【正文】 第二章 信息保密技術（ 2） 2023年 9月 國際數(shù)據(jù)加密算法（ IDEA） ? IDEA（ International Data Encryption Standard）由瑞士聯(lián)邦理工學院的 Xuejia Lai和 James Massey于 1990年提出，分組長度為 64bit，密鑰長度為 128bit。能抵抗差分密碼分析，目前還沒有發(fā)現(xiàn)明顯的安全漏洞，應用十分廣泛。著名的電子郵件安全軟件 PGP就采用了 IDEA進行數(shù)據(jù)加密。 IDEA的混淆特性 ? IDEA的混淆特性是經由混合下述三種操作而成的： ? 以比特為單位的異或運算，用＋表示。 ? 定義在模 （ mod65536）的模加法運算，其操作數(shù)都可以表示成 16位整數(shù)，用＋表示這個操作。 ? 定義在模 ＋ 1（ mod65537）的模乘法運算。 162162 IDEA的混淆特性（續(xù)） ? 由于上面 3個操作，基于以下的“非兼容性 “ （ Inpatible），當應用在 IDEA時，可以充分發(fā)揮出混淆的特性。 ? 三種中的任意兩個，都不滿足“分配律”，例如運算 ⊙ 及＋，任意 a， b， c? ，則有： a＋ (b⊙ c)≠（ a＋ b） ⊙ （ a＋ c） ? 3個操作中的任意 2個，都無法滿足“結合律”。例如運算＋及＋，任意 a， b， c? ， a＋ (b＋ c)≠（ a＋ b）＋（ a＋ c） ? 因此在 IDEA的設計中，使用了這三種操作混合組合來打亂數(shù)據(jù)。攻擊者無法用化簡的方式來分析密文與明文及密鑰之間的關系。 162F162F IDEA的擴散特性 ? IDEA的擴散特性是建立在乘法 /加法（ MA）的基本結構上。該結構一共有 4個 16位的輸入，兩個 16位的輸出。其中的兩個輸入來源于明文，另兩個輸入是子密鑰，源于 128位加密密鑰。 Lai經過分析驗證，數(shù)據(jù)經過 8輪的 MA處理，可以得到完整的擴散特性。 MA基本結構 F1 F2 ⊙ ⊙ G1 G2 Z5 Z6 子密鑰（ 16位） 明文輸入（ 16位） 明文輸入（ 16位） 子密鑰（ 16位） 輸出（ 16位） 輸出（ 16位） （ i） （ i） ＋ ＋ IDEA算法描述 ? IDEA是由 8輪相似的運算和隨后的一個輸出變換組成 ? 64位的明文分組在每一輪中都是被分成 4份，每份從 16位為一單元來處理 ? 每一輪中 6個子密鑰 8＋輸出變換 4個子密鑰＝ 52個子密鑰 每一輪的運算又分成兩部分： ? 第一部分即變換運算。利用加法及乘法運算將 4份 16位的子明文分組與 4個子密鑰混合，產生 4份 16位的輸出。這 4份輸出又兩兩配對，以邏輯異或將數(shù)據(jù)混合，產生兩份 16位的輸出。這兩份輸出，連同另外的兩個子密鑰成為第二部分的輸入 。 ? 第二部分即用以產生擴散特性的 MA運算。 MA運算生成兩份 16位輸出。 MA的輸出再與變換運算的輸出以異或作用生成 4份 16位的最后結果。這 4份結果即成為下一輪運算的原始輸入。 子密鑰的產生 ? 首先將 128位加密密鑰以 16位為單位分成 8組，其中前6組作為第一輪迭代運算的子密鑰，后 2組用于第二輪迭代運算的前 2組子密鑰。 ? 然后將 128位密鑰循環(huán)左移 25位，再分為 8組子密鑰，其中前 4組用于第二輪迭代運算，后 4組用作第三輪迭代運算的前 4組子密鑰，依此直至產生全部 52個子密鑰。 ? 這 52個子密鑰的順序為： Z1(1)， Z2(1)， …， Z6(1)； Z1(2)， Z2(2)， …， Z6(2)； …； Z1(8)， Z2(8)， …， Z6(8)； Z1(9)， Z2(9)， Z3(9)， Z4(9)， IDEA的解密 ? 本質上與加密過程唯一不同的是解密密鑰子塊Ki(r)是從加密密鑰子塊 Zi(r)按下列方式計算出來的： ? 其中 表示的模（ ＋ 1）的乘法逆，亦即 ， 表示 的模 的加法逆，亦即 ＋ 。 8,3,2))(,)((),( 1)10(4)10(2)10(31)10(1)(4)(3)(2)(1 ????? ?????? rZZZZKKKK rrrrrrrr 9,1))(,)((),( 1)10(4)10(3)10(21)10(1)(4)(3)(2)(1 ???? ?????? rZZZZKKK rrrrrrrr 8,2,1),(),( )9(6)9(5)(6)(5 ??? ?? rZZKK rrrr1?Z 162 11 ??Z⊙Z?Z 162162Z? IDEA的設計理念 ? IDEA的設計主要考慮是針對 16位為單位的處理器。因此無論明文、密鑰都是分成 16位為一個單元進行處理。 ? IDEA使用了三種簡單的基本操作，因此在執(zhí)行時可以達到非?？斓牟僮鳌Ｔ?33MHz386機器上運行，加密速度可以達到 880kb/s。經過特殊設計的 VLSI芯片，更可以達到 55Mb/s的速度。 ? IDEA采用三種非常簡單的基本操作，混合運算，以達到混淆目的。而相對地， DES采用經過特殊設計的 S盒，而對這些 S盒的分析又不對外公開。相較之下， IDEA的安全性評估，較易被大家接受。 ? IDEA的整體設計非常規(guī)律。 MA運算器及變換運算器重復使用在系統(tǒng)上。因此非常適合 VLSI實現(xiàn)。 AES算法 ? 1997年 4月 15日，美國國家標準技術研究所（ NIST）發(fā)起征集 AES（ Advanced Encryption Standard)的活動，目的是為響應公眾日益增長的替換 DES的要求，確定 21世紀的數(shù)據(jù)加密標準。 1997年 9月 12日正式公布了通告。通告要求 AES比 3DES快而且安全，分組長度為 128bit，密鑰長度為 12 192及 256bit。 ? NIST原名為 NBS（國家標準局），是美國商業(yè)部下屬的一個機構， 1988年改為現(xiàn)名。著名的 DES加密算法即是由它們頒布的。 ? 1998年 8月 20日公布了符合基本要求的 15個算法。 1999年 3月 22日從中選出了 5個。 2023年 4月 25日對 5個算法進行了討論。 2023年 10月 2日， NIST公布了最終的獲勝者是 Rijndael算法，比利時人設計。 ? AES算法能有效地抵抗差分分析與線性攻擊。但加密、解密過程不完全對稱，使用了不同的代碼和 S盒，所以實現(xiàn)起來占用資源相對多一些。 AES算法 Rijndael算法 ? 數(shù)據(jù)塊長度和密鑰長度可以是 128比特、 192比特和 256比特，其原型是 Square算法。 ? 設計策略 ——寬軌跡策略（ Wide Trail Strategy）。 ? 寬軌跡策略 針對差分分析和線性分析提出，其最大優(yōu)點是可以給出算法的最佳差分特征的概率及最佳線性逼進的偏差的界。 AES算法 Rijndael算法（續(xù)） ? Rijndael采用的是代替 /置換網(wǎng)絡。每一輪由以下三層組成 ： ? 線性混和層 ——確保多輪之上的高度擴散； ? 非線性層 ——由 16個 S－盒并置而成，起到混淆的作用； ? 密鑰加層 ——子密鑰簡單地異或到中間狀態(tài)上。 ? S－盒選取的是有限域 GF（ 28）中的乘法逆運算，它的差分均勻性和線性偏差都達到了最佳。 AES算法 Rijndael算法（續(xù)） ? 在加密之前，對數(shù)據(jù)塊做預處理。 ? 首先，把數(shù)據(jù)塊寫成字的形式，每個字包含 4個字節(jié)，每個字節(jié)包含 8比特信息。 ? 其次，把字記為列的形式。這樣數(shù)據(jù)塊就可以記為以下的形式： ? 其中，每列表示一個字 ? 每個 表示一個 8比特的字節(jié)，即 ),( ,3,2,1,0 jjjjj aaaaa ??jia, )2(),1/(])[2( 8,48 GFaxxGFa jij ???? ? 如用 Nb表示一個數(shù)據(jù)塊中字的個數(shù)，那么 Nb＝ 4， 6或 8。 ? 類似地，用 Nk表示密鑰中字的個數(shù)，那么 Nk＝ 4， 6或 8。例如， Nk＝ 6的密鑰可以記為以下的形式： ? 算法輪數(shù) Nr由 Nb和 Nk共同決定，具體值見下表 ? Nr Nb=4 Nb=6 Nb＝ 8 Nk＝ 4 10 12 14 Nk＝ 6 12 12 14 Nk＝ 8 14 14 14 Rijndael算法加密過程 字節(jié)代換 行移變換 列變換 列變換 行移變換 字節(jié)代換 行移變換 字節(jié)代換 子密鑰 （ 0） 子密鑰 （ 1） 最后一輪 第 Nr1輪 明文塊 密文塊 第一輪 子密鑰（ Nr） 子密鑰（ Nr1） Rijndael算法加密過程（續(xù)） ? 注 1：字節(jié)代換（ ByteSub）是作用在字節(jié)上的一種非線性字節(jié)變換。由以下兩個變換合成。 ? 首先，把每個字節(jié)看作一個系數(shù)在 {0,1}上的多項式，在有限域 中取它相對于模多項式 的乘法逆，其中，零多項式的乘法逆映射到自身。 ? 其次，再使用下式所定義的 GF(2)域上的放射變換，作用在所求得的乘法逆上。 )2(8GF 1)( 248 ????? xxxxxm ???????????????????????????????????????????????????????011000111111100001111100001111100001111110001111110001111110001111110001)(1, jijiaaByteSu b 其中 是 在 中的乘法逆，記作 ： ? 注 2：行移變換 ? 在此變換的作用下，數(shù)據(jù)塊