第18章网络安全I密码学基础1-

第第18章章网络安全网络安全I密码学基础密码学基础-1网络安全基本概念安全服务安全服务对安全的攻击对安全的攻击Internet上常见的攻击：IPIP欺骗欺骗 (IP spoofing)服务拒绝服务拒绝 (denial of service)密码学基础密码学基础-1 -1莱抄埃七太庚陆铸翠钢灰晋愤冀声缨拔裤担穷玩惶九炳则绚征矿耶至坦遍第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1网络安全基本概念网络安全基本概念安全服务安全服务安全服务：安全服务：安全服务：安全服务：国际标准化组织ISO在提出开放系统互连参考模型OSI之后，在1989年提出网络安全体系结构SA(Security Architecture)，称为OSI-SA，它定义了五类安全服务。身份认证身份认证身份认证身份认证(authentication)(authentication)：验证通信参与者的身份与其申明的一致，不是冒名顶替者。认证服务是向接收方保证消息确实来自所声称的源。身份认证是其它服务，如访问控制的前提。巩坐崭穴灯言跪请瓤块仇胆聪选卜堤萄苟困侧辫杂愁绳瓢湍庸誓尊沂李棒第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1网络安全基本概念网络安全基本概念安全服务安全服务(续续)访问控制访问控制访问控制访问控制(access control)(access control)：保证网络资源 (主机系统、应用程序) 不被未经授权的用户使用。访问权限包括读、写、删、执行等。在用户进程被授予权限访问资源前，必须首先通过身份认证。访问权限一般由目标系统控制。数据机密性数据机密性数据机密性数据机密性(data confidentiality)(data confidentiality)：通过加密，保护数据免遭泄漏，防止信息被未授权用户获取，包括防分析。号彦闪驹恒土遮盎绎瘤溺撬疡寡粉捍停衡遵敬媳幢睦僚迂侵开垦心娱瘩据第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1网络安全基本概念网络安全基本概念安全服务安全服务(续续)不可抵赖不可抵赖不可抵赖不可抵赖(non-repudiation)(non-repudiation)：防止通信参与者事后否认曾参与通信。有两种不可抵赖服务：发送的不可抵赖发送的不可抵赖发送的不可抵赖发送的不可抵赖，防止数据发送者否认曾发送过此数据；接收的不可抵赖接收的不可抵赖接收的不可抵赖接收的不可抵赖，防止数据接收者否认曾收到此数据。例：签名函、挂号信。数据完整性数据完整性数据完整性数据完整性(data integrity)(data integrity)：确保收到的信息在传递过程中没有被插入、篡改、删除、重放。目前讨论安全服务，常常增加：可用性可用性可用性可用性(availability)(availability)：防止或恢复因攻击造成系统的不可用。烈泅骄机路蠢汕招鲤少扁艳社于百躇烟妄陀弊架串驻遗僚竞哥晴贴嘿类镇第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1对安全的攻击对安全的攻击假冒假冒假冒假冒(fabrication)(fabrication)：非授权用户假冒合法用户、甚至特权用户的身份进行通信，这是对身份认证和访问控制的攻击。它还包括在网络中插入伪造的报文，截取通信双方交换的信息进行重重重重放放放放攻击等。正常通信假冒当牟所悟夕磺青寿酉盾诡台尹混皇盾朔办裴绦认掳敛叮恨眺木染律间墅锹第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1对安全的攻击对安全的攻击(续续)截取截取截取截取(interception)(interception)：非授权用户截获了对某资源的访问，这是对访问控制的攻击。例如通过监控网络或搭线窃听以获取数据。截取赃搪黍膊线扮菊舌泄袍潭磁肉姜峻艳蝇宏马厩怯叼或瞩陷云咙蛇爬忘狞须第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1对安全的攻击对安全的攻击(续续)篡改篡改篡改篡改(modification)(modification)：非授权用户不仅获得了对某资源的访问，而且篡改了某资源，这是对数据完整性的攻击。例如篡改文件、程序、在网络中传输的信息内容等。篡改新曳获羹袁辈春崇褪煎呈给秘巩衬于汤谤板腮流镁帐坪哈供狮膛跌外颧杂第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1对安全的攻击对安全的攻击(续续)破坏破坏破坏破坏(interruption)(interruption)：破坏系统资源，使系统不能使用或不可访问。如破坏通信设备，切断通信线路，破坏文件系统等。破坏性攻击还包括对特定目标发送大量信息流，使目标超载以至瘫痪。破坏股妈寒廷衙话挣抓丙莹惦哲溶烯昨济胞残阻矮憾杭显粮这蔬凤克蔑第捷摈第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1对安全的攻击对安全的攻击(续续)对网络的攻击又分主动攻击和被动攻击：被动攻击被动攻击被动攻击被动攻击：是在传输中的偷听或监视，目的是截取在网上传输的重要敏感信息，包括消息内消息内消息内消息内容析取和通信量分析容析取和通信量分析容析取和通信量分析容析取和通信量分析。在局域网如以太网上监听是很容易的。在用 telnet作远程登录时，用户的标识名和口令也是一个个字符封装传输。被动攻击检测困难，主要通过加密防止其成功。主动攻击主动攻击主动攻击主动攻击：包括假冒、重放、篡改、破坏。杜绝主动攻击很困难，要对所有设施保护，主要是靠检测，及时发现和恢复。兵洱形捕贞婿呸舀吩痘罐繁欺碑是污妨柜刻朗墒唐跋灶爪漓苗逝威莱瞒朴第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1IP欺骗欺骗(IP spoofing)IP欺骗是指攻击者在IP层假冒一个合法的主机。攻击者只要用伪造的源IP地址生成IP数据报，就可以进行IP欺骗了。IP欺骗常和其它攻击 (如服务拒绝) 结合使用，攻击者利用IP欺骗隐瞒自己的真实地址。攻击者可以使用窃听和协议分析确定TCP连接的状态和数据片序号，当某个连接建立后，在客户和服务器之间进行的数据片交换过程中，攻击者可利用IP欺骗冒充该客户方，插入自己的数据片，这种攻击称TCPTCP会话劫持会话劫持会话劫持会话劫持。Telnet.按坛馈体淬孰针锭坛顿做凳蜀磁钡走硬眷箱傈踞岁大六蚜霉嘻脓埠旁泳缩第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1服务拒绝服务拒绝(denial of service)所谓服务拒绝是一种破坏性攻击，是对某特定目标发送大量或异常信息流，使该目标无法提使该目标无法提使该目标无法提使该目标无法提供正常服务供正常服务供正常服务供正常服务。这类攻击有“Ping O DeathPing O Death”, “SYN SYN floodingflooding”等。“ping A”是向主机A发送ICMP的“回答请求”报文，它封装在IP数据报中。IP数据报最大长度是2 21616- - - -1=655351=65535字节。若攻击者发送ICMP“回答请求”报文，且总长度超过65535字节。IP层在发送此报文会分段，目标主机在段重组时会因缓冲区溢出而瘫痪。这就是“Ping O Death”。铁早谅箕喜菇涣诫辣柒湾征山托夫偿族帛肘耐蚕轮头箱真典牺二剥船申绪第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1服务拒绝服务拒绝(续续)TCP连接的建立需要三次握手，它以发起方的同步数据片SYN开始，并以发起方的确认数据片ACK结束。攻击者向某目标的某TCP端口发送大量的同步数据片SYN，但在收到目标方的ACK和SYN后，不发送作为第三次握手的ACK片。这样使大量TCP连接处于半建立状态，最终将超过TCP接收方设定的上限，而使它拒绝后面的连接请求，直至前面的连接过程超时。这就是“SYNSYN泛滥泛滥泛滥泛滥(flooding)(flooding)”攻击。床夹徊秀狮煞耗非泞剖棠箕圈饵瞧鸦苏掠院羚陨侧绝哇镶勤该峰钥远别垂第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1服务拒绝服务拒绝(续续)2002年10月21日，有人针对DNS的13台根服务器发动了“服务拒绝”攻击，攻击持续了1个小时，13台中的9台受到影响。由于根服务器中设有安全措施、数据备份，全世界Internet用户对此毫无觉察。11月5日美国域名管理公司VERISIGN对其掌控的两台根服务器中的一台安装到公司内部网。脾米笺赌殷凡蓟刻坍躁灌员钠砸郑古牙斥晃扳拦涅纳扎西付碉音辰谗宪李第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1密码学基础密码学基础-1概念传统密码体系(conventional cryptography)传统密码的经典技术传统加密的现代技术沽柒赞霉穷幕稼揉家肤卸尘炬少境台检粒茎坍咐蹦仰兰硕孕识隆悍奖绑优第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1密码学基础密码学基础概念概念迄今为止，网络和通信安全的最重要的工具是加密。身份认证、数据机密性、数字签名等都是以密码学为基础的。明文明文明文明文(plaintext)：原始、可理解、有意义的消息。密文密文密文密文(ciphertext)：经过(加密)处理的，表面上是一串杂乱、无规则、无意义的数据。加密加密加密加密(encryption)：从明文变换成密文的过程。解密解密解密解密(decryption)：从密文恢复成明文的过程。加密或解密变换由算法算法算法算法和密钥密钥密钥密钥组成。词中焚脊肖侍封滤剂原坏括缴苇桃蠢凛浩睁椽辙塑掐兄昔裔卒呆滨剁寻萍第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码体系传统密码体系传输密文C明文明文加密算法解密算法共享密钥K传统密码系统模型加密变换解密变换PP岳霸困那轨奋砰牧炔绢适踞排兢兔鸿磁潭指点克掳仆竟款崔绣赏卓挨送蜀第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码体系传统密码体系特点特点加密变换由算法算法算法算法和密钥密钥密钥密钥组成，记作C = EC = EKK(P)(P)，密钥独立于明文，它控制算法。同一明文用相同算法，不同的密钥将产生不同的密文。改变密钥就改变了算法的输出。解密算法是加密算法的逆解密算法是加密算法的逆解密算法是加密算法的逆解密算法是加密算法的逆过程，记作P= DP= DKK(C)(C)，解密和加密使用同一密钥解密和加密使用同一密钥解密和加密使用同一密钥解密和加密使用同一密钥，传统密码体系也称对称密钥对称密钥对称密钥对称密钥密码体系(symmetric key cryptography)。对称密钥是通信双方共享的，也称共享密钥共享密钥共享密钥共享密钥(shared key)。派女布久边链妆揣鲍树冠帜畏管公蚌县痊沾辅羚犬蝗藐根白戌腮炉宽辨跌第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码体系传统密码体系(续续)加密算法基于两个基本原理： - 替代替代替代替代(substitution)(substitution)：明文中每个元素 (比特、字母、比特组、字符组) 被映射为另一个元素； - 置换置换置换置换(transposition)(transposition)：明文中的元素被重排排排排列列列列。对它们的基本要求是不丢失信息，即所有操作是可逆的。多数系统包括多个阶段的替代和置换。视榔掐殿宰孟钻沉翁澜瓷搐邹赎信便揉面砖傅胁实韩蛰播藏碱训聊荔搅耙第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码经典技术传统密码经典技术凯撒密码凯撒密码凯撒密码凯撒密码凯撒密码凯撒密码(Caesar Cipher)(Caesar Cipher)最早、最简单的替代密码替代密码替代密码替代密码 (substitution cipher)，是Julius Caesar所使用的密码。明文的每个字母用(字母表中)其后第 3个字母来替换，注意字母循环排列，Z后是A。 a b c d e f g h i j k l m n o p q r s t u v w x y z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C 例明文：meet us after the dinnermeet us after the dinner密文：PHHW XV DIWHU WKH GLQQHUPHHW XV DIWHU WKH GLQQHU崎涌铰睫钩明误务廷涕绞快押稼肆犹樊氏冠笺糖粳槛猎日悼确帆咖莽辨尊第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码经典技术传统密码经典技术凯撒密码凯撒密码(续续)为每个字母指定数字(a=0, b=1, 等)，则算法：C=EC=E3 3(P)=(P+3)mod 26(P)=(P+3)mod 26，P=DP=D3 3(C)=(C(C)=(C- -3)mod 263)mod 26。更通用的Caesar算法：C=EC=EK K(P)=(P+K)mod 26(P)=(P+K)mod 26，P=DP=DK K(C)=(C(C)=(C- -K)mod 26K)mod 26。凯撒密码是一种单字母表密码单字母表密码单字母表密码单字母表密码 (monoalphabetic cipher)，即一个明文字母对应的密文字母是确定的。它对频率分析攻击频率分析攻击频率分析攻击频率分析攻击很脆弱。因消息中字母出现的频率和前后连缀关系有一定的统计规律，例如英文文本中 e e 出现频率最高。此外密钥只有25个不同的值，非常不安全。激蛙负拳挞缠彻螟戌撰刚样照窗捣墅了谢讽嚼政少豆碍窃辜婉绥冯宿端咨第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码经典技术传统密码经典技术Vigenere密码密码VigenereVigenere密码密码密码密码：Vigenere是法国密码专家，以他命名的密码算法是一种最简单的多字母表密码多字母表密码多字母表密码多字母表密码 (polyalphabetic cipher)。设密钥 K=kK=k1 1k k2 2kkn，明文 P= pP= p1 1p p2 2ppn，其中 ki，pi 都是字母，字母字母 az az 编码为编码为 025 025，编码编码后还是记作后还是记作 k ki，p pi，则密文 C= cC= c1 1c c2 2ccn，其中c ci = (p= (pi+k+ki ) mod 26 ) mod 26注意密钥的长短与明文长短没有关系。对于长度为 n (个字母)的密钥 K，可以把明文 P 分成 n (个字母)长的段，一段一段进行加密。惊密脸汀擂兜辗吾劈曝琢怪惜撑滇废鞍恭闻似懈莹颂轩啊床忧漫银颐趁义第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码经典技术传统密码经典技术Vigenere密码密码(续续)例如：K=bdcsig，若P=money，则C=NRPWG，若P=internet，则C=JQVWZTFW。Vigenere密码可以看作是26个 Caesar 密码组成的，一组单字母表替代规则，每个密码由密钥的一个字母表示。多字母表密码方法的共同特点是：使用一组相关的单字母表替代规则。密钥确定变换中选择哪些特定规则。冕搁般辕槐湘茂泳函经驱蓉谈凤趴际慨恰攻站锄糟蠕娩痹殆版断槽茬抹生第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统密码算法的安全性传统密码算法的安全性加密算法必须足够强大加密算法必须足够强大加密算法必须足够强大加密算法必须足够强大，仅根据密文破译出明文是不切实际的。传统密码算法的安全性取决密钥的安全性密钥的安全性密钥的安全性密钥的安全性，不是算法的安全性。知道密文和加密/解密算法，不知道密钥，要破译出明文是不现实的。所以不必保密算法不必保密算法不必保密算法不必保密算法，只需保密密钥只需保密密钥只需保密密钥只需保密密钥。密钥的穷举猜测攻击不可避免，密钥必须足够密钥必须足够密钥必须足够密钥必须足够长、足够随机长、足够随机长、足够随机长、足够随机。例密钥长256位，密钥空间为 2256，约1077。若计算机每秒能对密钥空间进行1亿次搜索，全部搜索一遍需1061年以上。伊玖企泊弗臂出坐挝淆嘎凛砖折撞小禁押警栋悯旺艘蜡嫂祝惠托凿教帐埂第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1传统加密的现代技术传统加密的现代技术流密码和块密码流密码和块密码现代密码设计基础现代密码设计基础数据加密标准数据加密标准DESDES- - DESDES算法算法- - DESDES的雪崩效应的雪崩效应- - DESDES的强度的强度- - DESDES的操作模式的操作模式三重三重DESDES攻滑炽荣架目晌痔岁尊搁提箍据锈袱叔梯辜铲屡剔登由误伟吕衔节予烬宪第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1流密码和块密码流密码和块密码流密码流密码(stream cipher)：对数字数据流一次加密一个比特或一个字节。经典流密码的例子是 Vigenere 密码。块密码块密码(block cipher)：明文分块，一个明文块被作为一个整体处理，产生一个等长的密文块。通常使用的块大小是64位。劳术尉蛊踏另钵祁流峪豫瓶远架烤俏权惯妄仕誓律札篮钵忌绸堂岳籽百酌第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1现代密码设计基础现代密码设计基础Claude ShannonShannon 1949年的论文 “communication Theory of Secrecy Systems” 奠定了密码学的理论基础。假设密码攻击者对明文的统计特性有所了解，如字母频率分布等。若这些统计特性以某种方式反映在密文中，则攻击者就可以推测出密钥。Shannon提出用扰乱扰乱扰乱扰乱(confusionconfusion)和扩散扩散扩散扩散(diffusiondiffusion)交替的方法构造密码，目的是挫败基于统计分析的密码破译。六更阳菜荷辉黔砾啸瓶庄跨狂稳矮力喀作问涟膀愤钳祥预望班炕扑赛缔庐第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1现代密码设计基础现代密码设计基础(续续)所谓扩散扩散扩散扩散：明文的统计结构被扩散、消失到密文的长程统计特性中，即每个密文数字被许多明文数字影响。扩散机制使明文和密文之间的明文和密文之间的明文和密文之间的明文和密文之间的统计关系尽量复杂。统计关系尽量复杂。统计关系尽量复杂。统计关系尽量复杂。所谓扰乱扰乱扰乱扰乱：使密文的统计特性密文的统计特性密文的统计特性密文的统计特性与加密密钥的值加密密钥的值加密密钥的值加密密钥的值之间的关系尽量复杂。Feistel 基于Shannon的设想，提出用替代和置换交替方式构造密码，提出 Feistel Feistel 块密码结构块密码结构块密码结构块密码结构。当前用的几乎所有对称加密算法都基于此结构！状兑凳堵惹辑奏返除命疚便抒谰烟傲坤寺锥任夷节胶伙慌盈段蜗匪沂榜漠第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1Feistel密码结构密码结构明文(2w比特)+ +FL0 w 比特w 比特 R0K1L1R1第 1 轮.奎铁鳖革尽逮等酒镭彼乞辐翰对勘隆页姑帕刑顶携鹃捐程鄙薛且想损舌卤第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1Feistel密码结构密码结构(续续)FK iL iR i第 i 轮.Li-1Ri-1+ +奴爹服姚现谎菠葡亚脉担鹅茹晴竖形芹裙扇譬赛晒桅妈共胺冈毖湛嘉廓匡第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1Feistel密码结构密码结构(续续)FKnLnRn密文 (2w比特)第 n 轮+ +戊帐澜移衙话亏敝鬼奈罩氦签伎川搜琼名耽进桔礼候担荤官泅圆鹏依仔荤第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1Feistel密码结构设计特点密码结构设计特点块大小块大小块大小块大小：块越大安全性越高，但加密/解密速度越慢。6464比特的块大小是合理的折衷比特的块大小是合理的折衷比特的块大小是合理的折衷比特的块大小是合理的折衷，在块密码设计中这几乎是通用的值。密钥长度密钥长度密钥长度密钥长度：密钥越长安全性越高，但加密/解密速度越慢。64比特或更短的密钥长度现在广泛认为不够安全，128128比特是常用的密钥长度比特是常用的密钥长度比特是常用的密钥长度比特是常用的密钥长度。循环次数循环次数循环次数循环次数：一次循环不够安全，多次循环可增加安全性，典型的循环次数是典型的循环次数是典型的循环次数是典型的循环次数是1616。子密钥子密钥子密钥子密钥 K Ki 的生成算法的生成算法的生成算法的生成算法：算法越复杂密码分析越困难。岁侵括练秘毒肚襄纸泵穴锗跃婪丁朱睫锻恢却肌逮呜爱超距螟再仰瑟蚀餐第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1Feistel密码结构设计特点密码结构设计特点(续续)轮函数轮函数轮函数轮函数F F：F越复杂则抗击密码分析能力越强。在密码设计中还要考虑：快速的软件加密快速的软件加密快速的软件加密快速的软件加密/ / / /解密解密解密解密：在很多情况下加密被嵌入到应用程序中，以至无法用硬件实现，所以要考虑算法执行速度。便于分析便于分析便于分析便于分析：虽然希望算法难以破译，但使算法容易分析却有好处。若算法能简明地解释，就可以通过分析算法找到其弱点，进行强化。DES的功能原理就不容易分析。陕孜咕疗祟诧柱钥缓丹苫计椭擅韵弄哲酒妊躁它纵咬甚捉信菠蚜弊芜栓贸第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1Feistel解密算法解密算法Feistel解密过程和加密过程实质是相同的。解密规则：以密文作为算法输入。以相反的次序使用子密钥Ki。即第一轮使用Kn，第二轮使用Kn-1，最后一轮使用K1。这个特点使得加密加密/ /解密使用同一算法解密使用同一算法，相相反的密钥次序反的密钥次序就行。这容易证明。蝴钥且剃韭具架培斟控睡滨息荆透池藐丽毒继趣便吮比博旺唆默浴耪垛鲍第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1数据加密标准数据加密标准DES是IBM开发，在1977年被美国标准局NBS(美国标准技术局NIST的前身)采纳为第46号联邦信息处理标准，是非绝密计算机数据的加密标准非绝密计算机数据的加密标准非绝密计算机数据的加密标准非绝密计算机数据的加密标准。DESDES是块密码算法是块密码算法是块密码算法是块密码算法，数据被分成64位的块进行加密，密钥密钥密钥密钥5656位位位位。批评者担心56位密钥不足以抵御穷举式攻击。DES实际上很成功，它在工商业界广泛采用，特别是金融领域。1992年底NIST把联邦政府使用DES的有效期又延长了5年。1997年NIST公开征集新算法来取代DES。鸿芬观泌厉宗道港左洲沫淤夯庄翔祸蚌流孜飞乾抨域渍霄欠棠痊抑葫衫艳第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法初始排列 IP排列 PC-1迭代 1迭代 1迭代 16迭代 16.32位交换逆初始排列.64位明文56位密钥64位密文K1K16(1)(3)(2)(4)(5)扫傻咏韧驮才乾唐慌矿伐奋季鄙垢瞎霍淀戈宋华谋嫉喷因筛助秘英宰撼刮第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法(续续)DES加密算法：(1) 对6464位明文进行初始排列位明文进行初始排列位明文进行初始排列位明文进行初始排列 IPIP：第1位是原来的第58位，第2位是原来的第50位等，按IP表进行。(2) 对5656位密钥进行位密钥进行位密钥进行位密钥进行 PC-1 PC-1 排列排列排列排列。密钥分为8 组，每组7位，每组再加1个奇校验位，所以共64位，排列按PC-1表进行，输出56位。(3) 明文初始排列后与密钥经 PC-1排列后的结果进行1616次迭代次迭代次迭代次迭代，戊炽遵费唆迁泞缉辖颇纫剂涝源耀供遥佬殿嘻谁僻酒搀遂喧神佣逆既作勺第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法(续续)密钥迭代结果分别为4848位的位的位的位的KKi，i=1, , 16，称为子密钥子密钥子密钥子密钥。(4) 将16次迭代后64位输出值的左、右左、右左、右左、右3232位交换位交换位交换位交换。(5) 对交换后的64位结果再做一次排列，它是初初初初始排列的逆，即始排列的逆，即始排列的逆，即始排列的逆，即IPIP-1-1，第1位换为第58位，第2位换为第50位等，按IP-1表进行，就得到密文。DES解密与加密使用相同算法，只是使用密文作为输入，而且以逆序使用密钥Ki，即第1次迭代使用K16，第16次迭代使用K1。氏秆阮蛀刨送址注磨魔技隆当澳牧奏谬莉酚候佯溃肚汗渭曾轮郝钡臼胸敛第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法初始排列初始排列IP表表赛坐鞋邀限固胰焰枣榷昆瑚苔宣额备蓝来梁凛蔓鹅届泌扣浓值沃苔洪惑消第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法迭代迭代迭代第 (i-1) 次迭代产生64位中间结果，记为 LiRi，其中 Li、Ri 分别是其左、右各32位。第 (i-1) 次迭代既产生56位的密钥，记为 CiDi，其中 Ci、Di 分别是密钥的左28位和右28位；也产生48位的子密钥记为 Ki。一次迭代过程如下图所示：三草佰架积翁犹泅拼圃畸徊嘛媚斑阶烦仿宛辱剪淆两烁妹俯挤瘦梭繁跌绍第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法迭代迭代(续续)L i-1R i-1C i-1D i-1扩展排列扩展排列扩展排列扩展排列E E+ +循环左移循环左移循环左移循环左移循环左移循环左移循环左移循环左移P P排列排列排列排列+ +R iL iC iD iS S替换替换替换替换压缩排列压缩排列压缩排列压缩排列PC-2PC-2K i48位F32位28位沙烩旱朵软骨方桶陡榆鹿壶旁蜀噬膳函焦褒赘肺孟案缕耽棒炳赌粤朵啪北第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法迭代迭代(续续)1. 关于 F 中的运算下面介绍。2. 密钥的循环左移密钥的循环左移密钥的循环左移密钥的循环左移：Ci-1和Di-1分别循环左移1或2位(i=1, 2, 9, 16 时左移1位，i为其它值时左移2位)，移位后的值作为下次迭代的输入Ci 和Di。3. 密钥的压缩排列密钥的压缩排列密钥的压缩排列密钥的压缩排列PC-2PC-2：利用 PC-2 表从56位的 Ci Di 构造48位的符号串，作为迭代的子密钥 Ki。此运算不仅重排列，也从中选择，称排列选择。 4. 将 Li-1和 F 运算的结果进行异或异或异或异或后作为 Ri，原Ri-1作 Li。佛担滞当很笼侮曰埠剔梨焦作竭泄挑辆急此拎绎绕撇犬馏苫桥问皿饼低尽第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法 F运算运算R(32位)扩展排列扩展排列扩展排列扩展排列 E E48位K(48位)+ +S1S1S2S2S8S8S7S7.P P排列排列排列排列 32位栽潘苗粉绚献殆天境锅壬互岂硕捞排论谩莎枢挞林潜荚抖鳃股课合盂产该第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法 F运算运算(续续)(1) 扩展排列扩展排列扩展排列扩展排列E E：利用表 E将右半部分从32位扩展到48位符号串。Ri-1的第1位排到第2位和第48位，第4位排到第5和7位等，所以称扩展排列。这个运算有两个目的：产生和子密钥相同长度数据进行异或；在 S 替换运算时进行压缩。但从密码学看由于输入的一位将影响两个替换位，输出对输入依赖性将传播更快，这叫雪崩效应雪崩效应雪崩效应雪崩效应。(2) 将扩展排列 E 的48位结果和48位子密钥 Ki 进行异或异或异或异或运算，即按位做模2 加。钠聪裸洞耪官揍僚怒膊炎顶哈彤氦如楔渤差惩睬类逢挠残躇裕镊功和症障第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法 F运算运算(续续)(3) S S盒替换盒替换盒替换盒替换：将第 2 步的 48 位结果分成 8 组，每组 6 6位位位位分别按表 S1，S2，S8 替换为替换为替换为替换为 4 4位位位位。在替换替换替换替换Si Si 中，设 6 位输入为输入为 A =A = a a1 1 a a2 2 a a3 3 a a4 4 a a5 5 a a6 6，令c = c = a a2 2 a a3 3 a a4 4 a a5 5，r = r = a a1 1 a a6 6，作为十进制数，0 0c c1515，0 0r r3 3。在 Si Si 表表的第第 r r 行、第行、第 c c 列列查出一个数数B B，0 0B B1515，可用4个二进制数表示为 B= B= b b1 1 b b2 2 b b3 3 b b4 4，它就是替换 Si 的输出输出。每6位都替换为4位，因此合成32位。注意S S盒替换是盒替换是盒替换是盒替换是非线性的非线性的非线性的非线性的，它比DES的其它任何一步提供更好安全性。胀霄史笺弊瓷段阉贸宠锗谊飘帧欺磨瞒弯字屿放涌冤舞胳骤毡藕取窖豢瞪第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES算法算法 F运算运算(续续)(4) P P 排列排列排列排列：将S替换后的32位结果按下表再排列。P排列的目的是增强算法的扩散特性。钵址维迈蓟钦弦油看翔社醇克待郝鸟固侯囱癌建凛驱茅凋胆拍峡诌医蔽甥第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的雪崩效应的雪崩效应加密算法应有的一个特性是明文或密钥的一点小变动应该使密文发生大变化，这称雪崩效应(avalanche effect)。DES具有很强的雪崩效应。例设两个明文块只差两个明文块只差两个明文块只差两个明文块只差1 1位位位位，一个64位全 0，一个首位为 1 其余全为0。密钥：0000001 1001011 0100100 1100010 0011100 0011000 0011100 0110010在仅2次循环后两个数据块就有21位不同, 见表(a)。五伎互倔封乐嘉唐帧遗故捡束犹摄柴廖域拾楔墓语值巴滞舰裙途捞闪鄂瓜第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的雪崩效应的雪崩效应(续续)烧殿蕊挽逢饮莆运郧帽茎贡驼鲁耐咱迸钙吵椰鸵酗块西瞥灵骏簇见菠居诲第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的雪崩效应的雪崩效应(续续)假设两个密钥有一位不同两个密钥有一位不同两个密钥有一位不同两个密钥有一位不同密钥1：1 1110010 1111011 1101111 0011000 0011101 0000100 0110001 1101110 密钥2：0 0110010 1111011 1101111 0011000 0011101 0000100 0110001 1101110 明文：01101000 10000101 00101110 01111010 00010011 01110110 11101011 10100100从表(b)看，雪崩效应同样在几轮循环后就很明显。痈毡恍句拍琉骨淆性煽杯庚黑铂达统供汁阎搔秀耿然诀珐诡欲绥柄脏粮肉第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的强度的强度RSA在1997年1月29日发起一个破译DES密钥的竞赛：奖金1万美元，要求在给定密文和部分明文的情况下找到密钥，明文开始的3个块包含24字符的短语“the unknown message is：”。Rocke Verser 编了一个穷举式程序，并通过Internet 分发，这个项目连接了Internet上超过7万个系统。每个计算机自愿者加入时，项目组为此计算机分配部分密钥空间做测试。项目1997年2月18日开始，96天后找到正确密钥，大约搜索了全部可能密钥的1/4。.煞黔罗捣宰美哟君函眨洒蓟莱大墅勺从棵硕乱正跃侣翌趋篮贾炽站坦藕躯第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的操作模式的操作模式DES算法实际上是提供数据安全的基本构件。为了在各种应用中使用DES，定义了四种操作模式：电子密码本ECB(electronic codebook)，密码块链接密码块链接密码块链接密码块链接CBC(cipher block chaining)CBC(cipher block chaining)，密码反馈CFB(cipher feedback)和输出反馈OFB(output feedback)，后两种用于流密码。最常用的是DES-CBCDES-CBC。主孤小迹巳驰褒笑交兼帕挥吝撩拇纵砾居迪子绕囚猛塌绵怨逐蕾赦辕蛆奈第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的操作模式的操作模式 CBC+ +时刻1P1+ +时刻2P2C1KKC2+ +时刻NPNKCN.CN-1IV加密DESDES加密加密加密加密DESDES加密加密加密加密DESDES加密加密加密加密燎抚然震诲串纹丙滞语讳讨盆邮起总营哩痕酱通椎毯迅甥藩册蜂溯篷肯荷第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的操作模式的操作模式 CBC(续续)每个明文块在加密前都与前一密文块进行异或运算；对每一块使用相同的密钥；第一个明文块与一个随机选择的初始向量IV进行异或，IV可使用时间戳或随机位串。发送方和接收方必须都知道IV，IV应和密钥一样保护。采用DES-CBC，在不同位置的相同明文块将产生不同的密文块。DES-CBC的解密是加密的逆过程。退哼整肆掂车臀迅赞馅属瘸枣扣澄懈性霉氨坚猴峙屈执匣真剔勿学痛屁恨第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1DES的操作模式的操作模式 CBC(续续)KKK.C1C2CN+ + + +P1P2PNIVCN-1解密DESDES解密解密解密解密DESDES解密解密解密解密DESDES解密解密解密解密绎莱渍规姜斤缘腮伪须农漂陷砾俩床瓶盆脐复背抠践折马僚禾撮桓懒督脊第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1三重三重DES (triple DES)对DES的批评是密钥太短。1977年Tuchman 提出用2个密钥三次执行DES：(1) 用密钥1加密；(2) 用密钥2解密；(3) 用密钥1加密。称为三重DES。解密方法是.。目前还没有针对三重DES的实用密码分析攻击方法，三重DES的穷举式密钥搜索的代价是2112，约 51033量级。职嘿损君众温铁扬屉蜜涉摘搁镁倔辨蝇僧死遮撂凛嚏怖雷赡锈确汞况茎醛第18章网络安全I密码学基础-1第18章网络安全I密码学基础-1