【文章內(nèi)容簡介】 用于通信雙方安全地協(xié)商一個會話密鑰 3. 基于離散對數(shù)計算的困難性，主要是模冪運算： a p mod n 小結(jié) ?古典密碼 ?近代密碼 ?現(xiàn)代密碼 ?密碼學(xué)基本概念 ?密碼體制分類 ?密鑰管理 ?密碼協(xié)議 44 對稱密碼算法 ?理解 對稱分組加密算法的優(yōu)缺點和應(yīng)用場合 ?理解 DES、 3DES、 AES、 IDEA的特點和歷史背景 ?了解 DES、 3DES算法的工作原理 45 對稱分組加密通信模型 加密目的 ：Alice和 Bob在不安全的信道上進行通信，而破譯者 Oscar不能理解他們通信的內(nèi)容。 46 Alice 加密機 解密機 Bob 安全信道 密鑰源 Oscar 明文 x 密文 y 密鑰 k 明文 x 密鑰 k ?典型算法 ? DES、 3DES、 AES、 IDEA ? RC Twofish、 CAST25 MARS 數(shù)據(jù)加密標(biāo)準(zhǔn)（ DES） ?DES是一種對稱密鑰算法，密鑰長度為 56bits（加上奇偶校驗，通常寫成 64bits）。 ?分組加密算法， 64 bits為一個分組。 ?基本思想： ? 混亂 （ Confusion） ? 擴散 （ Diffusion） ?使用標(biāo)準(zhǔn)的算術(shù)運算和邏輯運算。 47 擴散 ?擴散（ Diffusion） ：將每一位明文數(shù)字的影響盡可能地散布到多個輸出密文數(shù)字中去，以更隱蔽明文數(shù)字的統(tǒng)計特性。 ?混亂（ Confusion） ：使得密文的統(tǒng)計特性與明文、密鑰之間的關(guān)系盡量復(fù)雜化。 Shannon稱：在理想密碼系統(tǒng)中，密文的所有統(tǒng)計特性都與所使用的密鑰獨立。 48 DES征集 ?1973年 5月 15日， NBS開始公開征集標(biāo)準(zhǔn)加密算法，并公布了它的設(shè)計要求 : ? (1) 算法必須提供高度的安全性 ? (2) 算法必須有詳細的說明，并易于理解 ? (3) 算法的安全性取決于密鑰，不依賴于算法 ? (4) 算法適用于所有用戶 ? (5) 算法適用于不同應(yīng)用場合 ? (6) 算法必須高效、經(jīng)濟 ? (7) 算法必須能被證實有效 ? (8) 算法必須是可出口的 49 DES的產(chǎn)生和應(yīng)用 ?1974年 8月， NBS第二次征集， IBM提交 LUCIFER算法 ? 發(fā)明人 ： IBM公司 W. Tuchman 和 C. Meyer，（ 19711972） ? 基 礎(chǔ) ： 1967年美國 Horst Feistel提出的理論 ?1976年 11月，采納為聯(lián)邦標(biāo)準(zhǔn) ?批準(zhǔn)用于 非軍事場合的各種政府機構(gòu) 。 ?1977年 1月 15日，“數(shù)據(jù)加密標(biāo)準(zhǔn)” FIPS PUB 46發(fā)布。 ?1979年，美國銀行協(xié)會批準(zhǔn)使用 DES。 ?1980年 ， ANSI同意 DES作為 私人 使用的標(biāo)準(zhǔn)，稱之為 DEA（ ANSI ） ?1983年 ， ISO同意 將 DES作為國際標(biāo)準(zhǔn)，稱之為 DEA1 ?1998年 12月以后，美國政府不再將 DES作為聯(lián)邦加密標(biāo)準(zhǔn) 50 DES 加密過程 首先把明文分成以 64 bit為單位的塊 m，對于每個 m, 執(zhí)行如下操作 DES(m)=IP1 ? T16 ? T15 ?..... T2 ? T1 ? IP(m) ? IP， IP1 ：初始置換 ? 16輪迭代 ? 子密鑰生成 51 DES算法流程 52 輸入 64比特明文數(shù)據(jù) 初始置換 IP 在密鑰控制下 16輪迭代 初始逆置換 IP1 輸出 64比特密文數(shù)據(jù) 交換左右 32比特 明文 IP L0 R0 f R1＝ L0 f L1＝ R0 K1 f R2＝ L1 f L2＝ R1 K2 f R16＝ L15 f L16＝ R15 K16 IP－ 1 密文 L15 R15 Initial Permutation DES解密過程 DES解密過程與加密過程完全相似，只不過將 16次迭代的子密鑰順序倒過來，即 m = DES1(c) = IP1 ? T1?T2?.....T15 ? T16 ? IP(c) 可以證明， DES1 (DES (m) )=m 53 DES的強度 ?密鑰長度 = 56比特 ?強力攻擊 = 嘗試 次 ?差分密碼分析 = 嘗試 次 ?線性密碼分析 = 嘗試 次 （但是后兩種攻擊是不實用的） 54 ?1976年，耗資 2022萬美元的計算機，可以在一天中找到密鑰。 ?1993年，設(shè)計 100萬美元的計算機， 鑰。 ?1998年， EFF宣布破譯了 DES算法，耗時不到三天時間，使用的是 25萬美元的“ DES破譯機 ”。 三重 DES（ 3DES ） 三重 DES加密，密鑰長度為 168比特 , k=k1k2k3 55 DES DES1 DES m c k1 k2 k1 DES1 DES DES1 m c k1 k2 k1 雙密鑰三重 DES加密，密鑰長度為 112比特 , k=k1k2 DES DES1 DES m c k1 k2 k3 DES1 DES DES1 m c k3 k2 k1 國際數(shù)據(jù)加密算法（ IDEA） ?IDEA國際數(shù)據(jù)加密算法 ?International Data Encryption Algorithm ? 1990年， Xuejia Lai 和 James Massey ?第一版， PES（ Proposed Encryption Standard） ?為對抗差分攻擊，修改算法增加強度，稱為 IPES。 ?1992年改名 IDEA。 ?“依我看來，該算法是目前已公開的最好和最安全的分組密碼算法” ——《 應(yīng)用密碼學(xué) 》 ， p226。 ?PGP中集成了 IDEA算法。 56 IDEA算法 ?IDEA算法用了三種數(shù)學(xué)運算： ? 模 216異或算法，常用 表示； ? 模 216加法，表示為 X+Y=Z mod(216)；常用 表示； ? 模 216+1 乘法，表示為 X*Y=Z mod(216＋ 1)；常用 表示； ?IDEA 分組長度 64比特 ，分 4組，每組長度為 16比特，表示為： X X X3和 X4 ?密鑰長度 128比特 ?同一算法既可以加密，也可用于解密。 ?軟件實現(xiàn) IDEA比 DES快兩倍 ?現(xiàn)在還沒有資料證明它有什么弱點。 57 高級數(shù)據(jù)加密標(biāo)準(zhǔn)（ AES） ?1997年 4月 15日， NIST征集高級加密標(biāo)準(zhǔn)（ Advanced Encryption Standard， AES）算法 ?目的是確定一個非保密的、可以公開技術(shù)細節(jié)的、全球免費使用的分組密碼算法 ?對 AES的基本要求是 ?比三重 DES快、至少與三重 DES一樣安全 ?數(shù)據(jù)分組長度 128比特、密鑰長度 128/192/256比特 ?1998年 8月 12日，指定了 15個候選算法。 ?1999年 3月 22日（第二次 AES會議），候選名單減少為 5個（ RC6， Rijndael， SERPENT， Twofish和 MARS） 58 AES ?2022年 10月 2日， NIST宣布獲勝者 —Rijndael算法。 ?2022年 11月， NIST將 AES定為聯(lián)邦信息處理標(biāo)準(zhǔn)FIPS PUB197。用于保護政府部門敏感但不機密的信息（ sensitive but not classified） ? 2022年 5月正式生效。 ?NIST對 AES的評判標(biāo)準(zhǔn) ?安全性因素，包括：抗攻擊能力、數(shù)學(xué)基礎(chǔ)和分析、與其他算法安全性比較 ?成本因素，包括運行速度、存儲空間、知識產(chǎn)權(quán) 59 AES特點 數(shù)據(jù)分組長度 128bits； 密鑰長度 128/192/256 bits； 加密過程是在一個 4 4的字節(jié)矩陣（ state）上實施 能有效 抵抗目前已知的攻擊算法 ? 線性 攻擊、差分攻擊 60 對稱密碼算法的優(yōu)缺點 ? 優(yōu)點： ? 效率高，算法簡單，系統(tǒng)開銷小 ? 適合加密大量數(shù)據(jù)