信息安全技術(shù)導(dǎo)論cha.ppt

第二章 分組密碼技術(shù),第二章 分組密碼技術(shù) 1,密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,密碼學(xué)的歷史,密碼學(xué)從形成到發(fā)展經(jīng)歷了5個(gè)重要階段 手工階段 機(jī)械階段 電氣階段 計(jì)算機(jī)階段 網(wǎng)絡(luò)化階段。,第二章 分組密碼技術(shù) 2,密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,保密系統(tǒng)模型,熵的概念,聯(lián)合熵,條件熵,理論保密性,“一次一密”的密碼系統(tǒng)就是這樣的無條件安全的密碼系統(tǒng)。,實(shí)際保密性,一個(gè)密碼系統(tǒng)是計(jì)算上安全的是指，利用最好的算法（已知或者是未知的）來破解這個(gè)密碼系統(tǒng)需要的計(jì)算量是O(N)的，N是一個(gè)很大的數(shù)。的計(jì)算量超過了攻擊者所能控制的所有計(jì)算資源在合理的時(shí)間內(nèi)能夠完成的計(jì)算量。所以計(jì)算上安全也稱為實(shí)際的保密性。,密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,第二章 分組密碼技術(shù) 3,什么是分組密碼,密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,第二章 分組密碼技術(shù) 4,分組加密的評價(jià)標(biāo)準(zhǔn),評價(jià)分組加密算法及其工作模式的一般標(biāo)準(zhǔn)是： 預(yù)估的安全水平（如破譯需要的密文數(shù)量等） 密鑰的有效位長 分組大小 加密映射的復(fù)雜性 數(shù)據(jù)的擴(kuò)張（Data Expansion） 錯(cuò)誤的擴(kuò)散（Diffusion）/傳播（Propagation）,分組加密的一般結(jié)構(gòu),Feistel 網(wǎng)絡(luò)結(jié)構(gòu),SP 網(wǎng)絡(luò)結(jié)構(gòu),密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,第二章 分組密碼技術(shù) 5,DES概述,分組加密算法：明文和密文為64位分組長度； 對稱算法：加密和解密除密鑰編排不同外，使用同一算法； 密鑰長度：56位，但每個(gè)第8位為奇偶校驗(yàn)位，可忽略； 密鑰可為任意的56位數(shù)，但存在弱密鑰，容易避開； 采用混亂和擴(kuò)散的組合，每個(gè)組合先替代后置換，共16輪； 只使用了標(biāo)準(zhǔn)的算術(shù)和邏輯運(yùn)算，易于實(shí)現(xiàn)；,DES加密算法描述,DES加密算法的一般描述,初始置換IP和初始逆置換IP1,DES的一輪疊代,Li = Ri-1; Ri = Li-1F(Ri-1,Ki),擴(kuò)展置換-盒32位擴(kuò)展到48位,擴(kuò)展,壓縮替代S-盒48位壓縮到32位,壓縮替代S-盒,S-盒1,S-盒4,S-盒3,S-盒2,S-盒5,S-盒6,S-盒7,S-盒8,S-盒的構(gòu)造,S-盒的構(gòu)造要求,S-盒是許多密碼算法的唯一非線性部件,因此,它的密碼強(qiáng)度決定了整個(gè)算法的安全強(qiáng)度； 提供了密碼算法所必須的混亂作用； 如何全面準(zhǔn)確地度量S-盒的密碼強(qiáng)度和設(shè)計(jì)有效的S-盒是分組密碼設(shè)計(jì)和分析中的難題； 非線性度、差分均勻性、嚴(yán)格雪崩準(zhǔn)則、可逆性、沒有陷門；,S-盒的構(gòu)造準(zhǔn)則,S盒的每一行應(yīng)該包括所有16種比特組合； 沒有一個(gè)S盒是它輸入變量的線性函數(shù)； 改變S盒的一個(gè)輸入位至少要引起兩位的輸出改變； S盒的兩個(gè)輸入剛好在兩個(gè)中間比特不同，則輸出必須至少兩個(gè)比特不同； S盒的兩個(gè)輸入在前兩位不同，最后兩位相同，兩個(gè)輸出必須不同；,P-盒的構(gòu)造準(zhǔn)則,每個(gè)S盒輸出的四個(gè)比特被分布開，一邊其中的兩個(gè)影響下次循環(huán)的中間比特，另外兩個(gè)影響兩端比特； 每個(gè)S盒輸出的四個(gè)比特影響下個(gè)循環(huán)6個(gè)不同的S盒； P置換的目的是增強(qiáng)算法的擴(kuò)散特性，提供雪崩效應(yīng)（明文或密鑰的一個(gè)比特的變動(dòng)都引起密文許多比特的變化）,DES中的子密鑰的生成,DES的強(qiáng)度分析,循環(huán)次數(shù)：循環(huán)次數(shù)越多，密碼分析難度越大，循環(huán)次數(shù)的選擇準(zhǔn)則是密碼分析工作量大于簡單的窮舉式密鑰搜索工作量； 函數(shù)F：依賴于S盒的使用，非線性程度越大，密碼分析難度越大，還應(yīng)具有良好雪崩性質(zhì)； 密鑰調(diào)度算法：選擇子密鑰時(shí)要使得推測各個(gè)子密鑰和由此推出主密鑰的難度盡可能大；,IDEA ( International Data Encryption Algorithm),瑞士聯(lián)邦理工學(xué)院Xuejia Lai和James Massey提出； IDEA是對稱、分組密碼算法，輸入明文為64位，密鑰為128位，生成的密文為64位，它的設(shè)計(jì)目標(biāo)： （1）密碼強(qiáng)度：擾亂通過三種操作實(shí)現(xiàn)（逐位異或，整數(shù)模相加或乘積）； （2）使用方便性：設(shè)計(jì)考慮到硬件和軟件的實(shí)現(xiàn)； IDEA是一種相對較新的算法，雖有堅(jiān)實(shí)理論基礎(chǔ)，但仍應(yīng)謹(jǐn)慎使用(盡管該算法已被證明可對抗差分分析和線性分析)； IDEA是一種專利算法(在歐洲和美國)，專利由Ascom-Tech AG擁有，PGP中已實(shí)現(xiàn)了IDEA；,IDEA框圖,IDEA輪函數(shù),AES,AES是DES的替代品，希望能有20-30年的使用壽命。在評選過程中，最后的5個(gè)候選算法：Mars, RC6, Rijndael, Serpent,和Twofish。2000年10月，Rijndael算法被選中； Rijndael算法的原型是Square算法，其設(shè)計(jì)策略是寬軌跡策略(Wide Trail Strategy)，以針對差分分析和線性分析； Rijndael是迭代分組密碼，其分組長度和密鑰長度都是可變的，為了滿足AES的要求，分組長度為128bit，密碼長度為128/192/256bit，相應(yīng)的輪數(shù)r為10/12/14； 2001年11月，美國NIST發(fā)布標(biāo)準(zhǔn)FIPS PUB 197；,AES框圖,密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,第二章 分組密碼技術(shù) 6,對分組密碼的攻擊,窮舉分析 差分分析 線性分析,密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,第二章 分組密碼技術(shù) 7,分組密碼的工作模式,電子密碼本 ECB (Electronic Codebook Mode) 明文每次處理64 bit，每個(gè)明文分組用同一密鑰加密； 密碼分組鏈接 CBC (Cipher Block Chaining) 輸入是當(dāng)前明文和前邊明文的異或，每個(gè)分組使用相同密碼； 密碼反饋 CFB (Cipher Feedback Mode) 分組密碼流密碼； 輸出反饋 OFB (Output Feedback Mode) 分組密碼流密碼；,電子密碼本ECB,ECB的特點(diǎn),簡單有效，可以并行實(shí)現(xiàn)； 不能隱藏明文的模式信息，相同明文生成相同密文，同樣信息多次出現(xiàn)造成泄漏； 對明文的主動(dòng)攻擊是可能的信息塊可被替換、重排、刪除、重放； 誤差傳遞：密文塊損壞僅對應(yīng)明文塊損壞； 適合于傳輸短信息；,密碼分組鏈接CBC,CBC的特點(diǎn),沒有已知的并行實(shí)現(xiàn)算法； 能隱藏明文的模式信息，相同明文生成不同密文，初始化向量IV可以用來改變第一塊； 對明文的主動(dòng)攻擊是不容易的，信息塊不容易被替換、重排、刪除、重放； 誤差傳遞：密文塊損壞兩明文塊損壞； 安全性好于ECB，適合于傳輸長度大于64位的報(bào)文，還可以進(jìn)行用戶鑒別,是大多系統(tǒng)的標(biāo)準(zhǔn)如 SSL、IPSec；,密碼反饋CFB加密,Ci =Pi(EK(Si)的高j位) ; Si+1=(Sij)|Ci,密碼反饋CFB解密,Pi=Ci(EK(Si)的高j位); Si+1=(Sij)|Ci,CFB的特點(diǎn),分組密碼流密碼; 沒有已知的并行實(shí)現(xiàn)算法; 隱藏了明文模式; 需要共同的移位寄存器初始值IV; 對于不同的消息，IV必須唯一; 誤差傳遞：一個(gè)單元損壞影響多個(gè)單元;,輸出反饋OFB加密,Ci =Pi(EK(Si)的高j位)；Si+1=(Sij)|(EK(Si)的高j位),輸出反饋OFB解密,Pi=Ci(EK(Si)的高j位); Si+1=(Sij)|(EK(Si)的高j位),OFB的特點(diǎn),分組密碼流密碼； 沒有已知的并行實(shí)現(xiàn)算法； 隱藏了明文模式； 需要共同的移位寄存器初始值IV,對于不同的消息，IV必須唯一； 誤差傳遞：一個(gè)單元損壞只影響對應(yīng)單元； 對明文的主動(dòng)攻擊可能，信息塊可被替換、重排、刪除、重放； 安全性較CFB差；,密碼學(xué)的歷史 香農(nóng)安全理論 分組密碼的基本概念 分組密碼設(shè)計(jì)原理 典型的分組密碼算法 對分組密碼的攻擊 分組密碼的工作模式 多重加密,第二章 分組密碼技術(shù) 8,DES的密鑰長度分析,關(guān)于DES算法的另一個(gè)最有爭議的問題就是擔(dān)心實(shí)際56比特的密鑰長度不足以抵御窮舉式攻擊，因?yàn)槊荑€量只有 個(gè) 強(qiáng)力攻擊：平均255次嘗試 差分密碼分析法：平均247次嘗試 線性密碼分析法：平均243次嘗試 早在1977年，Diffie和Hellman已建議制造一個(gè)每秒能測試100萬個(gè)密鑰的VLSI芯片。每秒測試100萬個(gè)密鑰的機(jī)器大約需要一天就可以搜索整個(gè)密鑰空間。他們估計(jì)制造這樣的機(jī)器大約需要2000萬美元；,DES的密鑰長度分析,1990年，以色列密碼學(xué)家Eli Biham和Adi Shamir提出了差分密碼分析法，可對DES進(jìn)行選擇明文攻擊； 在CRYPTO93上，Session和Wiener給出了基于并行運(yùn)算的密鑰搜索芯片，所以16次加密能同時(shí)完成?；ㄙM(fèi)10萬美元，平均用1.5天左右就可找到DES密鑰； 美國克羅拉多洲的程序員Verser從1997年2月18日起，用了96天時(shí)間，在Internet上數(shù)萬名志愿者的協(xié)同工作下，成功地找到了DES的密鑰，贏得了懸賞的1萬美元；,DES的密鑰長度分析,1998年7月電子前沿基金會(huì)（EFF）使用一臺(tái)