网络安全03：分组密码与数据加密标准

1、Chapter 3 分组密码与数据加密标准 密码编码学与网络安全2022/9/2613.2 分组密码原理流密码每次加密数据流的一位或一个字节分组密码将一个明文组作为整体加密且通常得到的是与之等长的密文组。2022/9/2622022/9/263分组密码的一般设计原理： 分组密码是将明文消息编码表示后的数字（简称明文数字）序列，划分成长度为n的组（可看成长度为n的矢量），每组分别在密钥的控制下变换成等长的输出数字（简称密文数字）序列。2022/9/264两个基本设计方法混乱（confusion）：明文的统计特征消散在密文中，使得明文和密文之间的统计关系尽量复杂。扩散（diffusion）：是使得

2、一位明文的变化影响到尽可能多位数上的密文Shannon称之为理想密码系统中，密文的所有统计特性都与所使用的密钥独立2022/9/265Feistel 密码结构分组长度 密钥长度 轮数 子密钥生成算法轮函数 快速软件加解密易于分析2022/9/266实现的设计原则软件实现的要求使用子块和简单的运算。密码运算在子块上进行，要求子块的长度能自然地适应软件编程，如8、16、32比特等。应尽量避免按比特置换，在子块上所进行的密码运算尽量采用易于软件实现的运算。最好是用处理器的基本运算，如加法、乘法、移位等。硬件实现的要求加密和解密的相似性，即加密和解密过程的不同应仅仅在密钥使用方式上，以便采用同样的器件

3、来实现加密和解密，以节省费用和体积。尽量采用标准的组件结构，以便能适应于在超大规模集成电路中实现。2022/9/267背景简介1973年5月15日，NBS(现在NIST，美国国家标准技术研究所)开始公开征集标准加密算法，并公布了它的设计要求：（1）算法必须提供高度的安全性（2）算法必须有详细的说明，并易于理解（3）算法的安全性取决于密钥，不依赖于算法（4）算法适用于所有用户（5）算法适用于不同应用场合（6）算法必须高效、经济（7）算法必须能被证实有效（8）算法必须是可出口的3.3 数据加密标准(DES)2022/9/268背景简介1974年8月27日，NBS开始第二次征集，IBM提交了算法LU

4、CIFER，该算法由IBM的工程师在19711972年研制1975年3月17日，NBS公开了全部细节1976年，NBS指派了两个小组进行评价1976年11月23日，采纳为联邦标准，批准用于非军事场合的各种政府机构1977年1月25日，“数据加密标准”FIPS PUB 46发布3.3 数据加密标准(DES)2022/9/269DES的生命期 NBS最终采纳了 IBM 的 LUCIFER 方案，于 1975 年公开发表。1977 年正式颁布为数据加密标准（DES - Data Encryption Standard）。1979 年，美国银行协会批准使用 DES。1980 年，DES 成为美国标准化

5、协会 (ANSI) 标准。1984 年，ISO 开始在 DES 基础上制定数据加密的国际标准。美国国家安全局NSA每隔年对该算法进行评估 ，1994年，决定1998年12月之后不再使用DES 。现已经确定了选用Rijndael算法作为高级加密算法AES。 2022/9/26103.3.1 DES加密加密算法框架CDES（m） 2022/9/26112022/9/2612置换IP(675a6967 5e5a6b5a) = (ffb2194d 004df6fb)2022/9/2613单轮变换的详细过程单轮操作结构加密： Li = Ri1 Ri = Li1 F(Ri1, Ki)解密： Ri1 = L

6、i Li1 = Ri F(Ri1, Ki) Ri F(Li , Ki)2022/9/2614单轮变换的详细过程函数FExpansion: 32 - 48S-box: 6 - 4Permutation: 32 - 322022/9/2615单轮变换的详细过程扩展置换E：32bit48bit第32比特第1比特第01比特第2比特第01比特第48比特2022/9/2616单轮变换的详细过程函数F2022/9/2617单轮变换的详细过程压缩置换（S盒）：6bit4bit , 48bit32bit2022/9/26188个S盒2022/9/2619例： 00 01 02 03 04 05 06 07 08

7、 09 10 11 12 13 14 15012313 02 08 04 06 15 11 01 10 09 03 14 05 00 12 0701 15 13 08 10 03 07 04 12 05 06 11 00 14 09 0207 11 04 01 09 12 14 02 00 06 10 13 15 03 05 0802 01 14 07 04 10 08 13 15 12 09 00 03 05 06 11输入输出2022/9/2620单轮变换的详细过程P置换（P盒）：32bit32bit第 16 比特 第 1 比特第 07 比特 第 2 比特第 25 比特 第 32 比特20

8、22/9/2621单轮变换的详细过程函数F第i 轮输入第i 轮输出2022/9/2622子密钥生成算法框架2022/9/2623子密钥生成两个选择置换（64bit 56bit，56bit 48bit）第57比特第1比特第49比特第2比特第04比特第56比特（舍弃了奇偶校验位，即第8，16，64位）第14比特第1比特第17比特第2比特第32比特第48比特（舍弃了第9,18,22,25,35,38,43,54比特位）2022/9/2624子密钥生成循环移位第38，1015轮，左移2位，其余为1位2022/9/26252022/9/2626加密过程:(1)(2)运算进行16次后就得到密文组。 L0R

9、0 IP(64 bit 输入码) LiRi-1 i=1,., 16 (1) RiLi-1f(Ri-1, ki) i=1,. , 16 (2)64 bit密文IP-1 (R16L16)解密过程:(3)(4)运算进行16次后就得到明文组。 R16L16 IP(64 bit密文) Ri-1 Li i=16,. , 1 (3) Li-1Rif(Li-1, ki) i=16,., 1 (4) 64 bit明文IP-1 (L0R0) 3.3.2 DES解密与加密算法相同，子密钥倒序。2022/9/26273.3.3 雪崩效应2022/9/262856密钥的使用256 = 7.2 x 10161997 ，几

10、个月 1998，几天 1999，22个小时!DES算法的性质：S盒构造方法未公开！弱密钥弱密钥：8个弱密钥 半弱密钥：2个半弱密钥 3.4 DES的强度2022/9/2629差分密码分析线性密码分析3.5 差分分析和线性分析2022/9/2630差分密码分析2022/9/26312022/9/2632线性密码分析通过寻找DES变换的线性近似来攻击 。 2022/9/2633DES CrackerThe Electronic Frontier Foundation built the so-called DES Cracker supercomputer in 1998 to crack 56-

11、bit DES encryption. It later won RSA Laboratorys DES Challenge II contest in about 56 hours. DES Cracker had 26 (and later 27) system boards, each with 32 or 64 custom AWT-4500 Deep Crack chips, for a total of about 1,500 to 1,800 chips. 2022/9/2634DES的设计准则（见教材）Feistel密码的密码强度来自于三个方面迭代轮数（255.1 255 ）函

12、数F的设计(非线性，S盒, bent函数)严格雪崩效应准则位独立准则密钥扩展算法3.6 分组密码的设计原理2022/9/26353.7 分组密码的工作模式FIPS 81中定义了4种模式，到800-38A中将其扩展为5个。可用于所有分组密码。DES的工作模式若明文最后一段不足分组长度，则补0或1，或随机串。 2022/9/2636模式描述典型应用电码本（ECB）单个数据的安全传输密码分组链接（CBC）普通目的的面向分组的传输；认证密码反馈（CFB）普通目的的面向分组的传输；认证输出反馈（OFB）噪声信道上的数据流的传输计数器（CTR）普通目的的面向分组的传输；用于高速需求DES的工作模式（表3.

13、6） 2022/9/26373.7.1 电码本模式（Electronic Code Book，ECB ）工作模式 加密：Cj=Ek(Pj),(j=1,2,n)解密：Pj=Dk(Cj)应用2022/9/2638Electronic Codebook Book (ECB)2022/9/2639摘自：NIST Special Publication 800-38A 2001 Edition2022/9/26403.7.2 密码分组链接模式（Cipher Block Chaining ，CBC）工作模式 加密解密应用加密长度大于64位的明文P认证2022/9/2641Cipher Block Chai

14、ning (CBC)2022/9/2642摘自：NIST Special Publication 800-38A 2001 Edition2022/9/2643工作模式加密解密应用保密：加密长度大于64位的明文P；分组随意；可作为流密码使用。认证：特点分组任意安全性优于ECB模式加、解密都使用加密运算（不用解密运算）3.7.3 密码反馈模式（Cipher FeedBack，CFB）2022/9/2644Cipher FeedBack (CFB)2022/9/2645摘自：NIST Special Publication 800-38A 2001 Edition2022/9/26463.7.4 输出反馈模式（Output FeedBack，OFB ）工作模式 加密解密应用特点缺点：抗消息流篡改攻击的能力不如CFB。 2022/9/2647Output FeedBack (OFB)2022/9/2648摘自：NIST Special Publication 800-38A 2001 Edition2022/9/2649工作模式 加密： 给定计数器初值IV，则 j=1,2,N 解密特点优点硬件效率：可并行处理；软件效率：并行化；预处理；随机访问：比链接模式好；可证明的安全性：至少与其它模式一样安全；简单性：只用到加密算法。3.7.5 计数器模式（Counter, CTR）2022