1、網絡與信息安全技術網絡與信息安全技術第二講第二講對稱密碼對稱密碼華中科技大學軟件工程碩士課程華中科技大學軟件工程碩士課程主要內容 對稱分組密碼對稱分組密碼-DESDES-AESAES 流密碼流密碼 隨機數隨機數1. 分組密碼 定義：-將一個明文分組作為整體加密, 通常得到與之等長的密文分組; 除加密外的用途：-構造偽隨機數生成器、流密碼系統、消息認證碼(MAC) 分組密碼的設計原理 代換結構擴散 定義: 將明文的統計特性散布到密文中去, 使得明文的每一位影響密文中多位的值，使明文和密文之間的統計關系變得盡可能復雜, 以挫敗推導出密鑰的企圖; 結果: 明文的統計特性將被散布到密文中, 單字母、雙

2、字母、多字母在密文中出現的頻率比在明文中出現的頻率更接近于相等; 方式: 在分組密碼中, 對數據重復執行某個置換, 可獲得擴散; 定義定義：使密文和密鑰之間的統計關系變得盡：使密文和密鑰之間的統計關系變得盡可能復雜可能復雜, , 以阻止攻擊者發現密鑰。以阻止攻擊者發現密鑰。 方式方式：使用復雜的非線性代換算法可以混淆：使用復雜的非線性代換算法可以混淆的效果。的效果。 擴散和混淆成功地實現了分組密碼的本質屬性, 因而成為設計現代分組密碼的基礎.混 淆 Feistel密碼結構Feistel解密結構 Feistel解密過程本質上和加密過程是一樣的， 算法使用密文作為輸入，但使用子密鑰Ki的次序與加密

3、過程相反，即第1輪使用Kn, 第2輪使用Kn-1, , 最后一輪使用K1. 這一特性保證了解密和加密可采用同一算法和硬件結構.2 數據加密標準DES 數據加密標準(data encryption standard, DES), 最為廣泛使用和流行, 美國IBM公司研制, Lucifer密碼(128位密鑰)的一種發展和修改(56位密鑰); 設計目標-用于加密保護靜態存儲和傳輸信道中的數據, 安全使用1015年. DES的參數 密鑰：56比特，明文：64位，密文：64位DES加密算法框圖初始置換IP和IP-1DES加密算法的輪結構擴展置換32位擴展到48位基本方法：32位輸入被4位4位地分成8組,

4、 然后每組從相鄰地兩組中取得位置最遠地一位而變成6位.目的：使S盒的輸出在下一輪中盡可能影響更多的數據位F中的代換由8個S盒組成, 每個S盒的輸入長為6比特、輸出長為4比特, 每個S盒給出了4個代換(由一個表的4行給出)S-Box-iS-盒的構造P-盒置換子密鑰的產生DES的解密 DES的解密算法和加密算法完全相同,只是各子密鑰的使用順序相反, 即為 k16,k15,k14,k2,k1. 算法也是循環右移產生每一圈的子密鑰，每次右移動的位數為 弱密鑰，半弱密鑰，互補密鑰，總共64個 DES的4種運行模式, 這些模式也可用于其他分組密碼; ECB，CBC，OFB，CFBDES的運行模式電碼本（E

5、CB）模式 相同明文相同密文 密文塊損壞僅對應明文塊損壞 適合于傳輸短信息密碼分組鏈接（CBC）模式相同明文不同密文密文塊損壞兩明文塊損壞加密長消息非常合適; 保密性和認證密碼反饋（CFB）模式 分組密碼 流密碼 一個單元損壞影響多個單元 分組密碼 流密碼 一個單元損壞只影響對應單元輸出反饋(OFB)模式計數器(CTR)模式計數器模式的主要特點 可以并行實現，適用于高速網絡可以并行實現，適用于高速網絡 可以隨機訪問加密的數據分組可以隨機訪問加密的數據分組 為了提高DES的安全性，并利用現有DES的軟硬件資源，可將DES算法在多密鑰下多重使用. 最簡單的形式是二重DES二重DES算法21 KKC

6、EEP12 KKPDDC二重DES所用密鑰長度為112比特，強度極大地增加二重DES的中間相遇攻擊 如果已知一個明文密文對(P,C), 攻擊的實施可如下進行：1. 用256個所有可能的K1對P加密，將加密結果存入一表并對表按X排序；2. 用256個所有可能的K2對C解密，在上述表中查找與C解密結果相匹配的項，如果找到，則記下相應的K1和K2。3. 再用一新的明文密文對(P,C)檢驗上面找到的K1和K2，用K1和K2對P兩次加密，若結果等于C，就可確定K1和K2是所要找的密鑰。如果有那么21 KKCEEP12 KKXEPDC兩個密鑰的三重DES121 KKKCEDEP三個密鑰的三重DES321

7、KKKCEDEPAES的歷史 1997年NIST宣布征集AES算法-要求: 與三重DES比，要快且至少一樣安全,分組128位,密鑰128/192/256位 1998年確定第一輪15個候選者 1999年確定第二輪五個候選者: MARS, RC6, Rijndael, Serpent, Twofish 2000年底Rijndael勝出AES算法- Rijndael簡介 不屬于Feistel結構 加密、解密相似但不對稱 支持128數據塊大小 支持128/192/256密鑰長度 有較好的數學理論作為基礎 結構簡單、速度快AES算法結構 主要有四個基本運算:-字節代換-行移位-列混淆-輪密鑰加Rijnd

8、ael加解密結構AddRoundKey()For(i=1;iNr;+i) ByteSub();ShiftRow();MixColumn();AddRoundKey() ByteSub();ShiftRow();AddRoundKey() I_AddRoundKey()I_ShiftRow();I_ByteSub();For(i=1;iNr;+i) I_AddRoundKey()I_MixColumn();I_ShiftRow();I_ByteSub();I_AddRoundKey() I_AddRoundKey()For(i=1;iNr;+i) I_ShiftRow();I_ByteSub()

9、;I_AddRoundKey() I_MixColumn();I_ShiftRow();I_ByteSub();I_AddRoundKey()AES算法過程的動畫演示其他的分組密碼 IDEA算法 Blowfish算法 RC5算法 .流密碼 將明文劃分為bit或byte的編碼單位，分別與密鑰流作用進行加密，解密時以同步產生的同樣的密鑰流實現。流密碼 安全強度完全依賴于密鑰流生成器生成序列的隨機性和不可預測性。-加密關鍵：密鑰流生成器的設計-解密關鍵：保持收發兩端密鑰流的精確同步流密碼的特點 優點: 速度更快,需要編寫的代碼更少 缺點: 不能重復使用密鑰 使用場合-流密碼: 需要對數據流進行加解密

10、的應用,如數據通信或網頁瀏覽器/Web鏈接-分組密碼: 處理成塊的數據,如文件傳輸、電子郵件、數據庫設計流密碼需要考慮的因素 加密序列的周期要足夠長 密鑰流應該盡可能接近于一個真正的隨機數流的特征流密碼的實現方式 LSFR方式 DES方式 RC4 量子密碼，混沌密碼LSFR流密碼常見的兩種密鑰流產生器移位寄存器是流密碼產生密鑰流的一個主要組成部分. GF(2)上一個n級反饋移位寄存器由n個二元存儲器與一個反饋函數f(a1,a2,an)組成, 如圖所示. 線性反饋移位寄存器GF(2)上的n級反饋移位寄存器圖 是一個3級反饋移位寄存器, 其初始狀態為(a1,a2,a3)=(1,0,1), 輸出見表

11、.一個3級反饋移位寄存器表 一個3級反饋移位寄存器的狀態和輸出 狀態狀態（a3,a2,a1)輸出輸出1 0 11 1 01 1 10 1 11 0 11 1 0 101110即輸出序列為101110111011，周期為4Geffe序列生成器由3個LFSR組成, 其中LFSR2作為控制生成器使用,當LFSR2輸出1時, LFSR2與LFSR1相連接；當LFSR2輸出0時, LFSR2與LFSR3相連接Geffe序列生成器Geffe序列生成器圖多路復合器表示的Geffe序列生成器Geffe序列的周期實現了極大化, 且0與1之間的分布大體上是平衡的。J-K觸發器如圖所示，兩個輸入端分別用J和K表示，

12、其輸出ck不僅依賴于輸入，還依賴于前一個輸出位ck-1，即其中x1和x2分別是J和K端的輸入。J-K觸發器1211kkcxxcx利用J-K觸發器的非線性序列生成器見圖利用J-K觸發器的非線性序列生成器Pless生成器由8個LFSR、4個J-K觸發器和1個循環計數器構成，由循環計數器進行選通控制。Pless生成器鐘控序列最基本的模型是用一個LFSR控制另外一個LFSR的移位時鐘脈沖，如圖所示。鐘控序列生成器最簡單的鐘控序列生成器RC4流密碼 Ron Rivest, RSA公司, 1987 可變密鑰長度, 面向字節操作的流密碼 該密碼的周期大于10100, 每輸出一字節的結果僅需要8到16條機器周

13、期 SSL/TLS, WEP 1994年公開RC4流密碼RC4算法描述 使用28=256個字節構成的S表和兩個指針(I和J),總共需要258個字節的存儲空間; S表的值S0,S1,S255是0,1,255的一個排列,I和J的初值為0; 把S表和I,J指針的具體取值稱為RC4的一個狀態: T= 對狀態T進行非線性變換,產生出新的狀態,并輸出密鑰序列中的一個字節kRC4算法描述(con.) RC4的下一狀態函數定義為: (1) I = 0, J = 0; (2) I = I + 1 mod 256; (3) J = J + SI mod 256; (4) 交換SI和SJ RC4的輸出函數定義為:

14、(1) h=SI+SJ mod 256 (2) k=Sh隨機數 隨機數的用途 會話密鑰產生 RSA公鑰算法中密鑰的產生 認證過程中的臨時交互號，作為握手信息避免重放攻擊 隨機數的基本特點 隨機性 均勻分布: 隨機數的分布是一致的 獨立性: 序列中任何數不能由其它數推導出來 不可預測性 認證或會話密鑰之類的應用隨機數的源 真隨機數難以獲得-物理噪聲發生器: 離子輻射事件, 閘流管, 但隨機性和精確度有問題, 這些設備又很難連接到網絡系統中-已經公布好的隨機數: 數目太少,敵手也可搞到 偽隨機數(相對隨機)-使用算法來生成隨機數, 算法是確定的, 所以產生的序列并非統計隨機的-但可以經受住隨機性檢測偽隨機數的產生偽隨機數的產生 線性同余法 Xn+1 = (aXn+c) mod m m 模數 m0 231 a 乘數 0am a=75=16807 c 增量 0 cm X0 種子 0 X0m基于密碼的隨機數產生 循環加密 DES輸出反饋方式 ANSI X.917 偽隨機數產生器 Blum Blum Shub(BBS)產生器循環加密DES輸出反饋模型ANSI X9.17偽隨機數發生器偽隨機數發生