1 / 35

密碼學與網路安全 第 3 章 區塊加密法及 資料加密標準

密碼學與網路安全 第 3 章 區塊加密法及 資料加密標準. 現代區塊加密法. 最廣為使用的密碼演算法 提供保密 secrecy / 認證 authentication 服務 最廣為使用的 DES DES :資料加密標準( Data Encryption Standard ). 區塊與串流加密法. 區塊加密法 會將一小段明文視為一體,然後產生長度相同的密文區塊 每個區塊的大小通常是 64 或 128 位元 串流加密法 是一次加密資料流裡的一個位元或是位元組 ( 如維吉尼亞加密法 ) 目前許多加密法都是區塊加密法 與網路相關的對稱式密碼應用,大多使用區塊加密技術.

rex
Download Presentation

密碼學與網路安全 第 3 章 區塊加密法及 資料加密標準

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 密碼學與網路安全第3章 區塊加密法及資料加密標準

  2. 現代區塊加密法 • 最廣為使用的密碼演算法 • 提供保密 secrecy / 認證authentication服務 • 最廣為使用的DES • DES:資料加密標準(Data Encryption Standard)

  3. 區塊與串流加密法 • 區塊加密法會將一小段明文視為一體,然後產生長度相同的密文區塊 • 每個區塊的大小通常是64或128位元 • 串流加密法是一次加密資料流裡的一個位元或是位元組(如維吉尼亞加密法) • 目前許多加密法都是區塊加密法 • 與網路相關的對稱式密碼應用,大多使用區塊加密技術

  4. 區塊加密法 • 大多數對稱式區塊加密演算法都是以菲仕托(飛石頭)區塊加密架構Feistel Cipher Structure為基礎 • 區塊加密法會對n位元的明文區塊,產生n位元的密文區塊 • 明文區塊可能會有2n種,若要讓加密程序可逆,就必須讓每個明文區塊產生唯一的密文區塊

  5. 理想的區塊加密法(任意替代)

  6. 理想的區塊加密法問題 • 請問前一圖的金鑰的大小為何? • 區塊小  易被破解,退化成單套字母加密法。 • 區塊大會如何?

  7. 夏農Shannon的替代與重排加密 • 夏農在1949年的論文提出(S-P) network「替代-重排網路」的想法 • 替代運算(S-box) • 重排運算(P-box) • 以「混淆」和「擴散」 confusion & diffusion 等兩種函數來建構乘積加密法

  8. 混淆和擴散Confusion and Diffusion • 夏農的著眼點是要抵擋統計分析的攻擊破解 • 夏農的理想加密法是密文的統計資訊與金鑰本身完全無關(圖3.1之任意加密法屬之) • 擴散 - 明文的統計結構會消失在密文的廣泛統計資訊裡 (把明文與密文間的關係弄複雜) • 方法:每個明文的位元會影響很多的密文位元 • 混淆 - 要把密文的統計結果與金鑰之間的關係盡量弄得複雜 • 目的都是為了避免金鑰被發現

  9. 菲仕托加密架構 • 由Horst Feistel根據可逆的乘積(product)加密法所設計 • 輸入是長度為2w位元的明文區塊以及金鑰K • 明文區塊分成L0、R0兩部分,這兩部分經過n回合的處理之後,會結合而成為密文區塊 • 實作了夏農的替代與重排運算

  10. 菲仕托加密架構 • 替代運算 • 會先將右半部資料代入「回合函數 round function」F,再以XOR運算結合F的結果和左半部的資料 • 每一回合的回合函數都相同,但輸出會受到子金鑰Ki影響 • 重排運算 • 替代運算完成之後,接著會執行重排運算 ,也就是對調左右兩部分的資料

  11. 菲仕托加密設計元素 • 設計參數 • 區塊大小 (DES 64, AES 128) • 金鑰大小 (128) • 回合個數 (16) • 子金鑰產生演算法 • 回合函數 • 額外考量 • 快速軟體加解密 • 演算法要容易分析(但DES沒有)

  12. (明文) 菲仕托解密演算法 • 將加密演算法相反順序執行即成解密演算法 • 密文為輸入 • 相反順序用金鑰 • 正確性證明 • 加密: LE16 = RE15 RE16 = LE15 F(RE15, K16) • 解密: LD1 = RD0 = LE16 = RE15 RD1 = LD0F(RD0, K16) = RE16F(RE15, K16) = [LE15 F(RE15, K16) ] F(RE15, K16) = LE15 出題紙筆練習 (密文)

  13. 資料加密標準(DES) • 目前最廣為使用的區塊加密法 • 在1997年由美國國家標準局(NBS, National Bureau of Standards )採用 • NBS現更名為美國國家標準與技術研究院(NIST, National Institute of Standards and Technology) • DES是NIST發佈的第46項聯邦資訊處理標準(FIPS PUB 46) • 以56位元的金鑰加密64位元的資料區塊 • DES非常廣為使用,因此安全性也就成為爭論不休的話題

  14. DES的歷史 • IBM發展出路塞佛Lucifer魔王加密法 • 由菲仕托在60年代末期主持的計畫 • 以128位元金鑰長度作用在64位元資料區塊 • 再與美國國家安全局的專家發展出商業化產品 • 美國國家標準局在1973年公開徵求美國國家加密標準 • IBM以Tuchman 和Meyer的計畫成果參加徵選。實作於單晶片中,金鑰變為56位元,在1977年被美國國家標準局採用,即是DES

  15. DES的設計爭議 • DES成為標準之前就遭受強烈的批評 • 至今這些批評都尚未平息: • LUCIFER使用128位元金鑰,但提交的版本卻是56位元金鑰 • DES內部架構的設計規範(也就是S-boxes)被列為機密 • 不過後來的一些事件似乎顯示DES的內部架構非常強固 • 業界依然廣泛使用DES • 尤其是金融方面的應用 • NIST建議將DES用在傳統的舊系統

  16. DES加密流程 • 64bit啟始金鑰中後來只用56bit,8bit可當同位元檢查 • 序列金鑰產生方式 • 循環左移 • 重排 Feistel 架構

  17. 啟始重排程序(IP) IP 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 IP-1 40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 • DES加密運算的第一階段 • IP會重新組合輸入的資料位元 • 偶數位元排到左半部,奇數位元排到右半部 • 範例: IP(675a6967 5e5a6b5a) = (ffb2194d 004df6fb)

  18. DES的回合結構 • 使用L(左)、R(右)各32位元資料 • 如同任何標準的菲仕托加密法,每個回合的處理程序都可表示成以下的方程式: Li= Ri–1 Ri= Li–1 F(Ri–1, Ki) • 回合金鑰Ki是48位元,輸入的R是32位元: • R會以擴充式重排程序(E)擴充成48位元 • 產生的48位元會與Ki進行XOR運算 • 結果會以重排函數(P)傳給替代程序,替代程序會產生32位元的輸出

  19. P 16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25 E BIT-SELECTION TABLE 32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 DES的F function

  20. S1 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13 替代運算S-boxes • 整個替代運算是由8個S-boxes所組成 • 每個S-boxes接受6位元的輸入,產生4位元的輸出: • 輸入到盒子Si的第一個與最後一個位元,組合成一個2位元的二進位數值 • 中間4個位元所形成的數值會用來選取表格裡16行的某一行 • 由此行列選出的十進位數值,會表示成4位元的二進位形式輸出 • 範例:S1(011011) = 0101

  21. PC-1 57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4 PC-2 14 17 11 24 1 5 3 28 15 6 21 10 23 19 12 4 26 8 16 7 27 20 13 2 41 52 31 37 47 55 30 40 51 45 33 48 44 49 39 56 34 53 46 42 50 36 29 32 產生金鑰 • 產生每一回合所用的子金鑰 • 64 bit 金鑰經「重排選擇1」(PC-1)變成56bit • 產生的56位元金鑰會分成兩段各28位元的資料 • 每一回合的資料都會分別循環左移(或向左旋轉)一或兩個位元 • 移動過的值會成為下一回合的輸入,也會是「重排選擇2」(PC-2)的輸入 • PC-2會產生48位元的輸出,此輸出也是函數F(Ri–1, Ki)的輸入

  22. DES解密 • DES的解密演算法幾乎與加密相同 • 除了要反向使用子金鑰

  23. 崩塌效應Avalanche Effect • 任何加密演算法會因明文或金鑰的細微變動,會造成密文的重大變化 • 如果變化很小,就減少了明文或金鑰被找到的機會 • DES就具備了很強的崩塌效應

  24. DES的強度- 金鑰長度 • 56位元的金鑰可以有256把可能的金鑰,數量大約是7.2 × 1016 • 表面上來看,暴力攻擊法似乎不可行 • 但是recent advances have shown is possible • 在1997年只需要幾個月 • 在1998年的特定硬體(EFF)只需要幾天 • 在1999年只需要幾天 • 破解金鑰不只是找出所有可能的金鑰,還必須能夠正確辨認出明文 • 已經必須考慮DES的替代方案

  25. DES演算法的本質 • 必須考量破解者根據DES演算法的特性而能破解的可能性 • 重點在每個回合重複使用的8個取代表格(S-boxes) • DES的攻擊手法: • 計時破解法 • 差異破解法 • 線性破解法 • 相關的金鑰攻擊

  26. DES的強度 - 計時破解法 • 加密或解密演算法的執行時間,會隨著輸入的不同而有輕微的差異 • 計時破解法就根據解密的執行時間,而獲取金鑰或明文的相關資訊 • 原因:金鑰位元中為1的個數會影響加解密的時間 • 目前尚未利用此法破解

  27. 差異破解法 • 差異破解法是近幾年密碼破解領域最大的發展 • 早在1974年DES的設計人員就已經知道差異破解法 • Murphy(墨兒飛)、Biham & Shamir都在90年代發表過論文 • 破解區塊加密的有力工具 • 是第一個能夠在複雜度低於255就破解DES的方法(需要247個選定明文) • DES的S-boxes和重排函數P能夠抵擋差異破解法

  28. 差異破解法 • 差異破解法很複雜。簡單來說,是藉由觀察加密法每一回合對一組文字區塊所作的行為 • 我們先改變DES的表示法,將原本的明文區塊m分為m0與m1 • 如果將每回合產生的新區塊命名為mi (2 ≦ i ≦ 17),中間的訊息就有以下的關聯:

  29. 差異破解法 • 先從m與m‘兩個訊息開始使用差異破解法 • 它們之間的XOR差距是∆m = m ⊕ m‘,而且中間形式的一半差距為∆m = mi⊕ mi‘,即可得到:

  30. 差異破解法 • 差異破解法的整體策略是以單一回合為基礎 • 破解的程序會先選取特定差距的兩段明文m與m‘ • 再追蹤每個回合 • 看某個輸入差距樣式會產生出什麼密文差距樣式 • 在不知道金鑰的情況下實際加密m與m‘來觀察輸出的差距 • 再比較結果與之前得到的密文差距樣式

  31. 線性破解法 • 線性破解法是最近所發展的破解技巧 • 原理是尋找描述DES轉換行為的線性近似值,用這個方法來破解DES的金鑰 • 需要243個已知明文(差異破解法需要247個選定明文 ) • 雖有進步,但少有研究指出其為有效

  32. 線性破解法 • 線性破解法的目的是找到具有以下形式的有效線性方程式: P[i1,i2,...,ia]  C[j1,j2,...,jb] = K[k1,k2,...,kc] ia,jb,kc是P、C、K裡固定且唯一的位元位置 • 能得到金鑰位元的線性方程式 • 還可以試著找出更多類似的關係來解出金鑰位元

  33. S1 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13 DES的設計標準 • 由Coppersmith在1994年提出 [COPP94] • 7項S-boxes的設計準則 • 任何輸出位元不應是其輸入位元的線性函數 • S-boxes每列應包含所有可能的16種輸出組合 • 3項重排程序P的設計準則 • 目的是希望增加這個演算法的混淆程度

  34. 區塊加密法的設計 • 菲仕托加密法的強度來自 • 回合數、函數F、產生金鑰的演算法 • 即使函數F很脆弱,但只要回合數夠多就不易破解 • 函數F的基本原則 • 函數F的演算法應具有很好的崩塌效應,而所產生的結果必須是難以復原 • S-boxes之間的關係應該是非線性,而且應該無法以線性函數來逼近模擬 • 崩塌準則

  35. 總結 • 區塊與串流加密法的異同 • 菲仕托 • DES • 差異破解與線性破解 • 區塊加密的設計原則

More Related