3.2 对称分组密码的设计原理与方法

3.2.1 对称分组密码的三个安全设计原则

分组密码将明文消息编码表示后的数字(简称明文数字)序列,划分成长度为 n 的组(可看成长度为n的矢量),每组分别在密钥的控制下变换成等长的输出数字(简称密文数字)序列。

图3.1 分组密码模型

首先,分组加密算法本质上实现了n位明文组和n位密文组的一一映射,当n较小时,等价于代替变换。例如n = 3,表3.1给出了一个3位分组密码。这是分组密码的最一般形式,能用来定义明密文之间的任意可逆变换。但这种方法有着实际上的困难,对于n = 3这样较小的分组,类似于古典密码,因为明密文的空间有限,用统计分析方法攻击它是轻而易举的,它的脆弱性来源于分组太少。如果 n 充分大,并且有一个明密文之间的任意可逆变换,那么明文的统计特征将被掩盖。但从实际运行的角度来看,使用大规模分组的任意可逆代替密码是不可行的,一般地,对于n位的一般代替分组密码,不同变换的总数为(2n)!,也就是密钥个数为(2n)!,表示任一特定代替所需的二进制数字的位数为:

即所需密钥长度达n2n位。

n=4时,4×24=64,需要64位的密钥来表示一个任意代替。

n=64时,表示一个任意代替的密钥的大小将是64×264=270 ≈1021位。

通过以上分析,可以看出,设计分组密码时,分组长度 n 要足够大,不是为了满足密钥的空间,主要是为了防止明文的穷举攻击,对抗明文的统计分析。此外,任意代替的密钥表的传递和使用也是一个实际的困难。我们将要介绍的数据加密标准DES的密钥长度仅为56位,高级数据加密标准AES的密钥长度为128/196/256位。所以,分组密码的设计问题在于找到一种算法,能在密钥的控制之下,从一个足够大而且足够好的代替子集中,简单而迅速地选取出一个代替。

表3.1 n = 3时的一个3位分组密码

综上所述,我们给出分组密码的三个安全设计原则:

(1)分组长度足够大。

(2)密钥量足够大,能抵抗密钥穷举攻击,但又不能过长,以利于密钥管理。

(3)由密钥确定代替的算法要足够复杂,能抵抗各种已知攻击。

3.2.2 对称分组密码的两个基本设计方法

在Shannon称为理想密码的密码系统中,密文的所有统计特性都与所使用的密钥独立,他关注的是如何挫败基于统计方法的密码分析,前面所讲的任意代替密码就是这样的,但它是不可能获得实际应用的。抛开求助于理想密码系统,Shannon建议了两种抗统计分析的方法:扩散(Diffusion)和混淆(Confusion)。扩散就是让密文没有统计特征,也就是让明文的统计特征扩散消失到密文的长程统计特性中,以挫败推测出密钥的尝试。做到这一点的方法是让小扰动的影响波及全局,明文的一位影响密文的多位,反过来说,也就是让每个密文比特被多位明文比特影响。扩散增加密文与明文之间关系的复杂性,混淆则增加密钥与密文之间关系的复杂性,同样是为了挫败推测出密钥的尝试。这可以使用一些复杂的代替算法来实现,简单的线性代替函数几乎增加不了混淆。在二进制密码中,对明文进行置换后,再用某个函数作用,重复多次,就可以取得好的扩散效果。

1949年Shannon提出了代替置换网络[Substitution-Permutation(S-P)Networks]的思想,这是构成现代分组密码的基础。S-P网络基于密码学的两个基本操作,代替被称为S盒(S-box),置换被称为P盒(P-box),它们分别提供了消息的混淆与扩散。