北京邮电大学：《现代密码学基础》课程教学资源（PPT课件讲稿）第8章 分组密码（8.9）其他分组密码算法综述

8.9其他分组密码算法综述 8.91DEA算法 12 瑞士的 Xuejia Lai和 James Massey于1990年 9 3 布了DEA密码算法第一版,称为PEs 765 ( Proposed Encryption Standard)。为抗击 差分密码攻击,他们增强了算法的强度, 称|PEs( Improved PES),并于1992年改 名为DEA( nternational Data Encryption Algorithm,国际数据加密算法。)

8．9 其他分组密码算法综述 8.9.1 IDEA算法 瑞士的Xuejia Lai和James Massey于1990年 公布了IDEA密码算法第一版，称为PES (Proposed Encryption Standard)。为抗击 差分密码攻击，他们增强了算法的强度， 称IPES（Improved PES)，并于1992年改 名为IDEA（International Data Encryption Algorithm，国际数据加密算法。）

12 ■IDEA是一个分组长度为64位的 9 3 分组密码算法,密钥长度为128 765 位(抗强力攻击能力比DES强), 同一算法既可加密也可解密。 DEA的“混淆”和“扩散”设计 原则来自三种运算,它们易于软、 硬件实现(加密速度快):

◼ IDEA是一个分组长度为64位的 分组密码算法，密钥长度为128 位（抗强力攻击能力比DES强）， 同一算法既可加密也可解密。 ◼ IDEA的“混淆”和“扩散”设计 原则来自三种运算，它们易于软、 硬件实现（加密速度快）：

异或运算() 12 ■整数模216加(+ 26-整数模2141乘(⊙)(DEA的S盒) 扩散由称为MA结构的算法基本构件提 FI F2 Z5 GI G2

◼ 异或运算（ ） ◼ 整数模2 16加（ + ） ◼ 整数模2 16+1乘（ ）(IDEA的S盒） ◼ 扩散由称为MA结构的算法基本构件提供。 Z6 F1 F2 Z5 G1 G2

12 ■实现上的考虑 9 3 ●使用子分组:16bt的子分组; 765 ●使用简单操作(易于加法、移位等 操作实现) ●加密解密过程类似; 规则的结构(便于VLS实现)

◼ 实现上的考虑 ⚫ 使用子分组：16bit的子分组； ⚫ 使用简单操作（易于加法、移位等 操作实现） ⚫ 加密解密过程类似； ⚫ 规则的结构（便于VLSI实现）

IDEA加密的总体方案图 64位明文 12 ZI 128位密钥 9 循环1 z6 7东5 Z7 子密钥生成器 循环2 Z12 Z43 循环8 Z52 Z48 Z49 输出变换 Z52 64位密文

IDEA加密的总体方案图 循环2 循环8 循环1 输出变换 64位密文 64位明文 Z1 Z6 Z7 Z12 Z43 Z48 Z49 Z52 子密钥生成器 128位密钥 Z1 Z52 16

Input x x2y16 K1.1 由 K1.2 由 K13 K1.4 16 K15 16 由 One 9 Round K1.6 由 1 Seven more Rounds K9.1 Output Termination 由 K9.4 16 16 16 16 Y1y16 Y2|16 Y3116 Y416 Output

IDEA的密钥产生 56个16bt的子密钥从128bt的密钥 中生成 765rU 前8个子密钥直接从密钥中取出; 对密钥进行25b的循环左移,接 下来的密钥就从中取出; 重复进行直到52个子密钥都产生 出来

IDEA的密钥产生 56个16bit的子密钥从128bit的密钥 中生成 ◼ 前8个子密钥直接从密钥中取出； ◼ 对密钥进行25bit的循环左移，接 下来的密钥就从中取出； ◼ 重复进行直到52个子密钥都产生 出来

IDEA的解密 加密解密实质相同,但使用不同的密钥; 9解密密钥以如下方法从加密子密钥中导 76出 解密循环l的头4个子密钥从加密循环10-1 的头4个子密钥中导出;解密密钥第1、4个 密钥对应于1、4加密子密钥的乘法逆元; 沙2、3对应2、3的加法逆元; ●对前8个循环来说,循环最后两个子密钥 籌于加密循环9-的最后两个子密钥;

IDEA的解密 ◼ 加密解密实质相同，但使用不同的密钥； ◼ 解密密钥以如下方法从加密子密钥中导 出： ⚫ 解密循环I的头4个子密钥从加密循环10－I 的头4个子密钥中导出；解密密钥第1、4个 子密钥对应于1、4加密子密钥的乘法逆元； 2、3对应2、3的加法逆元； ⚫ 对前8个循环来说，循环I的最后两个子密钥 等于加密循环9－I的最后两个子密钥；

12 ■IDEA是PGP的一部分; 9 3 DEA能抗差分分析和相关分析; 765 ■IDEA似乎没有DES意义下的弱 密钥; ■ Bruce schneier认为DEA是 DES的最好替代,但问题是 1DEA太新,许多问题没解决

◼ IDEA是PGP的一部分； ◼ IDEA能抗差分分析和相关分析； ◼ IDEA似乎没有DES意义下的弱 密钥； ◼ Bruce Schneier 认为IDEA是 DES的最好替代，但问题是 IDEA太新，许多问题没解决

8.9.2RC6算法 S[1 12 9 3 765 S[2 中S[2计+1 复 轮 ttt tm 甲S[2r+2 甲S2r+3 A 囱Q03RCKw//加宓滀程.其中fy)=×y+1

8．9．2 RC6算法 □＋ ○＋ ○ f ＋ f □＋ □＋ □＋ □＋ □＋ A B C D S[0] S[1] log2w log2w S[2i] S[2i+1] S[2r+2] S[2r+3] A B C D 重 复 r 轮 图8.9.3 RC6-w/r/b 加密流程，其中 f (x) = x  (2x +1)