【正文】 的算術(shù)和邏輯運(yùn)算，易于實(shí)現(xiàn)。 DES加密算法框圖 DES中的子密鑰的生成 循環(huán)移位 壓縮置換 初始置換 IP和初始逆置換 IP1 IP和 IP1 直接置換 DES的一輪迭代 Li1（ 32比特） Ri1（ 32比特） Li（ 32比特） 48比特寄存器 選擇擴(kuò)展運(yùn)算 E 48比特寄存器 子密鑰 Ki （ 48比特） 32比特寄存器 選擇壓縮運(yùn)算 S 置換運(yùn)算 P Ri（ 32比特） Li=Ri1 擴(kuò)展置換Ｅ 盒－ 32位擴(kuò)展到 48位 加密函數(shù) f(Ri1,Ki) 壓縮替代 S盒－ 48位壓縮到 32位 共 8個(gè) S盒 S盒的規(guī)則 S盒 1 S盒 2 S盒 3 S盒 4 S盒 5 S盒 6 S盒 7 S盒 8 S盒的輸入和輸出 S盒是 DES的最敏感部分， 除此之外的計(jì)算 都 是線性的。S盒作為該密碼體制的非線性組件對安全性至關(guān)重要。其原理至今未公開。美國國家安全局透露了 S盒的幾條設(shè)計(jì)準(zhǔn)則：每行是 0~15的一個(gè)排列 ,是列輸入的非線性函數(shù)。 1 .所有的 S盒都不是它輸入的線性仿射函數(shù)。就是沒有一個(gè)線性方程能將四個(gè)輸出比特表示成六個(gè)比特輸入的函數(shù)。 2 .改變 S盒的 1位輸入，輸出至少改變 2位。這意味著S盒是經(jīng)過精心設(shè)計(jì)的，它最大程度上增大了擴(kuò)散量。 3 .S盒的任意一位輸入保持不變時(shí)， 0 和 1個(gè)數(shù)之差極小。即如果保持一位不變而改變其它五位，那么其輸出 0和 1的個(gè)數(shù)不應(yīng)相差太多。 置換 p盒的構(gòu)造 DES性能 1） DES雪崩效應(yīng)：明文或密鑰的微小變化引起密文的較大變化 .若變化太小 ,會(huì)導(dǎo)致減小待搜索明文和密鑰空間的大小。 明文變化 密鑰變化 循環(huán) 不同比特個(gè)數(shù) 循環(huán) 不同比特個(gè)數(shù) 0 1 0 0 1 6 1 2 2 21 2 14 3 35 3 28 … … … … 16 34 16 25 2)對稱性： 3)存在弱密鑰 (4個(gè) )和半弱密鑰 (12個(gè) ) ? 弱密鑰： ? 半弱密鑰： 4)運(yùn)算效率 : ? 硬件 :數(shù)字設(shè)備公司 DEC開發(fā) DES芯片 ,加解密速度高達(dá) 1GB/s,相當(dāng)于 1560萬組每秒 . ? 軟件 :在 IBM3090大型機(jī)可達(dá)到 ( ) , ( )k kE m c E m c??( ( ))kkE E m m? ?( ( ))kkE E m m?DES算法的安全性分析 1)窮舉攻擊 ? 1997年開始， RSA公司發(fā)起了一個(gè)稱作 “ 向DES挑戰(zhàn) ” 的競技賽。 1997年 1月，用了 96天時(shí)間，成功地破解了用 DES加密的一段信息；一年之后，在第二屆賽事上，這一記錄 41天 ； ?1998年 7月， “ 第 22屆 DES挑戰(zhàn)賽（ DES Challenge II2） ” 把破解 DES的時(shí)間縮短到了只需 56個(gè)小時(shí)； ? “ 第三屆 DES挑戰(zhàn)賽（ DES Challenge III） ”把破解 DES的時(shí)間縮短到了只需 。 這意味著隨著計(jì)算能力的增長，必須相應(yīng)地增加密鑰的長度。 2）差分分析 (1990,Biham和 Shamir以色列 ) ? 選擇明文攻擊 ,通過 分析特定明文對的差值對密文對差值的影響來獲得可能性最大的密鑰 , ? 嘗試 247次明文密文對 ,在分析過程中經(jīng)過 237次DES運(yùn)算。 ? 可 用于評估算法安全性。（對破譯 17/18輪的DES所需時(shí)間與窮舉搜索大致相等，但對 8輪 DES只需幾分鐘） 3）線性分析 (1993,Mitsuru Matsui日本 ) ?已知明文攻擊 ,通過選擇充分多的明文 —— 密文對，尋找一個(gè)明文密文密鑰之間近似的線性表達(dá)式來破解密鑰 , ?嘗試 243次明文密文對。 ?對 DES更有效。 1）二重 DES （二個(gè)密鑰，有效長度 12816=112位） 加密： C=Ek2[Ek1(M)] 解密： M=Dk1[Dk2(C)] ?對 264個(gè)輸入分組，總映射個(gè)數(shù)為 ,另一方面，對每個(gè)不同的密鑰， DES都定義了一個(gè)映射，總映射數(shù)為 2561017。 ?因此，可假定用兩個(gè)不同的密鑰兩次使用 DES，可得一個(gè)新映射，而且這一新映射不出現(xiàn)在單重DES定義的映射中。這一假定已于 1992年被證明。 DES的發(fā)展 ? ? ? ?206 4 1 02 ! 1 0?即二重 DES產(chǎn)生的映射不會(huì)等價(jià)于單重 DES加密。 ? 但二重 DES存在稱為中途相遇攻擊的攻擊方案，這種攻擊不依賴于 DES的任何特性，可用于攻擊任何分組密碼。 ? 如果有 ,那么 ? 若已知一個(gè)明文密文對 (P,C)，首先，用 256個(gè)所有可能的 K1對 P加密，將加密結(jié)果存入一表，然后用256個(gè)所有可能的 K2對 C解密，在上述表中查找與 C解密結(jié)果相匹配的項(xiàng)，如果找到，則記下相應(yīng)的 K1和K2。最后再用一新的明文密文對 (P′,C′) 檢驗(yàn)上面找到的 K1和 K2，用 K1和 K2對 P′ 兩次加密，若結(jié)果等于 C′ ，就可確定 K1和 K2是所要找的密鑰。 21[ [ ] ]KKC E E P? 12[ ] [ ]KKX E P D C??對已知的明文 P，二重 DES能產(chǎn)生 264個(gè)可能的密文 ,而可能的密鑰個(gè)數(shù)為 2112，所以平均來說，對一個(gè)已知的明文，有 2112/264=248個(gè)密鑰可產(chǎn)生已知的密文。 而再經(jīng)過另外一對明文密文的檢驗(yàn)，誤報(bào)率將下降到 24864=216。 所以在實(shí)施中途相遇攻擊時(shí)，如果已知兩個(gè)明文密文對，則找到正確密鑰的概率為 1216。 抵抗中途相遇攻擊的一種方法是使用 3個(gè)不同的密鑰做 3次加密，從而可使已知明文攻擊的代價(jià)增加到 2112。然而，這樣又會(huì)使密鑰長度增加到56 3=168比特，因而過于笨重。 2） 三重 DES（二個(gè)密鑰 ,密鑰長度為 128比特 ） ? 實(shí)現(xiàn)方式為加密 \解密 \加密，簡記為EDE( encrypt decrypt encrypt)，即： 中間環(huán)節(jié)采用解密形式的目的是可利用三重 DES模式實(shí)現(xiàn)對單重 DES的加解密。 此方案已在密鑰管理標(biāo)準(zhǔn) ANS ISO 8732中被采用。 其它對稱分組加密算法 ? 高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn) AES：由美國國家標(biāo)準(zhǔn)和技術(shù)研究所（ NIST） 征集制定 ,選擇由比利時(shí)的 Joan Daemen和 Vincent Rijmen設(shè) 計(jì) Rijndael算法。數(shù)據(jù)塊為 128位，密鑰可為 12 19 256 位。加密的輪數(shù)隨密鑰長而不同。 ? 國際數(shù)據(jù)加密算法 IDEA：由 Xuejia Lai（賴學(xué)嘉）和 James Massey開發(fā)，數(shù)據(jù)塊 64位，密鑰 128位，用于 PGP。 ? 河豚加密法 Blowfish：由 Bruce Schneier開發(fā)。數(shù)據(jù)塊 64 位，密鑰 32~448間。 ? CAST128加密法：由 Carlisle Adama和 Stafford Tavares開 發(fā)。密鑰 128位。 ? RC5：由 Ron Rivest開發(fā)。具有不同的數(shù)據(jù)塊長、密鑰長和輪數(shù)的加密算法。 分組密碼運(yùn)行模式 1)電碼本 ECB（ Electronics Code Book）模式： 適用于傳送短數(shù)據(jù) （如加密密鑰） 各明文組獨(dú)立地以同一密鑰加密。 最后一組長度不足時(shí)，“采用密文挪用” mn1 c mn 1 c 需要初始向量 V1； Cn=Ek[Cn1⊕ Pn]； Pn = [Cn1⊕ DkCn] 傳送數(shù)據(jù)分組最普遍的方式 ,還可用于消息認(rèn)證。 2)密碼分組鏈接 CBC（ Cipher Block Chaining）模式： 將 DES轉(zhuǎn)換為流密碼 。 Kn=E k(C n1), Cn=Pn ⊕K n 3)密碼反饋 CFB（ Cipher Feedback）模式： 傳送數(shù)據(jù)分組 ,也可用于消息認(rèn)證。 長度一般可取 1,8,16等 需要一個(gè)初始向量（ IV） ,用分組密碼產(chǎn)生一個(gè)隨機(jī)密鑰流，將此密鑰流和明文流進(jìn)行異或可得密文流。 Kn=Ek[Kn1], Cn=Kn⊕ Pn； 4)輸出反饋 OFB（ Output Feedback）模式： 明文的改變只影響相應(yīng)的密文的改變 ,用于加密衛(wèi)星通信 . 對稱密碼算法的優(yōu)缺點(diǎn) 缺點(diǎn)： 優(yōu)點(diǎn)： ? 效率高，算法簡單，系統(tǒng)開銷小 ? 適合加密大量數(shù)據(jù) ? 需要以安全方式進(jìn)行密鑰交換 ? 密鑰管理復(fù)雜 ? 無法提供抗抵賴服務(wù)