【正文】 第二章 信息保密技術(shù)（ 2） 2023年 9月 國際數(shù)據(jù)加密算法（ IDEA） ? IDEA（ International Data Encryption Standard）由瑞士聯(lián)邦理工學(xué)院的 Xuejia Lai和 James Massey于 1990年提出，分組長度為 64bit，密鑰長度為 128bit。能抵抗差分密碼分析，目前還沒有發(fā)現(xiàn)明顯的安全漏洞，應(yīng)用十分廣泛。著名的電子郵件安全軟件 PGP就采用了 IDEA進(jìn)行數(shù)據(jù)加密。 IDEA的混淆特性 ? IDEA的混淆特性是經(jīng)由混合下述三種操作而成的： ? 以比特為單位的異或運(yùn)算，用＋表示。 ? 定義在模 （ mod65536）的模加法運(yùn)算，其操作數(shù)都可以表示成 16位整數(shù)，用＋表示這個(gè)操作。 ? 定義在模 ＋ 1（ mod65537）的模乘法運(yùn)算。 162162 IDEA的混淆特性（續(xù)） ? 由于上面 3個(gè)操作，基于以下的“非兼容性 “ （ Inpatible），當(dāng)應(yīng)用在 IDEA時(shí)，可以充分發(fā)揮出混淆的特性。 ? 三種中的任意兩個(gè)，都不滿足“分配律”，例如運(yùn)算 ⊙ 及＋，任意 a， b， c? ，則有： a＋ (b⊙ c)≠（ a＋ b） ⊙ （ a＋ c） ? 3個(gè)操作中的任意 2個(gè)，都無法滿足“結(jié)合律”。例如運(yùn)算＋及＋，任意 a， b， c? ， a＋ (b＋ c)≠（ a＋ b）＋（ a＋ c） ? 因此在 IDEA的設(shè)計(jì)中，使用了這三種操作混合組合來打亂數(shù)據(jù)。攻擊者無法用化簡的方式來分析密文與明文及密鑰之間的關(guān)系。 162F162F IDEA的擴(kuò)散特性 ? IDEA的擴(kuò)散特性是建立在乘法 /加法（ MA）的基本結(jié)構(gòu)上。該結(jié)構(gòu)一共有 4個(gè) 16位的輸入，兩個(gè) 16位的輸出。其中的兩個(gè)輸入來源于明文，另兩個(gè)輸入是子密鑰，源于 128位加密密鑰。 Lai經(jīng)過分析驗(yàn)證，數(shù)據(jù)經(jīng)過 8輪的 MA處理，可以得到完整的擴(kuò)散特性。 MA基本結(jié)構(gòu) F1 F2 ⊙ ⊙ G1 G2 Z5 Z6 子密鑰（ 16位） 明文輸入（ 16位） 明文輸入（ 16位） 子密鑰（ 16位） 輸出（ 16位） 輸出（ 16位） （ i） （ i） ＋ ＋ IDEA算法描述 ? IDEA是由 8輪相似的運(yùn)算和隨后的一個(gè)輸出變換組成 ? 64位的明文分組在每一輪中都是被分成 4份，每份從 16位為一單元來處理 ? 每一輪中 6個(gè)子密鑰 8＋輸出變換 4個(gè)子密鑰＝ 52個(gè)子密鑰 每一輪的運(yùn)算又分成兩部分： ? 第一部分即變換運(yùn)算。利用加法及乘法運(yùn)算將 4份 16位的子明文分組與 4個(gè)子密鑰混合，產(chǎn)生 4份 16位的輸出。這 4份輸出又兩兩配對，以邏輯異或?qū)?shù)據(jù)混合，產(chǎn)生兩份 16位的輸出。這兩份輸出，連同另外的兩個(gè)子密鑰成為第二部分的輸入 。 ? 第二部分即用以產(chǎn)生擴(kuò)散特性的 MA運(yùn)算。 MA運(yùn)算生成兩份 16位輸出。 MA的輸出再與變換運(yùn)算的輸出以異或作用生成 4份 16位的最后結(jié)果。這 4份結(jié)果即成為下一輪運(yùn)算的原始輸入。 子密鑰的產(chǎn)生 ? 首先將 128位加密密鑰以 16位為單位分成 8組，其中前6組作為第一輪迭代運(yùn)算的子密鑰，后 2組用于第二輪迭代運(yùn)算的前 2組子密鑰。 ? 然后將 128位密鑰循環(huán)左移 25位，再分為 8組子密鑰，其中前 4組用于第二輪迭代運(yùn)算，后 4組用作第三輪迭代運(yùn)算的前 4組子密鑰，依此直至產(chǎn)生全部 52個(gè)子密鑰。 ? 這 52個(gè)子密鑰的順序?yàn)椋? Z1(1)， Z2(1)， …， Z6(1)； Z1(2)， Z2(2)， …， Z6(2)； …； Z1(8)， Z2(8)， …， Z6(8)； Z1(9)， Z2(9)， Z3(9)， Z4(9)， IDEA的解密 ? 本質(zhì)上與加密過程唯一不同的是解密密鑰子塊Ki(r)是從加密密鑰子塊 Zi(r)按下列方式計(jì)算出來的： ? 其中 表示的模（ ＋ 1）的乘法逆，亦即 ， 表示 的模 的加法逆，亦即 ＋ 。 8,3,2))(,)((),( 1)10(4)10(2)10(31)10(1)(4)(3)(2)(1 ????? ?????? rZZZZKKKK rrrrrrrr 9,1))(,)((),( 1)10(4)10(3)10(21)10(1)(4)(3)(2)(1 ???? ?????? rZZZZKKK rrrrrrrr 8,2,1),(),( )9(6)9(5)(6)(5 ??? ?? rZZKK rrrr1?Z 162 11 ??Z⊙Z?Z 162162Z? IDEA的設(shè)計(jì)理念 ? IDEA的設(shè)計(jì)主要考慮是針對 16位為單位的處理器。因此無論明文、密鑰都是分成 16位為一個(gè)單元進(jìn)行處理。 ? IDEA使用了三種簡單的基本操作，因此在執(zhí)行時(shí)可以達(dá)到非常快的操作。在 33MHz386機(jī)器上運(yùn)行，加密速度可以達(dá)到 880kb/s。經(jīng)過特殊設(shè)計(jì)的 VLSI芯片，更可以達(dá)到 55Mb/s的速度。 ? IDEA采用三種非常簡單的基本操作，混合運(yùn)算，以達(dá)到混淆目的。而相對地， DES采用經(jīng)過特殊設(shè)計(jì)的 S盒，而對這些 S盒的分析又不對外公開。相較之下， IDEA的安全性評估，較易被大家接受。 ? IDEA的整體設(shè)計(jì)非常規(guī)律。 MA運(yùn)算器及變換運(yùn)算器重復(fù)使用在系統(tǒng)上。因此非常適合 VLSI實(shí)現(xiàn)。 AES算法 ? 1997年 4月 15日，美國國家標(biāo)準(zhǔn)技術(shù)研究所（ NIST）發(fā)起征集 AES（ Advanced Encryption Standard)的活動(dòng)，目的是為響應(yīng)公眾日益增長的替換 DES的要求，確定 21世紀(jì)的數(shù)據(jù)加密標(biāo)準(zhǔn)。 1997年 9月 12日正式公布了通告。通告要求 AES比 3DES快而且安全，分組長度為 128bit，密鑰長度為 12 192及 256bit。 ? NIST原名為 NBS（國家標(biāo)準(zhǔn)局），是美國商業(yè)部下屬的一個(gè)機(jī)構(gòu)， 1988年改為現(xiàn)名。著名的 DES加密算法即是由它們頒布的。 ? 1998年 8月 20日公布了符合基本要求的 15個(gè)算法。 1999年 3月 22日從中選出了 5個(gè)。 2023年 4月 25日對 5個(gè)算法進(jìn)行了討論。 2023年 10月 2日， NIST公布了最終的獲勝者是 Rijndael算法，比利時(shí)人設(shè)計(jì)。 ? AES算法能有效地抵抗差分分析與線性攻擊。但加密、解密過程不完全對稱，使用了不同的代碼和 S盒，所以實(shí)現(xiàn)起來占用資源相對多一些。 AES算法 Rijndael算法 ? 數(shù)據(jù)塊長度和密鑰長度可以是 128比特、 192比特和 256比特，其原型是 Square算法。 ? 設(shè)計(jì)策略 ——寬軌跡策略（ Wide Trail Strategy）。 ? 寬軌跡策略 針對差分分析和線性分析提出，其最大優(yōu)點(diǎn)是可以給出算法的最佳差分特征的概率及最佳線性逼進(jìn)的偏差的界。 AES算法 Rijndael算法（續(xù)） ? Rijndael采用的是代替 /置換網(wǎng)絡(luò)。每一輪由以下三層組成 ： ? 線性混和層 ——確保多輪之上的高度擴(kuò)散； ? 非線性層 ——由 16個(gè) S－盒并置而成，起到混淆的作用； ? 密鑰加層 ——子密鑰簡單地異或到中間狀態(tài)上。 ? S－盒選取的是有限域 GF（ 28）中的乘法逆運(yùn)算，它的差分均勻性和線性偏差都達(dá)到了最佳。 AES算法 Rijndael算法（續(xù)） ? 在加密之前，對數(shù)據(jù)塊做預(yù)處理。 ? 首先，把數(shù)據(jù)塊寫成字的形式，每個(gè)字包含 4個(gè)字節(jié)，每個(gè)字節(jié)包含 8比特信息。 ? 其次，把字記為列的形式。這樣數(shù)據(jù)塊就可以記為以下的形式： ? 其中，每列表示一個(gè)字 ? 每個(gè) 表示一個(gè) 8比特的字節(jié)，即 ),( ,3,2,1,0 jjjjj aaaaa ??jia, )2(),1/(])[2( 8,48 GFaxxGFa jij ???? ? 如用 Nb表示一個(gè)數(shù)據(jù)塊中字的個(gè)數(shù)，那么 Nb＝ 4， 6或 8。 ? 類似地，用 Nk表示密鑰中字的個(gè)數(shù)，那么 Nk＝ 4， 6或 8。例如， Nk＝ 6的密鑰可以記為以下的形式： ? 算法輪數(shù) Nr由 Nb和 Nk共同決定，具體值見下表 ? Nr Nb=4 Nb=6 Nb＝ 8 Nk＝ 4 10 12 14 Nk＝ 6 12 12 14 Nk＝ 8 14 14 14 Rijndael算法加密過程 字節(jié)代換 行移變換 列變換 列變換 行移變換 字節(jié)代換 行移變換 字節(jié)代換 子密鑰 （ 0） 子密鑰 （ 1） 最后一輪 第 Nr1輪 明文塊 密文塊 第一輪 子密鑰（ Nr） 子密鑰（ Nr1） Rijndael算法加密過程（續(xù)） ? 注 1：字節(jié)代換（ ByteSub）是作用在字節(jié)上的一種非線性字節(jié)變換。由以下兩個(gè)變換合成。 ? 首先，把每個(gè)字節(jié)看作一個(gè)系數(shù)在 {0,1}上的多項(xiàng)式，在有限域 中取它相對于模多項(xiàng)式 的乘法逆，其中，零多項(xiàng)式的乘法逆映射到自身。 ? 其次，再使用下式所定義的 GF(2)域上的放射變換，作用在所求得的乘法逆上。 )2(8GF 1)( 248 ????? xxxxxm ???????????????????????????????????????????????????????011000111111100001111100001111100001111110001111110001111110001111110001)(1, jijiaaByteSu b 其中 是 在 中的乘法逆，記作 ： ? 注 2：行移變換 ? 在此變換的作用下，數(shù)據(jù)塊