第三章分组密码:3.1分组密码概述 3.1.1分组密码的基本概念和发展 (二)近代密码学阶段(1949-1975)分组密码的酝酿期 1)计算机技术的发展,开始了密码学面向商业应用的设计 ●2)C.E.Shannon(1916~2002)的工作:1949年,建立了保密系统的 通信理论,50-70年代Shannon的工作起着决定性的指导作用。对密 码理论的贡献主要有两点 ·其一,用信息论刻划了密码学中的安全性 提出了语言冗余度和“熵”的概念,论述了破译密码需多少信息量 ·定义了“计算安全”与“无条件安全”; ·其二,提出了密码设计中的扩散准则和混淆准则 在一次一密无法实现的情况下,这两个准则是设计密码体制的最基 本准则。今天仍然是设计密码体制极其重要的指导准则 03) Smith关于Lucifer密码的设计研究 4) Feistel网络密码结构,除子密钥的顺序,加解密算法完全相同 历些毫子代枝大学 71
3.1.1分组密码的基本概念和发展 (二)近代密码学阶段(1949-1975)-分组密码的酝酿期 ⚫ 1)计算机技术的发展,开始了密码学面向商业应用的设计 ⚫ 2)C. E. Shannon(1916~2002 )的工作:1949年,建立了保密系统的 通信理论,50-70年代Shannon的工作起着决定性的指导作用。对密 码理论的贡献主要有两点 ⚫ 其一,用信息论刻划了密码学中的安全性 ▪ 提出了语言冗余度和“熵”的概念,论述了破译密码需多少信息量 ▪ 定义了“计算安全”与“无条件安全”; ⚫ 其二,提出了密码设计中的扩散准则和混淆准则 ▪ 在一次一密无法实现的情况下,这两个准则是设计密码体制的最基 本准则。今天仍然是设计密码体制极其重要的指导准则 ⚫ 3)Smith关于Lucifer密码的设计研究 ⚫ 4)Feistel网络密码结构,除子密钥的顺序,加解密算法完全相同 7/ 第三章 分组密码:3.1 分组密码概述
第三章分组密码:3.1分组密码概述 3.1.1分组密码的基本概念和发展 (三)现代密码学阶段一走向成熟 。)密码学由专门应用转向商业应用 0 美国数据加密标准DES(Data Encryption Standard)颁布,激 发了人们对密码学的研究兴趣 ●寸 早期的研究基本上是围绕DES进行的,推出了一些类似的算法, 例如:LOKI,FEAL,GOST等 2)1990年Biham和Shamira差分密码分析方法differential cryptanalysis)以及1993年Mitsuru Matsui线性密码分析方法 (linear cryptanalysis)问世,从理论上讲是攻击分组密码最有 效的方法,迫使人们不得不研究新的密码结构 。从实际上看强力攻击是攻击分组密码最可靠的方法 。3)1992年DEA密码打破了DES类密码的垄断局面 历粤毛子代枝大学 8/
3.1.1分组密码的基本概念和发展 (三)现代密码学阶段-走向成熟 ⚫ 1)密码学由专门应用转向商业应用 ⚫ 美国数据加密标准DES(Data Encryption Standard)颁布,激 发了人们对密码学的研究兴趣 ⚫ 早期的研究基本上是围绕DES进行的,推出了一些类似的算法, 例如:LOKI,FEAL,GOST等 ⚫ 2)1990年Biham和Shamir差分密码分析方法(differential cryptanalysis)以及1993年Mitsuru Matsui线性密码分析方法 (linear cryptanalysis)问世,从理论上讲是攻击分组密码最有 效的方法,迫使人们不得不研究新的密码结构 ⚫ 从实际上看强力攻击是攻击分组密码最可靠的方法 ⚫ 3)1992年IDEA密码打破了DES类密码的垄断局面 8/ 第三章 分组密码:3.1 分组密码概述
第三章分组密码:3.1分组密码概述 3.1.1分组密码的基本概念和发展 4)随后出现了SQUARE、SHARK、SAFER-64等采用了结构非 常清晰的代换一置换(SP)网络 从理论上给出了最大差分特征概率和最佳线性逼近优势的界, 证明了密码对差分密码分析和线性密码分析的安全性 5)1997~2000年间美国高级加密标准AES的征集活动以及 2000~2003年间欧洲NESSIE计划的实施,再次掀起了密码研究的 新高潮 ·15个AES候选算法和24个NESSIE终选算法反映了当前密码设 计的水平,也可以说是近几年研究成果的一个汇总。 6)目前分组密码形成了很多标准 ● 国际分组密码三大标准DES/3DES、IDEA、AES ·3GPP标准中的KASUMⅡ算法、我国无线网标准SM4 欧洲NESSIE计划中的MSTY1、Camellia、SHACAL2 ●瑞典人Jakob Jonsson和美国人Burt Kaliskij设计的RC6 历些毛子代枝大学 9/
3.1.1分组密码的基本概念和发展 ⚫ 4)随后出现了SQUARE、SHARK、SAFER-64等采用了结构非 常清晰的代换—置换(SP)网络 ⚫ 从理论上给出了最大差分特征概率和最佳线性逼近优势的界, 证明了密码对差分密码分析和线性密码分析的安全性 ⚫ 5)1997~2000年间美国高级加密标准AES的征集活动以及 2000~2003年间欧洲NESSIE计划的实施,再次掀起了密码研究的 新高潮 ⚫ 15个AES候选算法和24个NESSIE终选算法反映了当前密码设 计的水平,也可以说是近几年研究成果的一个汇总。 ⚫ 6)目前分组密码形成了很多标准 ⚫ 国际分组密码三大标准DES/3DES、IDEA、AES ⚫ 3GPP标准中的KASUMI算法、我国无线网标准SM4 ⚫ 欧洲NESSIE计划中的MISTY1、Camellia、SHACAL2 ⚫ 瑞典人Jakob Jonsson和美国人Burt Kaliski设计的RC6 9/ 第三章 分组密码:3.1 分组密码概述
第三章分组密码:3.1分组密码概述 3.1.2分组密码算法的设计要求 分组密码算法设计满足的要求如下: 9I.应用要求: 。实际应用中对于分组密码可能提出多方面的要求,除了 安全性外,还有: 运行速度 ·存储量(程序的长度、数据分组长度、高速缓存大小) 实现平台(硬件、软件、芯片)、 ·运行模式等限制条件。 这些都需要与安全性要求之间进行适当的折中选择 历粤毛子代枚大学 101
3.1.2 分组密码算法的设计要求 分组密码算法设计满足的要求如下: I. 应用要求: ⚫ 实际应用中对于分组密码可能提出多方面的要求,除了 安全性外,还有: ⚫ 运行速度 ⚫ 存储量(程序的长度、数据分组长度、高速缓存大小) ⚫ 实现平台(硬件、软件、芯片)、 ⚫ 运行模式等限制条件。 ⚫ 这些都需要与安全性要求之间进行适当的折中选择 10/ 第三章 分组密码:3.1 分组密码概述
第三章分组密码:3.1分组密码概述 3.1.2分组密码算法的设计要求 9Ⅱ.算法设计的要求 分组密码是一种在密钥控制下的代换(可逆映射),用来对当前输入 的明文数字组进行加密变换,密钥个数决定了不同代换的个数。 ①分组长度n要足够大,使分组代换字母表中的元素个数 2”足够大,防止明文穷举攻击法奏效。 0 这时,可以假定攻击者控制了加密机,但不知道密钥,那么可以 利用加密机黑盒子对所有可能明文加密,看是否等于要攻击的密 文进行破译。也可称为一种可能字攻击 0 DES、DEA等分组密码都采用n=64,在生日攻击下用232组密文成 功概率为1/2,同时要求232×64b=215MB=32GB存贮,故现在采用 穷举攻击已经可以实现(时间存储攻击) 。生日攻击请参考5.2.3节 历些毛子代枚大学 11/
3.1.2 分组密码算法的设计要求 II. 算法设计的要求 ⚫ 分组密码是一种在密钥控制下的代换(可逆映射),用来对当前输入 的明文数字组进行加密变换,密钥个数决定了不同代换的个数。 ① 分组长度n要足够大,使分组代换字母表中的元素个数 2 n足够大,防止明文穷举攻击法奏效。 ⚫ 这时,可以假定攻击者控制了加密机,但不知道密钥,那么可以 利用加密机黑盒子对所有可能明文加密,看是否等于要攻击的密 文进行破译。也可称为一种可能字攻击 ⚫ DES、IDEA等分组密码都采用n=64,在生日攻击下用2 32组密文成 功概率为1/2,同时要求2 32×64b=215MB=32GB存贮,故现在采用 穷举攻击已经可以实现(时间存储攻击) ⚫ 生日攻击请参考5.2.3节 11/ 第三章 分组密码:3.1 分组密码概述