信息安全--八:数据加密标准（DES）

 

4.  数据加密标准（DES）

                    （Data  Encryption  Standard）

4.1        分组密码概述

 

一、分组密码体制的设计有下面的技术要求：

（1）分组长度m要足够大，以防止明文穷举的攻击。

（2）密钥量应足够大，以防止密钥穷举的攻击。

（3）密码的法足够复杂，使破译者除了采用穷举法攻击以外，找不到其它简洁的数字破译算法。

二.密文块的长度与明文块长度间关系。

 

 

        4.2  数据加密标准（DES）

 

一、DES加密算法简介

 

二、DES加密算法的粗框

以每一个明文块的加密过程为例给出DES加密的过程，简单的用一句话可概述这个加密过程：将64bit的明文块在56bit的密钥控制下变换为64bit的密文块，其加密过程包括16次选代（即16圈）每次选代都由替代和移位的复合而形成的。

 

    粗框说明

     第i圈：

     输入：L（i-1）                R（i-1）

     输出：L（i）=R（i-1）         R（i）=g_k（i）（R（i-1））Å L（i-1）

                                   或令P_i-1= g_k（i）（R（i-1））

                                   则R（i）=P _{i -1 Å} L（i-1）

     R（i）= g_k（i）  ( L（i-1）)Å L（i-1）

 

 

 

 

 

 

 

 

 

 

 

逆初始置换（IP）

密文块y= y1y2…y64

L（16）

R（16）

K(16)

L（16）=l1（16），…，l32（16）

R（16）=r1（16），…，r32（16）

g

R（15）=r1（15），…，r32（15）

L（15）=l1（15），…，l32（15）

R（2）=r1（2），…，r32（2）

L（2）=l1（2），…，l32（2）

g

R（1）=r1（1），…，r32（1）

L（1）=l1（1），…，l32（1）

g

K(1)

初始置换IP

明文块 X=x1 x2。。。。。。。。x 64

简单移位变换

L（0）=l1（0），…，l32（0）

R（0）=r1（0），…，r32（0）

K(2)

 

      

                                                      

 

           

 

 

 

 

 

 

 

 

 

 

                                              

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

三、DES加密算法的详细说明

1、内部密钥的派生

    对于每一个明文信息，其加密过程要给定一个56位的密钥K来确定明—密文块的对应关系，16个内部密钥K（1），K（2），…，K（16）如何由给定的密钥K（外部密钥）产生，其过程如下：

外部密钥K=K1 K2…K64

置换选择1      PC-1

C0

D0

循环左移h（1）位

循环左移h（1）位

C1

D1

循环左移h（2）位

循环左移h（2）位

置换选择2 PC----2

K(1)

C2

D2

PC-----2

K(2)

C15

D15

置换选择2 PC----2

K(15)

循环左移h（16）位

循环左移h（16）位

C16

D16

置换选择2 PC----2

K(16)

内部密钥产生过程

       

                     

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

    

            

        表1   对应不同i的左循环移位位数

选代次数i	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16
左移位数h（i）	1	1	2	2	2	2	2	2	1	2	2	2	2	2	2	1

置换选择1

(1)     PC-1的作用是将外部密钥剩下的56位分成两个部分，称为左半部分C₀和右半部分D₀，各具28位。具体分割算法如下：

    左半部分

   C₀ = K₅₇  K₄₉   K₄₁   K₃₃   K₂₅  K₁₇   K₉    K₁

       K₅₈  K₅₀  K₄₂   K₃₄   K₂₆    K₁₈   K₁₀   K ₂

            K₅₉   K₅₁  K₄₃  K₃₅   K₂₇    K₁₉   K₁₁   K₃

            K₆₀   K₅₂  K₄₄   K₃₆

        右半部分

     D₀ = K₆₃  K₅₅   K₄₇  K₃₉  K₃₁  K₂₃   K₁₅    K₇

       K₆₂  K₅₄    K₄₆  K₃₈  K₃₀    K₂₂   K₁₄   K₆

            K₆₁   K₅₃   K₄₅  K₃₇   K₂₉    K₂₁   K₁₃   K₅

            K₂₈   K₂₀   K₁₂  K₄

 

   分划的规则是什么呢？也就是说K中哪些位属于C₀，哪些位属于D₀。如何确定呢？有什么规律呢？

   我们用下面的方法来描述它的分划原则：

   将外部密钥K= K₁ K₂…K₆₄的各位排成8行8列的矩阵。

        ①   ②  ③   ④  ⑤   ⑥   ⑦   ⑧

 

       K₁   K ₂    K₃    K₄   K₅    K₆    K₇    K₈

       K₉   K₁₀  K₁₁   K₁₂  K₁₃  K₁₄  K₁₅    K₁₆

       K₁₇  K₁₈   K₁₉  K₂₀  K₂₁  K₂₂  K₂₃    K₂₄

       K₂₅  K₂₅   K₂₇  K₂₈  K₂₉  K₃₀   K₃₁   K₃₂

       K₃₃  K₃₄   K₃₅  K₃₆  K₃₇  K₃₈   K₃₉    K₄₀

       K₄₁  K₄₂   K₄₃  K₄₄  K₄₅  K₄₆    K₄₇   K₄₈

       K₄₉  K₅₀   K₅₁  K₅₂  K₅₃  K₅₄   K₅₅    K₅₆

       K₅₇  K₅₈   K₅₉  K₆₀  K₆₁  K₆₂   K₆₃    K₆₄

 

（2）        C₀ 和D₀生成后，生成K（1）按如下步骤进行

（a）  将C₀ 和D₀各循环左移h（1）=1位，分别得到C₁和D₁

（b）        通过置换选择2（PC-2），将56位的向量（C₁，D₁）变成48位的密钥

       向量 K（1）。

       置换选择2（PC-2）

       假设C=c ₁c ₂ ¼ c₂₈             D=d₂₉d₃₀¼d₅₆

              14   17   11   24   1    5

3    28   15   6    21   10

23   19   12   4    26   8

16   7    27   20   13   2

41   52  31   37   47   55

30   40   51   45   33   48

44   49   39   56   34   53

46   42   50   36   29   32

 

K（1）= C ₁₄  C ₁₇ C ₁₁  C ₂₄  C ₁  C ₅  C ₃  C ₂₈  C ₁₅  C ₆  C ₂₁  C ₁₀

              C ₂₃  C ₁₉ C ₁₂  C ₄  C ₂₆  C ₈  C ₁₆  C ₇  C ₂₇  C ₂₀  C ₁₃  C ₂

              d₄₁   d₅₂   d₃₁  d₃₇  d₄₇  d₅₅  d₃₀  d₄₀  d₅₁  d₄₅  d₃₃  d₄₈

              d₄₄   d₄₉   d₃₉  d₅₆  d₃₄  d₅₃  d₄₆  d₄₂  d₅₀  d₃₆  d₂₉  d₃₂

（3）        C_i-1 和D _i-1生成后，生成K（i）的步骤与（2）相同

（a）   将C_i-1 和D _i-1各循环左移h（i）位，分别得到C_i  和 D _i

左移位数h（i）随着i的不同，而有所差异（见表1）

（b）           通过置换选择2将56位的向量（C_i  D _i）变换成48位的密钥向量K（i）

       K（i）=K₁（i）K₂（i）…K₂₄（i）K₂₅（i）…K₄₈（i）。

       DES进入加密算法之前，首先必须将内部密钥K（1），…K（16）派生

       出来。

2、  初始置换IP：

     初始置换的作用是将64位的明文块 X 分成两部分，左半部分L（0）

  和右半部分R（0），每一部分均匀为32位。具体分法是：

   L（0）=X₅₈  X₅₀  X₄₂  X₃₄  X₂₆  X₁₈  X₁₀  X₂

                  X₆₀  X₅₂  X₄₄  X₃₆  X₂₈  X₂₀  X₁₂  X₄

                  X₆₂  X₅₄  X₄₆  X₃₈  X₃₀  X₂₂  X₁₄  X₆

                  X₆₄  X₅₆  X₄₈  X₄₀  X₃₂  X₂₄  X₁₆  X₈

   R（0）= X₅₇  X₄₉  X₄₁  X₃₃  X₂₅  X₁₇  X₉  X₁

           X₅₉  X₅₁  X₄₃  X₃₅  X₂₇  X₁₉  X₁₁  X₃

                   X₆₁  X₅₃  X₄₅  X₃₇  X₂₉  X₂₁  X₁₃  X₅

                   X₆₃  X₅₅  X₄₇  X₃₉  X₃₁  X₂₃  X₁₅  X₇

    分割的规则是什么呢？亦即如何确定L（0）和R（0）各是由些什么位组成，按什么样的次序组成呢？下面介绍生成L（0）和R（0）的方法。

将明文块X=X₁X₂…X₆₄排成8行8列的矩阵（如下）

                                                    R(0)

  ①         ③         ⑤         ⑦  

       X₁    X₂    X₃    X₄    X₅    X₆    X₇    X₈    

       X₉    X₁₀   X₁₁   X₁₂   X₁₃  X₁₄   X₁₅   X₁₆   

       X₁₇   X₁₈   X₁₉   X₂₀   X₂₁  X₂₂   X₂₃   X₂₄  

       X₂₅   X₂₅   X₂₇   X₂₈   X₂₉  X₃₀   X₃₁   X₃₂  

       X₃₃   X₃₄   X₃₅   X₃₆   X₃₇  X₃₈   X₃₉   X₄₀   

       X₄₁   X₄₂   X₄₃   X₄₄   X₄₅  X₄₆   X₄₇   X₄₈   

       X₄₉   X₅₀   X₅₁   X₅₂   X₅₃  X₅₄   X₅₅   X₅₆     

       X₅₇   X₅₈   X₅₉   X₆₀   X₆₁  X₆₂   X₆₃   X₆₄    

            ②        ④       ⑥        ⑧

L(0)

 

3、  逆初始置换（IP^-1）

    两个32bit的予输出数据块R（16），L（16）要经过逆初始置换，才能产生出真正的64bit的密文块y=y₁ y₁…y₆₄

假设R（16），L（16）=r₁（16）r₂（16）…r₃₂（16），l₁（16） l₂（16）…l₃₂（16）

简记作  R（16）=r₁  r₂  r₃  r₄  r₅  r₆  r₇  r₈

                            r₉  r₁₀  r₁₁  r₁₂  r₁₃  r₁₄  r₁₅  r₁₆

                            r₁₇  r₁₈  r₁₉  r₂₀  r₂₁  r₂₂  r₂₃  r₂₄

                            r₂₅  r₂₆  r₂₇  r₂₈  r₂₉   r₃₀  r₃₀  r₃₂

     

       L（16）= l ₁  l ₂  l ₃  l ₄  l ₅  l ₆  l ₇  l ₈

                           l _{9 l 10   l 11   l 12   l 13   l 14   l 15   l 16}

                           l ₁₇  l ₁₈  l ₁₉  l ₂₀  l ₂₁  l ₂₂  l ₂₃  l ₂₄

                           l ₂₅  l ₂₆  l ₂₇  l ₂₈  l ₂₉  l ₃₀  l ₃₁  l ₃₂

 

 

                l₈  r ₈  l ₁₆  r ₁₆  l ₂₄  r ₂₄  l ₃₂  r₃₂

                            l₇  r ₇  l ₁₅  r ₁₅  l ₂₃  r ₂₂₃  l ₃₁  r₃₁

                l₆  r ₆  l ₁₄  r ₁₄  l ₂₂  r ₂₂  l ₃₀  r₃₀

                l₅  r ₅  l ₁₃  r ₁₃  l ₂₁  r ₂₁  l ₂₉  r₂₉

                l₄  r ₄  l ₁₂  r ₁₂  l ₂₀  r ₂₀  l ₂₈  r₂₈

                l₃  r ₃  l ₁₁  r ₁₁  l ₁₉  r ₁₉  l ₂₇  r₂₇

                l₂  r ₂  l ₁₀  r ₁₀  l ₁₈  r ₁₈  l ₂₆  r₂₆

                l₁  r ₁  l ₉  r ₉  l ₁₇  r ₁₇  l ₂₅  r₂₅

 

初始置换与逆初始置换的比较：

初始置换：

明文块X= X₁X₂…X ₆₄        L （0）R（0）

（1）将X按行的自然递增次序逐位填入8*8矩阵的各行中。

（2）在矩阵中按照从上至下的方式依次取出2、4、6、8列中的元素构成左半部L（0）的32bit

（3）在矩阵中按照从下至上的方式依次取出1、3、5、7列中的元素构成右半部R（0）的32bit。

逆初始置换：

R（16），L（16）=密文块y=y ₁y ₂… y₆₄

（2）将左半部R（16）的32bit按照（2）中取出的方式逐位还原填入矩阵的2、4、6、8列中；

（4）将右半部L（16）的32bit按照（3）中取出的方式逐位还原填入矩阵的1、3、5、7列中。

（5）将8*8矩阵中的元素按照行的自然递增顺序逐位取出。

四、            加密函数g的详细说明    （这是DES的核心部分）

R（i-1）

      

1、

E扩展  E（R（i-1））

A=E（R（i-1） K（i）

S1

S8

B

P（B）

R（i）=L（i-1）+P（B）

E 扩展

R（i-1）是32位，E扩展将它扩展为48位的E（R（i-1）），其扩展算法如下：

设R（i-1）=r₁r₂r₃… r₃₁r₃₂

将其分成8组，每4位一组（每一组扩展成6位）。

r₁  r₂  r₃  r₄         r₅  r₆  r₇  r₈             r₉  r₁₀  r₁₁  r₁₂            r₁₃  r₁₄  r₁₅  r₁₆

 

 

r₃₂ r₁  r₂  r₃  r₄  r₅     r₄  r₅  r₆  r₇  r₈   r₉   r₈  r₉  r₁₀  r₁₁  r₁₂  r₁₃    r₁₂  r₁₃  r₁₄  r₁₅  r₁₆  r₁₇

r₁₆  r₁₇  r₁₈  r₁₉  r₂₀  r₂₁   r₂₀   r₂₁  r₂₂  r₂₃  r₂₄ r₂₅    r₂₄  r₂₅  r₂₆  r₂₇  r₂₈ r₂₉   r₂₈  r₂₉   r₃₀  r₃₀  r₃₂  r₁

 

 

则E（R（i-1））= r₃₂  r₁  r₂  r₃  r₄  r₅  r₆  r₇  r₈  r₉

                           r₈  r₉  r₁₀  r₁₁  r₁₂  r₁₃  r₁₄  r₁₅  r₁₆  r₁₇

                           r₁₆  r₁₇  r₁₈  r₁₉  r₂₀  r₂₁  r₂₂  r₂₃  r₂₄  r₂₅

                           r₂₄   r₂₅  r₂₆  r₂₇  r₂₈  r₂₉   r₃₀  r₃₀  r₃₂  r₁

 

2、替代运算（S盒）

 

		0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15
	0	14	4	13	1	2	15	11	8	3	10	6	12	5	9	0	7
S1	1 2 3	0	15	7	4	14	2	13	1	10	6	12	11	9	5	3	8
		4	1	14	8	13	6	2	11	15	12	9	7	3	10	5	0
		15	12	8	2	4	9	1	7	5	11	3	14	10	0	6	13

 

3、P置换（移位变换）

设B= b₁b₂… b₃₂

则P（B）= b₁₆   b₇  b₂₀  b₂₁  b₂₉  b₁₂  b₂₈  b₁₇

           b₁   b₁₅  b₂₃  b₂₆  b₅  b₁₈  b₃₁  b₁₀

           b₂   b₈  b₂₄  b₁₄  b₃₂  b₂₇  b₃  b₉

           b₁₉  b₁₃  b₃₀  b₆  b₂₂  b₁₁  b₄  b₂₅

 

DES解脱密算

一、DES脱密算法

（1）一个64bit的数据块分成两个32位的数据块

（2）逆初始置换：是将两个32位的数据合并成一个64位的数据块合并的方法是（例如X_L X_R）逆初始置换是初始置换的逆变换。

X

 

 

初始置换

 

        X_L                                X_R

 

初始置换

                                                                                           

                  X

因为初始置换将明文块X=X₁ X₂ … X₆₄  分成了L（0），R（0），所以必可将L（0），R（0）合并成X=X₁ X₂ … X₆₄ 。

 

（3）每一圈输出与输入的关系

每一圈中输出对输入的一个函数依赖关系。

 

   L（i）=R（i-1）…（1）                （i=1，2，…，16）

   R（i）=L（i-1） g_K（i）（R（i-1））…（2）

2、进行第一圈脱密时，R（16）C   （由脱密过程的推图的第一圈）

 

R（16）=L(15)  g_K（16）（L（15））=L(15)  g_K（16）(L(16))

由异或运算的性质（若A  B=C则B C=A   A C=B）­可得

DES脱密算法

密文块y=y1y2 … y64

 

初始置换

 

 

 

R（16）

L（16）

g

 

 

 

 

 

 

                                                                                                                     _k（16）

 

                                                           

L（15）

R（15）

g

 

 

 

 

                                                                                                       _k（15）

 

g

L（1）

R（1）

R（14）

L（14）

                                                     

 

 

 

 

 

 

 

                                                                                                            _k（1）

                                                          

 

 

                                                                                                                

 

 

 

 

 

R（0）

L（0）

R（0）

L（0）

逆初始置换

明文块X=X1X2 … Xn