分组密码（DES、分组密码工作模式、AES）

分组密码

安全性设计原则

• 混淆原则，明文密文密钥统计关系和代数关系尽可能复杂
• 扩散原则，明文每一位影响密文多的位

DES

L_i=R_i-1
R_i=L_i-1$⨁$f(R_i-1,k_i)

IP

DES轮函数结构

f(R,K)

E表扩展置换

S盒

P盒置换

DES子密钥生成

DES过程

1. 64bit明文IP初始置换打乱顺序；
2. 将IP置换后的64bit分为两组L₀、R₀,16轮迭代乘积变换；
   每轮DES轮函数执行过程为L_i=R_i-1；R_i=L_i-1$⨁$f(R_i-1,k_i)。
   文字表述为

• L_i直接等于R_i-1;R_i结果由R_i-1E表扩展置换成48bit；
• DES子密钥生成由种子密钥置换选择1，丢掉奇偶效验位并置换，把结果分为两组都为28bit的C₀、D₀,经过移位次数表循环左移得到28bit的C₁、D₁，置换选择2并去除8bit得到子密钥k₁；
• DES子密钥XOR经E表扩展结果，S盒代换将XOR后的48bit结果分8组放入不同S盒；
  每个S盒具体操作为将输入端8bit取首位两位二进制b₁b₆转化为十进制i,二进制b₂b₃b₄b₅转化为十进制j,把i作为行，j作为列带入到S表找出对应十进制数并将其转化为4位二进制数；
• 经过S盒代换后，P盒置换，打乱排列
• P盒置换结果与L_i-1XOR得到R_i

3. 逆初始置换IP^-1得到64bit密文

DES安全性

• 互补性y=DES_k(x)则$\overline{y}$=DES$\overline{k}$ (x)选择明文攻击工作量减半
• 弱密钥，DES_k(DES_k(x))=x,DES有4个弱密钥
  0000000 0000000
  0000000 FFFFFFF
  FFFFFFF 0000000
  FFFFFFF FFFFFFF

多重DES

多个密钥对明文多次加密，增大了密钥量

双重DES

y=DES_k2(DES_k1(x_i))
中间相遇攻击z=E_k1(x_i)=D_k2(y_i);攻击复杂度2⁵⁶+2⁵⁶=2⁵⁷

三重DES

双密钥三重DES-EDE

C=E_k1(D_K2(E_K1(M)))
M=D_k1(E_k2(D_k1(C ))）
抗中间相遇攻击，复杂度2¹¹²

分组密码的工作模式（各分组如何协调）

电码本ECB模式

优点：实现简单、并行加密
缺点：相同明文对应相同密文，不能抵抗替换攻击
应用：随机数的加密，单分组明文加密

密码分组链接CBC模式

加密：C_i=E_K(M_i$⨁$C_i-1)
解密：M_i=D_K(C_i)$⨁$C_i-1
统计特性得到隐藏、密文与初始化向量以及以前的明文有关；较小的错误传播特性

密码反馈CFB模式

相同明文加密得到不同密文
链接依赖性：密钥流依赖于明文
较小的错误传播，影响[n/j]个密文分组解密

输出反馈OFB模式

OFB与CFB相似，但反馈内容为DES输出，不是密文
密钥流独立于明文
密文出错仅会影响当前密文分组解密，没有错误传播

计数器模式CTR

并行加密
预处理
相同明文加密成不同密文
加密数据块的随机访问

AES

轮密钥加

字节代换

AES的S盒构建/字节代换步骤

• 将字节作为GF(2⁸)上的元素映射到自己的逆元（m(x)=x⁸+x⁴+x³+x¹+1)
• 将字节做GF(2)上的仿射变换

例：12–>C9
1.十六进制12转化为二进制00010010
2. 二进制00010010转化为多项式x⁴+x
3. 求模$m(x)=x^8+x^4+x^3+x+1$的乘法逆元
             $\underline{x^4+x+1}$
$x^4+x|x^8+x^4+x^3+x+1$
             $x^8+x^5$
              x 5 + x 4 + x 3 + x + 1 ‾ \overline{x^5+x^4+x^3&