【正文】 78 圖 DES的輸入密碼 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 79 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 80 ? 56位密鑰首先經(jīng)過(guò)置換選擇 1(如圖 )將其位置打亂重排 ? 將前 28位作為 C0(如圖 )，后28位 D0(如圖 ) 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 81 ? 接下來(lái)經(jīng)過(guò) 16輪，產(chǎn)生 16個(gè)子密鑰 ? 每一輪迭代中 , Ci1和 Di1循環(huán)左移 1位或者 2位，如圖 ? Ci1和 Di1循環(huán)左移后變?yōu)?Ci和 Di，將 Ci和 Di合在一起的 56位，經(jīng)過(guò)置換選擇 2(如圖 所示 )，從中挑出 48位作為這一輪的子密鑰 ? 再將 Ci和 Di循環(huán)左移后，使用置換選擇 2產(chǎn)生下一輪的子密鑰，如此繼續(xù)，產(chǎn)生所有16個(gè)子密鑰。 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 82 圖 圖 2 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 83 DES解密 ? DES解密過(guò)程與加密過(guò)程本質(zhì)上一致 ? 加密和解密使用同一個(gè)算法，使用相同的步驟和相同的密鑰 ? 主要不同點(diǎn)是將密文作為算法的輸入，但是逆序使用子密鑰 ki，即第 1輪使用子密鑰k16，第 2輪使用子密鑰 k15，最后一輪使用子密鑰 k1 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 84 解密方程 (請(qǐng)證明 ) R16L16 ←IP(64 位密文 ) 記為 L0 ’ = R16， R0 ’ = L16 Li ’= Ri 1 ’ Ri’=Li 1’ ?f(Ri 1 ’ ,Ki’) 64位明文 ← IP 1(L0R0) 加密方程： L0R0 ←IP(64 位明文 ) Ln←R n1 Rn← L n1??(Rn1,Kn) 64位密文 ← IP 1(R16L16) 請(qǐng)證明 DES的解密流程： 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 85 L0 ’ = R16， R0 ’ = L16 因?yàn)?Li ’= Ri 1 ’ Ri’=Li 1’ ?f(Ri 1 ’ ,Ki’) 所以 L1 ’= R0 ’＝ L16=R15 R1’=L0’ ?f(R0 ’ ,K1’)=R16 ?f(L16,K16) =L15 ?f(R15,K16) ?f(R15,K16) =L15 L2’=R1’=L15=R14 R2’= …… =L14 …… L16’=R0 R16’=L0 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 86 DES的強(qiáng)度 ? 從發(fā)布時(shí)起， DES就備受爭(zhēng)議 ? 爭(zhēng)論的焦點(diǎn)主要集中在密鑰的長(zhǎng)度、迭代次數(shù)以及 S盒的設(shè)計(jì)等方面 ? DES是將 Lucifer算法作為標(biāo)準(zhǔn)， Lucifer算法的密鑰長(zhǎng)度 128位，但 DES將密鑰長(zhǎng)度改為 56位 , 這不能抵抗窮盡密鑰搜索攻擊 ? DES的安全性是依賴 S盒 ,但是 S盒設(shè)計(jì)詳細(xì)標(biāo)準(zhǔn)至今沒(méi)有公開(kāi) ? 有人懷疑 S盒里隱藏了陷門（ trapdoors）。然而到目前為止也沒(méi)有任何證據(jù)證明 DES里確實(shí)存在陷門。事實(shí)上，后來(lái)表明 S盒是被設(shè)計(jì)成能夠防止差分密碼分析 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 87 S 盒是 DES 的最敏感部分，其原理至今未公開(kāi)。人們擔(dān)心 S 盒隱藏陷門，使得只有他們才可以破譯算法，但研究中并沒(méi)有找到弱點(diǎn)。美國(guó)國(guó)家安全局透露了 S 盒的幾條設(shè)計(jì)準(zhǔn)則： 1 所有的 S 盒都不是它輸入的線性函數(shù)。就是沒(méi)有一個(gè)線性方程能將四個(gè)輸出比特表示成六個(gè)輸入比特的函數(shù)。 2 改變 S 盒的 1 位輸入，輸出至少改變 2 位。這意味著 S 盒是經(jīng)過(guò)精心設(shè)計(jì)的，它最大程度上增大了擴(kuò)散量。 3 S 盒的任意一位輸入保持不變時(shí)，輸出 0 和 1 個(gè)數(shù)之差極小。即如果保持一位不變而改變其它五位，那么其輸出 0 和1 的個(gè)數(shù)不應(yīng)相差太多。 4 S盒是精心設(shè)計(jì)的，它有利于設(shè)計(jì)者破譯密碼。 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 88 ? 另外， DES存在 弱密鑰 。如果一個(gè)密鑰所產(chǎn)生的所有子密鑰都是一樣的，則這個(gè)外部密鑰就稱為弱密鑰 ? DES的密鑰置換后分成兩半，每一半各自獨(dú)立移位。如果每一半的所有位都是“ 0”或者“ 1”，那么在算法的任意一輪所有的子密鑰都是相同的 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 89 三重 DES ? 新的美國(guó)聯(lián)邦加密標(biāo)準(zhǔn)是高級(jí)加密標(biāo)準(zhǔn) (AES) ? 在新的加密標(biāo)準(zhǔn)實(shí)施之前，為了使已有的 DES算法投資不浪費(fèi)， NIST在 1999年發(fā)布了一個(gè)新版本的 DES標(biāo)準(zhǔn)（ FIPS PUB463），該標(biāo)準(zhǔn)指出 DES僅能用于遺留的系統(tǒng)，同時(shí)將三重 DES（簡(jiǎn)寫為 3DES）取代 DES成為新的標(biāo)準(zhǔn) ? 3DES存在幾個(gè)優(yōu)點(diǎn)。首先它的密鑰長(zhǎng)度是 168位，足以抵抗窮舉攻擊。其次， 3DES的底層加密算法與 DES的加密算法相同，該加密算法比任何其它加密算法受到分析的時(shí)間要長(zhǎng)得多，也沒(méi)有發(fā)現(xiàn)有比窮舉攻擊更有效的密碼分析攻擊方法 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 90 ? 但是雙重 DES不安全 ? 雙重 DES存在中間相遇攻擊，使它的強(qiáng)度跟一個(gè)56位 DES強(qiáng)度差不多 ? 如果 C=EK2[EK1[M]]，令 X=EK1[M]=DK2[C]。若已知(M, C)，攻擊方法如下： 先用 256個(gè)可能的 K1加密 M，得到 256個(gè)可能的值，將這些值從小到大存入一個(gè)表中 再對(duì) 256個(gè)可能的 K2解密 C，每次做完解密，將所得的值與表中的值比較，如果產(chǎn)生匹配，則它們對(duì)應(yīng)的密鑰可能是 K1和 K2 用一個(gè)新的明文密文對(duì)檢測(cè)所得兩個(gè)密鑰，如果兩密鑰產(chǎn)生正確的密文，則它們是正確的密鑰 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 91 ? 為防止中間相遇攻擊，可以采用 3次加密方式，如圖 ? 這是使用兩個(gè)密鑰的三重 EDS，采用加密 —解密—加密 (EDE)方案 ? 注意的是 , 加密與解密在安全性上來(lái)說(shuō)是等價(jià)的。這種加密方案窮舉攻擊代價(jià)是 2112 E E K1 K1 C M B 加密 解密 D K2 A D D K1 K1 M C A E K2 B 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 92 ? 目前還沒(méi)有針對(duì) 兩個(gè)密鑰的三重 DES實(shí)際的攻擊方法 ? 但是感覺(jué)它不大可靠，如果采用 三把密鑰的三重 DES則比較放心 ? 三把密鑰的三重 DES的密鑰長(zhǎng)度是 168位，采用 加密 — 解密 — 加密 (EDE)方案 ? 其加密過(guò)程為 C=EK3[DK2 [EK1[M]]]，解密過(guò)程為 M=DK1[EK2 [DK3[C]]] ? 這種加密方式 已經(jīng)被一些網(wǎng)絡(luò)應(yīng)用采用 ,如本書(shū)后面章節(jié)要討論的 PGP和 S/MIME采用了這種方案 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 93 高級(jí)加密標(biāo)準(zhǔn) ? DES存在安全問(wèn)題，而三重 DES算法運(yùn)行速度比較慢 ? 其次三重 DES的分組長(zhǎng)度為 64位，就效率和安全性而言，分組長(zhǎng)度應(yīng)該更長(zhǎng) ? 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所 (NIST )在 1997年公開(kāi)征集新的高級(jí)加密標(biāo)準(zhǔn)（ Advanced Encryption Standards, AES） ? 要求 AES比 3DES快而且至少和 3DES一樣安全，并特別提出高級(jí)加密標(biāo)準(zhǔn)的分組長(zhǎng)度為 128位的對(duì)稱分組密碼，密鑰長(zhǎng)度支持 128位、 192位、 256位。 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 94 ? 1997年 9月給出的選擇高級(jí)加密標(biāo)準(zhǔn)的評(píng)估準(zhǔn)則是： 安全性 代價(jià)：指計(jì)算效率方面 算法和執(zhí)行特征：指算法的靈活性、簡(jiǎn)潔性以及硬件與軟件平臺(tái)的適應(yīng)性等方面 ? 1998年 6月 NIST共收到 21個(gè)提交的算法，在同年的 8月首先選出 15個(gè)候選算法 ? 1999年 NIST從 15個(gè) AES候選算法中遴選出 5個(gè) 候選算法 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 95 它們是： ? MARS（由 IBM公司研究部門的一個(gè)龐大團(tuán)隊(duì)發(fā)布，對(duì)它的評(píng)價(jià)是算法 復(fù)雜、速度快、安全性高） ? RC6（由 RSA實(shí)驗(yàn)室發(fā)布，對(duì)它的評(píng)價(jià)是 極簡(jiǎn)單、速度極快、安全性低） ? Rijndael（由 Joan Daemen和 Vincent Rijmen 兩位比利時(shí)密碼專家發(fā)布，對(duì)它的評(píng)價(jià)是算法 簡(jiǎn)潔、速度快、安全性好） ? Serpent（由 Ross Anderson , Eli Biham 和 Lars Knudsen發(fā)布，對(duì)它的評(píng)價(jià)是算法 簡(jiǎn)潔、速度慢、安全性極高） ? Twofish（由 Counterpane公司一個(gè)龐大的團(tuán)隊(duì)發(fā)布，對(duì)它的評(píng)價(jià)是算法 復(fù)雜、速度極快、安全性高） 2021/11/10 Ch3(1)對(duì)稱加密技術(shù) 96 ? 從全方位考慮， Rijndael(讀成 Rain Doll）匯聚了安全，性能，效率，易用和靈活等優(yōu)點(diǎn)，使它成為 AES最合適的選擇 ? 2021年 10月 Rijndael算法被選為高級(jí)加密標(biāo)準(zhǔn) ? 2021年 11月發(fā)布為聯(lián)邦信息處理標(biāo)準(zhǔn)(Federal Information Processing Standard，F(xiàn)IPS), 用于美國(guó)政府組織保護(hù)敏感信息的一種特殊的加密算法，即 FIPS PUB 197標(biāo)準(zhǔn)