复旦大学：《信息安全原理》课程教学资源（PPT课件）第3章 现代加密算法（2/3）

五、DES解密算法 DES算法的解密算法是相当简单的,算法本 身无显著改变,只需将十六个子密钥顺序颠 倒过来,即K1,K14,K0。轮函数F中L和R 互换,即:RL1,L=R1F(L;1,Ki 定理3.1:DES的解密算法是正确的

 五、DES解密算法  DES算法的解密算法是相当简单的，算法本 身无显著改变，只需将十六个子密钥顺序颠 倒过来，即 K15, K14,…K 0。轮函数 F 中 L 和 R 互换，即： R i=Li-1,L i=Ri-1 F(Li-1,Ki-1 ) 。  定理3.1 ：DES的解密算法是正确的

六、安全性分析 DES存在下列问题: (1)有效密钥位只有56bi,在当前计算能 力下,不能保证足够的安全度。 (2)代换部件S盒的设计虽然不是线性的, 但也不是随机的,有些密码学家认为可 能隐藏了某些陷门

 六、安全性分析  DES存在下列问题：  (1)有效密钥位只有56bit，在当前计算能 力下，不能保证足够的安全度。  (2)代换部件S盒的设计虽然不是线性的， 但也不是随机的，有些密码学家认为可 能隐藏了某些陷门

(3)存在弱密钥和半弱密钥。DES算法在每 轮中都需使用一个子密钥。如果由给定的主 密钥k所产生的子密钥k=k2=…=k16,就称k 为弱密钥。弱密钥有以下四种(6进制): 0101010101010101 1F IF 1F IF OEOE OEOE EOEO E0E0 FIFI Fl FI FEFE FE FE FEFE FE FE

 (3)存在弱密钥和半弱密钥。DES算法在每 轮中都需使用一个子密钥。如果由给定的主 密钥k所产生的子密钥k1=k2=…=k16，就称k 为弱密钥。弱密钥有以下四种(16进制)：  01 01 01 01 01 01 01 01  1F 1F 1F 1F 0E 0E 0E 0E  E0 E0 E0 E0 F1 F1 F1 F1  FE FE FE FE FE FE FE FE

若由给定的主密钥k所产生的子密钥只有两种形式,且每 种都出现8次,称为半弱密钥。 半弱密钥成对出现的,且具有下述性质:若k和k2是一对 互逆的半弱密钥,x为明文,则有DES、ODES、(x) DES1OES2(x)=x。半弱密钥共有12个,6对 01FE01 FE01 FE FE E 01 FE 01 FE 01 FE 01 IF E0 1F 0E F1 01 OE FI E01F 0E F1 0E 01E001E0 FI FI E001E001F101F101 1F FE IF FE0E FE OE FE FE 1F FEIF FEFE OE 011F011F010E OE 1F011F010E010E01 EO FE EO FE F1FEF FE FE E0 FE E0 FE F1 FE FI

 若由给定的主密钥k所产生的子密钥只有两种形式，且每 种都出现8次，称为半弱密钥。  半弱密钥成对出现的，且具有下述性质：若k1和k2是一对 互逆的半弱密钥， x 为明文，则有 DESk2(DESk1(x)) =DESk1(DESk2(x))=x。半弱密钥共有12个，6对，  01 FE 01 FE 01 FE 01 FE  E 01 FE 01 FE 01 FE 01  1F E0 1F E0 0E F1 0E F1  E0 1F E0 1F F1 0E F1 0E  01 E0 01 E0 01 F1 01 F1  E0 01 E0 01 F1 01 F1 01  1F FE 1F FE 0E FE 0E FE  FE 1F FE 1F FE 0E FE 0E  01 1F 01 1F 01 0E 01 0E  1F 01 1F 01 0E 01 0E 01  E0 FE E0 FE F1 FE F1 FE  FE E0 FE E0 FE F1 FE F1

穷举搜索密钥。 64bi密钥的DES,其密钥量为256~7.2×1016 假定DES加密操作需时5μus,则需要1.1×104 年才能穷尽密钥。 Diffe# A Hellman提出专用机的设想,将100 万个专用芯片并行运算,以每秒1012密钥的 速度,搜索遍256个密钥,这只需一天即可 完成,估计成本在2000万到7000万美元之间。 将这么多的芯片连在一起工作,其平均故障 时间将是很短的,故这种方法并不现实

 穷举搜索密钥。  64bit密钥的DES，其密钥量为 256 7.2 1016  假定DES加密操作需时 5  s，则需要1.1 10 4 年才能穷尽密钥。  Diffe 和Hellman提出专用机的设想，将100 万个专用芯片并行运算，以每秒1012密钥的 速度，搜索遍 256个密钥，这只需一天即可 完成，估计成本在2000万到7000万美元之间。  将这么多的芯片连在一起工作，其平均故障 时间将是很短的，故这种方法并不现实

随着计算技术和互联网的发展,64bit密钥的DES 穷举搜索在今天已成为确实可行之事 1997年,RSA数据安全公司悬赏1万美元破译 DES DESCHALL小组经过近四个月的努力,通过互 联网搜索了3×1016个密钥找到了密钥。 1998年5月,美国EFF( Electronic Frontier Foundation)宣布,用一台价值20万美元的计算机 改装的专用解密机,用了56小时破译了RSA数据 安全公司悬赏1万美元破译了64b密钥的DES 在目前计算能力下,64bi密钥的DES已难于抗穷 举搜索攻击,必须使用新的加密算法

 随着计算技术和互联网的发展，64bit密钥的DES 穷举搜索在今天已成为确实可行之事。  1997年，RSA数据安全公司悬赏 1万美元破译 DES，  DESCHALL小组经过近四个月的努力，通过互 联网搜索了 3 1016个密钥找到了密钥。  1998 年 5 月，美国 EFF(Electronic Frontier Foundation)宣布，用一台价值20万美元的计算机 改装的专用解密机，用了56小时破译了RSA数据 安全公司悬赏 1万美元破译了64bit密钥的DES 。  在目前计算能力下，64bit密钥的DES已难于抗穷 举搜索攻击，必须使用新的加密算法

七、双重DES 双重DES是用两个56位的密钥对明文进 行两次DES加密 C=EK2lEkiIPll P=D K1lDK2 Cll 已经证明两重DES不能通过一个DES来 进行替代,所以密钥有效长度是112位

七、双重DES  双重DES是用两个56位的密钥对明文进 行两次DES加密  C＝EK2[EK1[P]]  P＝DK1[Dk2[C]]  已经证明两重DES不能通过一个DES来 进行替代，所以密钥有效长度是112位

中途攻击 利用X=EK1P]=D2|C 首先用25个可能的密钥加密P,并排序 ■然后用25个可能的密钥解密C,进行匹配 对于匹配成功的再使用新的明文密文对进 行攻击。 两个已知明文密文对能较少误报率到216。 攻击总量是25,近似于DES算法

 中途攻击  利用X＝EK1[P]＝Dk2[C]  首先用256个可能的密钥加密P，并排序  然后用256个可能的密钥解密C，进行匹配  对于匹配成功的再使用新的明文密文对进 行攻击。  两个已知明文密文对能较少误报率到2-16。  攻击总量是256，近似于DES算法

三重DES加密 这种方式里使用三(或两)个不同的密钥对数据块进行三次(或 两次)加密。三重DES的强度大约和112-bit的密钥强度相当。 重DES有四种模型: 。 DES-EEE3使用三个不同密钥顺序进行三次加密变换 DES-EDE3使用三个不同密钥依次进行加密解密加密变 换 。 DES-EEE2其中密钥K=K3顺序进行三次加密变换 。 DES-EDE2其中密钥K1=K3依次进行加密解密加密变 换 到目前为止,还没有人给出攻击三重DES的有效方法。对其 密钥空间中密钥进行蛮干搜索,那么由于空间太大,这实际 上是不可行的

 三重DES加密  这种方式里使用三 (或两 )个不同的密钥对数据块进行三次 ( 或 两次 )加密。三重DES的强度大约和112-bit的密钥强度相当。 三重DES有四种模型：  DES-EEE3 使用三个不同密钥顺序进行三次加密变换  DES-EDE3 使用三个不同密钥依次进行加密 -解密 -加密变 换  DES-EEE2 其中密钥K1=K3 顺序进行三次加密变换  DES-EDE2 其中密钥K1=K3 依次进行加密 -解密 -加密变 换 到目前为止，还没有人给出攻击三重DES的有效方法。对其 密钥空间中密钥进行蛮干搜索，那么由于空间太大，这实际 上是不可行的

重DES EEE mode EDE mode plaintext plaintext DES kA KI DES ≠K encryption encryption DES 卜K2 DES-I ≠K2 encryption decryption 56 k K3 DES ≠K1 encryption tion 168 bits of the key 112 bits of the key ciphertext ciphertext

三重DES