【正文】 加密算法的方法。DES加密流程圖L1 = R0R1 = L0 197。f (R0 ,K1) fK1 明文x=x1 x2… xi… x63 x64 初始置換PI L0R0L2 = R1R2 = L1 197。f (R1 ,K2) fK2 Li = Ri1Ri = Li1 197。f (Ri1 ,Ki) fKi L16 = R15R16 = L15 197。f (R15 ,K16) fK16 末置換IP—1密文y=y1 y2… yi… y63 y64（二）、DES解密過(guò)程數(shù)據(jù)加密算法（Data Encryption Algorithm，DEA）的數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）是規(guī)范的描述，它出自 IBM 的研究工作，并在 1997 年被美國(guó)政府正式采納。它很可能是使用最廣泛的秘鑰系統(tǒng)，特別是在保護(hù)金融數(shù)據(jù)的安全中，最初開(kāi)發(fā)的 DES 是嵌入硬 件中的。通常，自動(dòng)取款機(jī)（Automated Teller Machine，ATM）都使用 DES。 DES 使用一個(gè) 56 位的密鑰以及附加的 8 位奇偶校驗(yàn)位，產(chǎn)生最大 64 位的分組大小。這是一個(gè)迭代的分組密碼，使用稱為 Feistel 的技術(shù)，其中將加密的文本塊分成兩半。使用子密鑰對(duì)其中一半應(yīng)用循環(huán)功能，然后將輸出與另一半進(jìn)行“異或”運(yùn)算；接著交換這兩半，這一過(guò)程會(huì)繼續(xù)下去，但最后一個(gè)循環(huán)不交換。DES 使用 16 個(gè)循環(huán)。 攻擊 DES 的主要形式被稱為蠻力的或徹底密鑰搜索，即重復(fù)嘗試各種密鑰直到有一個(gè)符合為止。如果 DES 使用 56 位的密鑰，則可能的密鑰數(shù)量是 2 的 56 次方個(gè)。隨著計(jì)算機(jī)系統(tǒng)能力的不斷發(fā)展，DES 的安全性比它剛出現(xiàn)時(shí)會(huì)弱得多，然而從非關(guān)鍵性質(zhì)的實(shí)際出發(fā)，仍可以認(rèn)為它是足夠的。不過(guò) ，DES 現(xiàn)在僅用于舊系統(tǒng)的鑒定，而更多地選擇新的加密標(biāo)準(zhǔn) — 高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）。 DES 的常見(jiàn)變體是三重 DES，使用 168 位的密鑰對(duì)資料進(jìn)行三次加密的一種機(jī)制；它通常（但非始終）提供極其強(qiáng)大的安全性。如果三個(gè) 56 位的子元素都相同，則三重 DES 向后兼容 DES。 IBM 曾對(duì) DES 擁有幾年的專利權(quán)，但是在 1983 年已到期，并且處于公有范圍中，允許在特定條件下可以免除專利使用費(fèi)而使用。DES加密算法的解密思路解密運(yùn)算與加密運(yùn)算一樣，只是所取子密鑰的順序不同. 加密時(shí)候的順序是K1 →K2 →Ki→K16，解密時(shí)的順序則為K16 →K15 →Ki→ K1.fK16 R14 = L15L14 = R15 197。f (L15 ,K15) R15 = L16L15 = R16 197。f (L16 ,K16) fK15 Ri = Li+1Li = Ri+1 197。f (Li+1 ,Ki+1) fKi+1 R16 密文y=y1 y2… yi… y63 y64L16明文x=x1 x2… xi… x63 x64 R0= L1 L0 = R1 197。f (L1 ,K1) fK1 R0 L0 DES解密流程圖四、DES 加密算法的討論（一）、DES的工作模式：DES的工作模式有四種，即：電子密碼本模式（electronic codebook mode簡(jiǎn)稱ECB）,密碼分組鏈接模式（cipher block chaining mode簡(jiǎn)稱CBC）,密碼反饋模式（cipher feedback mode簡(jiǎn)稱CFB）以及輸出反饋模式（output feedback mode簡(jiǎn)稱OFB）.ECB模式y(tǒng)i=DESk(xi)。 1163。i163。n明文x輸入分組DES加密輸出分組密鑰K密文yECB加密電子密本工作方式的特點(diǎn)：（1）密鑰相同的情況下，輸入的明文分組相同，加密出來(lái)的密文分組也相同。明文x輸入分組DES加密輸出分組密鑰K密文yECB解密（2）一個(gè)密文分組只與相應(yīng)的明文分組和密鑰K有關(guān)而與同一文本中的其它分組無(wú)關(guān)。（3）果密文分組的邊界發(fā)生了錯(cuò)誤，就會(huì)引起收、發(fā)雙方失步，使分組紊亂，這時(shí)解密出來(lái)的明文分組都是錯(cuò)誤的。CBC模式y(tǒng)i=DESk(xi 197。 yi1)。 1163。i163。nX1DESk1ykX2 DESk1y2XiDESk1yiXn1DESk1yn1XnDESk1ynIV=y0X1DESky1X2DESky2XiDESkyiXn1DESkyn1XnDESkynIV=y0CBC加密CBC解密密文分組鏈接方式的特點(diǎn)；（1）第一個(gè)密文分組C1 不但是密鑰K和明文P1的函數(shù)，而且還是初始化向量VI的函數(shù)；其它密文分組Ci (I=1,2,3,┅,n)不但是密鑰K和明文Pi的函數(shù)，而且還是密文分組Ci1的函數(shù),而密文分組Ci1 又是K，Pi1和Ci1函數(shù)，類推可知，任何一個(gè)密文Ci都是P1， P2， P3，┅，Pi的函數(shù)。（2）解密后的第一個(gè)明文分組與初始化向量VI有關(guān)，如果收、發(fā)雙方的初始化向量VI不一致，第一個(gè)明文分組將不正確。（3）具有有限的錯(cuò)誤擴(kuò)散性。如第i 個(gè)密文分組Ci上發(fā)生錯(cuò)誤，那么錯(cuò)誤將會(huì)引起解密后的第i個(gè)和第i+1明文分組上的誤碼，但是第i+2以及其后的各密文分組的解密將不受Ci錯(cuò)誤的影響。（4）如果密文分組的邊界發(fā)生失步，則其后的解密將是不正確的。只有在收、發(fā)雙方重新同步后，才能正確解密。OFB模式zi= DESk (xi 197。 zi1)。 1163。i163。n輸入分組（64J）┊J比特DES加密輸出分組選取J┊舍去 （64J）比特明文x(J比特)密文y(J比特)初始化向量VI密鑰K反饋 J比特左移J位OFB加密Cyi= xi 197。 zi。 1163。i163。n輸出反饋方式的特點(diǎn)：輸入分組（64J）┊J比特DES加密輸出分組選取J┊舍去 （64J）比特明文(J比特)密文(J比特)初始化向量VI反饋 J比特OFB解密C密鑰K（1）DES只是用來(lái)產(chǎn)生密鑰分組序列，不論在加密端還是解密端，DES所處的工作狀態(tài)都相同，所以加密和解密所用的子密鑰的順序應(yīng)該相同，而不是相反。（2）密文在傳輸和存儲(chǔ)的過(guò)程中發(fā)生的任何錯(cuò)誤，在解密后都只影響本分組解密后的明文，而不會(huì)影響其它分組，而且錯(cuò)誤的位置不發(fā)生變化，因此他不存在錯(cuò)誤擴(kuò)散特性。（3）如果DES的輸出發(fā)生錯(cuò)誤?；蛘呤瞻l(fā)雙方失步，則解密后將面目全非。只有當(dāng)重新初始化后，才能建立同步，恢復(fù)正常工作。（4）對(duì)明文加密用的隨機(jī)比特序列，即密鑰序列只依賴初始話向量VI和密鑰K ，與被加密的信息無(wú)關(guān)。所以在某種I和K的使用期限內(nèi)，每次加密所用的隨機(jī)比特序列都相同，這是他的弱點(diǎn)。CFB模式zi=DESk(yi1)。 1163。i163。nyi= xi 197。 zi。 1163。i163。nCFB加密輸入分組（64J）┊J比特DES加密輸出分組選取J┊舍去 （64J）比特明文(J比特)密文(J比特)初始化向量VI密鑰K反饋 J比特左移J位密文反饋方式的特點(diǎn)：明文(J比特)CFB解密輸入分組（64J）┊J比特DES加密輸出分組選取J┊舍去 （64J）比特密文(J比特)初始化向量VI密鑰K反饋 J比特左移J位DES k21 （1）在密文反饋方式中，由于反饋序列取自輸出密文序列它不僅與密鑰K和初始化向量有關(guān)，還和明文分組有關(guān)。（2）這種工作方式具有顯著的錯(cuò)誤擴(kuò)散特性。（3）這種工作方式一般沒(méi)有自同步功能，一旦收發(fā)雙方失步，必須重新同步后才能恢復(fù)正確解密。（4）在密文反饋方式中，明文分組的大小J可以根據(jù)需要加以選擇。如果選擇J =8，則是按字節(jié)對(duì)明文進(jìn)行加密；。如果選擇J=16，則是按雙字節(jié)或字對(duì)明文進(jìn)行加密；。如果選擇J=1，則是逐比特對(duì)明文進(jìn)行加密。由于可以是逐比特進(jìn)行加密，就不存在同步問(wèn)題，因此密文反饋方式特別適合于異步。以上四種模式各有不同不足。在ECB模式和OFB模式中改變一個(gè)明文塊Mi 將引起相應(yīng)的密文塊Ci的改變而且其它密文塊不變。所以O(shè)FB模塊通常用來(lái)加密衛(wèi)星傳輸。在CBC模式和CFB模式中改變一個(gè)明文塊Mi那么密文塊Ci以及Ci之后的密文塊將會(huì)改變。這意味著CBC模式和CFB模式適用于鑒別的目的。更明確的講，CBC模式和CFB模式能夠用來(lái)產(chǎn)生信息鑒別碼（MAC）。雙重DES雙重DES的密鑰長(zhǎng)度為56*2=112。有人說(shuō)雙重DES等價(jià)于使用一個(gè)56位密鑰的單重DES。沒(méi)有任何實(shí)際的價(jià)值，不但沒(méi)有提高安全性能，反而增加了計(jì)算量。但實(shí)踐證明雙重DES并不等價(jià)于使用一個(gè)56位密鑰的單重DES，但是密鑰計(jì)算量的大大增加，使得一種被稱為中途相遇攻擊（meetinthemiddle attack）的破譯方法對(duì)它構(gòu)成威脅。DES k2 –1DES k11yx雙重DES解密過(guò)程DES k1DES k2xy雙重DES加密過(guò)程設(shè)k1 和k2 是兩個(gè)長(zhǎng)度為56的密鑰，給定的明文為x,則密文y為：y=DES k2 (DES k1 (x)) .給定的密文y,則明文x為:x=DES k11 (DES k2 –1 (y)) .三重DES三重DES有三個(gè)顯著的優(yōu)點(diǎn)：首先，三重DES可以采用三個(gè)密鑰或者兩個(gè)密鑰，完全能夠抵御窮舉攻擊。其次，三重DES 的底層加密算法和DES 相同，因此相當(dāng)安全。再者，許多現(xiàn)有的DES軟硬件產(chǎn)品都能方便的實(shí)現(xiàn)三重DES，因此使用方便。DES k3 –1DES k11yx三重DES解密過(guò)程DES k2 DES k1DES k3xy三重DES加密過(guò)程設(shè)k1 ， k2 ，k3 是三個(gè)長(zhǎng)度為56的密鑰，給定的明文為x,則密文y為：y= DES k3 (DES k2 –1 (DES k1 (x))) .給定的密文y,則明文x為:x=DES k11 (DES k2 (DES k3 –1 (y))).（二）、DES加密算法的安全性通過(guò)對(duì)DES 加、解密過(guò)程分析,從技術(shù)上講,DES 存在的缺陷主要集中在三個(gè)方面:(1)、密鑰較短作為分組密碼,DES 的加密單位僅有64 位二進(jìn)制,這對(duì)于數(shù)據(jù)傳輸來(lái)說(shuō)太小,因?yàn)槊總€(gè)區(qū)組僅含8 個(gè)字符,而且其中某些位還要用于奇偶校驗(yàn)或其他通訊開(kāi)銷。密鑰僅有56 位二進(jìn)制未免太短,各次迭代中使用的密鑰K(i) 是遞推產(chǎn)生的,這種相關(guān)性必然降低了密碼體制的安全性。如果密鑰的長(zhǎng)度再長(zhǎng)一些，顯然會(huì)更加安全。因此,有人認(rèn)為:在現(xiàn)有的技術(shù)條件下用窮舉搜索法來(lái)尋找正確密鑰已趨于可行,因此,若要安全保護(hù)10 年以上的數(shù)據(jù)最好不用DES 算法。（2）、DES 存在一些弱密鑰和半弱密鑰。由它們所產(chǎn)生的16 個(gè)子密鑰是有相重的。弱密鑰和半弱密鑰的存在無(wú)疑是DES的一個(gè)不足。（3）、存在互補(bǔ)對(duì)稱性。設(shè)C ＝ D E S （M ，K ），則C 39。 ＝ D E S （M 39。，K 39。