【正文】 ?S表 51 盒函數(shù)14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0S115 12 8 2 4 9 1 7 5 11 3 14 10 0 6 1315 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15S213 8 10 1 3 15 4 2 11 6 7 12 0 5 14 910 0 9 14 6 3 15 5 1 13 12 7 11 4 2 813 7 0 9 3 4 6 10 2 8 5 14 12 11 15 113 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7S3 1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12 7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 1513 8 11 5 6 15 0 3 4 7 2 12 1 10 14 910 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4S4 3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 914 11 2 12 4 7 13 1 5 0 15 10 3 9 8 6 4 5 1 11 10 13 7 8 15 9 12 5 6 3 0 14S511 8 12 7 1 14 2 13 6 15 0 9 10 4 5 312 1 10 15 9 2 6 8 0 13 3 4 14 7 5 1110 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8 9 14 15 5 2 8 12 3 7 0 4 10 1 13 11 6S6 4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13 4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1S 13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6天津科技大學(xué) 2022 屆本科生畢業(yè)論文29 1 4 11 13 12 3 7 14 10 15 6 8 。如此一來(lái)，每個(gè) 盒均L05bn1234bS可用一個(gè) 4 16 矩陣或數(shù)表來(lái)表示 [10]。如果給定該 盒的輸?入為 ，其輸出對(duì)應(yīng)該矩陣的第 行、 列所對(duì)應(yīng)數(shù)的二進(jìn)制表示。 32bits 天津科技大學(xué) 2022 屆本科生畢業(yè)論文27 1 2 ……………………………3232bits： (,)fAJ圖 56 置換運(yùn)算 P JAE +()A 1…6 7…12 …………48 …………B28B1 2 ……………………32…… ……………C8CP (,)fAJ圖 57 運(yùn)算框圖天津科技大學(xué) 2022 屆本科生畢業(yè)論文28 盒的布爾函數(shù)表示S上一節(jié)我們介紹了 DES 加密的加密過(guò)程，其核心部分是由 8 個(gè) 盒組成S的選擇壓縮運(yùn)算。12345781 2 ………………………………………………3232bits A 1 2 ………………………………………………3248bits ()EA圖 55 擴(kuò)展運(yùn)算其中 作為第 個(gè) 盒 的輸入, 的輸出為 ， 就是代換 的jBjSjjSjC18.?S輸出，所以代換 是一個(gè) 48 位的輸入，32 位輸出的選擇壓縮運(yùn)算，將結(jié)果再進(jìn)行 置換（如圖 56） ，即得 [18]。,f的計(jì)算過(guò)程如下 [10]：(,)fA將 經(jīng)過(guò)一個(gè)擴(kuò)展運(yùn)算 （如圖 55）后為 48 位，記為 。 和 是第 次迭代結(jié)果的左右兩個(gè)部分，每輪變換全部相1?同，只是數(shù)據(jù)不同，這里 稱(chēng)為 DES 的 函數(shù)，其中 為 32 位輸入，(,)fAJfA為 48 位輸入，在第 輪 ， ， 為由 64 位的初始密鑰（也稱(chēng)種子Ji?1iiki密鑰）導(dǎo)出的第 輪子密鑰。它們的作用是為了打亂原來(lái)輸入明文的 ASCⅡ碼值的關(guān)系，并且將原來(lái)明文的第 8 ，……，64 位（校驗(yàn)位）變成 輸出的一個(gè)IP字節(jié) [18]。如因?yàn)榈?1 位經(jīng)過(guò)初始置換后， ，逆置換就是要將第 40 位換40已 經(jīng) 處 于 第 位回到第 1 位 [18]。再對(duì)1,LR0, 2,LR16,LR64 位數(shù)字 進(jìn)行初始置換的逆變換 （圖 54） ，即得密文 。對(duì)置換后的 分成左右兩部分，左邊記為 ,右邊記為 。DES 首先對(duì)輸入的 64 位明文 進(jìn)行一次初始置換 (圖 53)，來(lái)打亂原來(lái)xIP的次序。輸入64bits 明文初始置換 IP16 輪迭代運(yùn)算 1IP?64bits 明文圖 52 DES 算法框圖天津科技大學(xué) 2022 屆本科生畢業(yè)論文24初始置換 [10]是將輸入的 64 位明文分為 8 個(gè)數(shù)組，每一組包括 8 位，按 1至 64 編號(hào)。實(shí)際上密鑰只用了56 位，這樣更安全。每 64 位明文加密成 64 位密文，沒(méi)有數(shù)據(jù)壓縮和擴(kuò)展，密鑰長(zhǎng)度為 56bits，若輸入 64bits，則第 8，…… 64 是奇偶校驗(yàn)位，所以實(shí)際密鑰只有 56 位 [17]。DES 加密算法特點(diǎn)：分組比較短、 密鑰太短、 密碼生命周期短、 運(yùn)算速度較慢 [16]。雖然目前 AES 算法已經(jīng)逐漸取代了 DES 算法，但是由于 DES算法對(duì)現(xiàn)代分組密碼理論的應(yīng)用和發(fā)展起到了基礎(chǔ)作用，因此它的基本理論和設(shè)計(jì)思想對(duì)我們研究分組密碼仍有重要參考價(jià)值 [10]。也就是說(shuō)，分組密碼應(yīng)該設(shè)計(jì)成明文的每個(gè)比特和密鑰的每個(gè)比特對(duì)密文的每個(gè)比特都產(chǎn)生影響。混 亂 和 擴(kuò) 散混亂的目的是使明文和密文的統(tǒng)計(jì)學(xué)特性的關(guān)系趨向復(fù)雜化。② ，防止對(duì)密鑰的進(jìn)行窮搜索攻擊。對(duì)密鑰空間為 的密文，試解次數(shù)為 次，所以只要密鑰空間充分大，亦即 足夠大，2tF12t? t使得實(shí)施窮搜索在計(jì)算上不可行的，則該分組密碼就是安全的。在不知道密鑰的情況下，可以通過(guò)采用窮搜索進(jìn)行攻擊，所以，如果一個(gè)分組密碼只能使用窮搜索，那它就是安全的。復(fù)雜度表示實(shí)施該攻擊所需的平均運(yùn)算次數(shù)。一般計(jì)算上的安全性指是：對(duì)該密碼的最佳攻擊方法的困難性超過(guò)了攻擊者的計(jì)算能力 [10]。說(shuō)計(jì)算上安全，也就是說(shuō)破譯該密碼較為困難，我們可以這樣理解：李志慧① 破譯信息花的代價(jià)超出信息的價(jià)值；② 破譯信息需要的時(shí)間超出信息有效期。當(dāng)一個(gè)密碼體制對(duì)一個(gè)擁有無(wú)限計(jì)算機(jī)資源的攻擊者來(lái)說(shuō)也是安全的，則該系統(tǒng)絕對(duì)安全，同時(shí)說(shuō)明破譯該密碼是不可能的。② 已 知 明 文 攻 擊，攻擊者獲得當(dāng)前密鑰下的某些明文和對(duì)應(yīng)的密文。攻擊通常分為如下三類(lèi)：唯密文攻擊。一般我們假設(shè)攻擊者可以截獲不安全信道上傳輸?shù)乃忻芪模?，通常攻擊者也許還會(huì)截獲別的信息使得破譯而 事 實(shí) 上更容易。 加密算法 明文 1(,.)nx密鑰 K密文 1(,.)ny天津科技大學(xué) 2022 屆本科生畢業(yè)論文22 分組密碼的安全性如前所述，現(xiàn)代分組密碼算法的安全性取決于密鑰的安全性。上世紀(jì) 70 年代沒(méi)過(guò)數(shù)據(jù)加密標(biāo)準(zhǔn) DES 的出臺(tái)標(biāo)志著現(xiàn)代分組密碼學(xué)的開(kāi)始，分組密碼因?yàn)槠涔逃械奶攸c(diǎn)而成為標(biāo)準(zhǔn)化進(jìn)程的首選體制。由于明文組 和密文組 都是二元組，于是1(,.)nx1(,.)ny研究分組密碼即轉(zhuǎn)化為研究 的映射，此時(shí)，當(dāng) 且映射一一對(duì)應(yīng)時(shí)，2mF到 m就是 的置換，這就是布爾置換。一般的，我們給分組密碼作如下定義：定義 [10] 一個(gè)（私鑰）分組密碼是一種映射： （511 ）22ntmF??記為 或 , ， ， 稱(chēng)為明文空間 ， 稱(chēng)為密文空(,)EXK()kX?Kn 2mF間， 稱(chēng)為密鑰空間。流密碼是逐比特加密，而分組密碼則是將明文消息序列 12,.,.km分成等長(zhǎng)的消息組（ ） ，,.n12(,.),.nn?在密鑰控制下按一定的算法 一組組加密，加密后輸出的等長(zhǎng)密文組kE1(,.),.,.myy可用圖 51 來(lái)表示 [10]。一般原則是首先保證最重要的指標(biāo)達(dá)到一定強(qiáng)度的條件下，其余的指標(biāo)盡可能高。此外，僅某一個(gè)指標(biāo)并無(wú)法確保安全性，如高代數(shù)次數(shù)并無(wú)法保證高非線(xiàn)性度，因此也就無(wú)法保證對(duì)線(xiàn)性逼近攻擊的安全性 [12]。所以可退化的相關(guān)免疫函數(shù)并不能抵制相關(guān)攻擊，要想提高系統(tǒng)的安全性，就必須盡可能使用非退化的相關(guān)免疫函數(shù)。④ 相關(guān)免疫性為了抵抗相關(guān)攻擊，系統(tǒng)中的布爾函數(shù)必須滿(mǎn)足相關(guān)免疫性。()fxBent函數(shù)乃非線(xiàn)性度最高的函數(shù)，但是Bent函數(shù)的缺陷就是不平衡性，因此人們?cè)O(shè)計(jì)時(shí)只要求譜值比較均勻。前面我們已經(jīng)討論過(guò)，設(shè) 是 元一個(gè)布爾函數(shù)，若比值函數(shù))(xfn滿(mǎn)足 ，則稱(chēng)布爾函數(shù) 具有高非線(xiàn)性度。 它反映了該函數(shù)用仿射函數(shù)來(lái)逼近的能力。則稱(chēng))(xfn][xLn][mixLln?),(lfd][ixln??)(lfw?為 的非線(xiàn)性度，記為 ，即 的非線(xiàn)性度為其與所有線(xiàn)性函數(shù)的最短f fN距離。② 高代數(shù)次數(shù)在第 2 章我們定義了布爾函數(shù)的代數(shù)次數(shù)，得知布爾函數(shù)的線(xiàn)性復(fù)雜度依賴(lài)于布爾函數(shù)的代數(shù)次數(shù)，而較高的線(xiàn)性復(fù)雜度是密鑰流序列的基礎(chǔ)。 序列密碼中布爾函數(shù)的設(shè)計(jì)準(zhǔn)則根據(jù)前面的討論我們知道，布爾函數(shù)在序列密碼系統(tǒng)中起著重要作用，其性質(zhì)直接決定密碼系統(tǒng)的安全性。前面我們已經(jīng)提到，對(duì)于 級(jí) 序列 ，它的nm{}i線(xiàn)性復(fù)雜度為 ，盡管他的周期為 以及很好的隨機(jī)統(tǒng)計(jì)特性，仍不能直接n21n?用作密鑰序列。定理 設(shè) 是 上的周期序列，且序列 的線(xiàn)性復(fù)雜度{}ia?qF{}i，那么只要知道 中任意相繼的 位，即可確定整個(gè)序列 及()L1Ca??2Lia產(chǎn)生 的極小多項(xiàng)式。對(duì)全零序列 ，約定 。但通常 還可能由更短的 LFSR 產(chǎn)生。 ③ 自 相 關(guān) 函 數(shù) 為 二 值 。雖然 序列具有最mm長(zhǎng)的序列周期 和很好的隨機(jī)統(tǒng)計(jì)特性，但仍不能直接作為密鑰流序列，通21n?常只是一個(gè)密鑰流生成器中的組成單元 [10]。12n?1n?② 在一個(gè)周期圈內(nèi)，總游程數(shù)為 ，對(duì) ，長(zhǎng)為 的游程數(shù)為2i?i個(gè)，且 0 游程和 1 游程各一半，長(zhǎng)為 的 0 游程有一個(gè)，長(zhǎng)為 的 1 游12ni? n程 1 個(gè) [10]。1{ni2nF?定義 上的周期為 的序列 的自相關(guān)函數(shù)定義為2T{}i， （437 ）()aR??10()kkak????01T??周期序列的自相關(guān)函數(shù)是序列隨機(jī)性的一個(gè)指標(biāo)，其表示序列 與{}ia在一個(gè)周期內(nèi)對(duì)應(yīng)位相同的位數(shù)與對(duì)應(yīng)位相異的位數(shù)之差的一個(gè)參數(shù) [10]。nqq rxqF設(shè) ， 在 上的極小多項(xiàng)式定義為 上以 為其一根的最小次數(shù)多a qa項(xiàng)式，記為 。nmm定義 到 上的跡函數(shù) 定義為q1()nrx天津科技大學(xué) 2022 屆本科生畢業(yè)論文18， （435 ）1()nTrx10iqi???x?nqF時(shí)，和 節(jié)對(duì)跡函數(shù)的定義一致。T()QxT?T當(dāng) 上的 級(jí) LFSR 產(chǎn)生的序列 的周期為 時(shí)，稱(chēng)序列 為2Fn{}iaTn??i級(jí) 序列。1/定理 上的 級(jí) 序列的數(shù)目為 。2F2nnm定理 在 級(jí) 序列的一個(gè)周期內(nèi)，0 與 1 的個(gè)數(shù)各是 ，在 序列m12?的一個(gè)周期圈中，總游程為 ；對(duì) ，長(zhǎng)為 的游程數(shù)為 ，其中1n?i??ii0,1 游程各占 ，長(zhǎng) 的游程 0 個(gè)。01,.na? i當(dāng)位移寄存器 產(chǎn)生的狀態(tài)圖僅由一個(gè)圈構(gòu)成時(shí)，將01(,.)nfx?產(chǎn)生的序列的周期首尾相連構(gòu)成一個(gè)圈，則所有的長(zhǎng)狀態(tài)都出現(xiàn)1(,.)nfx?在序列的一個(gè)周期圈上。1,.g定義 序列 是周期序列，若存在正整數(shù) 使得{}iaT， （434 ）iTi?,2.滿(mǎn)足（）式的最小正整數(shù) 稱(chēng)為序列 的周期。iS?1i?定義 若一個(gè)反饋位移寄存器所產(chǎn)生的狀態(tài)圖僅由一些無(wú)公共點(diǎn)的圈組成，則稱(chēng)該反饋位移寄存器為非奇異的。由（ 431）式產(chǎn)生,.nf 0,.a的序列 稱(chēng)為由 產(chǎn)生的遞歸序列，記 ，稱(chēng),a01(,.)nfx? iS?1,.iina??為該位移寄存器在 時(shí)刻的狀態(tài)，則（431）式的遞歸關(guān)系可用狀態(tài)變換描iSi述為， （432 ）1ifiST??1,2.是由 確定的狀態(tài)轉(zhuǎn)移變換。 ……