1、AES和DES分組加密算法的比較 1、AES的算法簡介AES是美國國家標(biāo)準(zhǔn)技術(shù)研究所NIST旨在取代DES的新一代的加密標(biāo)準(zhǔn)。NIST對AES候選算法的基本要求是:對稱分組密碼體制;密鑰長度支持128,192,256位;明文分組長度128 位;算法應(yīng)易于各種硬件和軟件實現(xiàn)。1998年NIST開始AES第一輪征集、分析、測試,共產(chǎn)生了15 個候選算法。1999 年3 月完成了第二輪AES 的分析、測試。1999 年8 月NIST公布了五種算法(MARS,RC6,Rijndael,Serpent,Twofish) 成為候選算法。最后,Rijndael ,這個由比利時人設(shè)計的算法與其它候選算法在成為

2、高級加密標(biāo)準(zhǔn)(AES) 的競爭中取得成功,于2000 年10月被NIST宣布成為取代DES的新一代的數(shù)據(jù)加密標(biāo)準(zhǔn),即AES。盡管人們對AES還有不同的看法,但總體來說,Rijndael作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn)匯聚了強(qiáng)安全性、高性能、高效率、易用和靈活等優(yōu)點。AES設(shè)計有三個密鑰長度:128,192,256 比特, 相對而言,AES 的128 比特密鑰比DES的56 比特密鑰強(qiáng)1021倍。對稱密碼算法根據(jù)對明文消息加密方式的不同可分為兩大類,即分組密碼和流密碼。分組密碼將消息分為固定長度的分組,輸出的密文分組通常與輸入的明文分組長度相同。AES算法屬于分組密碼算法,它的輸入分組、輸出分組以及加/

3、 解密過程中的中間分組都是128比特。密鑰的長度K為128,192 或256 比特。用Nk=4,6,8 代表密鑰串的字?jǐn)?shù)(1 字=32 比特) ,在本文編制的程序中由用戶選定。用Nr 表示對一個數(shù)據(jù)分組加密的輪數(shù)(加密輪數(shù)與密鑰長度的關(guān)系見表1) 。每一輪都需要一個和輸入分組具有同樣長度(128 比特) 的擴(kuò)展密鑰Ke的參與。由于外部輸入的加密密鑰K長度有限,所以在AES中要用一個密鑰擴(kuò)展程序( KeyExpansion) 把外部密鑰K擴(kuò)展成更長的比特串,以生成各輪的加密密鑰。2、AES和DES的比較自DES算法1977年首次公諸于世以來,學(xué)術(shù)界對其進(jìn)行了深入的研究,圍繞它的安全性等方面展開了

4、激烈的爭論。在技術(shù)上,對DES的批評主要集中在以下幾個方面:(1) 作為分組密碼,DES的加密單位僅有64位二進(jìn)制,這對于數(shù)據(jù)傳輸來說太小,因為每個分組僅含8個字符,而且其中某些位還要用于奇偶校驗或其他通訊開銷。( 2) DES的密鑰的位數(shù)太短,只有56比特,而且各次迭代中使用的密鑰是遞推產(chǎn)生的,這種相關(guān)必然降低密碼體制的安全性, 在現(xiàn)有技術(shù)下用窮舉法尋找密鑰已趨于可行。(3) DES不能對抗差分和線性密碼分析。迄今為止, DES算法中的S盒8個選擇函數(shù)矩陣的設(shè)計原理因美國政府方面的干預(yù), 不予公布。從這一方面嚴(yán)格地講DES算法并不是一個真正的公開加密算法。S盒設(shè)計中利用了重復(fù)因子, 致使加密

5、或解密變換的密鑰具有多值性, 造成使用DES合法用戶的不安全性。而且, 在DES加密算法的所有部件中, S盒是唯一的具有差分?jǐn)U散功能的部件(相對于逐位異或), 其它都是簡單的位置交換, 添加或刪減等功能, 毫無差分?jǐn)U散能力。這樣, DES的安全性幾乎全部依賴于S盒,攻擊者只要集中力量對付S盒就行了。(4) DES用戶實際使用的密鑰長度為56bit, 理論上最大加密強(qiáng)度為256。DES算法要提高加密強(qiáng)度(例如增加密鑰長度), 則系統(tǒng)開銷呈指數(shù)增長。除采用提高硬件功能和增加并行處理功能外,從算法本身和軟件技術(shù)方面無法提高DES算法的加密強(qiáng)度。相對DES算法來說,AES算法則解決了上述問題,主要表現(xiàn)

6、在如下幾方面:(1) 運算速度快,在有反饋模式、無反饋模式的軟硬件中,Rijndael都表現(xiàn)出非常好的性能。(2) 對內(nèi)存的需求非常低,適合于受限環(huán)境。(3) Rijndael是一個分組迭代密碼,分組長度和密鑰長度設(shè)計靈活。(4) AES標(biāo)準(zhǔn)支持可變分組長度,分組長度可設(shè)定為32比特的任意倍數(shù),最小值為128比特,最大值為256比特。(5) AES的密鑰長度比DES大,它也可設(shè)定為32比特的任意倍數(shù),最小值為128比特,最大值為256比特, 所以用窮舉法是不可能破解的。在可預(yù)計的將來,如果計算機(jī)的運行速度沒有根本性的提高,用窮舉法破解AES密鑰幾乎不可能。(6) AES算法的設(shè)計策略是寬軌跡策

7、略(Wide Trail Strategy, WTS)。WTS是針對差分分析和線性分析提出的,可對抗差分密碼分析和線性密碼分析。總之,AES算法匯聚了安全性、效率高、易實現(xiàn)性和靈活性等優(yōu)點,是一種較DES更好的算法。經(jīng)過對DES 算法和AES 算法的比較分析,我們可以得出結(jié)論, 后者的效率明顯高于前者, 而且由于AES 算法的簡潔性,使得它的實現(xiàn)更為容易。AES 作為新一代的數(shù)據(jù)加密標(biāo)準(zhǔn), 其安全性也遠(yuǎn)遠(yuǎn)高于DES 算法。更為重要的是,AES 算法硬件實現(xiàn)的速度大約是軟件實現(xiàn)的3倍, 這就給用硬件實現(xiàn)加密提供了很好的機(jī)會。3、流密碼存在的問題按照對明文消息加密方式的不同，對稱密碼體制一般可以分

8、為兩類：分組密碼(block cipher)和流密碼(stream cipher)分組密碼：對于某一消息m，使用分組密碼對其執(zhí)行加密操作時一般是先對m 進(jìn)行填充得到一個長度是固定分組長度s 的整數(shù)倍的明文串M；然后將M 劃分成一個個長度為s 的分組；最后對每個分組使用同一個密鑰執(zhí)行加密變換。流密碼(也稱序列密碼)：使用流密碼對某一消息m 執(zhí)行加密操作時一般是先將m 分成連續(xù)的符號(一般為比特串) ，m=m1m2m3；然后使用密鑰流k=k1k2k3中的第i 個元素ki 對明文消息的第i 個元素mi 執(zhí)行加密變換，i=1,2,3,；所有的加密輸出連接在一起就構(gòu)成了對m 執(zhí)行加密后的密文。與分組密碼

9、相比，序列密碼受政治的影響很大，目前應(yīng)用領(lǐng)域主要還是在軍事、外交等部門。雖然也有公開設(shè)計和研究成果發(fā)表，但作為密碼學(xué)的一個分支，流密碼的大多設(shè)計與分析成果還是保密的。目前可以公開見到、較有影響的流密碼方案包括A5、SEAL、RC4、PIKE 等。關(guān)于流密碼加密容易想到，使用流密碼對消息m 執(zhí)行加密時，最簡單的做法就是讓密鑰流中的第i 個比特與明文串中的對應(yīng)比特直接做XOR 運算，即對應(yīng)的解密運算即為：由于實現(xiàn) XOR 邏輯運算非常簡單，因此這樣的加解密操作將是快速有效的。如果這里的密鑰流是完全隨機(jī)的(random)、與明文相同長度的比特串，對應(yīng)的密碼被稱為一次一密體制(one-time pad

10、)。顯然，此時明文串與密文串之間就是相互獨立的。不知道密鑰的攻擊者即便守候在公開信道上從而得到密文串，他也無法獲得關(guān)于明文的任何信息。事實上，Shannon 曾證明了“一次一密的密碼體制是不可破解的(unbreakable)”。使用一次一密體制需要解決如何生成隨機(jī)密鑰流的問題：密鑰流必須是隨機(jī)出現(xiàn)的，并且合法用戶可以容易地再生該密鑰流。一方面，一個與明文一樣長的隨機(jī)位序列很難記??；另一方面，如果密鑰流是重復(fù)的位序列，雖然容易記住，但不安全。因此，這是一個兩難的處境：如何生成一個可以用作密鑰流的“隨機(jī)”比特序列，要求易于使用，但又不能太短以至于不安全。在通常使用的流密碼中，加、解密所需要的這種序列是由一個確定性(deterministic)的密鑰流生成器(key generator)產(chǎn)生的，該生成器的輸入是一個容易記住的密鑰，稱之為密鑰流生成器的初始密鑰或種子(seed)密鑰。因此，嚴(yán)格來說，密鑰流序列都是偽隨機(jī)序列(pseud