第3章

對稱密碼體制主要內(nèi)容分組密碼數(shù)據(jù)加密標(biāo)準(zhǔn)DES高級加密標(biāo)準(zhǔn)AES序列密碼其他對稱加密算法概述對稱密碼體制就是在加密和解密是用到的密鑰相同，或者加密密鑰和解密密鑰之間存在著確定的轉(zhuǎn)換關(guān)系。對稱密碼體制又有兩種不同的實(shí)現(xiàn)方式，即分組密碼和序列密碼（或稱流密碼）。流密碼與分組密碼流密碼每次加密數(shù)據(jù)流中的一位或一個(gè)字節(jié)。分組密碼，就是先把明文劃分為許多分組，每個(gè)明文分組被當(dāng)作一個(gè)整體來產(chǎn)生一個(gè)等長（通常）的密文分組。通常使用的是64位或128位分組大小。分組密碼的實(shí)質(zhì)，是設(shè)計(jì)一種算法，能在密鑰控制下，把n比特明文簡單而又迅速地置換成唯一n比特密文，并且這種變換是可逆的（解密）。分組密碼的設(shè)計(jì)思想擴(kuò)散(diffusion)

將明文及密鑰的影響盡可能迅速地散布到較多個(gè)輸出的密文中。產(chǎn)生擴(kuò)散的最簡單方法是通過“置換(Permutation)”（比如：重新排列字符）。混淆(confusion)其目的在于使作用于明文的密鑰和密文之間的關(guān)系復(fù)雜化，是明文和密文之間、密文和密鑰之間的統(tǒng)計(jì)相關(guān)特性極小化，從而使統(tǒng)計(jì)分析攻擊不能奏效。通常的方法是“代換（Substitution)”（回憶愷撒密碼）。DES(DataEncryptionStandard)

美國國家標(biāo)準(zhǔn)局NBS于1973年5月發(fā)出通告，公開征求一種標(biāo)準(zhǔn)算法用于對計(jì)算機(jī)數(shù)據(jù)在傳輸和存儲期間實(shí)現(xiàn)加密保護(hù)的密碼算法。1975年美國國家標(biāo)準(zhǔn)局接受了美國國際商業(yè)機(jī)器公司IBM推薦的一種密碼算法并向全國公布，征求對采用該算法作為美國信息加密標(biāo)準(zhǔn)的意見。經(jīng)過兩年的激烈爭論，美國國家標(biāo)準(zhǔn)局于1977年7月正式采用該算法作為美國數(shù)據(jù)加密標(biāo)準(zhǔn)。1980年12月美國國家標(biāo)準(zhǔn)協(xié)會正式采用這個(gè)算法作為美國的商用加密算法。DES的實(shí)質(zhì)DES是一種對稱密碼體制，它所使用的加密和解密密鑰是相同的，是一種典型的按分組方式工作的密碼。其基本思想是將二進(jìn)制序列的明文分成每64bit一組，用長為64bit(56bit)的密鑰對其進(jìn)行16輪代換和置換加密，最后形成密文。DES算法原理第一步：要被加密的數(shù)據(jù)被分割成為若干以64bit為單位的數(shù)據(jù)，如果位數(shù)不夠，那么補(bǔ)00或者FF，然后按照表1進(jìn)行置換操作。表1：LiRi第二步：把64位密鑰按表2進(jìn)行置換操作，去除密鑰中作為奇偶校驗(yàn)位的第8、16、24、32、40、48、56、64位，剩下的56位作為有效輸入密鑰。表2：C0D0第三步：將56位有效密鑰按表3左移位，總計(jì)進(jìn)行16輪移位操作，每一輪移位結(jié)束之后，得到的新的56位密鑰作為下一輪移位的有效密鑰?？傆?jì)得到16個(gè)56位的子密鑰。表3：第四步：按照表4對16個(gè)子密鑰進(jìn)行置換壓縮，壓縮后每個(gè)子密鑰中的第9,18,22,25,35,38,43,54,共8位數(shù)據(jù)會丟失。此步驟完成后得到16個(gè)48位的子密鑰。表4：第三步和第四步圖解：第五步：將第一步生成的有效數(shù)據(jù)的右半部分R[1]的32位的數(shù)據(jù)根據(jù)表5進(jìn)行置換，由原32位擴(kuò)展到48位。表5：第六步：將擴(kuò)展后的有效數(shù)據(jù)的新的R[1]和K[1]做異或運(yùn)算得到48位加密數(shù)據(jù)。第七步：將第六步產(chǎn)生的48位加密數(shù)據(jù)分為8個(gè)6位的數(shù)據(jù)，按照表6取值，每6位壓縮成4位，最終形成8個(gè)4位的數(shù)據(jù)，再組合成新的32位的數(shù)據(jù)。表6：S盒子內(nèi)部結(jié)構(gòu)第八步：將第七步產(chǎn)生的32位的數(shù)據(jù)按照表7置換，生成新的32位的RR[1]數(shù)據(jù)。表7：第九步：將RR[1]和第一步產(chǎn)生的L[1]按位異或后的值賦給R[2]，然后原來的R[1]值賦給L[2]，得到新的L[2]和R[2]。第十步：回到第五步，重復(fù)運(yùn)算到第九步，每輪計(jì)算有R[i],L[i],K[i]來計(jì)算，總計(jì)重復(fù)16輪結(jié)束，最終生成新的L[16]和R[16]。第十一步：合并L[16]和R[16]為64位數(shù)據(jù)，然后按照表8做置換，生成最終加密數(shù)據(jù)。表8：解密的時(shí)候一樣步驟，只是在做第六步的時(shí)候，將K[16]變?yōu)镵[1]，依次類推倒用K[i]即可。DES的安全性DES在20多年的應(yīng)用實(shí)踐中，沒有發(fā)現(xiàn)嚴(yán)重的安全缺陷，在世界范圍內(nèi)得到了廣泛的應(yīng)用，為確保信息安全做出了不可磨滅的貢獻(xiàn)。存在的安全弱點(diǎn)：密鑰較短：56位密鑰空間約為7.2*1016。1997年1月28日，美國RSA數(shù)據(jù)安全公司在Internet上開展了一項(xiàng)“秘密密鑰挑戰(zhàn)”的競賽，懸賞一萬美圓，破解一段DES密文。6月RockeVerser小組通過因特網(wǎng)利用數(shù)萬臺微機(jī)歷時(shí)4個(gè)月破譯了DES；1998年7月，EFF用一臺25萬美元的機(jī)器，歷時(shí)56小時(shí)破譯DES。存在弱密鑰：有的密鑰產(chǎn)生的16個(gè)子密鑰中有重復(fù)者。DES具有良好的雪崩效應(yīng)雪崩效應(yīng)：明文或密鑰的微小改變將對密文產(chǎn)生很大的影響。特別地，明文或密鑰的某一位發(fā)生變化，會導(dǎo)致密文的很多位發(fā)生變化。DES顯示了很強(qiáng)的雪崩效應(yīng)兩條僅有一位不同的明文，使用相同的密鑰，僅經(jīng)過3輪迭代，所得兩段準(zhǔn)密文就有21位不同。一條明文，使用兩個(gè)僅一位不同的密鑰加密，經(jīng)過數(shù)輪變換之后，有半數(shù)的位都不相同。多重DESDES在窮舉攻擊下相對比較脆弱，因此需要用某種算法來替代它。DES一個(gè)致命的缺陷就是密鑰長度短，并且對于當(dāng)前的計(jì)算能力，56位的密鑰長度已經(jīng)抗不住窮舉攻擊，而DES又不支持變長密鑰。但可以進(jìn)行多次加密，且使用多個(gè)密鑰，即多重DES，從而等同于更長的密鑰。二重DES(DoubleDES)給定明文P和兩個(gè)加秘密鑰k1和k2，采用DES對P進(jìn)行加密E，有密文C=EK2(EK1(P))對C進(jìn)行解密D，有明文P=DK1(DK2(C))EEPXCK2K1加密圖DDK2K1CXP解密圖帶有雙密鑰的三重DES

（TripleDESwithTwoKeys)Tuchman給出雙密鑰的EDE模式（加密-解密-加密）：

C=EK1(DK2(EK1(P)))……對P加密

P=DK1(EK2(DK1(C)))……對C解密這種替代DES的加密較為流行并且已被采納用于密鑰管理標(biāo)準(zhǔn)（TheKeyManagerStandardsANSX9.17和ISO8732).EDEDEDCBAPPAB

CK1K2K1K1K2K1加密圖解密圖到目前為止，還沒有人給出攻擊三重DES的有效方法。對其密鑰空間中密鑰進(jìn)行蠻干搜索，那么由于空間太大為2112=5×1033，這實(shí)際上是不可行的。注意：1*.Merkle和Hellman設(shè)法創(chuàng)造一個(gè)條件，想把中間相遇攻擊（meet-in-the-middleattack）的方法用于三重DES，但目前也不太成功。2*.雖然對上述帶雙密鑰的三重DES到目前為止還沒有好的實(shí)際攻擊辦法，但人們還是放心不下，又建議使用三密鑰的三重DES，此時(shí)密鑰總長為168bits.

C=EK3(DK2(EK1(P)))高級加密標(biāo)準(zhǔn)AES

1997年1月，美國國家標(biāo)準(zhǔn)局NIST向全世界密碼學(xué)界發(fā)出征集21世紀(jì)高級加密標(biāo)準(zhǔn)（AES——AdvancedEncryptionStandard）算法的公告，并成立了AES標(biāo)準(zhǔn)工作研究室，1997年4月15日的例會制定了對AES的評估標(biāo)準(zhǔn)。AES的要求（1）AES是公開的；（2）AES為單鑰體制分組密碼；（3）AES的密鑰長度可變，可按需要增大；（4）AES適于用軟件和硬件實(shí)現(xiàn)；（5）AES可以自由地使用，或按符合美國國家標(biāo)準(zhǔn)（ANST）策略的條件使用；算法衡量條件滿足以上要求的AES算法，需按下述條件判斷優(yōu)劣a.安全性b.計(jì)算效率c.內(nèi)存要求d.使用簡便性e.靈活性。AES的評審1998年4月15日全面征集AES算法的工作結(jié)束。1998年8月20日舉行了首屆AES討論會，對涉及14個(gè)國家的密碼學(xué)家所提出的候選AES算法進(jìn)行了評估和測試，初選并公布了15個(gè)被選方案，供大家公開討論。

CAST-256，RC-6，CRYPTON-128，DEAL-128，

FROG，DFC，LOKI-97，MAGENTA，

MARS，HPC,RIJNDAEL，SAFER+，

SERPENT，E-2，TWOFISH。這些算法設(shè)計(jì)思想新穎，技術(shù)水平先進(jìn)，算法的強(qiáng)度都超過3-DES，實(shí)現(xiàn)速度快于3-DES。

AES的評審1999年8月9日NIST宣布第二輪篩選出的5個(gè)候選算法為：

MARS(C.Burwick等,IBM），

RC6TM（R.Rivest等,RSALab.)，

RIJNDEAL(J.Daemen,比)，SERPENT(R.Anderson等，英、以、挪威)，

TWOFISH(B.Schiener)。2000年10月2日，NIST宣布Rijndael作為新的AESRIJNDAEL的評估結(jié)果一般安全性軟件執(zhí)行受限空間環(huán)境硬件執(zhí)行對執(zhí)行的攻擊加密和解密密鑰靈活性其他的多功能性和靈活性指令級并行執(zhí)行能力AES加密算法性能分析1.密鑰長度更長，抵御窮舉攻擊的能力更強(qiáng)，而且可依據(jù)信息級別自由選擇密鑰長度；2.輪密鑰產(chǎn)生隨機(jī)性強(qiáng)；3.均勻?qū)ΨQ結(jié)構(gòu)既可以提高執(zhí)行的靈活度，又可防止差分分析方法的攻擊；4.實(shí)現(xiàn)簡單；5.在所有平臺都有良好表現(xiàn)。其他對稱密碼IDEA由旅居瑞士的華人來學(xué)嘉和他的導(dǎo)師J.L.Massey共同開發(fā)的。IDEA使用128位密鑰，明文和密文分組長度為64位。已被用在多種商業(yè)產(chǎn)品中。CLIPPER密碼采用SKIPJACK算法，明文和密文分組長度為64位，密鑰長度為80位。BlowfishBlowfish允許使用最長為448位的不同長度的密鑰，并針對在32位