密码学系列之四:一文搞懂序列密码 | 您所在的位置:网站首页 › 移位是指 › 密码学系列之四:一文搞懂序列密码 |
序列密码
1. 基本概念1.1 定义1.2 基本原理1.3 序列密码的特点
2 线性反馈移位寄存器2.1 定义2.2
m
m
m序列2.3 带进位的反馈移位寄存器
3. 非线性序列3.1 Geffe发生器3.2 J-K触发器3.3 Pless生成器3.4 门限发生器
4. 典型序列密码算法4.1 RC44.2 A5
1. 基本概念
序列密码,又称为流密码,属于对称密码体制,它一次只对明文消息的单个字符(通常是二进制位)进行加解密变换,具有实现简单、速度快、错误传播少等特点,是世界各国的军事和外交等领域中使用的主要密码体制之一。 序列密码的起源可追溯到Vernam密码算法,由美国电话电报公司的G.W.Vernam于1917年发明。若Vernam体制中的密钥序列是随机序列时,则为“一次一密”密码体制(one-time-pad),理论上是不可破译的。由于随机密钥序列的产生、分发及管理等方面存在一定的困难,Vernam体制在当时未得到广泛应用。随着微电子技术和数学理论的发展和完善,基于伪随机序列的序列密码得到了长足的发展和应用。 1.1 定义在序列密码中,将明文消息按一定长度(长度较小)分组,对各组用相关但不同的密钥逐位加密产生相应的密文,相同的明文分组会因在明文序列中的位置不同而对应于不同的密文分组,接收者用相同的密钥序列对密文序列逐位解密恢复出明文。
序列密码一般分为: 同步序列密码:密钥序列的产生需要收发双方进行同步,密钥序列的产生完全独立于明文消息和密文消息自同步序列密码:密钥序列的产生是密钥及固定大小的以往密文位的函数 1.2 基本原理序列密码的加解密只是简单的模二加运算,其安全强度主要依赖于密钥序列的随机性。密钥序列产生器(KG,Keystram Generator)的要求如下: 种子密钥 K K K的长度足够大,一般应在128位以上生成的密钥序列 k i {k_i} ki具有极大周期 k i {k_i} ki具有均匀的 n n n-元分布,即在一个周期环上,某特定形式的 n n n-长bit串与其求反,两者出现的频数大抵相当(例如,均匀的游程分布)利用统计方法由 k i {k_i} ki提取关于KG结构或K的信息在计算上不可行混乱性,即 k i {k_i} ki的每一bit均与K的大多数bit有关扩散性,即 K K K任一bit的改变要引起 k i {k_i} ki在全貌上的变化密钥序列 k i {k_i} ki不可预测,密文及相应的明文的部分信息,不能确定整个 k i {k_i} ki根据Rainer Rueppel的理论,密钥序列产生器的内部框可分为 驱动部分:产生控生成器的状态序列,并控制生成器的周期和统计特性。一般利用线性反馈移位寄存器(LSFR,Linear Feedback Shift Register),如利用最长周期或 m m m序列产生器实现。组合部分:组合部分对驱动部分的各个输出序列进行非线性组合,控制和提高产生器输出序列的统计特性、线性复杂度和不可预测性 1.3 序列密码的特点 安全强度取决于密钥序列的随机性和不可预测性密钥分配困难能较好的隐藏明文的统计特性实时性好、加解密速度快、易实现分组密码和序列密码都属于对称密码,但具有较大不同: 分组密码 把明文分成相对比较大的块,对于每块使用相同的加密函数进行处理,(纯)分组密码是无记忆的算法关键在于加解密算法,使明文和密文之间关联在密钥的控制下尽可能复杂序列密码 明文长度可小到1bit,序列密码是有记忆的,又被称作状态密码算法关键在于密钥序列产生器,使生成的密钥序列具有尽可能高的不可预测性。但序列密码和分组密码的区别也不是绝对的,如果把分组密码增加少量的记忆模块(如分组密码的CFB模式或OFB模式)就形成了一种序列密码。 2 线性反馈移位寄存器 2.1 定义反馈移位寄存器(FSR,Feedback Shift Register)一般由移位寄存器和**反馈函数(Feedback Function)**组成。
最简单的反馈移位寄存器是线性反馈移位寄存器(LFSR,Linear Feedback Shift Register)。 反馈函数是寄存器中某些位简单异或,这些位叫做抽头序列(Tap Sequence),有时也叫 Fibonacci 配置(Fibonacci Configuration)。 举例: 一个 3 3 3级反馈移位寄存器,反馈函数 f ( x ) = b 2 ⊕ b 3 f(x) = b_2 \oplus b_3 f(x)=b2⊕b3,初态为 100 100 100,输出序列生成过程如下(周期长度为3): (1)定义 线性反馈移位寄存器输出序列的性质完全由其反馈函数决定,一个 n n n位LSFR能够处于 2 n − 1 2^{n}-1 2n−1个内部状态中的一个,即理论上, n n n位LFSR在重复之前能够产生 2 n − 1 2^{n}-1 2n−1位长的伪随机序列(是 2 n − 1 2^{n}-1 2n−1而不是 2 n 2^{n} 2n是因为全0的状态将使LFSR无止尽地输出0序列)。 只要选择合适的反馈函数便可使序列的周期达到最大值 2 n − 1 2^{n}-1 2n−1,即只有具有一定抽头序列的LFSR才能循环地遍历所有 2 n − 1 2^{n}-1 2n−1个内部状态,这个输出序列被称为** m m m序列**。 为了使LFSR成为最大周期LFSR,由抽头序列加上常数1形成的多项式必须是本原多项式,多项式的阶即移位寄存器的长度。 举例: 本原多项式 p ( x ) = ( 1 + x 3 + x 4 ) p(x) = (1+x^3+x^4) p(x)=(1+x3+x4)
(2) m m m序列的破译 m m m序列本身是适宜的伪随机序列生成器,但在已知明文攻击下,假设破译者已知 2 n 2n 2n位明密文对 M = { m 1 , m 2 , . . . , m 2 n } M=\{m_1,m_2,...,m_{2n}\} M={m1,m2,...,m2n}, C = { c 1 , c 2 , . . . , c 2 n } C=\{c_1,c_2,...,c_{2n}\} C={c1,c2,...,c2n},则可确定一段 2 n 2n 2n位长的密钥序列 K = { k 1 , k 2 , … , k 2 n } K=\{k_1,k_2,…,k_{2n}\} K={k1,k2,…,k2n}(因为 k i = m i ㊉ c i k_i = m_i㊉c_i ki=mi㊉ci),由此可以完全确定出反馈多项式的系数,从而可确定该线性反馈移位寄存器连续的 n + 1 n+1 n+1个状态,也就能够得到余下的密钥序列。 2.3 带进位的反馈移位寄存器带进位的反馈移位寄存器,又称FCSR(Feedback with Carry Shift Register),它与LFSR类似,都有一个移位寄存器和一个反馈函数,不同之处在于FCSR有一个进位寄存器。它不是把抽头序列中所有的位异或,是把所有的位相加,并与进位寄存器的值相加,将结果模2可得到 b n b_n bn的新值,将结果除2就得到进位寄存器新的值。 3. 非线性序列为使密钥流生成器输出的二元序列尽可能复杂,应保证其周期尽可能大、线性复杂度和不可预测性尽可能高,因此常用多个LFSR来构造二元序列。LSFR作为驱动源,输出序列推动一个非线性函数产生非线性序列。 3.1 Geffe发生器Geffe密钥序列发生器使用了3个LFSR以非线性方式组合而成,2个LFSR作为复合器的输入,第3个LFSR控制复合器的输出。
J-K触发器两个输入端分布用J和K表示,
J-K触发器具有良好的统计特性,但不能抵抗Ross Anderson的中间相遇一致性攻击和线性一致性攻击。 3.3 Pless生成器为克服J-K触发器的缺点,Pless提是出了由多个J-K触发器序列驱动的多路复合序列方案,即Pless生成器。它由 8个LFSR、4个J-K触发器和1个循环计数器构成,由循环计数器进行选通控制。 门限发生器通过使用可变数量的LSFR来避免相关安全性问题,但实质上难以抵看有关攻击,不建议使用。 RC4(Ron RivestCipher)以随机置换为基础,是一个可变密钥长度、面向字节操作的序列密码,该算法由于加解密速度快(比DES快约10倍)、易于软件实现,广泛应用于Microsoft Windows、Lotus Notes等软件中,以及安全套接字层(SSL,Secure Sockets Layer)传输信息。 与基于移位寄存器的序列密码不同,RC4是典型的基于非线性数组变换的序列密码。它以一个足够大的数组为基础,对其进行非线性变换,产生非线性的密钥序列,一般把这个大数组称为S盒。RC4的S盒的大小根据参数 n n n(通常 n = 8 n=8 n=8)的值变化,理论上来说,RC4算法可以生成总数为 N = 2 n N=2^n N=2n个的S盒。 **(1) 密钥调度算法(KSA,Key-Scheduling Algorithm)**用来设置S的初始排列。 首先,初始化S盒与向量T S [ i ] = i , T [ i ] = K [ i m o d k e y L e n ] , i = 0 , 1 , . . . , 2 n − 1 S[i] = i, T[i] = K[i\mod keyLen],i = 0,1,...,2^n-1 S[i]=i,T[i]=K[imodkeyLen],i=0,1,...,2n−1其中, K K K为种子密钥, k e y L e n keyLen keyLen为种子密钥的长度(一般不低于128位)。
首先,将 S [ i ] S[i] S[i]置换为 S [ j ] S[j] S[j],其中$ i= (i+1)(\mod 256), j= (j+S[i])( \mod 256)$, 然后,输出密钥
k
=
S
[
t
]
k = S[t]
k=S[t],其中
t
=
(
S
[
i
]
+
S
[
j
]
)
(
m
o
d
256
)
t = (S[i]+S[j])(\mod 256)
t=(S[i]+S[j])(mod256) 举例 对于 n = 3 n=3 n=3的RC4,选取5、6、7作为密钥,初始化S盒与向量T:![]() A5算法是GSM 系统中要使用的序列密码加密算法之一,用于加密手机终端基站之间的传输的语音和数据,目前已被攻破。 该算法由一个22bit长的参数(帧号码, Fn)和64 bit长的参数(会话密钥,Kc)生成两个114 bit长的序列(密钥流),然后与GSM会话每帧(228 bit/帧)异或。
这3个加密器的移位是由时钟控制的,且遵循“服从多数”的原则。即从每个寄存器中取出一个中间位进行运算判断,若在取出的3个中间位中至少有2个为“1”,则为“1”的寄存器进行一次移位,而为“0”的不移。反之,若3个中间位中至少有2个为“0”,则为“0”的寄存器进行一次移位,而为“1”的不移。 |
CopyRight 2018-2019 实验室设备网 版权所有 |