【正文】 )成績(jī)?cè)u(píng) 定表 ....................................... 錯(cuò)誤 !未定義書(shū)簽。 1 第一章 前 言 分組密碼的研究現(xiàn)狀 分組密碼是現(xiàn)代密碼學(xué)研究中的一個(gè)重要分支，其誕生和發(fā)展有著重要的理論價(jià)值和廣泛的實(shí)用背景。最初出現(xiàn)的密碼本質(zhì)上是序列密碼，它己廣泛地應(yīng)用于軍事、外交等方面。分組密碼是以二十世紀(jì)七 十 年代 DES(Data Encryption Standard)的出現(xiàn)為標(biāo)志，在這以后得到了廣泛的的討論和發(fā)展。 由于 DES的密鑰量只有 56bits，在計(jì)算機(jī)技術(shù)高度發(fā)展的今天， DES受到嚴(yán)重的安全威脅，事實(shí) 上， 1997年人們己成功破譯由 DES加密后的信息。 1997年 9月，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所 (NIST:National Institute of Standards and Technology)為了履行其法定職責(zé)，發(fā)起了一場(chǎng)推選用于保護(hù)敏感的聯(lián)邦信息的對(duì)稱密鑰加密算法活動(dòng)。 1998年 8月，N工 ST宣布接受十五個(gè)候選算法并邀請(qǐng)全世界密碼研究界協(xié)助分析這些候選算法，包括對(duì)每個(gè)算法的安全性和效率特性進(jìn)行初步檢驗(yàn)。 NIST考察了這些初步的研究結(jié)果，并且選定 MARS,RC6,Rijndae1,Serpents和 Twofish五個(gè)算法作為參加決賽的算法，經(jīng)公眾對(duì)決賽算法進(jìn)行更進(jìn)一步的分析評(píng)論， 2020年 10月， N工 ST決定推薦 Rijndael作為高級(jí)加密標(biāo)準(zhǔn)(AES:Advanced Encryption Standard)， 2020年 11月， Rijndael被采納作為高級(jí)加密標(biāo)準(zhǔn)。繼美國(guó)推出 AES計(jì)劃以后，歐洲于 2020年 1月啟動(dòng)了新歐洲簽名、完整性和加密計(jì)劃一 NESSIE(New European Schemes for Signatures,Integrity,andEncryption)計(jì)劃，以適應(yīng) 21世紀(jì)信息安 全發(fā)展的全面需求。該計(jì)劃為期三年，投資 33億歐元，主要目的就是通過(guò)公開(kāi)征集和進(jìn)行公開(kāi)的、透明的測(cè)試、評(píng)估提出一套高效的密碼標(biāo)準(zhǔn)，以保持歐洲工業(yè)界在密碼學(xué)研究領(lǐng)域的領(lǐng)先地位。 2020年底， NESSIE工作組在十七種候選的分組密碼算法中，選定了 IDEA, Khazad,MISTY1,Camellia,SHACAL,RC6,SAFER++等七種分組密碼算法為分組密碼的第二輪決賽算法， 2020年 2月 27日， NESSIE工作組公布了包括分組密碼、認(rèn)證碼、雜湊函數(shù)和數(shù)字簽名等在內(nèi) 的十七個(gè)標(biāo)準(zhǔn)算法，其中 MISTY1,Camelliat,SHACAL三個(gè)分組密碼算法連同 AES算法 Rijndael一起作為歐洲新世紀(jì)的分組密碼標(biāo)準(zhǔn)算法。由此可見(jiàn)，分組密碼的設(shè)計(jì)與分析是目前國(guó)際信息安全領(lǐng)域的前沿?zé)狳c(diǎn)問(wèn)題。 AES計(jì)劃和 NESSIE計(jì)劃吸引了全世界眾多的密碼學(xué)專家與密碼學(xué)愛(ài)好者，極大地促進(jìn)了分組密碼的研究，新的設(shè)計(jì)理論和分析方法不斷出現(xiàn)。近年我國(guó)也提出要制定相應(yīng)的密碼標(biāo)準(zhǔn)，其中分組密碼的設(shè)計(jì)也是重要部分。 從設(shè)計(jì)角度來(lái)看，為了靈活、有效地在不同平臺(tái)上進(jìn)行移植，多數(shù)算法采用的是字 2 節(jié)運(yùn)算或字運(yùn)算，為了有效的軟件實(shí)現(xiàn)，采用比特運(yùn)算的算法己 經(jīng)很少。而且由于計(jì)算機(jī)的普遍使用，分組長(zhǎng)度，密鑰長(zhǎng)度都是字節(jié)的整數(shù)倍。由于新的分析方法不斷出現(xiàn)，在設(shè)計(jì)時(shí)除了要能抵抗現(xiàn)有的已知攻擊外，還要留有一定的余地，以抵抗以后可能會(huì)出現(xiàn)的未知攻擊。 從現(xiàn)在常見(jiàn)的一些分組密碼算法中我們可以看出， S盒是一個(gè)關(guān)鍵的環(huán)節(jié)。 S盒的性能決定了整個(gè)密碼體制的安全性。因此設(shè)計(jì)密碼性質(zhì)良好的 S盒具有重要的理論價(jià)值與實(shí)用價(jià)值。 為更好的設(shè)計(jì)分組密碼，需要研究滿足不同性質(zhì)的函數(shù)類。特別是其存在性、構(gòu)造和計(jì)數(shù)問(wèn)題，以及不同性質(zhì)之間的關(guān)系，如等價(jià)、相容、相斥、折衷等。實(shí)質(zhì)上并非滿足的 J性質(zhì)越多 越好，但希望在一定條件下，一個(gè)函數(shù)能滿足更多的性質(zhì)，如高非線性正交 (多輸出 )函數(shù)的構(gòu)造就是一個(gè)值得研究的問(wèn)題。國(guó)內(nèi)有一部分學(xué)者用演化理論 Dol對(duì) S盒的安全性進(jìn)行研究，即由己知的 S盒構(gòu)造具有相同密碼指標(biāo)或是密碼性質(zhì)更好的 S盒。目前對(duì)分組密碼的攻擊主要集中在對(duì) S盒的攻擊上，如差分密碼分析、線性密碼分析等。 除了對(duì) S盒的研究以外，現(xiàn)在對(duì)于 P置換的研究也很多， JoanDaemen和 VincentRijmen在設(shè)計(jì) Rijndael就考慮到了最佳擴(kuò)散的情形，除了分支數(shù)以外，還與列的數(shù)目有關(guān)。 分析方面，新的分析方法不斷 出現(xiàn) :利用密碼算法的結(jié)構(gòu)與采用的運(yùn)算來(lái)進(jìn)行分析的方法也逐步出現(xiàn)，如針對(duì)字節(jié)算法的滲透攻擊，針對(duì)乘法運(yùn)算出現(xiàn)的乘積差分等。在理論上證明了某些算法能抗差分攻擊后，又為一些差分攻擊的變種所攻破，如利用回旋攻擊攻破 COCONUT98算法。 目前在 分 組密碼的設(shè)計(jì)與分析方面還有許多理論和實(shí)際問(wèn)題待繼續(xù)研究和完善，這些問(wèn)題主要包括 : 算法部件方面 :對(duì)多輸出布爾函數(shù)的各種性質(zhì)進(jìn)行探索，如何對(duì)各種性質(zhì)進(jìn)行折衷而增強(qiáng) S盒的實(shí)質(zhì)安全性 。對(duì) P置換進(jìn)行研究，采取什么樣的方式來(lái)加快擴(kuò)散速度，以增強(qiáng)輪函數(shù)的安全性。 算法結(jié)構(gòu)方面，設(shè)計(jì)出 的算法如果能證明抗某種攻擊，算法則不會(huì)太復(fù)雜，有可能存在別的分析方法 。但是算法過(guò)于復(fù)雜又不利于設(shè)計(jì)者自身分析其密碼性質(zhì)。如何折衷也是值得考慮的問(wèn)題。 密碼分析方面，除了從差分分析和線性分析發(fā)展起來(lái)的各種分析方法外，針對(duì)算法的整體結(jié)構(gòu)，密鑰擴(kuò)展算法等方面的分析方法不斷出現(xiàn)，因此各個(gè)部分的設(shè)計(jì)準(zhǔn)則也在不斷地更新。 3 目前對(duì)分組密碼的設(shè)計(jì)主要集中在非線性 S盒的設(shè)計(jì)、置換方法的選擇和尋找好的密鑰擴(kuò)散協(xié)議。 S盒的設(shè)計(jì)和構(gòu)造主要集中在 S盒的設(shè)計(jì)準(zhǔn)則和構(gòu)造方法上， S盒的設(shè)計(jì)準(zhǔn)則主要有 :非線性度、差分均勻度、代數(shù)次數(shù)及項(xiàng)數(shù)分 布、完全性、正交性、擴(kuò)散特性和相關(guān)免疫性?；谏鲜鲈O(shè)計(jì)準(zhǔn)則，人們提出了許多 S盒構(gòu)造方法，如隨機(jī)提取并測(cè)試、使用數(shù)學(xué)函數(shù)構(gòu)造等方法。隨機(jī)提取方法是設(shè)計(jì)者有足夠的時(shí)間和設(shè)計(jì)能力，使用數(shù)學(xué)函數(shù)。人們已構(gòu)造出一些好的 S盒。如 SAFER系列密碼使用了指數(shù)函數(shù)和對(duì)數(shù)函 數(shù) ,SHARK, Rijndael密碼的 S盒是基于有限域 GF(2n)上的逆映射以及有限域上的冪函數(shù)構(gòu)造的。 S盒的研究現(xiàn)狀與發(fā)展趨勢(shì) S盒 (SubstitutionBox)首次出現(xiàn)在 Lucifer算法中，隨后因 DES的使用而廣為流行。 S盒是許多分組 密碼算法中唯一的非線性部件，因此，它的密碼強(qiáng)度決定了整個(gè)密碼算法的安全強(qiáng)度，它的工作速度決定了整個(gè)算法的制亂速度。特別地，使用高強(qiáng)度的 S盒對(duì)于增強(qiáng) Feistel型密碼， SPN型密碼和 IDEA型密碼的安全性起著至關(guān)重要的作用。對(duì) S盒的深入研究不僅有助于迭代分組密碼的設(shè)計(jì)，而且對(duì)于以非線性變換為核心的密碼算法的分析有相當(dāng)價(jià)值，同時(shí)也有助于快速尋求滿足某些特定密碼需求的新的密碼函數(shù)。 S盒本質(zhì)上均可看作映射 S(x)=(Si(x),...,S.(x)):GF(2)nGF(2)m，通常簡(jiǎn)稱 S是一個(gè) nXm的 S盒。當(dāng) 參數(shù) m和 n選擇得很大時(shí)，幾乎所有的 S盒都是非線性的，而且發(fā)現(xiàn)某些攻擊所用的統(tǒng)計(jì)特性比較困難。但反過(guò)來(lái)， m和 n過(guò)大將給 S盒的設(shè)計(jì)帶來(lái)困難， 而且增加算法的存儲(chǔ)量。目前比較流行的是 8X8的 S盒。 S盒主要提供了分組密碼所必須的混淆作用，但如何全面準(zhǔn)確地度量 S盒的密碼強(qiáng)度，如何設(shè)計(jì)安全有效的 S盒一直是現(xiàn)代分組密碼體制設(shè)計(jì)和評(píng)價(jià)的研究難題。目前 S盒的設(shè)計(jì)方法主要有四種 : S盒并不安全，但有證據(jù)表明， S盒規(guī)模越大，隨機(jī)產(chǎn)主的 S盒的密碼性能就越好。 ConnorE161證明了隨著 n的增大， GF(2n)上幾乎所有的置換均是非退化置換，而且如果 S盒既隨機(jī)，又依賴于密鑰，則強(qiáng)度會(huì)更高。 。按照第一種方法產(chǎn)生 S盒，然后通過(guò)測(cè)試某些特定性質(zhì)，進(jìn)行篩選。 。由此產(chǎn)生的 S盒更具藝術(shù)性，往往難以用現(xiàn)有的數(shù)學(xué)工具進(jìn)行定量描述，但這種美感常常會(huì)為新的設(shè)計(jì)準(zhǔn)則提供源動(dòng)力。 。根據(jù)數(shù)學(xué)方法構(gòu)造滿足特定密碼需求的可度量 S盒，使整個(gè)體制抗擊現(xiàn)有的各種攻擊 . 上述設(shè)計(jì)方法各有利弊，方法 1得到的 S盒在抗現(xiàn)有的各種攻擊下可能不是最佳的， 4 但它也許對(duì)某些潛在的分析 方法提供免疫力 :方法 2雖然在現(xiàn)有的攻擊下安全性有所加強(qiáng)，并且可以根據(jù)新的攻擊方法進(jìn)行調(diào)整，但需要花費(fèi)大量的搜索代價(jià)，而且往往只能產(chǎn)主少量的滿足要求的 S盒，因此效率較低 。方法 3盡管給人以某種美感和想象力，但缺乏足夠的說(shuō)服力，因?yàn)榘踩拿艽a體制應(yīng)當(dāng)建立在科學(xué)的基礎(chǔ)之上 。方法 4雖然在抗已知攻擊 (如差分分析和線性分析 )方面可以做到最佳，但它也許在某些未知攻擊下相當(dāng)脆弱，譬如 DES算法的設(shè)計(jì)者預(yù)先己發(fā)現(xiàn)了差分攻擊，其 S盒因此得到了優(yōu)化，但他們似乎沒(méi)有意識(shí)到線性分析，致使其 S盒在抗線性攻擊方面很弱。 關(guān)于 S盒的設(shè)計(jì)，應(yīng) 當(dāng)進(jìn)一步挖掘更多的設(shè)計(jì)準(zhǔn)則，利用現(xiàn)有的數(shù)學(xué)工具和某些便于分析的代數(shù)結(jié)構(gòu)，設(shè)計(jì)出較大規(guī)模，較高工作速度，較強(qiáng)安全性并依賴于工作密鑰的動(dòng)態(tài) S盒，這樣既可以抗擊現(xiàn)有的攻擊方法，又為抗擊可能出現(xiàn)的新的攻擊手段預(yù)留選擇余地。 目前有關(guān) S盒設(shè)計(jì)準(zhǔn)則的研究己經(jīng)有較大進(jìn)展，其中以 Dawson和 Tavares的工作最具代表性，該文從信息論的角度較為全面地提出了 S盒設(shè)計(jì)的靜態(tài)準(zhǔn)則和動(dòng)態(tài)準(zhǔn)則，深刻剖析了 S盒密碼強(qiáng)度的實(shí)質(zhì)，但仍有一定的局限性 :其一，該結(jié)果過(guò)多依賴于信息論的形式表示，缺乏更為簡(jiǎn)潔的數(shù)學(xué)描述和有效的構(gòu)造方法 。其二， S盒的每種設(shè)計(jì)準(zhǔn)則只用于衡量 S盒抗某種特定類型密碼攻擊的能力，各種準(zhǔn)則之間有相互制約的關(guān)系，而且往往是矛盾的，在實(shí)際中應(yīng)以設(shè)計(jì)者最為關(guān)心的指標(biāo)為核心進(jìn)行折衷。譬如，為使密碼算法抗擊差分攻擊，應(yīng)首先保證 S盒的低差分均勻度，為使算法抗擊線性分析，應(yīng)著重考慮 S盒的高非線性度等等 。其三，該結(jié)果沒(méi)有考慮到 S盒的其它非信息論因素，如不動(dòng)點(diǎn)，周期性等等，有必要對(duì) S盒的設(shè)計(jì)準(zhǔn)則加以完善 。其四，為使 S盒走向?qū)嵱?，除安全?qiáng)度以外，還必須考慮 S盒的快速實(shí)現(xiàn)方法。 SMS4 算法 隨著計(jì)算機(jī) 運(yùn)算能力 的不斷 提高和網(wǎng)絡(luò)并行計(jì)算技術(shù) 的發(fā)展 ， 密鑰長(zhǎng)度只有 56比特的 美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn) DES已經(jīng) 在 1998年 被攻破 。 1997年到 2020年，經(jīng)過(guò)歷時(shí)三年的遴選和評(píng)估， 比利時(shí)密碼學(xué)家 Joan Daemen和 Vincent Rijmen提交的 Rijndael算法成為美國(guó)的高級(jí)加密標(biāo)準(zhǔn) AES； 繼 AES之 后 ， 歐洲于 2020年 1月 1日啟動(dòng) 了 歐洲簽名、完整性和加密 新方案計(jì)劃 NESSIE， 三年后 確定了 MISTY Camellia和 SHACAL2算法為其分組密碼標(biāo)準(zhǔn)算法； 2020年 1月 6日 ， 中國(guó) 國(guó)家密碼管理局發(fā)布第 7號(hào)公告，將用于我國(guó)無(wú)線局域網(wǎng)產(chǎn)品的加密算法 確定為 SMS4算法，這 是國(guó)內(nèi)官方公布的第一個(gè)商用密碼算法。 S盒是大多數(shù)分組密碼算法中 唯 一的非線性結(jié)構(gòu)， 其 密碼特性直接決定了密碼算法的 5 好壞。設(shè)計(jì)優(yōu)良的 S盒保證密碼算法能夠較好地抵抗差分密碼分析和線性密碼分析等攻擊，而 S盒任何不好的性質(zhì)都可能會(huì)影響到整個(gè)密碼算法的安全性。 本文對(duì)中國(guó)分組密碼新標(biāo)準(zhǔn) SMS4算法 S盒的密碼性質(zhì)進(jìn)行了深入的分析，研究其平衡性、差分性質(zhì)、線性結(jié)構(gòu)、非線性、代數(shù)次數(shù)等性質(zhì)，通過(guò)與美國(guó)的高級(jí)加密標(biāo)準(zhǔn) AES、歐洲的分組加密標(biāo)準(zhǔn)Camellia算法的 S盒的比較，揭示 SMS4算法 S盒所擁有的一些 較好的安全特性。 第二章 AES計(jì)劃和 NESSIE計(jì)劃中分組密碼的 S盒設(shè)計(jì) 1997年，人們己成功破譯了由 DES加密后的信息。 1997年 9月，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所 (NIST:National Institute of Standards and Technology)為了履行其法定職責(zé)，發(fā)起了一場(chǎng)推選用于保護(hù)敏感的聯(lián)邦信息的對(duì)稱密鑰加密算法的活動(dòng)。 1998年 8月， N工ST宣布接受十五個(gè)候選算法并邀請(qǐng)全世界密碼研究界協(xié)助分析這些候選算法，包括對(duì)每個(gè)算法的安全性和效率特性進(jìn)行初步檢驗(yàn)。 NIST考察了這些初步的 研究結(jié)果， 并且選定MARS,RC6,Rijndael,Serpent和 Twofish五個(gè)算法作為參加決賽的算法 ， 經(jīng)公眾對(duì)決賽算法進(jìn)行更進(jìn)一步的分析評(píng)論， 2020年 10月， NIST決定推薦 Rijndael作為高級(jí)加密標(biāo)準(zhǔn)(AES:Advanced Encryption Standard)， 2020年 11月， Rijndael被采納作為高級(jí)加密標(biāo)準(zhǔn)。繼美國(guó)推出 AES計(jì)劃以后，歐洲于 2020年 1月啟動(dòng)了新歐洲簽名、完整性和加密計(jì)劃一 NESSIE(New European Schemes for Signatures,Integrity, and Encryption)計(jì)劃，以適應(yīng) 21世紀(jì)信息安全發(fā)展的全面需求。該計(jì)劃為期三年，投資 33億歐元，主要目的就是通過(guò)公開(kāi)征集和進(jìn)行公開(kāi)的、透明的測(cè)試、評(píng)估提出一套高效的密碼標(biāo)準(zhǔn)，以保持歐洲工業(yè)界在密碼學(xué)研究領(lǐng)域的領(lǐng)先地位。 2020年底， NESSIE工作組在十七種候選的分組密碼算法中，選定了 IDEA, Khazad, MISTYI, Camellia, SHACAL, RC6, SAFER++等七種分組密碼算法為分組密碼的第二輪決賽算法， 2020年 2月 27日， NESSIE工作組公 布了包括分組密碼、認(rèn)證碼、雜湊函數(shù)和數(shù)字簽名等在內(nèi)的十七個(gè)標(biāo)準(zhǔn)算法，其中 MISTY1, Camellia, SHACAL三個(gè)