1、什么是對稱密碼體制，分析DES算法及其應(yīng)用模式主講人：小組成員：孔黎明1目錄1235DES算法對稱密碼體制應(yīng)用模式DES問題討論4 DES的變形21對稱密碼體制密碼體制是指實現(xiàn)加密和解密的密碼方案，從使用密碼策略上，可分為對稱密碼體制（Symmetric Key Cryptosystem）和非對稱密碼體制（Asymmetric Key Cryptosystem）。在對稱密碼體制中，使用的密鑰必須完全保密，且要求加密密鑰和解密密鑰相同，或由其中的一個可以很容易地推出另一個。對稱密碼體制根據(jù)對明文的加密方式的不同而分為分組密碼和流密碼。分組密碼先按一定長度（如64字節(jié)、128字節(jié)等）對明文進(jìn)行分組

2、，以組為單位加/解密流密碼則不進(jìn)行分組，而是按位加密。 3對稱密碼體制加密算法信道解密算法明文密文明文密鑰加密密鑰解密密鑰相同或者可以互相推出優(yōu)點：加密或解密運算速度快，加密強(qiáng)度高，并且算法公開缺點：密鑰分發(fā)困難，更新周期長，不便于管理常見算法：DES、IDEA、AES等422DES算法（Data Encryption Standard） DES是分組長度為64比特的分組密碼算法，密鑰長度也是64比特，其中每8比特有一位奇偶校驗位，因此有效密鑰長度為56比特。DES算法是公開的，其安全性依賴于密鑰的保密程度。DES結(jié)構(gòu)框圖如圖2.1。圖2.1 DES加密算法框圖輸入64比特明文數(shù)據(jù)初始置換IP

3、在密鑰控制下16輪迭代交換左右32比特 初始逆置換IP-1輸出64比特密文數(shù)據(jù)5左圖為DES加密算法執(zhí)行過程，解密使用與加密同樣的算法 ，只是子密鑰的使用次序相反。其中迭代變換是DES算法的核心部分且較為復(fù)雜，在此單獨做出介紹。在每輪開始將輸入的64比特數(shù)據(jù)分成左、右長度相等的兩半，將右半部分原封不動地作為本輪輸出的64比特數(shù)據(jù)的左半部分，同時對右半部分進(jìn)行一系列的變換，即用輪函數(shù)作用右半部分，然后將所得結(jié)果（32比特數(shù)據(jù)）與輸入數(shù)據(jù)的左半部分進(jìn)行逐位異或，將所得數(shù)據(jù)作為本輪輸出的64比特數(shù)據(jù)的右半部分。6圖2.2 DES的一輪迭代Ri-1（32比特）選擇擴(kuò)展運算E48比特寄存器48比特寄存器

4、選擇壓縮運算S32比特寄存器置換運算PLi-1（32比特）子密鑰Ki（48比特）Ri（32比特）Li（32比特）Li=Ri-1Ri=Li-1F(Ri-1,Ki)輪函數(shù)F7DES中的子密鑰的生成8DES加解密過程令i表示迭代次數(shù)，表示異或，f為加密函數(shù)。DES的加密和解密過程表示如下。加密過程：解密過程：93DES問題討論其他性質(zhì)2）完全效應(yīng) 指密文中的每個比特都由明文的許多比特決定。由DES中的擴(kuò)展和S盒產(chǎn)生的擴(kuò)散和混淆作用表明了強(qiáng)烈的完全效應(yīng)。1）雪崩效應(yīng) 明文中的一個小變動將會引起密文的顯著變化。已經(jīng)證明，DES具有強(qiáng)烈的雪崩效應(yīng)。 例：對兩個只有一個比特的不同明文分組進(jìn)行加密（用同樣的密

5、鑰），觀察每輪加密后比特數(shù)的不同。明文：00000 密鑰：22234512987ABB23密文：4789FD476E82A5F1 明文：00001 密鑰： 22234512987ABB23密文：0A4ED5C15A63FEA3設(shè)計標(biāo)準(zhǔn)102、設(shè)計標(biāo)準(zhǔn)（1）S盒的設(shè)計每一行的元素都是從0-15的置換。S盒是非線性的。如果改變輸入的一個比特，輸出中的兩個或更多比特會改變。如果一個S盒的兩個輸入只有中間兩個比特不同（第3和第4個比特），輸出中至少有兩個比特不同。如果一個S盒的兩個輸入開頭的兩個比特不同（第1和第2比特），且最后兩個比特相同（第5和第6），則輸出一定不同。最后三個輸出比特得到的方式與第

6、一個比特相同，都是補(bǔ)充一些它的輸入比特。在兩個特定的對S盒排列的輸入可以構(gòu)造出相同的輸出。只改變相鄰的S盒的比特在單輪加密中可能出現(xiàn)箱體的輸出。（2）初始置換和擴(kuò)展置換不清楚為什么DES的設(shè)計者采用初始和最終置換，這沒有安全益處。在擴(kuò)展置換中，每4個比特序列的第一個和第四個會重復(fù)。113、其他（1）密鑰中的長度缺陷 關(guān)于DES算法的另一個最有爭議的問題就是擔(dān)心實際56比特的密鑰長度不足以抵御窮舉式攻擊，因為密鑰量只有2561017個。用現(xiàn)有的技術(shù)，一秒鐘可以檢查一百萬各密鑰。如果能夠制造出一臺擁有一百萬各芯片的電腦，我們可以在約20小時內(nèi)測試完成整個密鑰域。 1998年7月電子前沿基金會（EF

7、F）使用一臺25萬美元的電腦在56小時內(nèi)破譯了56比特密鑰的DES。 1999年1月RSA數(shù)據(jù)安全會議期間，電子前沿基金會用22小時15分鐘就宣告破解了一個DES的密鑰。 一個帶有56個比特密鑰密碼的DES還不是足夠安全的。（2）S盒的安全問題 有人認(rèn)為s盒可能存在陷門，但至今沒有跡象表明s盒中存在陷門。由于DES算法完全公開，其安全性完全依賴于對密鑰的保護(hù)，必須有可靠的信道來分發(fā)密鑰。如采用信使遞送密鑰等。因此，它不適合在網(wǎng)絡(luò)環(huán)境下單獨使用。121.兩重DES DES的變形雙重DES密鑰長度為112bit,密碼強(qiáng)度似乎增強(qiáng)了一倍，但問題并非如此。雙重DES易受中途攻擊C=EK2(EK1(P)

8、P=DK1(DK2(C)4132.三重DES（以被廣泛采用）優(yōu)點：能對付中途攻擊。密鑰長度為168bit 即用兩個56位的密鑰K1、K2，發(fā)送方用K1加密，K2解密，再使用K1加密。接收方則使用K1解密，K2加密，再使用K1解密，其效果相當(dāng)于將密鑰長度加倍。145應(yīng)用模式電子密碼本 ECB (electronic codebook mode)密碼分組鏈接 CBC (cipher block chaining)密碼反饋 CFB (cipher feedback)輸出反饋 OFB (output feedback)這四種工作模式適用于不同的應(yīng)用需求15 5.1電碼本模式（ECB） ECB (Ele

9、ctronic Codebook)模式是最簡單的運行模式，它一次對一個64比特長的明文分組加密，而且每次的加密密鑰都相同，如圖所示 。當(dāng)密鑰取定時，對每一個明文組，都有一個惟一的密文組與之對應(yīng)。Ci = EK(Pi) Pi = DK(Ci)16ECB的特點ECB用于短數(shù)據(jù)（如加密密鑰）是非常理想，長消息不夠安全簡單、有效可以并行實現(xiàn)不能隱藏明文的模式信息相同明文生成相同密文，同樣信息多次出現(xiàn)造成泄漏對明文的主動攻擊是可能的信息塊可被替換、重排、刪除、重放誤差傳遞：密文塊損壞僅對應(yīng)明文塊損壞適合于傳輸短信息17 典型應(yīng)用：（1）用于隨機(jī)數(shù)的加密保護(hù)； （2）用于單分組明文的加密。優(yōu)點：(1) 實

10、現(xiàn)簡單; (2) 不同明文分組的加密可并行實施,尤其是硬件實現(xiàn)時速度很快.缺點：不同的明文分組之間的加密獨立進(jìn)行,故保留了單表代替缺點,造成相同明文分組對應(yīng)相同密文分組,因而不能隱蔽明文分組的統(tǒng)計規(guī)律和結(jié)構(gòu)規(guī)律,不能抵抗替換攻擊.ECB模式的優(yōu)、缺點和應(yīng)用18 敵手C通過截收從A到B的加密消息，只要將第5至第12分組替換為自己的姓名和帳號相對應(yīng)的密文，即可將別人的存款存入自己的帳號。例: 假設(shè)銀行A和銀行B之間的資金轉(zhuǎn)帳系統(tǒng)所使用報文模式如下：19例：假定伊夫每月工資非常低，她知道公司對每一個雇員都使用幾個信息分組，這里第七個分組就是存入該雇員帳戶的錢數(shù)。伊夫可以在月底攔截送往銀行的密文，然后

11、復(fù)制一個全職雇員的工資信息分組，并用這個分組替換她自己的工資信息分組，這樣伊夫每月都可以得到比應(yīng)得報酬多的錢。 為了克服ECB的安全性缺陷，我們希望設(shè)計一個工作模式,可以使得當(dāng)同一個明文分組重復(fù)出現(xiàn)時產(chǎn)生不同的密文分組。一個簡單的方法是密碼分組鏈接，從而使輸出不僅與當(dāng)前輸入有關(guān)，而且與以前輸入和輸出有關(guān)。20 5.2 密碼分組鏈接模式（CBC） 為了克服ECB的缺陷，希望設(shè)計一種方案使同一明文分組重復(fù)出現(xiàn)時產(chǎn)生的密文分組不同。一種簡單的方案就是密碼分組鏈接(Cipher Block Chaining)模式。每次加密使用同一密鑰，加密算法的輸入是當(dāng)前明文與前一次密文組的異或。因此加密算法的輸入與

12、明文分組之間不再有固定的關(guān)系，所以重復(fù)的明文分組不會在密文中暴露。21圖4.15 CBC模式（加密）加密P1VIKC1n比特n比特加密P2KC2n比特n比特加密PNCN-1KCNn比特n比特221. 明文塊的統(tǒng)計特性得到了隱蔽。 CBC模式的特點：由于在密文CBC模式中，各密文塊不僅與當(dāng)前明文塊有關(guān)，而且還與以前的明文塊及初始化向量有關(guān)，從而使明文的統(tǒng)計規(guī)律在密文中得到了較好的隱蔽。2. 具有有限的(兩步)錯誤傳播特性。 一個密文塊的錯誤將導(dǎo)致兩個密文塊不能正確脫密.3. 具有自同步功能 密文出現(xiàn)丟塊和錯塊不影響后續(xù)密文塊的脫密.若從第t塊起密文塊正確,則第t+1個明文塊就能正確求出.23安全

13、問題相同明文：在相同密鑰和VI 下，加密相同的明文會得到相同密文分組。鏈接依賴性：鏈接機(jī)制致使密文Ci依賴于Pi以及所有前面的明文分組，重排密文的順序會影響到解密。錯誤傳播：解密時，密文分組Ci中一個單比特錯誤會影響到其他分組；加密時，修改一個明文分組會改變以后所有密文分組。 當(dāng)密文分組Ci中一個單比特錯誤時，解密結(jié)果受影響的分組是哪些？ 密文分組Ci中一個單比特錯誤會影響到明文分組Pi中大部分比特的錯誤，只對明文分組Pi+1中的一個比特（相同位置）起作用。單個錯誤對從Pi+2到明文PN的明文分組沒有影響。 典型應(yīng)用: (1) 數(shù)據(jù)加密; (2) 完整性認(rèn)證和身份認(rèn)證; 24 例： 電腦彩票的

14、防偽技術(shù) -彩票中心檢查兌獎的電腦彩票是否是自己發(fā)行的 問題：如何防止電腦彩票的偽造問題。 方法： （1）選擇一個分組密碼算法和一個認(rèn)證密鑰，將他們存于售票機(jī)內(nèi)； （2）將電腦彩票上的重要信息，如彩票期號、彩票號碼、彩票股量、售票單位代號等重要信息按某個約定的規(guī)則作為彩票資料明文； （3）對彩票資料明文擴(kuò)展一個校驗碼分組后，利用認(rèn)證密鑰和分組密碼算法對之加密，并將得到的最后一個分組密文作為認(rèn)證碼打印于彩票上面； 認(rèn)證過程： 執(zhí)行（3）,并將計算出的認(rèn)證碼與彩票上的認(rèn)證碼比較，二者一致時判定該彩票是真彩票，否則判定該彩票是假彩票。255.3 密碼反饋模式(CFB) 若待加密的消息必須按字符（如電

15、傳電報）處理時，可以采用CFB (Cipher Feedback)模式或OFB (Output Feedback)模式，這樣做事實上將DES轉(zhuǎn)換成為流密碼。流密碼不需要對消息填充，而且運行是實時的。因此如果傳送字母流，可使用流密碼對每個字母直接加密并傳送。2664比特64-j比特64比特加密j比特j比特左移j比特 64-j比特(丟棄） Ci1K.64比特移位寄存器64-j比特j比特64比特加密j比特64-j比特(丟棄）Ci左移j比特Ci-1K.Pi+1Pi64比特加密j比特64-j比特(丟棄）.K:ViC1:圖4.16密碼反饋模式加密過程P12764比特64-j比特64比特加密j比特j比特左移

16、j比特 64-j比特(丟棄） 64比特移位寄存器64-j比特j比特64比特加密j比特64-j比特(丟棄）Ci左移j比特Ci-1K.Pi64比特加密j比特64-j比特(丟棄）.K:ViC1.Ci+1Pi+1P1圖4.17 CFB模式解密過程:K28安全問題相同明文:同CBC。鏈接依賴：密文分組的正確性依賴于其前面所有明文分組的正確性，密文分組正確解密要求之前n/r個密文組也正確。錯誤傳播：傳輸過程中密文分組Ci的一個單比特錯誤就可以在明文分組Pi中產(chǎn)生一個單筆特錯誤（相同位置上）。只要Ci中的一些比特還在移位寄存器中，接下來的明文分組中的大多數(shù)比特都是錯誤的（50%的概率）。錯誤恢復(fù):自同步，需

17、要n/r個分組才能恢復(fù)吞吐量：降低了加密速度。295.4 輸出反饋模式（OFB） OFB (Output Feedback) 模式在結(jié)構(gòu)上類似于CFB ，如圖所示 。不同之處是OFB模式將加密算法的輸出反饋到移位寄存器，而CFB模式是將密文單元反饋到移位寄存器。 3064-j比特(丟棄）Pi164比特64-j比特64比特加密j比特j比特左移j比特 64-j比特(丟棄） K.64比特移位寄存器64-j比特j比特64比特加密j比特64-j比特(丟棄）Pi左移j比特K.Ci+1Ci64比特加密j比特.K:VIP1(b) 加密C1圖4.18 OFB模式3164比特64-j比特64比特加密j比特j比特左移j比特 64-j比特(丟棄） K.64比特移位寄存器64-j比特j比特64比特加密j比特64-j比特(丟棄）Ci左移j比特Ci-1K.Pi+1Pi64比特加密j比特64-j比特(丟棄）.K:VIC1(b) 解密P1Ci1圖4.18 OFB模式32特點： 與 CFB模式相比，OFB模式的優(yōu)點是傳輸過程中的比特錯誤不會被傳播。例如C1中出現(xiàn)一比特錯誤，在解密結(jié)果中只有P1受影響，以后各明文單元則不受影響 。 OFB模式的缺點是難于檢測密文是否被篡改。如在密