【正文】 34 . . . 5. DES的安全性分析 ? DES的安全性完全依賴于密鑰，與算法本身沒(méi)有關(guān)系。 ? DES顯示出很強(qiáng)的雪崩效應(yīng)：如下兩條僅有一位不同的明文： ? 00000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 ? 10000000 00000000 00000000 00000000 00000000 00000000 00000000 00000000 ? 密鑰： 0000001 1001011 0100100 1100010 0011100 0011000 0011100 0110010 ? 結(jié)果表明僅經(jīng)過(guò) 3輪迭代后，兩段數(shù)據(jù)有 21位不同。明文或密鑰的某一位發(fā)生變化會(huì)導(dǎo)致密文的很多位發(fā)生變化。 ? 以逆序（即 ）使用密鑰。 C1=11011001 00110010 00110111 0111 D1 =01101000 10110001 00011100 1111 k1 =00111101 10001111 11001101 00110111 00111111 01001000 DES加密范例 ? R0經(jīng)過(guò) E變換后擴(kuò)展為 48bit。 m=01100011 01101111 01101101 01110000 01110101 01110100 01100101 01110010 k=01110000 01110010 01101111 01100111 01110010 01100001 01101101 ? 這里 k只有 56bit，必須插入第 8， 16， 24， 32， 40， 48， 56，64這 8個(gè)奇偶校驗(yàn)位成為 64比特。 ? S盒由 8張數(shù)據(jù)表組成，如教材 P8485所示。 ? 假設(shè)輸入為 A=a1a2a3a4a5a6，則 a2a3a4a5所代表的數(shù)是 0到 15之間的一個(gè)數(shù)，記為： k=a2a3a4a5；由 a1a6所代表的數(shù)是 0到 3間的一個(gè)數(shù)，記為 h=a1a6。如此繼續(xù)，分別得到 K3， K4， … ， K16。其中 LS1是左移的位數(shù)，如表 36所示。 PC1選位如表 35所示。構(gòu)造過(guò)程如圖所示。 子密鑰 ki產(chǎn)生流程圖 PC1 C0 D0 LS1 LS1 C1 D1 LS2 LS2 C2 D2 LS16 LS16 C16 D16 PC2 PC2 PC2 K(64bit) K1(48bit) K2(48bit) K16(48bit) 假設(shè)初始密鑰為 K，長(zhǎng)度為 64位，但是其中第 8， 16， 24，32， 40， 48， 64作奇偶校驗(yàn)位，實(shí)際密鑰長(zhǎng)度為 56位。 ? 初始密鑰為 64位，其中第 1 2 3 4 5 64位均為校驗(yàn)位。分成 8組，每組 6位，作為 8個(gè) S盒的輸入。S盒的輸出作為 P變換的輸入， P的功能是對(duì)輸入進(jìn)行置換，P換位表如表 34所示。變換規(guī)則根據(jù) E位選擇表，如表 33所示。 表 32 IP1逆置換表 逆置換正好是初始置的逆運(yùn)算，例如，第 1位經(jīng)過(guò)初始置換后，處于第 40位，而通過(guò)逆置換 IP1，又將第 40位換回到第 1位，其逆置換 IP1規(guī)則表如 32所示。 經(jīng)過(guò) 16次迭代運(yùn)算后。 L0和 R0則是換位輸出后的兩部分， L0是輸出的左 32位， R0是右 32位。39。MM?14 2039。 ? 應(yīng)用初始置換 的逆置換 對(duì) 進(jìn)行置換，得到密文 c，即 。函數(shù) 中的變量 為 32位字符串， 為 48位字符串， 函數(shù) 輸出的結(jié)果為 32位字符串。 ? 對(duì)于給定的明文 m，通過(guò)初始置換 IP獲得 ，并將 分為兩部分，前面 32位記為 ，后面 32位記為 ，即 第二步： 乘積變換 （ 16輪）。 ? 一個(gè)復(fù)雜變換 （ fK ） ?通常是一個(gè)多階段的乘積變換； ?與密鑰 Key 相關(guān)； ?必須是非線性變換； ?實(shí)現(xiàn)對(duì)密碼分析的擾亂； ?是密碼設(shè)計(jì)安全性的關(guān)鍵。 ? 交換 （ SW）：將輸入的左右兩部分的比特進(jìn)行互換。 ? 現(xiàn)已經(jīng)確定了選用 Rijndael算法作為高級(jí)加密算法 AES。 ? 1984 年， ISO 開(kāi)始在 DES 基礎(chǔ)上制定數(shù)據(jù)加密的國(guó)際標(biāo)準(zhǔn)。 ? 1979 年，美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用 DES。 1. DES的產(chǎn)生背景 DES的生命期 ? NBS最終采納了 IBM 的 LUCIFER 方案，于 1975 年公開(kāi)發(fā)表。 （ 4）換位和置換。 （ 2） DES算法是對(duì)稱算法：加密和解密用同一密鑰。 ? DES (Data Encryption Standard) 是由 IBM公司在 20世紀(jì) 70年代研制的，經(jīng)過(guò)政府的加密標(biāo)準(zhǔn)篩選后，于 1976年 11月被美國(guó)政府采用，隨后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)所認(rèn)可。 ? 國(guó)內(nèi)隨著三金工程尤其是金卡工程的啟動(dòng)， DES算法在 ATM、磁卡及智能卡（ IC卡）、加油站、高速公路收費(fèi)站等領(lǐng)域被廣泛應(yīng)用，以此來(lái)實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的保密。 ? 輪函數(shù) ：輪函數(shù)越復(fù)雜，抗攻擊的能力就越強(qiáng)。迭代輪數(shù)的典型值為 16。一般需要 128位密鑰， 64位密鑰通常不夠。一般 64位的分組長(zhǎng)度。 ? 分組密碼的運(yùn)算能在子模塊上通過(guò)簡(jiǎn)單的運(yùn)算進(jìn)行。 ? “ 擴(kuò)散原則 ” ：為避免密碼分析者對(duì)密鑰逐段破譯，密碼的設(shè)計(jì)應(yīng)該保證密鑰的每位數(shù)字能夠影響密文中的多位數(shù)字 ；同時(shí)，為了避免避免密碼分析者利用明文的統(tǒng)計(jì)特性，密碼的設(shè)計(jì)應(yīng)該保證明文的每位數(shù)字能夠影響密文中的多位數(shù)字，從而隱藏明文的統(tǒng)計(jì)特性。 分組密碼的數(shù)學(xué)表示 ? 記明文空間和密文空間為 （明文與密文分組的長(zhǎng)度均為m），密鑰空間為 （ 是 的子集， r為密鑰長(zhǎng)度）： ? 密鑰 k下的加密函數(shù)為 ， m表示待加密的信息， k為密鑰，則可將該映射記為 ，這個(gè)映射應(yīng)滿足： ， 是 的一個(gè)置換； ? 密鑰 k下的解密函數(shù)記為 ，它是 的逆。 典型的分組是 64位或 128位 分組密碼的特點(diǎn) ? 主要 優(yōu)點(diǎn) ： ? 易于標(biāo)準(zhǔn)化； ? 易于實(shí)現(xiàn)同步。) 分組密碼的基本模型 分組密碼的長(zhǎng)度 明文為分組長(zhǎng)度為 m的序列，密文為分組長(zhǎng)度為 n的序列： ? nm，稱其為有數(shù)據(jù)擴(kuò)展的分組密碼； ? nm，稱其為有數(shù)據(jù)壓縮的分組密碼； ? n=m，稱其為無(wú)數(shù)據(jù)擴(kuò)展與壓縮的分組密碼。) 密鑰 k=(k1, k2, ) 密文 y=(y1, y2, 分組密碼將明文按一定的位長(zhǎng)分組，輸出是固定長(zhǎng)度的密文。如極大的周期、良好的統(tǒng)計(jì)特性。 ? 實(shí)際使用的密鑰流序列（簡(jiǎn)稱密鑰）都是按一定算法生成的，因而不可能是完全隨機(jī)的，所以也就不可能是完善保密系統(tǒng)。 SR 1 SR 2 yi (1) 輸出 ki yi (2) 密鑰流生成器 流密碼對(duì)密鑰流的要求 ? 沒(méi)有絕對(duì)不可破的密碼，比如窮搜索總能破譯，只是破譯所需時(shí)間是否超過(guò)信息的有效期以及破譯所需代價(jià)是否值得。 上圖為由兩個(gè)移位寄存器構(gòu)成的 收縮密鑰流生成器 ，通過(guò) SR1 的輸出選擇 SR2 的輸出來(lái)生成密鑰流，其工作模式如下： ? 輸入?yún)?shù)：兩個(gè)移位寄存器的級(jí)數(shù)及反饋函數(shù) ? 密鑰：兩個(gè)移位寄存器的初始狀態(tài) (1) 移位 SR1 并產(chǎn)生 yi(1) ；同時(shí)移位 SR2 并產(chǎn)生 yi(2) ； (2) 如果 yi(1) =1，則 輸出 密鑰元素 ki = yi(2) ； 如果 yi(1) =0，則 刪去 yi(2)， i =1, 2, … ， 不輸出 。 ?0稱之為非奇異 LFSR。 + 密鑰流生成器 狀態(tài)轉(zhuǎn)移和相應(yīng)輸出 時(shí)刻 狀 態(tài) 輸 出 3 2 1 0 0 0 0 0 0 1 1 1 1 0 0 0 0 2 0 1 0 0 0 3 0 0 1 0 0 4 1 0 0 1 1 5 1 1 0 0 0 6 0 1 1 0 0 7 1 0 1 1 1 8 0 1 0 1 1 9 1 0 1 0 0 10 1 1 0 1 1 11 1 1 1 0 0 12 1 1 1 1 1 13 0 1 1 1 1 14 0 0 1 1 1 15 0 0 0 1 1 多項(xiàng)式 ? 以 LFSR的反饋系數(shù)所決定的多項(xiàng)式 又稱 反饋多項(xiàng)式 、 連接多項(xiàng)式 。 [解 ] 易見(jiàn) f (x0， x1， x2， x3) = x0 + x1， 因此對(duì) k≥4 有 ak = ak3+ ak4 從