分组密码（三）DES 算法— 密码学复习（六）

在介绍完Feistel结构之后，接下来进入到著名的DES算法。

6.1 DES算法的意义

在正式介绍DES之前，首先介绍几个重要的历史时间节点。

① 1973年，美国国家标准局(NBS)向社会公开征集加密算法，一直盯加密算法标准。

② 1974年，第二次征集。

③ 1975年，选中IBM的算法，公布征求意见。

④ 1977年1月15日正式颁布。

⑤ 1998年底以后停用。

⑥ 1999年颁布3DES为新标准。

标准加密算法的目标：

① 用于保护政府机构和商业部门的非机密的敏感数据。

② 用于加密保护静态存储和传输信道中的数据。

③ 安全使用10~15年。

DES算法是单射的分组密码算法，是密码学发展的一个重要的阶段（现代密码学诞生的标志之一），对算法的标准化研究和分组密码的发展有重大意义。

目前攻击DES的最有效的办法是密钥穷举攻击。

6.2 DES算法概述

密码的整体特点：

① 分组密码：明文、密文和密钥的分组长度都是64位。

② 面向二进制数据的密码算法：因而能够加解密任何形式的计算机数据。

③ 对合运算：加解密使用同一个算法，使工程量减半。

④ 综合运用了置换、代替、代数等基本密码技术。

⑤ 基本结构属于Feistel结构。

首先，简单看一下DES算法的整体结构，其主要由初始置换IP、轮函数、逆初始置换IP^-1以及密钥扩展算法组成。这里直接放上书上的图。

DES算法时迭代型分组密码算法，16轮的Feistel型密码基本参数：

·分组长度：64比特

·密钥长度：64比特

·有效密钥长度：56比特（8比特校验位）

·迭代圈数：16圈

·圈密钥长度：48比特

DES加密标准的核心是采用Fesitel结构。明文分组长度是64比特，初始密钥长度也是64比特（实际上采用的是56比特，8比特校验位），循环轮数为16轮。

6.3 Fesitel型密码

Fesitel模型的优缺点：

优点：设计容易，f函数不要求可逆。

缺点：轮变换有一半的输入没有改变，左右块的处理不能并行实施。

6.4 DES中的轮函数 f(A,J)

A为32比特串，J为48比特串，输出为f(A,J)为32比特串。

① A根据一个固定扩展函数E扩展成一个长为48比特串E(A).

② 计算E(A)⊕J,并将所得结果分成8个长为6的比特串，记为B=B₁B₂B₃B₄B₅B₆B₇B₈.

③ 使用8个S盒S₁,S₂,...,S₈,每个S盒为6进4出。用4×16矩阵描述。

对 B_j = b₁b₂b₃b₄b₅b₆ 计算 S_j(B_j)

b₁b₆对应S_j的行

b₂b₃b₄b₅对应S_j的列

对应二进制表示 C_j=S_j(B_j)

例：有 B₁ = 100110

此时有 b₁b₆=10，b₂b₃b₄b₅=0011.则对应第2行第3列（序号从0开始）。

查找S盒找到对应的数字——8.故S₁(B₁)=1000.

④ 将长为32比特的 C=C₁C₂...C₈通过固定置换P（P盒）：

P(C) = f(A,J)

扩展变换 —— E盒扩展

作用：将输入的32比特扩展为48比特。

扩展方式：分别将第i-1块最右比特和第i+1块最左比特添加到第i块的左边和右边。形成输出的第i个6比特块。

S盒

S盒代替是DES算法中唯一的非线性变换。在DES算法中起核心作用。

S盒的设计标准对于实现DES算法的安全性，对于实现混乱和扩散原则，对于保障DES算法的密码强度，具有十分重要的作用。

S盒只要稍微改变，其密码强度就会大大改变。

P盒

P盒的设计特点：

① P盒的各输入块的4比特都分配到不同的输出块中。

② P盒的各输出块的4比特都来自不同的输入块。

6.5 轮密钥产生

轮密钥的产生主要包含三个部分：

① 置换选择1 （64比特 -> 56比特，去掉8比特奇偶校验位）

② 循环移位（分左28比特，右28比特）

③ 置换选择2 （56比特 -> 48比特）

最终得到 16 个 48比特的轮密钥。

① 置换选择1

作用：去掉密钥中8比特奇偶校验位；打乱重排，形成C₀（左28比特）、D₀（右28比特）。

② 循环移位

作用：对C_i、D_i分别循环左移位。

③ 置换选择2

作用：从C_i和D_i（56比特）中选择出一个48比特的子密钥K_i.

说明：从C_i中取24比特，D_i中取24比特。

6.6 加密过程

加密过程可以简单分为三个部分：①初始置换IP ②16轮Feistel结构 ③逆初始置换IP^-1

① 初始置换 IP

作用：把64位明文打乱重排。

注意：IP中的置换是有规律的，则对保密是不利的。

② 逆初始置换 IP^-1

作用：把64位中间密文打乱重排，形成最终64位密文。

相逆性：IP 与 IP^-1互逆

如：在IP中把输入的第1位置换到第40位，而在IP^-1中把输入的第40位置换到第1位。

但保密作用不大。由于没有密钥参与，在IP与IP^-1公开的条件下，其保密意义不大。

③ 16轮Feistel结构

（a）扩展置换E

作用：把32位输入扩充为48位中间数据，通过重复使用数据，实现数据扩充。

（b）代替函数组S（S盒）

S盒的一般性质：

S盒是DES中唯一的非线性变换，是DES安全的关键。

在保密性方面，起混淆作用。

共有8个S盒，并行作用。

每个S盒有6个输入，4个输出，是非线性压缩变换。

改变S和任一输入比特，其输出至少2比特发生改变。

其他准则：

非线性准则：S盒必须有足够的非线性度，否则不能抵抗线性攻击。

差分均匀性准则：S盒的差分性应均匀，否则不能抵抗差分攻击。

代数次数及项数分布准则：S盒必须有足够的代数次数和项数，否则不能抵抗插值攻击和高阶差分攻击。

S盒的密码学特性保证了DES的安全。

（c）置换运算P

把数据打乱重排。

在保密性方面，其扩散作用。因为S盒是6位输入，4位输出，其非线性作用是局部的，因此需要把S盒的混淆作用扩散开来。

S盒和P盒相互配合，共同确保DES安全。

6.7 解密过程

DES的加密算法是对合运算，因此解密和加密可以共用同一个算法。

不同点：子密钥的使用顺序不同

第一次解密迭代使用子密钥K₁₆，第二次解密迭代使用子密钥K₁₅，...，第十六次解密迭代使用子密钥K₁。

数学描述：

R_i-1=L_i i=16,15,...,1.

L_i-1=R_i-1⊕f(L_i,K_i) i=16,15,...,1.

6.8 DES的对合性和可逆性

① 可逆性证明

（1）定义：变换T是把64位数据的左右两半交换位置。

T(L,R)=(R,L)

因为TT(L,R)=T(R,L)=(L,R)=I，其中I为恒等变换。

又显然TT^-1=I，于是TT^-1=TT，所以有

T=T^-1

所以T变换是对合运算。

（2）记DES第i轮中的主要运算为F_i，即

F_i(L_i-1,R_i-1)=(L_i-1⊕f(R_i-1,K_i),R_i-1)

F_i²(L_i-1,R_i-1)=F_i(L_i-1⊕f(R_i-1,K_i),R_i-1)=(L_i-1⊕f(R_i-1,K_i)⊕f(R_i-1,K_i),R_i-1)=(L_i-1,R_i-1)=I

所以，F_i=F_i^-1.

所以，F_i变换是对合运算。

（3）结合（1）（2），便构成了DES的轮运算：

H_i=F_iT

因为(F_iT)(TF_i)=(F_i(TT)F_i)=F_iF_i=I,所以(F_iT)^-1=(TF_i),(TF_i)^-1=(F_iT)

（4）初始置换IP和逆初始置换IP^-1是互逆的。

（5）加解密表示
① DES(M) = (M)IP(F₁T)(F₂T)...(F₁₅T)(F₁₆)IP^-1= C

② DES^-1(C) = (C)IP(F₁₆T)(F₁₅T)...(F₂T)(F₁)IP^-1 = M

故有DES^-1DES(M) = (M)IP(F₁T)(F₂T)...(F₁₅T)(F₁₆)IP^-1IP(F₁₆T)(F₁₅T)...(F₂T)(F₁)IP^-1

= (M)IP(F₁T)(F₂T)...(F₁₅T)(F₁₆)(F₁₆T)(F₁₅T)...(F₂T)(F₁)IP^-1

= (M)IP(F₁T)(F₂T)...(F₁₄T)(F₁₅)(F₁₅T)(F₁₄T)...(F₂T)(F₁)IP^-1

= (M)IP(F₁T)(F₂T)...(F₁₃T)(F₁₄)(F₁₄T)(F₁₃T)...(F₂T)(F₁)IP^-1

= ......

= (M)IP(F₁T)(F₂)(F₂T)(F₁)IP^-1

= (M)IP(F₁)(F₁)IP^-1

= (M)IP IP^-1

= M

所以DES是可逆的。

② 对合性证明

DES = IP(F₁T)(F₂T)...(F₁₅T)(F₁₆)IP^-1

DES^-1 = IP(F₁₆T)(F₁₅T)...(F₂T)(F₁)IP^-1

DES和DES^-1除了子密钥的使用顺序相反之外是相同的。

不考虑子密钥的使用顺序，则有：

DES = IP(FT)(FT)...(FT)(F)IP^-1

DES^-1 = IP(FT)(FT)...(FT)(F)IP^-1

显然 DES = DES^-1

所以DES的运算是对合运算。

6.9 DES的破译

1990年，以色列密码学家Eli Biham和Adi Shamir提出了差分密码分析法。可对DES进行选择明文攻击。

线性密码分析（1993）比差分密码攻击更有效。

强力攻击：平均2⁵⁵次尝试（56位有效密钥位，2⁵⁶平均÷2=2⁵⁵）
差分密码分析法：使用2⁴⁷对明密文的选择明文攻击
线性密码分析法：使用2⁴⁷对明密文的已知明文攻击

6.10 DES的安全性

① 攻击：穷举攻击（目前最有效的方法）、差分攻击、线性攻击。

② 安全弱点：

密钥太短
存在弱密钥
存在互补对称性（设C=DES(M,K),则有~C=DES(~M,~K)）

- DES的弱密钥：

通过密钥扩展算法产生的16个子密钥出现重复：k₁=k₂=k₃=...=k₁₅=k₁₆.

由密钥扩展算法，易知C、D两个寄存器如果取值“全0”或“全1”，则通过循环移位和置换选择2得到的子密钥总是重复的。

6.11 三重DES

在讲三重DES之前首先考虑一下双重DES。

用DES加密两次，每次使用不同的密钥。

但双重DES并不安全，双重DES存在中间相遇攻击。使它的强度跟一个56位DES的强度差不多。

若已知明文密文对(M,C)，攻击方法如下：

① 先用2⁵⁶个可能的K₁加密M,得到2⁵⁶个可能的值，将这些值从小到大存入一个表中。

② 再对2⁵⁶个可能的K₂解密C，每次做完解密，将所得到的值与表中的值比较，如果产生匹配，则它们对应的密钥可能是K₁和K₂。

③ 用一个新的明文密文对检测两个密钥，如果产生正确的密文，则它们是正确的密钥。

为了防止中间相遇攻击，采用三次加密方案。

（1）下面是使用两个密钥的三重DES（加密-解密-加密 E-D-E）方案

注意：加密与解密在安全性上来说是等价的。这种加密方案穷举攻击代价是2¹¹².

（2）三把密钥的三重DES的（有效）密钥长度是168位，采用加密-解密-加密（E-D-E）方案

3DES的优点和缺点：

优点：

① 密钥长度是168位，足以抵抗穷举攻击；

② 3DES的底层加密算法与DES加密算法相同，该加密算法比任何其它加密算法收到分析的时间要长得多，也没有发现有比穷举攻击更有效的密码分析攻击方法。

缺点：

加解密速度慢，分组长度只有64位。

优势：

3密钥的3DES：密钥长度是168位。

2密钥的3DES：密钥长度是112位。

安全：密钥足够长，经过最充分的分析和实践检验。

兼容性好。

弱势：

速度慢。

6.12 DES的历史回顾

DES的贡献：

DES很好地体现了香农的密码设计理论；
DES体现了密码公开设计原则，开创了公开密码算法的先例；
DES代表当时商业密码的最高水平，是商用密码的典范；
DES对确保国际信息安全和提高国际密码设计水平都发挥了重要作用。

DES给我们的启示：

商用密码应当坚持公开设计原则；
商业密码标准应当公布算法。

参考文献：

[1]张焕国，唐明. 密码学引论（第三版）[M].武汉：武汉大学出版社, 2015.