1、密码学,第七讲 现代分组加密算法 S-DESDESIDEA,上海交通大学郑东,第七讲 分组密码理论-DES,7.1 S-DES 7.2 DES 7.3 IDEA,3,7.1.1 简化的DES Simplified DES方案,简称S-DES方案。它是一个供教学而非安全的加密算法,它与DES的特性和结构类似,但参数小。 注:1.* 加密算法涉及五个函数: (1)初始置换IP(initial permutation) (2)复合函数fk1,它是由密钥K确定的,具有转换和替换的运算。 (3)转换函数SW (4)复合函数fk2 (5)初始置换IP的逆置换IP-1,4,10bit密钥,解密,8bit明文
2、,P10,8bit明文,IP,移位,IP-1,P8,fk,fk,SW,SW,移位,P8,fk,fk,IP,IP-1,8bit密文,8bit密文,K2,K2,K1,K1,S-DES方案示意图,加密,5,7.1.2 加密算法的数学表示:,IP-1*fk2*SW*fk1*IP 也可写为 密文=IP-1(fk2(SW(fk1(IP(明文) 其中 K1=P8(移位(P10(密钥K) K2=P8(移位(移位(P10(密钥K) 解密算法的数学表示: 明文=IP-1(fk1(SW(fk2(IP(密文),6,7.1.3算法描述,(1) S-DES的密钥生成: 设10bit的密钥为( k1,k2,k10 ) 置换
3、P10是这样定义的 P10(k1,k2,k10)=(k3,k5,k2,k7,k4,k10,k1,k9,k8,k6) P8= (k1,k2,k10)=(k6,k3,k7,k4,k8,k5,k10,k9 ) LS-1为循环左移1位, LS-2为循环左移2位按照上述条件,若K选为(1010000010), 产生的两个子密钥分别为K1=(1 0 1 0 0 1 0 0),K2=(0 1 0 0 0 0 1 1),7,7.1.4 S-DES的密钥生成,P10,LS-1,LS-1,LS-2,LS-2,P8,P8,K1,8,5,5,5,5,8,10bit密钥,8,S-DES的加密运算:,初始置换用IP函数:
4、IP= 1 2 3 4 5 6 7 8 2 6 3 1 4 8 5 7 末端算法的置换为IP的逆置换: IP-1= 1 2 3 4 5 6 7 84 1 3 5 7 2 8 6易见IP-1(IP(X)=X,9,7.1.5 S-DES加密图,IP,E/P,+,S0,S1,P4,+,L,R,4,K1,8,4,4,fk,F,4,8bit明文,10,E/P,+,S0,S1,8,K2,P4,+,IP-1,4,8,4,4,fk,F,4,4,2,2,8,SW,11,函数fk,是加密方案中的最重要部分,它可表示为: fk(L,R)=(LF(R,SK),R) 其中L,R为8位输入, 左右各为4位, F为从4位集
5、到4位集的一个映射, 并不要求是1-1的。SK为子密钥。 对映射F来说: 首先输入是一个4-位数(n1,n2,n3,n4),第一步运算是扩张/置换(E/P)运算:E/P 4 1 2 3 2 3 4 1 事实上,它的直观表现形式为: n4 n1 n2 n3 n2 n3 n4 n1,12,8-bit子密钥:K1=(k11,k12,k13,k14,k15,k16,k17,k18),然后与E/P的结果作异或运算得:n4+k11 n1+k12 n2+k13 n3+k14n2+k15 n3+k16 n4+k17 n1+k18 把它们重记为8位:P0,0 P0,1 P0,2 P0,3P1,0 P1,1 P1
6、,2 P1,3 上述第一行输入进S-盒S0,产生2-位的输出;第二行的4位输入进S盒S1,产生2-位的输出。,13,两个S盒按如下定义:,14,S盒按下述规则运算: 将第1和第4的输入比特做为2- bit数,指示为S盒的一个行;将第2和第3的输入比特做为S盒的一个列。如此确定为S盒矩阵的(i,j)数。 例如:(P0,0, P0,3)=(00),并且(P0,1,P0,2)=(1 0) 确定了S0中的第0行2列(0,2)的系数为3,记为(1 1)输出。 由S0, S1输出4-bit经置换 P42 4 3 1它的输出就是F函数的输出。 Rijndael内在的迭代结构会显示良好的潜能来防御入侵行为。,
7、15,S-DES的安全性分析,对10 bit密钥的强行攻击是可行的 密钥空间:210=1024 密码分析:利用已知明文攻击: 已知: 明文(p1,p2,p8), 及对应的密文 (c1,c2,c8), 未知:(k1,k2, ,k10) Ci是pjs和kjs的函数 这些加密算法可以表示成8个含10个变量的非线性方程 非线性是由S盒作用的结果,16,S0的非线性表示如下: 设a,b,c,d为输入的4个比特,输出的两个比特分别为q,r. 则 q=abcd+ab+ac+b+d mod2r=abcd+abd+ab+ac+ad+a+c+1 mod2 线性映射与非线性映射交替产生了复杂的密文比特输出函数,使得
8、密码分析很困难。(可以试图寻找8个密文比特的复杂度),7.2 数据加密标准(DES),DES的历史 1971 IBM,由Horst Feistel 领导的密码研 究项目组研究出LUCIFER算法。并应于商业领域。 1973美国标准局征求标准,IBM提交结果, 在1977年,被选为数据加密标准。,7.2 DES的描述,DES利用56比特长度的密钥K 分组长度64比特,密文64比特 算法分三个阶段实现: 1.对明文X,通过一个固定的初始置换IP得到X0。 X0=IP(X)=L0R0 分为左右两部分 2.函数F的16次迭代:LiRi(1=i=16) Li=Ri-1, Ri=Li-1 F(Ri-1,
9、Ki) 其中Ki是长为48位的子密钥。子密钥K1,K2,K16是作为密钥K(56位)的函数而计算出的。 3.对比特串R16L16使用逆置换IP-1得到密文Y。 Y=IP-1(R16L16),(a) 初始置换(IP),58, 50, 42, 34, 26, 18, 10, 2,60, 52, 44, 36, 28, 20, 12, 4,62, 54, 46, 38, 30, 22, 14, 6,64, 56, 48, 40, 32, 24, 16, 8, 57, 49, 41, 33, 25, 17, 9, 1, 59, 51, 43, 35, 27, 19, 11, 3, 61, 53, 45
10、, 37, 29, 21, 13, 5, 63, 55, 47, 39, 31, 23, 15, 7,(b) 初始置换的逆置换(IP-1), 扩展置换(E),(d) 置换函数(P,32bit),PC1,57, 49, 41, 33, 25, 17, 9, C Half 1, 58, 50, 42, 34, 26, 18,10, 2, 59, 51, 43, 35, 27, 19, 11, 3, 60, 52, 44, 36,63, 55, 47, 39, 31, 23, 15, D Half 7, 62, 54, 46, 38, 30, 22,14, 6, 61, 53, 45, 37, 29
11、, 21, 13, 5, 28, 20, 12, 4,S-box-1,0 1 2 3 4 5 6 7 8 9 a b c d e f 14, 4, 13, 1, 2, 15, 11, 8, 3, 10, 6, 12, 5, 9, 0, 7,0, 15, 7, 4, 14, 2, 13, 1, 10, 6, 12, 11, 9, 5, 3, 8,4, 1, 14, 8, 13, 6, 2, 11, 15, 12, 9, 7, 3, 10, 5, 0, 15,12, 8, 2, 4, 9, 1, 7, 5, 11, 3, 14, 10, 0, 6, 13,DES一轮加密的简图,Li-1 Ri-1,F,XOR,Li Ri,Ki,
