1、密 码 学 韦 宝 典 副教授 中山大学电子系,分组密码标准DES,安全保密亦要求标准化 只有标准化,才能真正实现网的安全,才能推广使用加密手段,便于训练、生产和降低成本。,美国国家标准局NBS(商业部国家标准技术研究所NIST的前身),1973年5月13日 联邦记录FR1973 征求用于保护政府部门非机密敏感数据的加密算法 提供高质量的数据保护,防止数据未经授权的泄露和未被察觉的修改; 相当高的复杂性,使破译开销超过可能获得的利益,同时便于理解和掌握; 安全性应该不依赖于算法的保密,仅以加密密钥的保密为基础; 实现经济,运行有效,并且适用于多种不同的应用。导致了数据加密标准DES(Data
2、 Encryption Standard)算法的研制。,1975年3月17日,NBS在联邦记录中 向社会宣布IBM公司提交的改进Lucifer算法中选, 并征求公众的评论。,IBM公司 从60年代末 即看到通信网对于加密标准算法的需求, 投入了相当的研究力量开发, 成立了以Tuchman博士为领导的、研究新密码体制的小组, H. Fistel进行设计, 并在1971年完成的LUCIFER密码 改进成为建议的DES体制、 NSA 组织有关专家对IBM的算法进行了鉴定,成为DES。,1977年1月NBS正式采纳此算法为数据加密标准, 同年7月成为美国联邦信息处理标准FIPS-46。1980年美国国
3、家标准协会ANSI 正式采用这个算法作为美国商用加密算法DEA。,每隔五年,NSA都要对DES进行评估,并重新审议它是否适合继续作为联邦加密标准。1983年DES经受第一次审核,仍被认定为一个好的标准。1988年第二次审核后,DES重新以FIPS46-1标准发布。1993年,DES再次以FIPS46-2标准发布。 在最后的FIPS46-3标准中,EDE模式(加密-解密-加密)的三重DES成为提供更高安全级别的替代算法。1998年美国政府终于决定不再继续延用DES作为联邦加密标准,DES退出加密标准的舞台。,DES算法的颁布引起了学术界和企业界的广泛重视。 20多年来,DES已经在世界范围内成为
4、事实上的加密标准, 一直作为分组密码设计的标准参照物。 学术界对DES密码进行了深入的研究, 围绕它的安全性和破译方法展开了激烈的争论, 这在一定意义上对密码学的理论研究起了推动作用。DES出色地顶住了年复一年、形形色色的密码分析, 其精巧的设计至今仍闪烁着人类思想的精华, 其结构和部件仍被后人效仿。,虽然DES没能长期地作为数据加密标准算法, 但它仍是迄今为止得到最广泛应用的一种算法, 也是一种最有代表性的分组加密体制。 详细地研究这一算法的基本原理、设计思想、安全性分析 以及实际应用中的有关问题, 对于掌握分组密码理论和当前的实际应用都很有意义。,DES 算法,明文分组长度:64 bits
5、 密文分组长度:64 bits 密钥分组长度:64bits/56 bits初始置换IP16轮迭代的乘积变换逆初始置换IP-116个子密钥产生器,IP和IP-1作用在于打乱原来输入x的ASCII码字划分的关系, 并将原来明文的校验位x8, x16, x64变成为IP输出的一个字节。 在密码意义上作用不大, 因为输入组x与其输出组y=IP(x) (或IP-1(x)是已知的一一对应关系。,初始置换IP和 逆初始置换IP-1,初始置换IP和 逆初始置换IP-1,乘积变换,乘积变换,DES: Function f,Expansion: 32 48 S-box: 6 4 Permutation: P,将输
6、入的32 bit Ri-1扩展成48 bit的输出, 原下标s0或1(mod 4)的各比特重复一次得到的,即对原第32, 1, 4, 5, 8, 9, 12, 13, 16, 17, 20, 21, 24, 25, 28, 29各位都重复一次,实现数据扩展。 将表中数据按行读出得到48 bit输出。,1,6 bit 选择函4 bit 数组选择压缩运算S,S-Box,第1、6比特组成二进制数确定行, 中间4位二进制数用来确定的列。,S1输入101001,行数11,列数0100 第3行第4列十进制数 为2:0010 输出为0010,置换运算P 对S1至S8盒输出的32 bit数据进行坐标置换,子密
7、钥产生器:将64 bit初始密钥经过置换选择PC1、循环移位置换、置换选择PC2给出每次迭代加密用的子密钥ki,,为什么是这几个1、2呢?,加密过程:运算进行16次后就得到密文组L0R0 IP(64 bit 输入)i=1,., 16LiRi-1 RiLi-1f(Ri-1, ki)64 bit密文IP-1 (R16L16) 解密过程:DES的加密运算是可逆的,其解密过程可类似地进行R16L16 IP(64 bit密文)i=16,. , 1Ri-1 Li Li-1Rif(Li-1, ki) 64 bit明文IP-1 (R0L0),QUESTION,f 函数中的S盒为6 x 4的多对一映射, S盒无
8、法求逆,如何做逆向加密过程/解密?,ANSWER,无论是在加密过程中还是在解密过程中使用的都是正向的f 函数,逆向的函数f-1从未被使用过,因而不存在S盒的求逆问题(S盒无须设计成可逆的)! 见PPT第24、12页。,DES 安全性,安全性 DES的安全性完全依赖于所用的密钥。 从DES诞生起,对它的安全性就有激烈的争论,一直延续到现在。互补性 对y=DESk(x),若明文组x逐位取补得,密钥k逐位取补得,则有这种互补性会使DES在选择明文破译下所需的工作量减半。,由于各轮密钥是通过改变初始密钥得到(参见第21页图), 因此当初始值分成两部分,每部分都是0或都是1时, 那么算法的每一周期的密钥
9、是相同的。 这样的弱密钥共有4种:全1,全0,先全1后全0,先全0后全1。 相当于只有一个子密钥,而不是16个。还有一些密钥只会产生两个不同的子密钥,而不是16个不同的密钥。 这样就造成两个不同的密钥会有相同的加密结果。 这种情况一共有6对: 01FE 01FE 01FE 01FE 和 FE01 FE01 FE01 FE01; 1FE0 1FE0 0E1F 0E1F 和 E01F E01F F10E F10E; 01E0 01E0 01F1 01F1 和 E001 E001 F101 F101; 1FFE 1FFE 0EFE 0EFE 和 FE1F FE1F FE0E FE0E; 011F 0
10、11F 010E 010E 和 1F01 1F01 0E01 0E01; E0FE E0FE F1FE F1FE 和 FEE0 FEE0 FEF1 FEF1. 上述“密钥对”他们对明文加密的结果是相同的。 同理,只有4个子密钥的有64个,弱密钥和半弱密钥,DES 安全性,若k为弱密钥,则有 DESk(DESk(x)=x ; DESk-1(DESk-1(x)=x 即以k对x加密两次或解密两次都可恢复出明文。 其加密运算和解密运算没有区别。 而对一般密钥只满足 DESk-1(DESk(x)=DESk(DESk-1 (x)=x弱密钥下使DES在选择明文攻击下的搜索量减半。如果随机地选择密钥,则在总数
11、256个密钥中,弱密钥所占比例极小,而且稍加注意就不难避开。因此,弱密钥的存在不会危及DES的安全性发现DES至少有4个弱密钥,12个半弱密钥,弱密钥和半弱密钥DES算法在每次迭代时都有一个子密钥供加密用如果给定初始密钥k,各轮的子密钥都相同,即有k1=k2= =k16就称给定密钥k为弱密钥(Weak key)。,DES 安全性,密文与明文、密文与密钥的相关性Meyer1978详细研究了DES的输入明文与密文及密钥与密文之间的相关性。表明每个密文比特都是所有明文比特和所有密钥比特的复合函数,并且指出达到这一要求所需的迭代次数至少为5。Konheim1981用2检验证明,迭代8次后输出和输入就可
12、认为是不相关的了。 S盒设计 DES靠S盒实现非线性变换。 1992年证明了“DES不成群”的事实; 各种各样的密码分析方法、思想 差分密码分析、线性密码分析 的提出, 可以说是现代分组密码分析史上的重大突破 密钥搜索机对DES安全性批评意见中,较为一致的看法是DES的密钥短了些。IBM最初提交的建议方案采用112 bits密钥,但公布DES标准采用64bits密钥。有人认为NSA故意限制DES的密钥长度。,DES 安全性,56比特密钥太短,已抵挡不住穷尽密钥搜索攻击 密钥量为256=7.21016= 72,057,594,037,927,9361017(千万亿)个 若要对DES进行密钥搜索破
13、译, 分析者在得到一组明文-密文对条件下,可对明文用不同的密钥加密,直到得到的密文与已知的明文-密文对中的相符。 密钥搜索所需的时间取决于密钥空间的大小 执行一次加密所需的时间。若假定DES加密操作需时为100s(一般微处理器能实现),则搜索整个密钥空间需时为7.21015秒,近似为2.28108年。若以最快的LSI器件,DES加密操作时间可降到5s,也要1.1104年才能穷尽密钥。,DES的破译分析,借助差分密码分析的思想 1993年Wiener给出一个密钥搜索机的详细设计方案, 估计100万美元制造一台机器,搜索一个密钥平均大约花3.5小时 1997年1月28日,RSA数据安全公司 在RS
14、A安全年会上 悬赏一万美金 破译密钥长度为56比特的DES算法。 美国克罗拉多州的程序员Verser从1997年3月13日起, 用了96天的时间,在Internet上数万名志愿者的协同工作下, 于1997年6月17日用穷尽密钥搜索方法成功地找到了DES的密钥。 1998年7月17日,电子边境基金会EFF使用一台25万美元的电脑通过穷尽密钥搜索方法在56小时内破解了56比特DES。 1999年的RSA会议期间,穷尽密钥搜索时间减少到不足24小时。,DES的破译分析,事件表明:依靠Internet分布式的计算能力,用穷尽密钥搜索攻击方法破译DES已成为可能。 早在1993年,政府就意识到 DES安
15、全性将会受到危害 1998年美国政府决定不再继续延用DES作为联邦加密标准, DES已走到了它生命的尽头,退出加密标准的舞台。新的标准AES粉墨登场,DES的破译分析,DES的实现,DES的实现自正式成为美国标准以来,已有许多公司设计并推出了实现DES算法的产品有的设计专用LSI器件或芯片,有的用现成的微处理器实现。有的只限于实现DES算法,有的则可运行各种工作模式。 DES的变型为提高安全性和适应不同情况的需求而设计了多种应用DES的方式。提出了多种DES的修正形式,如独立子密钥方式、DESX、CRYPT(3)、S盒可变的DES、RDES、snDESi 、xDESi 、GDES等。,双重DES (Double DES),C = EK2(EK1(P) P = DK1(DK2(C),DES的实现,双密钥的三重DES (Triple DES with Two Keys),C=EK1(DK2(EK1(P) P=DK1(EK2( DK1(C),三密钥的三重DES (Triple DES with Three Keys),C=EK3(DK2(EK1(P) P=DK3(EK2( DK1(C),三密钥的三重DES分析,密钥的有效长度为168位 与DES的兼容性可以通过令K3=K2或K1=K2得到 许多基于Internet的应用里用到:PGP和S/MIME,
