代换,S盒。扩散和混淆,这些概念构成了分组password学的基础。
假设明文和密文的分组长度都为n比特,则明文的每个分组都有2n个可能的取值;
代换:
为使加密运算可逆(即解密运算可行),明文的每个分组都应产生唯一的一个密文分组(多对一),这样
的变换是可逆的,称明文分组到密文分组的可逆变换为代换。
S盒:
一般地,对n比特的代换结构。密钥的大小是n*2n比特。如对64比特的分组。密钥大小应该是64*264比特,
难以处理。
实际中常将n分成较小的段。比如可选n==rn0,当中r,n0都是整正数。将设计n个变量的代换变为
设计r个较小的子代换,而每一个子代换仅仅有n0个输入变量。一般n0都不太大。称每一个子代换为代换盒。简称
S盒。
比如,在DES中将输入为48比特。输出为32比特的代换用8个S盒来实现,每一个S盒的输入端仅为6比特
。输出端仅为4比特。
扩展和混淆:
是设计password系统的两种基本方法,目的是抵抗对手对password系统的统计分析。
扩散就是将明文的统计特性散布到密文中去,实现方式是使得密文中每一位由明文中多位产生。在二元组password中
,可对数据反复运行某个置换。再对这一个置换作用于某个函数。就可以获得扩散。
扩散的目的是使明文和密文之间
的统计关系变得尽可能复杂;
混淆是使密文与密钥之间的统计关系尽可能复杂,以使对手无法得到密钥。
使用复杂的代换算法可得到预期的混淆
效果,而简单的线性代换函数得到的混淆效果不够理想。
扩散和混淆成功地实现了分组password的本质属性。因而成为设计现代分组password的基础。
分组加密步骤
分组加密算法是对一定大小的明文或者密文做加密或者解密动作。在DES加密系统中。每次
加密或者解密的分组大小均为64位。所以DES没有密文扩展问题。
对于大于64位的明文仅仅要按
每位64位一组进行分割,而对于小于64位的明文仅仅要在后面补“0”就可以。
DES所用加密或解密密钥也是64位大小,可是当中有8为是奇偶校验位,所以64位中真正起密钥
作用的仅仅有56位。DES加密与解密所用的算法除了子密钥的顺序不同外,其它部分全然同样。
对于随意长度的明文,DES首先对其进行分组,使得每一组的长度为64位,然后分别对每一个
64位的明文组进行加密。
每一个64位长度的明文分组的加密步骤例如以下:
1。初始置换:输入分组依照初始置换表重排序。进行初始置换。
2,16轮循环:DES对经过初始置换的64位明文进行16轮类似的子加密过程。
每一轮的子
加密过程要经过DES的f函数,其步骤例如以下:
a,将64位从中间,划分为2部分,每个部分32位,左半部分记为L。右半部分
记为R,以右半部分进行说明:
a1,扩展置换:
将32位的输入数据依据扩展置换表扩展成48位的输出数据。
a2,异或运算:
将48位的明文数据与48位的子密钥进行异或运算(以下会说明子密钥产生过程)
a3,S盒代换:
S盒代换是非线性的,48位的输入数据S盒置换表置换成32位输出数据。
a4,直接置换:
S盒置换后的32位输出数据依据直接置换表进行直接置换。
a5,经过直接置换的32位输出数据与本轮的L部分进行异或操作,结果作为
下一轮子加密过程的R部分。本轮的R部分直接作为下一轮子加密过程的L部分。
然后进入下一轮子加密过程,直到16轮所有完毕。
3,终结置换;依照终结置换表进行终结置换,64位输出就是密文。
在每一轮的子加密过程中,48位的明文数据要与48位的子密钥进行异或或运算,子密钥的
产生步骤例如以下:
a,循环左移:依据循环左移表对C和D进行循环左移,循环左移后的C和D部分作为
下一轮子密钥的输入数据,直到16轮所有完毕。
b,将C和D部分合并成为56位数据。
c,压缩型换位2:56的输入数据依据压缩型换位2表输出48位的子密钥,这48位的子密钥
将与48位的明文数据进行异或操作。
初始置换:
经过分组后的64位明文分组将依照初始置换表又一次排序次序,进行初始置换,置换方法例如以下:
初始置换表从左到右,从上到下读取。如第一行第一列为58。意味着将原明文分组的第58位置换
到第1位,初始置换表的下一个数为50,意味着将原明文的分组的第50位置换到第2位,依次类推。将
原明文分组的64位所有置换完毕。
置换表
58 50 42 34 26 18 10 2
60 52 44 36 28 20 12 4
62 54 46 38 30 22 14 6
64 56 48 40 32 24 16 8
57 49 41 33 25 17 9 1
59 51 43 35 27 19 11 3
61 53 45 37 29 21 13 5
63 55 47 39 31 23 15 7
16轮循环
经过了初始置换的64位明文数据在中间生成2部分,每部分32位,左半部分L0和右半部分R0.然后
,L0和RO进入加密过程。
RO经过一系列的置换得到32位输出,再与L0进行异或运算。其结果成为
下一轮的R1,R0则成为的L1。如此连续运作16轮。
异或——XOR
Ri = Li-1 XOR f(Ri-1,Ki)
Li = Ri-1(i=1,2,3,4.......16)
每一轮的循环中,右半部分须要经过一系列的子加密过程,这个子加密过程也叫做f函数,子加密
过程包含
a1,扩展置换
a2,异或运算
a3,S盒代换
a4,直接置换
扩展置换
32位的右半部分明文数据首先要进行扩展置换,扩展置换将32位的输入数据扩展成48位
的输出数据。其目的:1,产生了与密钥同长度的数据以进行异或运算;2,它提供了更长
的结果,使得在以后的子加密过程中能进行压缩。3。它产生雪崩效应。这也是扩展置换、
最基本的目的,使得输入的一位将影响两个替换,所以输出对输入的依赖性将传播的更快
(雪崩效应),扩展置换的置换方法更初始置换同样,仅仅是置换表不同,扩展置换表例如以下
扩展置换表
32 1 2 3 4 5
4 5 6 7 8 9
8 9 10 11 12 13
12 13 14 15 16 17
16 17 18 19 20 21
20 21 22 23 24 25
24 25 26 27 28 29
28 29 30 31 32 1
异或运算 同样为0,不同为1
S盒置换
是算法中最重要的部分,由于其它的运算都是线性的。易于分析,仅仅有S盒是非线性的,它
比其它不论什么一步都提供了更好的安全性。
经过异或得到的48位输出数据要经过S盒置换。置换由8个盒完毕,记为S盒。
每一个S盒都有6位输入,4位输出。
每一个S盒是不同的,每一个S盒的置换方法例如以下表,用法:48位的输入分成8组。没组6位
,分别进入8个S盒,将每一个组的6位输入记为B0B1B2B3B4B5。那么表中的行号由B0,B5决定。
而列号由B1 B2 B3 B4决定。
比如。第一个分组111000要进入第一个S盒S1。那么行号位10(B0B5)
即第2行,列号位1100(B1B2B3B4)即第12列,第2行第12列相应的数据为3。所以这个S盒的4位
输出就是3的二进制0011
S[1])
14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7
0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8
4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0
15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13
S[2]
15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10
3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5
0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15
13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9
S[3]
10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8
13 7 0 9 3 4 6 10 2 8 5 14 12 11 15 1
13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7
1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12
S[4]
7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15
13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9
10 6 9 0 12 11 7 13 15 1 3 14 5 2 8 4
3 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14
S[5]
2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9
14 11 2 12 4 7 13 1 5 0 15 10 3 9 8 6
4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14
11 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3
S[6]
12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11
10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8
9 14 15 5 2 8 12 3 7 0 4 10 1 13 11 6
4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13
S[7]
4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1
13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6
1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12
S[8]
13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7
1 15 13 8 10 3 7 4 12 5 6 11 0 14 9 2
7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8
2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11
直接置换
盒置换后的32位输出数据将进行直接置换,该置换把每一个输入位映射到输出位。随意一位、
不能被映射两次,也不能略去。直接置换表的用法与初始置换同样。
直接置换表
16 7 20 21
29 12 28 17
1 15 23 26
5 18 31 10
2 8 24 14
32 27 3 9
19 13 30 6
22 11 4 25
终结置换
终结置换与初始置换相相应。他们都不影响DES的安全性。主要目的是为了更easy的将明文
和密文数据以字节大小放入DES的f算法中,终结置换表和初始置换表的用法同样。
终结置换表
40 8 48 16 56 24 64 32
39 7 47 15 55 23 63 31
38 6 46 14 54 22 62 30
37 5 45 13 53 21 61 29
36 4 44 12 52 20 60 28
35 3 43 11 51 19 59 27
34 2 42 10 50 18 58 26
33 1 41 9 49 17 57 25
子密钥
C和D要经过16轮类似的操作产生16份子密钥,每一轮子密钥的产生都要经过循环左移和压缩型换位2.
循环左移要求C部分和D部分要依据循环左移表进行左移,循环左移表给出了每一轮须要循环左移的
位数,寻黄左移后的C和D部分作为下一轮子密钥的输入数据,直到16轮所有完毕。
轮数 循环左移位数
1 1
2 1
3 2
4 2
5 2
6 2
7 2
8 2
9 1
10 2
11 2
12 2
13 2
14 2
15 2
16 1
经过循环左移之后。C和D部分合并成为56位的数据。之后这56位数据要经过压缩型换位2
生成终于的48位子密钥,这48位的子密钥将与48位的明文数据进行异或操作。
压缩型换位2置换表
14 17 11 24 1 5
3 28 15 6 21 10
23 19 12 4 26 8
16 7 27 20 13 2
41 52 31 37 47 55
30 40 51 45 33 48
44 49 39 56 34 53
46 42 50 36 29 32