Download presentation
Presentation is loading. Please wait.
1
第四章 现代常规的分组加密算法 主要考察较为流行的最重要的几个对称密钥的分组密码算法。这些算法都是自DES公布之后,人们了解DES的弱点越来越深入的情况下给出的。给出的方式有两种,一种是对DES进行复合,强化它的抗攻击能力;另一种是开辟新的方法,即象DES那样加解密速度快,又具有抗差分攻击和其他方式攻击的能力。
2
我们主要考察如下三种加密算法 1.Triple DES 2.IDEA 3.RC5
其他一些较实用的算法,自己看书了解,如Blowfish,CAST,以及RC2。
3
1 TRIPLE DES DES算法设计的优点是很多的。如何加强DES的安全性是一个世纪感兴趣的问题。Quisquater等曾建议采用长达768 bits密钥的方案。由于已经证明DES不能成为群,见 K.W.Campbell and M.J.Wiener Proof that DES is not a group In Advances in Cryptology——Crpto’92. Springer——Verlag, New York,1993. 于是多重DES,尤其是三重DES还在普遍使用。
4
(1)二重DES(Double DES) 给定明文P和两个加秘密钥k1和k2,采用DES对P进行加密E,有 密文 C=EK2(EK1(P)) 对C进行解密D,有 明文 P=DK1(DK2(C)) K2 K1 K1 K2 X X P C P E E C D D 加密图 解密图
5
对于二重DES的加密,所用密钥的长度为 56×2=112 bits 这样是否真正能增强DES的强度呢?问题在于下式能否成立: EK2(EK1(P)) =EK3(P) (4.1) DES是一个从集合A到集合A的一个映射。其中: 映射DES事实上可视为对A的一个作用,作用方式为置换。所有可能的置换数为 (264)!。 然而,DES对每一个不同的密钥只决定唯一的映射。而密钥数256<107,(4.1)式不能成立。
6
关于DES不是群的详细证明见上面给的文献。
注:二重DES很难抵挡住中间相遇攻击法(Meet-in-the-Middle Attack)
7
X=EK1(P)=DK2(C) 由 C=EK2(EK1(P)) 从图中可见 K2 K1 X P C 加密 E E K1 K2 X C D D
解密
8
若给出一个已知的明密文对(P,C)做:对256个所有密钥K1做对明文P的加密,得到一张密钥对应于密文X的一张表;类似地对256个所有可能的密钥K2做对密文C的解密,得到相应的“明文”X。做成一张X与K2的对应表。比较两个表就会得到真正使用的密钥对K1,K2。
9
对二重DES的中间相遇攻击的分析 已知,给定一个明文P,经二重DES加密有264个可能的密文。而二重DES所用密钥的长度应是112 bits,所以选择密钥有2112个可能性。于是对给定明文P加密成密文有2112/264=248种可能。于是,密文是假的比例约为248-64=2-16。这样,对已知明文-密文对的中间相遇攻击成功的概率为1-2-16。 攻击用的代价{加密或解密所用运算次数} ≦ =2112
10
(2)带有双密钥的三重DES (Triple DES with Two Keys)
Tuchman给出双密钥的EDE模式(加密-解密-加密): C=EK1(DK2(EK1(P))) ……对P加密 P=DK1(EK2(DK1(C))) ……对C解密 这种替代DES的加密较为流行并且已被采纳用于密钥管理标准(The Key Manager Standards ANSX9.17和ISO8732).
11
K2 K1 K1 A B P C E D E 加密图 K2 K1 K1 B A P C D E D 解密图
12
到目前为止,还没有人给出攻击三重DES的有效方法。对其密钥空间中密钥进行蛮干搜索,那么由于空间太大为2112=5×1033,这实际上是不可行的。若用差分攻击的方法,相对于单一DES来说复杂性以指数形式增长,要超过1052。 注意: 1*. Merkle和Hellman设法创造一个条件,想把中间相遇攻击(meet-in-the-middle attack)的方法用于三重DES,但目前也不太成功。 2*. 虽然对上述带双密钥的三重DES到目前为止还没有好的实际攻击办法,但人们还是放心不下,又建议使用三密钥的三重DES,此时密钥总长为168bits. C=EK3(DK2(EK1(P)))
13
2 RC5 RC5是对称加密算法,由RSA公司的首席科学家R.Rivest于1994年设计,1995年正式公开的一个很实用的加密算法。
14
RC5具有如下的特性: 1. 适用于软件或者硬件实现 2. 运算速度快 3. 能适应于不同字长的程序(一个字的bit数是RC5的一个参数;不同字长派生出相异的算法) 4. 加密的轮数可变(轮数是RC5的第二个参数,这个参数用来调整加密速度和安全性的程度) 5. 密钥长度是可变的(密钥长度是RC5的第三个参数) 6. RC5形式简单,易于实现,加密强度可调节 7. 对记忆度要求不高(使RC5可用于类似Smart Card这类的对记忆度有限定的器件) 8. 高保密性(适当选择好参数) 9. 对数据实行bit循环移位(增强抗攻击能力)
15
对RC5的系统描述: (1)RC5的参数 RC5实际上是由三个参数决定的一组加密算法。 参数 定义 允许值
参数 定义 允许值 w 字的bit数大小。RC5加密 ,32,64 的基本单位为2个字块 r 轮数 ,1, …,255 b 密钥字节的长度(8-bit bytes) 0,1, …,255
16
RC5加密明文块的长度为32,64,128 bits。并且对应同样长度的密文。密钥长度为从0到2040 bits。一个特定的RC5表示为
RC5-w/r/b Rivest建议使用的标注RC5为 RC5-32/12/16 (明文分组长度64,加密轮数12,密钥长度128 bits)
17
(2) RC5的密钥扩展 对给定的密钥K来说,经过一些复合运算可产生总数为t的字密钥,使得每一轮都分配一对密钥。除此之外的非轮运算部分也要分配一对密钥。总计产生 t=2r+2 个子密钥,每个密钥的长度为一个字长(w bits)。子密钥可标记在t-字阵列中: s[0],s[1], …,s[t-1] 它为w×t矩阵 这种阵列的产生图示为:
18
初始化 words r,w …… K[0] K[1] K[b-1] Bytes 转换 s[0] S[1] …… S[t-1] …… L[0]
L[c-1] words 混合 …… S[0] S[1] S[t-1] words
![初始化 words r,w …… K[0] K[1] K[b-1] Bytes 转换 s[0] S[1] …… S[t-1] …… L[0]](http://slidesplayer.com/slide/14986979/91/images/18/%E5%88%9D%E5%A7%8B%E5%8C%96+words+r%2Cw+%E2%80%A6%E2%80%A6+K%5B0%5D+K%5B1%5D+K%5Bb-1%5D+Bytes+%E8%BD%AC%E6%8D%A2+s%5B0%5D+S%5B1%5D+%E2%80%A6%E2%80%A6+S%5Bt-1%5D+%E2%80%A6%E2%80%A6+L%5B0%5D.jpg "L[c-1] words. 混合. …… S[0] S[1] S[t-1] words.")
19
将参数r,w输入,左面标出的t-字阵列是一些伪随机bit,按r,w的规格选入的。然后把b-bits长的密钥K[0, …,b-1]转换成c-字阵列L[0, …,c-1](字的bit数为w,这里c=b×8/w;注意:密钥长度为b个字节)。如果b不是w的整数倍,那么L右端的空位用0填入。 下面描述密钥生成的细节:
![将参数r,w输入,左面标出的t-字阵列是一些伪随机bit,按r,w的规格选入的。然后把b-bits长的密钥K[0, …,b-1]转换成c-字阵列L[0, …,c-1](字的bit数为w,这里c=b×8/w;注意:密钥长度为b个字节)。如果b不是w的整数倍,那么L右端的空位用0填入。](http://slidesplayer.com/slide/14986979/91/images/19/%E5%B0%86%E5%8F%82%E6%95%B0r%EF%BC%8Cw%E8%BE%93%E5%85%A5%EF%BC%8C%E5%B7%A6%E9%9D%A2%E6%A0%87%E5%87%BA%E7%9A%84t-%E5%AD%97%E9%98%B5%E5%88%97%E6%98%AF%E4%B8%80%E4%BA%9B%E4%BC%AA%E9%9A%8F%E6%9C%BAbit%EF%BC%8C%E6%8C%89r%2Cw%E7%9A%84%E8%A7%84%E6%A0%BC%E9%80%89%E5%85%A5%E7%9A%84%E3%80%82%E7%84%B6%E5%90%8E%E6%8A%8Ab-bits%E9%95%BF%E7%9A%84%E5%AF%86%E9%92%A5K%5B0%2C+%E2%80%A6%2Cb-1%5D%E8%BD%AC%E6%8D%A2%E6%88%90c-%E5%AD%97%E9%98%B5%E5%88%97L%5B0%2C+%E2%80%A6%2Cc-1%5D%EF%BC%88%E5%AD%97%E7%9A%84bit%E6%95%B0%E4%B8%BAw%EF%BC%8C%E8%BF%99%E9%87%8Cc%3Db%C3%978%2Fw%EF%BC%9B%E6%B3%A8%E6%84%8F%EF%BC%9A%E5%AF%86%E9%92%A5%E9%95%BF%E5%BA%A6%E4%B8%BAb%E4%B8%AA%E5%AD%97%E8%8A%82%EF%BC%89%E3%80%82%E5%A6%82%E6%9E%9Cb%E4%B8%8D%E6%98%AFw%E7%9A%84%E6%95%B4%E6%95%B0%E5%80%8D%EF%BC%8C%E9%82%A3%E4%B9%88L%E5%8F%B3%E7%AB%AF%E7%9A%84%E7%A9%BA%E4%BD%8D%E7%94%A80%E5%A1%AB%E5%85%A5%E3%80%82.jpg "下面描述密钥生成的细节:")
20
Pw=Odd((e-2)2w) 对于给定的参数r和w,开始初始化运算 Qw=Odd((Φ -1)2w) 这里
Φ = …(黄金分割比率) 并且Odd[x]表示最接近x且可左可右的奇整数。 例: Odd[e]=3, Odd[Φ ]=1 用上述两个常数,按下述方式得到初始化的阵列S: S[0]=Pw For i=1 to t-1 do S[i]=S[i-1]+Qw 其中的加法是模2w的加法运算。
21
得到初始化阵列S,然后与最后产生的密钥阵列L做混合,最终得到子密钥阵列。
i=j=x=y=0 do 3×max(t,c) times: { S[i]=(S[i]+X+Y)<<<3; X=S[i];i=(i+1)(mod t); L[j]=(L[j]+X+Y)<<<(X+Y); Y=L[j];j=(j+1)(mod c); } 2*. Rivest 声称,这个扩张函数具有单向性。
22
(3) RC5的加密 整个加密使用了下述3个基本运算和它们的逆运算: 模2w加法运算,表示为“+”; 逐比特异或运算,表示为“⊕”; 字的循环左移运算:字x循环左移y比特,表示为 x<<<y 它的逆为循环右移y比特,表示为 x>>>y 如(a0,a1,a2, …,an-1)<<<3=(a3,a4, …,an-1,a0,a1,a2)
23
加密运算图: 明文(2w bits) A B S[0] Round1 S[1] + + ⊕ ⊕ <<<
LE0 RE0 ⊕ ⊕ <<< <<< S[2] S[3] + + LE1 RE1 … … Round r ⊕ ⊕ <<< <<< S[2r] S[2r+1] + + LEr REr 密文(2w bits)
![加密运算图: 明文(2w bits) A B S[0] Round1 S[1] + + ⊕ ⊕ <<<](http://slidesplayer.com/slide/14986979/91/images/23/%E5%8A%A0%E5%AF%86%E8%BF%90%E7%AE%97%E5%9B%BE%EF%BC%9A+%E6%98%8E%E6%96%87%EF%BC%882w+bits%29+A+B+S%5B0%5D+Round1+S%5B1%5D+%2B+%2B+%E2%8A%95+%E2%8A%95+%3C%3C%3C.jpg "LE0. RE0. ⊕ ⊕ <<< <<< S[2] S[3] + + LE1. RE1. … … Round r. ⊕ ⊕ <<< <<< S[2r] S[2r+1] + + LEr. REr. 密文(2w bits)")
24
将明文分组为左右A,B;用变量Lei,Rei参与
运算程序为: LE0=A+S[0] RE0=B+S[1] for i=1 to r do LEi= ((LEi-1⊕REi-1)<<<REi-1)+S[2×i]; REi=((REi-1 ⊕LEi)<<<LEi)+S[2×i+1];
25
(4) RC5的解密 对两个1-字变量LDr和RDr。用变量LDi和RDi从r到1做: for i=r down to 1 do RDi-1=((RDi-S[2*i+1]>>>LDi) ⊕LDi); LDi-1=((LDi-S[2*i]>>>RDi-1) ⊕RDi-1); B=RD0-S[1]; A=LD0-S[0]. (5) RC5操作模式 见书119页-120页
![(4) RC5的解密 对两个1-字变量LDr和RDr。用变量LDi和RDi从r到1做: for i=r down to 1 do. RDi-1=((RDi-S[2*i+1]>>>LDi) ⊕LDi);](http://slidesplayer.com/slide/14986979/91/images/25/%EF%BC%884%EF%BC%89+RC5%E7%9A%84%E8%A7%A3%E5%AF%86+%E5%AF%B9%E4%B8%A4%E4%B8%AA1-%E5%AD%97%E5%8F%98%E9%87%8FLDr%E5%92%8CRDr%E3%80%82%E7%94%A8%E5%8F%98%E9%87%8FLDi%E5%92%8CRDi%E4%BB%8Er%E5%88%B01%E5%81%9A%EF%BC%9A+for+i%3Dr+down+to+1+do.+RDi-1%3D%28%28RDi-S%5B2%2Ai%2B1%5D%3E%3E%3ELDi%29+%E2%8A%95LDi%29%3B.jpg "LDi-1=((LDi-S[2*i]>>>RDi-1) ⊕RDi-1); B=RD0-S[1]; A=LD0-S[0]. (5) RC5操作模式. 见书119页-120页.")
26
明文(2w 比特) B A S[0] S[1] - - Round 1 ⊕ ⊕ >>> >>> S[2]
LD0 RD0 Round 1 ⊕ ⊕ >>> >>> S[2] S[3] - - RDr-1 LDr-1 … … Round r ⊕ ⊕ >>> >>> S[2r] S[2r+1] - - RDr LDr 密文(2w 比特)
![明文(2w 比特) B A S[0] S[1] - - Round 1 ⊕ ⊕ >>> >>> S[2]](http://slidesplayer.com/slide/14986979/91/images/26/%E6%98%8E%E6%96%87%EF%BC%882w+%E6%AF%94%E7%89%B9%EF%BC%89+B+A+S%5B0%5D+S%5B1%5D+-+-+Round+1+%E2%8A%95+%E2%8A%95+%3E%3E%3E+%3E%3E%3E+S%5B2%5D.jpg "LD0. RD0. Round 1. ⊕ ⊕ >>> >>> S[2] S[3] - - RDr-1. LDr-1. … … Round r. ⊕ ⊕ >>> >>> S[2r] S[2r+1] - - RDr. LDr. 密文(2w 比特)")
27
3 RC6分组密码简介 被选为21世纪加密标准算法。RC6是RC5的进一步改进。像RC5那样,RC6实际上是利用数据的循环移位。
RC6的加密程序:RC6-w/r/b Input: 明文存入四个w-bit寄存器A,B,C,D 轮数r w-bit轮密钥S[0,1, …,2r+3] Output:密文存入寄存器A,B,C,D
28
Procedure: B=B+S[0] D=D+S[1] for i=1 to r do { t=(B×(2B+1))<<<㏒2w u=(D×(2D+1))<<< ㏒2w A=((A⊕t)<<<u)+S[2i] C=((C ⊕u)<<<t)+S[2i+1] (A,B,C,D)=(B,C,D,A) …………右边寄存器到左边 } 寄存器的并行分配 A=A+S[2r+2] C=C+S[2r+3]
![Procedure: B=B+S[0] D=D+S[1] for i=1 to r do. { t=(B×(2B+1))<<<㏒2w. u=(D×(2D+1))<<< ㏒2w. A=((A⊕t)<<<u)+S[2i]](http://slidesplayer.com/slide/14986979/91/images/28/Procedure%3A+B%3DB%2BS%5B0%5D+D%3DD%2BS%5B1%5D+for+i%3D1+to+r+do.+%7B+t%3D%28B%C3%97%282B%2B1%29%29%3C%3C%3C%E3%8F%922w.+u%3D%28D%C3%97%282D%2B1%29%29%3C%3C%3C+%E3%8F%922w.+A%3D%28%28A%E2%8A%95t%29%3C%3C%3Cu%29%2BS%5B2i%5D.jpg "C=((C ⊕u)<<<t)+S[2i+1] (A,B,C,D)=(B,C,D,A) …………右边寄存器到左边. } 寄存器的并行分配. A=A+S[2r+2] C=C+S[2r+3]")
29
RC6-w/r/b加密图,其中f(x)=x× (2x+1):
D B C A S[0] + S[1] + ⊕ ⊕ <<< f <<< f log2w log2w log2w <<< Repeat For r rounds <<< + + S[2i] S[2i+1] … … … … S[2r+3] S[2r+2] + + D A B C
Similar presentations
