当前位置:文档之家 › 序列密码讲解及事例

序列密码讲解及事例

  • 格式:ppt
  • 大小:1.96 MB
  • 文档页数:67

下载文档原格式

  / 67

合集下载

序列密码——精选推荐

序列密码——精选推荐

序列密码序列密码引⾔序列密码⼜称流密码,它是将明⽂串逐位地加密成密⽂字符。

并有实现简单、速度快、错误传播少等特点。

密码按加密形式可分为:分组密码序列密码密码按密钥分为:对称密码(私钥密码)⾮对称密码(公钥密码)1. 加解密算法明⽂序列:m=m1m2……mn……密钥序列:k=k1k2……kn……加密:ci=mi+ki,i=1,2,3,……解密:mi=ci+ki,i=1,2,3,……注:+模2加,0+0=0,0+1=1,1+0=1,1+1=0例 m=101110011,c=m+k=111000110,m=c+k=101110011.1949年,Shannon证明了“⼀次⼀密”密码体制是绝对安全的。

如果序列密码使⽤的密钥是真正随机产⽣的,与消息流长度相同,则是“⼀次⼀密”体制。

但缺点是密钥长度要求与明⽂长度相同,现实情况中不可能实现,故现实中常采⽤较短的种⼦密钥,利⽤密钥序列⽣成器产⽣⼀个伪随机序列。

序列密码的原理分组密码与序列密码都属于对称密码,但两者有较⼤的不同:1. 分组密码将明⽂分组加密,序列密码处理的明⽂长度为1bit;2. 分组密码算法的关键是加密算法,序列密码算法的关键是密钥序列⽣成器。

3. 序列密码分类同步序列密码密钥序列的产⽣仅由密钥源及密钥序列⽣成器决定,与明⽂消息和密⽂消息⽆关,称为同步序列密码。

缺点:如果传输过程中密⽂位被插⼊或删除,则接收⽅与放送⽅之间产⽣了失步,解密即失败。

⾃动同步序列密码密钥序列的产⽣由密钥源、密钥序列⽣成器及固定⼤⼩的以往密⽂位决定,称为⾃同步序列密码(⾮同步密码)。

优点:如果密⽂位被删除或插⼊时,可以再失去同步⼀段时间后,⾃动重新恢复正确解密,只是⼀些固定长度的密⽂⽆法解密。

4. 密钥序列⽣成器的要求(key generation)种⼦密钥k的长度⾜够⼤,⼀般128bit以上,防⽌被穷举攻击;密钥序列{ki}具有极⼤的周期性现代密码机数据率⾼达10^8 bit/s,如果10年内不使⽤周期重复的{ki},则要求{ki}的周期T>=3*106或255;良好的统计特征。

密码学第3节(有上传各章节及目录封面,请在本人上传空间里查找

密码学第3节(有上传各章节及目录封面,请在本人上传空间里查找

第三章 序列密码在第二章中,咱们证明了理论上保密的密码体制是存在的,这种密码体制是利用随机的密钥序列∞=1}{i i k 对明文序列∞=1}{i i m 加密取得密文序列∞=1}{i i c 。

可是,由于随机的密钥序列∞=1}{i i k 必需与明文等长,因此其生成、分派、存储和利用都存在必然的困难,因这人们假想利用少量的真随机数按必然的固定规那么生成的“伪随机”的密钥序列代替真正的随机序列,这就产生了序列密码。

因此,序列密码脱胎于“一次一密”密码体制。

由于序列密码中的密钥序列是由少量的真随机数按必然的固定规那么生成的,因此不可能是真正随机的。

因此,如何刻画密钥序列的“伪随机性”,如何保证密钥序列的“伪随机性”可不能造成加密算法在实际中被破,是序列密码设计中需要解决的问题。

另外,由于序列密码只需分派和存储少量的真随机数就可对任意长度的明文加密,因此克服了完全保密的密码体制在实践中在密钥分派中碰到的难题。

序列密码中利用的少量真随机数确实是序列密码的密钥,有人也称之为“种子密钥”。

由于序列密码算法在公布资料中不多,而且所需的理论基础也较多,因此本章不对序列密码做过量介绍。

本章仅从伪随机序列的常规特性、序列密码的大体模型、理论基础、Walsh 谱理论、大体编码技术和具体实例动身,介绍序列密码的设计理论,同时也简单介绍对序列密码的分析方式。

为幸免序列密码的密钥与密钥序列的概念混淆,以下本书均称序列密码的由密钥产生的密钥序列为乱数序列。

在本书中,n Z 2和n }1,0{都表示所有二元n 维向量组成的集合和二元域上的n 维线性空间,并将12Z 简记为2Z ;)/(n Z 表示集合}1,,2,1,0{-n 和模n 剩余类环,)(q GF 表示q 元域。

本书有时也将n 维二元向量),,,(021x x x n n --不加说明地等同于)2/(n Z 中的元素011211222x x x x x n n n n ++++=---- 。

现代密码学之03序列密码

现代密码学之03序列密码
反馈移存器是序列密码设计中常用的一种初始乱源, 其目的是:
(1)以种子密钥为移存器的初态,按照确定的递推关 系,产生周期长、统计特性好的初始乱源序列。
(2)继而利用非线性函数、有记忆变换、采样变换等 手段,产生抗破译能力强的乱数序列。
在序列密码设计中,大多使用周期达到最大的那些 序列,包括:
(1)二元域GF(2)上的线性递归序列 (2)2n元域GF(2n)上的线性递归序列 (3)剩余类环Z/(2n)上的线性递归序列 (4)非线性递归序列
3.2.2 线性反馈移存器(LFSR)简介
c0=1
c1
c2 …

x1
x2
am-1
am-2
cn-2 xn-1
cn-1
cn
xn am-n
一、当ci=1时,开关闭合,否则断开;c0=1表示总有 反馈;一般cn=1,否则退化。
二、反馈逻辑函数
f(x1, x2, …, xn)=c1x1+c2x2+…+cnxn 三、线性递推式
= c0am+c1Dam+c2D2am+…+cnDnam) = (c0+c1D+c2D2+…+cnDn)am 因此反馈多项式(也称特征多项式)为:
g(x)= c0+c1x+c2x2+…+cnxn
五、状态转移矩阵
给定两个相邻状态:
则有
Sm=(am+n-1,…,am+1,am) Sm+1=(am+n,…,am+2,am+1)
管理问题!
因而人们设想使用少量的真随机数(种子密钥) 按一定的固定规则生成的“伪随机”的密钥序 列代替真正的随机序列ki,这就产生了序列密 码。

双序列比对案例

双序列比对案例

双序列比对案例
那我就来讲个双序列比对的超有趣案例。

想象一下,你有两条神秘的密码纸条(这就好比是我们的两个序列啦)。

一条纸条上写着“ABCDEFG”,另一条写着“ABCFEG”。

咱们现在要做双序列比对,就像是玩一个超级找茬兼连连看的游戏。

首先呢,我们一眼就看到开头的“AB”是一样的,这就像是两个老朋友一见面就热情拥抱,很容易就对上了。

然后呢,第一条纸条的“C”和第二条纸条的“C”也完美匹配,这就好比是两个小伙伴戴着相同的帽子,一下子就被认出来了。

可是,第一条纸条的“D”在第二条纸条里找不到对应的小伙伴,这就有点尴尬啦,就像一个人去参加聚会结果发现没有和自己同好的人。

再往后看,“E”在两条纸条里又对上了,就像失散的双胞胎又重逢了一样。

接着第一条纸条的“F”和第二条纸条的“F”也匹配上了。

但是第一条纸条的“G”和第二条纸条的“E”“G”顺序有点乱,这里就像是两个人跳舞跳错了步骤。

在这个简单的例子里,我们通过这样的比对,就能知道这两条“密码纸条”(序列)哪些部分是相似的,哪些部分是不一样的。

这在生物学里可有用啦,比如说比较不同生物的基因序列,看看哪些基因是保守的(就像那些容易匹配上的部分),哪些基因发生了变异(就像那些对不上的部分)。

这就像是在探索生物进化这个超级大迷宫里的小线索,是不是超级酷呢?。

密码学(范明钰)3.2-序列密码

密码学(范明钰)3.2-序列密码
yi=zi xi。
K
K
安全信道
……
滚动密钥生成器
zi
xi
yi……滚动密钥生器ziyixi
同步序列密码
一次一密密码是加法序列密码的原型。事实上,如 果密钥使用滚动密钥流,则加法序列密码就退化成 一次一密密码。
实际使用中,密码设计者的最大愿望是设计出的滚 动密钥生成器,使得密钥经其扩展成的密钥流序列 具有如下性质:极大的周期、良好的统计特性、抗 线性分析、抗统计分析
基本概念
分组密码与序列密码的区别在于有无记忆性 序列密码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指
定的初态σ0完全确定。此后,由于输入加密器的明文 可能影响加密器中内部记忆元件的存储状态,因而 σi(i>0)可能依赖于k,σ0,x0,x1,…,xi-1等参数。
同步序列密码
根据加密器中记忆元件的存储状态σi是否依赖 于输入的明(或密)文字符,序列密码可进一 步分成同步和自同步两种。
和σi产生的函数。
9
基本概念
序列密码将明文消息 M连续地分成字符
bit,并用密钥流来 加密每个字符bit
基本上,序列密码体
制只使用混乱技术,
而不使用散布技术。 这使得这种体制没有
错误扩散
基本情况
序列密码有广泛的理论基础,对于其各种设计原则已经 进行了详尽的分析。然而在公开的文献中详尽的序列密 码系统却相对较少 造成这种状况的部分原因是,在实际中使用的大部分序 列密码归私人所有或需要保密。相比之下,大量的分组 密码建议已经出版,其中的一些已经被标准化或公开
却希望它的输出(密钥序列k)对不知情的人来 说象是随机的。 到底该从哪些角度把握随机性等,才使所设计出 来的KG能够具有我们需要的安全程度?

分组密码和序列密码的概念

分组密码和序列密码的概念

分组密码和序列密码是两种不同的加密方法。

分组密码,也称为块加密,将明文消息编码表示后的数字序列划分成长度为n的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字序列。

在加密过程中,利用密钥产生一个密钥流,然后利用此密钥流依次对明文进行加密。

如ECB、CBC、CFB、OFB等都是分组加密的算法模式。

序列密码,也称为流加密,利用少量的密钥(制乱元素)通过某种复杂的运算(密码算法)产生大量的伪随机位流,用于对明文位流的加密。

序列密码是以一个元素作为基本的处理单元,具有转换速度快、低错误传播的优点,硬件实现电路更简单。

其缺点是低扩散、插入及修改的不敏感性。

总之,分组密码和序列密码的主要区别在于处理方式、基本单元和优缺点。

K_实验二 LFSR及序列密码

实验二 LFSR 及序列密码实验名称:LFSR 及序列密码实验类型: 验证性实验学 时:4适用对象: 信息安全专业、计算机网络一、实验目的通过软件模拟线性反馈移位寄存器,掌握反馈移位寄存器的工作原理,在此基础上实现非线性序列的输出,掌握序列密码基本算法和工作原理。

二、实验要求(1)掌握流密码原理;(2)理解m序列的产生;(3)能编程模拟线性反馈移位寄存器生成m序列。

三、实验原理一个简单的流加密法需要一个“随机”的二制位流作为密钥。

通过将明文与这个随机的密钥流进行XOR 逻辑运算,就可以生成密文。

将密文与相同的随机密钥进行XOR 逻辑运算即可还原明文。

该过程如图 3-1。

图3-1 流加密法 假设密钥流(二进制位流)存于字节序列k[0],…,k[L-1],共8*L bit 位,则采用C 语言循环加密的算法代码如下:void StreamEncrypt(char m[],int n,char key[],int L){//n 为需要加密或解密数据的字节数,L 为密钥长度(字节)int k=0; for(int i=0; i<n; i++){m[i]^=key[k++];if(k==L) k=0; // k%=L; (i.e. k=k%L;)}}明文要实现XOR逻辑运算很简单,正如上面所给的C程序。

当作用于位一级上时,这是一个快速而有效的加密法。

唯一的问题是必须解决如何生成随机密钥流。

这之所以是一个问题,是因为密钥流必须是随机出现的,并且合法用户可很容易再生该密钥流。

如果密钥流是重复的位序列,容易被记忆,但不很安全,如上面所给出的程序。

这就要求我们开发一个随机位密钥流所成器,它是基于一个短的种子密钥来产生密钥流的。

生成器用来产生密钥流,而用户只需记住如何启动生成器即可。

有多种产生密钥流生成器的方法。

最普遍的是使用一种称为线性反馈移位寄存器的硬件设备。

下面的图3-2中,在反馈系数决定的情况下,对于任何的初始状态,都可获得一个位流的输出。

第五讲序列密码


分组密码与序列密码的比较: (1)序列密码:处理速度快,实时性好,适用于军事、 外交等保密系统。但是适应性差,需要密钥同步。 (2)分组密码:不需密钥同步,较强的适应性,适宜 作为加密标准。但是加密速度慢,错误易扩散和 传播。(但比公钥密码快得多)
5.2 线性反馈移位寄存器
一、反馈移位寄存器
序列密码通过反馈移位寄存器产生密钥。移位寄存器 可以通过一个反馈循环,从前面n项计算下一项,成 为一个伪随机序列发生器。
称为 f(x) 对应的移位寄存器的序列空间。 定理:a ∈ S ( f ( x )) 的充要条件是
~
~ a 的形式幂级数表示为
证明:
g ( x) a ( x) = f ( x)
∞ n =0
g(x)是次数小于n的多项式。
a ( x) = ∑ a n x n = a0 + a1 x + a 2 x 2 + a3 x 3 + L + ai x i + L
xn
xn −1
L
x2
x1
f ( x1 , x2 , L xn )
KG!
一个 q 元域 GF(q)上的 n 阶反馈移位寄存器(FSR: Feedback Shift Register),由n个寄存器和一个 反馈函数构成。最右端的寄存器为第1级寄存器, GF (2) 最左端的寄存器为第n级寄存器, 或F2 n 反馈函数 f ( x , x ,L x , x ) : GF ( q ) → GF ( q )
序列密码将明文编码为比特串:
x = x0 x1 x2 L , xi ∈ GF (2)
同时产生与明文相同长度的密钥流: 加密为:
r = r0 r1r2 L , ri ∈ GF (2)

现代密码学第6章 序列密码与移位寄存器


an an2 an3 an4 (n 4)
11/97
cr为1或者0的序列。
韩山师范学院计算机学院
6.3.1
线性移位寄存器的一元多项式表示
1. 定义 反馈函数:
f ( xn , xn1, , x2 , x1 ) c1xn c2 xn1 cn1x2 cn x1
20/97
韩山师范学院计算机学院
6. 4 线性移位寄存器序列的周期性
定理6.2一个GF(q) 上的n 阶线性移位寄存 器序列 一定是周期序列, 并且 定义6.3设 是一个GF(q) 上的n 阶线 性移位寄存器序列. 如果 则称 为GF(q) 上的n 阶m序列.
21/97
韩山师范学院计算机学院
6. 5 线性移位寄存器的序列空间
图2、非线性反馈移位寄存器
6/97
韩山师范学院计算机学院
(二)、工作原理
(a j 1, a j 2 ,, a j r ) 假设在j时刻其内部状态为:
在j+1时刻其内部状态变为:(a j , a j 1,, a j r 1 )
其中: a j f (a j 1, a j 2 ,, a j r ) 此时的输出为j时刻的最高级:a j r
24/97
韩山师范学院计算机学院
f(x)=x4+x3+x+1=(x+1)2(x2+x+1)
x1
x2
x3
x4
输出序列:000111//000111//…… 011//011//…… 001//001//…… 01//01//…… 111111….. 000000……
25/97
周期为6 周期为3 周期为3 周期为2 周期为1 周期为1

现代密码学第5章:序列密码

24
密钥流生成器的分解
k
k
驱动子 系统
非线性 组合子 系统
zi
25
常见的两种密钥流产生器
目前最为流行和实用的密钥流产生器如 图所示,其驱动部分是一个或多个线性反馈 移位寄存器。
LFSR
………
LFSR1
LFSR2 ……
F
zi
F
zi
LFSRn
26
KG的一般结构
通常,人们总是把KG设计得具有一定 的结构特点,从而可以分析和论证其强度, 以增加使用者的置信度。一般有以下模式:
23
同步序列密码密钥流产生器
由于具有非线性的υ的有限状态自动机理 论很不完善,相应的密钥流产生器的分析工 作受到极大的限制。相反地,当采用线性的 φ和非线性的ψ时,将能够进行深入的分析 并可以得到好的生成器。为方便讨论,可将 这类生成器分成驱动部分和非线性组合部分 (如下图)。 驱动部分控制生成器的状态转移,并为 非线性组合部分提供统计性能好的序列;而 非线性组合部分要利用这些序列组合出满足 要求的密钥流序列。
6
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
18
密钥序列生成器(KG)基本要求
人们就目前的想象和预见,对KG提出 了以下基本要求: 种子密钥k的变化量足够大,一般应 在2128以上; KG产生的密钥序列k具极大周期,一 般应不小于255; k具有均匀的n-元分布,即在一个周 期环上,某特定形式的n-长bit串与其求反, 两者出现的频数大抵相当(例如,均匀的游 程分布);
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。



抗线性分析
抗统计分析。
17
实际上,序列密码不可能做到“一次一密” 但若密钥流生成器生成的密钥周期足够长,且随机性好,其安 全强度可以得到保证! 因此,序列密码的设计核心在于密钥流生成器的设计,序列密 码的安全强度取决于密钥流生成器生成的密钥周期、复杂度、随机 (伪随机)特性等。
18
5.3 线性反馈移位寄存器(linear feedback shift register,LFSR)
5.2 序列密码的概念及模型 序列密码算法将明文逐位转换成密文,如下图所示。m
密钥流发生器(也称为滚动密钥发生器)输出一系列比特流: K1 ,K2,K3,……Ki 。密钥流(也称为滚动密钥)跟明文比特流,m1,m2 ,m3,……mi ,进行异或运算产生密文比特流。 加密: C i =mi⊕K i 在解密端,密文流与完全相同的密钥流异或运算恢复出明文流。 解密: m i =C i⊕K i 显然,mi⊕K i⊕K i =m i
21
反馈函数f(a1,a2,…,an)是n元布尔函数,即n个变元a1,a2,…,an 可以 独立地取0和1两个可能的值,函数中的运算有逻辑与、逻辑或、逻 辑补等运算,最后的函数值也为0或1。
9
这就是为什么所有序列密码也有密钥的原因。密钥流发生器的 输出是密钥的函数。 这样,Alice有一个明文/密文对,但她只能读到用特定密钥加 密的消息。 更换密钥,攻击者就不得不重新分析。 流密码是将明文划分成字符(如单个字母),或其编码的基本单 元(如0, 1数字),字符分别与密钥流作用进行加密,解密时以同步 产生的同样的密钥流实现。 • 流密码强度完全依赖于密钥序列的随机性(Randomness)和不
2.使用硬件方法的随机数产生器
目前生成随机数的几种硬件设备都是用于商业用途。得到广泛使 用的设备是 ComScire QNG,它是使用并行端口连接到 PC 的外部设备, 它可以在每秒钟生成 20,000 位,这对于大多数注重安全性的应用程序来 说已经足够了。 另外Intel 公司宣布他们将开始在其芯片组中添加基于热能的硬件 随机数发生器,而且基本上不会增加客户的成本。迄今为止,已经交付 6 了一些带有硬件 PRNG 的 CPU。
3
5.1.2 伪随机数产生器
何谓伪随机数生成器(PRNG)?假定需要生成介于1和 10 之 间的随机数,每一个数出现的几率都是一样的。理想情况下,应生 成0到1之间的一个值,不考虑以前值,这个范围中的每一个值出现 的几率都是一样的,然后再将该值乘以 10。
由任何伪随机数生成器返回的数目会受到 0 到 N 之间整数数目的 限制。因为常见情况下,伪随机数生成器生成 0 到 N 之间的一个 整数,返回的整数再除以 N。可以得出的数字总是处于 0 和 1 之 间。对生成器随后的调用采用第一次运行产生的整数,并将它传给 一个函数,以生成 0 到 N 之间的一个新整数,然后再将新整数除 以 N 返回。
伪随机数生成器是一个生成完全可预料的数列(称为流)的确定 性程序。一个编写得很好的的PRNG可以创建一个序列,而这个序列 的属性与许多真正随机数的序列的属性是一样的。
例如:(1)PRNG可以以相同几率在一个范围内生成任何数字; ( 2 ) PRNG 可以生成带任何统计分布的流;( 3 )由 PRNG 生成的数 字流不具备可辨别的模。
•如果n级线性反 馈移位寄存器产 生的输出序列的 周期为2n-1,则 称为m序列产生器。
•m序列不仅周期 长,而且伪随机 特性好,这正是 an1 c1a1 c2a2 cn1an1 cn an 序列密码的密钥 流所需要的特性。 异或表达式----线性反馈
ai , ci GF (2)
13
自同步序列密码举例
例 假设种子密钥为k=h,之后的密钥是上一个密文。采用移位密 码,明文为cryptography,列表给出它的加密和解密过程。
•一个字符的差错传播
•不需要同步
14
2.同步序列密码
密钥流 生产器
密 钥 流 Ki 明文流mi
密钥k(基于安全通道传递
密钥流 生产器
密 钥 流 Ki
5
5.1.3 基于密码算法的随机数产生器
1.使用软件方法的随机数产生器
一个常用的随机数产生器是属于线形拟合生成器一类的。这 类生成器相当普遍,它们采用很具体的数学公式: Xn+1 = (aXn + b) mod c 即第 n+1 个数等于第 n 个数乘以某个常数 a,再加上常数 b。 如果结果大于或等于某个常数 c,那么通过除以 c,并取它的余数 来将这个值限制在一定范围内。注意:a、b 和 c 通常是质数。
可预测性(Unpredictability)。
• 核心问题是密钥流生成器的设计。

保持收发两端密钥流的精确同步是实现可靠解密的关键技术。
10
流密码的分类:
1.自同步序列密码 自同步序列密码就是密钥流的每一位是前面固定数量密文位的 函数,下图和下页图描述了其工作原理。其中,内部状态是前面 n 比特密文的函数。该算法的密码复杂性在于输出函数,它收到内部 状态后生成密钥序列位。
第五讲:序列密码
人们试图用序列密码方式仿效”一次一密”密码. 从而促成了序列密码的研究和发展. 序列密码是世 界军事, 外交等领域应用的主流密码体制. 在通常 的序列密码中, 加解密用的密钥序列是伪随机序列, 它的产生容易且有较成熟的理论工具, 所以序列密 码是当前通用的密码系统. 序列密码的安全性主要依赖于密钥序列, 因而 什么样的伪随机序列是安全可靠的密钥序列, 以及 如何实现这种序列就成了序列密码中研究的一个主 要方面.
加密算法E
密文流ci
解密算法D
明文流mi
同步序列密码模型
在同步序列密码中,密钥流的产生独立于明文和密文。分组加密的 OFB模 式就是一个同步序列加密的例子。 1)同步要求。在一个同步序列密码中,发送方和接收方必须是同步的, 用同样的密钥且该秘钥操作在同样的位置,才能保证解密。如果在传输过 程中密文字符有插入或删除导致同步丢失,则解密失败,且只能通过重新 同步来实现恢复。 2)无错误传输。在传输期间,一个密文字符被改变只影响该字符的恢复, 15 不会对后继字符产生影响。
8
事实上,序列密码算法其安全性依赖于简单的异或运算和一次 一密乱码本。密钥流发生器生成的看似随机的密钥流实际上是确定 的,在解密的时候能很好的将其再现。密钥流发生器输出的密钥越 接近随机,对密码分析者来说就越困难。 如果密钥流发生器每次都生成同样的密钥流的话,对攻击来说, 破译该算法就容易了。
假的 Alice 得到一份密文和相应的明文,她就可以将两者异或 恢复出密钥流。或者,如果她有两个用同一个密钥流加密的密文, 她就可以让两者异或得到两个明文互相异或而成的消息。这是很容 易破译的,接着她就可以用明文跟密文异或得出密钥流。 现在,无论她再拦截到什么密文消息,她都可以用她所拥有的 密钥流进行解密。另外,她还可以解密,并阅读以前截获到的消息 。一旦Alice得到一明文/密文对,她就可以读懂任何东西了。
2
5.1 密码学中的随机数 在密码学都要涉及到随机数?因为许多密码系统的安全性都依 赖于随机数的生成,例如DES加密算法中的密钥,RSA加密和数字 签名中的素数。
5.1.1 随机数的使用
序列密码的保密性完全取决于密钥的随机性。如果密钥是真正 的随机数,则这种体制在理论上就是不可破译的。但这种方式所需 的密钥量大得惊人,在实际中是不可行的。 目前一般采用伪随机序列来代替随机序列作为密钥序列,也就 是序列存在着一定的循环周期。这样序列周期的长短就成为保密性 的关键。如果周期足够长,就会有比较好的保密性。现在周期小于 1010的序列很少被采用,周期长达1050的序列也并不少见。
5.1.4 伪随机数的评价标准
(1)看起来是随机的,表明它可以通过所有随机性统计检验。 现在的许多统计测试。它们采用了各种形式,但共同思路是它们 全都以统计方式检查来自发生器的数据流,尝试发现数据是否是随 机的。 确 保 数 据 流 随 机 性 的 最 广 为 人 知 的 测 试 套 件 就 是 George Marsaglia 的 DIEHARD 软件包(请参阅 / pub/diehard/)。另一个适合此类测试的合理软件包是 pLab(请参 阅http://random.mat.sbg.ac.at/tests/)。 (2)它是不可预测的。即使给出产生序列的算法或硬件和所有以 前产生的比特流的全部知识,也不可能通过计算来预测下一个随机 比特应是什么。 (3)它不能可靠地重复产生。如果用完全同样的输入对序列产生 7 器操作两次将得到两个不相关的随机序列。
20
每一存储器称为移位寄存器的一级,在任一时刻,这些级的内容 构成该反馈移位寄存器的状态,每一状态对应于GF(2)上的一个n维 向量,共有2n种可能的状态。
每一时刻的状态可用n长序列“a1,a2,…,an ”n维向量“(a1,a2,…,an)” 来表示,其中ai是第i级存储器的内容。 初始状态由用户确定,当第 i 个移位时钟脉冲到来时,每一级存 储器ai都将其内容向下一级ai-1传递,并计算f(a1,a2,…,an)作为下一时 刻的an。
16
•优点:具有自同步能力,强化了其抗统计分析的能力 •缺点:有n位长的差错传播。
同步序列密码同样可防止密文中的插入和删除,因为它们会使系统 失去同步而立即被发现。然而,却不能避免单个位被窜改。
密钥流序列的性质
密码设计者的最大愿望是设计出一个滚动密钥生成器,使得 密钥经其扩展成的密钥流序列具有如下性质: • • 极大的周期 良好的统计特性
2.同步序列密码
密钥流 生产器
密 钥 流 Ki 明文流mi
密钥k(基于安全通道传递
密钥流 生产器
密 钥 流 Ki
加密算法E
密文流ci
解密算法D
明文流mi
同步序列密码模型