北京交通大學(xué)-密碼學(xué)-對稱密碼學(xué)復(fù)習(xí)

對稱密碼學(xué)復(fù)習(xí)本章內(nèi)容密碼學(xué)概述古典密碼對稱分組密碼序列密碼隨機數(shù)的生成一、密碼學(xué)概述密碼學(xué)研究內(nèi)容：密碼體制：對稱密碼體制、公鑰密碼體制雜湊（Hash）函數(shù)與消息認證數(shù)字簽名與身份識別密鑰分配與密鑰管理各類密碼協(xié)議：如密鑰分發(fā)、秘密共享、零知識證明單向函數(shù)與偽隨機序列生成器密碼學(xué)提供的功能：機密性、完整性、鑒別、抗抵賴性；

一、密碼學(xué)概述教學(xué)目標：（1）掌握密碼學(xué)的基本概念、基本原理、基本思想與基本方法。（2）掌握國內(nèi)外典型密碼算法和密碼學(xué)的應(yīng)用技術(shù)。（3）具備典型密碼的軟件開發(fā)能力和密碼應(yīng)用能力。一、密碼學(xué)概述基本概念：密碼學(xué)被分類成密碼編碼學(xué)（Cryptography）和密碼分析學(xué)(Cryptanalytics)；加密通信模型；密碼體制的定義；密碼體制的分類；常見的密碼分析類型；幾種密碼算法的安全性的含義；

二、古典密碼C.D.Shannon：采用擴散、混淆和乘積的方法設(shè)計密碼：混淆（Confusion）：使密文和明文、密鑰的統(tǒng)計特性之間的關(guān)系復(fù)雜化，如非線性因素；擴散（Diffussion）：將每一位明文和密鑰的影響擴大到盡可能多的密文位中，以便隱藏明文的統(tǒng)計特性和防止對密鑰進行逐段破譯，使密文中每一位由明文中多位產(chǎn)生。乘積和迭代：多重加密方法混合使用

對一個加密函數(shù)多次迭代古典密碼學(xué)的兩種基本技術(shù)：

代替（substitution）、置換(permutation）

二、古典密碼典型算法舉例：數(shù)據(jù)安全基于算法保密

1、代換密碼：弄明白典型算法的設(shè)計，僅要求進行簡單的安全性分析單字母代換密碼：單表代換密碼：移位密碼：密鑰空間僅為26；仿射密碼：e(x)=(ax+b)modm,密鑰空間為廣義的單表代換密碼：26!易受字母統(tǒng)計頻率分析攻擊；多表代換密碼：維吉尼亞密碼、Hill密碼、轉(zhuǎn)子機②多字母代換密碼：Playfair密碼2、置換密碼：弄清置換表的含義；二、古典密碼多表代換密碼：非周期多表代換密碼：一次一密、量子密碼；周期多表代換密碼：維吉尼亞（Vigenere)密碼、轉(zhuǎn)子機、Hill密碼維吉尼亞密碼密鑰空間為：26m，但仍然保留了字符頻率統(tǒng)計特性；二、古典密碼Hill密碼：

完全隱藏了明文的統(tǒng)計信息，但是線性變換的安全性很脆弱，易受已知明文攻擊；

二、古典密碼②多字母代換密碼：Playfair密碼Playfair有26×26=676種字母對組合，字符出現(xiàn)概率一定程度上被均勻化，基于字母頻率的攻擊比較困難，被廣泛應(yīng)用了很多年，但依然保留了相當?shù)慕Y(jié)構(gòu)信息。對于替換密碼舉例，弄明白典型算法的設(shè)計，僅要求進行簡單的安全性分析二、古典密碼2、置換密碼：弄清置換表的含義；三、對稱分組密碼

對稱分組密碼的概述DES+雙重DES與3DESAES+相關(guān)數(shù)學(xué)基礎(chǔ)分組密碼工作模式三、對稱分組密碼

3.1對稱分組密碼的概述分組密碼體制的定義分組密碼的安全性、復(fù)雜度的概念僅要求了解；分組密碼的設(shè)計原則：分組長度、密鑰長度、混淆和擴散、易實現(xiàn)；典型迭代密碼定義理解典型迭代密碼分析：窮盡密鑰搜索、線性分析法、差分分析法、相關(guān)密鑰密碼分析、中間相遇攻擊典型密碼結(jié)構(gòu)：Feistel結(jié)構(gòu)、SP結(jié)構(gòu)（代換－置換網(wǎng)絡(luò)）Feistel結(jié)構(gòu)：

DES14SP結(jié)構(gòu)（代換－置換網(wǎng)絡(luò)）AES初始化前Nr-1輪每一輪操作輪密鑰加每子串S盒代換整個分組P置換最后一輪輪密鑰加每子串S盒代換第二次輪密鑰加輸出三、對稱分組密碼

每種典型算法了解產(chǎn)生、特點及應(yīng)用情況掌握加解密算法掌握密鑰生成算法掌握算法的實現(xiàn)中的問題及編程實現(xiàn)：填充方式、工作模式；了解算法的安全性三、對稱分組密碼

3.2DES1、DES的基本參數(shù)、特點及應(yīng)用：對稱分組密碼，明文、密鑰、密文長度都為64位，面向二進制；2、DES的加解密算法:DES加解密結(jié)構(gòu)DES一輪變換S盒3、DES的密鑰生成算法4、DES算法的安全性：了解雪崩效應(yīng)、密鑰長度的爭論、差分分析、線性分析、弱密鑰和半弱密鑰。5、雙重DES和3DESDES加密算法的數(shù)學(xué)描述：DES解密算法的數(shù)學(xué)描述：DES加密---輪的過程22AE(A)JB1B2B3B4B5B6B7B8

C1C2C3C4C5C6C7C8

f(A,J)S盒代換操作

0123

4

5

67

8

91011

1213

14151441312151183106125907015741421311061211653841148136211151297310501512824917511314100613BoxS1例如,S1(101010)=6=0110；S1(110011)=11=1011注：行列數(shù)均從0開始0123DES密鑰編排算法24三、對稱分組密碼雙重DES:很難抵擋中間相遇攻擊3DES:密鑰足夠長,兼容性好,目前廣泛應(yīng)用,速度較慢雙密鑰的3DES：ISO8732，ANSIX9.17三密鑰的3DES：PGP，S/MIME三、對稱分組密碼

3.3AES1、AES相關(guān)數(shù)學(xué)基礎(chǔ)2、AES的基本參數(shù)：AES具有128比特的分組長度，并支持128、192和256比特的密鑰長度；SP網(wǎng)絡(luò)；基本輪函數(shù)加迭代，輪數(shù)可變；數(shù)學(xué)基礎(chǔ)好；簡單快速；3、AES加解密算法：狀態(tài)4、AES密鑰生成算法5、AES的安全性及實現(xiàn)問題，了解

三、對稱分組密碼1、AES相關(guān)數(shù)學(xué)基礎(chǔ)數(shù)論：整除性：因子，素數(shù)，最大公因子，互素整數(shù)分解，求解最大公因子的方法，Euclid算法模運算：概念、模加法、模乘法、單位元、加法逆元、乘法逆元、運算性質(zhì)、推廣的Euclid算法求乘法逆元的方法有限域：概念、特殊的域中元素的表示及其運算有限域GF(p):加法，乘法，逆元，系數(shù)在Zp中的多項式加法和乘法運算GF(28)：加法、乘法、X乘一個字節(jié)：有限域GF(28)中的一個元素一個字：系數(shù)在GF(28)中并且次數(shù)小于4的多項式有限域GF(28)

AES的理論基礎(chǔ)定義在GF(28),其基本運算有三種：加法、乘法和x乘；AES的GF(28)表示AES采用GF(28)的多項式元素表示：將b7b6b5b4b3b2b1b0構(gòu)成的字節(jié)看成系數(shù)在{0,1}中的多項式：b7x7+b6x6+b5x5+b4x4+b3x3+b2x2+b1x+b0加法：兩元素多項式的系數(shù)按位模2加；乘法：兩元素多項式相乘，模m(x)AES采用的既約模多項式為：乘法逆元：a(x)b(x)=1modm(x)根據(jù)推廣的Euclid算法求出X乘xTime：用x乘以GF(28)的元素若b7=0,則字節(jié)左移一位補0；若b7≠0,則左移一位補0后，與1B異或；系數(shù)在GF(28)中的多項式字：系數(shù)在GF(28)中并且次數(shù)小于4的多項式例：57834AD1←→57x3+83x2+4Ax+D1三種基本運算：字加法、字乘法、字x乘法字加法：對應(yīng)項系數(shù)按位模2加字乘法：多項式乘積再模m(x)=x4+1AES選定一個固定的可逆多項式做乘法；字X乘法：相當于字節(jié)循環(huán)移位；

三、對稱分組密碼2、AES的加解密算法結(jié)構(gòu)：SP網(wǎng)絡(luò)，雖然加解密算法不同，但是加解密結(jié)構(gòu)相同；幾個基本變換及逆變換AES加密算法流程AES解密算法流程2、AES的加解密算法:幾個基本變換及逆變換：標準輪變換：Round(State,RoundKey){ByteSub(State);S盒變換ShiftRow(State);行移位變換MixColumn(State);列混淆變換AddRoundKey(State,RoundKey)

輪密鑰加變換

}標準逆輪變換Inv_Round(State,Inv_RoundKey){Inv_ByteSub(State);逆S盒變換

Inv_ShiftRow(State);逆行移位變換

Inv_MixColumn(State);逆列混淆變換AddRoundKey(State,Inv_RoundKey)

逆輪密鑰加變換

}三、對稱分組密碼2、AES的加解密算法幾個基本變換及逆變換的定義：S盒（即SubBytes操作）：非線性變換，矩陣定義特點；行移位；逆變換時位移量Nb-C1列混淆.三、對稱分組密碼352、AES的密鑰生成算法

加密密鑰生成算法密鑰擴展：擴展密鑰的比特數(shù)等于分組長度乘以輪數(shù)加1特定位置的擴展密鑰計算方法不同,輪數(shù)不同稍不同；輪密鑰選擇:三、對稱分組密碼2、AES的密鑰生成算法

加密密鑰生成算法密鑰擴展：擴展密鑰的比特數(shù)等于分組長度乘以輪數(shù)加1特定位置的擴展密鑰計算方法不同,輪數(shù)不同稍不同；輪密鑰選擇:Nb=6且Nk=4時的密鑰擴展與輪密鑰選取三、對稱分組密碼2、AES的密鑰生成算法解密密鑰生成算法中解密的密鑰擴展與加密的密鑰擴展算法稍有不同；解密密鑰生成算法定義如下：

①加密算法的密鑰擴展；

②把InvMixColumn應(yīng)用到除第一和最后一輪外是所有

輪密鑰上；

③輪密鑰選擇:三、對稱分組密碼

3.4分組密碼工作模式：了解采用工作模式的目的和原則，掌握幾種常用模式采用工作模式的目的掩蓋數(shù)據(jù)模式：相同明文、密鑰相同，則密文相同；使算法適應(yīng)具體應(yīng)用；工作模式對于DES、AES、3DES等任何分組密碼都適用；在很多標準中都有規(guī)定：如：NIST(SP800-38A)、FIPSPUB74和81、ANSIX3.106、ISO9732、ISO/IEC97116等；三、對稱分組密碼

3.4分組密碼工作模式設(shè)計的一般原則密碼模式通常是基本密碼、一些反饋、和一些簡單運算的組合。運算是簡單的，因為安全性依賴于基本密碼，而不依賴模式。強調(diào)一點，密碼模式不會損害算法的安全性。效率是另一個值得考慮的事情。運算模式將不會明顯地降低基本密碼的效率。第三個考慮事情是容錯。一些應(yīng)用需要并行加密或解密，而其它一些則需要能夠盡可能多的進行預(yù)處理。無論怎樣，在丟失或增加比特的密文流中，解密過程能夠從比特錯誤中恢復(fù)是很重要的

三、對稱分組密碼

3.5分組密碼工作模式常用的有五種加密模式：設(shè)計方法、特點和應(yīng)用場所、錯誤傳播電碼本模式ECB（ElectronicCodeBook）密文分組鏈接模式CBC（CipherBlockChaining）密文反饋模式CFB（CiphertextFeedback）輸出反饋模式OFB（OutputFeedback）計數(shù)器模式CRT（CounterMode）短塊加密：填充技術(shù)、密文挪用技術(shù)、序列加密

分組密碼工作模式模式描述典型應(yīng)用電碼本(ECB)用相同的密鑰分別對明文分組獨立加密單個數(shù)據(jù)的安全傳輸（如：一個加密密鑰）密文分組鏈接(CBC)加密算法的輸入是上一個密文組和下一個明文組的異或面向分組的通用傳輸認證密文反饋(CFB)一次處理s位，上一塊密文作為加密算法的輸入，產(chǎn)生的偽隨機數(shù)輸出與明文異或作為下一單元的密文面向數(shù)據(jù)流的通用傳輸認證輸出反饋(OFB)與CFB類似，只是加密算法的輸入是上一次加密的輸出，且使用整個分組噪聲信道上的數(shù)據(jù)流的傳輸（如：衛(wèi)星通信）計數(shù)器(CTR)每個明文分組都與一個以經(jīng)過加密的計數(shù)器相異或，對每個后續(xù)分組計數(shù)器遞增面向分組的通用傳輸用于高速需求電碼本模式ECB電碼本模式ECB特點

簡單和有效

可以并行實現(xiàn)

不能隱藏明文的模式信息相同明文→相同密文同樣信息多次出現(xiàn)造成泄漏改變一個明文塊，只引起相應(yīng)的密文塊的改變，而其他密文塊不變。–對明文的主動攻擊是可能的，信息塊可被替換、重排、刪除、重放；

誤差傳遞：密文塊損壞→僅對應(yīng)明文塊損壞

適合于傳輸短信息密文分組鏈接模式CBC密文分組鏈接模式CBC特點

沒有已知的并行實現(xiàn)算法

能隱藏明文的模式信息需要共同的初始化向量IV相同明文→不同密文初始化向量IV可以用來改變第一塊，應(yīng)該唯一，但不必須改變一個明文塊,則相應(yīng)的密文塊及其后的所有密文塊將會改變.對明文的主動攻擊是不容易的，信息塊不容易被替換、重排、刪除、重放這個特性意味著CBC模式適用于鑒別的目的，即：這些模式能用來產(chǎn)生消息鑒別碼（MAC），MAC附在明文塊序列的后面，用來保護消息的完整性。誤差傳遞：密文塊損壞→兩明文塊損壞安全性好于ECB適合于傳輸長度大于64位的報文，還可以進行用戶鑒別,是大多系統(tǒng)的標準如SSL、IPSec密文反饋模式CFB加密示意圖

46

密文反饋模式CFB解密示意圖

47密文反饋模式CFB特點

分組密碼→流密碼沒有已知的并行實現(xiàn)算法隱藏了明文模式需要共同的移位寄存器初始值IV對于不同的消息，IV必須唯一改變一個明文塊，則相應(yīng)的密文塊及其后的所有密文塊將會改變，這個特性意味著CFB模式適用于鑒別的目的；誤差傳遞：一個單元損壞影響多個單元,1+Nb/j適用于面向數(shù)據(jù)流的通用傳輸，認證輸出反饋模式OFB加密示意圖

49輸出反饋模式OFB解密示意圖

50輸出反饋模式OFB特點

分組密碼→流密碼沒有已知的并行實現(xiàn)算法

隱藏了明文模式需要共同的移位寄存器初始值IV對不同的消息，IV必須唯一改變一個明文塊，只引起相應(yīng)的密文塊的改變，而其他密文塊不變。對明文的主動攻擊是可能的，信息塊可被替換、重排、刪除、重放；有些情況下這可能是一個好的特性。例如，OFB模式通常用來加密衛(wèi)星傳輸。誤差傳遞：一個單元損壞只影響對應(yīng)單元安全性較CFB差適用于噪聲信道上的數(shù)據(jù)流的傳輸（如：衛(wèi)星通信）5、計數(shù)器模式CTR

52計數(shù)器模式CTR特點

使用一個與明文分組等長的計數(shù)器，每個明文組，計數(shù)器的值必須不同。面向分組的通用傳輸，適用高速需求可以并行處理；可以預(yù)處理：由于加解密算法不依賴于明（密）文，在存儲條件允許以及安全保障的條件下，可以預(yù)先將要使用的異或值計算出來，以供隨后使用；隨機存?。簩τ阪溄幽Ｊ?必須加密Ci-1后才能加密Ci,CTR模式可以任意的加密一個組塊,有些應(yīng)用中,可能無需加密或解密所有的組塊,只需要解密其中的一個.簡單：只要實現(xiàn)加密算法，不需要解密算法，當加密算法與解密算法相差較大時，這個模式有較大優(yōu)勢；可證明安全：已經(jīng)能夠證明CTR模式至少與前面的模式同樣的安全；短塊加密

分組密碼一次只能對一個固定長度的明文（密文）塊進行加解密；稱長度小于分組長度的數(shù)據(jù)塊為短塊；必須采用合適的技術(shù)解決短塊加密問題填充技術(shù)：ANSIX.923、ISO10126、PKCS7、ISO/IEC7816-4等密文挪用技術(shù)序列加密密文挪用技術(shù)：不增加密文長度，但控制復(fù)雜密文挪用法也需要指示挪用位數(shù)的指示符；負責收信者不知道挪用了多少位，從而不能正確解密;密文挪用加密短塊的優(yōu)點是：不引起數(shù)據(jù)的擴展;缺點是：解密時要先解密Cn，還原挪用后再解密Cn-1，從而使控制復(fù)雜.密文挪用技術(shù)：不增加密文長度，但控制復(fù)雜四、序列密碼1、序列密碼的基本概念2、線性移位寄存器序列密碼3、非線性序列密碼4、RC4

四、序列密碼

1、序列密碼的基本概念：基本思想：分類：同步序列密碼，自同步序列密碼二元同步流密碼體制模型流密碼對密鑰流的要求密鑰流產(chǎn)生器的通常構(gòu)建方法；LFSR+非線性