第三章 现代加密方法

第三章 现代加密方法

• 1 简化的 DES DES-Data Encryption Standard(1977 年元月 15 日 - 美国联邦标准） 1998 年！！Simplified DES 方案，简称 S-DES 方案。注： 1.* 加密算法涉及五个函数：(1) 初始置换 IP(initial permutation)(2) 复合函数 fk1 ，它是由密钥 K 确定的，具有转换和 替换的运算。 (3)转换函数 SW(4) 复合函数 fk2

(5) 初始置换 IP 的逆置换 IP-1

加密10bit 密

钥 解密

8bit 明文 P10 8bit 明文

IP 移位 IP-1

P8fk fk

SW SW移位

P8fk fk

IPIP-1

8bit 密文 8bit 密文

K2 K2

K1K1

S-D

ES

方案示意图

• 2*. 加密算法的数学表示：IP-1*fk2*SW*fk1*IP也可写为密文 =IP-1 （ fk2(SW(fk1(IP( 明文 )))))其中 K1=P8( 移位 (P10( 密钥 K)))K2=P8( 移位 ( 移位 (P10( 密钥 K))))解密算法的数学表示：明文 =IP-1 （ fk1(SW(fk2(IP( 密文 )))))

对 S-DES 的深入描述• （ 1 ） S-DES 的密钥生成：

设 10bit 的密钥为（ k1,k2,k3,k4,k5,k6,k7, k8,k9,k10)置换 P10 是这样定义的P10(k1,k2,…,k10)=(k3,k5,k2,k7,k4,k10,k1,k9,k8,k6)相当于P10=

LS-1 为循环左移，在这里实现左移 2 位 P8=

按照上述条件 , 若 K 选为 (1010000010), 产生的两个子密钥分别为 K1=(1 0 1 0 0 1 0 0),K2=(0 1 0 0 0 0 1 1)

68911047253

10987654321

910584736

87654321

S-DES 的密钥生成10-bit 密钥P10

LS-1 LS-1

LS-2 LS-2

P8

P8

K1

8

K2

5 5

55

8

(2) S-DES 的加密运算 :

初始置换用 IP 函数 :

IP= 1 2 3 4 5 6 7 8

2 6 3 1 4 8 5 7 末端算法的置换为 IP 的逆置换 :IP-1= 1 2 3 4 5 6 7 8

4 1 3 5 7 2 8 6

易见 IP-1(IP(X))=X

S-DES 加密图8-bit 明文

IP

E/P

+

S0 S1

P4

+

L R

4

K1

844

fk

F

4

S-DES 加密图 ( 续 )

E/P

+

S0 S1

8K2

P4

+

IP-1

8-bit 密文

4

8

44fk

F4 4

2 2

8

SW

函数 fk ，是加密方案中的最重要部分，它可表示为：fk(L,R)=(LF(R,SK),R)其中 L ， R 为 8 位输入 , 左右各为 4 位 , F 为从 4 位集到 4 位集的一个映射 , 并不要求是 1-1 的。 SK 为子密钥。对映射 F 来说：首先输入是一个 4- 位数（ n1,n2,n3,n4 ），第一步运算是扩张 / 置换（ E/P ）运算： E/P

4 1 2 3 2 3 4 1

事实上，它的直观表现形式为：n4 n1 n2 n3

n2 n3 n4 n1

8-bit 子密钥： K1=(k11,k12,k13,k14,k15,k16,k17,k18), 然后与E/P 的结果作异或运算得：

n4+k11 n1+k12 n2+k13 n3+k14

n2+k15 n3+k16 n4+k17 n1+k18

把它们重记为 8 位： P0,0 P0,1 P0,2 P0,3

P1,0 P1,1 P1,2 P1,3

上述第一行输入进 S- 盒 S0 ，产生 2- 位的输出；第二行的 4 位输入进 S 盒 S1 ，产生 2- 位的输出。两个S 盒按如下定义：

2313

3120

0123

2301

3

2

1

03210

0S

3012

0103

3102

3210

3

2

1

03210

1S

S 盒按下述规则运算：将第 1 和第 4 的输入比特做为 2- bit 数，指示为 S盒的一个行；将第 2 和第 3 的输入比特做为 S 盒的一个列。如此确定为 S 盒矩阵的（ i,j ）数。例如：（ P0,0, P0,3 ） =(00), 并且 (P0,1,P0,2)=(1 0)

确定了 S0 中的第 0 行 2 列（ 0 ， 2 ）的系数为 3 ，记为（ 1 1 ）输出。由 S0, S1 输 出 4-bit 经 置 换 P4

2 4 3 1

它的输出就是 F 函数的输出。

2 DES 的描述• DES 利用 56 比特串长度的密钥 K 来加密长度为 64 位的明文，得到

长度为 64 位的密文• 该算法分三个阶段实现：

1. 给定明文 X ，通过一个固定的初始置换 IP 来排列 X 中的位，得到 X0 。X0=IP （ X ） =L0R0

其中 L0 由 X0 前 32 位组成， R0 由 X0 的后 32 位组成。2. 计算函数 F 的 16 次迭代 , 根据下述规则来计算 LiRi(1<=i<=16 ） Li=Ri-1, Ri=Li-1 F(Ri-1, Ki)其中 Ki 是长为 48 位的子密钥。子密钥 K1 ， K2 ，…， K16 是作为密钥 K （ 56 位）的函数而计算出的。 3. 对比特串 R16L16 使用逆置换 IP-1 得到密文 Y 。Y=IP-1 （ R16L16 ）

一轮加密的简图

•

Li-1 Ri-1

F

+

Li Ri

Ki

• 对 F 函数的说明：（类比于 S-DES ） F （ Ri-1, Ki ）函数 F 以长度为 32 的比特串 A=R （ 32bits ）作第一个输入，以长度为 48 的比特串变元 J=K(48bits) 作为第二个输入。产生的输出为长度为 32 的位串。(1) 对第一个变元 A ，由给定的扩展函数 E ，将其扩展成 48 位串， E （ A ）(2) 计算 E （ A ） +J ，并把结果写成连续的 8 个 6 位串 , B=b1b2b3b4b5b6b7b8

(3) 使用 8 个 S 盒，每个 Sj 是一个固定的 416 矩阵，它的元素取 0~15 的整数。给定长度为 6 个比特串，如Bj=b1b2b3b4b5b6

计算 Sj(Bj) 如下： b1b6 两个比特确定了 Sj 的行数 , r(0<=r<=3); 而 b2b3b4b5 四个比特确定了 Sj 的列数 c （ 0<=c<=15 ）。最后 Sj

(Bj) 的值为 S- 盒矩阵 Sj 中 r 行 c 列的元素（ r,c ） , 得 Cj=Sj(Bj) 。

(4) 最后， P 为固定置换。

•

A=R(32 bits) J=K(48 bits)

E

E(A) 为 48 bits +

B1 B2 B3 B4 B5 B6 B7 B8

S1 S2 S3 S4 S5 S6 S7 S8

C1 C2 C3 C4 C5 C6 C7 C8

P

32 bits F(A,J)

B 写成 8 个 6 比特串

DES 的 F 函数

• DES 中使用的其它特定函数：初始置换 IP ：见 68 页表 3.2, 从表中看出 X 的第 58 个比特是 IP （ X ）的第一个比特； X 的第 50 个比特是 IP（ X ）的第二个比特…逆置换 IP-1 ；扩展函数 E ；置换函数 P 。

• 从密钥 K 计算子密钥： 实际上， K 是长度为 64 的位串，其中 56 位是密钥，8 位是奇偶校验位（为了检错），在密钥编排的计算中，这些校验位可略去。(1). 给定 64 位的密钥 K ，放弃奇偶校验位（ 8 ， 16 ，…， 64 ）并根据固定置换 PC-1 （见 72 页表 3.4（ a ））来排列 K 中剩下的位。我们写 PC-1(K)=C0D0

其中 C0 由 PC-1 （ K ）的前 28 位组成； D0 由后 28 位组成。

• (2) 对 1<=i<=16 ，计算Ci=LSi(Ci-1)Di=LSi(Di-1)LSi 表示循环左移 2 或 1 个位置，取决于 i 的的值。 i=1,2,9 和 16 时移 1 个位置，否则移 2 位置。Ki=PC-2(CiDi), PC-2 为固定置换 , 见 72 页 3.4(b) 。

• 注：一共 16轮，每一轮使用 K 中 48 位组成一个 48 比特密钥。可算出 16 个表，第 i 个表中的元素可对应上第 i轮密钥使用 K 中第几比特！如：第 7轮的表 7 ： K7 取 K 中的比特情况：52 57 11 1 26 59 10 34 44 51 25 199 41 3 2 50 35 36 43 42 33 60 1828 7 14 29 47 46 22 5 15 63 61 394 31 13 38 53 62 55 20 23 37 30 6

图表（密钥生成 Ki ）K

PC-1

C0 D0

LS1 LS1

C1 D1

LS2 LS2

LS16 LS16

C16 D16

PC-2

PC-2

K1

K16

…

• DES 加密的一个例子取 16 进制明文 X ： 0123456789ABCDEF密钥 K 为： 133457799BBCDFF1去掉奇偶校验位以二进制形式表示的密钥是 00010010011010010101101111001001101101111011011111111000应用 IP ，我们得到：L0=11001100000000001100110011111111L1=R0=11110000101010101111000010101010然后进行 16轮加密。最后对 L16, R16 使用 IP-1 得到密文： 85E813540F0AB405

3 DES 的争论

• DES 的核心是 S 盒，除此之外的计算是属线性的。 S盒作为该密码体制的非线性组件对安全性至关重要。

• 1976 年美国 NSA提出了下列几条 S 盒的设计准则：1. S 盒的每一行是整数 0 ，…， 15 的一个置换2. 没有一个 S 盒是它输入变量的线性函数3.改变 S 盒的一个输入位至少要引起两位的输出改变4. 对任何一个 S 盒和任何一个输入 X ， S （ X ）和 S(X001100 ）至少有两个比特不同（这里 X 是长度为 6 的比特串）5. 对任何一个 S 盒，对任何一个输入对 e,f属于 {0,1},S(X) S(X11ef00)

• 6. 对任何一个 S 盒，如果固定一个输入比特，来看一个固定输出比特的值，这个输出比特为 0 的输入数目将接近于这个输出比特为 1 的输入数目。

• *公众仍然不知道 S 盒的构造中是否还使用了进一步的设计准则。

• 参见 74 页 3.4 DES 的强度。

4 差分密码分析与线性密码分析

• (1) 差分密码分析 对 DES 有效的分析方法 --差分分析方法，是由 E.Biham 和 A.Shamir提出的。见Differential Cryptanalysis of DES-like Cryptosystems. E.Biham A.ShamirThe Weizmann Institute of ScienceDepartment of Aplied Mathematics

June 18,1999该文给出选择性明文攻击，是一个很有效的方法。对于攻击 8轮 DES ，在 486那样的计算机上，只需 2 分钟可攻破。

• 首先说明：1. 对于 DES 的分析，可忽略初始置换 IP 和 IP-1 。2. 对 DES限制到 n轮（ n<=16 ）。3. 以 L0R0 为明文，且以 LnRn 作为 n轮 DES 的密文。4. 对两个明文 L0R0 和 L0

*R0* ，规定它们的异或值为 L0´

R0 ´ =L0R0 L0*R0

* ，整个讨论都使用撇号（ ´ ）表示两个比特串的异或值。

• 定义 1 ：设 Sj 是一个特定的 S 盒（ 1<=j<=8) ，考虑长度为 6 的比特串的一个有序对（ Bj,Bj

* ） ,我们说 Sj 的输入异或是 Bj Bj

*, 输出异或是 Sj(Bj) Sj(Rj*)

• 注：输入异或是长度为 6 的比特串，输出异或是长度为 4 的比特串。

• 定义 2 ：对任何一个 Bj´(Z2)6= {a0,a1,a2,a3,a4,a5|aj {0,∈1}} ，定义集合△ (Bj´) 是由输入异或为 Bj´ 的有序对(Bj,Bj

*) 组成。• 注： 1*. 对比特串 Bj´ 来说，集合△ (Bj´)包含 26=64 个

有序对元素。有 △ (Bj´)={(Bj,Bj Bj´)| Bj (Z∈ 2)6} 2*. 对△ (Bj´) 中的每一对，我们能计算出 Sj 的输出异或，同时用表列出结果的分布。 有 64 个输入异或，它们经 Sj 的输出分布在 24=16种可能值之中，这些分布的非均匀性，就是攻击 DES的基础。

• 3*. 表示一个 S 盒的所有可能对的输入异或和输出异或分布的表称为该 S 盒的差分分布表。

• 例子 1 。若考虑第一个 S 盒 S1 ，输入异或为 B1´=110100, 那么： △ (B1´)= (110100)={(000000,110100),△ (000001, 110101), …., (111111, 001011)}对集合△ (B1´) 中的每一对，计算 S1 盒的输出异或。 例如 S1(000000)=E16=1110 S1(110100)=916=1001所以 (000000,110100) 的输出异或是 0111 。计算△ (B1´)= (110100)△ 中所有 64 对的输出异或，得输出异或分布表：

+

0 个 8 个 16 个 6 个 2 个 0 个 0 个 12 个

1000 1001 1010 1011 1100 1101 1110 1111

6 个 0 个 0 个 0 个 0 个 8 个 0 个 16 个

• 0000 0001 0010 0011 0100 0101 0110 0111

注意！ 16 个可能输出异或中，仅有 8种出现。它们的分布是不均匀的。一般说来，对固定的一个 S 盒 Sj 说来，给一个输入异或 Bj

´, 那么平均出现 75%-80% 的相异输出异或。

• 为描述这类分布如何产生的，先表述一些进一步的概念。

• 定义 3 ：对长度为 6 的比特串 Bj´ 和长度为 4 的比特串 C

j´ (1<=j<=8), 定义 INj(Bj

´,Cj´)={Bj （ Z2 ） 6|Sj(Bj) Sj(Bj Bj

´)=Cj´}

Nj(Bj´,Cj

´)=|INj(Bj´,Cj

´)|

• 注： 1*. 对特定的 S 盒 Sj, 它的输入异或为 Bj´ 且相应的

输出异或为 Cj´ ，这里 Nj(Bj

´,Cj´) 就是用来表示其输入对

的数目。 2*. 对于上述例子 1 中的输出异或分布表表现了 N1

（ 110100 ， C1´ ） ( 其中 C1

´ (Z2)4)所指示的对 S 盒 S1

来说，它的输入异或为（ 110100 ）且相应的输出异或为 C1

´ 的分布情况。 3*. 对于集合 IN1 （ 110100 ， C1

´ ），表示输入异或为（ 110100 ）的所有可能输入引起输出异或情况的分布表，见下页：

输出异或 可能输入0000

0001 000011，001111，011110，011111

101010，101011，110111，111011

0010 000100，000101，001110，010001

010010，010100，011010，011011

100000，100101，010110，101110

101111，110000，110001，111010

0011 000001，000010，010101，100001

110101，110110

0100 010011，100111

0101

0110

0111 000000，001000，001101，010111

011000，011101，100011，101001

101100，110100，111001，111100

1000 001001，001100，011001，101101

111000，111101

1001

1010

1011

1100

1101 000110，010000，010110，011100，100010，100100，101000，110010

1110

1111 000111，001010，001011，110011，111110，111111

• 考虑一般的情况：对于 DES 的 8 个 S 盒的每一个盒有 64种可能的输入异或，于是可算出有 512 个分布。回忆上一讲：知在第 i轮中 S 盒的输入为 B=E J ，其中 E=E （ R

i-1 ）是 Ri-1 的扩展， J=Ki 是由第 i轮的密钥比特组成。现在对所有 8 个 S 盒的输入异或计算如下： B B*=(E J) (E* J)= E E*=E´由此可见，输入异或不依赖于密钥比特 J.将 B ， E 和 J均写成 8 个 6 比特串的并： B=B1B2B3B4B5B6B7B8

E=E1E2E3E4E5E6E7E8

J=J1J2J3J4J5J6J7J8

类似地可表述 B* ， E* ， J* （表达式略） 假设我们知道 Ej 和 Ej

* 的值（对某一个 j,1<= j<=8 ）和 Sj 的输出异或值 Cj ´=Sj(Bj) Sj(Bj

*), 那么必有 Ej JjINj(Ej ´,Cj ´) ， Bj=Ej Jj; Bj ´=Ej Ej

*

• 我们的目的是要破译密钥 J 的部分比特串 Jj 。定义测试集合 Testj

• 定义 4 （ Testj ） : 设 Ej 和 Ej* 是长度为 6 的比特串， Cj

´ 是长度为 4 的比特串，定义 Testj(Ej,Ej

*,Cj´)={Bj Ej|Bj IN∈ j(Ej

´,Cj´)}

这里 Bj Ej 是 Jj 的形式， Ej 是固定的 ,Ej´=Ej Ej

*

我们有• 定理 1 ：假设 Ej 和 Ej

* 是 S 盒 Sj 的两个输入， Sj 的输出译或为 Cj

´ ，记 Ej ´=Ej Ej

* ，那么密钥比特 Jj 出现在集合 Testj(Ej,Ej

*,Cj ´)之中。

注：可见在集合 Testj(Ej,Ej*,Cj

´) 中，长度为 6 比特刚好有 Nj(Ej

´,Cj ´) 个， Jj 的正确值一定是这些可能值中的一

个。

• 例子 2 ：假设 E1=000001 ， E1*=110101 和 C1 =1101 ，因为 N1

（ 110100 ， 1101 ） =8 ，（见第 5面 110100 输入分布表），可知集合 Test1(000001 ， 110101 ， 1101 ）中，刚好有 8 个比特串：原因为可从表中得到： IN1 （ 110100 ， 1101 ） ={000110 ， 010000 ， 010110 ，011100 ， 100010 ， 100100 ， 101000 ， 110010}分别计算它们与 E1=000001 的异或得： Test1(000001,110101,1101)={000111,010001,0101111,011101,100011,100101,101001,110011}如果有两个这样的三元组 E1 ， E1

* ， C1 ，那么就可得到 J1 中密钥比特可能值的第 2 个集合 Test1

(2)(E1,E1*,C1) 。易见密钥比

特 Jj Test∈ 1∩Test1 (2) !! 自然这样的三元组如果更多些，定出 Jj 是肯定的。关于这方面的计算，可想出若干技巧。

攻击 3 轮 DES

明文 P(64bits)

F

F

F

+L0

+

+

密文

R0

K1

Li=Ri-1

Ri=Li-1 f(Ri-1,Ki)

K2

R1=L0 f(R0,K1)

K3

R2=L1 f(R1,K2)

R3=L2 f(R2,K3)

L1=R0

L2=R1

L3=R2

3 轮 DES 图

A

B

C

DES 的 F 函数

输入 32 比特E

48bitsE1|E2|E3|E4|E5|E6|E7|E8

子密钥J1|J2|J3|J4|J5|J6|J7|J8

+

BB1 B2 B3 B4 B5 B6 B7 B8

S1 S2 S3 S4 S5 S6 S7 S8

C1 C2 C3 C4 C5 C6 C7 C8

P

Output(32bits)

• 我们对 3轮作选择明文攻击。用明文对和相应的密文对开始我们的分析：明文对为： L0R0; L0

*R0*

密文对为： L3R3; L3*R3

* 。有表达式： R3=L2 f(R2,K3)=R1 f(R2,K3) =L0 f(R0,K1) f(R2,K3)R3

* 可用类似的方法得到： R3

*=L0* f(R0

*,K1) f(R2*,K3), 于是有

R3´=L0´ f(R1,K1) f(R0*,K1) f(R2,K3) f(R2

*,K3) 假设选择了明文，使 R0=R0

*, 此时 R0´=00…0且 f(R0,K)=f(R0

*,K) ，所以 R3´=L0´ f(R2,K3) f(R2

*,K3)由于 R3´ 可从两个密文 R3,R3

* 计算出，可知 R3´ 和 L0´已知。有：

F(R2,K3) f(R2*,K3)=R3´ L0´

• 知 f(R2,K3)=P(C) 和 f(R2*,K3)=P(C*), 其中

C 和 C* 分别表示 8 个 S 盒的两个输出。而 P 是固定的，为公开已知的置换，因此 P(C) =P(C*)=R3´ L0´, 由此可知 C´=C C*=P-1(R3´ L0´)…. 为 3轮中 8 个 S 盒的两个输出异或。另外， R2=L3 和 R2

*=L3* 是已知的（它们是密文的一部分），

因此，可用公开已知的扩展函数 E 计算E=E(L3) 和 E*=E(L3

*)对第三轮说来，它们是 S 盒的输入。于是可由 E ， E* 和 C 。象前面的例子那样对 J1 ， J2 ， J3 ， J4 ， J5 ， J6 ， J7 ， J8 中密钥比特可能值，着手构造集合 Test1,Test2,…, Test8 。由它们来确定第三轮密钥 K3 中的 48bits 。 56bits 密钥中剩下的 8 比特可通过穷举 28=256种可能来确定。

• 3 轮 DES 的差分攻击模式：输入： L0R0,L0

*R0*,L3R3 和 L3

*R3* ，其中 R0=R0

*

1. 计算 C =P-1(R3 L0 )2. 计算 E=E(L3) 和 E*

3. For j=1 to 8 do 计算 Testj(Ej,Ej*,Cj )

例子 3 。我们有如下三组明密文对，并有固定的异或值。用相同的密钥进行加密。为简单用 16 进制表示 .明文 密文 748502CD38451097

03C70306D8A09F103874756438451097 78560A0960E6D4CB486911026ACDFF31 45FA28BE5ADC730375BD31F6ACDFF31 134F7915AC253457357418DA013FEC86 D8A31B2F28BBC5CF12549847013FEC86 0F317AC2B23CB944

• 对第一组，可计算 S 盒的输入（对第三轮），它们是 E=E(L3)=0000000001111110000011101 00000000110100000001100E*=E(L3

*)=10111111000000101010110000

0001010100000001010010还可算出 S 盒的输出异或为：C=C C*=P-1(R3 L0 )=10010110010111010101101100111对第二组，第二组给出相同的计算，结果（略）。我们给出八个计数器阵列，每个阵列为 16*4 。这样按书写方式排有 64 个位置： 0,1,2,…,63 。在第一组中，我们有 E1 =101111 和 C1 =1001, 集合 IN1(101111,1001)={000000,000111,101000,101111}

• 因为 E1=000000 ，我们有 J1 Test∈ 1(000000,101111,1001)={ 000000, 000111,101000,101111}将其中 6bits 串用 2 进制数表示成对应 J1 阵列中的位置数 0,7,40,47 对应于 {000000,000111,101111}, 相当于在阵列表的空位的相应位置增值 1

J1

1 0 0 0 0 1 0 1 0 0 0 0 0 0 0 0

0 0 0 0 0 1 1 0 0 0 0 1 1 0 0 0

0 1 0 0 0 1 0 0 1 0 0 0 0 0 0 1+1+1

0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

• 对三组算得的三个集合 Test1(1),Test1

(2),Test1(3) 。它们中

的元素对应的数增值 J1 位置处的 1 个单位数。于是算得 J1=47=101111 ，类似地方法定出 J2=000101 ，J3=010011 ， J4=0000000 ， J5=011000 ， J6=000111 ，J7=000111 ， J8=110001

• 注： 1*.差分攻击技术还可用于 6轮 DES ，对 8轮的DES需 214 个组选择明文。现在对 16轮 DES 也是相当有效的。见 :www.cryptography.com 。2*. 对其它体制的攻击，例 Feal,LOKI,REDOC-II ，也是有效的。

• (2). 线性密码分析见书 78 页。参考文献：Matsui. M, Linear Cryptanalytic Method for DES Cipher,Advances in Cryptology-Eurocrypt´93,Springer-Verlag, PP.398-409, 1994.