文档介绍:现代常规的分组加密算法
第一页,共29页
我们主要考察如下三种加密算法
DES
其他一些较实用的算法,自己看书了解,如Blowfish,CAST,以及RC2。
第二页,共29页
1 TRIPLE DES
DES算法设计的优点是很多的。如何加强DES的安全性是一个世纪感兴趣的问题。Quisquater等曾建议采用长达768 bits密钥的方案。由于已经证明DES不能成为群,见
and
Proof that DES is not a group
In Advances in Cryptology——Crpto’92.
Springer——Verlag, New York,1993.
于是多重DES,尤其是三重DES还在普遍使用。
第三页,共29页
(1)二重DES(Double DES)
给定明文P和两个加秘密钥k1和k2,采用DES对P进行加密E,有
密文 C=EK2(EK1(P)) 对C进行解密D,有
明文 P=DK1(DK2(C))
E
E
P
X
C
K2
K1
加密图
D
D
K2
K1
C
X
P
解密图
第四页,共29页
对于二重DES的加密,所用密钥的长度为
56×2=112 bits
这样是否真正能增强DES的强度呢?问题在于下式能否成立:
EK2(EK1(P)) =EK3(P) ()
DES是一个从集合A到集合A的一个映射。其中:
�
映射DES事实上可视为对A的一个作用,作用方式为置换。所有可能的置换数为 (264)!。
然而,DES对每一个不同的密钥只决定唯一的映射。而密钥数256<107,()式不能成立。
第五页,共29页
关于DES不是群的详细证明见上面给的文献。
注:二重DES很难抵挡住中间相遇攻击法(Meet-in-the-Middle Attack)
第六页,共29页
E
E
P
C
X
由 C=EK2(EK1(P))
从图中可见
X=EK1(P)=DK2(C)
K1
K2
D
D
C
P
X
K1
K2
加密
解密
第七页,共29页
若给出一个已知的明密文对(P,C)做:对256个所有密钥K1做对明文P的加密,得到一张密钥对应于密文X的一张表;类似地对256个所有可能的密钥K2做对密文C的解密,得到相应的“明文”X。做成一张X与K2的对应表。比较两个表就会得到真正使用的密钥对K1,K2。
第八页,共29页
对二重DES的中间相遇攻击的分析
已知,给定一个明文P,经二重DES加密有264个可能的密文。而二重DES所用密钥的长度应是112 bits,所以选择密钥有2112个可能性。于是对给定明文P加密成密文有2112/264=248种可能。于是,密文是假的比例约为248-64=2-16。这样,对已知明文-密文对的中间相遇攻击成功的概率为1-2-16。
攻击用的代价{加密或解密所用运算次数} ≦256+256=2112
第九页,共29页
(2)带有双密钥的三重DES�(Triple DES with Two Keys)
Tuchman给出双密钥的EDE模式(加密-解密-加密):
C=EK1(DK2(EK1(P))) ……对P加密
P=DK1(EK2(DK1(C))) ……对C解密
这种替代DES的加密较为流行并且已被采纳用于密钥管理标准(The Key Manager Standards ).
第十页,共29页