【文章內(nèi)容簡介】 6 bit 選擇函數(shù)組 4 bit 48 bit 寄存器 32 bit 寄存器 S1 S2 S3 S4 S5 S6 S7 S8 乘積變換 置換運(yùn)算 P。 對(duì) S1至 S8盒輸出的 32 bit數(shù)據(jù)進(jìn)行坐標(biāo)置換 ， 置換 P輸出的 32 bit數(shù)據(jù)與左邊 32 bit即 Ri1逐位模 2相加 ， 所得到的 32 bit作為下一輪迭代用的右邊的數(shù)字段 。 并將 Ri1并行送到左邊的寄存器 ，作為下一輪迭代用的左邊的數(shù)字段 。 子密鑰產(chǎn)生器 。 將 64 bit初始密鑰經(jīng)過 置換選擇PC 循環(huán)移位置換 、 置換選擇 PC2給出每次迭代加密用的子密鑰 ki， 16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25 子密鑰產(chǎn)生器框圖 密鑰（ 64 bit ） 置換選擇 1， PC1 置換選擇 2， PC2 Ci(28 bit) Di(28 bit) 循環(huán)左移 ti+1bit 循環(huán)左移 ti+1bit 除去第 8,16, ? ,64位 (8個(gè)校驗(yàn)位 ) ki DES的 安全性 ? 互補(bǔ)性 。 DES算法具有下述性質(zhì)。若明文組 x逐位取補(bǔ)，密鑰 k逐位取補(bǔ)，即 y=DESk(x), 則有 這種互補(bǔ)性會(huì)使 DES在選擇明文破譯下所需的工作量減半 。 ? 弱密鑰和半弱密鑰 。 DES算法在每次迭代時(shí)都有一個(gè)子密鑰供加密用 。 如果給定初始密鑰 k， 各輪的子密鑰都相同 ， 即有 k1=k2= … =k16 就稱給定密鑰 k為弱密鑰 (Weak key)。 )( xD E Sy K?DES的 安全性 若 k為弱密鑰，則有 DESk(DESk(x))=x DESk1(DESk1(x))=x 即以 k對(duì) x加密兩次或解密兩次都可恢復(fù)出明文 。 其加密運(yùn)算和解密運(yùn)算沒有區(qū)別 。 弱密鑰下使 DES在選擇明文攻擊下的搜索量減半 。 如果隨機(jī)地選擇密鑰 ， 弱密鑰所占比例極小 ， 而且稍加注意就不難避開 。 因此 ， 弱密鑰的存在不會(huì)危及 DES的安全性 。 DES的 安全性 密文與明文 、 密文與密鑰的相關(guān)性 。 Meyer[1978]詳細(xì)研究了 DES的輸入明文與密文及密鑰與密文之間的相關(guān)性 。 表明每個(gè)密文比特都是所有明文比特和所有密鑰比特的復(fù)合函數(shù) ， 并且指出達(dá)到這一要求所需的迭代次數(shù)至少為 5。 Konheim[1981]用 ?2檢驗(yàn)證明 ，迭代 8次后輸出和輸入就可認(rèn)為是不相關(guān)的了 。 DES的 安全性 S盒設(shè)計(jì) 。 DES靠 S盒實(shí)現(xiàn)非線性變換 。 密鑰搜索機(jī) 。 對(duì) DES安全性批評(píng)意見中 ， 較為一致的看法是 DES的密鑰短了些 。 IBM最初向 NBS提交的建議方案采用 112 bits密鑰 ， 但公布的 DES標(biāo)準(zhǔn)采用 64 bits密鑰 。 有人認(rèn)為 NSA故意限制 DES的密鑰長度 。 采用窮搜索對(duì)已經(jīng)對(duì) DES構(gòu)成了威脅 ． DES算法的安全性 ? DES算法正式公開發(fā)表以后，引起了一場激烈的爭論。 1977年 Diffie和 Hellman提出了制造一個(gè)每秒能測試 106個(gè)密鑰的大規(guī)模芯片，這種芯片的機(jī)器大約一天就可以搜索 DES算法的整個(gè)密鑰空間，制造這樣的機(jī)器需要兩千萬美元。 ? 1993年 詳細(xì)的密鑰搜索機(jī)器的設(shè)計(jì)方案，它基于并行的密鑰搜索芯片，此芯片每秒測試 5 107個(gè)密鑰，當(dāng)時(shí)這種芯片的造價(jià)是 ， 5760個(gè)這樣的芯片組成的系統(tǒng)需要 10萬美元，這一系統(tǒng)平均 ，如果利用 10個(gè)這樣的系統(tǒng)，費(fèi)用是 100萬美元，但搜索時(shí)間可以降到 。可見這種機(jī)制是不安全的。 ? DES的 56位短密鑰面臨的另外一個(gè)嚴(yán)峻而現(xiàn)實(shí)的問題是：國際互聯(lián)網(wǎng) Inter的超級(jí)計(jì)算能力。 1997年 1月 28日，美國的RSA數(shù)據(jù)安全公司在互聯(lián)網(wǎng)上開展了一項(xiàng)名為 “ 密鑰挑戰(zhàn) ” 的競賽，懸賞一萬美元，破解一段用 56位密鑰加密的 DES密文。 ? 一位名叫 Rocke Verser的程序員設(shè)計(jì)了一個(gè)可以通過互聯(lián)網(wǎng)分段運(yùn)行的密鑰窮舉搜索程序，組織實(shí)施了一個(gè)稱為 DESHALL的搜索行動(dòng)，成千上萬的志愿者加入到計(jì)劃中，在計(jì)劃實(shí)施的第 96天，即挑戰(zhàn)賽計(jì)劃公布的第 140天， 1997年 6月 17日晚上 10點(diǎn) 39分，美國鹽湖城 Iz公司的職員 Michael Sanders成功地找到了密鑰，在計(jì)算機(jī)上顯示了明文： “ The unknown message is: Strong cryptography makes the world a safer place”。 ? 1998年 7月電子前沿基金會(huì)（ EFF）使用一臺(tái)25萬美圓的電腦在 56小時(shí)內(nèi)破譯了 56比特密鑰的 DES。 ? 1999年 1月 RSA數(shù)據(jù)安全會(huì)議期間，電子前沿基金會(huì)用 22小時(shí) 15分鐘就宣告破解了一個(gè) DES的密鑰。 ? 盡管 DES有這樣那樣的不足，但是作為第一個(gè)公開密碼算法的密碼體制成功地完成了它的使命，它在密碼學(xué)發(fā)展歷史上具有重要的地位。 二重 DES 用 DES進(jìn)行兩次加密，但這是否就意味著兩重DES加密的強(qiáng)度等價(jià)于 112 bit密鑰的密碼的強(qiáng)度？答案是否定的。 中途相遇攻擊法 (MeetintheMiddle Attack) 由 Diffie和 Hellman[1977]最早提出，可以降低搜索量其基本想法如下。若有明文密文對(duì) (xi,yi)滿足 yi=Ek2[Ek1[xi]] 則可得 z=Ek1[xi]=Dk2[yi] 二重 DES 圖 4141 中途相遇攻擊示意圖 z E E D D xi yi xi z yi k1 k1 k2 k2 中途相遇攻擊 給定一已知明密文對(duì) (x1,y1)， 可按下述方法攻擊 。 ? 以密鑰 k1的所有 256個(gè)可能的取值對(duì)此明文 x1加密 ， 并將密文 z存儲(chǔ)在一個(gè)表中； ? 從所有可能的 256個(gè)密鑰 k2中依任意次序選出一個(gè)對(duì)給定的密文 y1解密 ， 并將每次解密結(jié)果 z 在上述表中查找相匹配的值 。 一旦找到 ， 則可確定出兩個(gè)密鑰 k1和k2； ? 以此對(duì)密鑰 k1和 k2對(duì)另一已知明文密文對(duì) (x2, y2)中的明文 x2進(jìn)行加密 ， 如果能得出相應(yīng)的密文 y2就可確定 k1和k2是所要找的密鑰 。 中途相遇攻擊 ? 對(duì)于給定明文 x， 以兩重 DES加密將有 264個(gè)可能的密文 。 ? 可能的密鑰數(shù)為 2112個(gè) 。 所以 ， 在給定明文下 ， 將有2112/264 =248個(gè)密鑰能產(chǎn)生給定的密文 。 ? 用另一對(duì) 64bits明文密文對(duì)進(jìn)行檢驗(yàn) ， 就使虛報(bào)率降為24864=216。 ? 這一攻擊法所需的存儲(chǔ)量為 256 8 Byte， 最大試驗(yàn)的加密次數(shù) 2 256 =257。 這說明破譯雙重 DES的難度為 257量級(jí) 。 三重 DES加密 加密： y=Ek1[Dk2[Ek1 [x]]] 解密： x=Dk1[Ek2[Dk1[y]]] ? 稱其為加密 解密 加密方案 ， 簡記為 EDE(encryptdecryptencrypt)。 ? 此方案已在 ANSI ISO 8732標(biāo)準(zhǔn)中采用 ， 并在保密增強(qiáng)郵遞 (PEM)系統(tǒng)中得到利用 。 ? 破譯它的窮舉密鑰搜索量為 2112?5 1035量級(jí) ， 而用差分分析破譯也要超過 1052量級(jí) 。 此方案仍有足夠的安全性 。 高級(jí)加密標(biāo)準(zhǔn) AES AES提出 ? 1997年 1月 ， 美國 NIST向全世界密碼學(xué)界發(fā)出征集 21世紀(jì)高級(jí)加密標(biāo)準(zhǔn) （ AES—— Advanced Encryption Standard） 算法的公告 ， 并成立了 AES標(biāo)準(zhǔn)工作研究室 ，1997年 4月 15日的例會(huì)制定了對(duì) AES的評(píng)估標(biāo)準(zhǔn) 。 ? AES的要求 （ 1） AES是公開的； （ 2） AES為單鑰體制分組密碼； （ 3） AES的密鑰長度可變 ， 可按需要增大； （ 4） AES適于用軟件和硬件實(shí)現(xiàn)； （ 5） AES可以自由地使用 ， 或按符合美國國家標(biāo)準(zhǔn) （ ANST） 策略的條件使用； 算法衡量條件 ? 滿足以上要求的 AES算法，需按下述條件判斷優(yōu)劣 ? a. 安全性 ? b. 計(jì)算 效率 ? c. 內(nèi) 存要求 ? d. 使用 簡便性 ? e. 靈活性。 AES的評(píng)審 ? 1998年 4月 15日全面征集 AES算法的工作結(jié)束 。 1998年 8月 20日舉行了首屆 AES討論會(huì) ， 對(duì)涉及 14個(gè)國家的密碼學(xué)家所提出的候選 AES算法進(jìn)行了評(píng)估和測試 ， 初選并公布了 15個(gè)被選方案 ， 供大家公開討論 。 CAST256， RC6， CRYPTON128， DEAL128， FROG， DFC， LOKI97， MAGENTA， MARS， HPC, RIJNDAEL， SAFER+， SERPENT， E2， TWOFISH。 ? 這些算法設(shè)計(jì)思想新穎 ， 技術(shù)水平先進(jìn) ， 算法的強(qiáng)度都超過 3DES， 實(shí)現(xiàn)速度快于 3DES。 AES的評(píng)審 ? 1999年 8月 9日 NIST宣布第二輪篩選出的 5個(gè)候選算法為： MARS( ,IBM） ， RC6TM（ R. Rivest等 ,RSA Lab.)， RIJNDEAL(J. Daemen,比 )， SERPENT(R. Anderson等， 英、以、挪威 )， TWOFISH(B. Schiener)。 ? 2022年 10月 2日， NIST宣布 Rijndael作為新的AES AES算法設(shè)計(jì)思想 ? 抵抗所有已知的攻擊； ? 在多個(gè)平臺(tái)上速度快，編碼緊湊； ? 設(shè)計(jì)簡單。 ? Rijndael沒有采用 Feistel結(jié)構(gòu)，輪函數(shù)由3個(gè)不同的可逆均勻變換構(gòu)成的，稱為 3個(gè)層 ? 均勻變換是指狀態(tài)的每個(gè) bit都用類似的方法處理 輪函數(shù)的 3層 ? 線性混合層 ? 確保多輪之上的高度擴(kuò)散； ? 非線性層 ? 將具有最優(yōu)的 “ 最壞情況非線性特性 ” 的 S盒并行使用； ? 密鑰加層 ? 單輪子密鑰簡單的異或到中間狀態(tài)上，實(shí)現(xiàn)一次性掩蓋。 算法說明 ? 分組和密