PDF《 五、DES解密算法》

?

五、DES解密算法 ? DES算法的解密算法是相当简单的,算法本 身无显著改变,只需将十六个子密钥顺序颠 倒过来,即K15, K14,…K0.

轮函数F中L和R 互换,即:Ri=Li-1,Li=Ri-1 ?F(Li-1,Ki-1). ? 定理3.1:DES的解密算法是正确的. ?

六、安全性分析 ? DES存在下列问题: ? (1)有效密钥位只有56bit,在当前计算能 力下,不能保证足够的安全度. ? (2)代换部件S盒的设计虽然不是线性的, 但也不是随机的,有些密码学家认为可 能隐藏了某些陷门. ? (3)存在弱密钥和半弱密钥.DES算法在每 轮中都需使用一个子密钥.如果由给定的主 密钥k所产生的子密钥k1=k2=…=k16,就称k 为弱密钥.弱密钥有以下四种(16进制): ?

01 01

01 01

01 01

01 01 ? 1F 1F 1F 1F 0E 0E 0E 0E ? E0 E0 E0 E0 F1 F1 F1 F1 ? FEFE FE FE FE FE FE FE ? 若由给定的主密钥k所产生的子密钥只有两种形式,且每 种都出现8次,称为半弱密钥. ? 半弱密钥成对出现的,且具有下述性质:若k1和k2是一对 互逆的半弱密钥,x为明文,则有DESk2 (DESk1 (x)) =DESk1 (DESk2 (x))=x.半弱密钥共有12个,6对, ?

01 FE

01 FE

01 FE

01 FE ? E

01 FE

01 FE

01 FE

01 ? 1F E0 1F E0 0E F1 0E F1 ? E0 1F E0 1F F1 0E F1 0E ?

01 E0

01 E0

01 F1

01 F1 ? E0

01 E0

01 F1

01 F1

01 ? 1F FE 1F FE 0E FE 0E FE ? FE 1F FE 1F FE 0E FE 0E ?

01 1F

01 1F

01 0E

01 0E ? 1F

01 1F

01 0E

01 0E

01 ? E0 FE E0 FE F1 FE F1 FE ? FE E0 FE E0 FE F1 FE F1 ? 穷举搜索密钥. ? 64bit密钥的DES,其密钥量为256?7.2?1016 ? 假定DES加密操作需时5?s,则需要1.1?104 年才能穷尽密钥. ? Diffe和Hellman提出专用机的设想,将100 万个专用芯片并行运算,以每秒1012密钥的 速度,搜索遍256个密钥,这只需一天即可 完成,估计成本在2000万到7000万美元之间. ? 将这么多的芯片连在一起工作,其平均故障 时间将是很短的,故这种方法并不现实. ? 随着计算技术和互联网的发展,64bit密钥的DES 穷举搜索在今天已成为确实可行之事. ? 1997年,RSA数据安全公司悬赏1万美元破译 DES, ? DESCHALL小组经过近四个月的努力,通过互 联网搜索了3?1016个密钥找到了密钥. ?

1998 年5月,美国EFF(Electronic Frontier Foundation)宣布,用一台价值20万美元的计算机 改装的专用解密机,用了56小时破译了RSA数据 安全公司悬赏1万美元破译了64bit密钥的DES. ? 在目前计算能力下,64bit密钥的DES已难于抗穷 举搜索攻击,必须使用新的加密算法.

七、双重DES ? 双重DES是用两个56位的密钥对明文进 行两次DES加密 ? C=EK2[EK1[P]] ? P=DK1[Dk2[C]] ? 已经证明两重DES不能通过一个DES来 进行替代,所以密钥有效长度是112位. ? 中途攻击 ? 利用X=EK1[P]=Dk2[C] ? 首先用256个可能的密钥加密P,并排序 ? 然后用256个可能的密钥解密C,进行匹配 ? 对于匹配成功的再使用新的明文密文对进 行攻击. ? 两个已知明文密文对能较少误报率到2-16. ? 攻击总量是256,近似于DES算法. ? 三重DES加密 ? 这种方式里使用三(或两)个不同的密钥对数据块进行三次(或 两次)加密.三重DES的强度大约和112-bit的密钥强度相当. 三重DES有四种模型: ? DES-EEE3 使用三个不同密钥顺序进行三次加密变换 ? DES-EDE3 使用三个不同密钥依次进行加密-解密-加密变 换?DES-EEE2 其中密钥K1=K3 顺序进行三次加密变换 ? DES-EDE2 其中密钥K1=K3 依次进行加密-解密-加密变 换 到目前为止,还没有人给出攻击三重DES的有效方法.对其 密钥空间中密钥进行蛮干搜索,那么由于空间太大,这实际 上是不可行的. 三重DES 3.2.3 SAFER加密算法 ? 瑞士联邦技术学院信号信息处理实验室 的James L. Massey提出了一种使用64比 特密钥、安全而快速的分组加密算法: SAFER K-64. ?