杨波-《现代密码学(第2版)》03-2省公开课一等奖全国示范课微课金奖PPT课件.pptx

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Modern Cryptography,*,*,Modern Cryptography,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,3,章 分组密码体制,分组密码概述,数据加密标准,差分密码分析与线性密码分析,分组密码运行模式,IDEA,AES,算法,Rijndael,1/29,3.5 IDEA,来学嘉（,X.J.Lai,）和,J.L.Massey,提出第,1,版,IDEA,（,I,nternational,D,ata,E,ncryption,A,lgorithm,，国际数据加密算法）于,1990,年公布，当初称为,PES,（,proposed encryption standard,，提议加密标准）。,1991,年，在,Biham,和,Shamir,提出差分密码分析之后，设计者推出了改进算法,IPES,，即改进型提议加密标准。,1992,年，设计者又将,IPES,更名为,IDEA,。这是近年来提出各种分组密码中一个很成功方案，已在,PGP,中采取。,2/29,3.5.1,设计原理,算法中明文和密文分组长度都是,64,比特，密钥长,128,比特。其设计原理可从强度和实现,两方面考虑,。,1.,密码强度,算法强度主要是经过有效,混同,和,扩散,特征而得以确保。,3/29,混同,是经过使用以下,3,种运算而取得，,3,种运算都有两个,16,比特输入和一个,16,比特输出：,逐比特异或，表示为,。,模,2,16,（即,65536,）整数加法，表示为,+,，其输入和输出作为,16,位无符号整数处理。,模,2,16,+1,（即,65537,）整数乘法，表示为，其输入、输出中除,16,位全为,0,作为,2,16,处理外，其余都作为,16,位无符号整数处理。比如,00000000000000001000000000000000=1000000000000001,这是因为,2,16,2,15,mod(2,16,+1)=2,15,+1,。,4/29,表,3.6,给出了操作数为,2,比专长时,3,种运算运算表。在以下意义下，,3,种运算是不兼容：,3,种运算中任意两种都不满足分配律，比如,a,+,（,b c,）,(a +b)(a +c),3,种运算中任意两种都不满足结合律，比如,a +,（,b+c,）,(a +b)+c,三种运算结合起来使用可对算法输入提供复杂变换，从而使得对,IDEA,密码分析比对仅使用异或运算,DES,更为困难。,5/29,6/29,算法中扩散是由称为,乘加,（,M,ultiplication/,A,ddition,MA,）结构基本单元实现。,该结构输入是两个,16,比特子段和两个,16,比特子密钥，输出也为两个,16,比特子段。,这一结构在算法中重复使用了,8,次，取得了非常有效扩散效果。,7/29,图,3.14 MA,结构,8/29,2.,实现,IDEA,可方便地经过软件和硬件实现。,软件实现采取,16,比特子段处理，可经过使用轻易编程加法、移位等运算实现算法,3,种运算。,硬件因为加、解密相同，差异仅为使用密钥方式，所以可用同一器件实现。再者，算法中规则模块结构，可方便,VLSI,实现。,9/29,3.5.2,加密过程,如图,3.15,所表示，加密过程由连续,8,轮迭代和一个输出变换组成；,算法将,64,比特明文分组分成,4,个,16,比特子段，每轮迭代以,4,个,16,比特子段作为输入，输出也为,4,个,16,比特子段；,10/29,最终输出变换也产生,4,个,16,比特子段，链接起来后形成,64,比特密文分组。,每轮迭代还需使用,6,个,16,比特子密钥，最终输出变换需使用,4,个,16,比特子密钥，所以子密钥总数为,52,。,图,3.15,右半部分表示由初始,128,比特密钥产生,52,个子密钥子密钥产生器。,11/29,图,3.15 IDEA,加密框图,12/29,1.,轮结构,图,3.16,是,IDEA,第,1,轮结构示意图，以后各轮也都是这种结构，但所用子密钥和轮输入不一样。从结构图可见，,IDEA,不是传统,Feistel,密码结构,。每轮开始时有一个变换，该变换输入是,4,个子段和,4,个子密钥，变换中运算是两个乘法和两个加法，输出,4,个子段经过异或运算形成了两个,16,比特子段作为,MA,结构输入。,MA,结构也有两个输入子密钥，输出是两个,16,比特子段。,13/29,图,3.16 IDEA,第,1,轮轮结构,14/29,图,3.17 IDEA,输出变换,15/29,2.,子密钥产生,加密过程中,52,个,16,比特子密钥是由,128,比特加密密钥按以下方式产生：前,8,个子密钥,Z,1,，,Z,2,，,，,Z,8,直接从加密密钥中取，即,Z,1,取前,16,比特（最高有效位），,Z,2,取下面,16,比特，依次类推。,然后加密密钥循环左移,25,位，再取下面,8,个子密钥,Z,9,，,Z,10,，,，,Z,16,，取法与,Z,1,，,Z,2,，,，,Z,8,取法相同。这一过程重复下去，直到,52,子密钥都被产生为止。,16/29,3.,解密过程,解密过程和加密过程基本相同，但子密钥选取不一样。解密子密钥,U,1,，,U,2,，,，,U,52,是由加密子密钥按以下方式得到（将加密过程最终一步输出变换看成第,9,轮）：,17/29,第,i,(,i,=1,9),轮解密前,4,个子密钥由加密过程第,(10-,i,),轮前,4,个子密钥得出：,其中第,1,和第,4,个解密子密钥取为对应第,1,和第,4,个加密子密钥模,2,16,+1,乘法逆元，第,2,和第,3,个子密钥取法为：当轮数,i,=2,8,时，取为对应第,3,个和第,2,个加密子密钥模,2,16,加法逆元。,i,=1,和,9,时，取为对应第,2,个和第,3,个加密子密钥模,2,16,加法逆元。,第,i,(,i,=1,8),轮解密后两个子密钥等于加密过程第,(9-,i,),轮后两个子密钥。,18/29,19/29,表,3.7,是对以上关系总结。其中,Z,j,模,2,16,+1,乘法逆元为,Z,-1,j,，满足,（见表,3.7,）,Z,j,Z,-1,j,=1mod(2,16,+1),因,2,16,+1,是一素数，所以每一个小于,2,16,非,0,整数都有一个惟一模,2,16,+1,乘法逆元。,Z,j,模,2,16,加法逆元为,-Z,j,，满足：,-Z,j,+Z,j,=0 mod(2,16,),20/29,下面验证解密过程确实能够得到正确结果。图,3.18,中左边为加密过程，由上至下，右边为解密过程，由下至上。将每一轮深入分为两步，第,1,步是变换，其余部分作为第,2,步，称为子加密。,21/29,图,3.18 IDEA,加密和解密框图,22/29,现在从下往上考虑。对加密过程最终一个输出变换，以下关系成立：,Y,1,=W,81,Z,49,Y,2,=W,83,+Z,50,Y,3,=W,82,+Z,51,Y,4,=W,84,Z,52,23/29,解密过程中第,1,轮第,1,步产生以下关系：,J,11,=Y,1,U,1,J,12,=Y,2,+U,2,J,13,=Y,3,+U,3,J,14,=Y,4,U,4,24/29,将解密子密钥由加密子密钥表示并将,Y,1,，,Y,2,，,Y,3,，,Y,4,代入以下关系，有,J,11,=Y,1,Z,-1,49,=W,81,Z,49,Z,-1,49,=W,81,J,12,=Y,2,+,-Z,50,=W,83,+,Z,50,+,-Z,50,=W,83,J,13,=Y,3,+,-Z,51,=W,82,+,Z,51,+,-Z,51,=W,82,J,14,=Y,4,Z,-1,52,=W,84,Z,52,Z,-1,52,=W,84,25/29,可看法密过程第,1,轮第,1,步输出等于加密过程最终一步输入中第,2,个子段和第,3,个子段交换后值。从图,3.16,，可得以下关系：,W,81,=I,81,MA,R,(I,81,I,83,，,I,82,I,84,),W,82,=I,83,MA,R,(I,81,I,83,，,I,82,I,84,),W,83,=I,82,MA,L,(I,81,I,83,，,I,82,I,84,),W,84,=I,84,MA,L,(I,81,I,83,，,I,82,I,84,),26/29,其中,MA,R,(X,Y),是,MA,结构输入为,X,和,Y,时右边输出，,MA,L,(X,Y),是左边输出。则,V,11,=J,11,MA,R,(J,11,J,13,J,12,J,14,),=W,81,MA,R,(W,81,W,82,W,83,W,84,),=,I,81,MA,R,(I,81,I,83,I,82,I,84,),MA,R,I,81,MA,R,(I,81,I,83,I,82,I,84,)I,83,MA,R,(I,81,I,83,I,82,I,84,),I,82,MA,L,(I,81,I,83,I,82,I,84,)I,84,MA,L,(I,81,I,83,I,82,I,84,),=I,81,MA,R,(I,81,I,83,I,82,I,84,),MA,R,(I,81,I,83,I,82,I,84,)=I,81,27/29,类似地，可有,V,12,=I,83,V,13,=I,82,V,14,=I,84,所以解密过程第,1,轮第,2,步输出等于加密过程倒数第,2,步输入中第,2,个子段和第,3,个子段交换后值。,同理可证图,3.18,中每步都有上述类似关系，这种关系一直到,V,81,=I,11,V,82,=I,13,V,83,=I,12,V,84,=I,14,即除第,2,个子段和第,3,个子段交换位置外，解密过程输出变换与加密过程第,1,轮第,1,步变换完全相同。,28/29,The end!,Thanks,29/29,