DES算法的实现及安全性分析文档格式.docx
《DES算法的实现及安全性分析文档格式.docx》由会员分享,可在线阅读,更多相关《DES算法的实现及安全性分析文档格式.docx(30页珍藏版)》请在冰点文库上搜索。
在相信复杂函数可以通过简单函数迭代若干圈得到的原则下,利用F函数及对合等运算,充分利用非线性运算。
DES以64位为分组对数据加密。
每组64位,最后一组若不足64位,以“0”补齐。
密钥通常表示为64位的数,但每个第8位都用作奇偶校验,可以忽略,所以密钥的长度为56位,密钥可以是任意的56位的数,且可在任意的时候改变。
其中极少量的数被认为是弱密钥,但能容易地避开它们,所有的保密性依赖于密钥。
DES算法的基本思想
DES对64位的明文分组进行操作。
通过一个初始置换,将明文分组分成左半部分(L0)和右半部分(R0),各32位长。
R0与子密钥K1进行F函数的运算,输出32位的数,然后与L0执行异或操作得到R1,L1则是上一轮的R0,如此经过16轮后,左、右半部分合在一起,经过一个末置换(初始置换的逆置换),这样该算法就完成了。
DES算法剖析
DES算法的加密由四部分完成,分别为:
初始置换函数IP、子密钥的生成、密码函数F、末置换函数。
初始置换函数IP接受长度为64位的明文输入,末置换函数IP一1输出64位的密文。
在子密钥的获取过程中,通过密钥置换Pc—l获取从Kl到K16共16个子密钥,这16个子密钥分别顺序应用于密码函数的16次完全相同的迭代运算中。
DES的解密算法与加密算法完全相同,只需要将密钥的应用次序与加密时相反应用即可。
即解密过程是初始置换函数IP接受长度为64比特的密文输入,将16个子密钥按照K16到K1的顺序应用与函数F的16轮迭代运算中,然后将迭代的结果经由末置换函数IP.1得到64位的明文输出。
DES算法运算过程
DES主要采用置换和移位运算来实现加解密,接下来深入剖析DES每个部分运算的实现过程。
(1)初始置换函数IP
64位的明文分组x首先经过一个初始置换函数IP进行置换运算,产生一个64位的输出x0,该输出被分成两个分别为32位的左半部分L0和右半部分RO,用于F函数的16轮迭代运算的首次迭代的初始输入。
初始置换函数IP实际上就是一张8x8(8行8列)的迭代表,如表I所示。
明文分组中的64位按照表中的规定重新进行排序,其排列顺序为从左到右,从上到下。
按表I所示,明文中的第58位被放置在xO的第1位,第50位防止在第2位,依次类推。
58
50
42
34
26
18
10
2
60
52
44
36
28
20
12
4
62
54
46
38
30
22
14
6
64
56
48
40
32
24
16
8
57
49
41
33
25
17
9
1
59
51
43
35
27
19
11
3
61
53
45
37
29
21
13
5
63
55
47
39
31
23
15
7
IP:
初始置换表
(2)获取子密钥Ki
子密钥的获取主要通过置换和移位运算来实现。
DES加密算法的密钥长度为56位,由用户提供,是DES算法的输入之一。
但用户输入的密钥是64位的,按8行8列从左到右从上到下地排列,其中,每行的第8位用于奇偶校验。
在DES加密算法中,子密钥获取过程中,DES经过一系列的置换和移位运算,得到Kl到K16共16个子密钥,每个子密钥长48位。
其实现过程如下:
首先将输入的64位密钥去掉最后一列的8个校验位,然后用密钥置换函数PC-l对剩下的56位密钥进行置换。
PC-1:
用户输入的64位密钥中,第8、16、24、32、40、48、56、64共8个校验位被去掉。
剩余的56位按表2所示排放:
第57位放在第1位,第49位放在第2位,依次类推。
经过PC-l置换后,将其置换的输出再分为前28位C0和后28位D0和两部分,上一轮置换得到的输出的两部分经过循环左移I位或2位后,每轮按表3进行移位,然后将两部分合并成56位,之后经过压缩置换PC-2后得到当前这轮置换的48位子密钥。
根据轮数,Ci和Di分别经过LSi循环左移1位或2位。
16次循环左移的位数依据下列规则进行:
迭代顺序
左移位数
每轮移动的位数
压缩置换PC-2
PC-2置换为压缩置换,即置换后的输出数据的位数要比置换前输入的位数要少,即某些位的数据在置换的过程中被去掉了。
由表4可知,在压缩置换过程中,原来的7行8列共58位数据被压缩成8行6列的48位数据。
在压缩置换过程中,第9、18、22、25、35、38、43、54共8位数据被丢掉。
同时,将上一轮移位后得到的两部分再按上面的每轮移动的位数进行移位,作为下一个子密钥产生的PC-2置换的输入。
依次经过16次循环左移和16次置换得到16个子密钥。
子密钥的产生流图:
(3)DES的迭代过程
DES算法有16次迭代,迭代如图所示。
从图中可得到Li=Ri-1,Ri=Li-1⊕F(Ri-1,Ki),i=1,2,3…15,16。
F函数的实现原理是将Ri-1进行扩展置换后其结果与Ki进行异或,并把输出内容执行S盒替代与P盒转换后得到F(Ri-1,Ki),其原理如下所示。
扩展置换也叫做E盒,它将数据右半部分从32位扩展到48位,改变了位的次序,重复了某些位,比原输入长了16位,数据位仍取决于原输入。
扩展置换的48位输出按顺序分成8组,每组6位,分别输入8个S子盒,每个子盒输出4位,共32位。
假设将S盒的6位的输入标记为b1、b2、b3、b4、b5、b6,则b1和b6组合构成了一个2位的数,从0到3,它对应着S表中的一行。
从b2到b5构成了一个4位的数,从0到15,对应着表中的一列,行列交汇处的数据就是该S盒的输出。
每个S盒可被看作一个4位输入的代替函数:
b2到b5直接输入,输出结果为4位,b1和b6位来自临近的分组,它们从特定的S盒的④个代替函数中选择一个。
这是该算法的关键步骤,所有其他的运算都是线性的,易于分析,而S盒是非线性的,它比DES其他任何一步提供了更好的安全性。
P盒转换是把每个输入位映射到输出位,任意一位不能被映射两次,也不能被略去。
(4)末置换
E:
P:
将(3)中8个6位数据的置换结果连在一起,形成一个32位的输出,输出结果再通过一个P盒置换产生一个32位的输出。
P盒置换如上表所示。
最后,P盒置换的结果与左半部分进行异或运算,然后将左右两半部分交换。
之后进入下一轮迭代。
在完成完全相同的16轮运算后,将得到的两部分数据合在~起,再经过一个末置换函数IP-1即可得到64位的密文。
IP-1:
DES的主要解密成果
DES的安全性完全依赖于所用的密钥,自从DES作为标准起,人们对它的安全性就有激烈的争论,下面简要介绍20年来对DES的一些主要研究成果。
(1)互补性
DES具有性质:
若明文组x逐位取补得—x密钥k逐位取补得—k,且y=DESk(x),则—y=DESk(—x),其中—y是y的逐位取补。
这种特征称为算法上的互补性。
这种互补性表明在选择明文攻击下仅需试验其可能的256个密钥的一半255个即可。
另外,互补性告诫人们不要使用互补密钥。
(2)弱密钥和半弱密钥
大多数密码都有明显的“坏”密钥,DES也不例外。
若DESk(·
)=DESk-1(·
),即如果k确定的加密函数与解密函数一致,则称k是一个弱密钥。
DES至少有4个弱密钥,因为在产生密钥时,初始密钥被分成了两半,每半各自独立的移位,如果每一半的所有位都是0或1,那么密钥方案中的所有密钥都是相同的,即k1=k2=...=k16,这样DESk(·
)。
易知,这样的情况至少有4种可能,很可能不存在其它弱密钥。
若存在一个不同的密钥k'使DESk'(·
),则称k是一个半弱密钥。
此时我们也称密钥k和k'是对合的。
半弱密钥的特点是成对地出现。
DES至少有12个半弱密钥,因为产生C0=[1010...10]和D0=[00...0]或[11...1]或[1010...10]或[0101...01]的密钥与产生C0=[0101...01]和D0=[00...0]或[11...1]或[0101...01]或[1010...10]的密钥时互为对合的,同样地与C0=[0101...01],D0=[1010...10]或D0=[0101...01]的密钥也是互为对合的,这样就至少有(4×
4+4×
2)/2=12个半弱密钥,好像不存在另外的半弱的密钥。
弱密钥和半弱密钥直接引起的唯一“危险”是对多重加密,当选用弱密钥时,第二次加密使第一次加密复原。
如果随机地选择密钥,则在总数256个密钥中,弱密钥和半弱密钥所占的比例极小,因此,弱密钥和半弱密钥的存在不会危及到DES的安全性。
(3)密文与明文、密文与密钥的相关性
一些文献详细研究了DES的输入明文与密文以及密钥与密文之间的相关性。
研究结果表明可使每个密文bit都是所有明文bit和所有密钥bit的复合函数,并且指出要达到这一要求至少需要迭代5轮。
用x2检验证明,迭代8轮后输入和输出就可认为是不相关的了。
(4)S-盒的设计
S-盒是DES算法的心脏,DES靠它实现非线性变换,关于S-盒的设计准则还没有完全公开。
许多密码学家怀疑NSA设计S-盒时隐藏了“陷门”使得只有他们在可以破译算法,但没有证据能证明这点。
在1976年,NSA披露了S-盒的下面几条设计原则:
①每一个S-盒的每一行是整数0-15的一个置换;
②每个S-盒的输出都不是它的输入的线性或仿射函数;
③改变S-盒的一个输入bit,其输出至少有2bit发生变化;
④对任何S-盒和任何输入x,s(x)和s(x
001100)至少有2bit不同(这里x是一个长度为6的bit串);
⑤对任何S-盒和任何输入x以及e,f∈{0,1},S(x)≠S(x
11ef00),其中x是一个长度为6的bit串;
⑥对任何S-盒,当它的任一输入位保持不变,其他5位输入变化时,输出数字中的0和1的总数接近相等。
(5)DES的攻击方法
目前攻击DES的主要方法有差分攻击、线性攻击和相关性密钥攻击等方法,在这些攻击方法中,线性攻击方法是最有效的一种方法。
C语言实现DES算法
1.首先,头文件与宏定义
#include
"
stdio.h"
memory.h"
time.h"
stdlib.h"
#define
PLAIN_FILE_OPEN_ERROR
-1
KEY_FILE_OPEN_ERROR
-2
CIPHER_FILE_OPEN_ERROR
-3
OK
1
2.对基本数据类型进行typedef
TypedefcharElemType;
3.初始置换表,逆初始置换表,S盒等已知数据的定义
//初始置换表IP
int
IP_Table[64]
=
{
57,49,41,33,25,17,9,1,
59,51,43,35,27,19,11,3,
61,53,45,37,29,21,13,5,
63,55,47,39,31,23,15,7,
56,48,40,32,24,16,8,0,
58,50,42,34,26,18,10,2,
60,52,44,36,28,20,12,4,
62,54,46,38,30,22,14,6};
//逆初始置换表IP-1
IP_1_Table[64]
{39,7,47,15,55,23,63,31,
38,6,46,14,54,22,62,30,
37,5,45,13,53,21,61,29,
36,4,44,12,52,20,60,28,
35,3,43,11,51,19,59,27,
34,2,42,10,50,18,58,26,
33,1,41,9,49,17,57,25,
32,0,40,8,48,16,56,24};
//扩充置换表E
E_Table[48]
{31,0,1,2,3,4,
3,4,5,6,7,8,
7,8,9,10,11,12,
11,12,13,14,15,16,
15,16,17,18,19,20,
19,20,21,22,23,24,
23,24,25,26,27,28,
27,28,29,30,31,0};
//置换函数P
P_Table[32]
{15,6,19,20,28,11,27,16,
0,14,22,25,4,17,30,9,
1,7,23,13,31,26,2,8,
18,12,29,5,21,10,3,24};
//S盒
S[8][4][16]
=//S1
{{{14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7},
{0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8},
{4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0},
{15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13}},
//S2
{{15,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10},
{3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5},
{0,14,7,11,10,4,13,1,5,8,12,6,9,3,2,15},
{13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9}},
//S3
{{10,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8},
{13,7,0,9,3,4,6,10,2,8,5,14,12,11,15,1},
{13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7},
{1,10,13,0,6,9,8,7,4,15,14,3,11,5,2,12}},
//S4
{{7,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15},
{13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9},
{10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4},
{3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14}},
//S5
{{2,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9},
{14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6},
{4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14},
{11,8,12,7,1,14,2,13,6,15,0,9,10,4,5,3}},
//S6
{{12,1,10,15,9,2,6,8,0,13,3,4,14,7,5,11},
{10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8},
{9,14,15,5,2,8,12,3,7,0,4,10,1,13,11,6},
{4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13}},
//S7
{{4,11,2,14,15,0,8,13,3,12,9,7,5,10,6,1},
{13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6},
{1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2},
{6,11,13,8,1,4,10,7,9,5,0,15,14,2,3,12}},
//S8
{{13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7},
{1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2},
{7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8},
{2,1,14,7,4,10,8,13,15,