北京邮电大学：《现代密码学基础》课程教学资源（PPT课件讲稿）第8章 分组密码

第8章分组密码 121 O 8 765

第8章 分组密码

8.1分组密码概述 12 ■定义81一个分组密码是一种映 9 3 射: × 765 记为E(X,)或E(X)X∈F,k∈F,F 称为明文空间,F"称为密文空间, 为密钥空间

8．1 分组密码概述 ◼ 定义8.1 一个分组密码是一种映 射： 记为E(X,K) 或 称为明文空间， 称为密文空间， 为密钥空间。 F F F n t m 2  2 → 2 n t n Ek X X F2 K F2 F2 ( ),  ,  , m F2 t F2

8.2分组密码的设计原则 有关实用密码的两个一般设计原则是 12 Shannon提出的混乱原则和扩散原则。 9 3 混乱:人们所设计的密码应使得密钥 765 和明文以及密文之间的依赖关系相当 复杂以至于这种依赖性对密码分析者 来说是无法利用的 扩散:人们所设计的密码应使得密钥 的每一位数字影响密文的许多位数字 以防止对密钥进行逐段破译,而且明 文的每一位数字也应影响密文的许多 位数字以便隐蔽明文数字统计特性

8．2 分组密码的设计原则 ◼ 有关实用密码的两个一般设计原则是 Shannon提出的混乱原则和扩散原则。 ◼ 混乱：人们所设计的密码应使得密钥 和明文以及密文之间的依赖关系相当 复杂以至于这种依赖性对密码分析者 来说是无法利用的。 ◼ 扩散：人们所设计的密码应使得密钥 的每一位数字影响密文的许多位数字 以防止对密钥进行逐段破译，而且明 文的每一位数字也应影响密文的许多 位数字以便隐蔽明文数字统计特性

12 ■软件实现的设计原则:使用子块和简 单的运算。密码运算在子块上进行, 9 3 要求子块的长度能自然地适应软件编 765 程,比如8、16、32比特等。在软件 实现中,按比特置换是难于实现的, 因此我们应尽量避免使用它。子块上 所进行的一些密码运算应该是一些易 于软件实现的运算,最好是用一些标 准处理器所具有的一些基本指令,比 如加法、乘法和移位等

◼ 软件实现的设计原则：使用子块和简 单的运算。密码运算在子块上进行， 要求子块的长度能自然地适应软件编 程，比如8、16、32比特等。在软件 实现中，按比特置换是难于实现的， 因此我们应尽量避免使用它。子块上 所进行的一些密码运算应该是一些易 于软件实现的运算，最好是用一些标 准处理器所具有的一些基本指令，比 如加法、乘法和移位等

12 ■硬件实现的设计原则:加密和解 9 3 密可用同样的器件来实现。尽量 765 使用规则结构,因为密码应有 个标准的组件结构以便其能适应 于用超大规模集成电路实现

◼ 硬件实现的设计原则：加密和解 密可用同样的器件来实现。尽量 使用规则结构，因为密码应有一 个标准的组件结构以便其能适应 于用超大规模集成电路实现

12 ■其他原则: 简单性原则:包括规范的简单性 765 和分析的简单性 ■必须能抗击所有已知的攻击,特 别是差分攻击和线性攻击。 ■可扩展性。要求能提供128、192、 256比特的可变分组或密钥长

◼ 其他原则： ◼ 简单性原则：包括规范的简单性 和分析的简单性。 ◼ 必须能抗击所有已知的攻击，特 别是差分攻击和线性攻击。 ◼ 可扩展性。要求能提供128、192、 256比特的可变分组或密钥长

8.3分组密码的结构 X=Y10) Y1) Y 12 F F F 9 3 Z (2) 765 密钥k 图82

8．3 分组密码的结构 X=Y(0) Y(1) Y(2) Y(r-1) Y(r) F F … F 密钥 k Z (r) Z (1) Z (2) 图 8.2

■ Feist网络与SP网络,它们的主要区别在 于:SP结构每轮改变整个数据分组,而 Feistel密码每轮只改变输入分组的一半 12 AES和DES分别是这两种结构的代表 Feistel网络(又称 Feistel结构)可把任何轮 9 3 函数转化为一个置换,它是由 Horst feistel 765 在设计 Lucite分组密码时发明的,并因DES 的使用而流行。“加解密相似”是 Feist型 密码的实现优点。 ■SP网络(又称SP结构)是 Feist网络的 种推广,其结构清晰,S一般称为混淆层, 主要起混淆作用。P一般称为扩散层,主要 起扩散作用。SP网络与 Feist网络相比, 可以得到更快速的扩散,不过SP网络的加 解密通常不相似。有关这两种结构的特点, 读者在了解了DES和AES算法之后再细细体

◼ Feistel网络与SP网络，它们的主要区别在 于：SP结构每轮改变整个数据分组，而 Feistel密码每轮只改变输入分组的一半。 ◼ AES和DES分别是这两种结构的代表。 ◼ Feistel网络（又称Feistel结构）可把任何轮 函数转化为一个置换，它是由Horst Feistel 在设计Lucifer分组密码时发明的，并因DES 的使用而流行。“加解密相似”是 Feistel型 密码的实现优点。 ◼ SP网络（又称SP结构）是Feistel网络的一 种推广，其结构清晰，S一般称为混淆层， 主要起混淆作用。P一般称为扩散层，主要 起扩散作用。SP网络与Feistel网络相比， 可以得到更快速的扩散，不过SP网络的加 解密通常不相似。有关这两种结构的特点， 读者在了解了DES和AES算法之后再细细体 会

84分组密码的安全性 841安全需求 12 如果不知道密钥的知识,攻击者从密 9 3 文恢复出明文是实际不可能的。 765 用固定的k比特的秘密钥,加密下个明 文,其中7> 最大化T后仍能达 到一个可接受的安全性是现代分组密 码追求的目标。 几乎所有当代分组密码用更小的查表 (代替盒或S盒)合并其他变换(线 性变换)模仿这样一个大的随机查表 这种做法实际上是安全性和可接受的 复杂性的一个折中

8.4 分组密码的安全性 8.4.1 安全需求 ◼ 如果不知道密钥的知识，攻击者从密 文恢复出明文是实际不可能的。 ◼ 用固定的k比特的秘密钥，加密T个明 文，其中 ，最大化T后仍能达 到一个可接受的安全性是现代分组密 码追求的目标。 ◼ 几乎所有当代分组密码用更小的查表 （代替盒或S盒）合并其他变换（线 性变换）模仿这样一个大的随机查表。 这种做法实际上是安全性和可接受的 复杂性的一个折中。        N k T

8.42安全模型 12 ■1)无条件安全性 3·2)多项式安全性。 765 ■3)“可证明的安全性”。 4)实际的安全性 ■5)历史的安全性

8.4.2 安全模型 ◼ 1）无条件安全性。 ◼ 2）多项式安全性。 ◼ 3）“可证明的安全性”。 ◼ 4）实际的安全性。 ◼ 5）历史的安全性