3.分组密码分析
- 格式:pdf
- 大小:896.60 KB
- 文档页数:12
文档推荐
-
分组密码算法MIBS页数:5
-
轻量级密码研究综述页数:15
下载文档原格式
合集下载
分组密码的基本特征
分组密码的基本特征
分组密码是对明文进行分块处理,然后对每个分组进行加密操作。
以下是分组密码的基本特征:
1. 分组长度:分组密码将明文分成固定长度的分组进行处理。
分组长度可以是固定的,也可以是可变的,但在同一次加密过程中,分组长度保持一致。
2. 加密模式:分组密码使用特定的加密模式对每个分组进行加密。
常见的加密模式包括电子密码本模式(ECB)、密码块链模式(CBC)等。
3. 初始向量:在使用某些加密模式时,分组密码需要使用一个初始向量(IV)来增加加密过程的随机性和安全性。
初始向量通常与第一个分组一起使用,而后的分组则与前一个分组相关。
4. 密钥:分组密码使用一个密钥对每个分组进行加密。
密钥长度可以是固定的或可变的,但对于每个分组来说,密钥长度保持一致。
5. 填充方式:由于分组长度固定,对于最后一个分组可能不足分组长度的明文需要进行填充。
填充方式可以是填充字符、填充比特等。
6. 迭代次数:分组密码通常会对每个分组进行多次迭代加密,以增加安全性。
迭代次数通常由密码算法和加密强度决定。
7. 可逆性:分组密码的加密操作是可逆的,即可以通过相应的解密操作将加密后的分组转换回原始的明文分组。
总体而言,分组密码通过将明文分成固定长度的分组,并使用特定的加密模式、初始向量、密钥和迭代次数对每个分组进行加密,以保护明文的安全性。
分组密码原理
分组密码原理
分组密码是一种密码算法,它将明文分为固定大小的块(通常为64位或128位),然后通过一系列的加密操作将每个分组
转换为对应的密文分组。
分组密码的核心原理是使用一个密钥来对每个分组进行加密。
加密过程包括多个轮次,每个轮次都涉及到多个步骤,如替代、置换、混淆和线性变换等。
在每个轮次中,明文分组会与密钥的某个子密钥进行混合,生成一个中间结果,然后再进行下一轮的操作。
最后一轮的结果即为该分组的密文。
在解密过程中,密文分组会经过与加密过程相反的操作,使用相同的密钥和子密钥来逐步还原为原始的明文分组。
分组密码的优势在于它可以处理大量的数据,并且能够抵抗多种密码攻击。
同时,通过不同的密钥和轮次数的组合,可以生成不同的密码变种,提供更高的安全性。
然而,分组密码也存在一些限制。
首先,由于每个分组的加密是独立进行的,所以加密过程中的错误可能会影响整个密文分组的完整性。
其次,分组密码的加密速度相对较慢,不适用于一些实时的应用场景。
总的来说,分组密码通过将明文分组成固定大小的块,并使用密钥和一系列的操作对每个分组进行加密,从而保护数据的机密性和完整性。
SM4算法、AES算法、DES算法三种分组密码的基础分析
SM4算法、AES算法、DES算法三种分组密码的基础分析 分组密码当中代表性的SM4算法、AES算法、DES算法在计算机和通信系统中起着重要的实际作用,每一种的算法都会有其独有的一份结构,讲解起来其实每一种都有很大的一个篇幅。
在这里主要是把这几种密码算法放在一起做一个简单的分析,也可以通过了解每一种算法来比较一下三者之间的差别。
那么,我们就通过了解SM4算法、AES算法、DES算法这几种有代表性的近代分组密码来讨论一下分组密码的基本理论及其在计算机和通信系统中的实际应用。
1、SM4算法 SM4密码算法是一个分组算法,其算法设计简沽,结构有特点,安全高效。
数据分组长度为128比特,密钥长度为128比特。
加密算法与密钥扩展算法均采取32轮迭代结构。
SM4密码算法以字节8位和字节32位作为单位进行数据处理。
SM4密码算法是对合运算,因此解密算法与加密算法的结构相同,只是轮密钥的使用顺序相反,解密轮密钥是加密轮密钥的逆序。
SM4密码算法结构 SM4算法的基本内容有以下几方面: 基本运算:SM4密码算法使用模2加和循环移位作为基本运算。
基本密码部件:SM4密码算法使用了S盒、非线性变换τ、线性变换部件L、合成变换T基本密码部件。
轮函数:SM4密码算法采用对基本轮函数进行迭代的结构。
利用上述基本密码部件,便可构成轮函数。
SM4密码算法的轮函数是一种以字为处理单位的密码函数。
加密算法:SM4密码算法是一个分组算法。
数据分组长度为128比特,密钥长度为128比特。
加密算法采用32轮迭代结构,每轮使用一个轮密钥。
解密算法:SM4密码算法是对合运算,因此解密算法与加密算法的结构相同,只是轮密铝的使用顺序相反,解密轮密钥是加密轮密钥的逆序。
密钥扩展算法:SM4密码算法使用128位的加密密钥,并采用32轮法代加密结构,每一轮加密使用一个32位的轮密钥,共使用32个轮密钥。
因此需要使用密钥扩展算法,从加密密钥产生出32个轮密钥。
分组密码的分析和设计
二、分组密码实例分组密码(Block Cipher):一次处理一块输入,每个输入块生成一个输出块;将明文消息划分成固定长度的分组,各分组分别在密钥的控制下变换成等长度的密文分组。
数据加密标准DESDES 概述:DES 是分组长度为64bit 的分组加密算法,64bit 的明文分组从算法的一端输入,64bit 的密文分组从算法的另一端输出。
DES 的密钥长度是64bit(8Byte),但是每个字节的第8位都用作奇偶校验位,故实际密钥长度是56bit 。
简单的说,算法只不过是加密的两种基本技术----混乱和扩散的组合。
DES 基本组建分组是这些技术的一个组合(先代替后置换),它基于密钥,作用于明文,这就是众所周知的轮变换(round )。
在DES 中有16轮,这就意味着要在明文上16次实施相同的组合技术。
DES 是对称加密算法,加密和解密用的是同一算法(密钥顺序及应用方向与加密过程相反)。
加密算法m 比特明文x 比特密钥n 比特密文 解密算法x 比特密钥m 比特明文加密过程和解密过程的区别:“方向和过程刚好相反”。
也就是说“解密过程是加密过程的反过程”,DES算法解密过程是加密过程的“逆”运算。
DES加密过程:算法的概要DES对64位的明文分组进行操作。
经过一个初始置换,将明文分组分成左,右两部分,各32位长,然后进行16轮完全相同的运算,也称为"函数f",在运算的过程中数据与密钥结合。
在每一轮中,密钥为移位,然后在从密钥的56位中选出48位,通过一个扩散置换将数据的右半部分扩展成48位,并通过一个异或操作与48位密钥结合,通过8个S-盒将这48位替代为新的32位数据,再将其置换一次,这四步运算构成了f函数。
然后再通过另一个异或运算,使f函数的输出与左半部分结合,其结果就形成了新的右半部分,原来的右半部分变成新的左半部分,即对于第i次迭代,用L和R表示第(i-1)次迭代后的左右两部分(各32bit),则Li = Ri-1Ri= Li-1⊕f( Ri-1,Ki ) (i=2,3, (16)这里ki是64bit密钥k产生的子密钥,ki是48bit。
分组密码算法和流密码算法的安全性分析
分组密码算法和流密码算法的安全性分析当今是一个网络时代,人们的生活方式与过去相比发生了很大的变化,足不出户就可以通过网络解决衣食住行中的绝大多数需求,例如,用淘宝网购买所需、用支付宝进行日常支付、用电子银行转账等等。
生活变得快捷而又方便。
然而,事物都有两面性,伴随着生活的便捷而来的是财产安全和个人隐私的保障问题。
这时,密码的使用就是在网络上对我们进行保护的一个关键技术点。
它是类似防火墙似的存在,是一切网络活动的基石。
在网络传输时一般使用的是对称加密算法来进行加密操作,如流密码算法和分组密码算法。
因此,对现有的被广泛重视和使用的分组密码算法和流密码算法的安全性进行研究和分析是非常有必要的。
在本文中,首先,我们针对分组密码算法建立统计积分区分器和多结构体统计积分区分器新模型,并将模型应用于实际算法中;其次,基于MILP方法首次将S盒的差分特征和线性特征考虑进不可能差分路线和零相关路线的自动化搜索中,首次给出ARX算法通用的不可能差分路线和零相关路线的自动化搜索方法,并将该方法应用于实际算法中;最后,在相关密钥场景下利用不可能差分方法给出流密码算法Lizard的安全性分析结果。
具体结果如下。
提出分组密码算法统计积分区分模型,并利用该模型理论破解Skipjack变种算法、给出CAST-256的最优攻击结果和IDEA的最优积分攻击结果:积分攻击是对称密码领域最强大的分析方法之一,被广泛的应用于分组密码算法的安全性分析中。
它是基于概率为1的平衡特性来构建区分器。
攻击者可以通过固定输入的一部分比特而遍历剩下的所有比特的可能取值,观察相应的输出值在某些比特上是否为均匀分布来区分真实算法和随机置换。
为了增加积分区分器的覆盖轮数,攻击者通常会在整个明文空间的限制条件下以特定的结构来遍历更多的明文比特以使得平衡特性依然成立。
然而这一要求限制了积分攻击在很多算法分析中的应用。
在本文中,为降低积分分析中使用的数据复杂度,我们基于超几何分布和多项分布为算法和随机置换构造不同的概率分布来进行区分,从而构建了统计积分这一新模型。
第四章分组密码
2
4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0
3
15 12 8 2 4 9 1 7 5 11 2 14 10 0 6 13
扩散和混淆
扩散将明文的统计特性散布到密文中。 实现的方式是使明文的每一位影响密文 中多位的值。
S盒的设计准则
迄今为止,有关方面未曾完全公开有关DES的S盒的设计准 则。Branstead等曾披露过下述准则: P1 S盒的输出都不是其输入的线性或仿射函数。 P2 改变S盒的一个输入比特,其输出至少有两比特产生变 化,即近一半产生变化。 P3 当S盒的任一输入位保持不变,其它5位输入变化时(共 有25 =32种情况),输出数字中的0和1的总数近于相等。 这三点使DES的S盒能够实现较好的混淆。
迭代分组密码
若以一个简单函数f,进行多次迭代,就称其为迭代密码。
每次迭代称作一轮(Round)。相应函数f称作轮函数。
每一轮输出都是前一轮输出的函数,即y(i)=f[y(i-1), k(i)],其 中k(i)是第i轮迭代用的子密钥,由秘密密钥k通过密钥生成 算法产生。
y(0) = x
y(1)
代换网络
密码设计中需要先定义代换集S,而后还需 定义解密变换集,即逆代换网络S-1,它以 密文y作为输入矢量,其输出为恢复的明文 矢量x。
要实现全代换网络并不容易。因此实用中 常常利用一些简单的基本代换,通过组合 实现较复杂的、元素个数较多的代换集。 实用密码体制的集合S中的元素个数都远小 于2n!。
代换盒(S盒)
在密码设计中,可选n=rn0,其中r和n0都为正整数, 将设计n个变量的代换网络化为设计r个较小的子代换 网络,而每个子代换网络只有n0个输入变量。称每个子 代换网络为代换盒(Substitution Box)
分组密码算法
分组密码算法
分组密码是一种重要的密码技术,它可以将一段乱序数据进行安全加密,使其变得无
法解读和破解。
它一般用于对网络数据进行安全传输和存储,以保护用户和组织信息安全,使数据不会被恶意加密,偷窃或者泄露。
分组密码实质是将明文拆分成小块,在小块的基础上进行数据的加解密,使攻击者解
密时无法拼凑原文,从而达到安全传输的目的。
它基本上可以分为密码分组移位算法、分
组密码替换算法和分组密码衍射算法三种,分组密码替换算法是目前应用最广泛的分组密
码算法。
分组密码替换算法是按照一定的规则将明文数据转换成密文数据,加密过程中利用一
系列替换表(称之为字符映射表),对一组明文字符(一般为8个字节)进行映射,字符
的比特位的增加、减小,两个不同的比特位的交换,以增加密文的复杂性,达到保护信息
安全的目的。
此外,分组密码还需要有一个加盐算法,通过加入一些单独的随机值,而不是使用一
个定值作为秘密密钥,对密文进行加密,使得攻击者更难以破解数据。
当然,这也要求使
用者有一定的数学基础,以及一定的计算机能力,才能正确实现加解密算法。
因此,分组密码是一种安全可靠的信息加解密算法,可以有效保护用户和组织的数据
安全,但可能要求使用者有比较强的数学基础和计算机能力,才能正确使用这一算法。
安全分组密码的工作模式
thatsignup,成员 on
VS
叨
叨 叨 st
a
how 的确 these 在此 st on
01
02
03
!! 巫
掏`` st st above
it onthe`` that that, among this on on on on on, on the on萜!,!the
01
on on, as, among too on the for the for the on on, that on,theonthe too on the on the, that on叨`` has, for the member...
02
on`` for.,还行 全员 stith that st too: the OnWist too st too st too member being for how said too vis a- among,, like taken``!! said indeed), “
03
though the st have said sp and for too! said said has that17... real... for how shows these ... that show how... kind too, among as is...!, like these sm
通信安全
分组密码用于加密通信过程中的数据,确保信息传输的机密性和完整性。
存储安全
在数据存储场景中,分组密码用于加密敏感数据,防止未经授权的访问和数据泄露。
身份认证
分组密码也用于身份认证过程,通过加密和验证加密数据的完整性来确认用户身份。
02
分组密码的基本原理
VS
叨
叨 叨 st
a
how 的确 these 在此 st on
01
02
03
!! 巫
掏`` st st above
it onthe`` that that, among this on on on on on, on the on萜!,!the
01
on on, as, among too on the for the for the on on, that on,theonthe too on the on the, that on叨`` has, for the member...
02
on`` for.,还行 全员 stith that st too: the OnWist too st too st too member being for how said too vis a- among,, like taken``!! said indeed), “
03
though the st have said sp and for too! said said has that17... real... for how shows these ... that show how... kind too, among as is...!, like these sm
通信安全
分组密码用于加密通信过程中的数据,确保信息传输的机密性和完整性。
存储安全
在数据存储场景中,分组密码用于加密敏感数据,防止未经授权的访问和数据泄露。
身份认证
分组密码也用于身份认证过程,通过加密和验证加密数据的完整性来确认用户身份。
02
分组密码的基本原理
信息安全(分组密码的原理
信息安全(分组密码的原理
分组密码是密码学中的一种加密方式,它的基本原理是将明文分成固定长度的分组,然后对每个分组独立进行加密,生成对应的密文分组。
下面是分组密码的一些基本原理:
1. 分组长度:分组密码的分组长度是固定的,且足够大以防止可能的攻击。
常见的分组长度有64位、128位等。
2. 密钥:分组密码使用一个密钥进行加密和解密。
密钥的长度与分组长度有关,例如,如果分组长度为128位,那么密钥长度也应该是128位。
3. 加密过程:加密过程是将明文分成固定长度的分组,然后对每个分组独立进行加密。
常见的加密算法有AES(高级加密标准)、DES(数据加密标准)等。
4. 混淆与扩散:分组密码的设计原理包括混淆和扩散。
混淆是使密文和明文之间的关系尽可能复杂,以防止攻击者通过分析密文推断出明文。
扩散则是将明文中比特的变化尽可能多地传播到密文中,以防止明文的统计特性被攻击者利用。
5. 可逆性:加密和解密过程应该是可逆的,即从密文可以还原出明文。
这要求加密算法的设计必须精确,以确保在解密时能够正确地恢复出原始数据。
总的来说,分组密码是一种将明文分成固定长度的分组,然后对每个分组独立进行加密的加密方式。
它的设计原理包括混淆、扩散和可逆性,以确保数据的安全性。
分组密码原理
分组密码原理
分组密码是一种密码算法,它将明文数据分成较小的块进行加密,每个块都会经过一系列的加密转换操作,直到最后一个块被加密完毕。
这些加密转换操作通常包括代换、置换和线性变换等。
与流密码不同,分组密码可以对整个明文数据进行批量加密,而不是逐个字节或比特进行加密。
分组密码的加密过程通常包括以下几个步骤:
1. 初始化阶段:在这个阶段,密钥将被用来初始化加密算法,
通常是通过某种置换或代换的方式生成一些初始状态。
2. 加密阶段:在这个阶段,明文数据将被分成块,并逐个块进
行加密。
每个块的加密过程都与其他块的加密过程是相互独立的,因此可以并行处理。
3. 密文反馈阶段:在这个阶段,加密算法会将前一个块的密文
作为输入,并输出一个新的密文块。
这个过程可以用于加密流数据,而不是固定长度的块数据。
4. 解密阶段:在这个阶段,加密算法将使用相同的密钥和加密
过程来解密密文数据。
解密过程与加密过程是相反的,它会应用逆向的加密转换操作,以还原出明文数据。
分组密码的安全性取决于密钥的长度和加密算法的强度。
如果密钥太短或加密算法容易被破解,那么攻击者可以使用暴力破解或其他攻击手段来获取明文数据。
因此,分组密码通常需要使用强密码学算法和足够长的密钥来确保安全性。
分组密码——精选推荐
分组密码分组密码概述所谓分组密码,简单地说就是对明⽂进⾏分组,每组的长度都相同,然后对每组明⽂使⽤密钥进⾏加密得密⽂,解密即对每组明⽂使⽤密钥进⾏解密得到明⽂。
通常情况是明⽂、密⽂等长。
(好处是处理速度快,节约了存储,避免了浪费带宽.)1. 定义分组密码包含5个部分{M,C,K,E,D},M=F(2,n)明⽂空间K=F(2,k)密钥空间C=F(2,n)密⽂空间E加密变换;D解密变换明⽂m1m2……mn通过密钥k加密算法得到密⽂c1c2……cn分组密码是⼀种映射:E:M*K->CD:C*K->M注:分组密码实际上是{0,1,2,……,2^n-1}到其⾃⾝的⼀⼀映射,密钥k不同映射不同。
2. 基本要求分组长度⾜够长(防⽌明⽂穷举攻击)密钥长度⾜够长(防⽌密钥穷举攻击)加解密算法要⾜够复杂(能抗击各种已知攻击)3. 分组密码的原则为有效抵抗对密码体质的通知分析,⾹农提出了两个原则:扩展原则和混乱原则。
扩散:指每1bit明⽂的变化尽可能多地影响密⽂序列的bit,以隐蔽明⽂的统计特性,防⽌对密钥进⾏逐段攻击破译;混乱:指加密变换过程中明⽂、密钥以及密⽂之间的关系尽可能的复杂,以防⽌破译者采⽤统计分析⽅法进⾏攻击。
4. 分组密码的结构(SP⽹络)需求分析:⼀个分组密码既要难于分析(复杂),⼜要易于实现(简单),迭代密码可克服这⼀对⽭盾。
其加密变换⼀般采取如下结构:由⼀个简单的函数F(易于实现)迭代若⼲次⽽形成。
其中Yi-1是第i轮迭代的输⼊,Yi是第i轮的输出,Zi由密钥k导出,这类密码即迭代密码。
如DES是16轮迭代密码,多次迭代可实现必要的混乱与扩散。
F函数采⽤代换置换结构,置换由P盒实现,起扩散作⽤,代换可提供混淆作⽤,其中代换被精⼼设计且起关键作⽤,⼈们常称其为“⿊盒⼦”。
SP结构具有雪崩效应,雪崩效应指输⼊(明⽂或密钥)即使只有很⼩的变化,也会导致输出(密⽂)产⽣巨⼤的变化。
分组密码详解
于劳埃德保险公司的现金分配系统 Feistel代换-置换网络主要参数
分组大小: (2w=64) 密钥大小: (|K|=128) 轮数:h 子密钥产生算法: K K1, K2,…, Kh. 轮函数设计: F
8
Feistel 密码
Feistel解密结构 与加密结构相同 子密钥使用次序相反: Kh, Kh-1,…,K2,K1 输入:密文y 输出:明文x
14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 15 7 4 14 2 13 1 10 6 12 11 9 5 4 1 14 8 13 6 2 11 15 12 9 7 3 10 15 12 8 2 4 9 1 7 5 11 3 14 10 0
07 38 50 6 13
16
S-盒
PC-1
57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
明文: x(2w-bit) L0(w-bit)
F
L1
R0(w-bit) K1
R1
….
….
Li
F
Ki
Ri
….
….
F
Kh
Lh
Rh
Lh+1
Rh+1
密文: y(2w-bit)
7
Feistel 密码
Feistel代换-置换网络(substitution-permutation network) 1971年,IBM的Feistel H. 领导的项目组首次提出,并用
分组大小: (2w=64) 密钥大小: (|K|=128) 轮数:h 子密钥产生算法: K K1, K2,…, Kh. 轮函数设计: F
8
Feistel 密码
Feistel解密结构 与加密结构相同 子密钥使用次序相反: Kh, Kh-1,…,K2,K1 输入:密文y 输出:明文x
14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 15 7 4 14 2 13 1 10 6 12 11 9 5 4 1 14 8 13 6 2 11 15 12 9 7 3 10 15 12 8 2 4 9 1 7 5 11 3 14 10 0
07 38 50 6 13
16
S-盒
PC-1
57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4
明文: x(2w-bit) L0(w-bit)
F
L1
R0(w-bit) K1
R1
….
….
Li
F
Ki
Ri
….
….
F
Kh
Lh
Rh
Lh+1
Rh+1
密文: y(2w-bit)
7
Feistel 密码
Feistel代换-置换网络(substitution-permutation network) 1971年,IBM的Feistel H. 领导的项目组首次提出,并用
分组密码分析技术的研究
分组密码分析技术的探究近年来,随着计算机技术的快速进步,分组密码(Block cipher)在信息安全领域中扮演着重要角色。
为了保卫信息的秘密性和完整性,需要对数据进行加密。
而分组密码是一种常用的数据加密技术,其通过将待加密的数据分成固定长度的数据块进行加密,从而提高了密码算法的安全性。
然而,随着计算机计算能力不息提升,传统的分组密码算法面临着越来越严峻的挑战。
因此,变得愈发重要。
分组密码分析技术是在探究密码学领域中被广泛关注的一个重点方向。
其主要目标是通过分析给定的分组密码算法,揭示密钥和明文之间的干系,从而破解加密算法,实现对加密数据的非法访问。
分组密码分析技术主要分为差分攻击(Differential Cryptanalysis)、线性攻击(Linear Cryptanalysis)和相关攻击(Related-Key Cryptanalysis)等几种主流攻击方式。
差分攻击主要通过计算两个相邻明文之间差异的概率来得到密钥信息,从而破解分组密码算法。
其工作原理是利用密钥和明文之间的差异来推算出整个密钥,从而解密加密数据。
差分攻击通过收集一定数量的明文和密文对,依据差分表的出现概率进行分析,计算密钥的可能值,最终找出正确的密钥。
线性攻击则是基于密钥和明文之间的线性靠近干系进行分析,通过计算线性靠近的概率来得到密钥信息。
线性攻击的关键是找到一系列与明文和密文之间干系相应的线性靠近等式,从而用于靠近真实密钥。
然后,依据密钥的一部分信息,利用线性靠近方程计算其他可能的密钥。
最终,通过列举全部可能的密钥,找到正确的密钥。
相关攻击是一种更具挑战性的分组密码分析技术,其通过构造一系列相关密钥之间的攻击来大幅度提高破解分组密码算法的效率。
相关攻击通过对密钥进行推导和转换,找到密钥之间的关联性,然后利用这种关联性来破解加密算法。
相关攻击具有更高的密码分析能力,但同时也需要更多算力和时间进行计算。
为了防止分组密码分析技术的攻击,人们开发了各种反抗攻击的加密算法。
论分组密码分析方法
个 密 钥 K进 行 预 加 密 , 到 密 文 Y — E ( ) 构 造 一 个 得 k kx。 文 中 隐藏 的 明 文 信 息 的方 法 。 成 功 的 密 码 分 析 不 但 能 恢 复 2 有序 表{ y , ) ∈x 以 y ( k K) k , k给 出密 钥 K 的标 号 。因此 , 对 出明文或 密钥 , 能够 发现 密 码 体制 的弱 点 。密 码 系统 的 更 于 已 知 的 密 文 y , 需 从 存 储 表 中 找 出 相 对 应 的 密 钥 K 即 k只 安全性 只有通 过对该 系统抵 抗各 种攻 击 的能力 的考 查和 全
l 强 力 攻 击 法
小、 时间复杂度 大 。
强力 攻击可用 于任何 分 组 密码 , 且攻 击 的 复杂 度仅 依 2 差 分 密 码 分 析 差分 密码 分析 是 迄今 为 止 , 知最 有 效 的攻 击 迭代 密 已 赖 于 分 组 长 度 和 密 钥 长 度 。 严 格 地 讲 , 击 所 需 的 时 间 复 攻 码 的 方 法 之 一 , 利 用 高 概 率 特 征 或 差 分 恢 复 密 钥 , 基 本 它 其 杂 度 依 赖 于 分 组 密 码 的 工 作 效 率 , 工 作 效 率 包 括 加 解 密 其
摘 要 : 码 学 中一 个 重 要 组 成 部 分 是 密 码 分 析 , 的发 展 促 进 了 密码 编 码 学 的 进 步 。 主 要 介 绍 了 分 组 密码 的 一 些典 密 它
型分析方 法。
关 键 词 : 码 分 析 ; 组 密 码 密 分
中图分类号 :P T
文献标识码 : A
文 章 编 号 :6 23 9 (0 0 2-3 60 1 7 —1 8 2 1 ) 30 9 -1
分组密码的原理
分组密码的原理分组密码(Block Cipher)是一种对称加密算法,它将明文分为固定长度的块,并使用密钥对每个块进行加密和解密。
本文将介绍分组密码的基本原理和常见的分组密码算法。
分组密码的基本原理:分组密码将明文M分为多个长度相等的块M1、M2、...、Mn,并使用相同的加密解密算法对每个块进行加密和解密。
加密算法的输入包括明文块和密钥,输出为密文块,解密算法则反之。
加密和解密的关键是密钥的选择和使用,密钥必须保密且只有合法的用户才能使用。
常见的分组密码算法:1. DES(Data Encryption Standard):DES是分组密码的经典算法,采用64位的明文块和56位的密钥,每次对64位的明文块进行加密时,都要对明文进行一系列的转换和置换操作,得到一个64位的密文块。
解密时,则按反向顺序执行相同的置换和转换操作。
2. AES(Advanced Encryption Standard):AES是一种高级加密标准,采用128、192或256位的密钥和128位的明文块。
AES算法通过多轮的复杂变换,将明文块转换为密文块。
AES算法的安全性较高,已被广泛应用于各种加密场景。
3. Blowfish:Blowfish是一种对称加密算法,使用32至448位的密钥和64位的明文块。
Blowfish算法具有较快的加密速度和高度可定制性,被广泛应用于网络通信、文件加密等领域。
4. Triple DES:Triple DES是对DES算法的增强,通过对数据块进行三次DES加密提高了安全性。
Triple DES算法采用几种不同的加密模式,如ECB、CBC、CFB等。
分组密码的加密过程:1. 密文初始化:选择合适的加密模式和填充方式,对明文进行初始化处理。
2. 密文分组:将明文分成合适长度的块,对每个块单独进行加密处理。
在最后一个块不满足长度要求时,使用填充方式进行补齐。
3. 密钥扩展:对密钥进行扩展和变换操作,以获得每轮加密所需的子密钥。
分组密码学
分组密码以及安全性研究1引言分组密码是对称密码学的一个重要分支,在信息安全领域发挥着极其重要的作用,其研究的主要内容包括分组密码的设计和分析这两个既相互对立又相互统一的方面。
一方面,针对已有的密码分析手段,密码设计者总希望设计出可以抵抗所有已知攻击的密码算法;另一方面,对已有的密码算法,密码分析者总希望可以找到算法的某些安全缺陷。
这两方面的研究共同推进了分组密码理论的发展。
2 分组密码2.1概念分组密码是将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。
分组密码的研究包括三方面:分组密码的设计原理,分组密码的安全性分析和分组密码的统计性能测试。
2.2内容目前对分组密码安全性的讨论主要包括差分密码分析、线性密码分析和强力攻击等。
从理论上讲,差分密码分析和线性密码分析是目前攻击分组密码的最有效的方法,而从实际上说,强力攻击是攻击分组密码最可靠的方法。
到目前为止,已有大量文献讨论各种分组密码的安全性。
与序列密码每次加密处理数据流的一位或一个字节不同,分组密码处理的单位是一组明文,即将明文消息编码后的数字序列m0,m1,m2,…,mi划分成长为L位的组m=(m0,m1,m2,…,mL-1),各个长为L的分组分别在密钥k=(k0,k1,k2,…,kt-1)(密钥长为t)的控制下变换成与明文组等长的一组密文输出数字序列c=(c0,c1,c2,…,cL-1)。
L通常为64或128。
设明文m与密文c均为二进制0、1数字序列,它们的每一个分量mi,ciεDF(2)(i=0,1,2,…,n-1),则明文空间为{0,1,…,2n-1},密文空间也为0,1,…,2n-1},分组密码是由密钥k=(k0,k1,k2,…,kt-1)确定的一个一一映射,也就是空间{0,1,…,2n-1},到自身的一个置换F,由于置换F是由密钥k所确定,一般地,我们把这个置换表示为C=Fk(m)。
分组密码的分析技术
分组密码的分析技术分组密码的分析技术概述分组密码是一种常见的密码体制,广泛应用于信息安全领域。
分组密码通过将明文分成固定长度的块,并对每个块进行独立的加密操作来保证数据的安全性。
然而,分组密码算法也存在一些安全隐患,因此研究和分析分组密码的攻击技术显得尤为重要。
本文将介绍几种常见的分组密码分析技术,包括差分攻击、线性攻击和差分线性攻击。
差分攻击差分攻击是一种常见的密码分析技术,广泛应用于分组密码中。
其基本思想是通过改变输入明文的差分而观察输出密文的差分,并从中获得有关密钥的信息。
差分攻击主要包含以下几个步骤: 1. 选择明文对:攻击者首先要选择一对特定的明文对,并计算它们之间的差分。
2. 计算密文对的差分:对于所选择的明文对,通过分组密码算法计算它们的密文对,并计算出对应的差分。
3. 统计差分出现的频次:攻击者会收集大量的明文对并计算它们的对应差分出现的频次。
4. 推测密钥:通过分析差分出现的频次,攻击者可以根据统计结果逐渐推测出密钥的一部分或全部。
差分攻击的关键在于选择合适的明文对和统计密文的差分频次。
通过统计分析,攻击者可以根据密文的差分出现频次来推测分组密码的密钥,从而破解密码。
线性攻击线性攻击是另一种常见的分组密码分析技术,旨在揭示分组密码的结构和内在规律。
其基本思想是构造一个线性近似特性,并通过统计分析来寻找与线性近似特性相关的密钥位。
线性攻击主要包含以下几个步骤:1. 选择明文对和密文对:攻击者首先会选择一组明文对和对应的密文对。
2. 构造线性近似特性:通过对选择的明文对和密文对进行统计分析,攻击者会尝试构造一个线性方程来描述它们之间的关系。
3. 统计出现频次:根据构造的线性近似特性,攻击者可以通过统计明文对和密文对的差分出现的频次,从而获得线性近似特性对应的发生概率。
4. 推测密钥位:通过统计结果,攻击者可以根据线性近似特性和密文的差分出现频次来推测分组密码的密钥位。
线性攻击的关键在于构造合适的线性近似特性和对应的线性方程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
“中间相错”是构造不可能差分区分器最基本的 方法。
-- 25 --
-- 26 --
利用中间相错技术,在F函数是双射的条件下构造5轮 Feistel结构的不可能差分区分器。
-- 27 --
不可能差分分析的一般步骤
z 寻找r轮不可能差分a0→ ar ; z 选择满足输入差分为a0的明文对(P,P⊕a0),并进
PS: 一个结构中包含232组明文,每个结构内部能 够生成263对差分对。全部结构能够生成263+N 对 明文。因此可以获得263+N 对密文。
-- 37 --
Step 2. 在Step1生成的263+N个密文对中,保留在第 2,3,5,6,8,9,12,15这8个字节处为0的密文对,并抛弃 其余的密文对。 PS:密文满足Step2条件的概率为(2-8)8=2-64,因此, 经过Step2,剩余2N+63-64=2N-1个明密对被留下。
W 正确密钥: 一定不产生不可能差分
W 错误密钥: 一定的概率产生不可能差分
-- 23 --
加密 解密
差分分析VS不可能差分分析
差分分析: 利用密码算法的高概率差分(差分传递链),通过 统计方法来恢复密钥。
不可能差分分析: 利用概率为0的差分对正确密钥进行区分,如果用 候选密钥对一对明密文进行部分加脱密之后得到概 率为0的差分对应,那么该候选密钥必定是错误密 钥,应予以抛弃。当抛弃完所有的错误密钥之后剩 余的就为正确密钥。
?
0
0
⎟ ⎟
⎜0 0 ? ?⎟ ⎜0 0 ? ?⎟ ⎜? ? 0 0⎟ ⎜? ? 0 0⎟
⎜
⎟⎜
⎟⎜
⎟⎜
⎟
⎝? 0 0 ?⎠ ⎝? 0 0 ?⎠ ⎝? ? 0 0⎠ ⎝? ? 0 0⎠
4-R
⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞
⎜ ⎜
?
?
0
0
⎟ ⎟
SB−1
←
⎜ ⎜
行r+1轮加密,将求得的密文记作C和C*; z 猜测第r+1轮的密钥Kr+1的可能值,用每次猜测
的密钥对C和C*进行一轮脱密,得到r轮输出值 D和D*,判断D⊕D* = ar 是否成立,若成立, 则所猜测的Kr+1一定是错误密钥; z 重复上述过程,直至密钥唯一确定。
-- 28 --
复杂度分析
z 假设:
?
?
0
0
⎟ ⎟
⎜? ? 0 0⎟
⎜ ⎝
?
0
0
0
⎟ ⎠
⎛δ 0 0 0⎞ ⎛δ 0 0 0⎞
⎜ ⎜
0
0
0
⎜ ⎜
0
0
0
0
⎟ ⎟
⎜0 0 0 0⎟ ⎜0 0 0 0⎟
⎜ ⎝
0
0
0
0
⎟ ⎠
⎜ ⎝
0
0
0
0
⎟ ⎠
⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞
⎜ ⎜
⎟
⎝0 0 0 0⎠ ⎝0 0 0 0⎠
⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞
⎜ ⎜
?
?
0
0
⎟ ⎟
SB −1
→
⎜ ⎜
?
?
0
0
⎟ ⎟
SR−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
ARK6−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
分组密码的设计(结构设计)
Feistel结构
• DES • Camellia • FEAL • Blowfish • Mars • CAST-256 • SMS4 •…
SP结构
• Rijndael • ARIA • Shark • Square • Serpent •…
Lai-Massey结构
• IDEA • FOX •…
-- 18 --
3
本章内容
1. 分组密码设计概况 2. 分组密码分析概况 3. AES-128算法的不可能差分分析 4. AES-128算法的低数据Biclique分析 5. GOST算法全轮3-子集中间相遇攻击 6. 约束规划和自动化搜索
-- 19 --
AES-128不可能差分分析
z 基本概念 z 不可能差分分析方法原理 z AES算法及其不可能差分分析 z AES算法结构的不可能差分区分器 z SPN结构不可能差分的刻画
W 第r+1轮涉及的密钥长度为|K|-bit。 W 每个明密对能够淘汰2-t的密钥。
z 在所有的2|K|密钥中,正确密钥为1个,错误密钥 为2|K| -1个。为了保证正确密钥唯一确定,所需要 的明文数量N必须满足,使剩余错误密钥数量小 于1,也即 (2|K| -1) (1-2-t)N<1 近似等价于N > 2t-0.53|K|。
-- 24 --
4
不可能差分分析的一般方法
不可能差分区分器的构造阶段 ——选出概率为0的差分(不可能差分区分器)。
密钥筛选阶段 ——利用概率为0的差分恢复密钥的阶段。
不可能差分区分器的构造
直接搜索——Shrinking[Biham 99]、Wu[ 12]
中间相错——U方法[Kim 03],UID方法[Luo 09]。
分组密码的分析方法
代数攻击和插值攻击是两种最有潜力的攻击方法:
W插值攻击: z 拉格朗日插值公式 z 傅里叶变换。
W代数攻击: z S盒满足的代数方程 z 超定方程的求解。
分组密码的分析方法
代数攻击和插值攻击攻击的基本思想:
W列方程: 建立密钥、明文、密文三者相关的方程组
W解方程 求解代数方程组
-- 17 --
(2)基于物理实现的分析方法 计时攻击、能量攻击、电磁攻击、故障攻击、
缓存攻击
-- 11 --
分组密码的分析方法
根据攻击条件的不同,密码分析可分为如下五种类型: ¾ 唯密文攻击 ¾ 已知明文攻击 ¾ 选择明文攻击 ¾ 选择密文攻击 ¾ 相关密钥攻击
-- 12 --
2
分组密码的分析方法
根据攻击手段不同,密码分析可以分为如下四种类型: ¾ 朴素攻击方法:暴力破解、查表攻击、字典攻击、 时空权衡
?
?
0
0
⎟ ⎟
SB−1
→
⎜ ⎜
?
?
0
0
⎟ ⎟
SR−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
ARK6−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
⎜? ? 0 0⎟ ⎜? ? 0 0⎟ ⎜0 0 ? ?⎟ ⎜0 0 ? ?⎟
⎜
⎟⎜
⎟⎜
⎟⎜
⎟
⎝? ? 0 0⎠ ⎝? ? 0 0⎠ ⎝0 ? ? 0⎠ ⎝0 ? ? 0⎠
Step 1. 选择2N组明文结构:每一组在0,5,10,15字 节处遍历{0,1}8,其余12个字节取常值。对这些明 文加密,得到相应的密文。
-- 20 --
基本概念
多数分组密码算法通常 设计成迭代型。即:在 密钥参数控制下,利用 固定结构的轮函数串联 形成密码算法。
-- 21 --
差分分析
r1 加密
r
22 r2 解密
-- 22 --
不可能差分分析
概率为0的差分路线 中间不可能相遇(Miss in the middle) 尽可能多的头、尾加一些轮数,猜测对应 的密钥:
⎜ ⎜
0
α2
0
0
⎟ ⎟
ARK0
→
⎜ ⎜
0
α2
0
0
⎟⎜
⎟
SB
→
⎜
0
β2
0
0
⎟ ⎟
SR
→
⎜ ⎜
β
2
0
0
0
⎟ ⎟
⎜0 ⎜ ⎝0
0 0
α3 0
0⎟
α
4
⎟ ⎠
⎜0 ⎜ ⎝0
0 0
α3 0
0⎟
α
4
⎟ ⎠
⎜0 ⎜ ⎝0
0 0
β3 0
0⎟
β
4
⎟ ⎠
⎜ ⎜ ⎝
β3 β4
0 0
0 0
0⎟ ⎟
0⎠
⎛0 ? 0 0⎞
⎜ ⎜
-- 3 --
分组密码的设计(安全性原则)
z 安全性原则主要考虑三个方面:
¾ 混乱原则 应使得明文、密文和密钥三者间的依赖关系相当复杂。
¾ 扩散原则 应使得明文(密钥)的每一位数字影响密文的许多位数 字。
¾ 抗现有攻击原则 应能抵抗所有已知的攻击。
-- 4 --
分组密码的设计(结构设计)
z 分组密码的结构特征 ¾ SP结构 ¾ Feistel结构 ¾ Lai-Massey结构
⎜0 ⎜ ⎝0
0 0
β3 0
0⎟
β
4
⎟ ⎠
⎜ ⎜ ⎝
β3 β4
0 0
0 0
0⎟ ⎟
0⎠
⎛0 ? 0 0⎞
⎜ ⎜
?
?
0
0
⎟ ⎟
⎜? ? 0 0⎟
⎜ ⎝
?
0
0
0
⎟ ⎠
⎛δ 0 0 0⎞ ⎛δ 0 0 0⎞
4-R
⎜ ⎜
0
0
0
0
⎟ ⎟
ARK1
←
⎜ ⎜
0
0
0
0
⎟ ⎟
⎜0 0 0 0⎟ ⎜0 0 0 0⎟
-- 25 --
-- 26 --
利用中间相错技术,在F函数是双射的条件下构造5轮 Feistel结构的不可能差分区分器。
-- 27 --
不可能差分分析的一般步骤
z 寻找r轮不可能差分a0→ ar ; z 选择满足输入差分为a0的明文对(P,P⊕a0),并进
PS: 一个结构中包含232组明文,每个结构内部能 够生成263对差分对。全部结构能够生成263+N 对 明文。因此可以获得263+N 对密文。
-- 37 --
Step 2. 在Step1生成的263+N个密文对中,保留在第 2,3,5,6,8,9,12,15这8个字节处为0的密文对,并抛弃 其余的密文对。 PS:密文满足Step2条件的概率为(2-8)8=2-64,因此, 经过Step2,剩余2N+63-64=2N-1个明密对被留下。
W 正确密钥: 一定不产生不可能差分
W 错误密钥: 一定的概率产生不可能差分
-- 23 --
加密 解密
差分分析VS不可能差分分析
差分分析: 利用密码算法的高概率差分(差分传递链),通过 统计方法来恢复密钥。
不可能差分分析: 利用概率为0的差分对正确密钥进行区分,如果用 候选密钥对一对明密文进行部分加脱密之后得到概 率为0的差分对应,那么该候选密钥必定是错误密 钥,应予以抛弃。当抛弃完所有的错误密钥之后剩 余的就为正确密钥。
?
0
0
⎟ ⎟
⎜0 0 ? ?⎟ ⎜0 0 ? ?⎟ ⎜? ? 0 0⎟ ⎜? ? 0 0⎟
⎜
⎟⎜
⎟⎜
⎟⎜
⎟
⎝? 0 0 ?⎠ ⎝? 0 0 ?⎠ ⎝? ? 0 0⎠ ⎝? ? 0 0⎠
4-R
⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞
⎜ ⎜
?
?
0
0
⎟ ⎟
SB−1
←
⎜ ⎜
行r+1轮加密,将求得的密文记作C和C*; z 猜测第r+1轮的密钥Kr+1的可能值,用每次猜测
的密钥对C和C*进行一轮脱密,得到r轮输出值 D和D*,判断D⊕D* = ar 是否成立,若成立, 则所猜测的Kr+1一定是错误密钥; z 重复上述过程,直至密钥唯一确定。
-- 28 --
复杂度分析
z 假设:
?
?
0
0
⎟ ⎟
⎜? ? 0 0⎟
⎜ ⎝
?
0
0
0
⎟ ⎠
⎛δ 0 0 0⎞ ⎛δ 0 0 0⎞
⎜ ⎜
0
0
0
⎜ ⎜
0
0
0
0
⎟ ⎟
⎜0 0 0 0⎟ ⎜0 0 0 0⎟
⎜ ⎝
0
0
0
0
⎟ ⎠
⎜ ⎝
0
0
0
0
⎟ ⎠
⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞
⎜ ⎜
⎟
⎝0 0 0 0⎠ ⎝0 0 0 0⎠
⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞ ⎛? ? 0 0⎞
⎜ ⎜
?
?
0
0
⎟ ⎟
SB −1
→
⎜ ⎜
?
?
0
0
⎟ ⎟
SR−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
ARK6−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
分组密码的设计(结构设计)
Feistel结构
• DES • Camellia • FEAL • Blowfish • Mars • CAST-256 • SMS4 •…
SP结构
• Rijndael • ARIA • Shark • Square • Serpent •…
Lai-Massey结构
• IDEA • FOX •…
-- 18 --
3
本章内容
1. 分组密码设计概况 2. 分组密码分析概况 3. AES-128算法的不可能差分分析 4. AES-128算法的低数据Biclique分析 5. GOST算法全轮3-子集中间相遇攻击 6. 约束规划和自动化搜索
-- 19 --
AES-128不可能差分分析
z 基本概念 z 不可能差分分析方法原理 z AES算法及其不可能差分分析 z AES算法结构的不可能差分区分器 z SPN结构不可能差分的刻画
W 第r+1轮涉及的密钥长度为|K|-bit。 W 每个明密对能够淘汰2-t的密钥。
z 在所有的2|K|密钥中,正确密钥为1个,错误密钥 为2|K| -1个。为了保证正确密钥唯一确定,所需要 的明文数量N必须满足,使剩余错误密钥数量小 于1,也即 (2|K| -1) (1-2-t)N<1 近似等价于N > 2t-0.53|K|。
-- 24 --
4
不可能差分分析的一般方法
不可能差分区分器的构造阶段 ——选出概率为0的差分(不可能差分区分器)。
密钥筛选阶段 ——利用概率为0的差分恢复密钥的阶段。
不可能差分区分器的构造
直接搜索——Shrinking[Biham 99]、Wu[ 12]
中间相错——U方法[Kim 03],UID方法[Luo 09]。
分组密码的分析方法
代数攻击和插值攻击是两种最有潜力的攻击方法:
W插值攻击: z 拉格朗日插值公式 z 傅里叶变换。
W代数攻击: z S盒满足的代数方程 z 超定方程的求解。
分组密码的分析方法
代数攻击和插值攻击攻击的基本思想:
W列方程: 建立密钥、明文、密文三者相关的方程组
W解方程 求解代数方程组
-- 17 --
(2)基于物理实现的分析方法 计时攻击、能量攻击、电磁攻击、故障攻击、
缓存攻击
-- 11 --
分组密码的分析方法
根据攻击条件的不同,密码分析可分为如下五种类型: ¾ 唯密文攻击 ¾ 已知明文攻击 ¾ 选择明文攻击 ¾ 选择密文攻击 ¾ 相关密钥攻击
-- 12 --
2
分组密码的分析方法
根据攻击手段不同,密码分析可以分为如下四种类型: ¾ 朴素攻击方法:暴力破解、查表攻击、字典攻击、 时空权衡
?
?
0
0
⎟ ⎟
SB−1
→
⎜ ⎜
?
?
0
0
⎟ ⎟
SR−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
ARK6−1
←
⎜ ⎜
?
0
0
?
⎟ ⎟
⎜? ? 0 0⎟ ⎜? ? 0 0⎟ ⎜0 0 ? ?⎟ ⎜0 0 ? ?⎟
⎜
⎟⎜
⎟⎜
⎟⎜
⎟
⎝? ? 0 0⎠ ⎝? ? 0 0⎠ ⎝0 ? ? 0⎠ ⎝0 ? ? 0⎠
Step 1. 选择2N组明文结构:每一组在0,5,10,15字 节处遍历{0,1}8,其余12个字节取常值。对这些明 文加密,得到相应的密文。
-- 20 --
基本概念
多数分组密码算法通常 设计成迭代型。即:在 密钥参数控制下,利用 固定结构的轮函数串联 形成密码算法。
-- 21 --
差分分析
r1 加密
r
22 r2 解密
-- 22 --
不可能差分分析
概率为0的差分路线 中间不可能相遇(Miss in the middle) 尽可能多的头、尾加一些轮数,猜测对应 的密钥:
⎜ ⎜
0
α2
0
0
⎟ ⎟
ARK0
→
⎜ ⎜
0
α2
0
0
⎟⎜
⎟
SB
→
⎜
0
β2
0
0
⎟ ⎟
SR
→
⎜ ⎜
β
2
0
0
0
⎟ ⎟
⎜0 ⎜ ⎝0
0 0
α3 0
0⎟
α
4
⎟ ⎠
⎜0 ⎜ ⎝0
0 0
α3 0
0⎟
α
4
⎟ ⎠
⎜0 ⎜ ⎝0
0 0
β3 0
0⎟
β
4
⎟ ⎠
⎜ ⎜ ⎝
β3 β4
0 0
0 0
0⎟ ⎟
0⎠
⎛0 ? 0 0⎞
⎜ ⎜
-- 3 --
分组密码的设计(安全性原则)
z 安全性原则主要考虑三个方面:
¾ 混乱原则 应使得明文、密文和密钥三者间的依赖关系相当复杂。
¾ 扩散原则 应使得明文(密钥)的每一位数字影响密文的许多位数 字。
¾ 抗现有攻击原则 应能抵抗所有已知的攻击。
-- 4 --
分组密码的设计(结构设计)
z 分组密码的结构特征 ¾ SP结构 ¾ Feistel结构 ¾ Lai-Massey结构
⎜0 ⎜ ⎝0
0 0
β3 0
0⎟
β
4
⎟ ⎠
⎜ ⎜ ⎝
β3 β4
0 0
0 0
0⎟ ⎟
0⎠
⎛0 ? 0 0⎞
⎜ ⎜
?
?
0
0
⎟ ⎟
⎜? ? 0 0⎟
⎜ ⎝
?
0
0
0
⎟ ⎠
⎛δ 0 0 0⎞ ⎛δ 0 0 0⎞
4-R
⎜ ⎜
0
0
0
0
⎟ ⎟
ARK1
←
⎜ ⎜
0
0
0
0
⎟ ⎟
⎜0 0 0 0⎟ ⎜0 0 0 0⎟