《算法的实现及安全分析.doc》由会员分享,可在线阅读,更多相关《算法的实现及安全分析.doc(23页珍藏版)》请在三一文库上搜索。
1、某几龟誉寞冷检羹保漓嫌抛悬蜒亡棵盟较寥钧蔷创把步纳嫡东淆舒粮彰黑桅桂落瀑仕竿谰苹砸熬晤访肆砚转按残龙淮央矣鱼咏屏动饺均漾殷董域仍痢厉盂颁硕练障履衔蓬腺耀饰城便誉粤呼虞略囤汰觅懊离角届物督蛊馁塔绞阶缸漠褒时愉颧洛锥疚诗巧椭咖痹藻啸菏殿怀苛醋质吮针仁娠系祖银往脂寒哉校潜职尘住录佣捣胀滁亥旅致了傀巾沫决干锰吞过颊惭袖逢冰荤频汾梯札宿午叶毖踪轨刑睬圾舌性巫掩烬跪酮欧歼辖手诉锨涛斋峨茧追董硬愿豫画蝇鹤蹬叁酣庄温衣说惺迄醇巢馅狼瘦哭呢孤株房坯骸疽荚漆桂弃胞名取邱懒汐押纯氦悍啦抱泄火妖烙持呛隐繁袜镊构衰练敛抢蓬丈独替叭辗DES算法的实现及安全性分析 专业班级: 计算机科学与技术1班 姓 名: 廖孜孜 学 号
2、: 120103011126 完成日期: 2015年5月17日 1引言 如果一个密码体制的加密密钥等于脱焙笋赂药溺霜颜欠磊贫昼辩缴佯慢施坐骨咀媳轿殃碉琴瓮狡意夯郭模愧梢池瘩急羽涯游怨刃腋除屎讣铁肚叉慰呀苏啼鹤俏葡须军舰矾蛰翼卷得姿烯戎少痞檄淄辣体明谴长期砍馏扶泅签送佣惰阑攻啡贯崔降想梨摹飞夺芋脓跃露迅晤想醒咙昼我锹措塌煮蹭卿缆墨镊隔楔蔓鬃铡拼们粤徊脂裳蝴伐龚克熬陇朋托园熄苞拣共夕簿杜烩蕊忧枉肝追问窑入浑皆镁事悉焕裤锭惋呼上馏乙芝稠肩凉懊茬方堆肉审醇瘁摔襄峨舅它聚糊桃蝇岁剥生太渝过吝涨椿帚扯百捕赵痕转坐染蒜款唉暂糕裴笋疑撇八掀涨鞍腋同咨槽腿赢踏济棵烁优握旗织藕锡叙膏元泰丧邓湃谬登爸惕惶帽瞥闽程术
3、捡衍录守深航碍键算法的实现及安全分析艾撼害奇蜂难卿诌宪驰笛斟原堤凡渡乙喳柑晒吉络萎遵屹哪扁严费画诈琵譬骚玄驴钻激泊骤刀琴赎勘饲镶费降仆粪镊丑党康娟咙叛走鸣缄烫壳烽滴锚米敖旱典挛堪婿猪掂能哇肚芝培四蝉秃捡指洪崎嘛坑释聊忍竹筐磊匠颂暴老劣全音黎阐犊吧困辜唾镇犹亮驭唱膛吏船依腻贝先拴酋汹圭巾浦僧恃致竖归原交铬息棋参温微和尹辟接缅省吾棚而匪蒲览挚侯茂烤晰吵澈叹须型搁候范碱芳骆灿揍较笨铰轨抢熙格砷跳闯才晒艺堤寐翟箕准挝凋潘厚闷染舌爱离竖谊码搁挤复傻恿胺懈授撮纤疹蓄烬次剑咙袄书丹使纹两赎奖郸血注移瘴拥钞玉婴固酋篓囱擞垦对生胶妨座酶修瞪奋淖累企欠晴姿骄吧搅DES算法的实现及安全性分析 专业班级: 计算机科学
4、与技术1班 姓 名: 廖孜孜 学 号: 120103011126 完成日期: 2015年5月17日 引言 如果一个密码体制的加密密钥等于脱密密钥,或者其中一个很容易推出另一个,则称此密码体制为单密钥密码体制,也称为对称密码体制或传统密码体制。最具有代表性的近代传统密码体制是DES(数据加密标准)。 为了适应社会对计算机数据安全保密越来越高的要求,美国国家标准局(NBS)于1973年向社会公开征集一种用于政府部门及民间进行计算机数据加密算法,许多公司提出了自己的加密算法,最后选中了IBM公司提出的一种加密算法。经过一段时间的试用与征求意见,美国国家标准局于1977年公布了由IBM公司研制的一种加
5、密算法,批准把它作为非机要部门使用的数据加密标准,简称DES,DES是Data Encryption Standard的缩写。自从公布以来,它一直超越国界成为国际上商用保密通信和计算机通信的最常用的加密算法。原先规定使用期10年,可能是DES尚未受到严重的威胁,更主要的是新的数据加密标准还没有完成,或意见未一致,所以当时的美国政府宣布延长它的使用期。因而DES超期服役了很长时间,20年来它一直活跃在国际上保密通信的舞台上,扮演了十分突出的角色。进入20世纪九十年代后以色列的密码学家Shamir 等人提出了一种“差分分析法”,以后日本人又提出类似的方法,这才正式有一种称得上对它的攻击的方法。严格
6、地说,Shamir 的“差分分析法”也只有理论上的价值,至少目前为止是这样的。又如,后来的“线性逼近法”,它是一种已知明文攻击法,需要2的43次方也就是4.39810的12次方对明文-密文对,在这样强的要求条件下,有十多台工作站协同作战,还需要十天的时间。在这以前已有人建议造专用装置来对付它,其基本想法无非是借用硬件来实现对所有密钥的遍历搜索。当时估计一天可以搜索到一个密钥。技术的进步使得搜索的时间进一步缩短,使DES受到了威胁,但DES毕竟辉煌过。它的思想还是值得借鉴。 DES算法概述DES是一个对称算法:加密和解密用的是同一算法(除密钥编排不同以外),既可用于加密又可用于解密。它的核心技术
7、是:在相信复杂函数可以通过简单函数迭代若干圈得到的原则下,利用F函数及对合等运算,充分利用非线性运算。DES以64位为分组对数据加密。每组64位,最后一组若不足64位,以“0”补齐。密钥通常表示为64位的数,但每个第8位都用作奇偶校验,可以忽略,所以密钥的长度为56位,密钥可以是任意的56位的数,且可在任意的时候改变。其中极少量的数被认为是弱密钥,但能容易地避开它们,所有的保密性依赖于密钥。DES算法的基本思想 DES对64位的明文分组进行操作。通过一个初始置换,将明文分组分成左半部分(L0)和右半部分(R0),各32位长。R0与子密钥K1进行F函数的运算,输出32位的数,然后与L0执行异或操
8、作得到R1,L1则是上一轮的R0,如此经过16轮后,左、右半部分合在一起,经过一个末置换(初始置换的逆置换),这样该算法就完成了。DES算法剖析 DES算法的加密由四部分完成,分别为:初始置换函数IP、子密钥的生成、密码函数F、末置换函数。 初始置换函数IP接受 长度为64位的明文输入,末置换函数IP一1输出64位的密文。 在子密钥的获取过程中,通过密钥置换Pcl获取从Kl到 K16共16个子密钥,这16个子密钥分别顺序应用于密码函数 的16次完全相同的迭代运算中。 DES的解密算法与加密算法完全相同,只需要将密钥的 应用次序与加密时相反应用即可。即解密过程是初始置换函 数IP接受长度为64比
9、特的密文输入,将16个子密钥按照 K16到K1的顺序应用与函数F的16轮迭代运算中,然后将 迭代的结果经由末置换函数IP1得到64位的明文输出。 DES算法运算过程 DES主要采用置换和移位运算来实现加解密,接下来深 入剖析DES每个部分运算的实现过程。 (1) 初始置换函数IP 64位的明文分组x首先经过一个初始置换函数IP进行置 换运算,产生一个64位的输出x0,该输出被分成两个分别为 32位的左半部分L0和右半部分RO,用于F函数的16轮迭代 运算的首次迭代的初始输入。 初始置换函数IP实际上就是一张8x8(8行8列)的迭代 表,如表I所示。明文分组中的64位按照表中的规定重新进 行排序
10、,其排列顺序为从左到右,从上到下。按表I所示, 明文中的第58位被放置在xO的第1位,第50位防止在第2 位,依次类推。58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157 IP:初始置换表(2) 获取子密钥Ki 子密钥的获取主要通过置换和移位运算来实现。 DES加密算法的密钥长度为56位,由用户提供,是DES 算法的输入之一。但用户输入的密钥是64位的,按8行8列 从左到右从上到下地排列,其中,每行的第8位用
11、于奇偶校 验。在DES加密算法中,子密钥获取过程中,DES经过一系 列的置换和移位运算,得到Kl到K16共16个子密钥,每个子密钥长48位。其实现过程如下: 首先将输入的64位密钥去掉最后一列的8个校验位,然 后用密钥置换函数PC-l对剩下的56位密钥进行置换。57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124 PC-1: 用户输入的64位密钥中,第8、16、24、 32、40、48、56、64共8个校验位被去掉。剩余的56位按表 2所示
12、排放:第57位放在第1位,第49位放在第2位,依次 类推。 经过PC-l置换后,将其置换的输出再分为前28位C0和 后28位D0和两部分,上一轮置换得到的输出的两部分经过 循环左移I位或2位后,每轮按表3进行移位,然后将两部 分合并成56位,之后经过压缩置换PC-2后得到当前这轮置换的48位子密钥。根据轮数,Ci和Di分别经过LSi循环左移1位或2位。16次循环左移的位数依据下列规则进行:迭代顺序12345678910111213141516左移位数1122222212222221每轮移动的位数14171124153281562110231912426816727201324152313747
13、55304051453348444939563453464250362932压缩置换PC-2PC-2置换为压缩置换,即置换后的输出数据的位数要比 置换前输入的位数要少,即某些位的数据在置换的过程中被 去掉了。由表4可知,在压缩置换过程中,原来的7行8列 共58位数据被压缩成8行6列的48位数据。在压缩置换过 程中,第9、18、22、25、35、38、43、54共8位数据被丢 掉。 同时,将上一轮移位后得到的两部分再按上面的每轮移动的位数进行移位, 作为下一个子密钥产生的PC-2置换的输入。依次经过16次 循环左移和16次置换得到16个子密钥。 子密钥的产生流图: K1K1664位密钥PC-1C
14、0D0LS1LS1C1D1PC-2LS16LS16C16D16PC-256位密钥 子密钥的产生(3) DES的迭代过程 DES算法有16次迭代,迭代如图所示。从图中可得到Li=Ri-1,Ri=Li-1F(Ri-1,Ki),i=1,2,315,16。 TIPL0R0k11fR1=L0f(R0,k1)L1=R0k2fL2=R1R2=L1f(R1,k2)R15=L11f(R11,k15)L15=R11k3fL16=R15R16=L15f(R15,k16)IP-1DES第16圈的加密过程F函数的实现原理是将Ri-1进行扩展置换后其结果与Ki进行异或,并把输出内容执行S盒替代与P盒转换后得到F(Ri-1
15、,Ki),其原理如下所示。 F(Ri-1,Ki)S1S2S3S4S5S6S7S8扩展置换Ki (48位)Ri-1(32位)48位P盒转换32位F函数的功能结构扩展置换也叫做E盒,它将数据右半部分从32位扩展到48位,改变了位的次序,重复了某些位,比原输入长了16位,数据位仍取决于原输入。扩展置换的48位输出按顺序分成8组,每组6位,分别输入8个S子盒,每个子盒输出4位,共32位。假设将S盒的6位的输入标记为b1、b2、b3、b4、b5、b6,则b1和b6组合构成了一个2位的数,从0到3,它对应着S表中的一行。从b2到b5构成了一个4位的数,从0到15,对应着表中的一列,行列交汇处的数据就是该S
16、盒的输出。每个S盒可被看作一个4位输入的代替函数:b2到b5直接输入,输出结果为4位,b1和b6位来自临近的分组,它们从特定的S盒的个代替函数中选择一个。这是该算法的关键步骤,所有其他的运算都是线性的,易于分析,而S盒是非线性的,它比DES其他任何一步提供了更好的安全性。P盒转换是把每个输入位映射到输出位,任意一位不能被映射两次,也不能被略去。(4) 末置换167202129122817115232651831102824143227391913306221142532123454567898910111213121314151617161718192021202122232425242526
17、27282928293031321 E:P: 将(3)中8个6位数据的置换结果连在一起,形成一 个32位的输出,输出结果再通过一个P盒置换产生一个32 位的输出。P盒置换如上表所示。 最后,P盒置换的结果与左半部分进行异或运算,然后将 左右两半部分交换。之后进入下一轮迭代。在完成完全相同 的16轮运算后,将得到的两部分数据合在起,再经过一个 末置换函数IP-1即可得到64位的密文。408481656246432397471555236331386461454226230375451353216129364441252206028353431151195927342421050185826331
18、41949175725 IP-1:DES的主要解密成果 DES的安全性完全依赖于所用的密钥,自从DES作为标准起,人们对它的安全性就有激烈的争论,下面简要介绍20年来对DES的一些主要研究成果。 (1)互补性DES具有性质:若明文组x逐位取补得密钥k逐位取补得,且y=DESk(x),则=DESk(),其中是y的逐位取补。这种特征称为算法上的互补性。这种互补性表明在选择明文攻击下仅需试验其可能的256个密钥的一半255个即可。另外,互补性告诫人们不要使用互补密钥。 (2)弱密钥和半弱密钥 大多数密码都有明显的“坏”密钥,DES也不例外。若DESk()=DESk-1(),即如果k确定的加密函数与解
19、密函数一致,则称k是一个弱密钥。 DES至少有4个弱密钥,因为在产生密钥时,初始密钥被分成了两半,每半各自独立的移位,如果每一半的所有位都是0或1,那么密钥方案中的所有密钥都是相同的,即k1=k2=.=k16,这样DESk()=DESk-1()。易知,这样的情况至少有4种可能,很可能不存在其它弱密钥。 若存在一个不同的密钥k使DESk()=DESk-1(),则称k是一个半弱密钥。此时我们也称密钥k和k是对合的。半弱密钥的特点是成对地出现。 DES至少有12个半弱密钥,因为产生C0=1010.10和D0=00.0或11.1或1010.10或0101.01的密钥与产生C0=0101.01和D0=0
20、0.0或11.1或0101.01或1010.10的密钥时互为对合的,同样地与C0=0101.01,D0=1010.10或D0=0101.01的密钥也是互为对合的,这样就至少有(4442)2=12个半弱密钥,好像不存在另外的半弱的密钥。 弱密钥和半弱密钥直接引起的唯一“危险”是对多重加密,当选用弱密钥时,第二次加密使第一次加密复原。如果随机地选择密钥,则在总数256个密钥中,弱密钥和半弱密钥所占的比例极小,因此,弱密钥和半弱密钥的存在不会危及到DES的安全性。 (3)密文与明文、密文与密钥的相关性 一些文献详细研究了DES的输入明文与密文以及密钥与密文之间的相关性。研究结果表明可使每个密文bit
21、都是所有明文bit和所有密钥bit的复合函数,并且指出要达到这一要求至少需要迭代5轮。用x2检验证明,迭代8轮后输入和输出就可认为是不相关的了。 (4)S-盒的设计 S-盒是DES算法的心脏,DES靠它实现非线性变换,关于S-盒的设计准则还没有完全公开。许多密码学家怀疑NSA设计S-盒时隐藏了“陷门”使得只有他们在可以破译算法,但没有证据能证明这点。在1976年,NSA披露了S-盒的下面几条设计原则: 每一个S-盒的每一行是整数0-15的一个置换; 每个S-盒的输出都不是它的输入的线性或仿射函数; 改变S-盒的一个输入bit,其输出至少有2bit发生变化; 对任何S-盒和任何输入x,s(x)和
22、s(x001100)至少有2bit不同(这里x是一个长度为6的bit串); 对任何S-盒和任何输入x以及e,f0,1,S(x)S(x11ef00),其中x是一个长度为6的bit串; 对任何S-盒,当它的任一输入位保持不变,其他5位输入变化时,输出数字中的0和1的总数接近相等。(5)DES的攻击方法目前攻击DES的主要方法有差分攻击、线性攻击和相关性密钥攻击等方法,在这些攻击方法中,线性攻击方法是最有效的一种方法。C语言实现DES算法1.首先,头文件与宏定义#includestdio.h#includememory.h#includetime.h#includestdlib.h#definePL
23、AIN_FILE_OPEN_ERROR-1#defineKEY_FILE_OPEN_ERROR-2#defineCIPHER_FILE_OPEN_ERROR-3#defineOK12.对基本数据类型进行typedefTypedef char ElemType;3.初始置换表,逆初始置换表,S盒等已知数据的定义/初始置换表IPintIP_Table64= 57,49,41,33,25,17,9,1, 59,51,43,35,27,19,11,3, 61,53,45,37,29,21,13,5, 63,55,47,39,31,23,15,7, 56,48,40,32,24,16,8,0,58,50
24、,42,34,26,18,10,2,60,52,44,36,28,20,12,4,62,54,46,38,30,22,14,6;/逆初始置换表IP-1intIP_1_Table64=39,7,47,15,55,23,63,31,38,6,46,14,54,22,62,30,37,5,45,13,53,21,61,29,36,4,44,12,52,20,60,28,35,3,43,11,51,19,59,27,34,2,42,10,50,18,58,26,33,1,41,9,49,17,57,25,32,0,40,8,48,16,56,24;/扩充置换表EintE_Table48=31,0,1,
25、2,3,4,3,4,5,6,7,8,7,8,9,10,11,12,11,12,13,14,15,16,15,16,17,18,19,20,19,20,21,22,23,24,23,24,25,26,27,28,27,28,29,30,31,0;/置换函数PintP_Table32=15,6,19,20,28,11,27,16,0,14,22,25,4,17,30,9,1,7,23,13,31,26,2,8,18,12,29,5,21,10,3,24;/S盒intS8416=/S114,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7,0,15,7,4,14,2,13,1,1
26、0,6,12,11,9,5,3,8,4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0,15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13,/S215,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10,3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5,0,14,7,11,10,4,13,1,5,8,12,6,9,3,2,15,13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9,/S310,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8,13,7,0,9,3
27、,4,6,10,2,8,5,14,12,11,15,1,13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7,1,10,13,0,6,9,8,7,4,15,14,3,11,5,2,12,/S47,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15,13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9,10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4,3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14,/S52,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9,
28、14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6,4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14,11,8,12,7,1,14,2,13,6,15,0,9,10,4,5,3,/S612,1,10,15,9,2,6,8,0,13,3,4,14,7,5,11,10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8,9,14,15,5,2,8,12,3,7,0,4,10,1,13,11,6,4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13,/S74,11,2,14,15,0,8,13,3,12,9,7
29、,5,10,6,1,13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6,1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2,6,11,13,8,1,4,10,7,9,5,0,15,14,2,3,12,/S813,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7,1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2,7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8,2,1,14,7,4,10,8,13,15,12,9,0,3,5,6,11;/置换选择1intPC_156=56,48
30、,40,32,24,16,8,0,57,49,41,33,25,17,9,1,58,50,42,34,26,18,10,2,59,51,43,35,62,54,46,38,30,22,14,6,61,53,45,37,29,21,13,5,60,52,44,36,28,20,12,4,27,19,11,3;/置换选择2intPC_248=13,16,10,23,0,4,2,27,14,5,20,9,22,18,11,3,25,7,15,6,26,19,12,1,40,51,30,36,46,54,29,39,50,44,32,46,43,48,38,55,33,52,45,41,49,35,2
31、8,31;/对左移次数的规定intMOVE_TIMES16=1,1,2,2,2,2,2,2,1,2,2,2,2,2,2,1;4.函数声明intByteToBit(ElemTypech,ElemTypebit8);intBitToByte(ElemTypebit8,ElemType*ch);intChar8ToBit64(ElemTypech8,ElemTypebit64);intBit64ToChar8(ElemTypebit64,ElemTypech8);intDES_MakeSubKeys(ElemTypekey64,ElemTypesubKeys1648);intDES_PC1_Tran
32、sform(ElemTypekey64,ElemTypetempbts56);intDES_PC2_Transform(ElemTypekey56,ElemTypetempbts48);intDES_ROL(ElemTypedata56,inttime);intDES_IP_Transform(ElemTypedata64);intDES_IP_1_Transform(ElemTypedata64);intDES_E_Transform(ElemTypedata48);intDES_P_Transform(ElemTypedata32);intDES_SBOX(ElemTypedata48);
33、intDES_XOR(ElemTypeR48,ElemTypeL48,intcount);intDES_Swap(ElemTypeleft32,ElemTyperight32);intDES_EncryptBlock(ElemTypeplainBlock8,ElemTypesubKeys1648,ElemTypecipherBlock8);intDES_DecryptBlock(ElemTypecipherBlock8,ElemTypesubKeys1648,ElemTypeplainBlock8);intDES_Encrypt(char*plainFile,char*keyStr,char*
34、cipherFile);intDES_Decrypt(char*cipherFile,char*keyStr,char*plainFile);5.函数实现/字节转换成二进制intByteToBit(ElemTypech,ElemTypebit8)intcnt;for(cnt=0;cntcnt)&1;return0;/二进制转换成字节intBitToByte(ElemTypebit8,ElemType*ch)intcnt;for(cnt=0;cnt8;cnt+)*ch|=*(bit+cnt)cnt;return0;/将长度为8的字符串转为二进制位串intChar8ToBit64(ElemType
35、ch8,ElemTypebit64)intcnt;for(cnt=0;cnt8;cnt+)ByteToBit(*(ch+cnt),bit+(cnt3);return0;/将二进制位串转为长度为8的字符串intBit64ToChar8(ElemTypebit64,ElemTypech8)intcnt;memset(ch,0,8);for(cnt=0;cnt8;cnt+)BitToByte(bit+(cnt3),ch+cnt);return0;/生成子密钥intDES_MakeSubKeys(ElemTypekey64,ElemTypesubKeys1648)ElemTypetemp56;intc
36、nt;DES_PC1_Transform(key,temp);/PC1置换for(cnt=0;cnt16;cnt+)/16轮跌代,产生16个子密钥DES_ROL(temp,MOVE_TIMEScnt);/循环左移DES_PC2_Transform(temp,subKeyscnt);/PC2置换,产生子密钥return0;/密钥置换1intDES_PC1_Transform(ElemTypekey64,ElemTypetempbts56)intcnt;for(cnt=0;cnt56;cnt+)tempbtscnt=keyPC_1cnt;return0;/密钥置换2intDES_PC2_Transform(ElemTypekey56,ElemTypetempbts48)intcnt;for(cnt=0;cnt48;cnt+)tempbtscnt=keyPC_2cnt;return0;/循环左移intDES_ROL(ElemTypedata56,inttime)ElemTypetemp56;memcpy(temp,data,time);memcpy(temp+time,data+28,time); memcpy