【正文】 78 圖 DES的輸入密碼 2021/11/10 Ch3(1)對稱加密技術 79 2021/11/10 Ch3(1)對稱加密技術 80 ? 56位密鑰首先經過置換選擇 1(如圖 )將其位置打亂重排 ? 將前 28位作為 C0(如圖 )，后28位 D0(如圖 ) 2021/11/10 Ch3(1)對稱加密技術 81 ? 接下來經過 16輪，產生 16個子密鑰 ? 每一輪迭代中 , Ci1和 Di1循環(huán)左移 1位或者 2位，如圖 ? Ci1和 Di1循環(huán)左移后變?yōu)?Ci和 Di，將 Ci和 Di合在一起的 56位，經過置換選擇 2(如圖 所示 )，從中挑出 48位作為這一輪的子密鑰 ? 再將 Ci和 Di循環(huán)左移后，使用置換選擇 2產生下一輪的子密鑰，如此繼續(xù)，產生所有16個子密鑰。 2021/11/10 Ch3(1)對稱加密技術 82 圖 圖 2 2021/11/10 Ch3(1)對稱加密技術 83 DES解密 ? DES解密過程與加密過程本質上一致 ? 加密和解密使用同一個算法，使用相同的步驟和相同的密鑰 ? 主要不同點是將密文作為算法的輸入，但是逆序使用子密鑰 ki，即第 1輪使用子密鑰k16，第 2輪使用子密鑰 k15，最后一輪使用子密鑰 k1 2021/11/10 Ch3(1)對稱加密技術 84 解密方程 (請證明 ) R16L16 ←IP(64 位密文 ) 記為 L0 ’ = R16， R0 ’ = L16 Li ’= Ri 1 ’ Ri’=Li 1’ ?f(Ri 1 ’ ,Ki’) 64位明文 ← IP 1(L0R0) 加密方程： L0R0 ←IP(64 位明文 ) Ln←R n1 Rn← L n1??(Rn1,Kn) 64位密文 ← IP 1(R16L16) 請證明 DES的解密流程： 2021/11/10 Ch3(1)對稱加密技術 85 L0 ’ = R16， R0 ’ = L16 因為 Li ’= Ri 1 ’ Ri’=Li 1’ ?f(Ri 1 ’ ,Ki’) 所以 L1 ’= R0 ’＝ L16=R15 R1’=L0’ ?f(R0 ’ ,K1’)=R16 ?f(L16,K16) =L15 ?f(R15,K16) ?f(R15,K16) =L15 L2’=R1’=L15=R14 R2’= …… =L14 …… L16’=R0 R16’=L0 2021/11/10 Ch3(1)對稱加密技術 86 DES的強度 ? 從發(fā)布時起， DES就備受爭議 ? 爭論的焦點主要集中在密鑰的長度、迭代次數以及 S盒的設計等方面 ? DES是將 Lucifer算法作為標準， Lucifer算法的密鑰長度 128位，但 DES將密鑰長度改為 56位 , 這不能抵抗窮盡密鑰搜索攻擊 ? DES的安全性是依賴 S盒 ,但是 S盒設計詳細標準至今沒有公開 ? 有人懷疑 S盒里隱藏了陷門（ trapdoors）。然而到目前為止也沒有任何證據證明 DES里確實存在陷門。事實上，后來表明 S盒是被設計成能夠防止差分密碼分析 2021/11/10 Ch3(1)對稱加密技術 87 S 盒是 DES 的最敏感部分，其原理至今未公開。人們擔心 S 盒隱藏陷門，使得只有他們才可以破譯算法，但研究中并沒有找到弱點。美國國家安全局透露了 S 盒的幾條設計準則： 1 所有的 S 盒都不是它輸入的線性函數。就是沒有一個線性方程能將四個輸出比特表示成六個輸入比特的函數。 2 改變 S 盒的 1 位輸入，輸出至少改變 2 位。這意味著 S 盒是經過精心設計的，它最大程度上增大了擴散量。 3 S 盒的任意一位輸入保持不變時，輸出 0 和 1 個數之差極小。即如果保持一位不變而改變其它五位，那么其輸出 0 和1 的個數不應相差太多。 4 S盒是精心設計的，它有利于設計者破譯密碼。 2021/11/10 Ch3(1)對稱加密技術 88 ? 另外， DES存在 弱密鑰 。如果一個密鑰所產生的所有子密鑰都是一樣的，則這個外部密鑰就稱為弱密鑰 ? DES的密鑰置換后分成兩半，每一半各自獨立移位。如果每一半的所有位都是“ 0”或者“ 1”，那么在算法的任意一輪所有的子密鑰都是相同的 2021/11/10 Ch3(1)對稱加密技術 89 三重 DES ? 新的美國聯(lián)邦加密標準是高級加密標準 (AES) ? 在新的加密標準實施之前，為了使已有的 DES算法投資不浪費， NIST在 1999年發(fā)布了一個新版本的 DES標準（ FIPS PUB463），該標準指出 DES僅能用于遺留的系統(tǒng)，同時將三重 DES（簡寫為 3DES）取代 DES成為新的標準 ? 3DES存在幾個優(yōu)點。首先它的密鑰長度是 168位，足以抵抗窮舉攻擊。其次， 3DES的底層加密算法與 DES的加密算法相同，該加密算法比任何其它加密算法受到分析的時間要長得多，也沒有發(fā)現有比窮舉攻擊更有效的密碼分析攻擊方法 2021/11/10 Ch3(1)對稱加密技術 90 ? 但是雙重 DES不安全 ? 雙重 DES存在中間相遇攻擊，使它的強度跟一個56位 DES強度差不多 ? 如果 C=EK2[EK1[M]]，令 X=EK1[M]=DK2[C]。若已知(M, C)，攻擊方法如下： 先用 256個可能的 K1加密 M，得到 256個可能的值，將這些值從小到大存入一個表中 再對 256個可能的 K2解密 C，每次做完解密，將所得的值與表中的值比較，如果產生匹配，則它們對應的密鑰可能是 K1和 K2 用一個新的明文密文對檢測所得兩個密鑰，如果兩密鑰產生正確的密文，則它們是正確的密鑰 2021/11/10 Ch3(1)對稱加密技術 91 ? 為防止中間相遇攻擊，可以采用 3次加密方式，如圖 ? 這是使用兩個密鑰的三重 EDS，采用加密 —解密—加密 (EDE)方案 ? 注意的是 , 加密與解密在安全性上來說是等價的。這種加密方案窮舉攻擊代價是 2112 E E K1 K1 C M B 加密 解密 D K2 A D D K1 K1 M C A E K2 B 2021/11/10 Ch3(1)對稱加密技術 92 ? 目前還沒有針對 兩個密鑰的三重 DES實際的攻擊方法 ? 但是感覺它不大可靠，如果采用 三把密鑰的三重 DES則比較放心 ? 三把密鑰的三重 DES的密鑰長度是 168位，采用 加密 — 解密 — 加密 (EDE)方案 ? 其加密過程為 C=EK3[DK2 [EK1[M]]]，解密過程為 M=DK1[EK2 [DK3[C]]] ? 這種加密方式 已經被一些網絡應用采用 ,如本書后面章節(jié)要討論的 PGP和 S/MIME采用了這種方案 2021/11/10 Ch3(1)對稱加密技術 93 高級加密標準 ? DES存在安全問題，而三重 DES算法運行速度比較慢 ? 其次三重 DES的分組長度為 64位，就效率和安全性而言，分組長度應該更長 ? 美國國家標準技術研究所 (NIST )在 1997年公開征集新的高級加密標準（ Advanced Encryption Standards, AES） ? 要求 AES比 3DES快而且至少和 3DES一樣安全，并特別提出高級加密標準的分組長度為 128位的對稱分組密碼，密鑰長度支持 128位、 192位、 256位。 2021/11/10 Ch3(1)對稱加密技術 94 ? 1997年 9月給出的選擇高級加密標準的評估準則是： 安全性 代價：指計算效率方面 算法和執(zhí)行特征：指算法的靈活性、簡潔性以及硬件與軟件平臺的適應性等方面 ? 1998年 6月 NIST共收到 21個提交的算法，在同年的 8月首先選出 15個候選算法 ? 1999年 NIST從 15個 AES候選算法中遴選出 5個 候選算法 2021/11/10 Ch3(1)對稱加密技術 95 它們是： ? MARS（由 IBM公司研究部門的一個龐大團隊發(fā)布，對它的評價是算法 復雜、速度快、安全性高） ? RC6（由 RSA實驗室發(fā)布，對它的評價是 極簡單、速度極快、安全性低） ? Rijndael（由 Joan Daemen和 Vincent Rijmen 兩位比利時密碼專家發(fā)布，對它的評價是算法 簡潔、速度快、安全性好） ? Serpent（由 Ross Anderson , Eli Biham 和 Lars Knudsen發(fā)布，對它的評價是算法 簡潔、速度慢、安全性極高） ? Twofish（由 Counterpane公司一個龐大的團隊發(fā)布，對它的評價是算法 復雜、速度極快、安全性高） 2021/11/10 Ch3(1)對稱加密技術 96 ? 從全方位考慮， Rijndael(讀成 Rain Doll）匯聚了安全，性能，效率，易用和靈活等優(yōu)點，使它成為 AES最合適的選擇 ? 2021年 10月 Rijndael算法被選為高級加密標準 ? 2021年 11月發(fā)布為聯(lián)邦信息處理標準(Federal Information Processing Standard，FIPS), 用于美國政府組織保護敏感信息的一種特殊的加密算法，即 FIPS PUB 197標準