主要內(nèi)容：

分組密碼的基本概念

對(duì)稱密碼基本原理

數(shù)據(jù)標(biāo)準(zhǔn)加密（DES）

高級(jí)加密標(biāo)準(zhǔn)(AES)

對(duì)稱密碼體制工作模式

對(duì)稱密碼應(yīng)用第三章分組密碼算法2025/8/1223.1分組密碼概述首先要將待加密的明文進(jìn)行分組，每組的長(zhǎng)度相同，然后對(duì)每組明文分別加密得到密文。對(duì)稱密碼系統(tǒng)采用相同的加密密鑰和解密密鑰，這是對(duì)稱密碼系統(tǒng)的顯著特點(diǎn)。分組密碼基本通信模型圖

分組密碼模型：2025/8/1242025/8/125消息明文分組加密密文加密消息的過(guò)程2025/8/126為保證分組密碼的安全強(qiáng)度，設(shè)計(jì)分組密碼時(shí)應(yīng)遵循如下的基本原則：（2）密鑰量足夠大，同時(shí)需要盡可能消除弱密鑰的使用，防止密鑰窮舉攻擊，但是由于對(duì)稱密碼體制存在密鑰管理問(wèn)題，密鑰也不能過(guò)大。（3）密鑰變換足夠復(fù)雜，能抵抗各種已知攻擊，如差分攻擊、線性攻擊、邊信道攻擊等，即使得攻擊者除了窮舉攻擊外找不到其它有效攻擊方法。（4）加密和解密的運(yùn)算簡(jiǎn)單，易于軟硬件高速實(shí)現(xiàn)。（5）數(shù)據(jù)擴(kuò)展足夠小，一般無(wú)數(shù)據(jù)擴(kuò)展。（6）差錯(cuò)傳播盡可能小，加密或解密某明文或密文分組出錯(cuò)，對(duì)后續(xù)密文解密影響盡可能小。（1）分組長(zhǎng)度足夠長(zhǎng)，防止明文窮舉攻擊。2025/8/1273.2分組密碼原理（1）擴(kuò)散就是將每一位明文的影響盡可能迅速地作用到較多的輸出密文位中去，以便隱藏明文的統(tǒng)計(jì)特性。（2）混亂是指密文和明文之間的統(tǒng)計(jì)特性關(guān)系盡可能地復(fù)雜化。（3）乘積密碼指依次使用兩個(gè)或兩個(gè)以上的基本密碼，所得結(jié)果的密碼強(qiáng)度將強(qiáng)于所有單個(gè)密碼的強(qiáng)度。2025/8/1281．代替-變換網(wǎng)絡(luò)乘積密碼通常伴隨系列置換與代替操作，常見(jiàn)的乘積密碼是迭代密碼。許多分組密碼重復(fù)一個(gè)或幾個(gè)步驟：代替然后換位，然后代替，再換位等等，并且每個(gè)步驟的過(guò)程都有密鑰來(lái)控制，目前的大多數(shù)分組密碼同時(shí)使用代替-置換網(wǎng)絡(luò)以達(dá)到混淆和擴(kuò)散的目標(biāo)。代替-置換網(wǎng)絡(luò)是由多重代替變換(S)和置換變換（P），如右圖所示，S代替變換起到混淆的作用，P置換變換起到擴(kuò)散的作用。2025/8/1292．Feistel密碼結(jié)構(gòu)

2025/8/1210Feistel網(wǎng)絡(luò)示意圖：

2025/8/1211為了保證分組密碼的安全性，與分組密碼算法原則非常類似，F(xiàn)eistel網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)與以下參數(shù)和特性有關(guān)：

（1）分組大?。悍纸M越大則安全性越高，但加密速度就越慢。分組密碼設(shè)計(jì)中最為普遍使用的分組大小是64比特。（2）密鑰大?。好荑€越長(zhǎng)則安全性越高，但加密速度就越慢?，F(xiàn)在通常使用128比特的密鑰長(zhǎng)度。（3）輪數(shù)：?jiǎn)屋喗Y(jié)構(gòu)遠(yuǎn)不足以保證安全性，但多輪結(jié)構(gòu)可提供足夠的安全性。典型地，輪數(shù)取為16。（4）子密鑰產(chǎn)生算法：該算法的復(fù)雜性越大，則密碼分析的困難性就越大。（5）輪函數(shù)：輪函數(shù)的復(fù)雜性越大，密碼分析的困難性也越大。2025/8/12123．Feistel的解密結(jié)構(gòu)

2025/8/1213解密原理：加密最后一輪解密第一輪

1994年，美國(guó)決定1998年12月以后不再使用DES算法，目前DES已被更為安全的Rijndael算法取代。雖然這樣，但是目前還無(wú)法將DES加密算法徹底地破解掉，而且DES算法的加解密過(guò)程非?？?，仍是目前使用最為普遍的對(duì)稱密鑰加密算法。在國(guó)內(nèi)，隨著三金工程尤其是金卡工程的啟動(dòng)，DES算法在POS、ATM、磁卡及智能卡(IC卡)、加油站、高速公路收費(fèi)站等領(lǐng)域被廣泛應(yīng)用，以此來(lái)實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的保密，如信用卡持卡人的PIN碼加密傳輸，IC卡與POS間的雙向認(rèn)證、金融交易數(shù)據(jù)包的MAC校驗(yàn)等，均用到DES算法。

DES（DataEncryptionStandard）是美國(guó)IBM公司于20世紀(jì)70年代中期的一個(gè)密碼算法（LUCIFER算法）發(fā)展而來(lái)的，并于1977年1月15日由美國(guó)國(guó)家標(biāo)準(zhǔn)局（NBS）正式公布實(shí)施的數(shù)據(jù)加密標(biāo)準(zhǔn)，并得到了ISO的認(rèn)可。在過(guò)去近20多年的時(shí)間里，DES被廣泛應(yīng)用于美國(guó)聯(lián)邦和各種商業(yè)信息的安全保密工作中，經(jīng)受住了各種密碼分析和攻擊，體現(xiàn)出了令人滿意的安全性。

2025/8/12143.3數(shù)據(jù)加密標(biāo)準(zhǔn)（DES)1.DES產(chǎn)生的歷史背景2025/8/1215

DES是一種采用傳統(tǒng)的替換和移位方法加密的分組密碼，算法是對(duì)稱的，既可用于加密又可用于解密。DES是一個(gè)分組密碼算法，使用64位密鑰（除去8位奇偶校驗(yàn)，實(shí)際密鑰長(zhǎng)為56位）對(duì)64比特的數(shù)據(jù)分組（二進(jìn)制數(shù)據(jù)）加密，產(chǎn)生64位密文數(shù)據(jù)。DES是一個(gè)對(duì)稱密碼體制，加密和解密使用同一密鑰，解密和加密使用同一算法。DES的所有保密性均依賴于密鑰。由于DES算法僅使用最大為64位的標(biāo)準(zhǔn)算術(shù)和邏輯運(yùn)算，運(yùn)算速度快，密鑰產(chǎn)生容易，適合于在當(dāng)前大多數(shù)計(jì)算機(jī)上用軟件方法實(shí)現(xiàn)，同時(shí)也適合于在專用芯片上實(shí)現(xiàn)。2025/8/12162．DES算法描述下圖是DES加密算法流程。

2025/8/1217（1）DES的加密過(guò)程（3個(gè)階段）

第一階段：初始置換IP（如下表所示）對(duì)于給定的明文x，通過(guò)初始置換IP(在第一輪迭代運(yùn)算之前，需要加密的64位明文首選通過(guò)初始置換IP的作用，對(duì)輸入分組實(shí)施置換（即把64位置換為第2位，…，原來(lái)輸入明文的第7位將作為置換結(jié)果的最后一位))獲得，并將x0分為兩部分，前面32位記為L(zhǎng)0，后面32位記為R0。585012342618102605244362820124625446383022146645648403224168574941332517915951433527191136153453729211356355473931231572025/8/12182025/8/1219IP置換舉例2025/8/1221第二階段：計(jì)算16次迭代變換。

DES采用了典型的Feistel結(jié)構(gòu)，是一個(gè)乘積結(jié)構(gòu)的迭代密碼算法。其算法的核心是算法所規(guī)定的16次迭代變換（見(jiàn)下頁(yè)圖）。即：

從圖中可以看出：DES算法的16次迭代變換具有相同的結(jié)構(gòu)，每一次迭代變換都以前一次迭代變換的結(jié)果（第一次迭代以作x0=L0R0為輸入）和用戶密鑰擴(kuò)展得到的子密鑰ki作為輸入；每一次迭代變換只變換一半數(shù)據(jù)，它們將輸入數(shù)據(jù)的右半部分經(jīng)過(guò)函數(shù)f后，將其輸出與輸入數(shù)據(jù)的左半部分進(jìn)行異或運(yùn)算，并將得到的結(jié)果作為新的右半部分，原來(lái)的右半部分變成了新的左半部分。DES加密算法圖

DES的一次迭代過(guò)程2025/8/1223

DES算法的安全性關(guān)鍵在于非線性函數(shù)F的性質(zhì)。在DES算法中，F(xiàn)以長(zhǎng)度為32位的比特串作為輸入，產(chǎn)生的中間結(jié)果為48位，并在最終產(chǎn)生長(zhǎng)度為32位的比特串作為輸出。F函數(shù)的計(jì)算過(guò)程可以用下圖表示。2025/8/1224Ⅰ.擴(kuò)展置換：f以前一輪迭代的結(jié)果Ri-1作輸入，首先根據(jù)一個(gè)固定的擴(kuò)展函數(shù)E（也稱為E盒）“擴(kuò)展”長(zhǎng)度為48位的比特串，其中有16比特出現(xiàn)了兩次（如右表所示）。2025/8/1225E擴(kuò)展例子擴(kuò)展函數(shù)E的第一分組的原理

2025/8/1228Ⅱ.與子密鑰異或：函數(shù)F將擴(kuò)展置換得到的48位輸出與子密鑰ki（48位）進(jìn)行異或運(yùn)算（按位模2加）。E盒的輸出與密鑰異或：若子密鑰48比特位為：001111011000111111001101001101110011111101001000，則操作如下：輸入：100000000001011111111110100000001101010000000110密鑰：001111011000111111001101001101110011111101001000輸出：1011110110011000001100111011011111101011010011102025/8/1229Ⅲ.S盒替代：以6比特為單位將第Ⅱ步異或得到的結(jié)果分為8個(gè)小分組，并將它們送入替代函數(shù)（即S盒）中進(jìn)行替代運(yùn)算。

DES算法中共有8個(gè)S盒（見(jiàn)下頁(yè)表）。每一個(gè)分組將對(duì)應(yīng)于一個(gè)S盒進(jìn)行替代運(yùn)算。具體替代方式為：將S盒的6位輸入定義為a1a2a3a4a5a6。將a1a6組成一個(gè)2位二進(jìn)制數(shù)，對(duì)應(yīng)著表中的行號(hào)，將a2a3a4a5組成一個(gè)4位二進(jìn)制數(shù)，對(duì)應(yīng)表中的列號(hào)，交叉點(diǎn)的數(shù)據(jù)就是該S盒的輸出。

S盒是函數(shù)f的核心所在，同時(shí)，也是DES算法的關(guān)鍵步驟。實(shí)際上除了S盒以外，DES的其他運(yùn)算都是線性的，而S盒是非線性的，它決定了DES算法的安全性。48位的比特串（分為8個(gè)6位分組）在經(jīng)過(guò)8個(gè)S盒進(jìn)行代替運(yùn)算后，得到8個(gè)4位的分組，它們重新組合在一起形成一個(gè)32位的比特串。這個(gè)比特串將進(jìn)行下一步運(yùn)算：P盒置換。2025/8/1230S盒

2025/8/1231例：2025/8/1232S盒作用-示例中，S盒輸入的48比特位為101111011001100000110011101101111110101101001110，則分成8組，每組6位，則對(duì)應(yīng)的S盒的行和列號(hào)如下：

S盒

123456……

輸入

101111011001100000110011101101111110……

行

312332……

列

71209515……

輸出

011101100011010000100110……

經(jīng)過(guò)S盒作用，48比特位輸入，輸出32比特位為：01110110001101000010011010100001。2025/8/1233Ⅳ.P盒置換：是將S盒輸出的32位比特串根據(jù)固定的置換P（也稱為P盒）置換到相應(yīng)的位置，它也稱為直接置換（straightpermutation）（右表給出了置換P）。2025/8/1234-置換P16720212912281711523265183110282414322739191330622114258×4-從S盒出來(lái)后經(jīng)置換P重排：

輸入：01110110001101000010011010100001

輸出：01000100001000001001111010011111得到L1R1經(jīng)過(guò)P盒作用之后輸出的32比特位與左半部分L0=11111111101110000111011001010111的32位進(jìn)行異或，得到右半部分的最終的R1的32位。左半部分的32位為上一輪右半部分的32位L1=R0。DES共是16輪把上述過(guò)程重復(fù)15次，即共執(zhí)行16輪2025/8/1237第三階段：逆（初始）置換是初始置換IP的逆置換，記為IP-1（如右表）。在對(duì)16輪迭代的結(jié)果（R16L16），再使用逆（初始）置換IP-1后，得到的結(jié)果即可作為DES加密的密文Y輸出，即Y=IP-1（R16,L16）。2025/8/1238IP逆置換即加密得到的64比特的密文。2025/8/1240（2）DES解密算法：與其加密算法使用的算法過(guò)程相同。（3）DES算法的子密鑰的生成過(guò)程。下圖是子密鑰的生成過(guò)程：子密鑰的生成過(guò)程圖

2025/8/12412025/8/1242子密鑰的生成過(guò)程如下：①輸入的密鑰K首先經(jīng)過(guò)一個(gè)置換（稱為置換選擇1（PC-1，Permutationchoice的縮寫）見(jiàn)下表所示），進(jìn)行重新排列。置換的結(jié)果（56位）被當(dāng)成兩個(gè)28比特的量C0和D0，其中C0是置換結(jié)果的前28比特，而D0是后28比特。2025/8/1243②在計(jì)算第i輪迭代所需的子密鑰時(shí)，首先對(duì)Ci-1和Di-1進(jìn)行循環(huán)左移，分別得到Ci與Di。如果i=1,2,9和16，左移循環(huán)的次數(shù)等于1，否則循環(huán)2次，這些經(jīng)過(guò)循環(huán)移位的值作為下一次循環(huán)的輸入。然后將以作CiDi作為另外一個(gè)由DES算法固定置換選擇（稱為置換選擇2，PC-2見(jiàn)右表所示）的輸入，所得到的置換結(jié)果即為第i次迭代所需的子密鑰ki。3．DES算法舉例例：已知明文m=computer，密鑰k=program，用ASCII碼表示為：m=0110001101101111011011010111000001110101011101000110010101110010

-56位有效密鑰

k=01110000011100100110111101100111011100100110000101101101因?yàn)閗只有56位，必須插入第8，16，24，32，40，48，56，64位奇偶校驗(yàn)位，合成64位。而這8位對(duì)加密過(guò)程沒(méi)有影響。ASCII字母對(duì)照表abcdefghijklm979899100101102103104105106107108109nopqrstuvwxyz110111112113114115116117118119120121122-明文m=computerc9701100011o11101101111m10901101101p11201110000u11701110101t11601110100e10101100101r11401110010-密鑰k=programp11201110000r11401110010o11101101111g10301100111r11401110010a9701100001m10901101101

K0

變換為K156位有效密鑰k=0111000，0011100，1001101，1110110，0111011，1001001，1000010，1101101011100000011100010011011111011000111011010010010100001011101101

0密鑰k通過(guò)PC-1得到

1列2列3列4列C[0]：1110110010011001000110111011

5列6列7列8列

D[0]：1011010001011000100011100111再各自左移一位，C[1]：1101100100110010001101110111D[1]：0110100010110001000111001111C[1]：1101100100110010001101110111D[1]：01101000101100010001110011111417112415328156211023191242681672720132415231374755304051453348444939563453464250362932-通過(guò)PC-2得到48位

KS[1]:001111011000111111001101001101110011111101001000K0

變換為K1

明文IP置換明文m=computerc9701100011o11101101111m10901101101p11201110000u11701110101t11601110100e10101100101r1140111001058504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263641111111110111000011101100101011100000000111111110000011010000011L0R0100000000001011111111110100000001101010000000110

E盒擴(kuò)展m經(jīng)過(guò)IP置換后得到L0=11111111101110000111011001010111R0=0000000011111111000001101000001100000000111111110000011010000011R0（32位）經(jīng)E作用膨脹為48位，100000000001011111111110100000001101010000000110

S盒的選擇R0（32位）經(jīng)E作用膨脹為48位，100000000001011111111110100000001101010000000110再和k1作異或運(yùn)算得到（分成8組）

ExorKS:101111011001100000110011101101111110101101001110S盒

S1S2S3S4S5S6S7S8

行：31233230

列：7120961567查表：761342610101110110110101000010011010100001KS[1]:001111011000111111001101001101110011111101001000-通過(guò)S盒后輸出位32比特，Sbox:標(biāo)號(hào)：123456789101112131415161718192021220111011011010100001001標(biāo)號(hào)：232425262728293031321010100001

P盒置換1672021291228171152326