1、第3章 常規(guī)現(xiàn)代加密技術(shù),常規(guī)加密技術(shù)的概述 分組加密的原理 分組加密算法的工作模式 DES算法 多重DES 其它常規(guī)加密算法,常規(guī)密碼體制的安全性取決于加密算法和密鑰。 算法的強度必須足夠高 密鑰的長度必須足夠長；密鑰更新的頻度必須足夠高。 算法的強度通常采用兩種方法保證： 擴散(diffusion) 擾亂(confusion),Claude Shannon早在1949年發(fā)表的“秘密系統(tǒng)的通信理論”一文中就提出了擴散和擾亂的概念。后來擴散和擾亂被用來作為常規(guī)密碼系統(tǒng)的兩個基本組成模塊。分組密碼算法設(shè)計要遵循Shannon 1949提出的混亂原則和擴散原則。擴散和擾亂已成為現(xiàn)代分組密碼設(shè)計的基

2、礎(chǔ)。,擴散的基本方法是讓明文和密鑰的每個字母影響盡可能多的密文字母的取值(等價于每個密文字母被盡可能多的明文和密鑰字母影響)，從而使得明文和密鑰的統(tǒng)計特征被擴散，明文和密鑰中原有的統(tǒng)計特征不再反映在密文中。 擾亂機制是使密文的統(tǒng)計特征與明文和加密密鑰的關(guān)系盡可能復(fù)雜化，使得攻擊者即使掌握了密文的某些統(tǒng)計特征，也很難從中推測出密鑰和明文。 擴散和擾亂主要用于對付基于統(tǒng)計分析的密碼破譯。,算法安全性問題： 如果一個算法無法抵御僅有密文攻擊，則該算法就不是一個好的算法。加密算法應(yīng)能夠抵御已知明文的攻擊。 如果攻擊者無論擁有多少由某一算法所產(chǎn)生的密文，都無法由這些密文中所包含的信息惟一地決定對應(yīng)的明文

3、，則稱此算法是無條件安全的。無條件安全的加密算法通常是不存在的。人們要求算法應(yīng)保證在計算上是安全的。,如果一個加密算法能夠滿足下列條件中的一個或兩個，則稱此算法在計算上是安全的： 破譯該密碼的成本超過被加密信息的價值。 破譯該密碼的所需的時間超過該信息的有效生命周期。,現(xiàn)代對稱加密技術(shù)和經(jīng)典加密技術(shù)的比較： 相同點：以替代和置換模塊作為其基本構(gòu)件。 不同點：現(xiàn)代常規(guī)加密技術(shù)用計算機對信息進行加密解密處理，因此，加密和解密都是對二進制位進行處理，加密算法的強度大大提高，可以對信息進行反復(fù)地替代和置換操作，密鑰長度也大大增加。,對稱密鑰系統(tǒng)的弱點 密鑰分配困難。 對稱密鑰系統(tǒng)不能進行數(shù)字簽名。 對

4、稱加密算法難以擴展。 密鑰必須經(jīng)常更新。,常規(guī)加密技術(shù)的概述 分組加密的原理 分組加密算法的工作模式 DES算法 多重DES 其它常規(guī)加密算法,分組密碼的一般設(shè)計原理,分組密碼是將明文消息編碼表示后的數(shù)字（簡稱明文數(shù)字）序列，劃分成長度為n的組（可看成長度為n的矢量），每組分別在密鑰的控制下變換成等長的輸出數(shù)字（簡稱密文數(shù)字）序列。,分組密碼模型,Feistel分組密碼,Feistel分組密碼是當前使用的幾乎所有對稱加密算法的基礎(chǔ)。Feistel密碼是一種分組密碼，F(xiàn)eistel的安全性與下面幾個方面密切相關(guān)： 分組大小：分組越大，安全性越高，加密/解密處理速度也越慢。 密鑰大?。好荑€長度越長

5、，安全性越高，加密/解密速度也越慢。 循環(huán)次數(shù)：循環(huán)次數(shù)越多，安全性越高，加密/解密速度也越慢。 子密鑰產(chǎn)生算法：在Feistel算法的多輪循環(huán)中，需要使用不同的子密鑰。 輪函數(shù)：輪函數(shù)的擴散和擾亂功能越強，則抵御密碼分析的能力就越強。,加密過程和解密過程形式化描述分別如下公式所示: 加密: Li = Ri-1；Ri = Li-1F(Ri-1, Ki) 解密: Ri-1 = Li； Li-1 = RiF(Ri-1, Ki) = iF(Li, Ki),Feistel網(wǎng)絡(luò)的加密過程具有以下特點： 明文分組分為左右兩個部分L0和R0，數(shù)據(jù)的這兩部分通過n次循環(huán)處理后，再結(jié)合起來生成密文分組； 每i次

6、循環(huán)都以上一次循環(huán)輸出比特串的左右兩個部分Li-1和Ri-1，以及K產(chǎn)生的子密鑰Ki作為輸入。子密鑰Ki與主密鑰K和其它子密鑰都不同，子密鑰Ki是用子密鑰生成算法從密鑰K中生成的；,所有循環(huán)的結(jié)構(gòu)都相同，置換在數(shù)據(jù)的左半部分進行，先對數(shù)據(jù)的右半部分應(yīng)用循環(huán)函數(shù)F，然后對函數(shù)輸出結(jié)果和數(shù)據(jù)的左半部分取異或(XOR)； 循環(huán)函數(shù)對每次循環(huán)都有相同的通用結(jié)構(gòu)，僅僅是每次循環(huán)子密鑰Ki不同； 在置換之后，執(zhí)行由數(shù)據(jù)左右兩部分互換構(gòu)成的交換；,核心參數(shù)： 分組大小 密鑰長度 循環(huán)次數(shù) 子密鑰產(chǎn)生算法 循環(huán)函數(shù),加密算法可以描述為：,LE0=(P)LW ; RE0=(P)RW ; for i=1 step

7、 1 to n do LEi=REi-1 ; REi=LEi-1F(REi-1，Ki) ; end for LEn+1=REn ; REn+1=LEn ; C=LEn+1|REn+1 ;,上述描述中，(P)LW表示明文分組長度為w的左半部分，(P)RW為右半部分，|表示拼接。,解密算法可以描述為：,LD0=(C)LW ; RD0=(C)RW ; for i=1 step 1 to n do LDi=RDi-1 ; RDi=LDi-1F(RDi-1，Kn-i+1) ; end for LDn+1=RDn ; RDn+1=LDn ; P=LDn+1|RDn+1 ;,Feistel密碼的特點是模塊化

8、程度高，加密/解密都采用基本模塊經(jīng)過多輪循環(huán)而實現(xiàn)；加密過程和解密過程相同，差異僅僅在子密鑰的使用順序上，這一特點非常有利于硬件實現(xiàn)。,常規(guī)加密技術(shù)的概述 分組加密的原理 分組加密算法的工作模式 DES算法 多重DES 其它常規(guī)加密算法,分組密碼的操作模式,為了適應(yīng)不同的應(yīng)用需求，分組密碼定義了四種操作模式。這四種操作模式是： 電子密碼本ECB (Electronic Code Book) 密碼分組鏈接CBC (Cipher Block Chaining) 密碼反饋CFB (Cipher Feedback) 輸出反饋OFB(Output Feedback),1、電子密碼本ECB 電子密碼本是分

9、組密碼應(yīng)用的最基本形式。將明文P劃分為長度為w比特的明文分組(P1，P2，Pn)，最后一個分組一般需要填充。每個明文分組使用同樣的密鑰K進行加密處理，加密時，明文分組獨立于前面的密文分組。w比特的明文分組與w比特的密文分組一一對應(yīng)。,電子密碼本模式,電子密碼本模式的特點： 相同的明文分組必然產(chǎn)生相同的密文分組。對于傳輸大量信息(尤其是結(jié)構(gòu)化程度較高的信息)，電子密碼本模式的安全性并不是太好。 ECB可能受到的主動攻擊是信息塊被替換、重排、刪除、重放。 由于電子密碼本模式下明文的加密過程與密文無關(guān)，所以，可以對明文分組進行并行加密處理，以獲得很高的加密速度。 ECB不存在誤差傳遞現(xiàn)象，因此ECB

10、工作模式適合于傳輸短信息。,2、密碼分組鏈接CBC 密碼分組鏈接模式同電子密碼本模式一樣將明文進行分組和填充。每個明文分組使用同樣的密鑰K進行加密處理。 加密處理時，明文分組與上一次輸出的密文分組進行按位二進制異或操作后，再利用基本分組加密算法進行加密。注意：在對第一個明文分組進行處理時，還沒有密文分組可以利用，此時，引入一個初始向量IV與第一個明文分組進行異或。IV必須為發(fā)送方和接受方共享，并且應(yīng)該和密鑰一樣受到保護。 解密處理時，每個密文分組經(jīng)過基本解密算法解密，然后將此結(jié)果與前一個密文分組按位異或以產(chǎn)生明文分組。,CBC模式實現(xiàn)示意圖,解密的簡單證明如下： Ci=EKPiCi-1 解密結(jié)

11、果=DK(Ci)Ci-1=DKEKPiCi-1Ci-1 =PiCi-1Ci-1 根據(jù)異或的特性：AB C=ABC AA=0 A0=A 可得：解密結(jié)果=PiCi-1Ci-1=Pi 0= Pi,密碼分組鏈接模式通過將明文分組與前一個密文分組異或，實現(xiàn)了明文模式的隱藏，使得當同一個明文分組重復(fù)出現(xiàn)時能夠產(chǎn)生不同的密文分組。密碼分組鏈接模式可以用于大量信息和高結(jié)構(gòu)化信息的加密傳輸。無法對明文進行并行加密，但可以進行并行解密。 CBC能隱藏明文的模式信息，相同明文生成不同密文。 CBC工作模式所加密的信息塊不容易被替換、重排、刪除、重放等主動攻擊，因此它的安全性好于ECB。 容易造成誤差傳遞。,3、密碼

12、反饋CFB 上述兩種模式要求在對明文分組時進行填充，這樣勢必增加加密和傳輸?shù)拈_銷，這種開銷在對大量短小信息進行加密的情況下，尤為明顯。密碼反饋模式將分組密碼轉(zhuǎn)化為序列密碼。序列密碼不要求信息被填充成整數(shù)個分組。密碼反饋模式實際上是利用基本分組加密模塊來產(chǎn)生密鑰流。 加密操作：每次處理h位，h位明文與h位偽隨機密鑰異或后，生成h位密文。將密文移入移位寄存器的低h位。偽隨機密鑰由基本分組密碼模塊對移位寄存器的內(nèi)容加密后選取高端的h位而形成。 注意：解密的一方在使用基本分組密碼模塊時，采用的也是加密操作。,密碼反饋模式,解密的簡單證明如下： 加密：Ci=PiSh(EKMS) 解密結(jié)果=CiSh(EK

13、MR) = PiSh(EKMS)Sh(EKMR) 上式中，MS為發(fā)送方移位寄存器中的值，MR為接收方移位寄存器中的值。只要保證收發(fā)雙方移位寄存器中的初始向量IV相等，就能保證MS和MR相等。由于雙方采用了相同的加密操作EK和選擇函數(shù)Sh，從而使得下式成立： Sh(EKMS)=Sh(EKMR) 根據(jù)異或操作的性質(zhì)可得：解密結(jié)果=Pi。,密碼反饋模式的不足之處： 若傳輸中密文出錯，則會造成解密錯誤。由于錯誤碼在被移出移位寄存器之前被多次使用，因而，一個密文出錯，會造成連續(xù)w/h個解密明文的錯誤。,4、輸出反饋OFB 輸出反饋模式與密碼反饋模式在結(jié)構(gòu)上很接近，不同的是反饋到移位寄存器的不是密文，而是

14、選擇函數(shù)的輸出。輸出反饋模式優(yōu)于密碼反饋模式的是傳輸中的位出錯只會影響一次解密，而不會傳播。,輸出反饋模式,常規(guī)加密技術(shù)的概述 分組加密的原理 分組加密算法的工作模式 DES算法 多重DES 其它常規(guī)加密算法,DES(Data Encryption Standard)是數(shù)據(jù)加密標準的簡稱。DES起源于20世紀70年代初IBM研制出的LUCIFER算法，LUCIFER是一種Feistel分組密碼，分組長度為64比特，密鑰長度為128比特。1973年5月和1974年8月美國國家標準局NBS(National Bureau of Standards)兩次發(fā)布通告，向社會征集密碼算法。結(jié)果IBM的LU

15、CIFER算法被選中，1977年被正式公布為數(shù)據(jù)加密標準DES。,DES算法是分組對稱加密算法，明文和密文為64位分組長度。DES算法的密鑰長度是64位，但由于密鑰的每個字節(jié)的第8位為奇偶校驗位，第8位可忽略，因此實際的密鑰長度是56比特。在DES中數(shù)據(jù)以64比特分組進行加密，加密算法經(jīng)過一系列的加密變換將64比特的明文輸入變換成64比特的密文輸出，解密過程使用同樣的步驟和同樣的密鑰。其加密和解密過程除密鑰編排不同外，都使用同一算法。DES算法采用混亂和擴散的組合，每個組合先替代后置換，共進行16輪循環(huán)。由于算法只使用了標準的算術(shù)和邏輯運算，因此易于實現(xiàn)。,DES加密 DES算法具有嚴格的Fe

16、istel結(jié)構(gòu)。DES由兩種基本的加密技術(shù)替代和置換經(jīng)過細致而復(fù)雜的結(jié)合而成。DES共使用了16輪替代和置換。 DES加密過程分為兩條主線：明文分組加密處理和產(chǎn)生子密鑰。,明文分組加密處理由三個階段構(gòu)成： 第一個階段為初始置換(IP)。初始置換按照IP表將輸入明文分組的64位二進制數(shù)重新排列，產(chǎn)生新的64位輸出。初始置換后的輸出被分為左右各32位的兩部分。 第二個階段為標準的Feistel密碼結(jié)構(gòu)，循環(huán)次數(shù)為16輪，每輪循環(huán)使用一個48位的子密鑰。經(jīng)過16輪循環(huán)后，再將輸出的左右兩部分進行對換，并合并為64位的輸出。 第三個階段完成逆初始置換(IP-1)。逆初始置換按照IP-1表將64位二進制

17、數(shù)進行重新排列，產(chǎn)生的64位輸出即為密文。,Return,初始置換按照IP表將輸入明文分組的64位二進制數(shù)進行重新排列，產(chǎn)生新的64位輸出。逆初始置換IP-1是第一個階段初始置換的逆操作，M=IP-1(IP(M),Return,Return,替代選擇通過8個S盒(Substitution-box)完成，替代選擇的結(jié)果為32位。 8個S盒將48位的輸入變?yōu)?2位輸出，在完成代替的同時實現(xiàn)了壓縮。每個S盒通過一個表將6位輸入變?yōu)?位的輸出。 替代選擇操作如圖所示：,48位輸入分為8個6位的組，記為B1，B2，B3，B8。S盒S1對B1進行變換。S盒的表是一個4行16列的替代表。S盒的使用方法如下：

18、 設(shè)B1的6位組是blb2b3b4b5b6，取出b1和b6位組成一個2位的二進制數(shù)blb6，其取值范圍在03之間，根據(jù)此值選取S1盒中對應(yīng)的行，再由b2b3b4b5譯碼(015之間)確定S1盒中的列，將行列交匯處的值(015之間)以二進制碼輸出，便得到4比特的替代選擇結(jié)果。,例如，B1=101011時，blb6=11，b2b3b4b5=0101，分別選中S1盒的行3和列5，得到值9，因此輸出為1001。,Return,Return,將置換后的結(jié)果分成左右各28位的兩個部分C0和D0。在每一輪循環(huán)中將Ci-1和Di-1進行獨立地循環(huán)左移，結(jié)果為Ci和Di，循環(huán)左移的位數(shù)與當前循環(huán)的輪數(shù)相關(guān)，兩者

19、的關(guān)系由表2.6給出，除第1、2、9和16輪為循環(huán)左移1位外，其它輪皆循環(huán)左移2位。,Return,DES解密 DES解密操作與加密采用相同的算法，與加密相反的順序使用子密鑰，即可由密文解密出明文。,常規(guī)加密技術(shù)的概述 分組加密的原理 分組加密算法的工作模式 DES算法 多重DES 其它常規(guī)加密算法,DES的密鑰長度只有56比特，RSA公司的DES第二挑戰(zhàn)組曾用約5萬個處理器，在39天里搜索了85%的DES密鑰。因此，人們認為56位的密鑰不夠安全。 1.雙重DES 雙重DES是利用兩個不同的密鑰對明文進行兩次連續(xù)的加密處理。處理結(jié)構(gòu)如圖所示 ： 加密操作：C=EK2EK1P 解密操作：P=DK

20、1DK2C,2、雙密鑰三重DES 雙密鑰三重DES試圖用較短的密鑰獲得較高的安全性。利用兩個不同的密鑰連續(xù)三次對明文進行加密處理。 目前的雙密鑰三重DES加密方案有兩種：DES-EEE2和DES-EDE2。 DES-EEE2的加密解密過程: 加密操作：C=E K1EK2EK1P 解密操作：P= DK1DK2DK1C,DES-EDE2的加密解密過程如圖所示。 加密操作：C=E K1DK2EK1P 解密操作：P= DK1EK2DK1C DES-EDE2模式的好處是可以解密原來單次DES所加密的數(shù)據(jù)。,3、三密鑰三重DES 一些研究人員認為三密鑰三重DES用起來更加令人放心。三密鑰三重DES也有兩種

21、模式：DES-EEE3和DES-EDE3。三密鑰三重DES使用三個不同的密鑰。 DES-EEE3的加密解密過程如圖所示。 加密操作：C=E K3EK2EK1P 解密操作：P= DK1DK2DK3C,DES-EDE3的加密解密過程如圖所示。 加密操作：C=E K3DK2EK1P 解密操作：P= DK1EK2DK3C DES-EDE3模式也可以解密原來單次DES所加密的數(shù)據(jù)。,常規(guī)加密技術(shù)的概述 分組加密的原理 分組加密算法的工作模式 DES算法 多重DES 其它常規(guī)加密算法,常規(guī)加密技術(shù)的概述 分組加密的原理 分組密碼的操作模式 DES算法 多重DES 其它常規(guī)加密算法 常規(guī)加密的保密通信,其它

22、常規(guī)加密算法,除了通過三重DES來提高DES抵御窮舉式攻擊的能力外，另一種途徑是研制新的加密算法。IDEA和RC5是當前流行的加密算法。 國際數(shù)據(jù)加密算法IDEA RC5,國際數(shù)據(jù)加密算法IDEA(International Data Encryption Algorithm)是由瑞士聯(lián)邦理工學(xué)院開發(fā)的用來替代DES的對稱分組加密算法。 IDEA每次加密的明文分組長度為64比特，加密時將這64比特分為4個16比特的子分組。 IDEA的密鑰長度為128比特，加密時將密鑰生成為52個16比特的子密鑰。 IDEA使用了8輪循環(huán)，8輪循環(huán)后再經(jīng)過一個輸出變換形成密文。 每輪循環(huán)使用6個16位的子密鑰，

23、最后的輸出變換使用4個16位的子密鑰。 IDEA的解密算法與加密算法相同，解密算法的52個子密鑰由加密子密鑰導(dǎo)出。,在IDEA中，擾亂是通過三種不同的操作實現(xiàn)的，每一種操作作用于兩個16bit的輸入產(chǎn)生一個l6bit的輸出。這些操作是: 逐位異或，記為 。 整數(shù)模216(模65536)相加，輸入和輸出作為無符號的16bit整數(shù)。這個操作記為 。 整數(shù)的模216+1(模65537)乘積，輸入和輸出作為無符號的16bit整數(shù)，這個操作記為 。 這三種操作組合使用就會對輸入做出復(fù)雜的變換，使得密碼分析比對只使用異或運算的DES的分析困難很多。,在IDEA中，擴散由被稱為乘積/相加(MA)結(jié)構(gòu)的算法基

24、本構(gòu)件提供。這個結(jié)構(gòu)以兩個從明文得到的16bit的數(shù)值和兩個從密鑰導(dǎo)出的子密鑰作為輸入并產(chǎn)生兩個16bit的輸出。已證明只需要使用4次這個結(jié)構(gòu)就可以實現(xiàn)完全的擴散。,Return,Return,加密子密鑰的產(chǎn)生：,Return,乘法逆元： 加法逆元：,Return,RC5,RC5是Ron Rivest為RSA數(shù)據(jù)安全公司設(shè)計的一系列加密算法中的一個。RC表示“Rons Code”或“Rivests Cipher”。RC5于1994年發(fā)布，是一種快速的參數(shù)化分組密碼算法。 RC5的參數(shù)包括字長w、循環(huán)輪數(shù)r和密鑰長度b。 字長w的單位為比特，RC5允許的取值為16、32或64比特。RC5的分組大

25、小為2w，因此，分組大小可以取32、64或128比特。分組長度越長抵御統(tǒng)計分析的能力也越強，而加密函數(shù)的復(fù)雜性也會隨之加大。 循環(huán)輪數(shù)r允許的取值為0，1，2，255。循環(huán)輪數(shù)越多安全性越好。要綜合考慮安全性和速度。,密鑰長度b的單位為字節(jié)，允許的取值為0，1，255，對應(yīng)的二進制位是0，8，16，2040。合適的密鑰長度在速度和安全性之間進行折衷。 一個特定的RC5可以表示為RC5-w/r/b。RC5-32/12/16的含義是字長32比特，算法包含12個循環(huán)，密鑰長度16字節(jié)(128位)。,RC5的加密和解密算法用到下面三種基本操作。 加法/減法操作：模2w加法，記為，用于加密；加法的逆操作

26、，模2w減法，記為，用于解密。 按位異或操作：記為。 循環(huán)移位操作：x循環(huán)左移y比特，記為xy，用于解密。 RC5算法由三個部分組成： 密鑰擴展算法 加密算法 解密算法。,1、密鑰擴展 RC5的密鑰擴展產(chǎn)生t個子密鑰。子密鑰個數(shù)t與循環(huán)次數(shù)有關(guān)。每輪循環(huán)使用了2個子密鑰，另外有2個子密鑰用于循環(huán)之外的處理，因此，共有t=2r+2個子密鑰。每個子密鑰的長度為w比特。 密鑰擴展操作如圖所示，由三部分構(gòu)成：初始化、轉(zhuǎn)換和混合。,1） 初始化 初始化操作根據(jù)w值對子密鑰數(shù)組進行初始化，該數(shù)組由t個元素構(gòu)成，每個元素為一個字。初始化時，首先由w決定兩個常數(shù)： Pw=Odd(e-2)2w Qw=Odd(-1)2w 式中：e為自然對數(shù)的底，e=2.7182818284 黃金比率，=1.6180339887 Oddx為最接近x的奇數(shù)，若x為偶數(shù)，則Oddx=x+1。 根據(jù)Pw、Qw和下列算法完成子密鑰數(shù)組的初始化。 S0=Pw； for i=1 step 1 to t-1