分组密码以及安全性研究
1引言
分组密码是对称密码学的一个重要分支,在信息安全领域发挥着极其重要的作用,其研究的主要内容包括分组密码的设计和分析这两个既相互对立又相互统一的方面。一方面,针对已有的密码分析手段,密码设计者总希望设计出可以抵抗所有已知攻击的密码算法;另一方面,对已有的密码算法,密码分析者总希望可以找到算法的某些安全缺陷。这两方面的研究共同推进了分组密码理论的发展。
2 分组密码
2.1概念
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。分组密码的研究包括三方面:分组密码的设计原理,分组密码的安全性分析和分组密码的统计性能测试。
2.2内容
目前对分组密码安全性的讨论主要包括差分密码分析、线性密码分析和强力攻击等。从理论上讲,差分密码分析和线性密码分析是目前攻击分组密码的最有效的方法,而从实际上说,强力攻击是攻击分组密码最可靠的方法。到目前为止,已有大量文献讨论各种分组密码的安全性。与序列密码每次加密处理数据流的一位或一个字节不同,分组密码处理的单位是一组明文,即将明文消息编码后的数字序列m0,m1,m2,…,mi划分成长为L位的组
m=(m0,m1,m2,…,mL-1),各个长为L的分组分别在密钥k=(k0,k1,k2,…,kt-1)(密钥长为t)的控制下变换成与明文组等长的一组密文输出数字序列c=(c0,c1,c2,…,cL-1)。L通常为64或128。设明文m与密文c均为二进制0、1数字序列,它们的每一个分量
mi,ciεDF(2)(i=0,1,2,…,n-1),则明文空间为{0,1,…,2n-1},密文空间也为
0,1,…,2n-1},分组密码是由密钥k=(k0,k1,k2,…,kt-1)确定的一个一一映射,也就是空间{0,1,…,2n-1},到自身的一个置换F,由于置换F是由密钥k所确定,一般地,我们把这个置换表示为C=Fk(m)。
分组密码算法实际上就是密钥控制下,通过某个置换来实现对明文分组的加密变换。为了保证密码算法的安全强度,对密码算法的要求如下。
(1)分组长度足够大。当分组长度较小时,分组密码类似于古典的代替密码,它仍然保留了明文的统计信息,这种统计信息将给攻击者留下可乘之机,攻击者可以有效地穷举明文空间,得到密码变换本身。
(2)密钥量足够大。分组密码的密钥所确定密码变换只是所有置换中极小一部分。如果这一部分足够小,攻击者可以有效地穷举明文空间所确定所有的置换。这时,攻击者就可以对密文进行解密,以得到有意义的明文。
(3)密码变换足够复杂。使攻击者除了穷举法以外,找不到其他快捷的破译方法。
分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)
序列.分组密码将定长的明文块转换成等长的密文,这一过程在秘钥的控制之下。使用逆向变换和同一密钥来实现解密。
3 典型分组密码算法
3.1数据加密码标准DES
(1)DES描述
图3.5是DES加密算法的框图,其中明文分组长为64比特,密钥长为56比特。图的左边是明文的处理过程,有3个阶段,首先是一个初始置换IP,用于重排明文分组的64比特数据。然后是具有相同功能的16轮变换,每轮中都有置换和代换运算,第16轮变换的输出分为左右两半,并被交换次序。最后再经过一个逆初始置换IP-1(为IP的逆)从而产生64比特的密文。除初始置换和逆初始置换外,DES的结构和图3.3所示的Feistel密码结构完全相同。
图3.5 DES加密算法框图
图3.5的右边是使用56比特密钥的方法。密钥首先通过一个置换函数,然后,对加密过程的每一轮,通过一个左循环移位和一个置换产生一个子密钥。其中每轮的置换都相同,但由于密钥被重复迭代,所以产生的每轮子密钥不相同。
1. 初始置换
DES的置换表见表3.2。(见40页表3.2)
表3.2(a)和表3.2(b)分别给出了初始置换和逆初始置换的定义,为了显示这两个置换的确是彼此互逆的,考虑下面64比特的输入M :
M1 M2 M3 M4 M5 M6 M7 M8
M9 M10 M11 M12 M13 M14 M15 M16
M17 M18 M19 M20 M21 M22 M23 M24
M25 M26 M27 M28 M29 M30 M31 M32
M33 M34 M35 M36 M37 M38 M39 M40
M41 M42 M43 M44 M45 M46 M47 M48
M49 M50 M51 M52 M53 M54 M55 M56
M57 M58 M59 M60 M61 M62 M63 M64
其中M i是二元数字。由表3.2(a)得X=IP(M)为:
M58 M50 M42 M34 M26 M18 M10 M2
M60 M52 M44 M36 M28 M20 M12 M4
M62 M54 M46 M38 M30 M22 M14 M6
M64 M56 M48 M40 M32 M24 M16 M8
M57 M49 M41 M33 M25 M17 M9 M1
M59 M51 M43 M35 M27 M19 M11 M3
M61 M53 M45 M37 M29 M21 M13 M5
M63 M55 M47 M39 M31 M23 M15 M7
如果再取逆初始置换Y=IP-1(X)=IP-1(IP(M)),可以看出,M各位的初始顺序将被恢复。
2. 轮结构
图3.6是DES加密算法的轮结构。
图3.6 DES加密算法的轮结构
首先看图的左半部分。将64比特的轮输入分成各为32比特的左、右两半,分别记为L和R。和Feistel网络一样,每轮变换可由以下公式表示:
其中轮密钥K i为48比特,函数F(R,K)的计算过程如图3.7所示。轮输入的右半部分R为32比特,R首先被扩展成48比特,扩展过程由表3.2(c)定义,其中将R的16个比特各重复一次。扩展后的48比特再与子密钥K i异或,然后再通过一个S盒,产生32比特的输出。
该输出再经过一个由表3.2(d)定义的置换,产生的结果即为函数F(R,K)的输出。
图3.7 函数F(R,K)的计算过程
F中的代换由8个S盒组成,每个S盒的输入长为6比特、输出长为4比特,其变换关系由表3.3定义,每个S盒给出了4个代换(由一个表的4行给出)。(见42页表3.3)
对每个盒S i,其6比特输入中,第1个和第6个比特形成一个2位二进制数,用来选择S i 的4个代换中的一个。6比特输入中,中间4位用来选择列。行和列选定后,得到其交叉位置的十进制数,将这个数表示为4位二进制数即得这一S盒的输出。例如,S1的输入为011001,行选为01(即第1行),列选为1100(即第12列),行列交叉位置的数为9,其4位二进制表示为1001,所以S1的输出为1001。
S盒的每一行定义了一个可逆代换,图3.2(在3.1.1节)表示S1第0行所定义的代换。
3. 密钥的产生
再看图3.5和图3.6,输入算法的56比特密钥首先经过一个置换运算,该置换由表3.4(a)给出,然后将置换后的56比特分为各为28比特的左、右两半,分别记为C0和D0。在第i 轮分别对C i-1和D i-1进行左循环移位,所移位数由表3.4(c)给出。移位后的结果作为求下一轮子密钥的输入,同时也作为置换选择2的输入。通过置换选择2产生的48比特的K i,即为本轮的子密钥,作为函数F(R i-1,K i)的输入。其中置换选择2由表3.4(b)定义。(见44页表
3.4)
4. 解密
和Feistel密码一样,DES的解密和加密使用同一算法,但子密钥使用的顺序相反。
(2) 二重DES
为了提高DES的安全性,并利用实现DES的现有软硬件,可将DES算法在多密钥下多重使用。二重DES是多重使用DES时最简单的形式,如图3.8所示。其中明文为P,两个加密密钥为K1和K2,密文为:
解密时,以相反顺序使用两个密钥:
图3.8 二重DES
因此,二重DES所用密钥长度为112比特,强度极大地增加。然而,假设对任意两个密钥K1和K2,能够找出另一密钥K3,使得
那么,二重DES以及多重DES都没有意义,因为它们与56比特密钥的单重DES等价,好在这种假设对DES并不成立。将DES加密过程64比特分组到64比特分组的映射看作一个置换,如果考虑264个所有可能的输入分组,则密钥给定后,DES的加密将把每个输入分组映射到一个惟一的输出分组。否则,如果有两个输入分组被映射到同一分组,则解密过程就无法实
施。对264个输入分组,总映射个数为另一方面,对每个不同的密钥,
DES都定义了一个映射,总映射数为256<1017。
因此,可假定用两个不同的密钥两次使用DES,可得一个新映射,而且这一新映射不出现在单重DES定义的映射中。这一假定已于1992年被证明。所以使用二重DES产生的映射不会等价于单重DES加密。但对二重DES有以下一种称为中途相遇攻击的攻击方案,这种攻击不依赖于DES的任何特性,因而可用于攻击任何分组密码。其基本思想如下:
如果有
那么(见图3.8)
如果已知一个明文密文对(P,C),攻击的实施可如下进行:首先,用256个所有可能的K1对P 加密,将加密结果存入一表并对表按X排序,然后用256个所有可能的K2对C解密,在上述表中查找与C解密结果相匹配的项,如果找到,则记下相应的K1和K2。最后再用一新的明文密文对(P′,C′)检验上面找到的K1和K2,用K1和K2对P′两次加密,若结果等于C′,就可确定K1和K2是所要找的密钥。对已知的明文P,二重DES能产生264个可能的密文,而可能的密钥个数为2112,所以平均来说,对一个已知的明文,有2112/264=248个密钥可产生已知的密文。而再经过另外一对明文密文的检验,误报率将下降到248-64=2-16。所以在实施中途相遇攻击时,如果已知两个明文密文对,则找到正确密钥的概率为1-2-16。
(3)两个密钥的三重DES
抵抗中途相遇攻击的一种方法是使用3个不同的密钥做3次加密,从而可使已知明文攻击的代价增加到2112。然而,这样又会使密钥长度增加到56×3=168比特,因而过于笨重。一种
实用的方法是仅使用两个密钥做3次加密,实现方式为加密\|解密\|加密,简记为
,见图3.9,即:
图3.9 两个密钥的三重DES
(4) 三个密钥的三重DES
三个密钥的三重DES密钥长度为168比特,加密方式为
令K3=K2或K1=K2,则变为一重DES。三个密钥的三重DES已在因特网的许多应用(如PGP和S/MIME)中被采用。
3.2国际数据加密算法IDEA
(1)设计原理
算法中明文和密文分组长度都是64比特,密钥长128比特。其设计原理可从强度和实现两方面考虑。
1. 密码强度
算法的强度主要是通过有效的混淆和扩散特性而得以保证。混淆是通过使用以下3种运算而获得,3种运算都有两个16比特的输入和一个16比特的输出:
①
②模216(即65536)整数加法,表示为,其输入和输出作为16位无符号整数处理。
③模216+1(即65537)整数乘法,表示为⊙,其输入、输出中除16位全为0作为216处理外,其余都作为16位无符号整数处理。例如
0000000000000000⊙1000000000000000=1000000000000001
这是因为216×215 mod (216+1)=215+1。
表3.6给出了操作数为2比特长时3种运算的运算表。在以下意义下,3种运算是不兼容的:(见55页表3.6)
① 3种运算中任意两种都不满足分配律,例如
a + (
b ⊙ c)≠(a + b ) ⊙ (a +
c )
② 3种运算中任意两种都不满足结合律,例如
a +()
3种运算结合起来使用可对算法的输入提供复杂的变换,从而使得对IDEA的密码分析比对仅使用异或运算的DES更为困难。
算法中扩散是由称为乘加(multiplication/addition, MA)结构(见图3.14)的基本单元实现的。该结构的输入是两个16比特的子段和两个16比特的子密钥,输出也为两个16比特的子段。这一结构在算法中重复使用了8次,获得了非常有效的扩散效果。
图3.14 MA结构
2. 实现
IDEA可方便地通过软件和硬件实现。
①软件软件实现采用16比特子段处理,可通过使用容易编程的加法、移位等运算实现算法的3种运算。
②硬件由于加、解密相似,差别仅为使用密钥的方式,因此可用同一器件实现。再者,算法中规则的模块结构,可方便VLSI的实现。
(2)加密过程
加密过程(如图3.15所示)由连续的8轮迭代和一个输出变换组成,算法将64比特的明文分组分成4个16比特的子段,每轮迭代以4个16比特的子段作为输入,输出也为4个16比特的子段。最后的输出变换也产生4个16比特的子段,链接起来后形成64比特的密文分组。每轮迭代还需使用6个16比特的子密钥,最后的输出变换需使用4个16比特的子密钥,所以子密钥总数为52。图3.15的右半部分表示由初始的128比特密钥产生52个子密钥的子密钥产生器。
图3.15 IDEA的加密框图
1. 轮结构
图3.16是IDEA第1轮的结构示意图,以后各轮也都是这种结构,但所用的子密钥和轮输入
不同。从结构图可见,IDEA不是传统的Feistel密码结构。每轮开始时有一个变换,该变换的输入是4个子段和4个子密钥,变换中的运算是两个乘法和两个加法,输出的4个子段经过异或运算形成了两个16比特的子段作为MA结构的输入。MA结构也有两个输入的子密钥,输出是两个16比特的子段。
图3.16 IDEA第1轮的轮结构
最后,变换的4个输出子段和MA结构的两个输出子段经过异或运算产生这一轮的4个输出子段。注意,由X2产生的输出子段和由X3产生的输出子段交换位置后形成W12和W13,目的在于进一步增加混淆效果,使得算法更易抵抗差分密码分析。算法的第9步是一个输出变换,如图3.17所示。它的结构和每一轮开始的变换结构一样,不同之处在于输出变换的第2个和第3个输入首先交换了位置,目的在于撤销第8轮输出中两个子段的交换。还需注意,第9步仅需4个子密钥,而前面8轮中每轮需要6个子密钥。
图3.17 IDEA的输出变换
2. 子密钥的产生
加密过程中52个16比特的子密钥是由128比特的加密密钥按如下方式产生的:前8个子密钥Z1,Z2,…,Z8直接从加密密钥中取,即Z1取前16比特(最高有效位),Z2取下面的16
比特,依次类推。然后加密密钥循环左移25位,再取下面8个子密钥Z9,Z10,…,Z16,取法与Z1,Z2,…,Z8的取法相同。这一过程重复下去,直到52子密钥都被产生为止。
3. 解密过程
解密过程和加密过程基本相同,但子密钥的选取不同。解密子密钥U1,U2,…,U52是由加密子密钥按如下方式得到(将加密过程最后一步的输出变换当作第9轮):
①第i(i=1,…,9)轮解密的前4个子密钥由加密过程第(10-i)轮的前4个子密钥得出:其中第1和第4个解密子密钥取为相应的第1和第4个加密子密钥的模216+1乘法逆元,第2和第3个子密钥的取法为:当轮数i=2,…,8时,取为相应的第3个和第2个加密子密钥的模216加法逆元。i=1和9时,取为相应的第2个和第3个加密子密钥的模216加法逆元。
②第i(i=1,…,8)轮解密的后两个子密钥等于加密过程第(9-i)轮的后两个子密钥。
表3.7是对以上关系的总结。其中Z j的模216+1乘法逆元为Z-1j,满足(见58页表3.7)
Z j⊙Z-1j=1mod(216+1)
因216+1是一素数,所以每一个不大于216的非0整数都有一个惟一的模216+1乘法逆元。Z j 的模216加法逆元为-Z j,满足:
-Z j + Z j=0 mod (216)
下面验证解密过程的确可以得到正确的结果。图3.18中左边为加密过程,由上至下,右边为解密过程,由下至上。将每一轮进一步分为两步,第1步是变换,其余部分作为第2步,称为子加密。
图3.18 IDEA加密和解密框图
现在从下往上考虑。对加密过程的最后一个输出变换,以下关系成立:
Y1=W81⊙ Z49 Y2=W83 + Z50
Y3=W82 + Z51 Y4=W84⊙Z52
解密过程中第1轮的第1步产生以下关系:
J11=Y1⊙U1 J12=Y2 + U2
J13=Y3 + U3 J14=Y4⊙U4
将解密子密钥由加密子密钥表达并将Y1,Y2,Y3,,Y4代入以下关系,有
J11=Y1⊙Z-149= W81⊙Z49⊙Z-149= W81
J12=Y2 + -Z50=W83 +Z50 +-Z50=W83
J13=Y3 +-Z51=W82 +Z51 +-Z51=W82
J14=Y4⊙Z-152= W84⊙Z52⊙Z-152= W84
可见解密过程第1轮第1步的输出等于加密过程最后一步输入中第2个子段和第3个子段交换后的值。从图3.16,可得以下关系:
W81=I81MA R(I81I83,I82I84)
W82=I83MA R(I81I83,I82I84)
W83=I82MA L(I81I83,I82I84)
W84=I84MA L(I81I83,I82I84)
其中MA R(X,Y)是MA结构输入为X和Y时的右边输出,MA L(X,Y)是左边输出。则
V11=J11MA R(J11J13,J12J14)
=W81MA R(W81W82,W83W84)
=I81MA R(I81I83,I82I84)
MA R [I81MA R(I81I83,I82I8483
MA R(I81 I83,I82I84), I82
MA L(I81I83,I82I8484
MA L(I81I83,I82I84)]
=I81MA R(I81I83,I82I84)
MA R(I81I83,I82I84) =I81
类似地,可有
V12=I83 V13=I82 V14=I84
所以解密过程第1轮第2步的输出等于加密过程倒数第2步输入中第2个子段和第3个子段交换后的值。
同理可证图3.18中每步都有上述类似关系,这种关系一直到
V81=I11 V82=I13 V83=I12 V84=I14
即除第2个子段和第3个子段交换位置外,解密过程的输出变换与加密过程第1轮第1步的变换完全相同。
即除第2个子段和第3个子段交换位置外,解密过程的输出变换与加密过程第1轮第1步的变换完全相同。
所以最后可得知,整个解密过程的输出等于整个加密过程的输入。
3.3高级加密标准AES
AES作为新一代的数据加密标准汇聚了强安全性、高性能、高效率、易用和灵活等优点。AES设计有三个密钥长度:128,192,256位,相对而言,AES的128密钥比DES的56密钥强1021倍[2]。AES算法主要包括三个方面:轮变化、圈数和密钥扩展。本文以128为例,介绍算法的基本原理;结合AVR汇编语言,实现高级数据加密算法AES。
AES是分组密钥,算法输入128位数据,密钥长度也是128位。用Nr表示对一个数据分组加密的轮数(加密轮数与密钥长度的关系如表1所列)。每一轮都需要一个与输入分组具有相同长度的扩展密钥Expandedkey(i)的参与。由于外部输入的加密密钥K长度有限,所以在算法中要用一个密钥扩展程序(Keyexpansion)把外部密钥K扩展成更长的比特串,以生成各轮的加密和解密密钥。
(1)AES圈变化
AES每一个圈变换由以下三个层组成:
非线性层——进行Subbyte变换;
线行混合层——进行ShiftRow和MixColumn运算;
密钥加层——进行AddRoundKey运算。
① Subbyte变换是作用在状态中每个字节上的一种非线性字节转换,可以通过计算出来的S 盒进行映射。
② ShiftRow是一个字节换位。它将状态中的行按照不同的偏移量进行循环移位,而这个偏移量也是根据Nb的不同而选择的[3]。
③在MixColumn变换中,把状态中的每一列看作GF(28)上的多项式a(x)与固定多项式c(x)相乘的结果。 b(x)=c(x)*a(x)的系数这样计算:
*运算不是普通的乘法运算,而是特殊的运算,即 b(x)=c(x)·a(x)(mod x4+1) 对于这个运算 b0=02。a0+03。a1+a2+a3 令xtime(a0)=02。a0
其中,符号“。”表示模一个八次不可约多项式的同余乘法[3]。
AES加密算法原理
对于逆变化,其矩阵C要改变成相应的D,即b(x)=d(x)*a(x)。
④密钥加层运算(addround)是将圈密钥状态中的对应字节按位“异或”。
⑤根据线性变化的性质[1],解密运算是加密变化的逆变化。这里不再详细叙述。
(2)轮变化
对不同的分组长度,其对应的轮变化次数是不同的,如表1所列。
AES加密算法原理
1.3密钥扩展
AES算法利用外部输入密钥K(密钥串的字数为Nk),通过密钥的扩展程序得到共计4(Nr+1)字的扩展密钥。它涉及如下三个模块:
①位置变换(rotword)——把一个4字节的序列[A,B,C,D]变化成[B,C,D,A];
② S盒变换(subword)——对一个4字节进行S盒代替
③变换Rcon[i]——Rcon[i]表示32位比特字[xi-1,00,00,00]。
这里的x是(02),如 Rcon[1]=[01000000];Rcon[2]=[02000000];Rcon[3]=[04000000]……
扩展密钥的生成:扩展密钥的前Nk个字就是外部密钥K;以后的字W[[i]]等于它前一个字W[[i-1]]与前第Nk个字W[[i-Nk]]的“异或”,即W[[i]]=W[[i-1]]W[[i- Nk]]。但是若i为Nk的倍数,则W[i]=W[i-Nk]Subword(Rotword(W[[i-1]]))Rcon[i/Nk]。
AES的加密与解密流程如图1所示。
3.4 Camellia算法
(1) Camellia算法的组成
Camellia算法支持128比特的分组长度,128、192和256比特的密钥与AES的接口相同。先以128比特密钥为例对Camellia算法进行详细介绍。Camellia算法128比特密钥的加、解密过程共有18轮,采用Feistel结构,加、解密过程完全相同,只是子密钥注入顺序相反。而且密钥扩展过程和加、解密过程使用相同的部件。这使得Camellia算法不论是在软件平台还是硬件平台只需更小的规模和更小的存储即可。
1)Camellia算法所采用的符号列表及其含义
B8比特向量W32比特向量
L64比特向量Q128比特向量
比特向量xL向量x的左半部分
xR向量x的右半部分<<<比特循环左移
||两个操作数的连接比特的异或操作
x比特位取补操作∪比特位的或操作∩比特位的与操作
2)Camellia算法所采用的变量列表及其含义
128比特明文组128比特密文组K主密钥子密钥
3)Camellia算法所采用的变换函数
F变换F变换(见式(1))是Camellia算法中最主要的部件之一,而且F变换被加、解密过程和密钥扩展过程所共用(128比特密钥的加、解密各用18次,密钥扩展用4次)。Camellia算法的F变换在设计时采用1轮的SPN(SubstitutionPermutationNetwork),包括一个P变换(线性)和一个S变换(非线性)。在Feistel型密码使用一轮SPN作轮函数时,对更高
阶的差分和线性特性概率的理论评估变得更加复杂,在相同安全水平下的运行速度有所提高。
P变换Camellia算法的P变换(见式(2))是一个线性变换。为了通信中软、硬件实现的高效性,它适合采用异或运算,并且其安全性能足以抵抗差分和线性密码分析。其在32位处理器、高端智能卡上的应用,跟在8位处理器上一样。
S变换Camellia算法采用的S盒(见式(3))是一个GF(28)上的可逆变换,它加强了算法的安全性并且适用于小硬件设计。众所周知,GF(28)上函数的最大差分概率的最小值被证明为2-6,最大线性概率的最小值推测为2-6。Camellia算法选择GF(28)上能够获得最好的差分和线性概率的可逆函数作S盒,而且S盒每个输出比特具有高阶布尔多项式,使得对Camellia进行高阶差分攻击是困难的。S盒在GF(28)上输入、输出相关函数上的复杂表达式,使得插入攻击对Camellia无效。S:L→L
(l"1(8),l"1(8),l"1(8),l"1(8),l"1(8),l"1(8),l"1(8),l"1(8)→
*s1(l"1(8)),s2(l"2(8)),s3(l"3(8)),s4("4(8)),s2(l"5(8)),s3(l"6(8)),
s4(l"7(8),s1(l"8(l8(8))) 其中,s2:y(8)=s
1(x(8))=h(g(f(0xC5+x(8))))+0x6E s2:Y(8)=s2(x(8))=s1(x(8))<<<1 (3)s3:y(8)=s3(x(8))=s1(x(8))>>>1s4:y(8)=s4(x(8))=s1(x(8))算法中构造了四个不同的S盒,提高了Camellia算法抵抗阶段差分攻击的安全性。为了在小硬件上设计实现,GF(28)上的元素可以表示成系数为GF(24)上的多项式。这样,在实现S盒时,只需运用子域GF(24)上很少的操作。s1变换中所采用的f、h、g函数分别如(4)、(5)、(6)式所示。
(b1,b2,b3,b4,b5,b6,b7,b8)=g(a1,a2,a3,a4,a5,a6,a7,a8) 其中,(b8+b7α+b6α2+b5α3)+(b4+b3α+b2α2+b1α3)β=1/((a8+a7α+a6α2+a5α3)+(a4+a3α+a2α2+a1α3))(6) 规定(6)式中GF(2的8次方)上运算=1/0,β是GF(2的8次方)上方程x8+x6+x5+x3+1=0的根,a=β238=β6+β5+β3+β2是GF(2的4次方)上方程x4+x+1=0的根。当然根据性能要求,在具体实现加密算法时,S盒的实现电路也可以直接查表的方式进行。 %26;#183;FL/FL-1变换Camellia算法每六圈加入一次FL/FL-1变换,用来打乱整个算法的规律性。加入FL/FL-1变换的另一个好处是可以抵抗未知的密码攻击方法,而且加入FL/FL-1变换并不影响Feistel结构加、解密过程相同。
FL:L→L
+YR(32)(2)Camellia算法的加、解密实现过程
1)加、解密过程Camellia算法的整个加密过程有18轮Feistel结构,在第6轮和第12轮之后加入了FL/FL-1变换层,用来打乱算法的规律性,并且在第1轮之前和最后1轮之后使用了128比特的异或操作。解密过程与加密过程完全相同,只是圈密钥注入顺序与加密相反。128比特密钥Camellia算法的加密过程如图1所示。
3 分组密码算法安全性
3.1 DES
DES的安全性主要集中在(1)DES 的密钥长度( 56 位)可能太小;(2)DES 的迭代次数可能太少;(3)S 盒中可能有不安全因素;(4)DES 的一些关键部分不应当保密;(5)DES 的密钥中存在弱密钥,半弱密钥和互补密钥。
3.2 双重DES
双重DES无法抵抗中途相遇攻击,设K1和K2是两个长度为56位的密钥,C=DESK2(DESK1(M)),则显然有DESK1(M)=DESK2-1(C)。假设明文M以及与之对应的C已知,密钥K1和K2未知。现在我们来利用中途相遇攻击的方法找到正确的K1和K2。首先,用所有256个可能的密钥K1’对M进行加密,得到256各密文C’,将所有的(K1’, C’)按C’从小到大或从大到小的顺序排成一个表L。然后,用每一个可能的密钥K2’对C进行解密得到C’’,在表L中查找C’’。满足C’’= C’的(K1’, C’)和(K1’, C’’)可能有很多。因此,当C’’= C’时,再选择一个明文M’以及对应的密文C1,检验C1=DESK2’(DESK1’(M’))是否成立。如果上式成立,则我们就接受K1’和K2’为正确的K1和K2.
SubBytes() ShiftRows() MixColuMns() AddRoundKey() Nr-1轮 SubBytes() ShiftRows() AddRoundKey() 密文 AddRoundKey() 产生轮密钥读入密钥读入明文
3.3 三重DES
三重DES可抵抗中途相遇攻击,可以很好的抗穷举攻击,使用3个不同的密钥,密钥将达到168位,安全性是很好的(目前没有什么密码分析方法可以不使用穷举密钥来攻击DES)。但3重DES使用不同的3个密钥会增加你系统秘钥管理的负担,软件实现的效率低(每个分组作3次DES变换,DES变换的设计初衷本来就是方便用硬件实现),只支持64位分组(对大量数据来说,分组太小了)。
3.4 AES
AES对密钥的选取没有任何限制,每轮常数的不同消除了密钥的对称性,密钥扩展的非线性消除了相同密钥的可能性,加解密使用不同的变换,消除了在DES里出现的弱密钥和半弱密钥存在的可能性。能有效地抵抗密钥已知的攻击方法的攻击,目前最有效的攻击还是穷尽密钥搜索攻击。
3.5 IDEA
IDEA算法的密钥长度为128位,针对64位的数据进行加密或解密操作.设计者尽可能使该算法不受差分密码分析的影响,XueJia Lai已证明IDEA算法在其8轮迭代的第4圈之后便不受差分密码分析的影响了。假定穷举法攻击有效的话,那么即使设计一种每秒种可以试验10亿个密钥的专用芯片,并将10亿片这样的芯片用于此项工作,仍需1013年才能解决问题;另一方面,若用1024片这样的芯片,有可能在一天内找到密钥,不过人们还无法找到足够的硅原子来制造这样一台机器。目前,尚无一片公开发表的试图对IDEA进行密码分析的文章。因此,就现在来看应当说IDEA是非常安全的。
3.6 Camellia算法的安全性
设计者用差分扩散概率和线性相关概率的保守上界证明了任何含SPN网络的十六圈Camellia密码对差分密码分析和线性密码分析都是安全的;此外,通过对活动S盒的计数说明十二圈Camellia中没有概率大于2-128的差分特征和线性特征;带或不带FL层的十圈Camellia都具有伪随机置换特性,能够抵抗截断差分攻击和线性密码分析;设计者还声称Camellia能够抵抗不可能差分攻击、Boomerang攻击、高阶差分攻击、相关密钥攻击、插入攻击、Slide攻击、线性和攻击及Square攻击。在密钥的安全性上,一方面不存在等效密钥;另一方面,子密钥来自主密钥的加密结果KA和KB,改变主密钥并不能获得预想的KA和KB,反之亦然,因而无法控制和预测子密钥之间的关系,从而相关密钥攻击难以成功。由于密钥长度不少于128比特,以当前的计算能力还无法对Camellia成功实施诸如密钥穷举搜索攻击、时间存储权衡攻击、字典攻击和密钥匹配等类型的强力攻击。
4 总结
分组密码的安全性主要依赖于密钥,通过某个置换来实现对明文分组的加密变换。为了保证密码算法的安全强度,对密码算法应有如下要求:
(1)分组长度足够大。当分组长度较小时,分组密码类似于古典的代替密码,它仍然保留了明文的统计信息,这种统计信息将给攻击者留下可乘之机,攻击者可以有效地穷举明文空间,得到密码变换本身。
(2)密钥量足够大。分组密码的密钥所确定密码变换只是所有置换中极小一部分。如果这一部分足够小,攻击者可以有效地穷举明文空间所确定所有的置换。这时,攻击者就可以对密文进行解密,以得到有意义的明文。
(3)密码变换足够复杂。使攻击者除了穷举法以外,找不到其他快捷的破译方法。对于分组密码算法中的DES和AES,在应用方面,尽管DES在安全上是脆弱的,但由于快速DES芯片的大量生产,使得DES仍能暂时继续使用,为提高安全强度,通常使用独立密钥的三级DES。但是DES迟早要被AES代替。而随着密码技术,破译技术的发展,AES的安全性也会受到质疑,分组密码会经受更多的考验。
参考文献
[1] 李超,孙兵,李瑞.分组密码的攻击方法与实例分析.科学出版社,2010.
[2] 陈鲁生,沈世镒.现代密码学.科学出版社.2002.
[3] 冯秀涛. 3GPP LTE 国际加密标准ZUC算法[J].信息安全与通信保密, 2012, 9(12): 45-46.
~密码学入门知识~发现密码学挺有意思啊 一、几种常见密码形式: 1、栅栏易位法。 即把将要传递的信息中的字母交替排成上下两行,再将下面一行字母排在上面一行的后边,从而形成一段密码。 举例: TEOGSDYUTAENNHLNETAMSHV AED 解: 将字母分截开排成两行,如下 T E O G S D Y U T A E N N H L N E T A M S H V A E D 再将第二行字母分别放入第一行中,得到以下结果 THE LONGEST DAY MUST HA VE AN END. 课后小题:请破解以下密码Teieeemrynwetemryhyeoetewshwsnvraradhnhyartebcmohrie 2、恺撒移位密码。 也就是一种最简单的错位法,将字母表前移或者后错几位,例如: 明码表:ABCDEFGHIJKLMNOPQRSTUVWXYZ 密码表:DEFGHIJKLMNOPQRSTUVWXYZABC 这就形成了一个简单的密码表,如果我想写frzy(即明文),那么对照上面密码表编成密码也就是iucb(即密文)了。密码表可以自己选择移几位,移动的位数也就是密钥。 课后小题:请破解以下密码 dtzwkzyzwjijujsixtsdtzwiwjfrx 3、进制转换密码。 比如给你一堆数字,乍一看头晕晕的,你可以观察数字的规律,将其转换为10进制数字,然后按照每个数字在字母表中的排列顺序, 拼出正确字母。 举例:110 10010 11010 11001
解: 很明显,这些数字都是由1和0组成,那么你很快联想到什么?二进制数,是不是?嗯,那么就试着把这些数字转换成十进制试试,得到数字6 18 26 25,对应字母表,破解出明文为frzy,呵呵~ 课后小题:请破解以下密码 11 14 17 26 5 25 4、摩尔斯密码。 翻译不同,有时也叫摩尔密码。*表示滴,-表示哒,如下表所示比如滴滴哒就表示字母U,滴滴滴滴滴就表示数字5。另外请大家不要被滴哒的形式所困,我们实际出密码的时候,有可能转换为很多种形式,例如用0和1表示,迷惑你向二进制方向考虑,等等。摩尔斯是我们生活中非常常见的一种密码形式,例如电报就用的是这个哦。下次再看战争片,里面有发电报的,不妨自己试着破译一下电报 内容,看看导演是不是胡乱弄个密码蒙骗观众哈~由于这密码也比较简单,所以不出小题。 A *- B -*** C -*-* D -** E * F **-* G --* H **** I ** J *--- K -*- L *-** M -- N -* O --- P *--* Q --*- R *-* S *** T - U **- V ***- W *-- X -**- Y -*-- Z --** 数字 0 ----- 1 *---- 2 **--- 3 ***-- 4 ****- 5 ***** 6 -**** 7 --*** 8 ---** 9 ----* 常用标点 句号*-*-*- 逗号--**-- 问号**--** 长破折号-***- 连字符-****- 分数线-**-* 5、字母频率密码。 关于词频问题的密码,我在这里提供英文字母的出现频率给大家,其中数字全部是出现的百分比: a 8.2 b 1.5 c 2.8 d 4.3 e 12.7 f 2.2 g 2.0 h 6.1 i 7.0 j 0.2 k 0.8 l 4.0 m 2.4 n 6.7 o 7.5 p 1.9 q 0.1 r 6.0 s 6.3 t 9.1 u 2.8 v 1.0 w 2.4 x 0.2 y 2.0 z 0.1 词频法其实就是计算各个字母在文章中的出现频率,然后大概猜测出明码表,最后验证自己
《数据分析与处理》课程教学大纲 一、课程基本信息 1.课程代码: 2.课程名称:数据分析与处理 3.课程英文名称: 4.课程类型:CC 5.授课对象:电子商务本科 6.开课单位:信息技术与商务管理系 7.教学时间安排:第2学期 8.先修课程:信息技术基础 9.并行课程: 10.后修课程:数据库原理与应用,动态网站设计基础,电子商务网站建设与管理,电子商务综合实训 11.学时安排: 二、课程教学目标及教学任务 (一)教学目标 1.教学目标的总体概括 既要能够掌握EXCEL的整体概念和基本操作步骤,又要掌握EXCEL在数据分析与处理方面的具体应用。 2.教学目标列表
(二)课程培养能力体系
(三)课程培养目标与课程内容映射表 见附件《数据库原理与应用课程培养目标与课程内容对应mapping图》。 (四)教学任务 实验报告:实验目的明确,实验内容完整,实验步骤正确,实验结论真实、准确,优秀学生能总结出系统的实验注意事项。 作业:作业内容正确,资料翔实,论证充分、有力,优秀学生能够提出鲜明的个人观点,同一问题能够给出简洁明了的答案,具有一定的创新性。 三、各单元教学内容及基本要求 第一部分数据的输入与编辑(2学时(讲课)+2学时课堂练习= 4课时) 教学内容: 1、数据输入的一般操作 2、特殊数据的快捷输入 3、有规律数据的序列输入法 4、设置有效性对输入数据审核 5、下拉式列表选择输入的设计 6、数据的编辑操作 教学重难点: 1、设置有效性对输入数据审核 2、下拉式列表选择输入的设计 教学目标: 1、掌握Excel基本的概念 2、掌握单元格及单元格区域简单数据的输入 3、掌握下拉式列表选择输入的设计 第二部分单元格数据的格式设置(1(讲课)+1(课堂练习)= 4课时) 教学内容: 1、单元格格式的一般设置 2、各种内置数字格式的使用 3、自定义数字格式的应用 4、条件格式化的应用 教学重难点: 1、自定义数字格式的应用
《密码学基础》课程教学大纲 (课程代码:07310620) 课程简介 密码学基础是信息安全专业的一门技术基础课程,该课程的学习将为后续的信息安全课程打下基础,同时也为将来从事信息安全研究和安全系统的设计提供 必要的基础。该课程主要讲授流密码(古典密码学)分组密码学、公钥密码学、 密钥分配与管理、信息认证和杂凑算法、数字签名以及网络加密与认证等几个部分,在其中将学习各种加解密、散列函数、单向函数、签名模式及伪随机发生器 等多种密码学工具,以及如何应用这些工具设计一个实现基本信息安全目标的系 统(目前学时不够,没有安排)。基本密码学工具的掌握和应用这些工具构造安 全服务就是本课程的基本目标。 本课程具有如下特点: (一)依赖很强的数学基础 本课程需要数论、近世代数、概率论、信息论、计算复杂性等数学知识作为 学习的基础。这些数学基础的讲解既要体现本身的体系性,同时还要兼顾密码学背景。 (二)可扩展性强 各种具体方法的学习不是本课程的最终目标,背后的基本原理以及应用这些原理设计新工具的能力才是本课程的最终目标。 (三)课程内容复杂且涉及面广 由于密码学内容丰富,且包含许多复杂的知识点,所以本课程的讲授以线为主,即在基本主线的勾勒基础上对授课内容及复杂程度做出取舍。 本课程先修课程有:数据结构、近世代数、概率论、高等数学、高级语言程 序设计等。后续课程有信息安全扫描技术、PKI技术、病毒学等专业课程。 课程教材选用国内信息安全优秀教材杨波编著的《现代密码学》(清华大学出版社),同时参考国外优秀教材:《经典密码学与现代密码学》,Richard Spillman,清华大学出版社、Douglas R. Stinson著,冯登国译的《密码学原理和实践》,电子工业出版社,2003年2月第二版。另外还向学生推荐国内的一些具有特色的操作系统教材如胡向东编写的《应用密码学教程》(电子工业出版社)等。 实验教材选用自编的实验指导书,同时参考上海交大的“信息安全综合实验系统实验指导书”,除了这些教材之外,学校的图书馆为师生提供了相关的学术 期刊和图书。 课程教学体系:理论课程(34学时)课程实验(16学时)。达到从算法 验证、综合设计、到创新应用知识的逐步提高、全面培养的目的。相应的教学 材料由教学大纲、实验大纲、实验指导书等。实践环节的实验条件有:计算机 科学技术系的实验中心(实施课程实验)。 课程教学安排 序号内容课时数备注 一密码学概述 2 二古典密码学算法(一) 2
《网络安全课程设计》教学大纲 课程编号:B1864032C 课内周数:2周 课程类别:□通识基础□学科基础□专业基础■专业 适用专业: 一、所涉及的课程及知识点 网络安全课程设计主要涉及网络工程专业“网络安全技术”、“计算机网络”等课程,其中网络安全技术涉及到知识点包括网络监听、ARP欺骗、木马攻击、拒绝服务攻击、口令破解、防火墙、入侵检测系统等,计算机网络课程涉及知识点涵括多种网络协议:ARP协议、ICMP协议、IP、TCP、UDP协议以及局域网、路由器、网卡工作模式等。 二、目的与任务 目的:本课程是建立在学生掌握网络安全和计算机网络基本概念和理论基础上,通过上机实验操作,使学生进一步深刻领会课堂上所学的攻击和防御的理论知识,并了解如何将这些理论知识运用到实际网络安全问题解决过程中。通过对常见网络攻击和防御的软件安装、配置以及使用,培养学生在实际环境中处理网络安全问题的能力,掌握网络协议的实现机制;通过设计编写安全程序,提高学生分析网络安全问题、并通过查阅资料独立解决问题、以及软件设计、编写及调试等基本操作技能。 任务:本课程任务分为两个模块。模块一是熟悉并掌握几个典型的网络攻防实验原理:网络嗅探、ARP欺骗攻击、端口和漏洞扫描、口令攻击、木马攻击、拒绝服务攻击、防火墙的配置、入侵检测系统,对于每一种攻击或者防范,根据给定的相应软件,安装并使用这些软件,分析实验结果,验证实验原理,模块一的任务每位同学必须独立完成,提交实验报告。模块二分为九个主题,几位同学为一组,每一组选择其中某一个安全主题,设计并编写满足给定题目要求的程序,测试并分析程序运行结果,并在指导老师要求下完成简单的答辩,每一组均需提交电子档的源程序代码、可执行文件、程序使用说明文档以及完整的课程设计报告,同时提交纸质版设计报告。 三、内容与要求 模块一:网络安全攻击与防御验证 (一)课题内容 本模块学生利用指导老师提供的相应软件工具,安装、配置并使用各软件,验证其安全攻击与防范的实验原理。具体实验内容如下:使用一种sniffer工具软件Wireshark嗅探用户名和密码;在局域网内使用ARP欺骗软件对任意一台主机实行ARP欺骗,使其不能访问外网;掌握防范ARP欺骗的MAC 地址与IP地址绑定方法;利用端口扫描软件nmap/xcan扫描目标主机开放端口;使用漏洞扫描工具nessus扫描主机漏洞;使用LC5(L0phtCrack V5)软件破解windows XP系统用户密码;了解冰河木马的操作与运行过程,掌握删除系统木马的方法;观察拒绝服务攻击中UDP泛洪攻击的实验现象;安装并配置天网防火墙,安装并配置入侵检测系统snort。
教学与实验——密码学 密码学在信息安全方面起着重要的作用,而它又是围绕对称密钥和非对称密钥技术展开着。对称密钥和非对称密钥技术应用在数据加密、身份认证和数字签名等。是保证信息具备保密性、可靠性、完整性和不可抵赖性的有效工具。 标签:对称密钥非对称密钥加密 0 引言 《网络运行与维护》是计算机信息管理专业的一门核心课程。本课的关键内容是密码学,而密码学又是围绕对称密钥和非对称密钥技术展开的。同时对称密钥和非对称密钥的应用非常广泛,这就要求学生对这部分内容掌握得相当扎实。为此有针对性地采取适当的方式开展实验教学。真正做到实验学生做,思路学生想,疑难学生议,错误学生析,使学生的综合能力在实验过程中得到最大限度的提高。 1 对称密码 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是,交易双方都使用同样钥匙,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。 2 非对称密码 非称加密算法使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。在使用非称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。非称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。由于不对称算法拥有两个密钥,因而
第3章 分组密码 习题及参考答案 1. 设DES 算法中,明文M 和密钥K 分别为: M =0011 1000 1100 0100 1011 1000 0100 0011 1101 0101 0010 0011 1001 1110 0101 1110 K =1010 1001 0011 0101 1010 1100 1001 1011 1001 1101 0011 1110 1101 0101 1100 0011 求L 1和R 2。 解: 初始变换IP : 1001 1010 1101 0101 1101 0010 0011 1000 0101 0110 0010 0101 1100 0101 1110 1000 则,0L =1001 1010 1101 0101 1101 0010 0011 1000 0R =0101 0110 0010 0101 1100 0101 1110 1000 K 去校验位得: 0C =1101 0111 1100 0000 0010 0111 0111 0D =1010 1000 0111 0110 0011 0101 0010 循环左移一位:1C =1010 1111 1000 0000 0100 1110 1111 1D =0101 0000 1110 1100 0110 1010 0101 经过置换选择得到:1K =0000 1111 0110 1000 1101 1000 1001 1010 1000 0111 0011 0001 同样可以得到:2K =0101 0101 0110 0001 1101 1101 1011 0101 0101 0000 0110 1110 1L =0R =0101 0110 0010 0101 1100 0101 1110 1000
密码学的发展简史 中国科学院研究生院信息安全国家重点实验室聂旭云学号:2004 密码学是一门年轻又古老的学科,它有着悠久而奇妙的历史。它用于保护军事和外交通信可追溯到几千年前。这几千年来,密码学一直在不断地向前发展。而随着当今信息时代的高速发展,密码学的作用也越来越显得重要。它已不仅仅局限于使用在军事、政治和外交方面,而更多的是与人们的生活息息相关:如人们在进行网上购物,与他人交流,使用信用卡进行匿名投票等等,都需要密码学的知识来保护人们的个人信息和隐私。现在我们就来简单的回顾一下密码学的历史。 密码学的发展历史大致可划分为三个阶段: 第一个阶段为从古代到1949年。这一时期可看作是科学密码学的前夜时期,这段时间的密码技术可以说是一种艺术,而不是一门科学。密码学专家常常是凭直觉和信念来进行密码设计和分析,而不是推理证明。这一个阶段使用的一些密码体制为古典密码体制,大多数都比较简单而且容易破译,但这些密码的设计原理和分析方法对于理解、设计和分析现代密码是有帮助的。这一阶段密码主要应用于军事、政治和外交。 最早的古典密码体制主要有单表代换密码体制和多表代换密码体制。这是古典密码中的两种重要体制,曾被广泛地使用过。单表代换的破译十分简单,因为在单表代换下,除了字母名称改变以外,字母的频度、重复字母模式、字母结合方式等统计特性均未发生改变,依靠这些不变的统计特性就能破译单表代换。相对单表代换来说,多表代换密码的破译要难得多。多表代换大约是在1467年左右由佛罗伦萨的建筑师Alberti发明的。多表代换密码又分为非周期多表代换密码和周期多表代换密码。非周期多表代换密码,对每个明文字母都采用不同的代换表(或密钥),称作一次一密密码,这是一种在理论上唯一不可破的密码。这种密码可以完全隐蔽明文的特点,但由于需要的密钥量和明文消息长度相同而难于广泛使用。为了减少密钥量,在实际应用当中多采用周期多表代换密码。在
第33卷第9期湖南科技学院学报V ol.33 No.9 2012年9月 Journal of Hunan University of Science and Engineering Sep.2012 谈现代密码学的教学 黄琼郭艾侠 (华南农业大学 信息学院,广东 广州 510642) 摘 要:密码学是实现信息安全的一个重要工具。文章就如何提高现代密码学课程的教学效率、激发学生的兴趣,阐述几点感觉和体会。在教学中应注重理论与应用、攻击与防御的紧密结合,以应用入手,带出理论,再辅之以理论在实际中的具体应用。 关键词:信息安全;密码学;数学;教学思想 中图分类号:G642文献标识码:A 文章编号:1673-2219(2012)09-0171-02 0 引 言 近年来,随着计算机、网络、通信等的信息技术迅速发展,出现了大量的电子、计算机设备和应用系统,以及网络信息系统,例如电子商务、电子政务、网上银行、移动通信 等。这些设备和系统与人们的日常生活的联系越来越紧密,成为人们生活中不可或缺的部分。虽然社会的信息化程度越来越高,这些设备和系统在我们的生活中起着越来越重要的作用,但是随之而来的安全问题却不容小觑。近几年信息安全事件频繁发生,信息泄漏给人们的生活造成诸多不良影响和困扰,使得人们对信息安全的关注度也越来越高。如何保障信息安全也成为了一个热点研究问题。然而,无论是过去、现在还是将来,信息安全保障技术以数学和计算机科学为基础,需要相关专业的毕业生来开发并实现这些防护技术。因此,许多高校都开设了信息安全或相关专业,培养优秀毕业生,将来从事信息安全建设工作。 保障信息安全的一个重要手段是密码学。密码技术可以用于实现数据的保密性、完整性、不可篡改性、可用性、不可抵赖性等,也可以用于控制对数据的访问。密码学的重要基础是数学,如抽像代数、数论等,理论性强,是一门相对比较难学的学科。许多学生对如何使用理论知识来解决实际问题还不是很清楚[1]。高校开设这门课程的目的之一是要求学生具备一定的分析问题和解决问题的动手能力,能够进行一些安全实践[2, 3]。笔者就如何激发学生的兴趣、提高信息安全数学基础的教学效率和效果,阐述几点感想与体会,与同行做探讨。 收稿日期:2012-07-05 基金项目:华南农业大学2010年度教育教学改革项目(JG10120)和华南农业大学信息学院教改课题(INFJG09 03)。 作者简介:黄琼(1982-),男,江西南昌人,副教授,博士,研究方向为密码学与信息安全。郭艾侠(1974-),女,安徽宿州人,讲师,研究方向为信息安全。 1 现代密码学的特点 与其它课程相比,现代密码学具有以下特点[5]: (1)密码学是一门具有非常强的理论性的学科,其教学离不开密码理论的讲授,常常需要讲解各种方案的原理。然而,光讲解密码理论的话,学生很容易感觉到枯燥。各种密码方案都具有其应用背景,且学生们多数都对应用较为感兴趣。因此,密码学的教学过程中应该理论与应用并重,以应用引出理论,再以理论指导应用。 (2)现代密码学的内容涉及数论、抽象代数、概率等诸多数学知识,范围较广,潜在地要求学生具有一定的数学基础。 (3)由于密码学的应用很广,如数据库安全、网络安全、操作系统安全等都需要用到密码工具。因此,密码学也就和这些相关课程有着密切的关联。在教学过程中可穿插一些密码学在各个领域的应用。 2 教学感受与体会 针对以上特点,在教学实践中笔者采取了如下的思路和方法。 2.1以数据隐藏为切入点 密码学的发展源于数据的隐藏,早在古罗马时期就出现了数据加密技术“凯撒密码”。除此之外,还有很多经典的古典加密方法,如普莱菲尔密码、维吉尼亚密码等。此类的数据加密技术较容易引起学生的兴趣,二战时期美国与德国、日本之间的“密码战争”的故事更能激发学生对密码术的兴趣。在实际教学中可以用此类的故事展开,然后举一些古典密码的例子,如: 加密方法:凯撒密码 明文:Attack Midway Island Tomorrow 密文:Dwwdfn plgzdb Lvodqg Wrpruurz 密钥:3 使学生掌握“明文”、“密文”、“密钥”这几个概念以及加密、解密是怎么一回事。由此,向学生讲解对称加密的机制,并 171
1 密码学分类 2 攻击分类 3 安全业务 4 算法输入输出位数 5 密钥分配管理 6 密钥分配 7 公钥分配 8 三重DES 9 杂凑的要求 10 欧几里得 11 本原根 12勒让德符号 13数字签名的执行方式 14强单向杂凑 15模运算性质 16 同余式 17 DES 18 AES 19 RSA 20 MD5 21费尔马定理 22 欧拉定理 23 中国剩余定理 24 四种工作模式 1 密码学分类 单钥体制双钥体制 2 攻击分类 唯密文攻击已知明文攻击选择明文攻击选择密文攻击 3 安全业务 认证业务保密业务完整性业务不可否认业务访问控制 4 算法输入输出位数 DES 64比特明文56比特密钥输出64比特密文 AES 128 192 256 比特 RSA 输入664比特 MD5 输入512比特分组128比特输出 5 密钥分配管理 两个用户A和B获得共享密钥的方法包括: ①密钥由A选取并通过物理手段发送给B。 ②密钥由第三方选取并通过物理手段发送给A和B。
③如果A、B事先已有一密钥,则其中一方选取新密钥后,用已有的密钥加密新密钥并发送给另一方。 ④如果A和B与第三方C分别有一保密信道,则C为A、B选取密钥后,分别在两个保密信道上发送给A、B 6 密钥分配 ①A向KDC发出会话密钥请求 ②KDC为A的请求发出应答。 ②A存储会话密钥,并向B转发EKB[KS‖IDA]。 ④B用会话密钥KS加密另一个一次性随机数N2,并将加密结果发送给A。 ⑤A以f(N2)作为对B的应答,其中f是对N2进行某种变换(例如加1)的函数,并将应答用会话密钥加密后发送给B。 7 公钥分配 ①用户A向公钥管理机构发送一个带时戳的消息,消息中有获取用户B的当前公钥的请求。 ②管理机构对A的请求作出应答,应答由一个消息表示,该消息由管理机构用自己的秘密钥SKAU加密,因此A能用管理机构的公开钥解密,并使A相信这个消息的确是来源于管理机构。 ③A用B的公开钥对一个消息加密后发往B,这个消息有两个数据项: 一是A的身份IDA,二是一个一次性随机数N1,用于惟一地标识这次业务。 ④B以相同方式从管理机构获取A的公开钥(与步骤①、②类似)。这时,A和B都已安全地得到了对方的公钥,所以可进行保密通信。然而,他们也许还希望有以下两步,以认证对方。 ⑤B用PKA对一个消息加密后发往A,该消息的数据项有A的一次性随机数N1和B产生的一个一次性随机数N2。因为只有B能解密③的消息,所以A收到的消息中的N1可使其相信通信的另一方的确是B。 ⑥A用B的公开钥对N2加密后返回给B,可使B相信通信的另一方的确是A。
《密码学》教学大纲 《Cryptography 》 课程编号: 2180081 学时: 48 学分: 2.5 授课学院:软件学院 适用专业:软件工程 教材(名称、主编或译者、出版社、出版时间): [1]Wade Trappe, Lawrence C. Washington,Introduction to cryptography with coding theory, Prentice-Hall (科学出版社影印 ), 2002 。 [2]Alfred J. Menezes, Paul C. van Oorschot , Scott A. Vanstone, Handbook of applied cryptography, CRC Press, 1997。 主要参考资料: [1]卢开澄,计算机密码学 - 计算机网络中的数据保密与安全,清华大学出版社,2003。 [2]Bruce Schneie 著,吴世忠,祝世雄,张文政等译,何德全审校,应用密码学 - 协议、算法与 C 源程序,机械工业出版社, 2000。 [3]Steve Burnett, Stephen Pain 著,冯登国,周永彬,张振峰,李德全等译,密 码工程实践指南,清华大学出版社, 2001。 [4]Paul Garret 著,吴世忠,宋晓龙,郭涛等译,密码学导引,机械工业出版社,2003。 [5]Wenbo Mao 著, 王继林,伍前红等译,王育民,姜正涛审校,现代密码学理 论与实践,电子工业出版社, 2004。 一.课程的性质、目的及任务 密码学是软件工程专业拓宽、提高性的专业选修课。 大量的信息以数据形式存放在计算机系统中并通过公共信道传输。保护信息的安全已不仅仅是军事和政府部门感兴趣的问题,各企事业单位也愈感迫切。密码技术是信息安全中的关键技术,它的有效使用可以极大地提高网络的安全性。
信息安全专业的密码学教学 本文介绍了一些常见的误用密码协议的例子,进而探讨了信息安全专业密码学教学中的一些可行性方法。 关键词:信息系统;密码;协议;教学 1简介 由于使用了数学中的有限域和数论理论,因此密码学课程一直被视为是非常数学的。诚然,数学基础对现代密码方案设计和算法理解是至关重要的,但是对于密码系统开发和评估人员来说,一般不需要考虑底层的密码算法,而是需要分析高层密码协议(如密钥分配协议,身份认证协议)的安全性。因此,过分强调数学在密码学中的作用而忽视一般密码知识的重要性,就导致出现了很多有缺陷的密码系统,而这些缺陷一般都不是因为底层密码算法的瑕疵而引起的。故此,如何使信息安全的思想和方法更有效地被系统开发者理解,引起了国内外政府、大学、科研机构的高度关注。我国于本世纪初在一些大学先后开设了信息安全专业,但是如何将密码学从纯粹数学研究或者科学研究领域转变为非数学和科研工作者应用的开发工具,是一个严峻的挑战,而分析和总结非数学专业密码学课程的教学是一项有意义的工作。 2一些例子 本节介绍一些有缺陷的密码系统,从中可以看出缺乏对必要的密码协议的理解将带来的安全隐患。 2.1商场支付卡系统 商家的支付可系统通常用一个PIN码簿加密客户的PIN码。由于系统的敏感性,PIN码簿应周期性地更新。而在早先的装置中,这些系统使用主密钥管理系统,这就需要信用卡认证主机定期下载一个新的会话密钥充当PIN码簿。但不幸的是,商家终端和信用卡认证主机之间通信协议的设计者没有意识到这个问题,在通信协议中不提供对更新会话密钥的下载,因此大多数情况下,会话密钥没有更新。 2.2IBM 4758处理器
~密码学入门知识~ 最近推理小说看多了~感觉密码学挺有意思的~改天在图书馆里找找看有没有好玩的密码 学的书~~那个利用键盘的密码我没看懂~ 本少爷以后跟别人告白就用密码了~哈哈~ 一、几种常见密码形式: 1、栅栏易位法。 即把将要传递的信息中的字母交替排成上下两行,再将下面一行字母排在上面一行的后边,从而形成一段密码。 举例: TEOGSDYUTAENNHLNETAMSHVAED 解: 将字母分截开排成两行,如下 T E O G S D Y U T A E N N H L N E T A M S H V A E D 再将第二行字母分别放入第一行中,得到以下结果 THE LONGEST DAY MUST HAVE AN END. 课后小题:请破解以下密码Teieeemrynwetemryhyeoetewshwsnvraradhnhyartebcmohrie 2、恺撒移位密码。 也就是一种最简单的错位法,将字母表前移或者后错几位,例如: 明码表:ABCDEFGHIJKLMNOPQRSTUVWXYZ 密码表:DEFGHIJKLMNOPQRSTUVWXYZABC 这就形成了一个简单的密码表,如果我想写frzy(即明文),那么对照上面密码表编成密码也就是iucb(即密文)了。密码表可以自己选择移几位,移动的位数也就是密钥。 课后小题:请破解以下密码 dtzwkzyzwjijujsixtsdtzwiwjfrx
3、进制转换密码。 比如给你一堆数字,乍一看头晕晕的,你可以观察数字的规律,将其转换为10进制数字,然后按照每个数字在字母表中的排列顺序, 拼出正确字母。 举例:110 10010 11010 11001 解: 很明显,这些数字都是由1和0组成,那么你很快联想到什么?二进制数,是不是?嗯,那么就试着把这些数字转换成十进制试试,得到数字6 18 26 25,对应字母表,破解出明文为frzy,呵呵~ 课后小题:请破解以下密码 11 14 17 26 5 25 4、摩尔斯密码。 翻译不同,有时也叫摩尔密码。*表示滴,-表示哒,如下表所示比如滴滴哒就表示字母U,滴滴滴滴滴就表示数字5。另外请大家不要被滴哒的形式所困,我们实际出密码的时候,有可能转换为很多种形式,例如用0和1表示,迷惑你向二进制方向考虑,等等。摩尔斯是我们生活中非常常见的一种密码形式,例如电报就用的是这个哦。下次再看战争片,里面有发电报的,不妨自己试着破译一下电报 内容,看看导演是不是胡乱弄个密码蒙骗观众哈~由于这密码也比较简单,所以不出小题。 A *- B -*** C -*-* D -** E * F **-* G --* H **** I ** J *--- K -*- L *-** M -- N -* O --- P *--* Q --*- R *-* S *** T - U **- V ***- W *-- X -**- Y -*-- Z --** 数字 0 ----- 1 *---- 2 **--- 3 ***-- 4 ****- 5 ***** 6 -**** 7 --*** 8 ---** 9 ----* 常用标点 句号*-*-*- 逗号--**-- 问号**--** 长破折号-***- 连字符-****- 分数线-**-* 5、字母频率密码。 关于词频问题的密码,我在这里提供英文字母的出现频率给大家,其中数字全部是出现的百分比:
第一章 基本概念 1. 密钥体制组成部分: 明文空间,密文空间,密钥空间,加密算法,解密算法 2、一个好密钥体制至少应满足的两个条件: (1)已知明文和加密密钥计算密文容易;在已知密文和解密密钥计算明文容易; (2)在不知解密密钥的情况下,不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法: (1)穷举攻击 (解决方法:增大密钥量) (2)统计分析攻击(解决方法:使明文的统计特性与密文的统计特性不一样) (3)解密变换攻击(解决方法:选用足够复杂的加密算法) 4、四种常见攻击 (1)唯密文攻击:仅知道一些密文 (2)已知明文攻击:知道一些密文和相应的明文 (3)选择明文攻击:密码分析者可以选择一些明文并得到相应的密文 (4)选择密文攻击:密码分析者可以选择一些密文,并得到相应的明文 【注:①以上攻击都建立在已知算法的基础之上;②以上攻击器攻击强度依次增加;③密码体制的安全性取决于选用的密钥的安全性】 第二章 古典密码 (一)单表古典密码 1、定义:明文字母对应的密文字母在密文中保持不变 2、基本加密运算 设q 是一个正整数,}1),gcd(|{};1,...,2,1,0{* =∈=-=q k Z k Z q Z q q q (1)加法密码 ①加密算法: κκ∈∈===k X m Z Z Y X q q ;,;对任意,密文为:q k m m E c k m od )()(+== ②密钥量:q (2)乘法密码 ①加密算法: κκ∈∈===k X m Z Z Y X q q ;,;* 对任意,密文为:q km m E c k m od )(== ②解密算法:q c k c D m k mod )(1 -== ③密钥量:)(q ? (3)仿射密码 ①加密算法: κκ∈=∈∈∈===),(;},,|),{(;21* 2121k k k X m Z k Z k k k Z Y X q q q 对任意;密文
《初等数论》教学大纲 Elementary number theory 一、本大纲适用专业 数学与应用数学。 二、课程性质与目的 1. 课程目标 初等数论是数学与应用数学专业一门专业选修课。通过这门课的学习,使学生获得关于整数的整除、不定方程、同余、原根与指数的基本知识,掌握数论中的最基本的理论和常用的方法,加强他们的理解和解决数学问题的能力,为今后的实际工作打下良好基础。 2. 与其它课程的关系 本课程是初等数学研究、C语言程序设计A,近世代数等课程的后续课程。 3. 开设学期 按培养方案规定的学期开设。 三、教学方式及学时分配 四、教学内容、重点 第一章整数的可除性 1. 教学目标 理解整数整除的概念、最大公约数的概念、最小公倍数的概念,掌握带余除法与辗转相除法;理解素数与合数的概念;理解和掌握素数的性质、整数关于素数的分解定理、素数的求法;掌握函数[x]和 {x} 的性质。 2. 教学内容 (1)整数整除、剩余定理:带余除法与辗转相除法;最大公约数的概念、性质及求最大公约数的方法;最小公倍数的概念、性质及最小公倍数的求法。(2)素数与合数:素数与合数的概念、素数的性质、整数关于素数的分解定理、素数
的求法;函数[x] {x} 的性质及其应用。 3. 教学方法 讲解教学。 4. 本章重点 辗转相除法,整数的素数分解定理。 5. 本章难点 求最大公因子的方法。 第二章不定方程 1. 教学目标 理解不定方程的概念,理解和掌握元不定方程有整数解的条件,会求一次不定方程的解。 2. 教学内容 (1)一次不定方程,多元一次不定方程的形式,多元一次不定方程有解条件,求简单的多元一次不定方程的解。(2)二元一次不定方程有整数解的条件,求一次不定方程的解。 3. 教学方法 讲解教学。 4. 本章重点 多元一次不定方程有解条件,二元一次不定方程有整数解的条件。 5. 本章难点 不定方程的整数解的形式,求多元不定方程的整数解。 第三章同余、同余式 1. 教学目标 理解整数同余的概念,理解和掌握同余的基本性质、整数具有素因子的条件函数相关性质;理解剩余类与完全剩余系的概念,理解欧拉函数的定义及性质;掌握欧拉定理、费马定理、孙子定理。 2. 教学内容 (1)整数同余:整数同余的概念、同余的基本性质;整数具有素因子的条件;利用同余简单验证整数乘积运算的结果。(2)剩余类与完全剩余系:剩余类与完全剩余系的概念;判断剩余系的方法;欧拉函数的定义及性质;欧拉定理、费马定理。(3)同余式的基本概念、孙子定理。 3. 教学方法 讲解教学。 4. 本章重点 剩余系的判定,欧拉函数的定义及性质,中国剩余定理。 5. 本章难点
第一章 1、1949年,(A )发表题为《保密系统的通信理论》的文章,为密码系统建立了理论基础,从此密码学成了一门科学。 A、Shannon B、Diffie C、Hellman D、Shamir 2、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由(D)决定的。 A、加密算法 B、解密算法 C、加解密算法 D、密钥 3、计算和估计出破译密码系统的计算量下限,利用已有的最好方法破译它的所需要的代价超出了破译者的破译能力(如时间、空间、资金等资源),那么该密码系统的安全性是(B )。 A无条件安全B计算安全C可证明安全D实际安全 4、根据密码分析者所掌握的分析资料的不同,密码分析一般可分为4类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中破译难度最大的是(D )。 A、唯密文攻击 B、已知明文攻击 C、选择明文攻击 D、选择密文攻击 5、1976年,W.Diffie和M.Hellman在密码学的新方向一文中提出了公开密钥密码的思想,从而开创了现代密码学的新领域。 6、密码学的发展过程中,两个质的飞跃分别指1949年香农发表的保密系统的通信理论和公钥密码思想。 7、密码学是研究信息及信息系统安全的科学,密码学又分为密码编码学和密码分析学。 8、一个保密系 统一般是明文、密文、密钥、加密算法、解密算法5部分组成的。 9、密码体制是指实现加密和解密功能的密码方案,从使用密钥策略上,可分为对称和非对称。 10、对称密码体制又称为秘密密钥密码体制,它包括分组密码和序列密码。 第二章 1、字母频率分析法对(B )算法最有效。 A、置换密码 B、单表代换密码 C、多表代换密码 D、序列密码 2、(D)算法抵抗频率分析攻击能力最强,而对已知明文攻击最弱。 A仿射密码B维吉利亚密码C轮转密码D希尔密码 3、重合指数法对(C)算法的破解最有效。 A置换密码B单表代换密码C多表代换密码D序列密码 4、维吉利亚密码是古典密码体制比较有代表性的一种密码,其密码体制采用的是(C )。 A置换密码B单表代换密码C多表代换密码D序列密码 5、在1949年香农发表《保密系统的通信理论》之前,密码学算法主要通过字符间的简单置换和代换实现,一般认为这些密码体制属于传统密码学范畴。 6、传统密码体制主要有两种,分别是指置换密码和代换密码。 7、置换密码又叫换位密码,最常见的置换密码有列置换和周期转置换密码。 8、代换是传统密码体制中最基本的处理技巧,按照一个明文字母是否总是被一个固定的字母代替进行划分,代换密码主要分为两类:单表代换和多表代换密码。 9、一个有6个转轮密码机是一个周期长度为26 的6次方的多表代替密码机械装置。 第四章 1、在( C )年,美国国家标准局把IBM的Tuchman-Meyer方案确定数据加密标准,即DES。 A、1949 B、1972 C、1977 D、2001 2、密码学历史上第一个广泛应用于商用数据保密的密码算法是(B )。 A、AES B、DES C、IDEA D、RC6 3、在DES算法中,如果给定初始密钥K,经子密钥产生的各个子密钥都相同,则称该密钥K为弱密钥,DES算法弱密钥的个数为(B )。
密码学课程实验指导书 一、密码学课程实验的意义 当前,重视实验与实践教育是各国高等教育界的发展潮流,实验与实践教学与理论教学是相辅相成的,具有同等重要的地位。它是在开放教育的基础上,为配合理论教学、培养学生分析问题和解决问题的能力以及加强训练学生专业实践能力而设置的教学环节;对于完成教学计划、落实教学大纲,确保教学质量,培养学生分析问题、解决问题的能力和实践操作技能更具有特别重要的意义。 密码学是信息安全与保密技术的核心,是一门实践性非常强的课程,实践教学是培养密码技术应用性人才的重要途径,实践教学质量的好环,实际上也决定了应用型人才培养质量的高低。因此,加强密码学课程实践教学环节,提高实践教学质量,对培养高质量的应用型人才至关重要。 二、实验的目的与要求 本实验指导书并不给出一些非常具体的实验步骤,让学生们照着做一遍的实验“指导书”。这样的实验无法发掘这群充满活力的人群的智慧和创造性。本书中的每个实验都是按照这种模式编写的:先给出有关的理论介绍,然后抛砖引玉地给出几范例,再给出一个简单的实验要求。同时,希望每个实验都完成准备-预约-实验-答辩4个环节。 实验内容包含对称密码和公钥密码二个方面,以DES和RSA为代表通过具体实验使学生掌握这二类密码的结构、特性、攻击方法以及实际应用技术。 第一部分数据加密标准DES 1.实验目的 (1)掌握DES中各加密函数对其性能影响; (2)DES的特性分析,包括互补性和弱密钥; (3)DES的实际应用,包括各种数据类型的加/脱密、DES的短块处理。 2.实验原理 信息加密根据采用的密钥类型可以划分为对称密码算法和非对称密码算法。对称密码算法是指加密系统的加密密钥和解密密钥相同,或者虽然不同,但是可
“密码学”教学改革的探索与实践 【摘要】针对当前相关信息专业下设置的的密码学课程教学,从学生的实际情况出发,提出了探究式课堂教学方法; 并针对实践教学,给出了详细的实践项目,总结提出了如何对 学生进行因材施教,以便更好的促进教与学相长。 【关键词】教学方法;教学改革;密码学 随着计算机与网络进一步渗入人们的日常生活,信息安 全问题日渐凸现,而人才的培养愈发显得重要????[1]??。由于密码技术是信息安全中的关键和核心,密码学课程也就成为 了相关专业方向的基础主干课程,但由于课程开设的时间较短、积累的经验较少,而各大高校的招生生源、课程设置、实验室建设情况又参差不齐,也就导致了教学效果的重大差异。而教材中的多数算法使用了数学中的有限域和数论理论,笔 者从事了多年的密码学教学工作中,学生普遍反映密码学太 高深,太难学,由于课下时间少,算法编程时间不充分,不能较 好的去巩固和理解密码算法。 在有限的授课课时内,如何选择本门课程的主要内容,采 用哪些有效教学方法,使学生接受和掌握这些内容,确实是一 件值得我们深入研究的问题。本文从学生的兴趣点(喜欢编程、
项目开发管理等)出发,在课堂教学和实践教学环节中,提出了一些教学改革的建议和详细实施方法,从算法的角度提出一些便于学生更加容易理解和掌握的建议,以便促进教与学的相互提高。 1 密码学课程特点 密码学是信息类、信息安全类等相关专业方向中的主干课程,国内高校设置的信息安全专业方向中,大体分为从数学编码角度和从计算机系统安全的角度去学习研究密码学理论,课程安排上都应先修信息安全数学基础课程。在学生方面,据不完全统计,除了热爱数学的学生外,其他都对学习数论和抽象代数感到头痛。因此在一般情况下,密码学的讲授是在学生的数学基础较薄弱的情况下进行的。这样对于讲授密码学的教师来说, 在50学时左右的课时内,将密码学的基本内容灌输给学生,使他们容易接受,且能学到一些知识,确实存在一定难度,需要对教学内容和教学方法进行精心安排和设计。 而从内容的联系上讲,密码学可以说是多个学科的一个交汇点,这些学科包括:应用数学、通信、计算机应用、信息处理和电子电路技术等。内容涉及到较多的数学知识,从应用数学的角度看,密码学是计算数论、抽象代数等理论的一种应用;从通信的角度看,密码学是保密通信和通信网络安全的研究内容;从计算机应用的角度看,密码学是数据安全、计算机