流密码设计

图)。
移位寄存器R
r r r n n1 ...
1
tn1 ... t1
tn
+
密钥序列
线性反馈移位寄存器（LFSR）
05.10.2020
17
令 Rrn,rn1, r1T 表示R的下一状态，则
ri ri1 i1,2, ,n1
n
rn T R tirim o d2t1 r1 t2r2 tnrn
9
流密码的形式化描述
流密码的基本思想是利用密钥k产生一个密钥流 zz0z1 zm，并使用如下规则加密明文 xx0x1x2 得到密文 y y 0 y 1 y 2 e z 0 (x 0 ) e z 1 (x 1 ) e z 2 (x 2 ) 。
密钥流由密钥流发生器f产生：zi f(k,i) ，这 里 i 是加密器中的记忆元件（存储器）在时刻i的
05.10.2020
12
Байду номын сангаас
同步流密码
密钥产生器最初是由 I 0 种子密钥启动的。
同步流密码体制模型
05.10.2020
13
同步流密码的密钥序列
K=k1 k2 …
是独立于消息序列产生的。产生它的算法必须是确 定性的，这样才能保证解密时可以重新产生它，如 果把K存贮起来，则没有这个要求，但存贮和传送 长密钥序列K是不切实际的。所以，不能使用计算 机的任何随机性质来设计产生密钥序列的算法。
05.10.2020
7
用一次一密的技术，间谍和总部预先生成一个 密码本(实际上，可能是很多密码本)。流密码当 且仅当需要时才生成一个密码本。在密码学界， 该“密码本”被称为密钥流(key stream)。一 个真正的密码本应是随机的，而流密码生成的 是伪随机值，所以在技术上不能称之为密码本。

用的 方 法有 线性 反 馈移 位 寄 存器 法（ Ｆ Ｒ） 出 每 个 值 对 应 的 ～ ０ 实 验 结 论 如 和 控参 敏 感 性 、 Ｌ Ｓ ０。 伪随 机 性 、 定 性 等使 得 基 确
【】非线 性 反馈 移位 寄 存 器法 （ Ｌ Ｓ ［】 ２， Ｎ Ｆ Ｒ） ， ３ 有限 自动 机法 和 线性 同余 法等 ［】如 今 ， ４。 流
（ ＝１ ２ ３ …）的倍 周期 分岔 （ ｆ ｒ ａｉｎ ，，， Ｂｉ ｃ ｔｏ ） ｕ 区 ， 而 进 入 多片 混 沌 区。 进
本 文主 要 以 非线 性 混 沌 系统 ： ｏ ｉｔｃ 可 知 ， 本 质是 对 应 着 周 期 为 ２ 解 ， 着 平 衡 这 一 缺 点 ， 它 方 面 的 改 善 还 要 结 合 Ｌ ｇ ｓ ｉ 其 的 随 其
密码 技 术 已经 广 泛 地 应 用 于 移 动 通 信 、 数 的遍 历 性 和 伪 随 机 性 越 明显 。
通过 调 整Ｌｏ ｉｔｃ 射 的 迭 代输 出方 ｇｓｉ映
可 得 到 的 混 沌 序 列 值 一 分 为 二 ， 一 步 研 究 式 ， 以 改善 原 来 伪 随 机 序 列 数 值 分 布 不 进 造 增 加 ， 期 数将 加 倍 ， 代值 周 而 复始 地 更 多的 其 它 办 法 。 成 混 沌 流 密 码 系统 不 周 迭 在 有 限 个 周 期轨 道 之 间 重 复 ， 而 进 入２ 从
Ｑ
Ｑ： 塑
Ｓｃｉ ｅｎｃｅ ｅｎ Ｔｅｔｈ ｄ ｎｏｌ ｏｇｙ ｎｎ Ｉ ｏｖａｔｏｎ ｉ Ｈｅｒ ｄ ８ｌ
技 术 创 新
混 沌 流密 码 设 计研 究①
朱 旦 晨 （ 淮安 信息职 业 技术学 院计 算机科 学与 工程系 淮安 ２ ３ ０ ） ２ ０ ３

1 0 1 1 1 0
即输出序列为101110111011…，周期为4。 如果移位寄存器的反馈函数f(a1,a2,…,an)是a1，a2，…，an的 线性函数，则称之为线性反馈移位寄存器LFSR（linear feedback shift register）。此时f可写为 f(a1,a2,…,an)=cna1 cn-1a2 … c1an 其中常数ci=0或1 2加法。ci=0或1可用开关的断开 和闭合来实现，如图2.10所示。
实际使用的数字保密通信系统一般都是二元系统因而在有限域cf2上讨论的二元加法流密码如图23是目前最为常用的流密码体制其加密变换可表示为y211同步流密码常用的流密码体制图23加法流密码体制模型图23加法流密码体制模型一次一密密码是加法流密码的原型
第2章 流密码
2.1 流密码的基本概念 2.2 线性反馈移位寄存器（重点） 2.3 线性移位寄存器的一元多项式（不做要求） 2.4 m序列的伪随机性（不做要求） 2.5 m序列密码的破译（不做要求） 2.6 非线性序列（部分内容） 习题
图2.6 密钥流生成器的分解
图2.6 密钥流生成器的分解
目前最为流行和实用的密钥流产生器如图2.7所示，其驱 动部分是一个或多个线性反馈移位寄存器。
图2.7 常见的两种密钥流产生器
图2.7 常见的两种密钥流产生器
2.2 线性反馈移位寄存器
移位寄存器是流密码产生密钥流的一个主要组成部分。 GF(2)上一个n级反馈移位寄存器由n个二元存储器与一个反馈 函数f(a1,a2,…,an)组成，如图2.8所示。
2.1 流密码的基本概念
流密码的基本思想是利用密钥k产生一个密钥流z=z0z1…，并使 用如下规则对明文串x=x0x1x2…加密： y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。密钥流由密钥流发生器f产生： zi=f(k,σi)，这里σi是加密器中的记忆元件（存储器）在时刻i的状 态，f是由密钥k和σi产生的函数。 分组密码与流密码的区别就在于有无记忆性（如图2.1）。流密 码的滚动密钥z0=f(k,σ0)由函数f、密钥k和指定的初态σ0完全确定。 由于输入加密器的明文可能影响加密器中内部记忆元件的存储状 态，因而σi(i>0)可能依赖于k，σ0，x0，x1，…，xi-1等参数。

xi
加法流密码体制模型

因此，同步流密码设计的主要目标是设计出 一个滚动密钥生成器，使得密钥 k 经其扩 展成的密钥流序列 Z 具有如下性质：极大 的周期、良好的统计特性、抗线性分析、抗 统计分析。
2. 密钥流产生器
密钥产生器由一个输出符号集 、一个状 态集 、一个状态转移函数 、一个输出 函数 以及一个初始状态 0 组成。 设计的关键在于找出合适的状态转移函数 和输出函数使得输出的密钥流序列满足应 有的性质，并要求在设备是节省的和容易 实现的。

1.
2.
M序列的伪随机性 以上我们研究了利用线性反馈移位寄存器产生 流密码的密钥流序列问题。由于流密码的安全 性取决于密钥流的安全性，密钥流序列至少应 满足：良好的统计性、周期大、抗线性分析、 抗统计分析等特征。 如果一个密钥流序列有好的随机性，使得密码 分析者对它无法预测，采用这样的密钥流无疑 会增加流密码的安全性。本节我们就来研究密 钥流序列的统计特征：随机性。
1. 同步流密码
根据加密器中的记忆元件 i 的存贮状态是 否依赖于明文字符，流密码可进一步分成同 步和自同步两种。将 i 独立于明文字符的 叫同步流密码，否则称为自同步流密码。但 是由于自同步流密码的密钥流的产生与明文 有关，因而较难从理论上进行分析。目前大 多数研究成果都是关于同步流密码的。
输出序列
a5
a4
＋
a3
a2
a1
一个5级的线性反馈移位寄存器
线性反馈移位寄存器的输出序列的性质由其 反馈函数决定。n级的线性反馈移位寄存器 最多有 2n 个不同的状态，除去初始状态为0 的状态外，n级线性反馈移位寄存器的最多 有2n - 1个状态，因此一个n级线性反馈移 位寄存器其输出序列的周期不会超过 2n - 1 称周期为 2n - 1 的输出序列为m序列。

回忆：Vigenère密码•加密消息：INDIVIDUAL CHARACTER密钥：HOSTm=I ND I V I DU ALCH ARAC TERk=HOST HOST HOST HOST HOSE k(m)=P BV B C W VN HZUA HFSV ASJ1One-Time Pad•用和明文一样长的随机密钥流K •加密:M = C = K = Z2nc i = mi⊕kiOTP: 安全性分析•定理:OTP is Unconditional Security3第五章流密码•流密码总览•伪随机序列发生器(Pseudorandom Number Generation)•PRNGs-Linear Feedback Shift Register (LFSR)-Blum Blum Shub(BBS)•流密码4流密码•一次一密(OTP): C=P⊕K ，K 是随机密钥流•流密码:–思想: 代替“随机”为“伪随机”–用Pseudorandom Number Generator (PRNG)–PRNG: {0,1}s→{0,1}n–种子是秘密密钥•C=M⊕PRNG(seed)56回忆分组密码•加密消息的方式–分组密码•c=(c 1c 2…)(c i c i+1…)... = e K (m 1m 2...) e K (c i c i+1…)…–流密码•c=c 1c 2…=e k1(m 1)e k2(m 2)…•密钥流(k 1,k 2,…)流密码：性质•数学性较好–OTP 绝对保密–伪随机有很长的研究历史•加密速度很快–基于“⊕”•密钥流只能用一次–已知明文攻击–PRNG的周期应该足够长•应用很广–Network, DVD,移动通信8第五章流密码•流密码总览•伪随机序列发生器(Pseudorandom Number Generation)•PRNGs-Linear Feedback Shift Register (LFSR)-Blum Blum Shub(BBS)•流密码9伪随机数应用•相互认证–使用一次性随机数来防止重放攻击•会话密钥的产生–用随机数作为会话密钥•公钥密码算法中密钥的产生–用随机数作为公钥密码算法中的密钥–以随机数来产生公钥密码算法中的密钥10密码学中对伪随机数的要求•随机性–均匀分布：数列中每个数出现的频率相等或近似相等•不可预测性–密码分析者很难从数列前边的数预测出后边的数11PRNG•定义:一个伪随机序列发生器G是一个确定的多项式算法，使得–∃l(n)>n, ∀x, |G(x)| = l(|x|)–伪随机性:{G(U n); n≥1} 同一个随机序列{U l(n);n≥1}是多项式不可区分的12伪随机性•定义:两个随机序列{X n; n≥1} 和{Y n; n≥1}是多项式不可区分的，如果:∀多项式布尔函数f: {0,1}*→{0,1}∀正的多项式p(x) 和n≥N|Pr(f(X n)=1) –Pr(f(Y n)=1)| < 1/p(n)•定义:两个随机序列{X n; n≥1} 和{Y n; n≥1}是统计不可区分的，如果:∆(n) = ½Σx∈{0,1}n|Pr(X n=x) -Pr(Y n=x)| < 1/p(n)13Golomb随机性检测1）在序列的一个周期内，0和1的个数相差至多为12）在序列的一个周期内，长为1的游程占总游程数的1/2，长为2的游程占总数的1/22，…长为i的游程占游程总数的1/2i，…，且在等长的游程中，0和1游程个数至多相差为13）异自相关函数是一个常数•满足以上三个条件的序列称为伪随机序列，也称为拟噪声序列(Pseudo Noise Sequence,PN序列)15举例•讨论序列：1010111011000111110011010010000 1010111011000111110011010010000...是否满足Golomb随机性检测的前2个条件？•周期：31•0的个数15；1的个数16•0和1的1-游程个数都为4；0和1的2-游程个数都为2；0和1的3-游程个数都为1；0的4-游程个数为1 1的4-游程个数为0；0的5-游程个数为0；1的5-游程个数为1•i-游程个数占游程总数的1/2i16第五章流密码•流密码总览•伪随机序列发生器(Pseudorandom Number Generation)•PRNGs-Linear Feedback Shift Register (LFSR)-Blum Blum Shub(BBS)•流密码17LFSR的最大长度•定理:LFSR的最大序列长度是2n-1, ( n 指寄存器个数)•Proof:–For K={k0, k1,…, k L}, there are 2L different states–The sequence for K is K1,K2,…,K2L,K i,…K i must be in K1,K2,…,K2L•So repeated–If bits in K are all zero, should be excluded–So 2L-125m-序列（m-sequence)•定义:由LFSR产生的最大长度序列是m-序列}说明:•m-序列{zi–{z} 的周期是：2n-1i–满足Golomb随机性检测•在一个周期内, 0和1的个数是2n-1-1及2n-1•其它…26m-序列内涵•定理：{ai } 是m-序列当且仅当它的特征多项式p(x)是本原多项式•定义：如果p(x)的次数是n，且其周期为2n-1，则称p(x)为本原多项式•定义：设p(x)为GF(2)上的多项式，使式子p(x)|x p-1成立的最小正整数p称为p(x)的周期2829线性复杂性•设{a i } 的线性复杂性是L •已知明文攻击:•复杂性:–L 已知: 用线性关系O(L)–L 未知:用Berlekamp-Massey 算法O(L 2)=L 21c .c c ..⎢⎢⎢⎣⎡⎢⎥⎥⎥⎥⎦⎤n+L-1n+1n a .a a ..⎢⎢⎢⎣⎡⎢⎥⎥⎥⎥⎦⎤n+L-2n n-1a .a a ..⎢⎢⎢⎣⎡⎢n+L-3n-1n-2a .a a ...…..n-1n-L +1n-L a .a a ..⎥⎥⎥⎥⎦⎤……实际应用中的非线性序列•对于非线性序列的研究还在初级阶段•实际应用中的非线性序列–用m-序列作为驱动序列–非线性混合序列–钟控序列31钟控序列•思想:用一些m-序列来驱动其它m-序列•Advantages:–Its linear complexity is exponential with the number of registers in LFSR–Its linear complexity can be controlled easily •Disadvantages:–Not good randomness–Many long runs33第五章流密码•流密码总览•伪随机序列发生器(Pseudorandom Number Generation)•PRNGs-Linear Feedback Shift Register (LFSR)-Blum Blum Shub(BBS)•流密码35Blum Blum Shub发生器•产生伪随机序列的另一种方法：基于数论中的难题•Shamir发生器–分解问题•BBS 发生器–二次剩余问题3637Blum Blum Shub 发生器1. 产生两个大的素数p 和q (p ≡q ≡3 mod 4)2. 计算n=pq3. 选择一个随机的整数x ，gcd(x,n)=14. BBS 的初始输入是: x 0≡x 2(mod n )5. 最后,BBS 通过如下过程产生一个随机的序列b 1 b 2 b 3…:a) x j ≡x j-12(mod n )b) b j 是x j 的最低有效比特BBS发生器：举例1. 产生：p=24672462467892469787q=3967368945678345898032. 则n=97884761408531107941688552174137157819613. 选择x=8732456478884783490134. 则初始输入就是：x≡x2(mod n)≡884529871047878009708991774601012286317238BBS发生器：举例5. 由公式x j≡x j-12(mod n)可得x1，x2，…，的值：x1 ≡7118894281131329522745962455498123822408 x2 ≡3145174608888893164151380152060704518227 x3 ≡4898007782307156233272233185574899430355 x4 ≡3935457818935112922347093546189672310309 x5 ≡675099511510097048901761303198740246040 ... ...b2 b3 b4 b5 …=01110…则产生的序列是b139BBS发生器分析•Fact:If there is a distinguisher D which tells BBS from random sequence, then D can be converted into a probabilistic polynomial-time algorithm A which guess the x-1mod 2 givenx0∈Z N Q+ (D⇒A)40第五章流密码•流密码总览•伪随机序列发生器(Pseudorandom Number Generation)•PRNGs-Linear Feedback Shift Register (LFSR)-Blum Blum Shub(BBS)•流密码41流密码设计目标•设计一个性能良好的流密码是一项困难的任务：–长周期–高线性复杂度–统计性能好–足够的“混乱”42A543A5 说明•钟控序列–由3个m-序列驱动–由3个LFSRs产生–主要函数是非线性的•应用–A5 可以在GSM中保护语音通信44了解RC4•Designed by Ron Rivest in 1987, public in 1994•Simple and effective design–Very fast and very easy to remember•Byte-oriented stream cipher–The internal states is a byte array S[0..255]–S[0..255] is a permutation of 0 to 255•Applications–In SSL to protect the Internet traffic–In WEP to protect the wireless links45RC4：初始化•Produce a initial permutation from the key K(K is divided into L bytes. In fact, this is a pad)•Initialisation:for i=0to 255 do S[i] = i;j =0;for i=0to 255 doj= (j +S[i] + K[I mod L]) mod 256;swap (S[i], S[j]);46RC4: 加密•Two indexes: i, j with i=j=0•Produce one byte of keystream Ks:i = (i + 1)mod 256;(Loop for next Ks)j = (j + S[i])mod256;swap (S[i], S[j]);t = (S[i] + S[j])mod256;Ks = S[t];•Encryption: C i= M i⊕S[t]47RC4安全•RC4的周期是：256! ≈21700•宣称可抵抗已知的所有攻击–有一些分析, 没有实践49总结•流密码总览•伪随机序列发生器(Pseudorandom Number Generation)•PRNGs-Linear Feedback Shift Register (LFSR)-Blum Blum Shub(BBS)•流密码-A5-RC450。

流密码0000目前关于流密码的理论和技术已取得长足的发展。

同时密码学家也提出了大量的流密码算法，有些算法已被广泛地应用于移动通信、军事外交等领域。

流密码的原理:在流密码中，明文按一定长度分组后被表示成一个序列，并称为明文流，序列中的一项称为一个明文字。

加密时，先由主密钥产生一个密钥流序列，该序列的每一项和明文字具有相同的比特长度，称为一个密钥字。

然后依次把明文流和密钥流中的对应项输入加密函数，产生相应的密文字，由密文字构成密文流输出。

即设明文流为:M=m1m2…mi…密钥流为:K=k1k2…ki…则加密算法为:C=c1c2…ci…=Ek1(m1)Ek2(m2)…Eki(mi)…解密算法为:M=m1m2…mi…=Dk1(c1)Dk2(c2)…Dki(ci)…流密码与分组密码在对明文的加密方式上是不同的。

分组密码对明文进行处理时，明文分组相对较大。

所有的明文分组都是用完全相同的函数和密钥来加密的。

而流密码对明文消息进行处理时，采用较小的分组长度(一个分组称为一个字或一个字符)，对明文流中的每个字用相同的函数和不同的密钥字来加密。

1.一次一密下面介绍一下一次一密密码体制。

以逐比特加密的一次一密为例，它要求对明文消息的每个比特做一次加密，而且加密每个明文比特时，都要独立随机地选取一个密钥比特。

无论明文的统计分布如何，一次一密都是无条件安全的，并且它使用的密钥量在所有无条件安全的密码体制中是最小的，因此，从这个意义上来说，一次一密无疑是最优的。

一次一密的一个明显缺点就是它要求密钥与明文具有相同长度，这增加了密钥分配与管理的困难，这一缺陷极大地限制了它在实际中的应用。

流密码采用了类似于一次一密的思想，但加密各明文字的密钥字不是独立随机选取的，而是由一个共同的较短的主密钥按一个算法产生的。

因此，它不具有一次一密的无条件安全性，但增加了实用性，只要算法设计得当，其安全性可以满足实际应用的需要。

流密码通常分为同步和自同步两类。

1 0 1 1 1 0
即输出序列为101110111011…，周期为4。 如果移位寄存器的反馈函数f(a1,a2,…,an)是a1，a2，…，an的 线性函数，则称之为线性反馈移位寄存器LFSR（linear feedback shift register）。此时f可写为 f(a1,a2,…,an)=cna1 cn-1a2 … c1an 其中常数ci=0或1 2加法。ci=0或1可用开关的断开 和闭合来实现，如图2.10所示。
流密码与分组密码的比较：
流密码的特点： 优点：处理速度快，实时性能好，错误传播小 缺点：明文扩散性差，密钥须同步 分组密码的特点：
优点：明文扩散性好，不需密钥同步
缺点：加密速度慢，错误易扩散和传播
图2.1 分组密码和流密码的比较
图2.1 分组密码和流密码的比较
2.1.1 同步流密码
根据加密器中记忆元件的存储状态σi是否依赖于输入的明文 字符，流密码可进一步分成同步和自同步两种。σi独立于明文 字符的叫做同步流密码，否则叫做自同步流密码。由于自同 步流密码的密钥流的产生与明文有关，因而较难从理论上进 行分析。目前大多数研究成果都是关于同步流密码的。在同 步流密码中，由于zi=f(k,σi)与明文字符无关，因而此时密文字 符yi=Ezi(xi)也不依赖于此前的明文字符。因此，可将同步流密 码的加密器分成密钥流产生器和加密变换器两个部分。如果 与上述加密变换对应的解密变换为xi=Dzi(yi)，则可给出同步 流密码体制的模型如图2.2所示。
1
从而得到
0 1 c5 c4 c3 c2 c1 0 1 0 0 0 0 0 1
1 0 0 1 0 0 1 0 0 0 0 1 1 0 11 0 11 0

流密码中密码函数的设计与分析流密码中密码函数的设计与分析流密码是一种在加密和解密过程中，使用连续的密钥流与明文流进行按位异或操作的加密算法。

密码函数是流密码中的核心部分，它负责生成复杂的密钥流，以保证加密的安全性和强度。

本文将讨论流密码中密码函数的设计原则和分析方法，并以一些常用的密码函数为例进行深入讨论。

密码函数的设计原则有两个关键要素：复杂性和非线性。

复杂性要求密码函数设计要足够复杂，以保证生成的密钥流不可预测，从而增加破解的难度。

非线性则要求密码函数必须有足够的非线性特性，以避免产生线性关系，从而增强密码的强度。

常见的密码函数设计包括置换密码函数、混沌密码函数和伪随机数生成器（PRNG）密码函数等。

置换密码函数通过对原始数据进行块置换来生成密钥流，其原理是通过将输入数据的某些位进行调换来生成密钥流，使得生成的密钥流与明文流在位级上具有复杂的关系。

混沌密码函数则利用非线性动力学系统的混沌特性，通过陷入混沌运动的系统来生成密钥流。

伪随机数生成器（PRNG）密码函数则是基于随机数生成器的算法，通过伪随机数序列来生成密钥流。

这些密码函数设计的关键在于如何利用复杂性和非线性的特性来生成高强度的密钥流。

在密码函数设计中，分析密钥流的统计特性是非常重要的。

常见的统计特性包括平衡性、独立性和非相关性。

平衡性是指密钥流中0和1出现的概率应该接近于均等，以保证密钥流的统计性质。

独立性是指密钥流的各个位应该是独立的，即每一位的取值不会受到前一位或后一位的影响。

非相关性是指密钥流中各个位之间应该没有相关性，即每一位的取值不会受到其他位的影响。

通过分析这些统计特性，可以评估密码函数的安全性和强度。

为了提高密码函数的强度，设计者还可以采用一些增强技术。

一种常见的增强技术是使用密钥编排算法，即将初始密钥通过一系列的置换和替换操作得到更复杂的密钥流。

另一种增强技术是引入扩散机制，即通过复杂的运算使得输入的微小变化能够在输出中得到明显的扩散效果，增加密钥流的随机性。

h1 (x) = Q[x0 ] + Q[256 + x1 ] + Q[512 + x2 ] + Q[768 + x3 ] h2 (x) = P [x0 ] + P[256 + x1 ] + P[512 + x2 ] + P[768 + x3 ] 其中字节xg1f=.1(xx(xx3) )3和和|f2|hx(1xx20()x的||)分被x作1表别用||Q与标x0用σ记0,作x(xx为S中) 盒σ最13，2(高xg-)b2在字i(txS节,)H和Ax和0-h2最2,5(6xx低中1)被,字的表x节2作P和用用。作相x同S3盒。为。4个
P [j] = P [j] + g1 ( P [j - 3], P [j - 10]，P [j - 511] ); si = h1 ( P [j - 12] ) ⊕ P [j]; } else { //在组内序号大于512时 Q[j] = Q[j] + g2 ( Q[j - 3], Q[j - 10] ，Q[j - 511] ); si = h2 ( Q[j - 12] ) ⊕ Q[j]; } end-if i = i + 1; } end-repeat
伪随机序列。 最大加密消息长度为264 Bytes，即16 TB，若消息
超过该长度，则需要更换密钥对剩下的消息进行 处理。
Rabbit
i时刻的内部状态（internal state）的
大小是513比特，包含
8个32比特的状态变量(state variables)
xj;i (j=0,1,…, 7) ;
8个32比特的计数变量(counter variables)
cj;I (j=0,1,…, 7) ;

随机序 列 ，那么相 应的流 密码就是绝对 安全 的 ，即实现 了完善 保密 性。但 是，一个随机 序列是无法完全复制得到的 ，只能用伪随机序列 来代替随机序列 。因此 ，产生了衡量伪随机序线性复杂度准则 。 ② 线性复杂度足够大 ，线性复杂度轮廓好 ，局部线性复杂度好等 ，还有
对序列密码的密码学分 析可以分 为以下四种类型 ：
些 推广 ，如 ：ｋ 错 线性复杂度（ 一 球体复 杂度） ，二次复 杂度等 ；③ 统计准则 。如理想 的 ｋ 分布 ；④混淆 。每一密钥流比特由所有或大 重 多数 密钥比特参与 变换而来 ；⑤扩散 。密文或 者密 钥中的 多余 度（ 统
一
１ 伪 随 机 序 列
密码 、前馈流密码所得 密钥 序列的统 计特性较 好 ， 但线性复杂度不易 控 制；而钟控流密码产生 的密钥序 列线性复 杂度指数幂地依赖于有限 状 态机 的参数 ， 但统计特性 不理想 （ 长游程太 多 ）。钟控序列生成 如 器是 用 某 些 Ｌ Ｓ 序 列 的 输 出 作 为控 制 参 数 ，控 制 另 一 些 （ 一 ＦＲ 另
个性质 ：①生成的简洁性 ，即希望生成方式廉价且具有小的时空复杂 度；②生 成的序列具有 良好的伪随机性 。 比较 成熟和 实用的流密 码系统 主要有非线性 组合流 密码 、前馈流 密码、钟 控流密码 以及 由这 三大系统复合的系统。由于非线性组合流
据交换要求 有简单快 速的加密体制 而流密码具有实现 简单 、加密速 度快 等优点 ，使得流密码 不仅在 专用和机 密机构 中占据着优 势 ， 而且 在移动通信 、智能卡 等领域得到广泛的应用。 流密码历史悠久 ， 论成熟 ，加解 密实现容易 ，实 时性 好 ，不存 理 在数据扩展 以及没有 或只有有限 的错 误传播 ，同时只有 流密码 可能实 现Ｓａｎｎ 出的完善 保密机制 ，所 以流 密码是一种应 用十分广泛 的 ｈｎ ｏ提 密码系统。流密码的设计基本上 都是保 密的，大 多数流密码 都是基于 简单的部件 ，因而容易实现 和有效 运行 。研究流密码也是在研 究伪随 机序列 ， 基于伪随 机序列的流密码是 当今最通用的密码 系统 ，而密钥 流序列 的生 成主要是利用线性反馈移位寄存器产生 的伪随 机序列 。

分组密码与流密码的分析设计与比较1引言随着科技的发展，信息安全在现代电子通信等方面发挥着越来越重要的作用密码编码学是应对各种信息安全威胁的最有效的方法。

所谓密码编码学，是指生成高强度、有效的加密或认证算法。

欲传送的原始信息叫做明文，对其进行可逆的数字变换后的信息称为密文。

发送者通过加密算法对明文进行加密，得到密文，这个过程称为加密。

接收者收到经过处理的密文后，通过解密算法，还原成明文，这一过程称为解密。

密码系统所采取的基本工作模式叫做密码体制，主要分为两大类：对称密钥密码体制与非对称密钥密码体制。

对称密钥密码体制中的加密密钥与解密密钥相同，需要安全可靠的密钥传递信道，通信双方需保管好密钥。

非对称密钥密码体制中加密与解密分别有一个对应的密钥，发送者查询接收者公开的公钥对明文进行加密，接收者收到密文后再利用只有自己知道的私钥进行解密。

对称密钥密码体制又分为两大类，分别是分组密码与流密码。

所谓分组密码，就是按照算法设计者预先设定的长度把明文分割成块，再对每一分组进行加密解密的算法。

而对比特进行运算、采用"一次一密"的算法，则称为流密码。

2分组密码2.1 概论所谓分组密码，其明文分为若干个数据块，加密后得到的密文仅与给定的密钥算法和密钥有关，与被处理的明文数据块在整个明文中所处的位置无关。

较典型的分组密码算法有DES算法、IDEA算法、AES算法等。

算法设计者事先设定好分块的长度，算法将明文按照该长度进行分组，再在这些定长的分组上进行运算。

在分组密码的设计中，加密与解密的处理是建立在块的基础上。

算法把明文分成设定的大小，通常为64 bit或128 bit，再对每个块单独编码。

2.2 设计原则创立了经典信息论的数学家C.E.Shannon在1949年时发表了一篇名为"《保密系统的通信理论》的论文。

在这篇论文中，Shannon提出了如何设计分组加密的组合密码系统。

其中，设计分组密码需要依据两个一般原则，分别是混淆原则和扩散原则。

从密码系统的角度看，一个伪随机序列还应 满足下面的条件： 1. {ai}的周期相当大; 2. {ai}的确定在计算上是容易的;
3. 由密文及相应的明文的部分信息，不能确定整 个{ai}。
bojia@
定理6-9：
GF(2)上的n长m序列{ai}具有如下性质： 1. 在一个周期内，0、1出现的次数分别为2n-11和2n-1。 2. 在一个周期内，总游程数为2n-1；对1≤i≤n-2， 长为i的游程有2n-i-1 个，且0、1游程各半；长 为n-1的0游程一个，长为n的1游程一个。 3. {ai}的自相关函数为：
同步序列流密码的关键是密钥流产生器， 一般可将它看成一个参数为k的有限状态机。
bojia@
密钥生成器可以用线性反馈移位寄存器 （LFSR）构造。其驱动部分是一个或多个线 性反馈移位寄存器。 但是这种方法是不安全的，只要掌握有 限数量的明文和密文对，密码分析员就可以 推导出全部密钥流。甚至一个好的伪随机序 列生成器也未必适合构造密钥生成器。
bojia@
6.3.3 m序列密码的伪随机性和破译
流密码的安全性取决于密钥流的安全 性，要求密钥流序列有好的随机性，以使 密码分析者对它无法预测。
即使截获其中一段，也无法推测后面 是什么。若密钥流是周期的，要完全做到 随机性是困难的。 严格地说，这样的序列不可能做到随 机，只能要求截获比周期短的一段密钥流 时不会泄露更多信息，这样的序列称为伪 随机序列。
GSM会话每帧含有228比特，A5算法每 次会话产生228比特密钥，算法的密钥长64比 特，还有一个22比特的帧数。
bojia@
A5算法是一种典型的基于LFSR的流密码算 法，有两个版本：强的A5/1和弱的A5/2。 它由3个LFSR组成，是一种集互控和停走 于一体的钟控模型，然而A5算法没有完全公开。

如果与上述加密变换对应的解密变换为 xi Dzi ( yi ) ，则可给出同步 流密码体制的模型如下图所示。
同步流密码体制模型
同步流密码的加密变换 Ezi 可以有多种选择，只要保证变换 是可逆的即可。
实际使用的数字保密通信系统一般都是二元系统，因而在 有限域 GF(2)上讨论的二元加法流密码（如图）是目前最 为常用的流密码体制，其加密变换可表示为 yi zi xi 。
序列密码对密钥流的要求
二元加法流密码：若密钥流序列完全随机，就是一个完善的保密 系统（一次一密）。
实际使用的密钥流序列(以下简称密钥)都是按一定算法生成的， 因而不可能是完全随机的，所以也就不可能是完善保密系统。
为了尽可能提高系统的安全强度，就必须要求所产生的密钥流序 列尽可能具有随机序列的特征。
一般地，序列密码中对密钥流有如下要求（接近随机序列）： 极大的周期：按任何算法产生的序列都是周期的 良好的统计特性：均匀的游程分布，更好地掩盖明文 高线性复杂度：不能从一小段密钥推知整个密钥序列。 用统计方法由密钥序列ki提取密钥生成器结构或密钥源的足够 信息在计算上是不可能的。
在 LFSR 中总是假定 c1, c2, , cn 中至少有一个不为 0，否则 f (a1, a2, , an ) 0 ，这样的话，在 n 个脉冲后状态必然是 00…0， 且这个状态必将一直持续下去。
若只有一个系数不为 0，设仅有 c j 不为 0，实际上是一种延 迟装置。
一般对于 n 级线性反馈移位寄存器，总是假定 cn 1。
一时刻的状态可用 n 长序列
或 n 维向量
a1, a2, , an
(a1, a2 , , an )
表示，其中 ai 是第 i 级存储器的内容。

几类流密码基本部件的设计与分析几类流密码基本部件的设计与分析流密码是一种常见的加密算法，它利用伪随机数流与明文进行异或操作，从而实现数据的加密。

流密码基本部件是流密码算法中的关键因素，其设计和分析对流密码的安全性和效率至关重要。

本文将探讨几类流密码基本部件的设计与分析，包括线性反馈移位寄存器（LFSR）、非线性滤波器（NLFSR）、置换盒（S盒）和混合置换盒（SPN）。

首先，我们来看LFSR。

LFSR是流密码中最常用的基本部件之一，它是一种寄存器，具有线性反馈结构。

LFSR的设计与分析需要考虑多个因素，如寄存器长度、反馈函数和初始状态等。

寄存器长度决定了LFSR的周期长度，长度越长，密码的安全性提高。

反馈函数的选择也很重要，应该避免线性的反馈函数，以免导致密码易受线性攻击。

初始状态的选择则会影响LFSR的状态序列，应该选择一个具有较高复杂度的初始状态。

接下来，我们介绍NLFSR。

NLFSR是一种非线性反馈移位寄存器，它在LFSR的基础上引入了非线性变换。

对于NLFSR的设计与分析，关键在于非线性变换函数的选择。

合适的非线性变换函数能够增加密码的复杂度，提高密码的安全性。

常用的非线性变换函数包括布尔函数和S盒。

S盒是流密码算法中的重要组成部分，它用于将明文与密钥进行混淆。

S盒的设计与分析需要考虑多个方面，如非线性、混淆度和抗差分攻击性能等。

非线性是S盒的关键特性，通过引入非线性变换，可以增加密码的安全性。

混淆度是衡量S盒复杂度的指标，混淆度越高，密码越难破解。

抗差分攻击性能是指S盒在差分密码分析中的安全性，高抗差分攻击性能能够提高密码的安全强度。

最后，我们介绍SPN。

SPN是一种流密码结构，它将置换和混淆两个操作结合起来，加强加密的安全性。

SPN的设计与分析需要综合考虑置换函数和混淆函数的特性。

置换函数用于乱序明文，减少明文的结构特征。

混淆函数则通过对明文进行替换、替代和混淆操作，增加密码的复杂度和随机性。

分组密码与流密码的分析设计与比较1引言随着科技的发展，信息安全在现代电子通信等方面发挥着越来越重要的作用密码编码学是应对各种信息安全威胁的最有效的方法。

所谓密码编码学，是指生成高强度、有效的加密或认证算法。

欲传送的原始信息叫做明文，对其进行可逆的数字变换后的信息称为密文。

发送者通过加密算法对明文进行加密，得到密文，这个过程称为加密。

接收者收到经过处理的密文后，通过解密算法，还原成明文，这一过程称为解密。

密码系统所采取的基本工作模式叫做密码体制，主要分为两大类：对称密钥密码体制与非对称密钥密码体制。

对称密钥密码体制中的加密密钥与解密密钥相同，需要安全可靠的密钥传递信道，通信双方需保管好密钥。

非对称密钥密码体制中加密与解密分别有一个对应的密钥，发送者查询接收者公开的公钥对明文进行加密，接收者收到密文后再利用只有自己知道的私钥进行解密。

对称密钥密码体制又分为两大类，分别是分组密码与流密码。

所谓分组密码，就是按照算法设计者预先设定的长度把明文分割成块，再对每一分组进行加密解密的算法。

而对比特进行运算、采用"一次一密"的算法，则称为流密码。

2分组密码2.1 概论所谓分组密码，其明文分为若干个数据块，加密后得到的密文仅与给定的密钥算法和密钥有关，与被处理的明文数据块在整个明文中所处的位置无关。

较典型的分组密码算法有DES算法、IDEA算法、AES算法等。

算法设计者事先设定好分块的长度，算法将明文按照该长度进行分组，再在这些定长的分组上进行运算。

在分组密码的设计中，加密与解密的处理是建立在块的基础上。

算法把明文分成设定的大小，通常为64 bit或128 bit，再对每个块单独编码。

2.2 设计原则创立了经典信息论的数学家C.E.Shannon在1949年时发表了一篇名为"《保密系统的通信理论》的论文。

在这篇论文中，Shannon提出了如何设计分组加密的组合密码系统。

其中，设计分组密码需要依据两个一般原则，分别是混淆原则和扩散原则。

GrainGrain-128
Grain Version 1支持80比特长的密钥. 对于穷举搜索攻击，目前计算机的能力不可破解 。但是，有可能利用“时间-存储-数据”攻击，以 O(2k/2)的复杂度实施攻击，其中k为密钥长度。即 攻击者需要搜集约2k/2个并用不同的密钥加密的明 文，以找出其中的一个密钥。显然80比特的密钥 太短。 Grain-128在Grain Version 1的基础上，弥补了密 钥短的缺点，它支持128比特的密钥，输入变量为 96比特。
j∈A
A = {2, 15, 36, 45, 64, 73, 89}.
Grain
加解密方法 加密/解密是将输出比特流与明文/密文进行 异或运算：
ci = pi ⊕ zi pi = ci ⊕ zi
ci和pi分别表示第i比特的密文和明文。
GrainGrain-128
A．线性逼近 对于每个方程a(x)都可以找到一个有偏差的线性逼近方程Aa(x),这意味 着Grain总会产生有偏差的密钥流样本，重要的是选择函数g(x)和 h(x)以确保偏差足够小，没有比穷举攻击更好的攻击手段。 B.代数攻击： 在Grain-128中，NFSR使用h(.)函数引入了非线性特性，使用初始状态 比特流表示输出的函数度一般比较大，而且随时变化，因此它能抵 抗任何代数攻击。 C.时间-存储-数据 权衡攻击： 一般的对于流密码的时间-存储-数据攻击复杂度为O（2n/2）,n指的是 流密码状态的个数。在Grain-128中，两个128位的移位寄存器加起 来状态变量为256，因此时间-存储-数据权衡攻击的复杂度不低于O （2128） D.错误攻击: 对于流密码来说，错误攻击是威胁较大的攻击之一，它们被引入攻击 了很多著名的流密码体制，但是在NFSR中引入缺陷要比在LFSR中 困难。

zi
zi
2004-12-15
10
流密码的分类
同步流密码SSC(Synchronous Stream Cipher)： σi与明文消息无关，密钥流将独立于明文。 特点：
对于明文而言，这类加密变换是无记忆的。但它是时变 的。 只有保持两端精确同步才能正常工作。 对主动攻击时异常敏感而有利于检测 无差错传播(Error Propagation)
2004-12-15
12
4
流密码的分类
n级移存器 … … ki f ki Eki(·) n 级移存器 … … f ki Dki(·) ki
mi
ci
ci
mi
2004-12-15
13
5
2004-12-15
11
流密码的分类
自同步流密码SSSC(Self-Synchronous Stream Cipher) σi依赖于(kI,σi-1,mi)，使密文ci不仅与当前输入 mi 有关，而且由于 ki 对σ i 的关系而与以前的输入 m1, m2 ,…,mi-1 有关。一般在有限的 n 级存储下将与 mi1,…,mi-n有关。 优点：具有自同步能力，强化了其抗统计分析的能力 缺点：有n位长的差错传播。
2004-12-15
2
流密码的框图
kI 安 全 信 ) ci ··· ci
··· KG ki Eki(mi) mi
2004-12-15
3
1
流密码的框图
消息流：m=m1m2…mi，其中mi∈M。 密文流：c=c1c2…ci…=Ek1(m1)Ek2(m2)… Eki(mi)…， ci∈C。 密钥流：{ki}，i≥0。
2004-12-15
5
例2-1