信息安全導論(4-2密碼基礎-對稱密碼).ppt

1,密碼基礎對稱密碼,信息安全導論（模塊4密碼基礎）,2,現(xiàn)代密碼學,密碼體制的分類： 對稱、非對稱 分組、序列,3,分組密碼的設計原則,混亂：所設計的密碼應使得密鑰、明文以及密文之間的依賴關系相當復雜，以至于這種依賴性對密碼分析者來說是無法利用的 擴散：所設計的密碼應使得密鑰的每一位數(shù)字影響密文的許多位數(shù)字，以防止對密鑰進行逐段破譯，而且明文的每一位數(shù)字也應影響密文的許多位數(shù)字，以便隱蔽明文數(shù)字統(tǒng)計特性,4,典型的分組密碼算法DES,DES的歷史 1971年，IBM，由Horst Feistel領導的密碼研究項目組研究出LUCIFER算法，并應用于商業(yè)領域 1973年美國標準局征求標準，IBM提交結果，之后被選為數(shù)據(jù)加密標準,5,分組密碼的例子DES,DES是1975年被美國聯(lián)邦政府確定為非敏感信息的加密標準，它利用64比特長度的密鑰K來加密長度為64比特的明文，得到64比特長的密文 1997年，由于計算機技術迅速發(fā)展，DES的密鑰長度已經(jīng)太短，NIST建議停止使用DES算法作為標準. 目前，二重DES和三重DES仍然廣泛使用,5,6,DES算法的整體結構Feistel結構 DES算法的輪函數(shù) DES算法的密鑰編排算法 DES的解密變換,7,DES算法的整體結構Feistel結構,7,輸 入,I P,16輪迭代,I P-1,輸出,密 鑰 編 排,K1K16,8,DES算法的整體結構Feistel結構,1. 給定明文，通過一個固定的初始置換IP來重排輸入明文塊P中的比特，得到比特串P0=IP(P)=L0R0，這里L0和R0分別是P0的前32比特和后32比特,8,初始置換IP,9,DES算法的整體結構Feistel結構,2. 按下述規(guī)則進行16次迭代，即 1i16 這里 是對應比特的模2加，f是一個函數(shù)（稱為輪函數(shù)）； 16個長度為48比特的子密鑰Ki(1i16)是由密鑰k經(jīng)密鑰編排函數(shù)計算出來的.,Li-1,Ri-1,f,+,Li,Ri,ki,第16輪迭代左右兩塊不交換,10,DES算法的整體結構Feistel結構,10,初始置換的逆置換IP,3.對比特串R16L16使用逆置換IP-1得到密文C，即C=IP-1 (R16L16)。,11,分組密碼的輪函數(shù),函數(shù)f以長度為32比特串Ri-1作為第一輸入，以長度為48比特串Ki作為第二個輸入，產(chǎn)生長度為32比特的輸出：,11,12,分組密碼的輪函數(shù),13,分組密碼的輪函數(shù),E擴展：Ri-1根據(jù)擴展規(guī)則擴展為48比特長度的串；,14,E擴展（32bit擴展到48bit）,1,2,3,4,5,6,7,8,1,2,3,4,5,6,7,9,8,8,4,5,9,9,1,32,32,32,15,分組密碼的輪函數(shù),密鑰加：計算 ，并將結果寫成8個比特串，每個6比特，B=B1B2B3B4B5B6B7B8.,16,分組密碼的輪函數(shù),S盒代換：6入4出，查表 8個S盒S1S8. 每個S盒是一個固定的4*16階矩陣，其元素取015之間的整數(shù). 輸入6比特b1b2b3b4b5b6，輸出如下 1) b1b6兩個比特確定了S盒的行 2) b2b3b4b5四個比特確定了S盒的列 3) 行、列確定的值即為輸出,16,17,17,18,18,例如：輸入101100，行”10“2，列”0110“6 輸出2，即0010 例如：輸入111001，行”11“3，列”1100“12 輸出10，即1010,19,分組密碼的輪函數(shù),19,P置換：長度為32比特串C=C1C2C3C4C5C6C7C8, 根據(jù)固定置換P(*)進行置換，得到比特串P(C).,20,DES算法的密鑰編排算法,根據(jù)密鑰K來獲得每輪中所使用的子密鑰Ki,20,K,PC-1,C0,D0,C1,D1,C16,D16,LS1,LS1,LS2,LS16,LS2,LS16,PC-2,PC-2,K1,K16,64,28,28,56,48,21,DES算法的密鑰編排算法,1. 給定64比特密鑰K，根據(jù)固定的置換PC-1來處理K得到C0D0，其中C0和D0分別由最前和最后28比特組成,22,DES算法的密鑰編排算法,2. 計算Ci=LSi(Ci-1)和Di=LSi(Di-1)， 且Ki=PC-2(CiDi)，LSi表示循環(huán)左移兩個或一個位置，具體地，如果i=1,2,9,16就移一個位置，否則就移兩個位置 PC-2是另一個固定的置換.,23,DES算法的密鑰編排算法,24,DES的解密變換,DES的解密與加密一樣使用相同的算法，它以密文y作為輸入，但以相反的順序使用密鑰編排K16,K15,K1, 輸出的是明文x,25,DES加密的例子,設16進制明文X為：0123456789ABCDEF 密鑰K為：133457799BBCDFF1 去掉奇偶校驗位后，以二進制表示的K 加密后的密文為：,26,DES的核心是S盒，除此之外的計算是線性的 S盒作為該密碼體制的非線性組件對安全性至關重要。 S盒的設計準則： S盒不是它輸入變量的線性函數(shù) 改變S盒的一個輸入位至少要引起兩位的輸出改變 對任何一個S盒，如果固定一個輸入比特，其它輸入變化時，輸出數(shù)字中0和1的總數(shù)近于相等。,27,分組密碼的分析方法,如果密碼分析者能夠確定正在使用的密鑰，則他就可以像合法用戶一樣閱讀所有消息，則稱該密碼是完全可破譯的 如果密碼分析者僅能從所竊獲的密文恢復明文，卻不能發(fā)現(xiàn)密鑰，則稱該密碼是部分可破譯的,28,DES的破解,DES的實際密鑰長度為56-bit，就目前計算機的計算能力而言，DES不能抵抗對密鑰的窮舉搜索攻擊。 1997年1月28日，RSA數(shù)據(jù)安全公司在RSA安全年會上懸賞10000美金破解DES，克羅拉多州的程序員Verser在Inrernet上數(shù)萬名志愿者的協(xié)作下用96天的時間找到了密鑰長度為40-bit和48-bit的DES密鑰。 1998年7月電子邊境基金會（EFF）使用一臺價值25萬美元的計算機在56小時之內破譯了56-bit的DES。 1999年1月電子邊境基金會（EFF）通過互聯(lián)網(wǎng)上的10萬臺計算機合作，僅用22小時15分就破解了56-bit的ES。 不過這些破譯的前提是，破譯者能識別出破譯的結果確實是明文，也即破譯的結果必須容易辯認。如果明文加密之前經(jīng)過壓縮等處理，辯認工作就比較困難。,29,DES算法的公開性與脆弱性,DES的兩個主要弱點： 密鑰容量：56位不太可能提供足夠的安全性 S盒：可能隱含有陷井（Hidden trapdoors） DES的半公開性：S盒的設計原理至今未公布,30,DES小結,充分混亂：密鑰、明文以及密文之間的依賴關系相當復雜 充分擴散：密鑰的每一位數(shù)字影響密文的許多位數(shù)字，明文的每一位數(shù)字也應影響密文的許多位數(shù)字,31,密碼分析的幾種情況,根據(jù)攻擊者掌握的信息，密碼分析分為 僅知密文攻擊：攻擊者除了所截獲的密文外，沒有其他可以利用的信息 已知明文攻擊：攻擊者僅知道當前密鑰下的一些明密文對 選擇明文攻擊：攻擊者能獲得當前密鑰下的一些特定的明文所對應的密文 選擇密文攻擊：攻擊者能獲得當前密鑰下的一些特定的密文所對應的明文,32,分組密碼 序列密碼（流密碼）,33,流密碼（序列密碼）,分組密碼 將待加密的明文分為若干個字符一組，逐組進行加密 流密碼 將待加密的明文分成連續(xù)的字符或比特，然后用相應的密鑰流對其進行加密 密鑰流由種子密鑰通過密鑰流生成器產(chǎn)生,34,流密碼基本原理,通過隨機數(shù)發(fā)生器產(chǎn)生性能優(yōu)良的偽隨機序列（密鑰流），使用該序列加密信息流（逐比特加密），得到密文序列,種子密鑰K,隨機數(shù)發(fā)生器,加密變換,密鑰流Ki,明文流mi,密文流Ci,35,按照加解密的工作方式，流密碼分為同步流密碼和自同步流密碼,36,同步流密碼 密鑰流的產(chǎn)生完全獨立于消息流（明文流或者密文流） 特點：無錯誤擴散。如果傳輸過程產(chǎn)生一位錯誤，只影響當前位的解密結果，不影響后續(xù)位 自同步流密碼,37,同步流密碼,：密鑰流生成器的內部狀態(tài),F：狀態(tài)轉移函數(shù) G：密鑰流產(chǎn)生函數(shù),38,同步流密碼 自同步流密碼 每一個密鑰字符是由前面n個密文字符參與運算得到的 特點：有錯誤擴散。如果傳輸過程中產(chǎn)生1位錯誤，則錯誤會傳播n個字符。 收到n個正確的密文字符后，密碼系統(tǒng)會實現(xiàn)重新同步,39,自同步流密碼,：密鑰流生成器的內部狀態(tài),F：狀態(tài)轉移函數(shù) G：密鑰流產(chǎn)生函數(shù),40,二元加法流密碼,目前使用最多的流密碼 明文m、密文c、密鑰k都為0，1序列，運算為模2加（異或） 加密： 解密：,41,二元加法流密碼,符號描述與示例 加密操作： 密鑰流：k1,k2,k3, 明文流：m1,m2,m3, 密文流：c1,c2,c3,解密操作： 密鑰流：k1,k2,k3, 密文流：c1,c2,c3, 明文流：m1,m2,m3,例電報內容“專列下午2點到達。”的加密過程如下： 密鑰流：78,35,02,E4,B2 明文流：D7,A8,C1,D0,CF,C2,CE,E7,32,B5,E3,B5,BD,B4,EF,A1,A3 密文流：AF,9D,C3,34,7D,42,二元加法流密碼算法的安全強度完全取決于密鑰流的特性 如果密鑰流是無限長、無周期的完全隨機的序列，則這種密碼就是“一次一密”的密碼體制。仙農(nóng)曾證明它是不可破譯的 但實際應用中，密鑰流都是由有限存儲和有限復雜的邏輯電路產(chǎn)生的字符序列，因此是有周期性的，不是真正的隨機序列 要設計周期盡可能長、隨機性盡可能好的，近似真正的隨機序列，做密鑰流,43,Golomb隨機性假設,在序列的一個周期內，0與1的個數(shù)相差至多為1 在序列的一個周期圈內，長為1的游程數(shù)占總游程數(shù)的1/2，長為2的游程數(shù)占總游程數(shù)的 ，長為i的游程數(shù)占總游程數(shù)的 且在等長的游程中，0，1游程各占一半 序列的異相自相關函數(shù)為一個常數(shù),44,第一個條件說明，01序列中0和1出現(xiàn)的概率“基本”相同 第