这里讨论的主要是用于文件加密的情况,而不是用于实时通讯加密。
现在一般流密码的密钥形成是:由线性移位寄存器(LFSR)和一个非线性组合函数,即布尔函数组合,构成一个密钥流生成器。由于LFSR和非线性函数都是比较固定的东西,所以生成的密钥缺乏灵活性多次使用容易被破译,它的保密性依赖于LFSR和非线性函数的保密,并且密钥流中的数据不是独立的而是相关的,所以保密性不强容易被分析破解。
这里尝试不用LFSR和非线性组合函数,只用随机函数,并要求密钥流中的数据完全独立。
一般文件都是以字节为单位的数据集合,为不失一般性这里的密钥流也都以字节为单位。
这里建造密钥流的目的是用于文件加密,所以用户密码作为重要参数在这里起着至关重要的作用。
这里对密钥流的要求是:易控制、易于产生、随机性好、算法公开、数据之间不相关,不容易被分析跟踪。
下面以实例说明如何建造流密码密钥。我们知道随机函数易于产生,好的随机函数生成的随机数序列可以通过各项相关的检测,但由于出自同样的公式数据之间是有内在联系的、数据之间不是独立的,所以不能直接用作流密钥。我们选择两个好的随机函数(能通过各项检测)Rand1和Rand2,它们的值域是4字节整形数也就是32bit二进制数,周期是T1、T2且越长越好,例如需要建造长度为N的流密钥单位是字节也就是8bit二进制数,用户密码一般是多个ASCII码组成,我们需要用它来衍生一些数据供下面的计算使用,方法很多这里的方法是:计算用户密码字符组合的32位CRC值,例如所有字符的CRC值,所有字符倒序排列的CRC值,前三个字符的CRC值等等,这样我们就有了和用户密码相关的参数值这里统称为密码相关参数,首先用密码相关参数作为随机种子利用Rand1生成N个数,再取一个大于256的32Bit的密码相关参数作为模,对前面N个数做取模运算也就是取余数,并装入字节数组,这样就形成了初始的数组,接下来是对这个数组进行加工使数组成员之间没有任何联系,方法很简单就是利用Rand2对初始数组进行随机排序彻底颠覆原来的数据结构,这里也需要用密码相关参数做随机种子,方法很多仅举一例,做法是对N个数进行循环,循环到第i个序号,用i序号对应的元素和Rand2计算出的序号所对应的元素进行数值交换,从而达到新的排序,由此产生出新的数组。排序操作可以进行多次,越多复杂性越高,就看有没有必要了。
上面简单的说明流密钥的建造,所用到的随机函数及所有算法和操作过程都可以公开。现在要从流密钥数组找出用户密码,假如我们知道流密钥数组,现在想知道用户密码。当然可以用穷举法,你可以仿造上面的过程建造一个生成数组的程序,然后用不同的密码去试验,并通过比较结果而得到密码,如果密码较长这是个很费时间的过程。下面看看用分析法所遇到的困难,跟踪生成初始数组可能需要做T1×(32位整形数数域)大约是T1×4.29×10的9次方,这是需要在T1范围寻找和那个模运算(取余数运算)的共同结果,排序需要在T2范围寻找,所以总的试验次数为T1×T2×4.29×10的9次方,如果T1和T2都是10的20次方数量级的,则试验数将达到10的49次方数量级,当前计算机极限运算速度是每秒5000万亿次浮点运算,也就是5×10的15次方次浮点运算,假设可以每秒做如此多次试验,则需要做2×10的33次方秒大约6×10的25次方年,可见大大超过与宇宙寿命240亿年了,这只是一遍排序的情况,两遍试验数就要再乘上10的20次方。
如此产生的流密钥对不能溯源的人来说是真随机数,真随机数实际上是个相对概念,即便是采自物理现象的真随机数组一经公布也不再是真随机数组了,因为凡是对其备份的人都有可能再现它,而真随机数组是不能重复出现的。再者流密钥只是加密过程中的产物是不可见的,是隐含在密文流中的,所以对能够控制它的人来说是伪随机数组,而对不能控制它的人来说是真随机数组。
当用户密码足够长时,才具有抗攻击性,极端的例子用户密码只有一位二进制数,只能取0或1就无密可保了。可以粗略的估算一下,例如用到的随机函数的周期是10的18次方数量级的,那么用户密码至少应有8个字符才可能够用(当然还要看怎么用了)。
穷举攻击并不可怕,可怕的是加密软件本身为穷举攻击提供了便利(参见[文件加密与自毁长城 })。如果不提供方便穷举攻击和分析攻击一样面对无穷大的时间考验。
流密码的密钥
最新推荐文章于 2024-11-13 10:16:07 发布