Lecture 2 密码学

Lecture 2 密码学

基本概念 

• 密码学 (Cryptology): 是研究信息系统安 

全保密的科学 . 

‣ 密码编码学 (Cryptography): 主要研究对 

信息进行编码 , 实现对信息的隐蔽 . 

‣ 密码分析学 (Cryptanalytics): 主要研究加 

密消息的破译或消息的伪造 . 

2

基本术语 

• 消息被称为明文 (Plaintext)。用某种方法伪装消息以 

隐藏它的内容的过程称为加密 (Encrytption), 被加密 

的消息称为密文 (Ciphertext), 而把密文转变为明文 

的过程称为解密 (Decryption)。 

• 对明文进行加密操作的人员称作加密员或密码员 

(Cryptographer). 

• 密码算法 (Cryptography Algorithm): 是用于加密和解 

密的数学函数。 

• 密码员对明文进行加密操作时所采用的一组规则称作 

加密算法 (Encryption Algorithm). 

• 所传送消息的预定对象称为接收者 (Receiver). 

• 接收者对密文解密所采用的一组规则称为解密算法 

(Decryption Algorithm). 

3

密钥 

密钥 

密文 

明文 

加密算法 

解密算法 

明文 

加解密过程示意图 

• 加密和解密算法的操作通常都是在一组密 

钥的控制下进行的 , 分别称为加密密钥 

(Encryption Key) 和解密密钥 (Decryption 

Key). 

4

加密通信的模型 

Oscar 

x y x 

Alice 加密机解密机 Bob 

k 

密钥源 

安全信道 

k 

密钥源 

密码学的目的 :Alice 和 Bob 两个人在不安全的 

信道上进行通信 , 而破译者 Oscar 不能理解他 

们通信的内容。 

5

密码体制 

• 密码体制 : 它是一个五元组 (P,C,K,E,D) 满足条件 : 

(1)P 是可能明文的有限集 ;( 明文空间 ) 

(2)C 是可能密文的有限集 ;( 密文空间 ) 

(3)K 是一切可能密钥构成的有限集 ;( 密钥空间 ) 

(4) 任意 k∈ K, 有一个加密算法 e k 

∈E 和相应的解密算 

法 d k 

∈D 

, 使得 e k 

: P →C 

和 d k 

: C→P分别为加密解 

密函数 , 满足 d k (e k (x))=x, 这里 x ∈P。 

6

密码算法分类 -i 

• 按照保密的内容分 : 

‣ 受限制的 (restricted) 算法 : 算法的保密性基于 

保持算法的秘密 

‣ 基于密钥 (key-based) 的算法 : 算法的保密性 

基于对密钥的保密 

‣ 传统加密和现代加密的区别 : 算法和密钥的 

分离 

7

密码算法分类 -ii 

• 按照明文的处理方法 : 

‣ 分组密码 (block cipher): 将明文分成固 

定长度的组 , 用同一密钥和算法对每一 

块加密 , 输出也是固定长度的密文。 

‣ 流密码 (stream cipher): 又称序列密码 . 

序列密码每次加密一位或一字节的明 

文 , 也可以称为流密码。 

序列密码是手工和机械密码时代的主 

流 

8

密码算法分类 -iii 

• 基于密钥的算法 , 按照密钥的特点分类 : 

‣ 对称密码算法 (symmetric cipher): 又称传统密码算法 

(conventional cipher), 就是加密密钥和解密密钥相同 , 

或实质上等同 , 即从一个易于推出另一个。又称秘密密钥 

算法或单密钥算法 

‣ 非对称密钥算法 (asymmetric cipher): 加密密钥和解密密 

钥不相同 , 从一个很难推出另一个。又称公开密钥算法 

(public-key cipher) 

• 公开密钥算法用一个密钥进行加密 , 而用另一个进 

行解密 . 其中的加密密钥可以公开 , 又称公开密钥 

(public key), 简称公钥 . 解密密钥必须保密 , 又称私 

人密钥 (private key) 私钥 . 简称私钥 

9

密码算法分类 -iv 

• 对称密钥密码又可分为 : 

‣ 分组密码 

每次对一块数据加密 

多数网络加密应用 

DES,IDEA,RC6,Rijndael 

‣ 流密码 

每次对一位或一字节加密 

10

密码算法分类 -v 

• 公开密钥密码 : 

‣ 大部分是分组密码 

每次对一块数据加密 

数字签名 , 身份认证 

RSA,ECC,ElGamal 

加密解密速度慢 

11

密码分析 

• 假设破译者 Oscar 是在已知密码体制的前提下来 

破译 Bob 使用的密钥。最常见的破解类型如下 : 

‣1. 唯密文攻击 :Oscar 具有密文串 y. 

‣2. 已知明文攻击 : Oscar 具有明文串 x 和相应的密文 

y. 

‣3. 选择明文攻击 :Oscar 可获得对加密机的暂时访 

问 , 因此他能选择明文串 x 并构造出相应的密文串 

y。 

‣4. 选择密文攻击 :Oscar 可暂时接近密码机 , 可选择 

密文串 y, 并构造出相应的明文 x. 

这一切的目的在于破译出密钥或明文 

12

密码算法的安全性 

• 无条件安全 (Unconditionally secure) 

无论破译者有多少密文 , 他也无法解出对 

应的明文 , 即使他解出了 , 他也无法验证结果 

的正确性 . 

Onetime pad 

• 计算上安全 (Computationally secure) 

‣ 破译的代价超出信息本身的价值 

‣ 破译的时间超出了信息的有效期 

13

古典密码 

基于字符的密码 

• 代替密码 (substitution cipher): 就是明 

文中的每一个字符被替换成密文中的另 

一个字符。接收者对密文做反向替换就 

可以恢复出明文。 

• 置换密码 (permutation cipher), 又称换 

位密码 (transposition cipher): 明文的 

字母保持相同 , 但顺序被打乱了。 

14

代替密码 

• 简单代替密码 (simple substitution cipher), 

又称单字母密码 (monoalphabetic cipher): 

明文的一个字符用相应的一个密文字符代 

替。 

• 多字母密码 (ployalphabetic cipher): 明文 

中的字符映射到密文空间的字符还依赖于 

它在上下文中的位置。 

15

单字母密码 

• 单表代换密码 

移位 (shift ) 密码、乘数 (multiplicative) 密码 

仿射 (affine ) 密码、多项式 (Polynomial) 密码 

密钥短语 (Key Word) 密码 

• 多表代换密码 

维吉尼亚 (Vigenere) 密码 

博福特 (Beaufort) 密码 

滚动密钥 (running-key) 密码 

弗纳姆 (Vernam) 密码 

转子机 (rotor machine) 

16

多字母代换密码 

• 可以用矩阵变换方便地描述多字母代换密 

码 , 有时又称起为矩阵变换密码。 

Hill cipher 

Playfair cipher 

17

移位密码算法 

• 设 P=C=K=Z/(26), 对 k∈ K, 定义 e k (x)=x+k (mod 

26)=y ∈C 

同时 d k (y)=y-k (mod 26) 

注 1 * :26 个英文字母与模 26 剩余类集合 {0,….,25} 

建立一一对应 : 

2 * . 当 k=3 时 , 为 Caesar 密码 

abcdefghijklmnopqrstuvwxyz 

DEFGHIJKLMNOPQRSTUVWXYZABC 

例子 : cipher => FLSKHU 

实际算法为 : ∀x∈ P 有 e ( 3 

x) 

= x + 3(mod 26) 

= y 

同时有 ,d 3 (y)=y-3 (mod 26) 

18

乘数密码算法 

• 加密函数取形式为 

e(x)=ax (mod 26), a∈Z/(26) 

要求唯一解的充要条件是 gcd( a,26)=1 

该算法描述为 : 

设 P=C=Z/(26), K={a ∈Z/(26) |gcd(a,26)=1}, 

对 k=a ∈K, 

定义 e k (x)=ax (mod 26) 和 d k (y)=a -1 (y)(mod 26) 

x,y ∈Z/(26) 

例子 : a=9, 

ABCDEFGHIJKLMNOPQRSTUVWXYZ 

AJSBKTCLUDMVENWFOXGPYHQZIR 

明文密文 

cipher => SUFLKX 

19

仿射密码算法 

• 加密函数取形式为 

e(x)=ax+b (mod 26), a,b∈Z/(26) 

要求唯一解的充要条件是 gcd( a,26)=1 

该算法描述为 : 

设 P=C=Z/(26) 

K={(a,b) ∈Z/(26)×Z/(26)|gcd(a,26)=1}, 

对 k=(a,b) ∈K, 

定义 e k (x)=ax+b (mod 26) 和 d k (y)=a -1 (y-b)(mod 26) 

x,y ∈Z/(26) 

• q=26 时 , 可能的密钥是 26X12 个 

20

单表替换密码的破译 

• 语言的统计特性 : 

◦ 语言的频率特征 

◦ 连接特征 

◦ 重复特征 

21

英文字母的普遍使用频率 

• 美国密码学家 W.F.Friedman 在调查了大量英文资 

料后 , 得出英文字母的普遍使用规律 

◦I 0.0627 R 0.0677 

◦H 0.0528 Q 0.0012 Z 0.0008 

◦G 0.0199 P 0.0199 Y 0.0199 

◦F 0.0289 O 0.0797 X 0.0017 

◦E 0.1304 N 0.0707 W 0.0149 

◦D 0.0378 M 0.0249 V 0.0092 

◦C 0.0279 L 0.0339 U 0.0249 

◦B 0.0139 K 0.0042 T 0.1045 

◦A 0.0856 J 0.0013 S 0.0607 

22

连接特征 

• 后连接 :q … u 

• 前连接 : x 的前面总是 i, e 很少是 o 和 a 

• 间断连接 : 在 e 和 e 之间 ,r 的出现频率最高 

23

对抗频率分析的办法 

• 多名或同音代替密码 

• 多表代替密码 

• 多字母代替密码 

24

多名代替密码 

• 与简单代替密码类似 , 只是映射是一对多的 , 

每个明文字母可以加密成多个密文字母。 

例如 , A 可能对应于 5、13、25 

B 可能对应于 7、9、31、42 

• 当对字母的赋值个数与字母出现频率成比例 

时。这是因为密文符号的相关分布会近似于平 

的 , 可以挫败频率分析。 

• 然而 , 若明文字母的其它统计信息在密文中仍 

很明显时 , 那么同音代替密码仍然是可破译 

的。 

25

多表代替密码 

• 多表代替密码 : 是以一系列 ( 两个以 

上 ) 代换表依次对明文消息的字母进行 

代换的方法。 

‣ 非周期多标代替密码 : 

代换表是非周期的无限序列 

一次一密密码 (one time padding): 对每 

个明文每次采用不同的代换表。 

‣ 周期多表代替密码 : 代换表个数有限 , 

重复使用。 

26

Vigenére cipher (1858) 

• 是一种多表移位代替密码 

设 d 为一固定的正整数 ,d 个移位代换表 π=( π 1 , 

π 2 ,… π d ) 由密钥序列 K=( k 1 ,k 2 ,…,k d ) 给定 , 第 i+td 

个明文字母由表 π i 决定 , 即密钥 k i 决定 

e k (x i+td )=(x i+td +k i ,) mod q =y, 注意 ,x 需要根据 k 的长 

度分组 ( 表 ) 

d k (y i+td )= (x i+td -k i ) mod q =x 

例子 :q=26, x=polyalphabetic cipher, K=RADIO 

明文 x=p o l y a l p ha b e t i c c i p h e r 

密钥 k=RAD I ORADI ORADI ORADIO 

密文 y=GOOGOCPKTP NTLKQZPKMF 

27

滚动密钥密码 

• 对于周期代换密码 , 当密钥的长度 d 和明文 

一样长时 , 就成为滚动密钥密码。 

Vigenére 本人建议密钥与明文一样长 

28

Vernam 密码 

• 1918 年 ,Gillbert Vernam 建议密钥与明文 

一样长并且没有统计关系的密钥内容 , 他 

采用的是二进制数据 : 

加密 :C i = P i ⊕ K i 

解密 P i = C i ⊕ K i 

核心 : 构造和消息一样长的随机密钥 

29

多字母代替密码 -Playfair 

• Playfair: 将明文中的双字母组合作为一个单元对待 , 并 

将这些单元转换为密文的双字母组合。 

• 5×5 变换矩阵 : I 与 J 视为同一字符 

C I P H E 

R A B D F 

G K L M N(cipher) 

O Q S T U 

V W X Y Z 

• 加密规则 : 按成对字母加密 

1) 相同对中的字母加分隔符 ( 如 x) 

2) balloon ba lx lo on 

3) 同行取右边 : he EC 

4) 同列取下边 : dm MT 

5) 其他取交叉 : kt MQ OD TR 

30

置换密码 

• 换位密码把明文按列写入 , 按行读出 

• 密钥包含 3 方面信息 : 行宽 , 列高 , 读出顺序 

key: 4 3 1 2 5 6 7 

plaintext: a t t a c k p 

o s t p o n e 

d u n t i l t 

w o a m x y z 

ciphertext:TTNAAPTMTSUOAODWCOIXPETZ 

• 完全保留字符的统计信息 

• 使用多轮加密可提高安全性 

31

古典密码小结 

• Substitution & permutation 

• 密码分析 

• 多轮加密 

• 数据安全基于算法的保密 

32

现代常规加密技术 

•DES(Data Encryption Standard) 

• Triple DES 

•IDEA 

•Blowfish 

•RC5 

•CAST-128 

•…… 

33

DES 的产生 -i 

• 1973 年 5 月 15 日 , 美国国家标准局 (NBS) 开始公开征集标 

准加密算法 , 并公布了它的设计要求 : 

(1) 算法必须提供高度的安全性 

(2) 算法必须有详细的说明 , 并易于理解 

(3) 算法的安全性取决于密钥 , 不依赖于算法 

(4) 算法适用于所有用户 

(5) 算法适用于不同应用场合 

(6) 算法必须高效、经济 

(7) 算法必须能被证实有效 

(8) 算法必须是可出口的 

34

DES 的产生 -ii 

• 1974 年 8 月 27 日 , NBS 开始第二次征集 ,IBM 提交了 

算法 LUCIFER, 该算法由 IBM 的工程师在 1971~ 

1972 年研制 

• 1975 年 3 月 17 日 , NBS 公开了全部细节 

• 1976 年 ,NBS 指派了两个小组进行评价 

• 1976 年 11 月 23 日 , 采纳为联邦标准 , 批准用于非 

军事场合的各种政府机构 

• 1977 年 1 月 15 日 ,“ 数据加密标准 ”FIPS PUB 46 发 

布 

35

DES 的应用 

• 1979 年 , 美国银行协会批准使用 

• 1980 年 , 美国国家标准化组织 (ANSI) 赞同 DES 

作为私人使用的标准 , 称之为 DEA(ANSI X.392) 

1983 年 , 国际化标准组织 ISO 赞同 DES 作为国际 

标准 , 称之为 DEA-1 

• 该标准规定每五年审查一次 , 计划十年后采用新 

标准 

• 最近的一次评估是在 1994 年 1 月 , 已决定 1998 年 

12 月以后 ,DES 将不再作为联邦加密标准。 

36

分组密码的一般设计原理 

• 分组密码是将明文消息编码表示后的数 

字 ( 简称明文数字 ) 序列 , 划分成长度 

为 n 的组 ( 可看成长度为 n 的矢量 ), 每 

组分别在密钥的控制下变换成等长的输 

出数字 ( 简称密文数字 ) 序列 

37

直觉 : 什么是一个好的加密算法 

• 假设密码 k 是固定的 

• 明文和密文是一个映射关系 : 单射 , 即 Ek(x1) != 

Ek(x2) if x1 != x2 

• 通常情况是 : 明文非常有序 

• 好的密码条件下 , 我们期望得到什么样的密文 

◦ 随机性 

• 如何理解随机性 

◦ 静态 : 特殊的点 

◦ 动态 : 小的扰动带来的变化不可知 

38

考虑设计一个加密算法 

• 打破明文本身的规律性 

◦ 随机性 ( 可望不可及 ) 

◦ 非线性 ( 一定要 ) 

◦ 统计意义上的规律 

• 多次迭代 

◦ 迭代是否会增加变换的复杂性 

◦ 是否存在通用的框架 , 用于迭代 

• 复杂性带来密码分析的困难和不可知性 

◦ 实践的检验和考验 

39

两个基本设计方法 

Shannon 称之为理想密码系统中 , 密文的 

所有统计特性都与所使用的密钥独立 

• 扩散 (Diffusion): 明文的统计结构被扩散消 

失到密文的长程统计特性 , 使得明文和密文 

之间的统计关系尽量复杂 

• 混乱 (confusion): 使得密文的统计特性与密 

钥的取值之间的关系尽量复杂 

40

实现的设计原则 

• 软件实现的要求 : 使用子块和简单的运算。密 

码运算在子块上进行 , 要求子块的长度能自然 

地适应软件编程 , 如 8、16、32 比特等。应尽 

量避免按比特置换 , 在子块上所进行的密码运 

算尽量采用易于软件实现的运算。最好是用处 

理器的基本运算 , 如加法、乘法、移位等。 

• 硬件实现的要求 : 加密和解密的相似性 , 即加 

密和解密过程的不同应仅仅在密钥使用方式 

上 , 以便采用同样的器件来实现加密和解密 , 

以节省费用和体积。尽量采用标准的组件结 

构 , 以便能适应于在超大规模集成电路中实 

现。 

41

Feistel 

结构图 

42

Feistel 结构定义 

• 加密 :L i = R i-1 ; R i = L i-1 ⊕F(R i-1 ,K i ) 

• 解密 : R i-1 = L i 

L i-1 = R i ⊕F(R i-1 ,K i ) 

= R i ⊕F(L i ,K i ) 

43

DES 示意图 

44

DES 的描述 

• DES 利用 56 比特串长度的密钥 K 来加密长度为 

64 位的明文 , 得到长度为 64 位的密文 

输入 64 比特明文数据 

初始置换 IP 

在密钥控制下 

16 轮迭代 

交换左右 32 比特 

初始逆置换 IP -1 

输出 64 比特密文数据 

DES 算法框图 

45

初始置换 IP 和初始逆置换 IP —1 

46

L i-1 (32 比特 ) R i-1 (32 比特 ) 

选择扩展运算 E 

48 比特寄存器 

子密钥 K i 

(48 比特 ) 


选择压缩运算 S 


置换运算 P 

L i (32 比特 ) 

R i (32 比特 ) 

L i =R i-1 

DES 的一轮迭代 

47

DES: Function F 

Expansion: 32 48 

S-box: 6 4 

Permutation: 

48

选择扩展运算 

32 | 01 02 03 04 | 05 

04 | 05 06 07 08 | 09 

08 | 09 10 11 12 | 13 

12 | 13 14 15 16 | 17 

16 | 17 18 19 20 | 21 

20 | 21 22 23 24 | 25 

24 | 25 26 27 28 | 29 

28 | 29 30 31 32 | 01 

49

选择压缩运算 

50

S-Box-i 

51

S-Box-ii 

52

S-Box 

• 对每个盒 ,6 比特输入中的第 1 和第 6 比特 

组成的二进制数确定的行 , 中间 4 位二进 

制数用来确定的列。中相应行、列位置 

的十进制数的 4 位二进制数表示作为输 

出。例如的输入为 101001, 则行数和列 

数的二进制表示分别是 11 和 0100, 即第 

3 行和第 4 列 , 第 3 行和第 4 列的十进制数 

为 3, 用 4 位二进制数表示为 0011, 所以 

的输出为 0011。 

53

Permutation 

16 07 20 21 29 12 28 17 

01 15 23 26 05 18 31 10 

02 08 24 14 32 27 03 09 

19 13 30 06 22 11 04 25 

54

子密钥的产生 

64 位密钥 

置换选择 1 

C 0 ( 28 位 ) D 0 ( 28 位 ) 

循环左移 

循环左移 

C 1 ( 28 位 ) D 1 ( 28 位 ) 

密钥表的计算逻辑 

循环左移 : 

1 1 9 1 

2 1 10 2 

3 2 11 2 

4 2 12 2 

5 2 13 2 

6 2 14 2 

7 2 15 2 

8 2 16 1 

k 1 

( 56 位 ) 


(48 位 ) 

循环左移 

循环左移 

C i ( 28 位 ) D i ( 28 位 ) 


( 56 位 ) ( 48 位 ) 

k i 

55

置换选择 1(PC-1) 

和置换选择 2(PC-2) 

56

密钥长度 

• 关于 DES 算法的另一个最有争议的问题 

就是担心实际 56 比特的密钥长度不足以 

56 

抵御穷举式攻击 , 因为密钥量只有 2 ≈10 

个 

• 早在 1977 年 ,Diffie 和 Hellman 已建议制 

造一个每秒能测试 100 万个密钥的 VLSI 芯 

片。他们估计制造这样的机器大约需要 

2000 万美元。 

17 

57

•1998 年 7 月电子前沿基金会 (EFF) 使 

用一台 25 万美圆的电脑在 56 小时内破 

译了 56 比特密钥的 DES。 

•1999 年 1 月 RSA 数据安全会议期间 , 

电子前沿基金会用 22 小时 15 分钟就宣 

告破解了一个 DES 的密钥。 

58

S 盒的设计准则 

• S- 盒首次出现在 Lucifer 算法中 , 因 DES 的使用而流行 . 

• S- 盒是许多密码算法的唯一非线性部件 , 因此 , 它的 

密码强度决定了整个算法的安全强度 . 

• 提供了密码算法所必须的混乱作用 . 

• 如何全面准确地度量 S- 盒的密码强度和设计有效的 

S- 盒是分组密码设计和分析中的难题 . 

• 非线性度、差分均匀性、严格雪崩准则、可逆性、 

没有陷门 

59

P 置换的设计准则 

•P 置换的目的是提供雪崩效应 ( 明文或密 

钥的一点小的变动都引起密文的较大变 

化 ) 

60

轮函数的设计准则 

• 安全性 

• 速度 

• 灵活性 : 能在多种平台实现 

61

轮函数的构造 

• 加法、减法和异或 

• 固定循环 / 移位 

• 数据依赖循环 

• 乘法 

62

分组密码的操作模式 

• 电子密码本 ECB (Electronic CodeBook 

mode) 

• 密码分组链接 CBC (Cipher Block 

Chaining) 

• 密码反馈 CFB (Cipher FeedBack) 

• 输出反馈 OFB (Output FeedBack) 

63

电子密码本 (ECB) 

‣C i = E K (P i ) ⇔ P i = D K (C i ) 

64

ECB 特点 

• 对明文进行 64bit 分组 

• 可以并行实现 

• 不能隐藏明文的模式信息 

– 相同明文相同密文 

– 同样信息多次出现造成泄漏 

• 对明文的主动攻击是可能的 

– 信息块可被替换、重排、删除、重放 

• 误差传递 : 密文块损坏仅对应明文块损坏 

• 适合于传输短信息 

65

密码分组链接 CBC 

• C i =E K (C i-1 ⊕P i ) ⇔ P i =E K (C i )⊕ C i-1 

66

CBC 特点 

• 没有已知的并行实现算法 

• 能隐藏明文的模式信息 

– 需要共同的初始化向量 IV 

– 相同明文不同密文 

• 对明文的主动攻击是不容易的 

– 信息块不容易被替换、重排、删除、重放 

• 误差传递 : 密文块损坏明文块损坏 

• 安全性好于 ECB 

• 适合于传输长度大于 64 位的报文 , 还可以进行 

用户鉴别 , 是大多系统的标准如 SSL、IPSec 

67

CFB 加密示意图 

C i =P i ⊕(E K (S i ) 的高 j 位 ) ; S i+1 =(S i

CFB 解密示意图 

P i =C i ⊕(E K (S i ) 的高 j 位 ); S i+1 =(S i

CFB 特点 

• 分组密码流密码 


• 隐藏了明文模式 

• 需要共同的移位寄存器初始值 IV 

• 对于不同的消息 ,IV 必须唯一 

• 误差传递 : 一个单元损坏影响多个单元 

70

OFB 加密示意图 

C i =P i ⊕(E K (S i ) 的高 j 位 );S i+1 =(S i

OFB 解密示意图 

P i =C i ⊕(E K (S i ) 的高 j 位 ); S i+1 =(S i

OFB 特点 

• OFB: 分组密码流密码 


• 隐藏了明文模式 

• 需要共同的移位寄存器初始值 IV 

• 误差传递 : 一个单元损坏只影响对应单元 

• 对明文的主动攻击是可能的 

– 信息块可被替换、重排、删除、重放 

• 安全性较 CFB 差 

73

双密钥的三重 DES 

(Triple DES with Two Keys) 

•C=E K1 (D K2 (E K1 (P))) ⇔ P=D K1 (E K2 (D K1 (C))) 

74

国际数据加密 IDEA(International Data 

Encryption Algorithm) 算法 

•1990 年瑞士联邦技术学院的来学嘉和 

Massey 提出了 PES,91 年修订 ,92 公布细 

节 

• 设计目标从两个方面考虑 

◦ 加密强度 

◦ 易实现性 

• 强化了抗差分分析的能力 

75

IDEA 

加密 

算法 

76

IDEA 

每一轮 

77

AES 背景 -i 

• 1997 年 4 月 15 日 ,( 美国 ) 国家标准技术研究所 (NIST) 

发起征集高级加密标准 (Advanced Encryption 

Standard)AES 的活动 , 活动目的是确定一个非保密的、 

可以公开技术细节的、全球免费使用的分组密码算法 , 作 

为新的数据加密标准。 

• 1997 年 9 月 12 日 , 美国联邦登记处公布了正式征集 AES 候 

选算法的通告。作为进入 AES 候选过程的一个条件 , 开发 

者承诺放弃被选中算法的知识产权。 

◦ 对 AES 的基本要求是 : 比三重 DES 快、至少与三重 DES 一样安 

全、数据分组长度为 128 比特、密钥长度为 128/192/256 比特。 

78

AES 背景 -ii 

• 1998 年 8 月 12 日 , 在首届 AES 会议上指定了 15 个 

候选算法。 

• 1999 年 3 月 22 日第二次 AES 会议上 , 将候选名单 

减少为 5 个 , 这 5 个算法是 RC6 , Rijndael , 

SERPENT,Twofish 和 MARS。 

• 2000 年 4 月 13 日 , 第三次 AES 会议上 , 对这 5 个 

候选算法的各种分析结果进行了讨论。 

• 2000 年 10 月 2 日 ,NIST 宣布了获胜者 —Rijndael 

算法 ,2001 年 11 月出版了最终标准 FIPS 

PUB197。 

79

Rijndael 简介 

• 不属于 Feistel 结构 

• 加密、解密相似但不对称 

• 支持 128/32=Nb 数据块大小 

• 支持 128/192/256(/32=Nk) 密钥长度 

• 有较好的数学理论作为基础 

• 结构简单、速度快 

80

AES 参数 

81

SP 网络结构 

在这种结构的每一轮中 , 轮输入首先被一个由子密钥控 

制的可逆函数 S 作用 , 然后再对所得结果用置换 ( 或可逆 

线性变换 )P 作用。S 和 P 分别被称为混乱层和扩散层 , 主 

要起混乱和扩散作用。 

82

AES 算法结构 -ii 

83

AES- 

128 

加解 

密过 

程 

84

字节代替 (Substitute Bytes ) 变换 

• 字节代替是一个非线性的字节代替 , 独立地在每个 

状态字节上进行运算。代替表 (S- 盒 ) 是可逆的 , 

是一个 16×16 的矩阵。 

85

ByteRotation( 字节移位 ) 

在 ByteRotation 变换中 , 状态阵列的后 3 行循环移位不 

同的偏移量。第 1 行循环移位 C1 字节 , 第 2 行循环移位 C2 字 

节 , 第 3 行循环移位 C3 字节。 

偏移量 C1、C2、C3 与分组长度 Nb 有关 , 如下表所示 : 

Nb C1 C2 C3 

4 1 2 3 

6 1 2 3 

8 1 3 4 

87

Fig 7. ByteRotation 

0 4 8 12 

1 5 9 13 

2 6 10 14 

3 7 11 15 

循环左移 1 字节 



0 4 8 12 

5 9 13 1 

10 14 2 6 

15 3 7 11 

88

MixColumn( 列混合 ) 

令 b(x) = c(x) × a(x), 写成矩阵形式为 : 

b0 

02 03 01 01 a0 

b1 = 01 

02 03 01 a1 

b2 01 01 

02 03 a2 

b3 03 01 01 02 a3 

89

Fig 8. MixColumn 

这一运算作用在每一列上 

A0,0 A0,1 A0,2 A0,3 

B0,0 B0,1 B0,2 B0,3 

A1,0 A1,1 A1,2 A1,3 

B1,0 B1,1 B1,2 B1,3 

A2,0 A2,1 A2,2 A2,3 

B2,0 B2,1 B2,2 B2,3 

A3,0 A3,1 A3,2 A3,3 

B3,0 B3,1 B3,2 B3,3 

× C(X) 

90

2.4 AddRoundKey( 轮密钥加 ) 

将轮密钥与状态按比特异或。轮密钥是通过 Key Schedule 

过程从密码密钥中得到的 , 轮密钥长度等于分组长度。 

91

A0,0 A0,1 A0,2 A0,3 

K0,0 K0,1 K0,2 K0,3 

A1,0 A1,1 A1,2 A1,3 

A2,0 A2,1 A2,2 A2,3 

+ 

K1,0 K1,1 K1,2 K1,3 

K2,0 K2,1 K2,2 K2,3 

A3,0 A3,1 A3,2 A3,3 

K3,0 K3,1 K3,2 K3,3 

B0,0 B0,1 B0,2 B0,3 

B1,0 B1,1 B1,2 B1,3 

A3,3 + K3,3 = B3,3 (mod 2) 

B2,0 B2,1 B2,2 B2,3 

B3,0 B3,1 B3,2 B3,3 

92

AES 的密钥调度 

密钥调度包括两个部分 : 密钥扩展和轮密钥选取。 

• 密钥 bit 的总数 = 分组长度 ×( 轮数 Round+1) 

例如当分组长度为 128bits 和轮数 Round 为 10 

时 , 轮密钥长度为 128×(10+1)=1408bits。 

• 将密码密钥扩展成一个扩展密钥。 

• 从扩展密钥中取出轮密钥 : 第一个轮密钥由扩展 

密钥的第一个 Nb 个 4 字节字 , 第二个圈密钥由接 

下来的 Nb 个 4 字节字组成 , 以此类推。 

93

密钥扩展 

K0,0 K0,1 K0,2 K0,3 

K1,0 K1,1 K1,2 K1,3 

K2,0 K2,1 K2,2 K2,3 

K3,0 K3,1 K3,2 K3,3 

K0 K1 K2 K3 

+ 

K0 K1 K2 K3 K4 K5 K6 K7 

+ 

+ 

94

K0 K1 K2 K3 K4 K5 K6 K7 

Byte 

Substitution 

ByteRotate 

+ Rcon 

95

4 =

Wi-4 

Wi-3 

Wi-2 

+ 

Wi-1 

Byte 

Substituion 

Byte 

Rotate 

+ Rcons 

i mod 4 != 0 

Wi 

i mod 4 = 0 

Key expansion 

96

轮密钥选取 

K0 K1 K2 K3 K4 K5 K6 K7 K8 K9 K10 K11 K12 

轮密钥 0 轮密钥 1 轮密钥 2 

97

公钥密码 

• 公钥密码又称为双钥密码和非对称密码 , 是 1976 年由 

Diffie 和 Hellman 在其 “ 密码学新方向 ” 一文中提出的 , 见 

文献 : 

W.Diffie and M.E.Hellman, New Directrions in 

Cryptography, IEEE Transaction on Information 

Theory, V.IT-22.No.6, Nov 1976, PP.644-654 

• RSA 公钥算法是由 Rivest,Shamir 和 Adleman 在 1978 年 

提出来的 , 见 

Communications of the ACM. Vol.21.No.2. Feb. 

1978, PP.120-126 

98

公开密钥密码的重要特性 

• 加密与解密由不同的密钥完成 

加密 : XY: Y = E KU (X) 

解密 : YX: X = D KR (Y) = D KR (E KU (X)) 

• 知道加密算法 , 从加密密钥得到解密密钥在 

计算上是不可行的 

• 两个密钥中任何一个都可以用作加密而另 

一个用作解密 

X = D KR (E KU (X)) = E KU (D KR (X)) 

99

用公钥密码实现保密 

• 用户拥有自己的密钥对 (K U ,K R ) 

• 公钥 K U 公开 , 私钥 K R 保密 

•AB: Y=E KUb (X) 

•B: D KRb (Y)= D KRb (E KUb (X))=X 

100

基于公开密钥的加密过程 

101

用公钥密码实现鉴别 

• 鉴别 : 

AALL: Y=D KRa (X) 

ALL: E KUa (Y)=E KUa (D KRa (X))=X 

• 鉴别 + 保密 : 

AB: Z= E KUb (D KRa (X)) 

B: E KUa (D KRb (Z))=X 

102

基于公开密钥的鉴别过程 

103

基本思想和要求 

• 涉及到各方 : 发送方、接收方、攻击者 

• 涉及到数据 : 公钥、私钥、明文、密文 

• 公钥算法的条件 : 

◦ 产生一对密钥是计算可行的 

◦ 已知公钥和明文 , 产生密文是计算可行的 

◦ 接收方利用私钥来解密密文是计算可行的 

◦ 对于攻击者 , 利用公钥来推断私钥是计算不可行 

的 

◦ 已知公钥和密文 , 恢复明文是计算不可行的 

◦( 可选 ) 加密和解密的顺序可交换 

104

公钥密码基于的数学难题 

• 大整数分解问题 (The Integer Factorization 

Problem,RSA 体制 ) 

• 背包问题 

• 有限域的乘法群上的离散对数问题 

(The Discrete Logarithm Problem, 

ElGamal 体制 ) 

• 椭圆曲线上的离散对数问题 (The Elliptic 

Curve Discrete Logarithm Problem, 

类比的 ElGamal 体制 ) 

105

RSA 算法 

• 1977 年由 Ron Rivest、Adi Shamir 和 Len Adleman 

发明 ,1978 年公布 

• 是一种分组加密算法 

• 应用最广泛的公钥密码算法 

• 只在美国申请专利 , 且已于 2000 年 9 月到期 

106

RSA 算法描述 

RSA 加、解密算法 

• 分组大小为 k, 2k < n 

• 公开密钥 n( 两素数 p 和 q 的乘积 )( 推荐 p,q 等长 ) 

e( 与 (p-1)(q-1) 互素 ) 

ed≡1(mod(p-1)(q-1)) 

• 私人密钥 d=e -1 mod(p-1)(q-1) ) 

• 加密 c=m e mod n 

• 解密 m=c d mod n 

107

密钥生成算法 

• 选择两个素数 p,q p 和 q 都是素数 

• 计算 n=pq 

• 计算 Φ(n)=(p-1)(q-1) 

• 选择整数 e gcd(Φ(n),e)=1,1

加密 / 解密算法 

• 加密 

◦ 明文 :M

举例 ( 密钥产生 ) 

• 选择两个素数 p,q p=7,q=17 

• 计算 n=pq 

n=pq=7x17=119 

• 计算 Φ(n)=(p-1)(q-1) Φ(n)=6x16=96 

• 选择整数 e gcd(Φ(n),e)=1,1

举例 ( 加密 / 解密 ) 

明文 =19 

19^5=2476099 

2476099/119=20807 余数为 66 

密文 =66 

密文 =66 

KU=5,119 

66^77=1.27…x10^140 

1.27…x10^140 /119=1.06…x10^138 余数为 

19 

明文 =19 

KR=77,119 

111

实现要求 

• 要求 : 若使 RSA 安全 ,p 与 q 必为足够大的 

素数 , 使分析者没有办法在多项式时间内 

将 n 分解出来。建议选择 p 和 q 大约是 100 位 

的十进制素数。模 n 的长度要求至少是 

512 比特。EDI 攻击标准使用的 RSA 算法中 

规定 n 的长度为 512 至 1024 比特位之间 , 

但必须是 128 的倍数。国际数字签名标准 

ISO/IEC 9796 中规定 n 的长度为 512 比特位 . 

至 1996 年 , 建议使用 768 位的模 n。 

112

背包问题 

• 背包问题描述 : 给定重量分别为 a 1 ,a 2 ,…a n 的 n 个 

物品 , 装入一个背包中 , 要求重量等于一个给定值 , 

那么究竟是那些物品 

• 0-1 背包问题 : 

◦ 给定一个正整数 S 和一个背包向量 A=(a 1 ,…,a n ), 其中 a i 是 

正整数 , 求满足方程 

S = ∑a i x i 的二进制向量 X=(x 1 ,…,x n )。 

◦ 这是一个 NP 完全问题 , 解决这个问题所需要的时间与 n 呈 

指数增长 

113

背包问题用于公钥密码学 

• 做法 : 明文为 X,S 为密文 

• 奥妙在于有两类背包 , 一类可以在线性时间 

内求解 , 另一类则不能 

• 把易解的背包问题修改成难解的背包问题 

– 公开密钥使用难解的背包问题 

– 私钥使用易解的背包问题 

114

易解的背包问题 —— 超递增背包 

• 满足下列条件的背包 

a i > ∑a j (j = 1,…,i-1) 

• 这样的背包也被称为简单背包 

• 求解 

– 从最大的 a i 开始 , 如果 S 大于这个数 , 则减去 a i , 记 x i 为 

1, 否则记 x i 为 0 

– 如此下去 , 直到最小的 a i 

• 例如背包序列 {2, 3, 6, 13, 27, 52} 

– 求解 70 的背包 

• 结果为 {2, 3, 13, 52} 

• 所以 , 密文 70 对应的明文为 110101 

115

转换背包 

• 简单背包用作私钥 

• 如何产生相应的公钥 —— 转换 

– 做法 : 

选择一个整数 m > ∑a i (i = 1,…,n) 

然后选择一个与 m 互素的整数 w, 

a i' = wa i (mod m) (i = 1,…,n) 

这里的 a i 

' 

是伪随机分布的 

这样得到的背包是非超递增背包 

116

基于背包问题的公钥密码系统 

• 加密 

– 将明文分为长度为 n 的块 X=(x 1 ,…,x n ) 

– 然后用公钥 A ' = (a 1 ' 

, …, a n ' 

), 将明文变为密文 

S = E(X) = ∑a i ' 

x i 

• 解密 

– 先计算 S ' = w -1 S mod m 

– 再求解简单背包问题 

S ' = ∑a i x i 

117

Eaxmple- 从私钥计算公钥 

• 私钥 {2,3,6,13,27,52} 

•w=31, m=105 

2*31 mod 105= 62 

3*31 mod 105=93 

6*31 mod 105=81 

13*31 mod 105= 88 

27*31 mod 105=102 

52*31 mod 105= 37 

• 公钥 {62,93,81,88,102,37} 

118

Eaxmple- 加密 

• 消息 =011000 110101 101110 

• 明文 : 0 1 1 0 0 0 

• 背包 : 62 93 81 88 102 37 

• 密文 :93+81=174 

•011000 对应于 93+81=174 

•110101 对应于 62+93+88+37=280 

•101110 对应于 62+81+88+102=333 

119

Eaxmple- 解密 

• 解密者知道 {2,3,6,13,27,52}, w,m 

• 计算 w(w -1 )=1mod(m) 

• w -1 =61 

• 174*61 mod 105=9=3+6, 对应于 011000 

• 280*61 mod 105=70=2+3+13+52, 对应于 110101 

• 333*61 mod 105=48=2+6+13+27, 对应于 101110 

• 因此 , 消息 =011000 110101 101110 

120

公开密钥密码总结 

• 三类算法 : RSA, ElGamal, ECC 

•RSA 

– 基础 : IFP(Integer Factorization Problem) 

– 加 / 解密、密钥交换、数字签名 

– 使用最广泛 

•ElGamal 

– 基础 : DLP(Discrete Logarithm Problem) 


121

公开密钥密码总结 

•ECC 

– 基础 : ECDLP(Elliptic Curve Discrete 

Logarithm Problem) 


– 密钥短 , 速度快 

– 正在开始广泛应用 

• 公钥算法加密解密速度慢 

• 误区 : 公开密钥密码算法更安全 

公开密钥密码使对称密钥密码过时了 

公钥的分发是简单和一目了然的 

122

Lecture 2 密码学

Create successful ePaper yourself

Delete template?

Save as template?