Feistel网络（3）
刻画密码系统的两个基本构件
Shannon 目的：挫败基于统计方法的密码分析
混淆（confusion）：使得密文的统计特性与密钥 的取值之间的关系尽量复杂。
扩散（diffusion）：明文的统计特征消散在密文中， 使得明文和密文之间的统计关系尽量复杂。
2020/10/12
2020/10/12
39
DES的强度（1）
若k为弱密钥，则有
DESk(DESk(x))=x DESk-1(DESk-1(x))=x 即以k对x加密两次或解密两次都可恢复出明文。其加密运算和解密运
算没有区别。
而对一般密钥只满足
DESk-1(DESk(x))=DESk(DESk-1 (x))=x 弱密钥下使DES在选择明文攻击下的搜索量减半。
2020/10/12
54
输出反馈模式
工作模式
加密 解密
应用 特点
缺点：抗消息流篡改攻击的能力不如CFB。
错误传播
不传播
2020/10/12
55
Output FeedBack (OFB)
2020/10/12
56
摘自：NIST Special Publication 800-38A 2001 Edition
可用于所有分组密码。 DES的工作模式
若明文最后一段不足分组长度，则补0或1，或随机串。
2020/10/12
44
DES的工作模式
模式 电码本（ECB） 密码分组链接（CBC）
密码反馈（CFB） 输出反馈（OFB） 计数器（CTR）
描述
典型应用
单个数据的安全传输
普通目的的面向分组的传输； 认证 普通目的的面向分组的传输； 认证
十
六
轮第
迭i
代轮
Round i
加加
密密
2020/10/12
20
DES第i轮迭代加密
2020/10/12
21
F函数
2020/10/12
22
扩展E置换（E-盒）
2020/10/12
23
S盒（1）
2020/10/12
24
S盒（2）
S-盒是DES加密算法的唯一非线性部件
2020/10/12
25
S盒（3） S-盒
认证：
特点
分组任意
安全性优于ECB模式
加、解密都使用加密运算（不用解密运算）
错误传播
有误码传播，设 Pt…,Pt+r。
r
64 s
，则错误的Ct会影响到
2020/10/12
52
Cipher FeedBack (CFB)
2020/10/12
53
摘自：NIST Special Publication 800-38A 2001 Edition
2020/10/12
36
压缩置换2
舍弃了第9,18,22,25,35,38,43,54比特位
2020/10/12
37
DES加解密的数学表达
加密过程:
L0R0 IP (<64 bit明文>)
LiRi-1
i=1,...,16 (1)
RiLi-1f(Ri-1, ki)
i=1,...,16 (2)
DES算法的性质：S盒构造方法未公开！
计时攻击
2020/10/12
42
DES的强度（4）
差分密码分析
通过分析明文对的差值对密文对的差值的影响来 恢复某些密文比特
线性密码分析
通过寻找DES变换的线性近似来攻击
2020/10/12
43
§3.4 分组密码的工作模式
FIPS 81中定义了4种模式，到800-38A中将其 扩展为5个。
33
子密钥产生器
2020/10/12
密钥（64 bit ）
除去第8,16, ,64位(8个校验位)
置换选择1，PC1
Ci(28 bit)
Di(28 bit)
循环左移
循环左移
置换选择2，PC2 ki
34
2020/10/12
35
置换选择1
（舍弃了奇偶校验位，即第8，16，…，64位） 循环左移的次数
<64 bit密文> IP-1(R16L16)
(1)(2)运算进行16次后就得到密文组。
解密过程:
R16L16 IP(<64 bit密文>)
Ri-1Li
i=1,...,16 (3)
Li-1Rif(Li-1, ki)
i=1,...,16 (4)
<64 bit明文>IP-1 (R0L0)
(3)(4)运算进行16次后就得到明文组。
噪声信道上的数据流的传输
普通目的的面向分组的传输； 用于高速需求
2020/10/12
45
电码本模式ECB
工作模式
加密：Cj=Ek(Pj),(j=1,2,…,n) 解密：Pj=Dk(Cj)
应用 特点 错误传播
不传播，即某个Ct的传输错误只影响到Pt的恢复，不影 响后续的（j＞t）。
2020/10/12
提供了密码算法所必须的混乱作用 S-盒不易于分析，它提供了更好的安全性 S-盒的设计未公开
2020/10/12
28
P置换
2020/10/12
29
P置换
直接P置换（P-盒）
2020/10/12
30
F函数
2020/10/12
31
DES第i轮迭代加密
2020/10/12
32
2020/10/12
分组密码
将一个明文组作为整体加密且通常得到的是与 之等长的密文组
2020/10/12
4
流密码模型
b位
明文
密钥K
加密算法
密文
b位
2020/10/12
5
分组密码的一般设计原理：
分组密码是将明文消息编码表示后的数字（简称明 文数字）序列，划分成长度为n的组（可看成长度 为n的矢量），每组分别在密钥的控制下变换成等 长的输出数字（简称密文数字）序列
数据加密标准 (DES) 第一个并且是最重要的现代分组密码算法
2020/10/12
12
历史
▪ 发明人：美国IBM公司 W. Tuchman 和 C. Meyer
1971-1972年研制成功
▪ 基础：1967年美国Horst Feistel提出的理论 ▪ 产生：美国国家标准局（NBS)1973年5月到1974年8月两次发布通告，
2020/10/12
57计Βιβλιοθήκη 器模式工作模式加密： 给定计数器初值IV，则 C j Pj EK IV j 1 j=1,2,…,N
解密
特点
Pj C j EK IV j 1
优点
硬件效率：可并行处理；
软件效率：并行化；
预处理；
随机访问：比链接模式好；
可证明的安全性：至少与其它模式一样安全；
2020/10/12
49
Cipher Block Chaining (CBC)
2020/10/12
50
摘自：NIST Special Publication 800-38A 2001 Edition
2020/10/12
51
密码反馈模式
工作模式
加密 解密
应用
保密：加密长度大于64位的明文P；分组随意；可作为 流密码使用。
公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳 了IBM的LUCIFER方案
▪ 标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标
准局颁布为数据加密标准（Data Encryption Standard），于 1977年7月15日生效
2020/10/12
13
概述
46
Electronic Codebook Book (ECB)
2020/10/12
47
摘自：NIST Special Publication 800-38A 2001 Edition
2020/10/12
48
密码分组链接模式
工作模式
加密 解密
应用
加密长度大于64位的明文P 认证
特点 错误传播
轮数，函数F，密钥扩展
DES
算法细节 密码强度 工作模式
2020/10/12
61
第三章作业
思考题：3.5，3.7，3.8
2020/10/12
62
如果随机地选择密钥，则在总数256个密钥中，弱密钥所占比例极小， 而且稍加注意就不难避开。
因此，弱密钥的存在不会危及DES的安全性。
2020/10/12
40
DES的强度（2） 雪崩效应
2020/10/12
41
DES的强度（3）
56位密钥的使用
256 = 7.2 x 1016 1997 ，几个月 1998，几天 1999，22个小时!
2020/10/12
15
2020/10/12
16
初 始 置 换 和 初 始 逆 置 换
2020/10/12
17
初始置换和初始逆置换
DES中的初始置换和初始逆置换
2020/10/12
18
Note
初始置换与初始逆置换是互逆的
严格而言不具有加密的意义
2020/10/12
19
DES的十六轮迭代加密
2
07 11 04 01 09 12 14 02 00 06 10 13 15 03 05 08
3
02 01 14 07 04 10 08 13 15 12 09 00 03 05 06 11