东北石油大学研究生作业
东北石油大学(硕士)研究生
课 程 名 称:通信网安全理论与技术
任 课 教 师:陈雪松
开课学年/开课学期:2011-2012学年度/第2学期
学 时 / 学 分:32学时/2学分
所在教学学院:电气信息工程学院
专 业 名 称:通信与信息系统
学 号/姓 名:赵勇
教师评语:__________________________________ __________________________________
__________________________________
任课教师签字(章):_________
目录
一、引言 ···································································································································· 1
1.1分组密码 ······················································································································· 1
1.2分组密码-DES ·············································································································· 2
二、分组密码的理论和技术···································································································· 5
2.1 分组DES 应用 ············································································································ 5
2.2 分组DES 算法 ············································································································ 5
2.3 分组DES 的安全性 ···································································································· 6
三、分组密码研究重点方向···································································································· 8
3.1 DES算法的应用漏洞 ·································································································· 8
3.2 避开DES 算法漏洞安全管理 ···················································································· 8
3.3 DES的变形 ·················································································································· 9
3.4具有独立子密钥的DES ···························································································· 10
3.5 G-DES ························································································································· 10
四、下一步工作 ·······················································································································11 参考文献 ·································································································································· 12
分组密码理论与技术综述
一、引言
数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法,两种算法最有名的代表分别为DES 和RSA 。粗略地讲,分组密码是用一个固定的变换对一个比较大的明文数组进行操作。本文将对分组密码进行详细的介绍。
1.1分组密码
分组密码即对固定长度的一组明文进行加密的算法。它将明文按一定的位长分组,文组和密钥组的全部经过加密运算得到密文组。解密时密文组和密钥组经过解密运算(加密运算的逆运算),还原成明文组。
分组密码的特点是:密钥可以在一定时间内固定,不必每次变换,因此给密钥配发带来了方便。但是,由于分组密码存在着密文传输错误在明文中扩散的问题,因此在信道质量较差的情况下无法使用。
分组密码其中最著名的两个分组密码即DES(Data Encryption Standard) 数据加密标准和IDEA(International Data Encryption Algorithm)[1]国际数据加密算法。
术语和符号,一个分组密码有两个重要的参数:一个是密钥的大小,称作密钥长度;另一个是每次操作的组的大小,称作分组长度。被变换的数据称作明文,变换后的数据称作密文。将明文变换成密文的过程称作加密,其逆过程,即由密文恢复出原明文的过程称作解密。密钥是由希望通信的双方选择的一些秘密信息。
通信双方的密钥可能一样,也可能不一样,我们把前者称作对称密码,后者称作非对称密码。该报告限于介绍对称的分组密码。将明文变换成密文时所采用的一组规则称
作加密算法,由密文恢复出原明文时所采用的一组规则称作解密算法。加密和解密算法通常是在密钥控制下进行的。
在密钥K 控制之下的加密算法E 记为E_K,明文消息m 对应的密文记为E_K(m)。类似地,在密钥K 控制之下的解密算法D 记为D_K,密文消息c 对的明文记为D_K(c)。显然,对所有的明文m ,都有D_K(E_K(m))=m。
1.2分组密码-DES
1.2.1 DES简介
数据加密标准(DES )[2]是一种世界范围之内广泛使用的以密钥作为加密方法的加密手段,被美国政府确定是很难破译的,因此也被美国政府作为限制出口的一种技术。在此标准下有72,000,000,000,000,000 (72Q )多种密钥可供使用。对于每条给定的信息,密钥在这72Q 个密钥中随机选择。与其它的加密方法一样,加密方和解密方必须使用相同的密钥,所以DES 算法也属于对称算法。它的算法是对称的,既可用于加密又可用于解密。
设计分组密码算法的核心技术是:在相信复杂函数可以通过简单函数迭代若干圈得到的原则下,利用简单圈函数及对合等运算,充分利用非线性运算。DES 算法采用美国国家安全局精心设计的8个S-Box 和P-置换,经过16圈迭代,最终产生64比特密文,每圈迭代使用的48比特子密钥是由原始的56比特产生的。
DES 密码算法输入的是64比特的明文,在64比特密钥的控制下产生64比特的密文;反之输入64比特的密文,输出64比特的明文。64比特的密钥中含有8个比特的奇偶校验位,所以实际有效密钥长度为56比特。
DES 算法加密时把明文以64bit 为单位分成块,而后用密钥把每一块明文转化成同样64bit 的密文块。DES 提供72,000,000,000,000,000个密钥,用每微秒可进行一次DES 加密的机器来破译密码需两千年。采用DES 的一个著名的网络安全系统是Kerberos [3],由麻省理工学院MIT 开发,是网络通信中身份认证的工业上的事实标准。
1.2.2DES 密码算法的产生及发展
DES 密码是1977年由美国国家标准局公布的第一个分组密码。
20世纪五十年代,密码学研究领域出现了最具代表性的两大成就。其中之一就是1971年美国学者塔奇曼(Tuchman )和麦耶(Meyer )根据信息论创始人香农(Shannon )提出的" 多重加密有效性理论" 创立的,后于1977年由美国国家标准局颁布的数据加密标准DES 。
为了实现同一水平的安全性和兼容性,为此美国商业部所属国家标准局(ANBS )于1972年开始了一项计算机数据保护标准的发展规则。于1973年开始研究除国防部外的其它部门的计算机系统的数据加密标准,为了建立适用于计算机系统的商用密码,于1973年5月和1974年8月先后两次向公众发出了征求加密算法的公告。1973年5月13日的联邦记录(FR1973)中的公告,征求在传输和存储数据中保护计算机数据的密码算法的建议,这一举措最终导致了数据加密标准(DES )算法的研制。征求的加密算法要达到的目的(通常称为DES 密码算法要求)主要为以下四点:
1) 提供高质量的数据保护,防止数据未经授权的泄露和未被察觉的修改;
2) 具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于理
解和掌握;
3) DES 密码体制的安全性应该不依赖于算法的保密,其安全性仅以加密密钥的保
密为基础;
4) 实现经济,运行有效,并且适用于多种完全不同的应用。
在征得的算法中, IBM 公司提出的算法Lucifer 中选。DES 密码实际上是Lucifer 密码的进一步发展。它是一种采用传统加密方法的分组密码。1975年3月17日,ANBS 向社会公布了此算法,首次公布在联邦记录中,以求得公众的评论。1977年1月正式向社会公布,采纳IBM 公司设计的方案作为非机密数据的正式数据加密标准(DES-Data Encryption Standard)。成为美国联邦信息处理标准,即FIPS-46,同年7月15日开始生效。
随后DES 的应用范围迅速扩大到涉及美国以外的公司、甚至某些美国军事部门也使用了DES ,引起了美国国家安全局的忧虑。因此,里根总统曾于1984年9月签署了一项命令,即NSDD-145号命令,下令责成美国防部的国家安全局负责组织、研制一种
[4]新的数据加密标准CCEP (Commercial Communication Security Endorsement)商用通信
安全保证程序于1988年取代DES 。后来由于遭到整个最大的金融界用户以其不符合他们的要求为由的强烈反对,美国政府在其国会的压力下才撤销了里根这个NSDD-145号命令。
DES 自1977年由美国国防部采用,它的标准ANSI X.3.92和X3.106标准中都有说明。因为担心这种方法被敌对国使用,美国政府不允许出口此种算法的加密软件,但是要想找到这种软件也不难,在各地的BBS 上都会有。
每隔五年由美国国家保密局(NSA )对DES 作出评估,并重新批准它是否继续作为联邦加密标准。
二、分组密码的理论和技术
2.1 分组DES 应用
自DES 算法颁布之后,引起了学术界和企业界的广泛重视。许多厂家很快生产出实现DES 算法的硬件产品,广大用户在市场上买到高速而又廉价的DES 硬件产品之后,开始用它加密自己的重要数据,从而大大推广了密码技术的使用。
DES 算法的入口参数有三个:Key 、Data 、Mode 。其中Key 为8个字节共64位, 是DES 算法的工作密钥;Data 也为8个字节64位, 是要被加密或被解密的数据;Mode 为DES 的工作方式, 有两种:加密或解密。
DES 算法是这样工作的:如Mode 为加密, 则用Key 去把数据Data 进行加密, 生成Data 的密码形式(64位) 作为DES 的输出结果; 如Mode 为解密, 则用Key 去把密码形式的数据Data 解密, 还原为Data 的明码形式(64位) 作为DES 的输出结果。
在通信网络的两端, 双方约定了一致的Key , 在通信的源点用Key 对核心数据进行DES 加密, 然后以密码形式在公共通信网(如电话网) 中传输到通信网络的终点, 数据到达目的地后, 用同样的Key 对密码数据进行解密, 便再现了明码形式的核心数据。这样, 便保证了核心数据(如PIN 、MAC 等) 在公共通信网中传输的安全性和可靠性[5]。
通过定期在通信网络的源端和目的端同时改用新的Key , 便能更进一步提高数据的保密性, 这正是现在金融交易网络的流行做法。
在银行金融界及非金融界, 越来越多地用到了DES 算法, 目前美国使用的128位对称密码算法(DES ),支持全美的电子商务活动。1998年全美电子商务营业额为160亿美元,尚未发现有安全问题。目前, 在国内, 随着三金工程尤其是金卡工程的启动,DES 算法在POS 、A TM 、磁卡及智能卡(IC卡) 、加油站、高速公路收费站等领域被广泛应用, 以此来实现关键数据的保密。如信用卡持卡人的PIN 的加密传输、IC 卡与POS 间的双向认证、金融交易数据包的MAC 校验等, 均用到DES 算法。
2.2 分组DES 算法
DES 使用56比特有效密钥的64-比特分组密码来加密64位数据。它是一个16-圈的迭代型密码。加、解密算法一样,但加、解密时所使用的子密钥的顺序刚好相反。DES
的硬件实现的加密速率大约为20 M比特/秒;DES 的软件实现的速率大约为400 ~ 500 K比特/秒。DES 专用芯片的加密和解密的速率大约为1G 比特/秒。
DES 的圈函数f 对32比特的串作如下操作:首先将这32比特的串扩展成48比特的串。其次将这48比特的串和48比特的密钥进行组合并将组合结果作为八个不同S-盒的输入。每个S-盒的输入是6比特,输出是4比特。然后将S-盒的32比特做置换作为圈函数f 的输出。
DES 有56比特的有效密钥,64比特密钥中的第8位、第16位、„、第64位为校验位。所以对DES 最尖锐的批评之一是DES 的密钥太短。
DES 算法以被应用于许多需要安全加密的场合。(如:UNIX 的密码算法就是以DES 算法为基础的)。下面是关于如何实现DES 算法的语言性描述。
2.3 分组DES 的安全性
对称的分组密码算法最主要的问题是:由于加解密双方都要使用相同的密钥,因此在发送、接收数据之前,必须完成密钥的分发。因而,密钥的分发便成了该加密体系中的最薄弱因而风险最大的环节。各种基本的手段均很难保障安全地完成此项工作。从而,使密钥更新的周期加长,给他人破译密钥提供了机会。实际上这与传统的保密方法差别不大。在历史战争中,破获他国情报的纪录不外是两种方式:一种是在敌方更换" 密码本" 的过程中截获对方密码本;另一种是敌人密钥变动周期太长,被长期跟踪,找出规律从而被破获。在对称算法中,尽管由于密钥强度增强,跟踪找出规律破获密钥的机会大大减小了,但密钥分发的困难问题几乎无法解决。如,设有n 方参与通信,若n 方都采用同一个对称密钥,一旦密钥被破解,整个体系就会崩溃;若采用不同的对称密钥则需n(n-1)个密钥,密钥数与参与通信人数的平方数成正比。这便使大系统密钥的管理几乎成为不可能[6]。
自DES 算法1977年首次公诸于世以来,引起了学术界和企业界的广泛重视。
学术界对DES 密码进行了深入的研究,围绕它的安全性和破译方法展开了激烈的争论,在一定意义上对密码学的理论研究也起了推动作用。同时人们也一直对DES 的安全性持怀疑态度,对密钥的长度、迭代次数及S 盒的设计纵说纷纭。从技术上说,对DES 的批评主要集中在以下三个方面。
作为分组密码,DES 的加密单位仅有64位二进制,这对于数据传输来说太小,因为每个区组仅含8个字符,而且其中某些位还要用于奇偶校验或其他通讯开销。
密钥仅有56位二进制未免太短,各次迭代中使用的密钥K (i )是递推产生的,这种相关必降低了密码体制的安全性。目前,有人认为:在现有的技术条件下用穷举法寻找正确密钥已趋于可行,所以若要安全保护10年以上的数据最好不用DES 算法。实现替代函数Si 所用的S 盒的设计原理尚未公开,其中可能留有隐患。更有人担心DES 算法中有“陷阱”,知道秘密的人可以很容易地进行密文解密。
目前人们仍然不知道DES 中是否存在陷门。所谓陷门,通俗地讲,就是在算法的设计中设计者留了一个后门,知道某一秘密的人可进入这一后门获得使用该算法的用户的秘密密钥。DES 的设计准则除了极少数被公布外,其余的仍然是保密的。围绕S-盒人们讨论了一系列问题包括设计准则和构造等。
Campbell 和Wiener 于1992年证明了"DES 不成群" 这个事实。DES 至少有4个弱密钥,12个半弱密钥。
DES 对每64位数据块应用一个56位的密钥。整个过程要经历16个加密运算周期(或操作)。在1997年,RSA (数据安全公司)为能够破解DES 信息的人提供$10,000奖金,于是在Internet 上的一次多达14,000计算机的联合行动最终找到了密钥,这次行动中,总共搜索了72Q 个密钥中的18Q 个,这也显示了网络分布式计算机的强大威力。能够令我们放心的是,因为人力的关系,对于普通信息不可能受到这样的破译[7]。
三、分组密码研究重点方向
3.1 DES算法的应用漏洞
DES 算法具有极高的安全性, 到目前为止, 除了用穷举搜索法对DES 算法进行攻击外, 还没有发现更有效的办法。而56位长的密钥的穷举空间为256, 这意味着如果一台计算机的速度是每一秒钟检测一百万个密钥, 则它搜索完全部密钥就需要将近2285年的时间, 可见, 这是难以实现的。当然, 随着科学技术的发展, 当出现超高速计算机后, 我们可考虑把DES 密钥的长度再增长一些, 以此来达到更高的保密程度[9]。
由上述DES 算法介绍我们可以看到:DES算法中只用到64位密钥中的其中56位, 而第8、16 、24、......64位8个位并未参与DES 运算, 这一点, 向我们提出了一个应用上的要求, 即DES 的安全性是基于除了8,16,24,......64位外的其余56位的组合变化256才得以保证的。因此, 在实际应用中, 我们应避开使用第8,16,24......64位作为DES 密钥的有效数据位, 而使用其它的56位作为有效数据位, 才能保证DES 算法安全可靠地发挥作用。如果不了解这一点, 把密钥Key 的8,16,24,......64位作为有效数据位使用, 将不能保证DES 加密数据的安全性, 对运用DES 来达到保密作用的系统产生数据被破译的危险, 这正是DES 算法在应用上的误区, 是各级技术人员、各级领导在使用过程中应绝对避免的。
3.2 避开DES 算法漏洞安全管理
在DES 密钥Key 的使用、管理及密钥更换的过程中, 应绝对避开DES 算法的应用误区, 即:绝对不能把Key 的第8,16,24......64位作为有效数据位, 来对Key 进行管理。这一点, 特别推荐给金融银行界及非金融业界的领导及决策者们, 尤其是负责管理密钥的人, 要对此点予以高度重视。有的银行金融交易网络, 利用定期更换DES 密钥Key 的办法来进一步提高系统的安全性和可靠性, 如果忽略了上述应用误区, 那么, 更换新密钥将是徒劳的, 对金融交易网络的安全运行将是十分危险的, 所以更换密钥一定要保证新Key 与旧Key 真正的不同, 即除了第8,16,24,...64位以外其它位数据发生了变化, 须务必对此保持高度重视!
现代密码学的特征是算法可以公开。保密的关键是如何保护好自己的密钥,而破密的关键则是如何能破解得到密钥。
系统的安全主管者,要根据本系统实际所使用的密钥长度与其所保护的信息的敏感程度、重要程度以及系统实际所处安全环境的恶劣程度,在留有足够的安全系数的条件下来确定其密钥和证书更换周期的长短。同时,将已废弃的密钥和证书放入黑库归档,以备可能后用。密钥更换周期的正确安全策略是系统能够安全运行的保障,是系统的安全管理者最重要、最核心的日常工作任务。
3.3 DES的变形
DES 算法目前已广泛用于电子商务系统中。随着研究的发展,针对以上DES 的缺陷,DES 算法在基本不改变加密强度的条件下,发展了许多变形DES 。人们提出了解几种增强DES 安全性的方法,主要有以下几种。
3.3.1 多重DES
为了增加密钥的长度,人们建议将一种分组密码进行级联,在不同的密钥作用下,连续多次对一组明文进行加密,通常把这种技术称为多重加密技术。对DES ,人们建议使用三重DES ,这一点目前基本上达成一个共识。
3.3.2 三重DES
虽然DES 被认为是一种十分可靠的加密方法,但许多公司仍然采用称为" 三重DES" 的方法加密,这种方法边连续使用三个密钥进行加密。
因为确定一种新的加密法是否真的安全是极为困难的,而且DES 主要的密码学缺点,就是密钥长度相对比较短,所以人们并没有放弃使用DES ,而是想出了一个解决其长度问题的方法,即采用三重DES 。其基本原理是将128比特的密钥分为64比特的两组,对明文多次进行普通的DES 加解密操作,从而增强加密强度。
这种方法用两个密钥对明文进行三次加密,假设两个密钥是K1和K2:
1. 用密钥K1进行DES 加密。
2. 用K2对步骤1的结果进行DES 解密。
3. 用步骤2的结果使用密钥K1进行DES 加密
三重DESDES 算法扩展其密钥长度的一种方法,可使加密密钥长度扩展到128比特(112比特有效)或192比特(168比特有效)。此方法为密码专家默克尔(Markel)及赫
尔曼(Hellman)推荐。据称,目前尚无人找到针对此方案的攻击方法。
S-盒可选择的DES (也称带用交换S 盒的DES 算法)比哈姆(Bhīma)和沙米尔(Shamir )证明通过优化S 盒的设计,甚至S 盒本身的顺序,可以抵抗差分密码分析,以达到进一步增强DES 算法的加密强度的目的。在一些设计中,将DES 作如下改进:
使S-盒的次序随密钥而变化或使S-盒的内容本身是可变的。8个DES 的S-盒的改变可使得DES 变弱许多,使用某些特定次序的S-盒的16-圈DES 仅需要大约2个选择明文就能用差分分析方法被破译。采用随机的S-盒的DES 很容易被破译,即使是对DES 的一个S-盒的数字稍作改变也会导致DES 易于破译。结论:不管怎样随机选择S-盒都不会比DES 更安全[10]。
3.4具有独立子密钥的DES
DES 的另一种变形是每圈迭代都使用不同的子密钥,而不是由单个的56比特密钥来产生。因为16-圈DES 的每圈都需要48比特密钥,所以这种变形的DES 的密钥长度是768比特。这一方法可以增强DES 的加密强度,大大地增加了实现DES 的难度。
但据密码专家比哈姆(Biham )及沙米尔(Shamir)证明利用261个选择明文便可破译这个DES 变形,而不是人们所希望的2768个选择明文。所以这种改变并不能使DES 变得更安全。
3.5 G-DES
G-DES 是广义的DES 的缩写,设计它的目的是为了提高DES 的速度和强度。总的分组长度增加了(分组长度是可变的),但圈函数f 保持不变。Biham 和Shamir 仅使用16个已知明文就能用差分分析破译分组长度为256比特的16-圈G-DES 。使用48个选择明文就能用差分分析破译分组长度为256比特的22-圈G-DES 。即使是分组长度为256比特的64-圈G-DES 也比16-圈DES 弱。事实证明,比DES 快的任何G-DES 也就比它不安全[11]。
四、下一步工作
分组密码的安全性主要依赖于密钥,通过某个置换来实现对明文分组的加密变换。 为了保证密码算法的安全强度,对密码算法应有如下要求:
(1)分组长度足够大。当分组长度较小时,分组密码类似于古典的代替密码,它仍然保留了明文的统计信息,这种统计信息将给攻击者留下可乘之机,攻击者可以有效地穷举明文空间,得到密码变换本身。
(2)密钥量足够大。分组密码的密钥所确定密码变换只是所有置换中极小一部分。如果这一部分足够小,攻击者可以有效地穷举明文空间所确定所有的置换。这时,攻击者就可以对密文进行解密,以得到有意义的明文。
(3)密码变换足够复杂。使攻击者除了穷举法以外,找不到其他快捷的破译方法。对于分组密码算法中的 DES 和 AES ,在应用方面,尽管DES 在安全上是脆弱的,但由于快速DES 芯片的大量生产,使得 DES 仍能暂时继续使用,为提高安全强度,通常使用独立密钥的三级 DES 。但是DES 迟早要被 AES 代替。而随着密码技术,破译技术的发展, AES 的安全性也会受到质疑,分组密码会经受更多的考验。
参考文献
[1] DouglasStinson. Cryptography theory and practice[M].secondedition. Beijing: Publishing house of electronicsindustry, 2002:144-145.
[2] Joan Diemen, Vincent Rimes. AES Proposal: Randal, 1998:111-121.
[3] Schneier B. Applied Cryptography, Protocols, Algorithms and Source Code in C[M]. New Y ork:John Wiley and Sons, 1996:113-121.
[4]林德敬, 林柏钢. 三大密码体制:对称密码、公钥密码和量子密码的理论与技术[J]. 电讯技术, 2003, 43(3):6-12.
[5]王秋丽. 日本29种电子政府推荐密码概述[J]. 信息安全与通信保密, 2004, (12):69-71.
[6]冯登国. 国内外密码学研究现状及发展趋势[J].通信学报, 2002,23(5): 18-26.
[7] 钟黔川, 朱清新.Blowfish 密码系统分析[J]. 计算机应用, 2007,(12): 2940-2941.
[8] 高洁, 袁家斌, 徐涛, 齐艳珂. 一种基于混合反馈的混沌图像加密算法[J]. 计算机应用, 2008,28(2): 434-436.
[9] 赵革科, 常炳国. 一种面向服务的异步消息中间件的设计[J]. 计算机应用, 2009,29(08): 2312-2314.
[10] 吕宁, 孙广明, 张宇. 基于多混沌系统的图像分组密码设计[J]. 计算机应用, 2008,28(9): 2263-2266.
[11] 王鹏, 冯登国. 基于可调分组密码的MAC 构造[J]. 中国科学院研究生院学报, 2005,1(6): 746-750.
东北石油大学研究生作业
东北石油大学(硕士)研究生
课 程 名 称:通信网安全理论与技术
任 课 教 师:陈雪松
开课学年/开课学期:2011-2012学年度/第2学期
学 时 / 学 分:32学时/2学分
所在教学学院:电气信息工程学院
专 业 名 称:通信与信息系统
学 号/姓 名:赵勇
教师评语:__________________________________ __________________________________
__________________________________
任课教师签字(章):_________
目录
一、引言 ···································································································································· 1
1.1分组密码 ······················································································································· 1
1.2分组密码-DES ·············································································································· 2
二、分组密码的理论和技术···································································································· 5
2.1 分组DES 应用 ············································································································ 5
2.2 分组DES 算法 ············································································································ 5
2.3 分组DES 的安全性 ···································································································· 6
三、分组密码研究重点方向···································································································· 8
3.1 DES算法的应用漏洞 ·································································································· 8
3.2 避开DES 算法漏洞安全管理 ···················································································· 8
3.3 DES的变形 ·················································································································· 9
3.4具有独立子密钥的DES ···························································································· 10
3.5 G-DES ························································································································· 10
四、下一步工作 ·······················································································································11 参考文献 ·································································································································· 12
分组密码理论与技术综述
一、引言
数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法,两种算法最有名的代表分别为DES 和RSA 。粗略地讲,分组密码是用一个固定的变换对一个比较大的明文数组进行操作。本文将对分组密码进行详细的介绍。
1.1分组密码
分组密码即对固定长度的一组明文进行加密的算法。它将明文按一定的位长分组,文组和密钥组的全部经过加密运算得到密文组。解密时密文组和密钥组经过解密运算(加密运算的逆运算),还原成明文组。
分组密码的特点是:密钥可以在一定时间内固定,不必每次变换,因此给密钥配发带来了方便。但是,由于分组密码存在着密文传输错误在明文中扩散的问题,因此在信道质量较差的情况下无法使用。
分组密码其中最著名的两个分组密码即DES(Data Encryption Standard) 数据加密标准和IDEA(International Data Encryption Algorithm)[1]国际数据加密算法。
术语和符号,一个分组密码有两个重要的参数:一个是密钥的大小,称作密钥长度;另一个是每次操作的组的大小,称作分组长度。被变换的数据称作明文,变换后的数据称作密文。将明文变换成密文的过程称作加密,其逆过程,即由密文恢复出原明文的过程称作解密。密钥是由希望通信的双方选择的一些秘密信息。
通信双方的密钥可能一样,也可能不一样,我们把前者称作对称密码,后者称作非对称密码。该报告限于介绍对称的分组密码。将明文变换成密文时所采用的一组规则称
作加密算法,由密文恢复出原明文时所采用的一组规则称作解密算法。加密和解密算法通常是在密钥控制下进行的。
在密钥K 控制之下的加密算法E 记为E_K,明文消息m 对应的密文记为E_K(m)。类似地,在密钥K 控制之下的解密算法D 记为D_K,密文消息c 对的明文记为D_K(c)。显然,对所有的明文m ,都有D_K(E_K(m))=m。
1.2分组密码-DES
1.2.1 DES简介
数据加密标准(DES )[2]是一种世界范围之内广泛使用的以密钥作为加密方法的加密手段,被美国政府确定是很难破译的,因此也被美国政府作为限制出口的一种技术。在此标准下有72,000,000,000,000,000 (72Q )多种密钥可供使用。对于每条给定的信息,密钥在这72Q 个密钥中随机选择。与其它的加密方法一样,加密方和解密方必须使用相同的密钥,所以DES 算法也属于对称算法。它的算法是对称的,既可用于加密又可用于解密。
设计分组密码算法的核心技术是:在相信复杂函数可以通过简单函数迭代若干圈得到的原则下,利用简单圈函数及对合等运算,充分利用非线性运算。DES 算法采用美国国家安全局精心设计的8个S-Box 和P-置换,经过16圈迭代,最终产生64比特密文,每圈迭代使用的48比特子密钥是由原始的56比特产生的。
DES 密码算法输入的是64比特的明文,在64比特密钥的控制下产生64比特的密文;反之输入64比特的密文,输出64比特的明文。64比特的密钥中含有8个比特的奇偶校验位,所以实际有效密钥长度为56比特。
DES 算法加密时把明文以64bit 为单位分成块,而后用密钥把每一块明文转化成同样64bit 的密文块。DES 提供72,000,000,000,000,000个密钥,用每微秒可进行一次DES 加密的机器来破译密码需两千年。采用DES 的一个著名的网络安全系统是Kerberos [3],由麻省理工学院MIT 开发,是网络通信中身份认证的工业上的事实标准。
1.2.2DES 密码算法的产生及发展
DES 密码是1977年由美国国家标准局公布的第一个分组密码。
20世纪五十年代,密码学研究领域出现了最具代表性的两大成就。其中之一就是1971年美国学者塔奇曼(Tuchman )和麦耶(Meyer )根据信息论创始人香农(Shannon )提出的" 多重加密有效性理论" 创立的,后于1977年由美国国家标准局颁布的数据加密标准DES 。
为了实现同一水平的安全性和兼容性,为此美国商业部所属国家标准局(ANBS )于1972年开始了一项计算机数据保护标准的发展规则。于1973年开始研究除国防部外的其它部门的计算机系统的数据加密标准,为了建立适用于计算机系统的商用密码,于1973年5月和1974年8月先后两次向公众发出了征求加密算法的公告。1973年5月13日的联邦记录(FR1973)中的公告,征求在传输和存储数据中保护计算机数据的密码算法的建议,这一举措最终导致了数据加密标准(DES )算法的研制。征求的加密算法要达到的目的(通常称为DES 密码算法要求)主要为以下四点:
1) 提供高质量的数据保护,防止数据未经授权的泄露和未被察觉的修改;
2) 具有相当高的复杂性,使得破译的开销超过可能获得的利益,同时又要便于理
解和掌握;
3) DES 密码体制的安全性应该不依赖于算法的保密,其安全性仅以加密密钥的保
密为基础;
4) 实现经济,运行有效,并且适用于多种完全不同的应用。
在征得的算法中, IBM 公司提出的算法Lucifer 中选。DES 密码实际上是Lucifer 密码的进一步发展。它是一种采用传统加密方法的分组密码。1975年3月17日,ANBS 向社会公布了此算法,首次公布在联邦记录中,以求得公众的评论。1977年1月正式向社会公布,采纳IBM 公司设计的方案作为非机密数据的正式数据加密标准(DES-Data Encryption Standard)。成为美国联邦信息处理标准,即FIPS-46,同年7月15日开始生效。
随后DES 的应用范围迅速扩大到涉及美国以外的公司、甚至某些美国军事部门也使用了DES ,引起了美国国家安全局的忧虑。因此,里根总统曾于1984年9月签署了一项命令,即NSDD-145号命令,下令责成美国防部的国家安全局负责组织、研制一种
[4]新的数据加密标准CCEP (Commercial Communication Security Endorsement)商用通信
安全保证程序于1988年取代DES 。后来由于遭到整个最大的金融界用户以其不符合他们的要求为由的强烈反对,美国政府在其国会的压力下才撤销了里根这个NSDD-145号命令。
DES 自1977年由美国国防部采用,它的标准ANSI X.3.92和X3.106标准中都有说明。因为担心这种方法被敌对国使用,美国政府不允许出口此种算法的加密软件,但是要想找到这种软件也不难,在各地的BBS 上都会有。
每隔五年由美国国家保密局(NSA )对DES 作出评估,并重新批准它是否继续作为联邦加密标准。
二、分组密码的理论和技术
2.1 分组DES 应用
自DES 算法颁布之后,引起了学术界和企业界的广泛重视。许多厂家很快生产出实现DES 算法的硬件产品,广大用户在市场上买到高速而又廉价的DES 硬件产品之后,开始用它加密自己的重要数据,从而大大推广了密码技术的使用。
DES 算法的入口参数有三个:Key 、Data 、Mode 。其中Key 为8个字节共64位, 是DES 算法的工作密钥;Data 也为8个字节64位, 是要被加密或被解密的数据;Mode 为DES 的工作方式, 有两种:加密或解密。
DES 算法是这样工作的:如Mode 为加密, 则用Key 去把数据Data 进行加密, 生成Data 的密码形式(64位) 作为DES 的输出结果; 如Mode 为解密, 则用Key 去把密码形式的数据Data 解密, 还原为Data 的明码形式(64位) 作为DES 的输出结果。
在通信网络的两端, 双方约定了一致的Key , 在通信的源点用Key 对核心数据进行DES 加密, 然后以密码形式在公共通信网(如电话网) 中传输到通信网络的终点, 数据到达目的地后, 用同样的Key 对密码数据进行解密, 便再现了明码形式的核心数据。这样, 便保证了核心数据(如PIN 、MAC 等) 在公共通信网中传输的安全性和可靠性[5]。
通过定期在通信网络的源端和目的端同时改用新的Key , 便能更进一步提高数据的保密性, 这正是现在金融交易网络的流行做法。
在银行金融界及非金融界, 越来越多地用到了DES 算法, 目前美国使用的128位对称密码算法(DES ),支持全美的电子商务活动。1998年全美电子商务营业额为160亿美元,尚未发现有安全问题。目前, 在国内, 随着三金工程尤其是金卡工程的启动,DES 算法在POS 、A TM 、磁卡及智能卡(IC卡) 、加油站、高速公路收费站等领域被广泛应用, 以此来实现关键数据的保密。如信用卡持卡人的PIN 的加密传输、IC 卡与POS 间的双向认证、金融交易数据包的MAC 校验等, 均用到DES 算法。
2.2 分组DES 算法
DES 使用56比特有效密钥的64-比特分组密码来加密64位数据。它是一个16-圈的迭代型密码。加、解密算法一样,但加、解密时所使用的子密钥的顺序刚好相反。DES
的硬件实现的加密速率大约为20 M比特/秒;DES 的软件实现的速率大约为400 ~ 500 K比特/秒。DES 专用芯片的加密和解密的速率大约为1G 比特/秒。
DES 的圈函数f 对32比特的串作如下操作:首先将这32比特的串扩展成48比特的串。其次将这48比特的串和48比特的密钥进行组合并将组合结果作为八个不同S-盒的输入。每个S-盒的输入是6比特,输出是4比特。然后将S-盒的32比特做置换作为圈函数f 的输出。
DES 有56比特的有效密钥,64比特密钥中的第8位、第16位、„、第64位为校验位。所以对DES 最尖锐的批评之一是DES 的密钥太短。
DES 算法以被应用于许多需要安全加密的场合。(如:UNIX 的密码算法就是以DES 算法为基础的)。下面是关于如何实现DES 算法的语言性描述。
2.3 分组DES 的安全性
对称的分组密码算法最主要的问题是:由于加解密双方都要使用相同的密钥,因此在发送、接收数据之前,必须完成密钥的分发。因而,密钥的分发便成了该加密体系中的最薄弱因而风险最大的环节。各种基本的手段均很难保障安全地完成此项工作。从而,使密钥更新的周期加长,给他人破译密钥提供了机会。实际上这与传统的保密方法差别不大。在历史战争中,破获他国情报的纪录不外是两种方式:一种是在敌方更换" 密码本" 的过程中截获对方密码本;另一种是敌人密钥变动周期太长,被长期跟踪,找出规律从而被破获。在对称算法中,尽管由于密钥强度增强,跟踪找出规律破获密钥的机会大大减小了,但密钥分发的困难问题几乎无法解决。如,设有n 方参与通信,若n 方都采用同一个对称密钥,一旦密钥被破解,整个体系就会崩溃;若采用不同的对称密钥则需n(n-1)个密钥,密钥数与参与通信人数的平方数成正比。这便使大系统密钥的管理几乎成为不可能[6]。
自DES 算法1977年首次公诸于世以来,引起了学术界和企业界的广泛重视。
学术界对DES 密码进行了深入的研究,围绕它的安全性和破译方法展开了激烈的争论,在一定意义上对密码学的理论研究也起了推动作用。同时人们也一直对DES 的安全性持怀疑态度,对密钥的长度、迭代次数及S 盒的设计纵说纷纭。从技术上说,对DES 的批评主要集中在以下三个方面。
作为分组密码,DES 的加密单位仅有64位二进制,这对于数据传输来说太小,因为每个区组仅含8个字符,而且其中某些位还要用于奇偶校验或其他通讯开销。
密钥仅有56位二进制未免太短,各次迭代中使用的密钥K (i )是递推产生的,这种相关必降低了密码体制的安全性。目前,有人认为:在现有的技术条件下用穷举法寻找正确密钥已趋于可行,所以若要安全保护10年以上的数据最好不用DES 算法。实现替代函数Si 所用的S 盒的设计原理尚未公开,其中可能留有隐患。更有人担心DES 算法中有“陷阱”,知道秘密的人可以很容易地进行密文解密。
目前人们仍然不知道DES 中是否存在陷门。所谓陷门,通俗地讲,就是在算法的设计中设计者留了一个后门,知道某一秘密的人可进入这一后门获得使用该算法的用户的秘密密钥。DES 的设计准则除了极少数被公布外,其余的仍然是保密的。围绕S-盒人们讨论了一系列问题包括设计准则和构造等。
Campbell 和Wiener 于1992年证明了"DES 不成群" 这个事实。DES 至少有4个弱密钥,12个半弱密钥。
DES 对每64位数据块应用一个56位的密钥。整个过程要经历16个加密运算周期(或操作)。在1997年,RSA (数据安全公司)为能够破解DES 信息的人提供$10,000奖金,于是在Internet 上的一次多达14,000计算机的联合行动最终找到了密钥,这次行动中,总共搜索了72Q 个密钥中的18Q 个,这也显示了网络分布式计算机的强大威力。能够令我们放心的是,因为人力的关系,对于普通信息不可能受到这样的破译[7]。
三、分组密码研究重点方向
3.1 DES算法的应用漏洞
DES 算法具有极高的安全性, 到目前为止, 除了用穷举搜索法对DES 算法进行攻击外, 还没有发现更有效的办法。而56位长的密钥的穷举空间为256, 这意味着如果一台计算机的速度是每一秒钟检测一百万个密钥, 则它搜索完全部密钥就需要将近2285年的时间, 可见, 这是难以实现的。当然, 随着科学技术的发展, 当出现超高速计算机后, 我们可考虑把DES 密钥的长度再增长一些, 以此来达到更高的保密程度[9]。
由上述DES 算法介绍我们可以看到:DES算法中只用到64位密钥中的其中56位, 而第8、16 、24、......64位8个位并未参与DES 运算, 这一点, 向我们提出了一个应用上的要求, 即DES 的安全性是基于除了8,16,24,......64位外的其余56位的组合变化256才得以保证的。因此, 在实际应用中, 我们应避开使用第8,16,24......64位作为DES 密钥的有效数据位, 而使用其它的56位作为有效数据位, 才能保证DES 算法安全可靠地发挥作用。如果不了解这一点, 把密钥Key 的8,16,24,......64位作为有效数据位使用, 将不能保证DES 加密数据的安全性, 对运用DES 来达到保密作用的系统产生数据被破译的危险, 这正是DES 算法在应用上的误区, 是各级技术人员、各级领导在使用过程中应绝对避免的。
3.2 避开DES 算法漏洞安全管理
在DES 密钥Key 的使用、管理及密钥更换的过程中, 应绝对避开DES 算法的应用误区, 即:绝对不能把Key 的第8,16,24......64位作为有效数据位, 来对Key 进行管理。这一点, 特别推荐给金融银行界及非金融业界的领导及决策者们, 尤其是负责管理密钥的人, 要对此点予以高度重视。有的银行金融交易网络, 利用定期更换DES 密钥Key 的办法来进一步提高系统的安全性和可靠性, 如果忽略了上述应用误区, 那么, 更换新密钥将是徒劳的, 对金融交易网络的安全运行将是十分危险的, 所以更换密钥一定要保证新Key 与旧Key 真正的不同, 即除了第8,16,24,...64位以外其它位数据发生了变化, 须务必对此保持高度重视!
现代密码学的特征是算法可以公开。保密的关键是如何保护好自己的密钥,而破密的关键则是如何能破解得到密钥。
系统的安全主管者,要根据本系统实际所使用的密钥长度与其所保护的信息的敏感程度、重要程度以及系统实际所处安全环境的恶劣程度,在留有足够的安全系数的条件下来确定其密钥和证书更换周期的长短。同时,将已废弃的密钥和证书放入黑库归档,以备可能后用。密钥更换周期的正确安全策略是系统能够安全运行的保障,是系统的安全管理者最重要、最核心的日常工作任务。
3.3 DES的变形
DES 算法目前已广泛用于电子商务系统中。随着研究的发展,针对以上DES 的缺陷,DES 算法在基本不改变加密强度的条件下,发展了许多变形DES 。人们提出了解几种增强DES 安全性的方法,主要有以下几种。
3.3.1 多重DES
为了增加密钥的长度,人们建议将一种分组密码进行级联,在不同的密钥作用下,连续多次对一组明文进行加密,通常把这种技术称为多重加密技术。对DES ,人们建议使用三重DES ,这一点目前基本上达成一个共识。
3.3.2 三重DES
虽然DES 被认为是一种十分可靠的加密方法,但许多公司仍然采用称为" 三重DES" 的方法加密,这种方法边连续使用三个密钥进行加密。
因为确定一种新的加密法是否真的安全是极为困难的,而且DES 主要的密码学缺点,就是密钥长度相对比较短,所以人们并没有放弃使用DES ,而是想出了一个解决其长度问题的方法,即采用三重DES 。其基本原理是将128比特的密钥分为64比特的两组,对明文多次进行普通的DES 加解密操作,从而增强加密强度。
这种方法用两个密钥对明文进行三次加密,假设两个密钥是K1和K2:
1. 用密钥K1进行DES 加密。
2. 用K2对步骤1的结果进行DES 解密。
3. 用步骤2的结果使用密钥K1进行DES 加密
三重DESDES 算法扩展其密钥长度的一种方法,可使加密密钥长度扩展到128比特(112比特有效)或192比特(168比特有效)。此方法为密码专家默克尔(Markel)及赫
尔曼(Hellman)推荐。据称,目前尚无人找到针对此方案的攻击方法。
S-盒可选择的DES (也称带用交换S 盒的DES 算法)比哈姆(Bhīma)和沙米尔(Shamir )证明通过优化S 盒的设计,甚至S 盒本身的顺序,可以抵抗差分密码分析,以达到进一步增强DES 算法的加密强度的目的。在一些设计中,将DES 作如下改进:
使S-盒的次序随密钥而变化或使S-盒的内容本身是可变的。8个DES 的S-盒的改变可使得DES 变弱许多,使用某些特定次序的S-盒的16-圈DES 仅需要大约2个选择明文就能用差分分析方法被破译。采用随机的S-盒的DES 很容易被破译,即使是对DES 的一个S-盒的数字稍作改变也会导致DES 易于破译。结论:不管怎样随机选择S-盒都不会比DES 更安全[10]。
3.4具有独立子密钥的DES
DES 的另一种变形是每圈迭代都使用不同的子密钥,而不是由单个的56比特密钥来产生。因为16-圈DES 的每圈都需要48比特密钥,所以这种变形的DES 的密钥长度是768比特。这一方法可以增强DES 的加密强度,大大地增加了实现DES 的难度。
但据密码专家比哈姆(Biham )及沙米尔(Shamir)证明利用261个选择明文便可破译这个DES 变形,而不是人们所希望的2768个选择明文。所以这种改变并不能使DES 变得更安全。
3.5 G-DES
G-DES 是广义的DES 的缩写,设计它的目的是为了提高DES 的速度和强度。总的分组长度增加了(分组长度是可变的),但圈函数f 保持不变。Biham 和Shamir 仅使用16个已知明文就能用差分分析破译分组长度为256比特的16-圈G-DES 。使用48个选择明文就能用差分分析破译分组长度为256比特的22-圈G-DES 。即使是分组长度为256比特的64-圈G-DES 也比16-圈DES 弱。事实证明,比DES 快的任何G-DES 也就比它不安全[11]。
四、下一步工作
分组密码的安全性主要依赖于密钥,通过某个置换来实现对明文分组的加密变换。 为了保证密码算法的安全强度,对密码算法应有如下要求:
(1)分组长度足够大。当分组长度较小时,分组密码类似于古典的代替密码,它仍然保留了明文的统计信息,这种统计信息将给攻击者留下可乘之机,攻击者可以有效地穷举明文空间,得到密码变换本身。
(2)密钥量足够大。分组密码的密钥所确定密码变换只是所有置换中极小一部分。如果这一部分足够小,攻击者可以有效地穷举明文空间所确定所有的置换。这时,攻击者就可以对密文进行解密,以得到有意义的明文。
(3)密码变换足够复杂。使攻击者除了穷举法以外,找不到其他快捷的破译方法。对于分组密码算法中的 DES 和 AES ,在应用方面,尽管DES 在安全上是脆弱的,但由于快速DES 芯片的大量生产,使得 DES 仍能暂时继续使用,为提高安全强度,通常使用独立密钥的三级 DES 。但是DES 迟早要被 AES 代替。而随着密码技术,破译技术的发展, AES 的安全性也会受到质疑,分组密码会经受更多的考验。
参考文献
[1] DouglasStinson. Cryptography theory and practice[M].secondedition. Beijing: Publishing house of electronicsindustry, 2002:144-145.
[2] Joan Diemen, Vincent Rimes. AES Proposal: Randal, 1998:111-121.
[3] Schneier B. Applied Cryptography, Protocols, Algorithms and Source Code in C[M]. New Y ork:John Wiley and Sons, 1996:113-121.
[4]林德敬, 林柏钢. 三大密码体制:对称密码、公钥密码和量子密码的理论与技术[J]. 电讯技术, 2003, 43(3):6-12.
[5]王秋丽. 日本29种电子政府推荐密码概述[J]. 信息安全与通信保密, 2004, (12):69-71.
[6]冯登国. 国内外密码学研究现状及发展趋势[J].通信学报, 2002,23(5): 18-26.
[7] 钟黔川, 朱清新.Blowfish 密码系统分析[J]. 计算机应用, 2007,(12): 2940-2941.
[8] 高洁, 袁家斌, 徐涛, 齐艳珂. 一种基于混合反馈的混沌图像加密算法[J]. 计算机应用, 2008,28(2): 434-436.
[9] 赵革科, 常炳国. 一种面向服务的异步消息中间件的设计[J]. 计算机应用, 2009,29(08): 2312-2314.
[10] 吕宁, 孙广明, 张宇. 基于多混沌系统的图像分组密码设计[J]. 计算机应用, 2008,28(9): 2263-2266.
[11] 王鹏, 冯登国. 基于可调分组密码的MAC 构造[J]. 中国科学院研究生院学报, 2005,1(6): 746-750.