【正文】 文一般需要更多的循環(huán)來完成加密，這可能會(huì)導(dǎo)致過大的開銷。 2.當(dāng)使用相同的密鑰和初始向量的時(shí)候，相同明文使用CFB模式加密輸出相同的密文。流密碼無需填充消息，實(shí)時(shí)運(yùn)行。 4.可以使用不同的初始化向量來避免相同的明文產(chǎn)生相同的密文,一定程度上抵抗字典攻擊。 4.一個(gè)錯(cuò)誤僅僅會(huì)對(duì)一個(gè)密文塊產(chǎn)生影響.,分組密碼運(yùn)行模式,70,分組密碼運(yùn)行模式,CBC（密碼分組鏈接）模式： Cn=Ek[Cn1⊕Pn]；初始向量V1； 用途：傳送數(shù)據(jù)分組；認(rèn)證。 AES被開發(fā)用于替代DES，但NIST預(yù)測(cè)Triple DES仍將在近期作為一種實(shí)用的算法，單DES將逐步退出。2000年10月2日，美國(guó)商務(wù)部部長(zhǎng)宣布比利時(shí)的Rijndael算法成為新的AES。 提高加密強(qiáng)度（如增加密鑰長(zhǎng)度），系統(tǒng)開銷呈指數(shù)增長(zhǎng)，除提高硬件、并行處理外，算法本身和軟件技術(shù)無法提高加密強(qiáng)度。 64位固定分組，短組模式，易造成密文重復(fù)組塊 有限的函數(shù)作用域 ASCII碼 0~127 子密鑰只參與異或簡(jiǎn)單的運(yùn)算，有可能損害變換精度。2~16輪 2．5 把R（16）和L（16） 順序串聯(lián)起來得到一個(gè)64位數(shù)。 2．4．5八個(gè)選擇函數(shù)Sj(1≤j≤8)的輸出拼接為32位二進(jìn)制數(shù)據(jù)區(qū)組，把它作為P盒置換的輸入，得到輸出 2．4．6 把得到的結(jié)果與L（i1）作異或運(yùn)算。m即是Sj密箱里用來替換Z j的數(shù)所在的列數(shù)。16位為Z 1，712位為Z 2,……4348位為Z 8。 2．3 將變換后的數(shù)據(jù)塊等分成前后兩部分，前32位記為L(zhǎng)0,后32位記為R0。 1.2.3.2 串聯(lián)Ci、Di，得到一個(gè)56位數(shù)，然后對(duì)此數(shù)作子密鑰換位表PC2變換以產(chǎn)生48位子密鑰Ki。,57,二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),數(shù)據(jù)加密標(biāo)準(zhǔn),Ci(28位),Di(28位),14 17 11 24 1 5 3 28 15 6 21 10 23 19 12 4 26 8 16 7 27 20 13 2 41 52 31 37 47 55 30 40 51 45 33 48 44 49 39 56 34 53 46 42 50 36 29 32,Ki(48位),密鑰置換2,去掉第9，18，22，25，35，38，43，54位，56位變成48位,58,二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),數(shù)據(jù)加密標(biāo)準(zhǔn),L0R0 ←IP(明文) L1←R0 R1← L0??(R0,K1) L2←R1 R2← L1??(R1,K2) …… L16←R15 R16← L15??(R15,K16) 密文← IP1(R16L16),加密過程： L0R0 ←IP() Ln←Rn1 Rn← Ln1??(Rn1,Kn) ← IP1(R16L16),解密過程： R16L16 ←IP() Rn1←Ln Ln1←Rn??(Ln,Kn) ← IP1(L0R0),59,二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),數(shù)據(jù)加密標(biāo)準(zhǔn),DES算法 1. 處理密鑰: 1.1 從用戶處獲得64位密鑰Key.(每第8位為校驗(yàn)位,為使密鑰有正確的奇偶校驗(yàn),每個(gè)密鑰要有奇數(shù)個(gè)”1”位.(本文如未特指，均指二進(jìn)制位) 1.2 具體過程: 1.2.1 對(duì)密鑰實(shí)施變換, 經(jīng)過子密鑰換位表PC1的變換后，Key 的位數(shù)由64 位變成了56位。故Key 實(shí)際可用位數(shù)便只有56位。 在此以S1為例說明其功能，我們可以看到：在S1中，共有4行數(shù)據(jù)，命名為0，3行；每行有16列，命名為0、3，115列。 3 S 盒的任意一位輸出保持不變時(shí)，0 和1 個(gè)數(shù)之差極小。美國(guó)國(guó)家安全局透露了S 盒的幾條設(shè)計(jì)準(zhǔn)則： 1 所有的S 盒都不是它輸入的線性仿射函數(shù)。,44,二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),數(shù)據(jù)加密標(biāo)準(zhǔn),A,32位,32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1,選擇運(yùn)算E,選擇運(yùn)算E的結(jié)果,48位,擴(kuò)展置換E,45,二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),數(shù)據(jù)加密標(biāo)準(zhǔn),使用密鑰 在第i+1次迭代中，用48位二進(jìn)制的密鑰（由56位密鑰生成，下邊會(huì)介紹） K（i+1）=k1(i+1)k2(i+1)…k48(i+1) 與E(R（i）)按位相加（邏輯異或），輸出仍是48位，共8行，每行6位。 解密算法: Ek1 (c) = IP1 加密算法: Ek(m) = IP1,數(shù)據(jù)加密標(biāo)準(zhǔn),35,一、 DES算法概述,數(shù)據(jù)加密標(biāo)準(zhǔn),36,一、 DES算法概述,數(shù)據(jù)加密標(biāo)準(zhǔn),上表中攻擊者配有如下計(jì)算機(jī)資源的攻擊能力,37,二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),數(shù)據(jù)加密標(biāo)準(zhǔn),38,二、數(shù)據(jù)加密標(biāo)準(zhǔn)(DES),數(shù)據(jù)加密標(biāo)準(zhǔn),利用傳統(tǒng)的換位和置換加密。 DES的發(fā)展：如衍生出可抗差分分析攻擊的變形DES以及密鑰長(zhǎng)度為128比特的三重DES等。經(jīng)評(píng)選從一大批算法中采納了IBM的LUCIFER方案。 古典：算法簡(jiǎn)單，長(zhǎng)密鑰。 某些常用用法也會(huì)提供有價(jià)值的線索，如信的開頭寫Dear ；源程序的某一位置是版權(quán)聲明；電子資金傳送報(bào)頭格式。收方有一個(gè)同樣的亂碼本，并依次使用亂碼本上的每個(gè)密鑰去解密密文的每個(gè)字符，然后銷毀亂碼本中用過的一頁(yè)。發(fā)方用亂碼本中的某一頁(yè)密鑰加密明文。 多表密碼加密算法結(jié)果將使得對(duì)單表置換用的簡(jiǎn)單頻率分析方法失效。： 例如：明文為System，密鑰為dog，加密過程如下： 明文：S y s t e m 密鑰：d o g d o g 密文：V m g w r s 在這個(gè)例子中，每三個(gè)字母中的第一、第二、第三個(gè)字母分別移動(dòng)（mod 26）3個(gè)，14個(gè)和6個(gè)位置。密文是其右邊字母。在m1和m2之間加一個(gè)無效字母。密文是其下邊字母。 每一對(duì)明文字母 m1和m2，都根據(jù)下面的6條規(guī)則進(jìn)行加密。 2339。,(,0 1 2 3 23 24 25 039。,24,置換密碼： 1*. 置換π的表示： π＝ 2*密鑰空間K很大，|k|=26! ≈ 41026，破譯者窮舉搜索是不行的，然而，可由統(tǒng)計(jì)的方式破譯它。 例：維吉尼亞密碼。 （2）同音代替密碼：它與簡(jiǎn)單代替密碼系統(tǒng)相似，唯一的不同是單個(gè)字符明文可以映射成密文的幾個(gè)字符之一同音代替的密文并不唯一。對(duì)密文進(jìn)行逆替換就可恢復(fù)出明文。 如：消息認(rèn)證協(xié)議、數(shù)字簽名協(xié)議等 （1）密鑰建立協(xié)議：在兩個(gè)或多個(gè)實(shí)體之間建立會(huì)話密鑰 （2）認(rèn)證協(xié)議：防止假冒攻擊 將認(rèn)證和密鑰建立協(xié)議結(jié)合在一起，是網(wǎng)絡(luò)通信中最普遍應(yīng)用的安全協(xié)議。 作為一個(gè)法則，攻擊的復(fù)雜性取這三個(gè)因數(shù)的最小化，有些攻擊包括這三種復(fù)雜性的折中：存儲(chǔ)需求越大，攻擊可能越快。 處理復(fù)雜性。,19,三、密碼分析,第四章 傳統(tǒng)密碼學(xué),密碼學(xué)更關(guān)心在計(jì)算上不可破譯的密碼系統(tǒng)。 （3）從密文探測(cè)出簡(jiǎn)單卻有用的事實(shí)應(yīng)該是難的，如相同的信息被發(fā)送了兩次。 選擇明文攻擊（chosen plaintext attacks）。 常用的密碼分析攻擊有四類 ： 加密算法：公開 。 側(cè)重于通信鏈路上而非信源和信宿 端到端加密：為網(wǎng)絡(luò)提供從源到目的的傳輸加密保護(hù)。 公開密鑰算法主要用于加密/解密、數(shù)字簽名、密鑰交換。,二、加密和解密——對(duì)稱算法,第四章 傳統(tǒng)密碼學(xué),12,分組密鑰：將明文分成固定長(zhǎng)度的組（塊），如64比特一組，用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。移位寄存器的長(zhǎng)度用位表示，如果是n位長(zhǎng)，稱為n位移位寄存器。 加密： 解密：,二、加密和解密——對(duì)稱算法,第四章 傳統(tǒng)密碼學(xué),10,對(duì)于一個(gè)序列如果對(duì)所有的i總有Ki+p=Ki，則序列是以p為周期的，滿足條件的最小的p稱為序列的周期。 4*.若Alice和Bob在一次通信中使用相同的密鑰，那么這個(gè)加密體制為對(duì)稱的，否則稱為非對(duì)稱的。 DK（EK（M））=M.,5,二、加密和解密,第四章 傳統(tǒng)密碼學(xué),DK2 （EK1（P））=P 雙鑰密碼體制,6,定義: (密碼體制）它是一個(gè)五元組（P,C,K,E,D)滿足條件： （1）P是可能明文的有限集；（明文空間） （2）C是可能密文的有限集；（密文空間） （3）K是一切可能密鑰構(gòu)成的有限集；（密鑰空間） *（4）任意k∈ K,有一個(gè)加密算法 和相應(yīng)的解密算法 ，使得 和 分別為加密解密函數(shù)，滿足dk(ek(x))=x, 這里 x ∈P。,第四章 傳統(tǒng)密碼學(xué),3,二、加密和解密,第四章 傳統(tǒng)密碼學(xué),加密,解密,明文P,密文C,原始明文M,E（P）=C.,D（C）=P,D（E（P））=P,明文Plaintext 密文Cipher text 加密Encryption 解密Decryption 密鑰key,4,二、加密和解密,第四章 傳統(tǒng)密碼學(xué),密碼就是一組含有參數(shù)k的變換E。 分組密碼算法：把明文分成等長(zhǎng)的組分別加密 序列密碼算法：是一個(gè)比特一個(gè)比特地處理，用已知的密鑰隨機(jī)序列與明文按位異或。解密算法D是加密算法E的逆運(yùn)算，解密算法也是含參數(shù)k的變換。 3*.好的密鑰算法是唯密鑰而保密的。 序列密碼算法：已知的密鑰隨機(jī)序列與明文按位異或。一個(gè)反饋移位寄存器由兩部分組成：移位寄存器和反饋函數(shù)。 產(chǎn)生好的序列密碼的主要途徑之一是利用移位寄存器產(chǎn)生偽隨機(jī)序列，典型方法有： (1)反饋移位寄存器：采用非線性反饋函數(shù)產(chǎn)生大周期的非線性序列 （2）利用線性移位寄存器序列加非線性前饋函數(shù)，產(chǎn)生前饋序列 （3）鐘控序列，利用一個(gè)寄存器序列作為時(shí)鐘控制另一寄存器序列（或自己控制自己）來產(chǎn)生鐘控序列，這種序列具有大的線性復(fù)雜度。在公開密鑰算法系統(tǒng)中，加密密鑰叫做公開密