然方法来推导 和 注意猜测Kn

DES线性分析 n轮的DES进行线性分析 N 2|p-1/2|-2 4|p-1/2|-2 8|p-1/2|-2 16|p-1/2|-2 Success Rate 48.6% 78.5% 96.7% 99.9%

DES线性分析 线性表达式及其成立概率

DES线性分析 线性分析基本原理

DES线性分析 线性分析基本原理 低位0st bit 注意:bit位置的表示 (8,14,25,3)[24,18,7,29] 高位 47th bit 低位0st bit 线性分析基本原理 [22](26) S5的输入X[4]: 从右向左(从0开始)是22 从左向右(从1开始) 实际是26,查E表,反推得到输入E前的17位,换算回来为(从右向左的)15位(32-17) S5的输出S(X)[0,1,2,3]: 从右向左(从0开始)[12,13,14,15] 从左向右(从1开始) (17,18,19,10) 考虑P置换后从左向右(从1开始)(8,14,25,3) 从右向左(从0开始)[24,18,7,29] (8,14,25,3)[24,18,7,29]

DES线性分析 以三轮DES为例

DES线性分析 以三轮DES为例

DES线性分析 堆积引理 归纳法证明

其他分组密码的分析方法 差分-线性分析,Susan K. Langford and Martin E. Hellman, Crypto 1994 截断差分和高阶差分, Lars R. Knudsen,FSE 1995 不可能差分分析,Biham, Biryuko,Shamir, Eurocrypt 1999 回飞棒攻击,David Wagner, FSE 1999

其他分组密码的分析方法 滑动攻击, Alex Biryukov and David Wagner, FSE 1999 矩形攻击, Eli Biham, Orr Dunkelman and Nathan Keller, Eurocrypt 2001 Square攻击, Daemen J., Knuden L. R., Rijmen V, FSE 1997

参考书目 Matsui, M., Linear Cryptanalysis Method for DES Cipher, Eurocrypt’93 应用密码学--协议、算法与C源程序, Bruce Schneier 冯登国,裴定一,密码学导引,科学出版社, 2001 A. Menezes, P. van Oorschot and S. Vanstone, Handbook of Applied Cryptography, CRC Press, 1996

参考书目 A. Menezes, P. van Oorschot and S. Vanstone, 胡磊, 王鹏译,应用密码学手册,电子工业出版社, 2005 冯登国,密码分析学,清华大学出版社,2000