【正文】 32 ? Nk可以取的值為 4,6,8，對(duì)應(yīng)的密鑰長(zhǎng)度為128,192,256bits。因此 ShiftRows和MixColumns兩步驟為這個(gè)密碼系統(tǒng)提供了擴(kuò)散性。 (4) 輪密鑰加運(yùn)算 (AddRoundKey) 矩陣中的每一個(gè)字節(jié)都與該次輪密鑰（ Round key）做 XOR運(yùn)算；每個(gè)子密鑰由密鑰生成方案產(chǎn)生。 ? 位： 就是二進(jìn)制的 0或 1； ? 字節(jié)： 就是一組 8位的二進(jìn)制數(shù)； ? 字： 是由 4個(gè)字節(jié)組成的一個(gè)基本處理單位，可以是按行或列排成一個(gè)矩陣； ? AES中的 分組：如 128位，可以表示成 16個(gè)字節(jié)組成的一個(gè)行矩陣 ? 態(tài)（ State） ：密碼運(yùn)算的中間結(jié)果成為狀態(tài)。 1998年 8月12日舉行了首屆 AES候選會(huì)議（ first AES candidate conference） ，在涉及 14個(gè)國(guó)家的密碼學(xué)家所提出的候選AES算法進(jìn)行了評(píng)估和測(cè)試，初選并公布了 15個(gè)備選方案，任由全世界各機(jī)構(gòu)和個(gè)人攻擊和評(píng)論。 然后 加密密鑰循環(huán)左移 25位 ， 再取下面8個(gè)子密鑰 Z9， Z10， … ， Z16， 取法與 Z1， Z2， … ，Z8的取法相同 。 13） 2）和 10）的結(jié)果進(jìn)行異或運(yùn)算。 5） 1）和 3）的結(jié)果進(jìn)行異或運(yùn)算。 這一結(jié)構(gòu)在算法中重復(fù)使用了 8次 ，獲得了非常有效的擴(kuò)散效果。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 74 由來(lái)學(xué)嘉（ X. J. Lai） 和 J. L. Massey提出的第 1版IDEA（ international data encryption algorithm， 國(guó)際數(shù)據(jù)加密算法 ）于 1990年公布，當(dāng)時(shí)稱為 PES（ proposed encryption standard， 建議加密標(biāo)準(zhǔn)）。 優(yōu)點(diǎn)： ?沒(méi)有錯(cuò)誤傳播，如果傳輸中出現(xiàn)錯(cuò)誤，不會(huì)影響其后各位。 ? 缺點(diǎn) : ?加密易導(dǎo)致 錯(cuò)誤傳播 ，任何一個(gè)明文或密文分組出錯(cuò)都會(huì)導(dǎo)致其后的密文分組出錯(cuò)。 第 2章 對(duì)稱密鑰密碼體系 58 Network and Information Security ? Mister和 Adams提出了很多的 S盒設(shè)計(jì)原則 ， 其中包括要求 S盒滿足 SAC和 BIC的原則 ， 以及 S盒的所有列的 全部線性組合應(yīng)當(dāng)滿足一類稱為 bent函數(shù)的高度非線性布爾函數(shù)的原則 。 SAC和 BIC可以有效的增強(qiáng) F函數(shù)的“擾亂”功能。這也適用于其它的對(duì)稱分組加密算法 。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 51 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 52 Network and Information Security (4) P盒置換 。 (3) S盒替代 。 DES算法的 16次迭代變換具有相同的結(jié)構(gòu) ， 每一次迭代變換都以前一次迭代變換的結(jié)果 （ 第一次迭代以作 x0=L0R0為輸入 ） 和用戶密鑰擴(kuò)展得到的子密鑰 ki作為輸入；每一次迭代變換只變換一半數(shù)據(jù) ， 它們將輸入數(shù)據(jù)的右半部分經(jīng)過(guò)函數(shù) f后 ， 將其輸出與輸入數(shù)據(jù)的左半部分進(jìn)行異或運(yùn)算 ， 并將得到的結(jié)果作為新的右半部分 ， 原來(lái)的右半部分變成了新的左半部分 Network and Information Security DES 加密算法圖 注意： DES在最后一輪后，左半部分和右半部分不再交換 第 2章 對(duì)稱密鑰密碼體系 42 Network and Information Security 密碼函數(shù) F： 1) 函數(shù) F的操作步驟 密碼函數(shù) F的輸入是 32比特?cái)?shù)據(jù)和 48比特的子密鑰 ， 其操作步驟如下頁(yè)圖 27所示 。 第 2章 對(duì)稱密鑰密碼體系 37 Network and Information Security 子密鑰的生成過(guò)程 如下： 首先 ， 將 64位密鑰去掉 8個(gè)校驗(yàn)位 ， 用密鑰置換PC–1置換剩下的 56位密鑰；再將 56位分成前28位 C0和后 28位 D0兩部分 ， 即 PC–1(K56)=C0D0。 DES的所有保密性均依賴于密鑰 。 第 2章 對(duì)稱密鑰密碼體系 28 1. SDES加密算法 (簡(jiǎn)化的 DES) ? SDES是由美國(guó)圣達(dá)卡拉大學(xué)的 Edward Schaeffer教授提出的，主要用于教學(xué)，其設(shè)計(jì)思想和性質(zhì)與 DES一致，有關(guān)函數(shù)變換相對(duì)簡(jiǎn)化，具體參數(shù)要小得多。 第 2章 對(duì)稱密鑰密碼體系 26 Network and Information Security 可以用不同方式衡量攻擊方法的復(fù)雜性： (1) 數(shù)據(jù)復(fù)雜性 ：用作攻擊輸入所需要的數(shù)據(jù)量。 （ 2） 全盤(pán)推導(dǎo) ：密碼分析者找到一個(gè)代替算法，在不知道密鑰的情況下，可用它得到明文。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 22 （ 5）選擇文本攻擊 選擇文本攻擊是選擇明文攻擊與選擇密文攻擊的結(jié)合。 ? 密碼編碼設(shè)計(jì)是利用 數(shù)學(xué) 基礎(chǔ)構(gòu)造密碼。這些算法也叫秘密密鑰算法或單密鑰算法，它要求發(fā)送者和接收者在安全通信之前，商定一個(gè)密鑰。 K可以是很多數(shù)值里的任意值。 ? 密碼分析學(xué) ：破譯密文，在未知密鑰的情況下推演出明文和密鑰的技術(shù)。 1984年， H.， Brassard. Gille首次提出了量子密碼技術(shù)（現(xiàn)稱為 BB84協(xié)議）。英國(guó)通過(guò)外交部將電報(bào)全文交給美國(guó)總統(tǒng)并約定該電報(bào)是美國(guó)自己截獲并破譯的。其加密方法就是將明文中的每個(gè)字母都用其右邊固定步長(zhǎng)的字母代替，構(gòu)成密文。 20世紀(jì)，第一次世界大戰(zhàn)進(jìn)行到關(guān)鍵時(shí)刻，英國(guó)破譯密碼的專門(mén)機(jī)構(gòu)“ 40號(hào)房間”利用繳獲的德國(guó)密碼本破譯了著名的“齊默爾曼”電報(bào)，促使美國(guó)放棄中立參戰(zhàn)，改變了戰(zhàn)爭(zhēng)進(jìn)程。 齊默爾曼于 1917年 1月16號(hào)向德國(guó)駐墨西哥大使馮 1976年， . Diffie和 . Hellman發(fā)表了 “ New Direction in Cryptography（密碼學(xué)新方向） ” 一文，提出了一種全新的密碼設(shè)計(jì)思想，導(dǎo)致了密碼技術(shù)上的一場(chǎng)革命。 ? 研究?jī)?nèi)容 密碼學(xué)以研究數(shù)據(jù)保密為目的，對(duì)存儲(chǔ)和傳輸?shù)男畔⑦M(jìn)行秘密變換以防止第三者竊取信息的科學(xué)。 ? 受限制的密碼算法不可能進(jìn)行質(zhì)量控制或標(biāo)準(zhǔn)化。 第 2章 對(duì)稱密鑰密碼體系 14 Network and Information Security 對(duì)稱密鑰密碼和非對(duì)稱密鑰密碼 ? 基于密鑰的算法通常有兩類： 對(duì)稱算法和非對(duì)稱算法 。 ? 非對(duì)稱算法也叫做 公開(kāi)密鑰算法 ，是因?yàn)榧用苊荑€能夠公開(kāi)，即陌生者能用加密密鑰加密信息，但只有用相應(yīng)的解密密鑰才能解密信息。明文 密文對(duì)被事先搜集。 ? 如果破譯算法 所需的 時(shí)間 比加密數(shù)據(jù) 保密 的時(shí)間更長(zhǎng)，那么可能是安全的。這種方法叫做 蠻力攻擊 。 ?產(chǎn)生 ： 美國(guó)國(guó)家標(biāo)準(zhǔn)局 (NBS)1973年 5月 1974年 8月兩次發(fā)布公告，公開(kāi)征求用于電子計(jì)算機(jī)的加密算法，經(jīng)評(píng)選采納了 IBM的 LUCIFER方案。 ? SW:將左 4位和右 4位交換。 第 2章 對(duì)稱密鑰密碼體系 35 Network and Information Security 表 21 初始置換 IP 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 特點(diǎn)：整個(gè) 64位按 8行、8列排列；最右邊一列按照 2,4,6,8和 1,3, 5, 7的次序排列；往左邊各列的位序號(hào)依次為緊鄰其 右邊一列各位序號(hào)加 8. 第 2章 對(duì)稱密鑰密碼體系 36 DES算法的子密鑰的生成過(guò)程 Network and Information Security DES加密算法的密鑰長(zhǎng)度為 56位 ， 但一般表示為 64位 ， 其中 ， 每個(gè)第 8位用于奇偶校驗(yàn) 。 壓縮置換 如表 24所示 。 31,32的次序依次排列，但 上一行的后兩位依次在下一行的前兩位得到重用 ，認(rèn)為最后一行的下一行是第 1行。 從表 26中可得 S8盒的第 1行第 5列的數(shù)為 3，于是就用 0011代替原輸入 001011。 16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25 表 27 P盒置換 第 2章 對(duì)稱密鑰密碼體系 53 Network and Information Security 第三階段 ： 末置換函數(shù) IP1 末置換是 初始置換的逆變換 。 所謂 SAC，就是要求算法具有良好的雪崩效應(yīng)， 輸入當(dāng)中的一個(gè)比特發(fā)生變化都應(yīng)當(dāng)使輸出產(chǎn)生” 盡可能多 ” 的比特變化 。一個(gè) n m的 S盒其輸入為 n比特 ， 輸出為 m比特 。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 60 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 61 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 62 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 63 DES舉例 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 64 DES舉例 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 65 DES舉例 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 66 分組密碼的工作模式 ? 電子編碼本模式 （ ECB）：用 相同的密鑰 分別對(duì)明文分組加密。 ?解密時(shí)，一個(gè)密文塊損壞會(huì)影響兩個(gè)明文塊無(wú)法解密還原。 ? （ 2） DESEDE2： 第一和第三加密過(guò)程使用相同的密鑰。 ?首先定義五種算法： （ 一 ） 三種加密運(yùn)算 第 2章 對(duì)稱密鑰密碼體系 76 ? （二）兩種子密鑰運(yùn)算 Network and Information Security 3種運(yùn)算結(jié)合起來(lái)使用可對(duì)算法的輸入提供復(fù)雜的變換，從而使得對(duì) IDEA的密碼分析比對(duì)僅使用異或運(yùn)算的 DES更為困難。 2） X2和第 2個(gè)子密鑰塊進(jìn)行加法運(yùn)算。 10） 7）和 9）的結(jié)果進(jìn)行加法運(yùn)算。 3） W2和第 3個(gè)子密鑰塊進(jìn)行加法運(yùn)算。 ② 第 i(i=1,… ,8)輪解密的后兩個(gè)子密鑰等于加密過(guò)程第 (9i)輪的后兩個(gè)子密鑰 。 至此，經(jīng)過(guò) 3年多的討論， Rijndael終于脫穎而出。 (2)行位移變換 (ShiftRows) 將矩陣中的每個(gè)橫列進(jìn)行循環(huán)式移位。同理，第三行及第四行向左循環(huán)位移的偏移量就分別是 2和 3。a6=47 第 2章 對(duì)稱密鑰密碼體系 113 113 AES (4)輪密鑰加運(yùn)算 (AddRoundKey) 在每次的加密循環(huán)中，都會(huì)由主密鑰產(chǎn)生一把輪密鑰，這把密鑰大小會(huì)跟原矩陣一樣，然后與原矩陣中每個(gè)對(duì)應(yīng)的字節(jié)作異或（ ⊕ ）加法。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 118 118 128位密鑰擴(kuò)展的具體步驟： （ 1）初始密鑰直接被復(fù)制到數(shù)組 W[i]的前 4個(gè)字中，得到W[0],W[1],W[2],W[3] 如加密密鑰 =2b 7e 15 16 28 ae d2 a6 ab f7 15 88 09 cf 4f 3c, 則 :w[0]=2b7e1516, w[1]=28aed2a6, w[2]=abf71588, w[3]=09cf4f3c (2) 對(duì) W數(shù)組中下標(biāo)