分组密码 4.2 数据加密标准(DES)(续).ppt

密码学 第四章 分组密码 4.2 数据加密标准(DES) (续) D E S 加 密 框 图 64比特明文 f k1 L1 R1 初始置换 64比特密文 逆初始置换 L15 R15 R16 L16 L0 R0 f k16 . . . . . . 4.2 数据加密标准(DES) (续) 脱密算法 DES算法的安全性分析 多重DES DES的脱密运算和加密运算用的是同一个算法，二者的不同之处是圈密钥的使用次序相反，即脱密过程中第 i圈(i=1,2,…,16)的圈密钥是加密过程中第17- i圈的圈密钥 k17-i 。 一、脱密算法 D E S 脱 密 框 图 64比特密文 f k16 R15 L15 初始置换 64比特明文 逆初始置换 R1 L1 L0 R0 R16 L16 f k1 . . . . . . 则DES的圈变换可表示为这两个函数的复合 有 若设函数 就是说 ， 都是恒等变换。 y x ? f (y,k) x (32位) y (32位) f k 一、脱密算法 定理1： 其中m为明文数据， 、 分别为加、脱密变换。 证明： 设加密过程第i 圈的圈子密钥为ki，则脱密过程第i 圈的圈子密钥为k17-i，于是 故 一、脱密算法 又因为 故 一、脱密算法 定理1说明：DES的加、脱密算法用的确实是同一个算法，唯一不同的是圈密钥使用次序相反。 —— 加脱密的相似性 采用Feistel模型设计的分组密码算法的逆向操作和正向操作实质上具有相同的结构，不同之处是圈密钥的使用次序相反。 每圈对圈输入的一半进行变换。这样做似乎使得加、脱密速度变慢，但其最大的好处是使得人们可以自由地选择f函数而不要求其可逆，但能保证圈函数可逆。 一、脱密算法 64比特明文 f k1 L1 R1 初始置换 64比特密文 逆初始置换 L15 R15 R16 L16 L0 R0 f k16 . . . . . . 二、DES算法的安全性分析 P S1 S8 S2 S7 S6 S4 S3 E … … … S5 DES分组密码算法是以Shannon提出的乘积密码为基础设计的,它以代替（S盒）和置换（P盒）为基本变换环节，经过十六次迭代来实现所谓的混乱和扩散。 S盒是一个6进4出的非线性函数，它起到了混乱和局部扩散的效果，是DES的核心。 P盒将本圈的一个S盒的输出扩散到下一圈尽可能多的S盒中，起到了全体扩散的效果。 二、DES算法的安全性分析 （一）DES算法的互补对称性 定理2： 证明：对于DES的f函数， 当输入为 和 时， 由于 因此 而 因此当圈输入和圈密钥都取补时，可得： 二、DES算法的安全性分析 又因为当初始密钥取补时，所得圈密钥也取补， 并且 所以有： 证毕 定理2说明：在用DES加密时，若原来的明文和原来的密钥都取补，则相应的加密结果等于对原加密结果取补。 —— DES的互补对称性 二、DES算法的安全性分析 利用DES的互补对称性，在选择明文攻击时可减少一半的穷尽量。 已知条件为c = DES(m, k)，对密钥空间K穷尽，试图恢复当前密钥k。 任取 ，计算 (1) 若c =c1，则k1为真，因为DES (m1, k)= c1，否则 (2) 若 ，则 为真， 选择用当前密钥k 加密的两个明密对(m1,c1), (m2,c2) c1=DES(m1, k), c2=DES(m2, k)，且 二、DES算法的安全性分析 因为 ，即 ， 由互补对称性知 ， 又因 DES (m2, k)=c2，则 为真。 (3) 若两种情况都不成立，则重新选取不同的密钥k重复上述过程。 当我们选取密钥空间中一个密钥k时，可同时验证k和k的补，因此只需搜索密钥空间K中的一半元素即可，也就是说可减少一半的穷尽量。 二、DES算法的安全性分析 （二）关于逐位模2加运算 逐位模2加(按位异或)运算是最简单的拉丁方变换，它使得变换的输入、输出是相关免疫的。我们以一比特数据为例来说明这一点。设 若 k 服从均匀分布，且与 x 独立，则有 因此异或运