物聯(lián)網(wǎng)技術(shù)與應(yīng)用：ch3 分組密碼與數(shù)據(jù)加密標(biāo)準(zhǔn)

1、Chapter 3 分組密碼與數(shù)據(jù)加密標(biāo)準(zhǔn) 23.1 分組密碼原理流密碼與分組密碼的比較3密鑰流產(chǎn)生器密鑰k明文m密文c流密碼體制模型異或運(yùn)算流密碼模型流密碼每次加密數(shù)據(jù)流的一位或一個(gè)字節(jié)例如：Vigenere密碼4分組密碼將一個(gè)明文組作為整體加密且通常得到的是與之等長(zhǎng)的密文組。典型分組大?。?4位或128位。分組密碼的應(yīng)用范圍比流密碼要廣泛。絕大部分基于網(wǎng)絡(luò)的對(duì)稱密碼應(yīng)用使用的是分組密碼。分組密碼5分組密碼的一般設(shè)計(jì)原理： 分組密碼是將明文消息編碼表示后的數(shù)字（簡(jiǎn)稱明文數(shù)字）序列，劃分成長(zhǎng)度為n的組（可看成長(zhǎng)度為n的矢量），每組分別在密鑰的控制下變換成等長(zhǎng)的輸出數(shù)字（簡(jiǎn)稱密文數(shù)字）序列。解密

2、算法加密算法密鑰k=(k0, k1, kt-1 )密鑰k=(k0, k1, kt-1 )明文x=(x0, x1, xn-1)明文x=(x0, x1, xn-1)密文y=(y0, y1, ym-1)2022/7/15Cryptography and Network Security - 26/36Feistel密碼結(jié)構(gòu)的設(shè)計(jì)動(dòng)機(jī)Feistel密碼結(jié)構(gòu)的設(shè)計(jì)動(dòng)機(jī)分組密碼對(duì)n比特的明文分組進(jìn)行操作，產(chǎn)生一個(gè)n比特的密文分組，共有2n個(gè)不同的明文分組，每一種都必須產(chǎn)生一個(gè)唯一的密文分組，這種變換稱為可逆的或非奇異的。 可逆映射 不可逆映射 00 11 00 11 01 10 01 10 10 00 1

3、0 01 11 01 11 01 Feistel密碼結(jié)構(gòu)的設(shè)計(jì)動(dòng)機(jī)理想分組密碼2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院7缺點(diǎn)：n太小的話，就是單表代換 n太大的話，密鑰長(zhǎng)度太長(zhǎng)。對(duì)策：Feistel指出我們所需要的是對(duì)應(yīng)較大n的理想分組密碼體制的一種近似體制而已，它可以在容易實(shí)現(xiàn)部件的基礎(chǔ)上逐步建立起來。具體方法：利用乘積密碼的概念來逼近簡(jiǎn)單代換密碼。所得結(jié)果的密碼強(qiáng)度將強(qiáng)于所有單個(gè)密碼的強(qiáng)度。2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院9Feistel密碼結(jié)構(gòu)的設(shè)計(jì)動(dòng)機(jī)乘積密碼乘積密碼：密碼長(zhǎng)為k比特，分組為n比特，采用2k個(gè)變換，而不是理想分組密碼的(2n)!個(gè)可用變化。特別地，F(xiàn)ei

4、stel建議交替地使用代換和置換。這是Shannon提出的交替使用混淆和擴(kuò)散乘積密碼的實(shí)際應(yīng)用。2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院102022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院11擴(kuò)散（diffusion）：明文的統(tǒng)計(jì)特征消散在密文中，讓每個(gè)明文數(shù)字盡可能多地影響多個(gè)密文數(shù)字，使得明文和密文之間的統(tǒng)計(jì)關(guān)系盡量復(fù)雜。混淆（confusion）：使得密文的統(tǒng)計(jì)特性與密鑰的取值之間的關(guān)系盡量復(fù)雜，以阻止攻擊者發(fā)現(xiàn)密鑰。2022/7/15Cryptography and Network Security - 212/363.1.3 Feistel密碼結(jié)構(gòu)1973年，Horst Feiste

5、l提出了基于可逆乘積加密器概念的Feistel Cipher：將輸入分組分成左右兩部分，實(shí)施Shannons的substitution-permutation network 概念對(duì)左半部數(shù)據(jù)實(shí)施多回合的替代操作(substitution)對(duì)右半部數(shù)據(jù)和子密鑰應(yīng)用輪函數(shù)F，其輸出與左一半做異或?qū)⑦@兩部分進(jìn)行互換(permutation swapping) 2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院13Feistel 密碼結(jié)構(gòu)第i輪的輸出： LEi = REi-1 REi = LEi-1 F(REi-1, ki) 2022/7/15Cryptography and Network Securi

6、ty - 214/36分組長(zhǎng)度：分組越長(zhǎng)則安全性越高，但加/解密速度越低，分組長(zhǎng)度為64位是一個(gè)合理的折衷密鑰長(zhǎng)度：密鑰越長(zhǎng)越安全，但加/解密速度越低，64位長(zhǎng)的密鑰已被證明是不安全的，128位是常用的長(zhǎng)度迭代次數(shù)：迭代越多越安全，通常為16次迭代子密鑰產(chǎn)生算法：越復(fù)雜則密碼分析越困難輪循環(huán)函數(shù)：越復(fù)雜則抗密碼分析的能力越強(qiáng)快速的軟件加密/解密：算法的執(zhí)行速度很重要簡(jiǎn)化分析難度：算法簡(jiǎn)潔清楚，易于分析弱點(diǎn)，發(fā)現(xiàn)問題Feistel解密算法：以密文作為算法的輸入，以相反的次序使用密鑰Ki，Kn、Kn1、.、K0.Feistel加密器設(shè)計(jì)原則Feistel 密碼結(jié)構(gòu)2022/7/15西安電子科技大學(xué)

7、計(jì)算機(jī)學(xué)院15Feistel結(jié)構(gòu)的具體實(shí)現(xiàn)依賴于一下安全參數(shù)：分組長(zhǎng)度 密鑰長(zhǎng)度 迭代輪數(shù) 子密鑰生成算法輪函數(shù)Feistel密碼還有兩個(gè)其他方面的考慮： 快速軟件加解密易于分析：DES不符合Feistel 密碼結(jié)構(gòu)：解密規(guī)則：將密文作為算法的輸入，但逆序使用子密鑰kiRi-1 = Li Li-1 = RiF(Ri-1,Ki) = RiF(Li,Ki)2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院162022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院173.3 數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)20世紀(jì)60年代，IBM公司成立了由Horst Feistel負(fù)責(zé)的計(jì)算機(jī)密碼學(xué)研究項(xiàng)目。1971年設(shè)計(jì)出了算法LUCI

8、FER，后來給出了修訂版：Tuchman-Meyer。1973年，美國國家標(biāo)準(zhǔn)局NBS征求國家密碼標(biāo)準(zhǔn)方案， IBM提交了該算法。1977 年正式頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)（DES - Data Encryption Standard）。1979 年，美國銀行協(xié)會(huì)批準(zhǔn)使用 DES。DES的發(fā)展歷程 1980 年，DES 成為美國標(biāo)準(zhǔn)化協(xié)會(huì) (ANSI) 標(biāo)準(zhǔn)。1984 年，ISO 開始在 DES 基礎(chǔ)上制定數(shù)據(jù)加密的國際標(biāo)準(zhǔn)。美國國家安全局NSA每隔年對(duì)該算法進(jìn)行評(píng)估 ，1994年，決定1998年12月之后不再使用DES ?，F(xiàn)已經(jīng)確定了選用Rijndael算法作為高級(jí)加密算法AES。 2022/7/1

9、5西安電子科技大學(xué)計(jì)算機(jī)學(xué)院182022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院19DES加密3.2 數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)2022/7/15202022/7/15212022/7/1522注意：分別對(duì)C0，D0左移位2022/7/15232022/7/1524選擇擴(kuò)展運(yùn)算E：將輸入的32 bit Ri-1擴(kuò)展成48 bit的輸出，令s表示E原輸入數(shù)據(jù)比特的原下標(biāo)，則E的輸出是將原下標(biāo)s0或1(mod 4)的各比特重復(fù)一次得到的，即對(duì)原第32, 1, 4, 5, 8, 9, 12, 13, 16, 17, 20, 21, 24, 25, 28, 29各位都重復(fù)一次,實(shí)現(xiàn)數(shù)據(jù)擴(kuò)展。將表中數(shù)據(jù)按行讀出

10、得到48 bit輸出。2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院25S盒中不能超過152022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院260101112022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院272022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院283.3.2 DES解密與加密算法相同，子密鑰倒序。293.2.3 雪崩效應(yīng)明文或密鑰的微小改變將對(duì)密文生成很大的影響。這是任何加密算法需要的一個(gè)好的性質(zhì)。2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院3056密鑰的使用256 = 7.2 x 10161998年出現(xiàn)了“DES破譯機(jī)”計(jì)時(shí)攻擊：利用加密算法或解密算法對(duì)于不同的輸入所花的時(shí)間的細(xì)微的差異。3.4

11、 DES的強(qiáng)度2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院31DES的設(shè)計(jì)準(zhǔn)則主要針對(duì)S盒及P函數(shù)的設(shè)計(jì)。Feistel密碼的密碼強(qiáng)度來自于三個(gè)方面迭代輪數(shù)迭代輪數(shù)的選擇標(biāo)準(zhǔn)是使密碼分析的難度大于簡(jiǎn)單窮舉攻擊的難度。16輪時(shí)，255.1 255 函數(shù)F的設(shè)計(jì)非線性度要高較好的雪崩效應(yīng)（嚴(yán)格雪崩效應(yīng)）獨(dú)立準(zhǔn)則3.6 分組密碼的設(shè)計(jì)原理3.6 分組密碼的設(shè)計(jì)原理S盒的設(shè)計(jì)本質(zhì)上，我們希望輸入向量的任何變化導(dǎo)致S盒的輸出近乎隨機(jī)的變化。Mister和Adams提出一系列S盒的設(shè)計(jì)標(biāo)準(zhǔn)：應(yīng)該滿足嚴(yán)格的雪崩效應(yīng)和獨(dú)立準(zhǔn)則。【Heys95】提出S盒的一個(gè)相關(guān)設(shè)計(jì)標(biāo)準(zhǔn)：嚴(yán)格雪崩準(zhǔn)則。Nyberg提出了下列方

12、法：隨機(jī)方法，隨機(jī)加預(yù)測(cè)方法，人工構(gòu)造方法，數(shù)學(xué)構(gòu)造方法。2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院32嚴(yán)格雪崩準(zhǔn)則（Strict Avalanche Criterion，SAC）是雪崩效應(yīng)的形式化。它指出，當(dāng)任何一個(gè)輸入位被反轉(zhuǎn)時(shí)，輸出中的每一位均有50%的概率發(fā)生變化。嚴(yán)格雪崩準(zhǔn)則建立于密碼學(xué)的完全性概念上，由Webster和Tavares在1985年提出。3.6 分組密碼的設(shè)計(jì)原理密鑰擴(kuò)展算法沒有受到向S盒那樣的關(guān)注。一般來說，子密鑰的選擇應(yīng)該加大推導(dǎo)子密鑰及密鑰的難度。Hall指出該算法至少應(yīng)保證密鑰和明文符合嚴(yán)格雪崩準(zhǔn)則和位獨(dú)立準(zhǔn)則。2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院33

13、位獨(dú)立準(zhǔn)則（Bit Independence Criterion，BIC）指出，對(duì)于任意輸入位i和輸出位j、k，當(dāng)輸入位i被反轉(zhuǎn)時(shí)，輸出位j和k應(yīng)當(dāng)互不影響地獨(dú)立變化。求出用DES的8個(gè)S盒將48比特串70a990f5fc36壓縮置換輸出的32比特串（用16進(jìn)制寫出每個(gè)S盒的輸出）。比特串70a990f5fc36用二進(jìn)制表示為011100 001010 100110 010000 111101 011111 110000 110110，每6比特一組共8組，分別用8個(gè)S盒變換2022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院342022/7/15西安電子科技大學(xué)計(jì)算機(jī)學(xué)院35使用DES加密，明文M=(0123456789ABCDEF)16=(0000000100100011010001010110011110001001101010111100110111101111)2，密鑰K=（133457799BBCDFF1）16=(0001001100110100010101110111