1、1,分组密码(一),现代密码学第四讲,2,上讲内容回顾,问题的定义及分类 算法复杂度定义及分类 P问题和NP问题 密码算法的计算安全性,3,本节主要内容,分组密码定义 分组密码的发展历史 保密系统的安全性分析及分组密码的攻击 数据加密标准(DES)算法介绍 高级加密标准(AES)算法介绍 中国无限局域网标准(SMS4)算法介绍 分组密码算法的运行模式,4,分组密码的定义,分组密码(block cipher)是现代密码学中的重要体制之一,其主要任务是提供数据保密性 分组密码加解密速度较快 (对称密码特点) 现代分组密码发展非常快,技术较成熟(公开测评) ,使用广泛 其他密码算法设计领域有广泛应用
2、,例如:可以用于构造伪随机数生成器、流密码、认证码和哈希函数等,5,分组密码的定义,定义 一个分组密码体制(P, K, C, E, D),其中P=C=0,1l ;K=0,1t.加密变换: E:PKC, 当k K确定时,Ek为P C的一一映射.解密变换: D: CK P, 当k K确定时,Dk为C P的一一映射.Dk Ek=I,6,分组密码的发展历史,二十世纪之前的密码算法 算法、密钥保密 二十世纪之后的密码算法 Kerokhoffs假设:密码分析者已有密码算法及实现的全部详细资料.Kerckhoff假设蕴涵着密码的安全性完全依赖于密钥.,7,分组密码的发展历史,公开,民用 不存在陷门 足够的安
3、全强度 标准化通信需求,8,分组密码的发展历史,1973年5月美国联邦政府提出征求在传输和存储数据中保护计算机数据的密码算法的建议; 1975年3月,美国国家标准局(NBS) 首次公布IBM公司提出的算法Lucifer中选; 1977年1月NBS正式向社会公布,采纳IBM公司设计的方案作为非机密数据的数据加密标准 (Data Encryption Standard). DES正式成为美国联邦政府信息处理标准,即FIPS-46标准,同年7月开始生效。 此后,每隔5年美国国家保密局(NSA)对DES作新的评估,并重新审定它是否继续作为联邦加密标准。,9,分组密码的发展历史,理论强度,97年$100
4、000的机器可以在6小时内用穷举法攻破DES. 实际攻破的例子,97年1月提出挑战,有人利用Internet的分布式计算能力,组织志愿军连接了70000多个系统在96天后攻破. 这意味着随着计算能力的增长,必须相应地增加算法密钥的长度。,10,分组密码的发展历史,1997年, 美国标准技术研究所(NIST)对DES进行再次评测并宣布:DES算法的安全强度已经不足以保障联邦政府信息数据的安全性, 所以NIST建议撤销相关标准. 同时, NIST开始征集新的数据加密标准-高级数据加密标准(Advanced Encryption Standard). 新算法的分组长度为128, 支持可变密钥长度12
5、8、192、256比特.,11,分组密码的发展历史,1999年,NIST从提交的15个候选草案中选取了5个优良的算法作为AES的候选算法:MARS、RC6、Rijndael、Serpent和Twofish, 综合评价最终确定Rijndael算法为新的数据加密标准,2001年12月正式公布FIPS-197标准。 www.nist.gov/aes,12,分组密码的发展历史,欧洲于2000年1月启动了NESSIE工程, 该工程的目的是评价出包含分组密码, 流密码等在内的一系列安全, 高效和灵活的密码算法. 至2000年9月, 共征集到了17个分组密码算法, 同时将TDES和AES纳入了评估范围,并作
6、为分组密码算法的评测基准. 经过3年2个阶段的筛选,最终确定下列算法为推荐的分组密码算法:MISTY-64、Camllia-128、AES-128和SHACAL-2。,13,分组密码的发展历史,日本政府在2000年成立了密码研究与评估委员会(CRYPTREC)并参考欧洲NESSIE工程的作法对密码算法的安全性和效率等问题进行评估,以备政府使用. 2002年初步拟定了推荐算法的草案, 2003年3月确定了推荐算法名单, 其中分组密码算法包括:(1)分组长度为64比特的算法:CIPHERUNICORN-E、MISTY1和3-key-TDES.(2)分组长度为128比特的算法:Camellia、CI
7、PHERUNICORN-A、Hierocrypt-3、SC2000和Rijndael128.,14,回顾分组密码设计准则,迭代结构:选择某个较为简单的密码变换,在密钥控制下以迭代方式多次利用它进行加密变换,就可以实现预期的扩散和混乱效果。(轮函数)混淆:是指在加密变换过程中是明文、密钥以及密文之间的关系尽可能地复杂化,以防密码破译者采用统计分析法进行破译攻击。(线性ax+b=c /非线性ax2+b=c)扩散:明文和密钥中任何一比特值得改变,都会在某种程度上影响到密文值的变化,以防止将密钥分解成若干个孤立的小部分,然后各个击破。(扩散函数),15,保密系统的安全性分析 及分组密码攻击手段,攻击目
8、的1. 完全破译:破译使用者的密钥例:备用钥匙2. 部分破译:恢复某些密文对应的明文例:猜测出某些特定格式的明文信函开头:DEAR *,16,保密系统的安全性分析 及分组密码攻击手段,攻击种类 被动攻击:守株待兔 1. 唯密文攻击:密码分析者有一个或更多的用同一个密钥加密的密文,通过对这些截获的密文进行分析得出明文或密钥. 2. 已知明文攻击:除待解的密文外,密码分析者有一些明文和用同一个密钥加密这些明文所对应的密文.,17,保密系统的安全性分析 及分组密码攻击手段,主动攻击:主动出击,先发制人3. 选择明文攻击:密码分析者可得到所需要的任何明文所对应的密文,这些密文与待解的密文是用同一个密钥
9、加密得来的.4. 选择密文攻击:密码分析者可得到所需要的任何密文所对应的明文,解密这些密文所使用的密钥与解密待解的密文的密钥是一样的.,18,保密系统的安全性分析 及分组密码攻击手段,攻击手段1. 穷举法:当分组长度n较小时,攻击者可以有效地穷举明文空间,得到密钥。2. 差分分析3. 线性分析4. 相关密钥5. 侧信道攻击 利用一些先验知识(如字典攻击),达到快速攻击的目的;攻击复杂度小于穷举攻击,则理论有效,19,DES算法概述,明文和密文分组长度为64比特 算法包含两部分:迭代加解密和密钥编排 Feistel结构(加解密相似):加密和解密除密钥编排不同外, 完全相同(思考:1 为什么解密函
10、数不是逆函数?2 为什么不用逆函数来解密) 密钥长度:56比特(DES的密钥空间:256),每7比特后为一个奇偶校验位(第8位),共64比特 轮函数采用混乱和扩散的组合,共16轮,20,DES算法概述,21,AES算法算法概述,分组加密算法:明文(128/256比特)和密文分组(128/192/256比特)可变长度。 SPN结构:轮函数包含代换层-置换层-密钥混合层。 密钥长度:128比特(AES的密钥空间:2128) 128比特:10轮. AES算法的一个加密过程演示,22,无限局域网密码算法-SMS4,中国政府颁布的C0标准算法 分组加密算法:明文和密文分组长度128比特 结构:类似于hash的结构,基本操作单位32比特,23,分组密码运行模式,1. 电码本模式(ECB模式)2. 密码反馈模式(CFB模式)3. 密码分组链接模式(CBC模式)4. 输出反馈模式(OFB模式)5. 计数模式(CRT模式),24,主要知识点小结,分组密码定义 保密系统的安全性分析及分组密码的攻击,25,THE END!,
