《密碼編碼學與網(wǎng)絡(luò)安全（第五版）》全冊配套課件信息保障與安全2024/9/4華中農(nóng)業(yè)大學信息學院32024/9/43教材和參考書教材：WilliamStallings,Cryptographyandnetworksecurity:principlesandpractice,5rdEdition

密碼編碼學與網(wǎng)絡(luò)安全—原理與實踐（第五版），電子工業(yè)出版社，2012.012024/9/4華中農(nóng)業(yè)大學信息學院42024/9/44教材和參考書參考教材：馬建峰.計算機系統(tǒng)安全（第二版），西安電子科技大學出版社，2007.盧開澄．計算機密碼學—計算機網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全（第3版）清華大學出版社，2003.BruceSchneier.

AppliedCryptography,Protocols,algorithms,and

sourcecodeinC(2ndEdition)，1996(中譯本：應用密碼學－協(xié)議、算法與C源程序，

機械工業(yè)出版社，2000.1)閔嗣鶴，初等數(shù)論，高等教育出版社，2003.……2024/9/4華中農(nóng)業(yè)大學信息學院5學習目標理解信息安全的基本原理和技術(shù);了解一些最新研究成果;掌握網(wǎng)絡(luò)與信息安全的理論基礎(chǔ),具備研究與實踐的基本能力。2024/9/4華中農(nóng)業(yè)大學信息學院6主要安全內(nèi)容密碼學計算機安全網(wǎng)絡(luò)安全Internet安全2024/9/4華中農(nóng)業(yè)大學信息學院7課程內(nèi)容第一部分對稱密碼對稱密碼，古典算法和現(xiàn)代算法，DES和AES第二部分公鑰密碼公鑰密碼，RSA和ECC，公鑰密碼的應用第三部分網(wǎng)絡(luò)安全密碼算法和安全協(xié)議的應用，用戶認證、電子郵件、IP安全和Web安全第四部分系統(tǒng)安全系統(tǒng)安全措施，入侵、病毒、蠕蟲和防火墻技術(shù)2024/9/4華中農(nóng)業(yè)大學信息學院8考核方式方式：課堂講授課外閱讀考試：

閉卷考試2024/9/4華中農(nóng)業(yè)大學信息學院9引言2024/9/4華中農(nóng)業(yè)大學信息學院10三個關(guān)鍵概念計算機安全（ComputerSecurity）對于一個自動化的信息系統(tǒng)，采取保護措施確保信息系統(tǒng)資源（包括硬件、軟件、固件、信息/數(shù)據(jù)和通信）的保密性、完整性、可用性。NIST《計算機安全手冊》網(wǎng)絡(luò)安全（

NetworkSecurity）

保護數(shù)據(jù)在傳輸中安全的方法互聯(lián)網(wǎng)安全（InternetSecurity）

保護數(shù)據(jù)安全通過互聯(lián)網(wǎng)絡(luò)的方法2024/9/4華中農(nóng)業(yè)大學信息學院11網(wǎng)絡(luò)安全核心需求網(wǎng)絡(luò)安全核心地位的三個關(guān)鍵目標保密性（Confidentiality）數(shù)據(jù)保密性隱私性完整性（Integrity）數(shù)據(jù)完整性系統(tǒng)完整性可用性（Availability）可認證性（Authenticity）可審計性（Accountability）2024/9/4華中農(nóng)業(yè)大學信息學院12網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nternet一方面成為人們離不開的信息工具，同時也成為公開的攻擊對象目標。網(wǎng)絡(luò)的全球性、開放性、無縫連通性、共享性、動態(tài)性，使任何人都可以自由地接入Internet，其中有善者，也有惡者。惡意者時刻在試圖穿透別人的系統(tǒng)，搗毀別人的信箱、散布破壞性信息、傾瀉信息拉圾。2024/9/4華中農(nóng)業(yè)大學信息學院13EmailWebISP門戶網(wǎng)站E-Commerce電子交易復雜程度時間Internet變得越來越重要2024/9/4華中農(nóng)業(yè)大學信息學院14網(wǎng)絡(luò)安全問題日益突出混合型威脅(RedCode,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件的病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵70,00060,00050,00040,00030,00020,00010,000已知威脅的數(shù)量2024/9/4華中農(nóng)業(yè)大學信息學院15CERT有關(guān)安全事件的統(tǒng)計

計算機緊急響應組織（CERT）

年份事件報道數(shù)目198861989132199025219914061992773199313341994234019952412199625731997213419983734199998592000217562001526582024/9/4162024/9/4華中農(nóng)業(yè)大學信息學院172011年網(wǎng)絡(luò)安全事件2011年末，中國公眾經(jīng)歷了一次大規(guī)模個人信息泄露事件的洗禮，幾乎人人自危。CSDN、天涯等眾多互聯(lián)網(wǎng)公司的賬戶密碼信息被公開下載；12月4日伊朗捕獲了一架美國RQ-170“哨兵”無人機；4月，索尼迄今為止遭遇到的規(guī)模最大的黑客攻擊；3月，RSA被網(wǎng)絡(luò)釣魚；美國花旗銀行6月8日證實，該銀行系統(tǒng)日前被黑客侵入，21萬北美地區(qū)銀行卡用戶的姓名、賬戶、電子郵箱等信息或遭泄露；…

2024/9/4華中農(nóng)業(yè)大學信息學院18誰在攻擊網(wǎng)絡(luò)？通過何種手段攻擊網(wǎng)絡(luò)？2024/9/4華中農(nóng)業(yè)大學信息學院19WhoisAttackingSystems?2024/9/4華中農(nóng)業(yè)大學信息學院20網(wǎng)絡(luò)中存在的安全威脅系統(tǒng)穿透(Systempenetration)違反授權(quán)原則(Autherizationviolation)植入(Planting)通信監(jiān)視(Communicutionsmonitoring)通信竄擾(Communicationstampering)中斷(Interruption)拒絕服務(wù)(Denialofservice)否認(Repudiation)病毒2024/9/4華中農(nóng)業(yè)大學信息學院21OSI安全框架ITU-TX.800“SecurityArchitectureforOSI”即OSI安全框架；提供了一個定義和提供安全需求的系統(tǒng)化方法；提供了一個有用的學習研究的概貌。ITU:國際電信聯(lián)盟OSI:開放式系統(tǒng)互聯(lián)2024/9/4華中農(nóng)業(yè)大學信息學院22OSI安全框架安全攻擊，securityattack任何危及系統(tǒng)信息安全的活動。安全服務(wù)，securityservice加強數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N服務(wù)。目的在于利用一種或多種安全機制阻止安全攻擊。安全機制，securitymechanism用來保護系統(tǒng)免受偵聽、阻止安全攻擊及恢復系統(tǒng)的機制。2024/9/4華中農(nóng)業(yè)大學信息學院23安全攻擊攻擊/威脅？攻擊的類型被動攻擊主動攻擊2024/9/4華中農(nóng)業(yè)大學信息學院24被動攻擊（1）2024/9/4華中農(nóng)業(yè)大學信息學院25被動攻擊（2）是在未經(jīng)用戶同意和認可的情況下將信息或數(shù)據(jù)文件泄露給系統(tǒng)攻擊者，但不對數(shù)據(jù)信息做任何修改。常見手段：搭線監(jiān)聽；無線截獲；其他截獲。不易被發(fā)現(xiàn)。重點在于預防，如使用虛擬專用網(wǎng)（VPN）、采用加密技術(shù)保護網(wǎng)絡(luò)以及使用加保護的分布式網(wǎng)絡(luò)等。2024/9/4華中農(nóng)業(yè)大學信息學院26主動攻擊（1）2024/9/4華中農(nóng)業(yè)大學信息學院27主動攻擊（2）涉及某些數(shù)據(jù)流的篡改或虛假流的產(chǎn)生。通常分為：假冒；重放；篡改消息；拒絕服務(wù)。

能夠檢測出來。不易有效防止，具體措施包括自動審計、入侵檢測和完整性恢復等。2024/9/4華中農(nóng)業(yè)大學信息學院28安全機制要具備檢測、防御或從安全攻擊中恢復的能力沒有單一的機制能夠提供所有的安全服務(wù)一個機制往往構(gòu)成其它安全機制的基礎(chǔ)，如:加密技術(shù)2024/9/4華中農(nóng)業(yè)大學信息學院29安全機制(X.800)特定的安全機制（specificsecuritymechanisms）:加密，

數(shù)字簽名，

訪問控制，數(shù)據(jù)完整性，認證交換，流量填充，路由控制，公證等普遍的安全機制（pervasivesecuritymechanisms）:可信功能，安全標簽，事件檢測，安全審計跟蹤，安全恢復等2024/9/4華中農(nóng)業(yè)大學信息學院30安全服務(wù)強化一個組織的數(shù)據(jù)處理系統(tǒng)和信息傳輸中的安全性對安全攻擊的反擊采用一個或更多的安全機制

對文檔進行安全地分發(fā)例如簽名，對信息進行保護以免披露、損害或毀壞2024/9/4華中農(nóng)業(yè)大學信息學院31安全服務(wù)X.800:為系統(tǒng)協(xié)議層提供的服務(wù)，用來保證系統(tǒng)或數(shù)據(jù)的傳輸有足夠的安全性。RFC2828:一種由系統(tǒng)提供的對系統(tǒng)資源進行特殊保護的處理或通信服務(wù)，安全服務(wù)通過安全機制來實現(xiàn)安全策略。2024/9/4華中農(nóng)業(yè)大學信息學院32安全服務(wù)(X.800)可認證性

-assurancethatthecommunicatingentityistheoneclaimed訪問控制-preventionoftheunauthorizeduseofaresource機密性Confidentiality-protectionofdatafromunauthorizeddisclosure完整性Integrity-assurancethatdatareceivedisassentbyanauthorizedentity不可否認性Non-repudiation-protectionagainstdenialbyoneofthepartiesinacommunication可用性

-availability2024/9/4華中農(nóng)業(yè)大學信息學院33安全服務(wù)與機制間的關(guān)系表1.62024/9/4華中農(nóng)業(yè)大學信息學院34網(wǎng)絡(luò)安全模型2024/9/4華中農(nóng)業(yè)大學信息學院35網(wǎng)絡(luò)安全模型設(shè)計安全服務(wù)應包含四個方面內(nèi)容：

設(shè)計執(zhí)行安全相關(guān)傳輸?shù)乃惴?/p>

產(chǎn)生算法所使用的秘密信息

設(shè)計分配和共享秘密信息的方法

指明通信雙方使用的協(xié)議，該協(xié)議利用安全算法和秘密信息實現(xiàn)安全服務(wù)2024/9/4華中農(nóng)業(yè)大學信息學院36網(wǎng)絡(luò)訪問安全模型2024/9/4華中農(nóng)業(yè)大學信息學院37網(wǎng)絡(luò)訪問安全模型需要做到:選擇合適的門衛(wèi)功能以識別用戶

實現(xiàn)安全控制以確保只有授權(quán)用戶才可以訪問被指定的信息或資源

可信計算機系統(tǒng)

2024/9/4華中農(nóng)業(yè)大學信息學院38國外網(wǎng)絡(luò)安全標準（1）美國國防部TCSEC可信計算機系統(tǒng)標準評估準則(桔皮書)。該標準是美國國防部制定80年代的。它將安全分為4個方面:安全政策、可說明性、安全保障和文檔。在美國國防部虹系列(RainbowSeries)標準中有詳細的描述。該標準將以上4個方面分為7個安全級別,從低到高依次為D、C1、C2、B1、B2、B3和A1級：A1級：驗證設(shè)計級；B3級：安全域級B2級：結(jié)構(gòu)化保護級B1級：標記安全保護級完全可信網(wǎng)絡(luò)安全（B1、B2、B3）；C2級：受控存取保護級；

C1級：自主安全保護劑D級：不可信網(wǎng)絡(luò)安全。問題：以保密和單點機為主。2024/9/4華中農(nóng)業(yè)大學信息學院39國外網(wǎng)絡(luò)安全標準（2）歐洲ITSEC

與TCSEC不同,它并不把保密措施直接與計算機功能相聯(lián)系,而是只敘述技術(shù)安全的要求,把保密作為安全增強功能。另外,TCSEC把保密作為安全的重點,而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質(zhì))到E6級(形式化驗證)的7個安全等級,對于每個系統(tǒng),安全功能可分別定義。ITSEC預定義了10種功能,其中前5種與桔皮書中的C1-B3級非常相似。2024/9/4華中農(nóng)業(yè)大學信息學院40國外網(wǎng)絡(luò)安全標準（3）加拿大CTCPEC

該標準將安全需求分為4個層次:機密性、完整性、可靠性和可說明性。對產(chǎn)品和評估過程強調(diào)功能和保證。分為7個保證級，通常稱為EAL-1到EAL-7。美國聯(lián)邦準則(FC)

該標準參照了CTCPEC及TCSEC,其目的是提供TCSEC的升級版本,同時保護已有投資,但FC有很多缺陷,是一個過渡標準,后來結(jié)合ITSEC發(fā)展為聯(lián)合公共準則CC。2024/9/4華中農(nóng)業(yè)大學信息學院41國外網(wǎng)絡(luò)安全標準（4）信息技術(shù)安全評價通用準則(CC)

CC的目的是想把已有的安全準則結(jié)合成一個統(tǒng)一的標準。該計劃從1993年開始執(zhí)行,1996年推出第一版。CC結(jié)合了FC及ITSEC的主要特征,它強調(diào)將安全的功能與保障（安全功能的可信度）分離,并將功能需求分為11類63族,將保障分為7類29族。

99.7通過國際標準化組織認可,為ISO/IEC15408信息技術(shù)安全評估準則。2024/9/4華中農(nóng)業(yè)大學信息學院42國外網(wǎng)絡(luò)安全標準（5）ISO安全體系結(jié)構(gòu)標準在安全體系結(jié)構(gòu)方面,ISO制定了國際標準ISO7498-2-1989《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型第2部分安全體系結(jié)構(gòu)》。該標準為開放系統(tǒng)互連(OSI)描述了基本參考模型,為協(xié)調(diào)開發(fā)現(xiàn)有的與未來的系統(tǒng)互連標準建立起了一個框架。其任務(wù)是提供安全服務(wù)與有關(guān)機制的一般描述,確定在參考模型內(nèi)部可以提供這些服務(wù)與機制的位置。2024/9/4華中農(nóng)業(yè)大學信息學院43國外網(wǎng)絡(luò)安全標準（6）信息保障技術(shù)框架(IATF)。安全觀點的演變：2024/9/4華中農(nóng)業(yè)大學信息學院44國外網(wǎng)絡(luò)安全標準（7）信息保障技術(shù)框架(IATF)企圖解決什么問題

怎樣定義信息保護需求和解決方案？現(xiàn)有的何種技術(shù)能夠滿足我的保護需求？什么樣的機構(gòu)資源能夠幫助找到所需的保護？當前有哪些信息保障產(chǎn)品和服務(wù)市場?

對IA方法和技術(shù)的研究關(guān)注點應放在哪里？信息保障的原則是什么？提出了“深度保衛(wèi)戰(zhàn)略”原則和“信息系統(tǒng)安全工程”的概念。2024/9/4華中農(nóng)業(yè)大學信息學院45國外網(wǎng)絡(luò)安全標準（8）深度保衛(wèi)戰(zhàn)略的原則人技術(shù)操作

培訓意識培養(yǎng)物理安全人事安全系統(tǒng)安全管理

深度保衛(wèi)技術(shù)框架領(lǐng)域

安全標準

IT/IA采購

風險評估

認證和授權(quán)

評估監(jiān)視入侵檢測

警告響應恢復2024/9/4華中農(nóng)業(yè)大學信息學院46安全產(chǎn)品類型2024/9/4華中農(nóng)業(yè)大學信息學院47小結(jié)安全:計算機安全，網(wǎng)絡(luò)安全，互聯(lián)網(wǎng)安全X.800標準安全攻擊、安全機制、安全服務(wù)網(wǎng)絡(luò)安全標準網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)訪問安全模型作業(yè)思考題1.21.31.52024/9/4華中農(nóng)業(yè)大學信息學院48Chapter2傳統(tǒng)加密技術(shù)本章要點密碼學基本概念古典/傳統(tǒng)密碼體制代替/代換技術(shù)：凱撒密碼、單表代換密碼、Playfair密碼、Hill密碼、多表代替密碼；置換技術(shù)：柵欄技術(shù)轉(zhuǎn)輪密碼隱寫術(shù)

*50基本概念密碼學：研究如何進行秘密通信或保密通信的科學密碼編碼學：對信息進行編碼，實現(xiàn)信息保密性密碼分析學：研究、分析、破譯密碼*51*52密碼學的發(fā)展歷史第1階段：1949年以前；第2階段：從1949年到1975年；標志：1949年Shannon發(fā)表《保密系統(tǒng)的信息理論》一文；第3階段：1976年至今。標志：1976年Diffie和Hellman發(fā)表《密碼學新方向》一文。*53基本術(shù)語明文，plaintext-originalmessage密文，ciphertext-codedmessage密碼體制，密碼，cipher-algorithmfortransformingplaintexttociphertext密鑰，key-infousedincipherknownonlytosender/receiver加密，encipher(encrypt)-convertingplaintexttociphertext解密，decipher(decrypt)-recoveringplaintextfromciphertext*54密碼編碼學

Cryptography研究內(nèi)容主要研究對信息進行編碼，實現(xiàn)對信息的隱蔽。特征運算類型：代換與置換所用的密鑰數(shù)：單鑰與雙鑰處理明文的方法：分組密碼與流密碼*55密碼算法分類按照保密內(nèi)容受限制的（restricted）算法：算法的保密性基于保持算法的秘密；基于密鑰的（key-based）算法：算法的保密性基于對密鑰的保密基于密鑰的算法，按照密鑰特點對稱密碼算法（傳統(tǒng)密碼算法或單鑰密碼算法）非對稱算法（公開鑰密碼算法或雙鑰密碼算法）按照明文處理方式分組密碼流密碼*56安全要求加密算法必須足夠強最低要求：已知密文時不能破譯該密文或由密文推導出密鑰；加強形式：已知某些明、密文對，也不能由此破譯出新的密文或發(fā)現(xiàn)密鑰。算法是基于密鑰的：通信雙方必須在某種安全形式下獲得密鑰并必須保證密鑰的安全*57密碼分析學

Cryptanalysis密碼破譯攻擊的一般方法密碼分析學：cryptanalyticattack窮舉攻擊：brute-forceattack*58基于密碼分析的攻擊

CryptanalyticAttacks惟密文攻擊，ciphertextonly

onlyknowalgorithm&ciphertext,isstatistical,knoworcanidentifyplaintext已知明文攻擊，knownplaintext

know/suspectplaintext&ciphertext選擇明文攻擊，chosenplaintext

selectplaintextandobtainciphertext選擇密文攻擊，chosenciphertext

selectciphertextandobtainplaintext選擇文本攻擊，chosentext

selectplaintextorciphertexttoen/decrypt*59兩個概念絕對安全，UnconditionalSecurity計算安全，ComputationalSecurity19世紀，Kerckhoff原則：系統(tǒng)的保密性不依賴于對加密體制或算法的保密，而依賴于對密鑰的保密。*60窮舉攻擊KeySize(bits)NumberofAlternativeKeysTimerequiredat1decryption/μsTimerequiredat106decryptions/μs32232=4.3

109231μs=35.8minutes2.15milliseconds56256=7.2

1016255μs=1142years10.01hours1282128=3.4

10382127μs=5.4

1024years5.4

1018years1682168=3.7

10502167μs=5.9

1036years5.9

1030years26characters(permutation)26!=4

10262

1026μs =6.4

1012years6.4

106years*61非技術(shù)因素的攻擊偷竊收買逼問…*62§2.1對稱密碼的模型傳統(tǒng)密碼/常規(guī)密碼/私鑰密碼/單鑰密碼conventional/private-key/single-key發(fā)送方和接收方共享一個共同的密鑰

senderandrecipientshareacommonkey所有的傳統(tǒng)密碼算法都是私鑰密碼20世紀70年代以前私鑰密碼是唯一類型至今仍廣泛應用*63對稱密碼模型

（SymmetricCipherModel）*64對稱密碼安全的兩個必備條件:加密算法必須是足夠強的

astrongencryptionalgorithm惟有發(fā)送者和接收者知道的秘密密鑰

asecretkeyknownonlytosender/receiver數(shù)學表示: C=EK(P) P=DK(C)假設(shè)加/解密算法是已知的擁有一個安全通道用于分發(fā)密鑰*65*66§2.2古典代替密碼將明文字母替換成其他字母、數(shù)字或符號的方法;如果把明文看成是0或1的序列，那么密文就是0或1比特序列的另一種表達。*67§2.2.1愷撒密碼CaesarCipher所知道的最早的代替密碼JuliusCaesar首先用在軍事通信中用字母后的第三個字母代替明文abcdefghijklmnopqrstuvwxyz密文DEFGHIJKLMNOPQRSTUVWXYZABC*68愷撒密碼-加密方式一：公式計算明文編碼：如a=0，b=1，…，z=25，則明文P＝p1p2…pn（加密）運算：Ci＝pi+k（mod26）,i＝1,2,…,n解碼得密文：C＝c1cc2…cn*69愷撒密碼-加密方式二：查表（例k=3）明文abcdefghijklmnopqrstuvwxyz密文DEFGHIJKLMNOPQRSTUVWXYZABC*70愷撒密碼-解密方式一：公式計算密文C＝c1c2…cn（加密）運算：Pi＝ci-k（mod26）,i＝1,2,…,n解碼得明文：P＝p1p2…pn*71愷撒密碼-解密方式二：查表（例k=3）密文ABCDEFGHIJKLMNOPQRSTUVWXYZ明文xyzabcdefghijklmnopqrstuvw*72愷撒密碼c=E(p)=(p

+k)mod(26)p=D(c)=(c–k)mod(26)*73愷撒密碼的密碼分析

共有密鑰25個

可簡單地依次去測試

、強力搜索、窮舉攻擊

基于字母頻率的破譯方法所破譯的明文需要識別如：破譯密文"GCUAVQDTGCM“

dzrxsnaqdzj（k=3）

easytobreak （k=2）密鑰短語密碼就是選一個英文短語作為密鑰字(KeyWord)或密鑰短語(KeyPhrase)，如HAPPYNEWYEAR，去掉重復字母得HAPYNEWR。將它依次寫在明文字母表之下，而后再將字母表中未在短語中出現(xiàn)過的字母依次寫于此短語之后，就可構(gòu)造出一個字母代換表。*74§2.2.2單表代替密碼若明文為：P=Casearcipherisashiftsubstitution則密文為：C=PHONHM

PBKRNM

BO

H

ORBEQ

OSAOQBQSQBJI*75*76單表代替密碼分析不是簡單有序地字母移位任意地打亂字母的順序

每個明文字母映射到一個不同的隨機密文字母

密鑰數(shù)目：26！

*77單表代替密碼分析密鑰空間：26!＞4x1026

貌似安全，實則不然

語言特性*78語言的冗余與密碼分析人類的語言是有冗余的

字母的使用頻率是不同的在英語中E使用的頻率最高

有些字母使用較少單字母、雙字母、三字母組合統(tǒng)計*79英語字母使用頻率*80§2.2.1Playfair密碼單表代替密碼由于密鑰空間較小所以無法提供安全性；Playfair密碼是一個多表代替密碼

；CharlesWheatstone于1854年發(fā)明,用其朋友BaronPlayfair命名。*81Playfair密鑰矩陣5X5填寫密鑰單詞用其他字母填寫剩下的空缺I=JMONARCHYBDEFGI/JKLPQSTUVWXZ*82加密明文分組（填充）：2個字母／組同行字母對加密：循環(huán)向右，ei→FK同列字母對加密：循環(huán)向下，cu→EM，xi→AS其它字母對加密：矩形對角線字母，且按行排序，ya→BN，es→IL（或JL）解密加密的逆向操作Playfair密碼的加/解密步驟*83Playfair密碼安全性分析安全性優(yōu)于單表代替密碼密鑰空間：＝25！≈1.6×1025在WW1（一戰(zhàn)）中使用多年雖然明文中字母的統(tǒng)計規(guī)律在密文中得到了降低，但密文中仍含有明文的部分結(jié)構(gòu)信息給定幾百個字母，即可被攻破明、密文字母不是一一對應關(guān)系*84字母出現(xiàn)的相對頻率*85§2.2.4希爾(Hill)密碼萊斯特·S·希爾（LesterS.Hill，1891–1961），美國數(shù)學家、教育家。1911年于哥倫比亞大學讀完學士學位，1926年在耶魯大學讀完博士學位，于1929年發(fā)明希爾密碼。是多表代替密碼利用模運算意義下的矩陣乘法、求逆矩陣、線性無關(guān)、線性空間與線性變換等概念和運算*86Hill密碼的加/解密過程明文分組并編碼C≡KPmod26，其中，K為密鑰矩陣，P、C分別為明、密文分組加密:解密:密文分組并編碼P≡K-1Cmod26

對密鑰矩陣K的要求：在mod26下可逆*87密鑰矩陣K＝明文分組P＝“mor”明文編碼P＝＝加密C≡≡≡

mod26解碼C＝，即C＝“HDL”Hill密碼的例子加密：K－1＝*88密鑰矩陣K＝明文P＝“mor”明文P＝＝解密P≡≡≡

mod26C＝C＝“HDL”Hill密碼的例子解密：K－1＝＝*89Hill密碼的特點字母的統(tǒng)計規(guī)律進一步降低明、密文字母不是一一對應關(guān)系*90§2.2.5多表代替密碼

PolyalphabeticCiphers特點：在明文消息中采用不同的單表代換。安全性提高

使得字母的頻率分布更加平坦用一個密鑰指示明文消息中每個字母加解密時所用的代替表密鑰依次重復使用，代替表依次重復使用

例子：Vigenère（維吉利亞）密碼（1858）Vernam（唯爾南）密碼（1918）*91一、Vigenère（維吉利亞）密碼方式一：數(shù)學公式計算設(shè)明文P=p1p2…pn，密鑰k=k1k2…kn，密文C=c1c2…cn①明文編碼；②計算ci=pi+ki(mod26)，=1，2，…，n；③密文解碼。說明：若明文長度大于n，則K重復使用。加密:*92方式二：查表法一、Vigenère（維吉利亞）密碼*93一、Vigenère（維吉利亞）密碼方法一：數(shù)學公式計算pi=ci－ki(mod26)，=1，2，…，n；方法二：查表解密：*94Vigenère密碼例子加密過程：P＝“encodeanddecode”，k＝“mykey”字母序號123456789101112131415明文編碼P=4132143401333421434密鑰編碼k=122410424122410424122410424加密C=1637121827162423727162624728模運算111102密文解碼C=QLMSBQYXHBQAYHB*95Vigenère密碼例子解密過程：C＝“QLMSBQYXHBQAYHB”，k＝“mykey”字母序號123456789101112131415密文編碼C=161112181162423711602472密鑰編碼k=122410424122410424122410424加密C=4-13214-2340133-234-24143-22模運算133324密文解碼C=encodeanddecode*96Vigenère密碼的安全性密鑰空間：|K|＝26n字母的統(tǒng)計規(guī)律進一步降低明、密文字母不是一一對應關(guān)系Vigenére本人建議：密鑰與明文一樣長特例：當k1＝

k2＝

…＝kn＝k時，是Caesar密碼*97§2.2.6一次一密隨機密鑰理論上不可破實際上不可行產(chǎn)生大量的隨機密鑰難密鑰分配與保護更難*98柵欄技術(shù)思想：以列（行）優(yōu)先寫出明文，以行（列）優(yōu)先讀出各字母作為密文例1：先行后列例2：先列后行改進帶有密鑰再改進：重復加密，多步置換§2.3置換密碼

TranspositionCiphers*99例：柵欄密碼(RailFencecipher)明文：meetmeafterthetogaparty寫作:mematrhtgpryetefeteoaat讀出密文為：MEMATRHTGPRYETEFETEOAAT柵欄技術(shù)：按對角線的順序?qū)懗雒魑?，以行的順序讀出作為密文密文消息“MEMATEAKETETHPR”無密鑰的置換技術(shù)Example明文消息“Meetmeatthepark”帶密鑰的置換技術(shù)置換操作中的加密密鑰和解密密鑰同一個密鑰在加密和解密（列置換）過程中，以不同的方向來使用在加解密過程中好像使用的是兩個不同的密鑰2.帶密鑰的置換技術(shù)*103更加復雜的移位以指定的行將明文寫作多行按照密鑰指定的列讀出Key:Plaintext:Ciphertext:TTNAAPTMTSUOAODWCOIXKNLYPETZ

例：行移位密碼RowTranspositionCiphers3412567attackpostponeduntiltwoamxyz*104§2.4轉(zhuǎn)輪密碼在現(xiàn)代密碼之前，轉(zhuǎn)輪密碼是最廣泛使用的復雜的密碼廣泛用在第二次世界大戰(zhàn)中GermanEnigma,AlliedHagelin,JapanesePurple實現(xiàn)了復雜多變的多表代替密碼，多層加密采用一系列轉(zhuǎn)輪，每一個都是一個代替表，轉(zhuǎn)輪可以依次旋轉(zhuǎn)加密每個字母用3個轉(zhuǎn)輪就有263=17576代替表*105*106Enigma密碼機(德國)*107TwodiagramsoftheEnigma*108Hagelin轉(zhuǎn)輪密碼機（盟軍）*109M-209密碼機（美國）*110Purple密碼機（日本）*111§2.5隱寫術(shù)

Steganography隱藏信息的存在字符標記用不可見的墨水隱藏在圖形圖像或聲音文件的LSB上缺點需要額外的付出來隱藏相對較少的信息*112*113小結(jié)古典密碼技術(shù)及術(shù)語單表代替密碼用字母頻率進行密碼分析Playfair密碼多表代替密碼置換密碼轉(zhuǎn)輪機密碼隱寫術(shù)*114作業(yè)思考題：2.2、2.5、2.8、2.9、2.11習題：2.11、2.14閱讀一些關(guān)于密碼歷史或戰(zhàn)爭中密碼應用的資料或故事

Chapter3

分組密碼與數(shù)據(jù)加密標準

2024/9/4116Playfair、hill、Vigenère的密鑰空間？單表和多表的區(qū)別？2024/9/4117本節(jié)課程內(nèi)容

分組密碼一般原理、設(shè)計準則、設(shè)計方法DES加解密算法DES的強度2024/9/4118§3.1分組密碼原理流密碼每次加密數(shù)據(jù)流的一位或一個字節(jié)分組密碼將一個明文組作為整體加密且通常得到的是與之等長的密文組2024/9/4119流密碼模型加密算法密文明文密鑰Kb位b位2024/9/4120分組密碼的一般設(shè)計原理：分組密碼是將明文消息編碼表示后的數(shù)字（簡稱明文數(shù)字）序列，劃分成長度為n的組（可看成長度為n的矢量），每組分別在密鑰的控制下變換成等長的輸出數(shù)字（簡稱密文數(shù)字）序列理想分組密碼體制2n!個映射大規(guī)模2024/9/4121Feistel網(wǎng)絡(luò)（1）Feistel網(wǎng)絡(luò)的設(shè)計動機密鑰長為k位，分組長為n位，采用2k個變換一個分組密碼是一種映射： 記為E(X,K)或 稱為明文空間，稱為密文空間，為密鑰空間。Feistel網(wǎng)絡(luò)（2）2024/9/4123Shannon目的：挫敗基于統(tǒng)計方法的密碼分析混淆（confusion）：使得密文的統(tǒng)計特性與密鑰的取值之間的關(guān)系盡量復雜。擴散（diffusion）：明文的統(tǒng)計特征消散在密文中，使得明文和密文之間的統(tǒng)計關(guān)系盡量復雜?？坍嬅艽a系統(tǒng)的兩個基本構(gòu)件Feistel網(wǎng)絡(luò)（3）2024/9/4124分組長度密鑰長度

輪數(shù)

子密鑰生成算法輪函數(shù)F快速軟件加解密易于分析Feistel網(wǎng)絡(luò)（4）2024/9/4125§3.2數(shù)據(jù)加密標準DESDES的歷史DES的基本結(jié)構(gòu)DES核心構(gòu)件的細節(jié)描述DES輪密鑰的生成DES的安全性分析2024/9/4126數(shù)據(jù)加密標準(DES)第一個并且是最重要的現(xiàn)代分組密碼算法2024/9/4127歷史發(fā)明人：美國IBM公司W(wǎng).Tuchman和C.Meyer1971-1972年研制成功基礎(chǔ)：1967年美國HorstFeistel提出的理論產(chǎn)生：美國國家標準局（NBS)1973年5月到1974年8月兩次發(fā)布通告，公開征求用于電子計算機的加密算法。經(jīng)評選從一大批算法中采納了IBM的LUCIFER方案標準化：DES算法1975年3月公開發(fā)表，1977年1月15日由美國國家標準局頒布為數(shù)據(jù)加密標準（DataEncryptionStandard），于

1977年7月15日生效2024/9/4128DES是一種用56位密鑰來加密64位數(shù)據(jù)的方法。概述2024/9/4129DES算法框圖輸入64bit明文數(shù)據(jù)初始置換IP乘積變換（16輪迭代）逆初始置換IP-164bit密文數(shù)據(jù)輸出標準數(shù)據(jù)加密算法DES的核心部件：兩次置換（初始置換和初始逆置換）密鑰控制下的十六輪迭代加密輪密鑰生成2024/9/41302024/9/4131初始置換和初始逆置換2024/9/4132初始置換和初始逆置換DES中的初始置換和初始逆置換2024/9/4133初始置換與初始逆置換是互逆的嚴格而言不具有加密的意義Note2024/9/4134DES的十六輪迭代加密十六輪迭代加密Roundi第i輪加密2024/9/4135DES第i輪迭代加密2024/9/4136F函數(shù)2024/9/4137擴展E置換（E-盒）2024/9/4138S盒（1）2024/9/4139S-盒是DES加密算法的唯一非線性部件S盒（2）2024/9/4140S-盒S盒（3）2024/9/414100010203040506070809101112131415012313020804061511011009031405001207011513081003070412050611001409020711040109121402000610131503050802011407041008131512090003050611輸入輸出S-盒的查表操作S盒（4）2024/9/4142DES中其它算法都是線性的，而S-盒運算則是非線性的提供了密碼算法所必須的混亂作用S-盒不易于分析，它提供了更好的安全性S-盒的設(shè)計未公開NoteS盒（5）2024/9/4143P置換2024/9/4144直接P置換（P-盒）P置換2024/9/4145F函數(shù)2024/9/4146DES第i輪迭代加密2024/9/41472024/9/4148子密鑰產(chǎn)生器

密鑰（64bit）置換選擇1，PC1置換選擇2，PC2

Ci(28bit)

Di(28bit)循環(huán)左移循環(huán)左移除去第8,16,

,64位(8個校驗位)ki2024/9/41492024/9/4150置換選擇1循環(huán)左移的次數(shù)（舍棄了奇偶校驗位，即第8，16，…，64位）2024/9/4151壓縮置換2舍棄了第9,18,22,25,35,38,43,54比特位2024/9/4152加密過程:L0R0

IP(<64bit明文>)Li

Ri-1

i=1,...,16(1)Ri

Li-1

f(Ri-1,

ki)i=1,...,16(2)<64bit密文>

IP-1(R16L16)

(1)(2)運算進行16次后就得到密文組。解密過程:R16L16

IP(<64bit密文>)Ri-1

Li

i=1,...,16(3)Li-1

Ri

f(Li-1,ki)i=1,...,16(4)<64bit明文>

IP-1(R0L0)(3)(4)運算進行16次后就得到明文組。DES加解密的數(shù)學表達2024/9/4153安全性DES的安全性完全依賴于所用的密鑰。從DES誕生起，對它的安全性就有激烈的爭論，一直延續(xù)到現(xiàn)在弱密鑰和半弱密鑰DES算法在每次迭代時都有一個子密鑰供加密用。如果給定初始密鑰k，各輪的子密鑰都相同，即有k1=k2=…=k16，就稱給定密鑰k為弱密鑰(Weakkey)§3.3DES的強度2024/9/4154若k為弱密鑰，則有DESk(DESk(x))=xDESk-1(DESk-1(x))=x即以k對x加密兩次或解密兩次都可恢復出明文。其加密運算和解密運算沒有區(qū)別。而對一般密鑰只滿足DESk-1(DESk(x))=DESk(DESk-1(x))=x弱密鑰下使DES在選擇明文攻擊下的搜索量減半。如果隨機地選擇密鑰，則在總數(shù)256個密鑰中，弱密鑰所占比例極小，而且稍加注意就不難避開。因此，弱密鑰的存在不會危及DES的安全性。DES的強度（1）2024/9/4155雪崩效應DES的強度（2）2024/9/415656位密鑰的使用256=7.2x10161997，幾個月

1998，幾天

1999，22個小時!DES算法的性質(zhì)：S盒構(gòu)造方法未公開！計時攻擊DES的強度（3）2024/9/4157差分密碼分析通過分析明文對的差值對密文對的差值的影響來恢復某些密文比特線性密碼分析通過尋找DES變換的線性近似來攻擊DES的強度（4）2024/9/4158§3.4分組密碼的工作模式FIPS81中定義了4種模式，到800-38A中將其擴展為5個?？捎糜谒蟹纸M密碼。DES的工作模式若明文最后一段不足分組長度，則補0或1，或隨機串。

2024/9/4159模式描述典型應用電碼本（ECB）單個數(shù)據(jù)的安全傳輸密碼分組鏈接（CBC）普通目的的面向分組的傳輸；認證密碼反饋（CFB）普通目的的面向分組的傳輸；認證輸出反饋（OFB）噪聲信道上的數(shù)據(jù)流的傳輸計數(shù)器（CTR）普通目的的面向分組的傳輸；用于高速需求DES的工作模式2024/9/4160電碼本模式ECB工作模式

加密：Cj=Ek(Pj),(j=1,2,…,n)解密：Pj=Dk(Cj)應用特點錯誤傳播

不傳播，即某個Ct的傳輸錯誤只影響到Pt的恢復，不影響后續(xù)的（j＞t）。2024/9/4161ElectronicCodebookBook(ECB)2024/9/4162摘自：NISTSpecialPublication800-38A2001Edition2024/9/4163密碼分組鏈接模式工作模式

加密解密應用加密長度大于64位的明文P認證特點錯誤傳播

2024/9/4164CipherBlockChaining(CBC)2024/9/4165摘自：NISTSpecialPublication800-38A2001Edition2024/9/4166工作模式加密解密應用保密：加密長度大于64位的明文P；分組隨意；可作為流密碼使用。認證：特點分組任意安全性優(yōu)于ECB模式加、解密都使用加密運算（不用解密運算）錯誤傳播有誤碼傳播，設(shè)，則錯誤的Ct會影響到Pt…,Pt+r。密碼反饋模式2024/9/4167CipherFeedBack(CFB)2024/9/4168摘自：NISTSpecialPublication800-38A2001Edition2024/9/4169輸出反饋模式

工作模式

加密解密應用特點缺點：抗消息流篡改攻擊的能力不如CFB。

錯誤傳播

不傳播

2024/9/4170OutputFeedBack(OFB)2024/9/4171摘自：NISTSpecialPublication800-38A2001Edition2024/9/4172工作模式

加密：給定計數(shù)器初值IV，則j=1,2,…,N

解密特點優(yōu)點硬件效率：可并行處理；軟件效率：并行化；預處理；隨機訪問：比鏈接模式好；可證明的安全性：至少與其它模式一樣安全；簡單性：只用到加密算法。錯誤傳播

不傳播計數(shù)器模式2024/9/4173Counter(CTR)2024/9/4174摘自：NISTSpecialPublication800-38A2001Edition2024/9/4175小結(jié)分組密碼與流密碼blockvsstreamciphersFeistel密碼設(shè)計與結(jié)構(gòu)design&structure輪數(shù)，函數(shù)F，密鑰擴展DES算法細節(jié)密碼強度工作模式2024/9/4176第三章作業(yè)思考題：3.5，3.7，3.8

Chapter4

對稱密碼

DES？繼續(xù)加強DES：2DES、3DES尋找替代性算法2024/9/41782024/9/4179三重DES算法2DES3DES2024/9/41802DES？C=EK2(EK1(P))＝EK3(P)？對單步加密進行推導EK2(EK1(P))＝EK3(P)？中間相遇攻擊已知明文攻擊可以成功對付密鑰長度為112位的2DESX=EK1(P)=DK2(C)用所有可能的密鑰加密明文并存儲用所有可能的密鑰解密密文，并與存儲的X匹配2112/264=248，248/264=2-16，兩組明密對后，正確密鑰的概率是1-2-16；三組明密對后，正確密鑰的概率是1-2-80付出數(shù)量級為O(256),比攻擊單DES的O(255)多不了多少2DES？(264)！>101020>>256<10172024/9/4181使用兩個密鑰的3DES三重兩密思路：加密-解密-加密：說明：第二步用解密運算，可適應單DES，即當k2＝k1時，3DES＝1DES安全性：目前無可行攻擊方法應用：較多，如密鑰管理標準ANSIX9.17和ISO8732。2024/9/41822024/9/4183三重三密思路：加密-解密-加密應用：較多，如PGP和S/MINE

。五重三密DES思路：加密-解密-加密-解密-加密

應用：可適應單DES或三重兩密的情形

使用三個密鑰的3DES高級加密標準AES2024/9/41842024/9/4185AdvancedEncryptionStandard（AES）2001年由美國國家標準技術(shù)局（NIST）發(fā)布對稱分組密碼算法，用以取代DES2024/9/4186高級加密標準的評估準則

高級加密標準的起源1997年4月15日，NIST發(fā)起征集高級加密標準的活動，活動目的是確定一個非保密的、可以公開技術(shù)細節(jié)的、全球免費使用的分組密碼算法，作為新的數(shù)據(jù)加密標準。1997年9月12日，美國聯(lián)邦登記處公布了正式征集AES候選算法的通告。作為進入AES候選過程的一個條件，開發(fā)者承諾放棄被選中算法的知識產(chǎn)權(quán)。2024/9/4187NIST對AES算法的要求算法應比三重DES快而且至少還要一樣的安全應當具有128比特分組長度和128/192/256比特密鑰長度1998年NIST收到12個國家的15個候選算法1999年NIST從中選出5個算法進一步篩選：MARS（IBM）、RC6（MIT）、Rijndael（比）、Serpent（英、以、美）、Twofish（美）。2000年NIST宣布選擇比利時的密碼專家的Rijndael作為最終AES的算法。2024/9/4188AESRequirementsprivatekeysymmetricblockcipher128-bitdata,128/192/256-bitkeysstronger&fasterthanTriple-DESactivelifeof20-30years(+archivaluse)providefullspecification&designdetailsbothC&JavaimplementationsNISThavereleasedallsubmissions&unclassifiedanalyses2024/9/4189AESEvaluationCriteriainitialcriteriasecurity–effortforpracticalcryptanalysiscost–intermsofcomputationalefficiencyalgorithm&implementationcharacteristicsfinalcriteriageneralsecurityeaseofsoftware&hardwareimplementationimplementationattacksflexibility(inen/decrypt,keying,otherfactors)2024/9/4190AESShortlistaftertestingandevaluation,shortlistinAug-99:MARS(IBM)-complex,fast,highsecuritymarginRC6(USA)-v.simple,v.fast,lowsecuritymarginRijndael(Belgium)-clean,fast,goodsecuritymarginSerpent(Euro)-slow,clean,v.highsecuritymarginTwofish(USA)-complex,v.fast,highsecuritymarginthensubjecttofurtheranalysis&commentsawcontrastbetweenalgorithmswithfewcomplexroundsversesmanysimpleroundswhichrefinedexistingciphersversesnewproposals2024/9/4191TheAESCipher-RijndaeldesignedbyRijmen-DaemeninBelgiumhas128/192/256bitkeys,128bitdataaniterativeratherthanfeistelcipherprocessesdataasblockof4columnsof4bytesoperatesonentiredatablockineveryrounddesignedtobe:resistantagainstknownattacksspeedandcodecompactnessonmanyCPUsdesignsimplicity2024/9/41922024/9/41932024/9/4194AES密碼AES的參數(shù)AES-128AES-192AES-256密鑰長度（字/字節(jié)/位）4/16/1286/24/1928/32/256明文分組長度（字/字節(jié)/位）4/16/1284/16/1284/16/128輪數(shù)101214每輪的密鑰長度（字/字節(jié)/位）4/16/1284/16/1284/16/128擴展密鑰長度（字/字節(jié)）44/7652/20860/2402024/9/4195AES密碼AES的特性所有的已知攻擊具有免疫性在各種平臺上執(zhí)行速度快，代碼緊湊設(shè)計簡單2024/9/4196AES密碼數(shù)據(jù)結(jié)構(gòu)以字節(jié)為單位的方陣描述：輸入分組in、中間數(shù)組State、輸出、密鑰排列順序：方陣中從上到下，從左到右2024/9/4197AES密碼SP網(wǎng)絡(luò)結(jié)構(gòu)在這種密碼的每一輪中，輪輸入首先被一個由子密鑰控制的可逆函數(shù)S作用，然后再對所得結(jié)果用置換（或可逆線性變換）P作用。S和P分別被稱為混亂層和擴散層，主要起混亂和擴散作用。2024/9/4198AES密碼AES算法結(jié)構(gòu)AES算法的輪變換中沒有Feistel結(jié)構(gòu)，輪變換是由三個不同的可逆一致變換組成，稱之為層。線性混合層：確保多輪之上的高度擴散非線性層：具有最優(yōu)最差-情形非線性性的S-盒的并行應用密鑰加層：輪密鑰簡單地異或到中間狀態(tài)上2024/9/4199AES密碼AES算法結(jié)構(gòu)2024/9/4200AES-128加解密過程Rijndael2024/9/42012024/9/4202AES密碼數(shù)據(jù)結(jié)構(gòu):狀態(tài)、密鑰、輸出的矩陣表示

2024/9/4203字節(jié)代換（SubstituteBytes）變換正向和逆向變換字節(jié)代替是一個非線性的字節(jié)代替，獨立地在每個狀態(tài)字節(jié)上進行運算。代替表（S-盒）是可逆的，是一個16×16的矩陣。

2024/9/42042024/9/4205字節(jié)代換（SubstituteBytes）變換S-盒代替表（S-盒）是可逆的，是一個16×16的矩陣。

2024/9/42062024/9/4207字節(jié)代換（SubstituteBytes）變換例子2024/9/4208S盒的構(gòu)造初始化元素求逆：在GF中求逆元素置換其中：=（01100011）2

2024/9/4209行移位(shiftRow)變換正向和逆向變換2024/9/4210行移位(shiftRow)變換例子2024/9/4華中農(nóng)業(yè)大學信息學院211列混淆（MixColumn）變換正向和逆向變換代替操作，將狀態(tài)的列看作有限域GF（28）上的4維向量并被有限域GF（28）上的一個固定可逆方陣A乘

乘法是GF(28)定義中定義的，素多項式為：

m(x)=x8+x4+x3+x+12024/9/4華中農(nóng)業(yè)大學信息學院2122024/9/4華中農(nóng)業(yè)大學信息學院213列混淆（MixColumn）變換例子2024/9/4華中農(nóng)業(yè)大學信息學院214輪密鑰加（AddRoundKey）變換一個簡單地按位異或的操作

2024/9/4華中農(nóng)業(yè)大學信息學院215內(nèi)部函數(shù)的功能小結(jié)

SubBytes的目的是為了得到一個非線性的代換密碼。對于分析密碼抗差分分析來說，非線性是一個重要的性質(zhì)。

ShiftRows和MixColumns的目的是獲得明文消息分組在不同位置上的字節(jié)混合。

AddRoundKey給出了消息分布所需的秘密隨機性。2024/9/4華中農(nóng)業(yè)大學信息學院216AES的密鑰擴展輪密鑰是通過密鑰調(diào)度算法從密鑰中產(chǎn)生，包括兩個組成部分：密鑰擴展和輪密鑰選取?；驹砣缦拢核休喢荑€比特的總數(shù)等于分組長度乘輪數(shù)加1。（如128比特的分組長度和10輪迭代，共需要1408比特的密鑰）。將密鑰擴展成一個擴展密鑰。輪密鑰按下述方式從擴展密鑰中選?。旱谝粋€輪密鑰由開始Nb個字組成，第二個輪密鑰由接下來的Nb個字組成，如此繼續(xù)下去。2024/9/4華中農(nóng)業(yè)大學信息學院217AES的密鑰擴展密鑰擴展擴展過程2024/9/4華中農(nóng)業(yè)大學信息學院2182024/9/4華中農(nóng)業(yè)大學信息學院219AES的密鑰擴展函數(shù)gRotWord執(zhí)行一字節(jié)循環(huán)左移[b0,b1,b2,b3][b1,b2,b3,b0]SubWord執(zhí)行使用S-盒實行字節(jié)替換前兩步的結(jié)果XOR與輪常數(shù)Rcon[j]2024/9/4華中農(nóng)業(yè)大學信息學院220j12345678910RC[j]01020408102040801B36AES的密鑰擴展輪常量2024/9/4華中農(nóng)業(yè)大學信息學院221AES的密鑰擴展例子2024/9/4華中農(nóng)業(yè)大學信息學院222對應的逆運算2024/9/4華中農(nóng)業(yè)大學信息學院223實現(xiàn)可以在8-bitCPU上有效實現(xiàn)bytesubstitutionworksonbytesusingatableof256entriesshiftrowsissimplebyteshiftaddroundkeyworksonbyteXOR’smixcolumnsrequiresmatrixmultiplyinGF(28)whichworksonbytevalues,canbesimplifiedtousetablelookups&byteXOR’s2024/9/4華中農(nóng)業(yè)大學信息學院224實現(xiàn)可以在32-bitCPU上有效實現(xiàn)重新定義步驟以適應32-bit的字長可以預先計算256個字的四個表theneachcolumnineachroundcanbecomputedusing4tablelookups+4XORs4Kb用于存儲表設(shè)計者認為在AES大選中有效實現(xiàn)是一個關(guān)鍵因素2024/9/4華中農(nóng)業(yè)大學信息學院225分組密碼的工作模式FIPS81中定義了4種模式，到800-38A中將其擴展為5個?？捎糜谒蟹纸M密碼。DES的工作模式若明文最后一段不足分組長度，則補0或1，或隨機串。

2024/9/4華中農(nóng)業(yè)大學信息學院226模式描述典型應用電碼本（ECB）用相同的密鑰分別對明文組加密單個數(shù)據(jù)的安全傳輸密碼分組鏈接（CBC）加密算法的輸入是上一個密文組和下一個明文組的異或普通目的的面向分組的傳輸；認證密碼反饋（CFB）…普通目的的面向分組的傳輸；認證輸出反饋（OFB）…噪聲信道上的數(shù)據(jù)流的傳輸計數(shù)器（CTR）…普通目的的面向分組的傳輸；用于高速需求DES的工作模式

RC4RC52024/9/4華中農(nóng)業(yè)大學信息學院2272024/9/4華中農(nóng)業(yè)大學信息學院228RSADSI擁有版權(quán)（RSADataSecurity,Inc.）由RonaldRivest設(shè)計（MIT）

RSADSI所擁有，1987年RonRivest設(shè)計,1994年9月公開流密碼，面向字節(jié)操作密鑰長度可變廣泛使用WebSSL/TLSIEEE802.11WEPWiFiWPA§RC42024/9/4華中農(nóng)業(yè)大學信息學院229RC4流密碼StreamCiphers：RC4消息的處理以bit為單位以流的方式進行

偽隨機密鑰流

keystream密鑰流與明文進行按位的異或運算(XOR)密鑰的隨機性破壞明文中的統(tǒng)計規(guī)律

Ci=MiXORStreamKeyi

不能重復使用密鑰流否則將被破譯2024/9/4華中農(nóng)業(yè)大學信息學院230流密碼的特性設(shè)計流密碼需要考慮的因素:加密序列的周期要長

統(tǒng)計上滿足隨機性密鑰要足夠長，以免窮舉攻擊（>128bits）要有高的線性復雜度通過合理的設(shè)計，可以達到相同密鑰尺寸下分組密碼的安全性簡單快速2024/9/4華中農(nóng)業(yè)大學信息學院2312024/9/4華中農(nóng)業(yè)大學信息學院232流密碼的結(jié)構(gòu)2024/9/4華中農(nóng)業(yè)大學信息學院233數(shù)學基礎(chǔ)：隨機置換；周期T>10100；特點：算法簡單，易于描述。符號K[0～L－1]——（原始）密鑰（1≤L≤256），每個K[i]為1個字節(jié)S[0～255]——狀態(tài)矢量，每個S[i]為1個字