1、1F(2n)比特串计算方法加法:异或乘法:异或、移位001、010100、111求乘法逆元利用生成元AES分组长度、密钥长度、扩展密钥长度、迭代轮数字节代替行移位列混淆密钥扩展算法2(x2+1) + (x2+x+1) = x (x+1)(x2+1) = x.(x2+1) + 1.(x2+1) = x3+x+x2+1 = x3+x2+x+1 (x3+x2+x+1 ) mod (x3+x+1) = x3+ (x2+x+1)= (x+1)+(x2+x+1)=x2101 XOR 111 = 0102011101 = (010)101+(001)101 =1010 XOR 0101 = 11112 11
2、11 mod 1011 = 1111 XOR 1011 = 010023456p双重DESp使用两个密钥的三重DESp使用三个密钥的三重DES3DESp电话本模式p密文分组链模式p密文反馈模式p输出反馈模式p计数器模式p用于面向分组的存储设备的XTS-AES模式p DES在穷举攻击下相对脆弱: 56位密钥的DES在1999年只需要1天就可以被破解p 解决方法: 设计全新的算法,如AES 用DES进行多次加密、使用多个密钥 双重DES 双密钥三重DES 三密钥三重DES7p 2DES:C = EK2(EK1(P) P= DK1(DK2(C)p 那么,是否EK2(EK1(P) EK3(P)?p 中
3、间相遇攻击可以成功对付密钥长度为112位的2DES X = EK1(P) = DK2(C) 用所有可能的密钥加密明文并存储 用所有可能的密钥解密密文,并与存储的X匹配 2112/264=248,248/264=2-16,两组明密对后,正确密钥的概率是1-2-16 ;三组明密对后,正确密钥的概率是1-2-80 付出数量级为 O(256),比攻击单DES的O(255)多不了多少p 解决办法:双密钥三重DES8Campbell and wiener, DES is not a group. In: CRYPTO 1992(264)!101020 2561017p 三重两密:C = EK1(DK2(E
4、K1(P) P= DK1(EK2(DK1(C)p 思路:加密-解密-加密:p 说明:第二步用解密运算,可适应单DES,即当k2 k1时,3DES1DESp 安全性:目前无可行攻击方法p 应用:较多,如密钥管理标准ANSI X9.17和ISO 8732。p 攻击 穷举攻击 211251033 差分攻击:1052于单DES 选择明文攻击:尝试不同明文寻找第一次加密值为0明文,然后使用中间相遇攻击 2112 已知明文攻击:n对明密文对,2(56+64)/n9p 三重两密:C = EK1(DK2(EK1(P) P= DK1(EK2(DK1(C)p 攻击 穷举攻击 211251033 差分攻击:1052
5、于单DES 选择明文攻击:尝试不同明文寻找第一次加密值为0明文,然后使用中间相遇攻击 2112 已知明文攻击:n对明密文对,2(56+64)/np 三重三密:C = EK3(DK2(EK1(P) P= DK1(EK2(DK3(C)10p 分组密码的特点分组密码的特点 输入:b位固定长度明文分组和密钥 分组密码的输出:b位密文 如果明文长度大于b位,则分为b位一组的块,用相同的密钥对多个分组加密。 重复是密码编码学的大忌,回顾波兰人破解恩格玛的过程p 增强密码算法以及使算法适应具体应用的技术增强密码算法以及使算法适应具体应用的技术工作模式工作模式p NIST(SP 800-38A)定义了)定义了
6、5种种“工作模式工作模式”11p NIST(SP 800-38A)定义了)定义了5种种“工作模式工作模式”12p电码本电码本模式(模式(Electronic Code Book,ECB )p最基本的、最简单的模式最基本的、最简单的模式 p加密:Cj=Ek(Pj),(j=1,2,n)13p电码本电码本模式(模式(Electronic Code Book,ECB )p最基本的、最简单的模式最基本的、最简单的模式 p加密:Cj=Ek(Pj),(j=1,2,n)p解密:Pj=Dk(Cj)14p 电码本电码本模式(模式(Electronic Code Book,ECB )p 应用:数据较少的情况,如加密
7、密钥应用:数据较少的情况,如加密密钥p 特点:特点:p每组明文加密过程独立,可以并行加密p相同分组的明文总是对应相同的密文p对于很长的信息存在安全隐患p密文错误不密文错误不传播,即某个传播,即某个Ct的传输错误只影响到的传输错误只影响到Pt的恢复,的恢复,不影响后续的(不影响后续的(jt)。p 容易受主动攻击影响容易受主动攻击影响15p 电码本电码本模式(模式(Electronic Code Book,ECB )p 主动攻击例子:主动攻击例子:p假设EVE在一家公司上班,她知道公司每个月都会用一些分组的信息将雇员的应发薪酬发送给银行,而第七个分组恰好就是对应的金额。p这样EVE就可以截获这些信
8、息,并将代表自己酬劳的那个分组密文用公司经理对应的这部分密文来代替p最终,EVE就领到了更高的薪酬p 为了克服为了克服ECB的弱点,防止类似于上面的攻击,需要将重的弱点,防止类似于上面的攻击,需要将重复明文分组加密成不同的密文分组复明文分组加密成不同的密文分组16p密文分组链接模式(Cipher Block Chaining,CBC)p加密算法输入:当前明文当前明文 上一个密文上一个密文 p加密:C0=IV(初始向量),Cj=Ek(Cj-1 Pj),(j=1,2,n)17p密文分组链接模式(Cipher Block Chaining,CBC)p加密算法输入:当前明文当前明文 上一个密文上一个密
9、文 p加密:C0=IV(初始向量),Cj=Ek(Cj-1 Pj),(j=1,2,n)p解密:Pj=Cj-1 Dk(Cj)18p密文分组链接模式(Cipher Block Chaining,CBC)p加密算法输入:当前明文当前明文 上一个密文上一个密文 p应用:加密长度大于b位的消息、认证p特点:p分组之间加密过程不独立p无法在分组之间并行加密p错误的Ct会影响到Pt和Pt+1pIV双方共享、不能被第三方预测,且不能被非法修改p否则第一组明文可被篡改19p密文分组链接模式(Cipher Block Chaining,CBC)p加密算法输入:当前明文当前明文 上一个密文上一个密文 p可能的信息泄露
10、20p密文反馈模式(Cipher FeedBack,CFB)p加密算法输入n比特比特,每次加密r比特比特明文21p密文反馈模式(Cipher FeedBack,CFB)p加密算法输入n比特比特,每次加密r比特比特明文p应用p加密长度大于64位的明文P;分组随意;可作为流密码使用。p认证:可用于检测发现对明文或密文的篡改。p 特点:p分组任意、安全性优于ECB模式p加、解密都使用加密运算(不用解密运算)p有误码传播,设m=64/r,则错误的Ct会影响到Pt,Pt+m22p输出反馈模式(Output FeedBack,OFB)p加密算法输入n比特比特,每次加密r比特比特明文23p输出反馈模式(Ou
11、tput FeedBack,OFB)p加密算法输入n比特比特,每次加密r比特比特明文p特点:p分组任意、安全性优于ECB模式p加、解密都使用加密运算(不用解密运算)p传输错误只影响本组密文(优点)p抗消息篡改能力不如CFB 密文某位取反,明文也相应地取反p初始化向量只能用一次p流密码模式输出24p输出反馈模式(Output FeedBack,OFB)p加密算法输入n比特比特,每次加密r比特比特明文p特点:p流密码模式输出25p输出反馈模式(Output FeedBack,OFB)p加密:给定计数器初值IV,则 j=1,2,N p解密:261jIVEPCKjj1PjjIVECKjp输出反馈模式(
12、Output FeedBack,OFB)p加密:给定计数器初值IV,则 j=1,2,N p解密:p特点:p硬件效率:可并行处理;p软件效率:并行化;p预处理;p随机访问:比链接模式好;p可证明的安全性:至少与其它模式一样安全;p简单性:只用到加密算法。p传输错误不会影响到其他分组271jIVEPCKjj1PjjIVECKj28需要对明文填充不需要填充29303132p ECBCBC 相同明文加密成为不同密文p CBCXTS-AES 不同数据块可以独立加密解密 OFB、CTR不能有效对抗消息篡改p 特点特点:p可以并行处理p随机访问;p传输错误不会影响到其他分组p能有效对抗消息篡改(优于OFB、CTR)p不能预处理、需要加密、解密两种算法33p双重DESp使用两个密钥的三重DESp使用三个密钥的三重DESp电话本模式p密文分组链模式p密文反馈模式p输出反馈模式p计数器模式p用于面向分组的存储设备的XTS-AES模式
