DES算法的实现及安全性分析文档格式.docx

DES算法的实现及安全性分析文档格式.docx

《DES算法的实现及安全性分析文档格式.docx》由会员分享，可在线阅读，更多相关《DES算法的实现及安全性分析文档格式.docx（30页珍藏版）》请在冰点文库上搜索。

在相信复杂函数可以通过简单函数迭代若干圈得到的原则下，利用F函数及对合等运算，充分利用非线性运算。

DES以64位为分组对数据加密。

每组64位，最后一组若不足64位，以“0”补齐。

密钥通常表示为64位的数，但每个第8位都用作奇偶校验，可以忽略，所以密钥的长度为56位，密钥可以是任意的56位的数，且可在任意的时候改变。

其中极少量的数被认为是弱密钥，但能容易地避开它们，所有的保密性依赖于密钥。

DES算法的基本思想

DES对64位的明文分组进行操作。

通过一个初始置换，将明文分组分成左半部分（L0）和右半部分（R0），各32位长。

R0与子密钥K1进行F函数的运算，输出32位的数，然后与L0执行异或操作得到R1,L1则是上一轮的R0,如此经过16轮后，左、右半部分合在一起，经过一个末置换（初始置换的逆置换），这样该算法就完成了。

DES算法剖析

DES算法的加密由四部分完成，分别为：

初始置换函数IP、子密钥的生成、密码函数F、末置换函数。

初始置换函数IP接受长度为64位的明文输入，末置换函数IP一1输出64位的密文。

在子密钥的获取过程中，通过密钥置换Pc—l获取从Kl到K16共16个子密钥，这16个子密钥分别顺序应用于密码函数的16次完全相同的迭代运算中。

DES的解密算法与加密算法完全相同，只需要将密钥的应用次序与加密时相反应用即可。

即解密过程是初始置换函数IP接受长度为64比特的密文输入，将16个子密钥按照K16到K1的顺序应用与函数F的16轮迭代运算中，然后将迭代的结果经由末置换函数IP．1得到64位的明文输出。

DES算法运算过程

DES主要采用置换和移位运算来实现加解密，接下来深入剖析DES每个部分运算的实现过程。

（1）初始置换函数IP

64位的明文分组x首先经过一个初始置换函数IP进行置换运算，产生一个64位的输出x0，该输出被分成两个分别为32位的左半部分L0和右半部分RO，用于F函数的16轮迭代运算的首次迭代的初始输入。

初始置换函数IP实际上就是一张8x8（8行8列）的迭代表，如表I所示。

明文分组中的64位按照表中的规定重新进行排序，其排列顺序为从左到右，从上到下。

按表I所示，明文中的第58位被放置在xO的第1位，第50位防止在第2位，依次类推。

58

50

42

34

26

18

10

2

60

52

44

36

28

20

12

4

62

54

46

38

30

22

14

6

64

56

48

40

32

24

16

8

57

49

41

33

25

17

9

1

59

51

43

35

27

19

11

3

61

53

45

37

29

21

13

5

63

55

47

39

31

23

15

7

IP:

初始置换表

（2）获取子密钥Ki

子密钥的获取主要通过置换和移位运算来实现。

DES加密算法的密钥长度为56位，由用户提供，是DES算法的输入之一。

但用户输入的密钥是64位的，按8行8列从左到右从上到下地排列，其中，每行的第8位用于奇偶校验。

在DES加密算法中，子密钥获取过程中，DES经过一系列的置换和移位运算，得到Kl到K16共16个子密钥，每个子密钥长48位。

其实现过程如下：

首先将输入的64位密钥去掉最后一列的8个校验位，然后用密钥置换函数PC-l对剩下的56位密钥进行置换。

PC-1：

用户输入的64位密钥中，第8、16、24、32、40、48、56、64共8个校验位被去掉。

剩余的56位按表2所示排放：

第57位放在第1位，第49位放在第2位，依次类推。

经过PC-l置换后，将其置换的输出再分为前28位C0和后28位D0和两部分，上一轮置换得到的输出的两部分经过循环左移I位或2位后，每轮按表3进行移位，然后将两部分合并成56位，之后经过压缩置换PC-2后得到当前这轮置换的48位子密钥。

根据轮数，Ci和Di分别经过LSi循环左移1位或2位。

16次循环左移的位数依据下列规则进行：

迭代顺序

左移位数

每轮移动的位数

压缩置换PC-2

PC-2置换为压缩置换，即置换后的输出数据的位数要比置换前输入的位数要少，即某些位的数据在置换的过程中被去掉了。

由表4可知，在压缩置换过程中，原来的7行8列共58位数据被压缩成8行6列的48位数据。

在压缩置换过程中，第9、18、22、25、35、38、43、54共8位数据被丢掉。

同时，将上一轮移位后得到的两部分再按上面的每轮移动的位数进行移位，作为下一个子密钥产生的PC-2置换的输入。

依次经过16次循环左移和16次置换得到16个子密钥。

子密钥的产生流图：

（3）DES的迭代过程

DES算法有16次迭代，迭代如图所示。

从图中可得到Li=Ri-1，Ri=Li-1⊕F（Ri-1,Ki）,i=1,2,3…15,16。

F函数的实现原理是将Ri-1进行扩展置换后其结果与Ki进行异或，并把输出内容执行S盒替代与P盒转换后得到F（Ri-1,Ki）,其原理如下所示。

扩展置换也叫做E盒，它将数据右半部分从32位扩展到48位，改变了位的次序，重复了某些位,比原输入长了16位，数据位仍取决于原输入。

扩展置换的48位输出按顺序分成8组，每组6位，分别输入8个S子盒，每个子盒输出4位，共32位。

假设将S盒的6位的输入标记为b1、b2、b3、b4、b5、b6，则b1和b6组合构成了一个2位的数，从0到3，它对应着S表中的一行。

从b2到b5构成了一个4位的数，从0到15，对应着表中的一列，行列交汇处的数据就是该S盒的输出。

每个S盒可被看作一个4位输入的代替函数：

b2到b5直接输入，输出结果为4位，b1和b6位来自临近的分组，它们从特定的S盒的④个代替函数中选择一个。

这是该算法的关键步骤，所有其他的运算都是线性的，易于分析，而S盒是非线性的，它比DES其他任何一步提供了更好的安全性。

P盒转换是把每个输入位映射到输出位，任意一位不能被映射两次，也不能被略去。

（4）末置换

E:

P：

将（3）中8个6位数据的置换结果连在一起，形成一个32位的输出，输出结果再通过一个P盒置换产生一个32位的输出。

P盒置换如上表所示。

最后，P盒置换的结果与左半部分进行异或运算，然后将左右两半部分交换。

之后进入下一轮迭代。

在完成完全相同的16轮运算后，将得到的两部分数据合在～起，再经过一个末置换函数IP-1即可得到64位的密文。

IP-1：

DES的主要解密成果

DES的安全性完全依赖于所用的密钥，自从DES作为标准起，人们对它的安全性就有激烈的争论，下面简要介绍20年来对DES的一些主要研究成果。

（1）互补性

DES具有性质：

若明文组x逐位取补得—x密钥k逐位取补得—k，且y=DESk（x）,则—y=DESk（—x），其中—y是y的逐位取补。

这种特征称为算法上的互补性。

这种互补性表明在选择明文攻击下仅需试验其可能的256个密钥的一半255个即可。

另外，互补性告诫人们不要使用互补密钥。

（2）弱密钥和半弱密钥

大多数密码都有明显的“坏”密钥，DES也不例外。

若DESk（·

）=DESk-1（·

），即如果k确定的加密函数与解密函数一致，则称k是一个弱密钥。

DES至少有4个弱密钥，因为在产生密钥时，初始密钥被分成了两半，每半各自独立的移位，如果每一半的所有位都是0或1，那么密钥方案中的所有密钥都是相同的，即k1=k2=...=k16，这样DESk（·

）。

易知，这样的情况至少有4种可能，很可能不存在其它弱密钥。

若存在一个不同的密钥k＇使DESk＇（·

），则称k是一个半弱密钥。

此时我们也称密钥k和k＇是对合的。

半弱密钥的特点是成对地出现。

DES至少有12个半弱密钥，因为产生C0=[1010...10]和D0=[00...0]或[11...1]或[1010...10]或[0101...01]的密钥与产生C0=[0101...01]和D0=[00...0]或[11...1]或[0101...01]或[1010...10]的密钥时互为对合的，同样地与C0=[0101...01],D0=[1010...10]或D0=[0101...01]的密钥也是互为对合的，这样就至少有（4×

4＋4×

2）／2=12个半弱密钥，好像不存在另外的半弱的密钥。

弱密钥和半弱密钥直接引起的唯一“危险”是对多重加密，当选用弱密钥时，第二次加密使第一次加密复原。

如果随机地选择密钥，则在总数256个密钥中，弱密钥和半弱密钥所占的比例极小，因此，弱密钥和半弱密钥的存在不会危及到DES的安全性。

（3）密文与明文、密文与密钥的相关性

一些文献详细研究了DES的输入明文与密文以及密钥与密文之间的相关性。

研究结果表明可使每个密文bit都是所有明文bit和所有密钥bit的复合函数，并且指出要达到这一要求至少需要迭代5轮。

用x2检验证明，迭代8轮后输入和输出就可认为是不相关的了。

（4）S-盒的设计

S-盒是DES算法的心脏，DES靠它实现非线性变换，关于S-盒的设计准则还没有完全公开。

许多密码学家怀疑NSA设计S-盒时隐藏了“陷门”使得只有他们在可以破译算法，但没有证据能证明这点。

在1976年，NSA披露了S-盒的下面几条设计原则：

①每一个S-盒的每一行是整数0-15的一个置换；

②每个S-盒的输出都不是它的输入的线性或仿射函数；

③改变S-盒的一个输入bit，其输出至少有2bit发生变化；

④对任何S-盒和任何输入x，s（x）和s（x

001100）至少有2bit不同（这里x是一个长度为6的bit串）；

⑤对任何S-盒和任何输入x以及e，f∈{0,1},S（x）≠S（x

11ef00），其中x是一个长度为6的bit串；

⑥对任何S-盒，当它的任一输入位保持不变，其他5位输入变化时，输出数字中的0和1的总数接近相等。

（5）DES的攻击方法

目前攻击DES的主要方法有差分攻击、线性攻击和相关性密钥攻击等方法，在这些攻击方法中，线性攻击方法是最有效的一种方法。

C语言实现DES算法

1.首先，头文件与宏定义

#include 

"

stdio.h"

memory.h"

time.h"

stdlib.h"

#define 

PLAIN_FILE_OPEN_ERROR 

-1 

KEY_FILE_OPEN_ERROR 

-2 

CIPHER_FILE_OPEN_ERROR 

-3 

OK 

1 

2.对基本数据类型进行typedef

TypedefcharElemType;

3.初始置换表，逆初始置换表，S盒等已知数据的定义

//初始置换表IP 

int 

IP_Table[64] 

= 

{ 

57,49,41,33,25,17,9,1, 

59,51,43,35,27,19,11,3, 

61,53,45,37,29,21,13,5, 

63,55,47,39,31,23,15,7, 

56,48,40,32,24,16,8,0, 

58,50,42,34,26,18,10,2, 

60,52,44,36,28,20,12,4, 

62,54,46,38,30,22,14,6};

//逆初始置换表IP-1 

IP_1_Table[64] 

{39,7,47,15,55,23,63,31, 

38,6,46,14,54,22,62,30, 

37,5,45,13,53,21,61,29, 

36,4,44,12,52,20,60,28, 

35,3,43,11,51,19,59,27, 

34,2,42,10,50,18,58,26, 

33,1,41,9,49,17,57,25, 

32,0,40,8,48,16,56,24};

//扩充置换表E 

E_Table[48] 

{31,0,1,2,3,4, 

3,4,5,6,7,8, 

7,8,9,10,11,12, 

11,12,13,14,15,16, 

15,16,17,18,19,20, 

19,20,21,22,23,24, 

23,24,25,26,27,28, 

27,28,29,30,31,0};

//置换函数P 

P_Table[32] 

{15,6,19,20,28,11,27,16, 

0,14,22,25,4,17,30,9, 

1,7,23,13,31,26,2,8, 

18,12,29,5,21,10,3,24};

//S盒 

S[8][4][16] 

=//S1 

{{{14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7}, 

{0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8}, 

{4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0}, 

{15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13}}, 

//S2 

{{15,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10}, 

{3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5}, 

{0,14,7,11,10,4,13,1,5,8,12,6,9,3,2,15}, 

{13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9}}, 

//S3 

{{10,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8}, 

{13,7,0,9,3,4,6,10,2,8,5,14,12,11,15,1}, 

{13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7}, 

{1,10,13,0,6,9,8,7,4,15,14,3,11,5,2,12}}, 

//S4 

{{7,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15}, 

{13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9}, 

{10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4}, 

{3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14}}, 

//S5 

{{2,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9}, 

{14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6}, 

{4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14}, 

{11,8,12,7,1,14,2,13,6,15,0,9,10,4,5,3}}, 

//S6 

{{12,1,10,15,9,2,6,8,0,13,3,4,14,7,5,11}, 

{10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8}, 

{9,14,15,5,2,8,12,3,7,0,4,10,1,13,11,6}, 

{4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13}}, 

//S7 

{{4,11,2,14,15,0,8,13,3,12,9,7,5,10,6,1}, 

{13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6}, 

{1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2}, 

{6,11,13,8,1,4,10,7,9,5,0,15,14,2,3,12}}, 

//S8 

{{13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7}, 

{1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2}, 

{7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8}, 

{2,1,14,7,4,10,8,13,15,