1、分组密码发展现状第 l6 卷第 6 期2006 年 12 月长春大学JOURNALOFCHANGCHUNUNERS V01.16No.6Dec.文章编号:10093907(2oo6o6009604分组密码发展现状赵剑,杜钦生.一,王冰冰(1.长春大学计算机科学技术学院,吉林长春,1300222.吉林大学计算机科学与技术学院,吉林长春 130012;3.曲阜师范大学计算机科学学院,山东曲阜,273165)摘要:首先阐述了分组密码的定义,介绍了在分组密码发展过程中的几个典型的算法压其设计思想,然后又介绍了几种重要的分组密码分析方法,最后探讨了分组密码研究中的一些热点问题.关键词:分组密码;DES;
2、IDEA;AES;分组密码分析中图分类号:TP309.2 文献标识码:BO 引言随着计算机和通信技术的发展,用户对信息的安全存储,安全管理和安全传输的需要越来越迫切.随着Intemet 的广泛应用,以及个人通信,多媒体通信,办公自动化,电子邮件,电子自动转账支付系统和自动零售业务网的建立与实现,信息的安全保护问题就显得更加重要.1976 年密码学新方向的发表和 1977 年美国数据加密标准 DES 的颁布实施标志着现代密码学的诞生.2】,此后实用密码体制的研究基本上沿着两个方向进行,即以 RSA 为代表的公开密钥密码体制和以 DES为代表的秘密密钥密码体制.分组密码具有速度快,易于标准化和便于
3、软硬件实现等特点,通常是信息域网络安全中实现数据加密,数字签名,认证及密钥管理的核心体制,它在计算机通信和信息系统安全领域中有着最广泛的应用.1 分组密码的定义一个分组密码可定义为【:分组密码是一种满足下列条件的映射 E:露S 碍,对每个 kESI,E(?,k)是从到的一个置换.通常称 E(-,k)为密钥为 k 时的加密函数,称 E(?,k)的逆为密钥为 k 时的解密函数,记为 D(?,k).分组密码的真正的密钥规模被定义为 z=log:ISIbit.因而,密钥长度等于真正的密钥规模,当且仅当 Se-.例如 DES 的真正的密钥规模 f=56bit,且 f 也就是密钥长度 .2 典型的分组密码
4、及其设计思想由组合知识易知,上的置换共有 2!个.由上述定义可知,一个分组密码的密钥顶多有 2个 ,I 不能太大,因此 E(?,Ji)是上的全体置换所构成的集合的一个子集合.可见,设计分组密码的问题在于找到一种算法,能在密钥控制下从一个足够大且足够“好“ 的置换子集合中,简单而迅速地选出一个置换.一个好的分组密码应该是既难破译又容易实现,即加密函数 E(-,k)和解密函数 D(-,k)都必须容易计算,但是至少要从方程,=E(?,k)或=D(?,k)中求出 k 应该是一个困难问题.下面我们讨论一下几个典型的分组密码及其设计思想.收稿日期:20o60524作者简介:gSJ(1980 一). 男,吉
5、林省吉林市人,长春大学计算机科学技术学院助教 ,硕士生,主要从事计算机密码技术,网络安全,模型检测,模型诊断方面的研究.第 6 期赵剑,等:分组密码发展现状 972.1DES】DES 自公布后得到了许多组织,部门的使用,各国的密码学工作者也对它进行了深入的分析.它是迄今为止使用最广泛和最成功的分组密码.DES 的轮函数采用 Feistel 网络,8 个 s 盒,扩充压缩置换,块置换.其算法简洁快速且加解密相似,但一个明显的缺陷是 s 盒为黑盒,因此公众长久地抱怨并怀疑它设有陷门.早期的迭代分组密码设计主要围绕 DES 进行,后来在此基础上有很大的发展 ,出现了众多的 Feistel 型密码,如
6、 L0,FEAL,COST 和 Lucifer 等.DES 的设计至今仍闪烁着人类设计思想的精华,其结构和部件仍在被后人效仿.但是它的密钥长度太短,仅为 56bit,已经不能抵抗穷尽密钥搜索攻击,另外对 DES 的两个最着名的攻击是差分密码分析和线性密码分析 j.“2.2IDEA】对 DES 的成功破译迫使人们重新设计密码算法.IDEA 是 x.Lai 和 J.L.Massey 予1990 年发表的,当时称为 PES(ProposedEncryptionStaIldard),1992 年改名为IDEA(InternationalDataEncryptionAlgorithm).IDE-A 是第
7、一个不采用 Feistel 网络的密码.IDEA 的安全性设计思想是 :采用同一明文空间上的三个不同的群运算,使隐蔽,混淆和扩散融为一体.IDEA 是分组密码的杰出代表 ,开创了新的一类设计风格.但是 IDEA存在大量的弱密钥,这与其密钥拓展算法只是线性变换有关,这点也表明需要对其密钥拓展算法重新设计.此后出现的 NEA 也是一种 IDEA 型的密码.2.3RijndaelRijndael 是 AES 活动的最终胜利者,现已替代 DES 成为美国新的加密标准.Rijndael 轮函数的设计基于宽轨迹策略(WideTrailStrategy),这种设计策略由 JoanDaemen 在其博士论文中
8、提出,是针对差分密码分析和线性密码分析制定的,主要包括两个设计准则:(1)选择差分均匀性比较小和非线性度比较高的 S 盒;(2)适当选择线性变换,使得固定轮数中的活动 s 盒的个数尽可能多.如果差分特征(或线性逼近)中某一轮的活动 S 盒的个数比较少,那么下一轮中的活动 S 盒的个数就必须要多一些.宽轨迹策略的最大优点是可以估计算法的最大差分特征概率和最大线性逼近概率,由此可以评估算法抵抗差分密码分析和线性密码分析的能力值得一提的是,宽轨迹策略影响了许多分组密码的设计,如Shark,Crypton,Twofish,Khazad,Anubis 和Noekeon 等 o2.4Camellia】继美
9、国征集 AES 的活动之后,欧洲在 2000 年 3 月启动了NESSIE(NewEuropeanSchemesforSignatures,Integrity,andEncryption)大计划,目的是为了推出一系列的安全的密码模块,保持欧洲在密码研究领域的领先地位并增强密码在欧洲工业中的应用.Camellia 算法入选并获胜.Camellia 算法是由 NTr 和 MitsubishiElectricCorporation 联合开发的.作为欧洲新一代的加密标准,它具有较强的安全性,能够抵抗差分和线性密码分析等已知的攻击.与 AES 相比,Camellia 算法在各种软硬件平台上表现出与之相当
10、的加密速度,除了在各种软件和硬件平台上的高效性这一显着特点外,它的另外一个特点是针对小规模硬件平台的设计.整个算法的硬件执行过程包括加密,解密和密钥扩展三个部分,只需占用 8.1210,0.18pjnCOMS 工艺 ASIc 的库门逻辑,这在现有 128bit 分组密码中是最小的.2.5 其他分组密码比如 DES 变形(包括 NewDES,多重 DES,白化了的 DES,S 一盒可选择的 DES,S-盒可变的 DES,使用独立子密钥的 DES,广义 DES 等),Rc 系列分组密码(包括 RC2,RC5,RC6 等),Lucifer,Madryga,Feal-N,Redoc1.II,LOKI
11、系列分组密码(包括 LOKI89,LOKI91,LOKI97 等),Khufa,Khafre,Safer 系列分组密码(包括 SafeK4.Safer128,Safer+等),非平衡 Feiste型迭代分组密码如 BEAR,LION,MacGuflln 和TEA 等,MMB,CAST,3.WAY,SHARK,CA.1.1,CRAB,Blowfish,GOST,SQUARE,MISTY,SXAIS,MBAL,Akdarre,15 个 AES 候选算法等.国际上目前公开的分组密码不下 100 种,但在这里我们不可能逐一介绍.3 分组密码的分析3.1 强力攻击现有已知的强力攻击主要有穷尽密钥搜索攻击
12、,字典攻击,查表攻击和时间一存储权衡攻击,这些攻击的共同点是可作用于任何分组密码,攻击的复杂度只依赖于分组长度和密钥长度,它们的复杂程度是随着密钥长春大学第 l6 卷长度增加成指数增长的,严格地讲攻击所需的时间复杂度依赖于分组密码的工作效率(包括加解密速度,密钥扩展速度以及存储空间等).3.2 差分密码分析1990 年,EliBiham 和 AdiShamir 提出差分密码分析.其基本思想是,通过分析明文对的差值对密文对的差值的影响来恢复某些密钥比特.高阶差分密码分析,截断差分密码分析,不可能差分密码分析是差分密码分析的的推广和补充,它们既与差分密码分析的基本思想有关,又不同于差分密码分析,一
13、些能够抵抗差分密码分析的密码(或其低轮变形)却不一定能够抵抗这几种攻击.3.3 线性密码分析线性密码分析(1ineareryptanalysis)是由 MitsuruMatsui 首先提出的,是迄今已知的攻击迭代密码算法最有效的方法之一.其本质上是一种已知明文攻击方法.它可用 2 个已知明文破译 8.轮 DES,可用 2.个已知明文破译 16 一轮 DES.这种方法在某些情况下,也可用于唯密文攻击 .线性密码分析的基本思想是利用密码算法中明文,密文和密钥的不平衡(有效)的线性逼近来恢复某些密钥比特.多重线性密码分析,非线性密码分析,划分密码分析是线性密码分析的补充,与差分密码分析的几种推广方法
14、不同的是这几种推广方法只是线性密码分析的简单补充,通过提高算法抵抗线性密码分析的能力可以同时提高算法抵抗这几种攻击的能力.3.4 差分-线性密码分析差分-线性密码分析是差分密码分析和线性密码分析巧妙结合的分析方法,它在降低差分密码分析和线性密码分析的复杂度方面做了有益又巧妙的尝试.其基本思想是:首先找出一些线性逼近,然后根据这些线性逼近构造差分特征,使得构造的差分特征的输出差分对之间存在与已有的线形逼近相关的,概率为 i 的线性表达式,再将差分特征和线性逼近组合起来,用以恢复某些密钥比特.用差分-线性密码分析攻击 8-轮DES 可以决定 1Obit 子密钥,需要的选择明文对是 768 个,成功
15、率可达到 95%.3.5 插值攻击这是由 Jakobsen 和 Knudsen 引入的一种新的分组密码攻击方法.插值攻击的基本思想基于如下的基本事实:令 R 是一个域,一,Y“,YER,(1,I)两两互不相同,定义.I,iI,tIi 一则)是 R 上满足次数/J,于等于,I 一 1 和)=(1,I)的唯一多项式,此式称为Lagrange 插值公式.在插值攻击中,攻击者利用 Lagrange 插值公式的思想通过密码的输入,输出对来构造一些多项式进而恢复一些密钥比特.如果密码中元素有一个紧凑的代数表达式,而且这些元素能够被组合成具有可控制复杂性的表达式,这种攻击方法对于该密码就是可行的.但是插值攻
16、击仅对轮数很少或轮函数的次数很低的密码算法才有用.目前较为流行的其它密码分析方法有相关密钥攻击,中途相遇攻击,Square 攻击,代数攻击,实现攻击(包括时间攻击和功耗分析)等.随着新的密码算法的出现,各种各样的密码分析方法也将会不断地涌现4 分组密码研究中的几个热点问题4.1AES 算法在对 AES 算法评估后,人们猜想这个算法可以很好地抵抗现有的所有攻击 .到目前为止,对 AES 还没有个有效的攻击.尽管如此并不能保证 AES 能够抵抗某种未知的攻击 ,还需要对它做进一步地深入分析.AES(还有另外几个着名的分组密码)的设计使用了很强的代数结构,随着一些代数方法的进展(比如Gmbner 基
17、,概率差值,二次逼近 ,遗传算法), 有可能对它们的安全性造成威胁.这些新的不完全基于统计的攻击方法以及用它们攻击密码算法的效果迫切值得进一步研究.4.2 可证明安全性可证明安全性是指算法具有抵抗某几个重要攻击的能力.这并不意味着算法就是安全的,它可能会受到其它攻击方法的攻击.第 6 期赵剑,等:分组密码发展现状目前,在许多算法的设计中具有一些可证明安全的密码性质.然而,能抵抗某些特定攻击的可证明安全性仍是一个重要的研究方向.对于一些算法结构,从可证明安全性的角度研究它抵抗差分密码分析和线性密码分析的能力非常困难,这时通常考虑密码在实际中具有足够抵抗这两种攻击的能力.而研究特定结构的算法抵抗某
18、些重要攻击的能力,设计具有抵抗某些重要攻击能力的算法是一个有趣又值得探讨的方向.4.3 其它大多数攻击的复杂度都是随着密码轮数的增加呈指数增长,从而密码设计者通过增加迭代的轮数就可以增加密码算法抵抗这些攻击的能力,还有少数一些攻击方法的复杂度与轮数无关(如相关密钥分析,代数攻击等).攻击复杂度与轮数无关的攻击方法值得进一步地发掘和研究.相对于 S 盒的研究 ,人们对扩散层的密码学性质及其构造研究的还比寝少,这方面还需要进一步的研究.此外,虽然现在已有大量的公开分组密码算法,但是从 AES 和 NESSIE 征集算法的结果来看,分组密码的结构缺少多样性,具有好的密码学特性的分组密码结构需要进一步
19、地挖掘.目前,在分组密码领域中还有许多理论和实际问题有待继续研究和完善.5 结语信息安全越来越重要,分组密码在信息安全中占据重要地位.本文从分组密码的定义,典型分组密码的设计思想,分组密码的分析方法和分组密码研究中的若干热点问题的角度对分组密码做了阐述.相对于公钥密码学,分组密码的发展在许多方面很不成熟,这还需要广大科技人员进一步地研究.参考文献:1W.I)i 丘 ie.M.E._n 咖.NewOgl8inCrmophy.J3.IEEETransactionsolInfonnatlonThoery,1976.22,(6):644-654.2NBS.FIPSPUB46DateEncryption
20、8d8rdS.Washington:S.L.,1977.3冯登国,吴文玲 .分组密码的设计与分析M北京:清华大学出版社,2000.4E.Biham,A.Shamir,DifferentialCryptanalysisofDES-likeCryptosystems,JJournalofCryptology,1999(1):372.5M.Matsui.LinearCrypalyej8MethodforDESCipherJ.AdvancesinCryptdogy-EUROCRYPT93Proceedings,Springer?Vefla8,1994(3):386397.6X.Lai.OntheDes
21、ignandSecurityofBlockCiphersJ.ETHSeriesinInformationProcessing.Konstanz:Hartung.GorreVer-lag,1992(1):201.7Bruce,Schneier.AppedCryptographyJ.JohnWileySons,1993(2):321.gJamesL,Massey.SAFERK 舶:AByte-OrientedBlock-CipheringAlgorithmJ.FastSohwaroEncryption93,Springer-Verlag,1993(3):117.9KasumaroAoki,Tets
22、uyaIchikawa.MasayukiKanda.eta1.Camellia:A128.BitBlockCipherSuitableforMultiplePlatformsEB/OL.(2001-94)2005-01-21http:/www.cosic.esat.kuleuven.ac.be/nessie/workshop/submissi0m/Camellia.zip.1OJ.Dasmm,v.P,ijmn.A:mjndadEB/OL(2004.O1-10)嬲-10-103.http:/www.crypt0B,de/dDcB/Mad.责任编辑:钟声BasiCearchofblockciphc
23、Cresearch0blOCKciphersBaZHAOJian,DUQinsheng,WANGBingbins(1,SchoolofComputerScienceandTechnology,ChangchunUniversity,Changchun130022,China;2.SchoolofComputerScienceandTechnology,JilinUniversity,Changchun130012,China;3.SchoolofComputerScience,QufuNormalUniversity,Qufu273165,China)Abstract:IrIthispaperwefastintroducethedefinitionofblockcipher.andproposesomeclassicalgorithmsandtheirdesignideasinthedevdopmentofblackcipher.ThenwegoOilwithsomeimportantmethodsinblockciphercryptanalysis.Finally,weprobeintosomehottopicsinthertP,hofblockdpher.Keywords:blockcipher;DES;IDFA;AES;cryptanalysis
