学习笔记(斯坦福大学密码学公开课)

斯坦福大学密码学公开课——Block Ciphers (2)

2019-01-03  本文已影响0人  Scaryang

Data Encryption Standard(DES)

这一章节主要讲解的是DES加密算法。DES是由IBM所提出的,1976年美国国家统计局(NBS)采纳了DES作为联邦标准。后来于1997年被穷举算法所攻破,2000年NIPS采用了AES作为新的标准。

它的核心的想法是利用Feistel Network构建可逆函数。


Feistel Network

值得注意的是Feistel Network的逆函数和本身是一样的结构,因此这个网络也广泛应用在Block Cipher里面。

Luby-Rackoff在85年的时候就证明了只要有三轮Feistel Network结构,便可以构建一个安全的PRP。

下面Dan着重讲解了在之前框架中的F和f函数。


image
image

查找表的样子如下:


image

补充Look-up Table
通过已经列出已经计算好的值,让CPU在计算时可以有参考,避免重复计算,一般适用于复杂的计算过程简化。

在这里Dan告诫我们S-box(出现在F(k_i,x)中)不能是线性的原因在于,如果我们对多个数据分别做DES加密然后异或计算,其结果等价于对多个数据异或处理然后再做DES加密。这样子攻击者就更加容易的找出对应的key值。因此,输出对比于输入来说不应该接近于线性结果。

Exhaustive Search

这里Dan着重讲解了穷举搜索攻击方式,即给定几个输入输出对,我们要找到的key值。
一般而言,两个输入输出对就足够可以支持穷举搜索了。然后,就开始将DES被攻击历史了..从此以后56bit(key)的DES肯定是不安全了。
Dan在这里主要讲解的是用来抵御穷举法攻击的手段:

E: K \times M \rightarrow M成为一个block cipher
然后定义 3E: K^{3} \times M \rightarrow M
3E((k_1,k_2,k_3),m) = E(k_1,D(K_2,E(k_3,m))),其中key-size为168bits(3倍的56bits)。
有同学可能会问,为什么这里的顺序是E,D,E,Dan在这里给出解释是,如果三个k值相等,那么这个就是普通的DES。在某些场景下,我们还需要同时实现DES,相当于增强了兼容性吧。值得一提的是,在这里简单攻击所需要的时间为2^{118}.

或许还有同学会问,为什么不用2DES呢?上来就用3DES?Dan就给出了具体的原因。对于2DES,我们可以用一种“Meet in the middle attack”的方式去破解它,时间复杂度为2^{63}。在现代密码学中,时间复杂度的基准线是2^{90}

E : K \times \{0,1\}^{n} \rightarrow \{0,1\}^n a block cipher,
Define EX as
EX((k_1,k_2,k_3),m) = k_1 \oplus E(k_2,m \oplus k_3)
对于DESX来说,key-len为184bits,攻击需要的时间为2^{120}
这里Dan说明,k_1 \oplus E(k_2,m)E(k_2,m \oplus k_1)不会起任何的作用,具体情况可以参考本章节的作业。

More Attacks on block ciphers

这一章节的内容可以看作是关于密码学的拓展部分。

通过测量加密解密的时间和所需要的能量来进行攻击( Kocher,Jaffe,Jun, 1998 ).

通过物理攻击的方式,使得加密或解密环节出现故障,从而进行攻击。

在这里Dan就劝我们不要试图自己实现加密算法..直接用现成的就好了,造轮子这种事情需要很强的基础才行。

目标是给定多个输入输出对,我们便可以在2^{56}时间内恢复出key. 在这里,Dan做了一些简单的线性密码学分析(Linear Cryptanalysis)。比如,对于DES而言,我们可以先在2^{42}时间内用线性攻击获得14位的key,然后再用暴力搜索的方式(在时间2^{42}内)获得剩下的key值。这里,Dan告诫我们不要自己尝试设计加密方式。

量子计算机的概念可以使得当代计算机的速度大幅增强..在那种概念下,甚至AES-256都变的不安全了..

Quantum Attacks Quantum exhausitve search
上一篇下一篇

猜你喜欢

热点阅读