分组密码标准sms4算法s盒的密码学性质的研究-毕业设计

分组密码标准sms4算法s盒的密码学性质的研究-毕业设计内容摘要：

分组密码算法连同 AES算法 Rijndael一起作为欧洲新世纪的分组密码标准算法。 AES计划中分组密码算法的 S盒设计 1997年 4月 17日美国国家标准技术研究所 (NIST)发起征集 AES(Advanced Encryption Standard)算法的活动，并专门成立了 AES工作组。 日的是为了确定一个非保密的，公开披露的，全球免费使用的分组密码算法，用于保护下一世纪政府的敏感 信息。 也希望能 6 够成为秘密和公开部门的数据加密标准 (DES).1997年 9月 12日在联邦登记处 (FR)公布了征集 AES候选算法的公告。 AES的基本要求是比三重 DES快而且至少要和三重 DES一样安全，分组长度为 128比特，密钥长度为 128,192,256比特。 1998年 8月 20日 NIST召开了第一次 AES候选会议，并公布了满足候选要求的 15个 AES算法。 1999年 3月 22日召开第二次 AES候选会议，公开了第一阶段的分析和测试结果，并公布了 5 个最终的候选算法 :Mars,RC6,Rijndael,Serpent,Twofisho2020年 4月召开了第三次 AES候选会 议，最终确定了 Rijndael算法为 AES。 在 AES候选算法的征集公告中， NIST指定了用来比较候选算法的的评估准则。 这些准则是按照公众意见而制定的。 评估准则主要分为 3个方面 :安全性，安全性是评估中最重要的因素，包含下述要点 :算法抗密码分析的强度，稳定的数学基础，算法输出的随机性，与其他候选算法比较的相对安全性。 代价，代价是评估的第二个因素，主要包括 :许可要求，在各种平台上的实现速度和内存空间的需求。 算法和实现特性，主要包括灵活性，硬件和软件适应性， 算法的简单性等。 最终 AES确定了 Mars,RC6,Rijndael,Serpent,Twofish这五个算法为候选算法。 AES候选算法简介 Rijndael Rijndael是 比 利时的 JoanDaemen和 ivncentRijmen提交的一个候选算法。 该算法的原型是 square算法，它的设计策略是宽轨迹策略 (widetrailstrategy)。 宽轨迹策略是针对差分密码分析和线性密码分析提出的，它的最大优点是可以给出算法的最佳差分特征的概率及最佳线性逼近的偏差的界，由此，可以分析算法抵 抗差分密码分析及线性密码分析的能力。 Rijnadel采用 sP网络结构，每一轮有三层组成，非线性层，线性混合层和子密钥加层。 其中 S盒作用于非线性层，提供混淆的作用。 Rijnadel的 S盒选取的是有限域 FG(28)中的乘法逆运算，它的差分均匀度和线性偏差都达到了最佳。 Mars Mars是美国 BIM公司提供的，它的特点是充分利用了非平衡的 Feistel网络。 为了保证加解密的强度相当， Mars用结构类似的两个部分组成。 该算法是面向字运算的，所有内部操作均以 32比特字为单位。 7 Mars的 S盒设计是根据公开 原理设计的，即采用随机方式生成并检测使其具有良好的差分和线性特性，这可以排除预制陷门的嫌疑。 RC6 RC6是美国 RSA公司提交的一个候选算法，它是在 RCS的基础上设计的。 众所周知 RCS是一个非常简洁的算法，它的特点是使用大量的数据依赖循环。 RC6继承了 RCS的优点，为了满足 NIST的要求，即分组长度为 128比特， RC6使用了 4个寄存器，并加进了 32比特的整数乘法，用于加强扩散特性。 Seprent SePrent采用了和 DES类似的 S盒，不过它采用了一种新结构，代替一线性变换网络，此结构保证 serpent的雪崩效应及快速实现，并声称 serpent比三重 DES更安全。 设计者证明 Serpent能抵抗己知的所有攻击。 Seprent的最初版本中，使用了 DES的 S盒。 对于 serpent有类似的保证，目的是使公众相信设计者没有设置任何陷门，这是因为 S盒以简单的确定的方式生成。 IWofish TWofihs是美国 Bruceschneie:等人提供的一个候选算法。 它的总体结构是一个 16轮的 Feistel网络，主要特点是 S盒由密钥控制。 AES最终候选算法中 S盒的设计方法 Rijndael的 S盒选取的是有限域 GF(28)中的乘法逆运算，它的差分均匀度和线性偏差都达到了最佳。 在设计 S盒时，所遵循的准则按照其重要性的大小依次为 : 非线性度 1. 相关性 :输入输出之间的最大相关幅度必须尽可能的小。 2. 差分传播概率 :差分传播概率的最大值必须尽可能的小。 复杂度 :在 GF(28)中 S盒应当具有复杂的代数表达式。 根据以上准则， Rijndael的 S盒选择为有限域 GF(28)中的乘法逆运算。 Mars的 S盒采用伪随机方式生成，但需要对其差分和线性特征进行检测，其生成过程如下 :S[5i+i]=SHA1(i,Cl,C2,C3)。 ,i=0,1.⋯⋯， 102,j=0,1,2,3,4其中 SHA1(*) 表示 SHA1(*)的的 j个字， Cl=b7e15162,C2=243f6a88,C3变动，直到找到好的 S盒为止。 在设计 S盒时要求 S盒满足以下个特点 : 差分特征 0或全部为 1的字。 8 S盒中，每两个输出在 4字节中至少有 3字节不同。 S盒的输出至少有 4比特不同。  2512异或差分，有明显的 2x  2512减法差分。 Serpent的 S盒是用类似 DES的 S盒，且具有以下性质的 4比特置换 : 每一差分特征有一个接近 ，一比特输出变化。 且一比特输入变化决不会导致一个 每个线性逼近有一个在范围  ，且单独一比特输入与单独一比特输出间的线性关系有一个在范围 。 每个分支的布尔函数的次数为 30Twofish为了增加安全性， 采用了密钥相关 S盒的设计。 在构造两个 8比特的置换 qo和 q1。 每个 8比特的置换通过 4个 4比特的置换t0,t1,t2,t3来实现 ROR4是 4比特值的向右循环移位函数。 x被分成两部分，然后将两部分混合，再经过 4X4的S盒，然后再进行混合，最后又组合成输出 Yo置换 q。 的 4个 4X4的 S盒如下 : to=[ 81 7 D 6F 3 20 B 5 9E C A 4 ] t1=[ EC B 8 1 23 5 F4 A 6 70 9 D ] t2=[ BA 5 E 6 D9 0 C 8F 3 2 47 1 ] t3=[ D 7F 4 12 6 E 9B 3 0 85 C A ] 置换 q1的 4个 4X4的 S盒如下 : to=[ 28 B D F7 6 E3 1 94 0 A C 5 ] t1=[ 1 E2 B 4 C 37 6 D A SF 9 0 8] t2=[ 4C 7 51 6 9A O E D 82 B 3F ] t3=[ B 95 1 C3 D E 6 47 F 20 8 A ] 之所以用 4X4的 S盒经过一些运算来构成 8X8的 S盒，是因为这样可以减小存储空间，以利于在智能卡等资源较少的运算器上有效实现。 而且这样的构成基 本上能达到安全上的要求。 NESSIE计划中分组密码算法的 s盒设计 NESSIE计划是欧洲委员会在信息社会技术 (IST)规划中所支持的一项工程，原计划支持 3年 (2020年 1月至 2020年 12月，实际上该工程与 2020年 2月完成 )，投资 33亿欧元。 NESSIE 9 组织者先后组织召开了 4次 NESSIE专题研讨会，最终从来自 10个国家的 42个密码算法中选取了 12个作为 NESSIE的推荐算法，同时 NESSIE也吸纳了 5个己经作为标准或者即将成为标准的算法。 NESSIE工程的主要目标就是通过公开征集和进行公开的 ，透明的测试评价提出一套高安全性的密码标准算法，这些标准包括分组密码，流密码，杂凑函数，消息认证码，数字签名和公钥加密方案。 该工程将开发一种密码体制评估方案 (包括安全性和性能评价 )和支持评估的一个软件工具箱。 该工程的另外一个目的就是广泛传播这些工程成果并且建立一个使这些成果趋于一致的论坛，为此目的，成立了一个工程工业董事会，该董事会由 20 多 个 该 领 域 的 主 要 的 欧 洲 公 司 组 成 ， 并 积 极 邀 请 标 准 化 团 体 (如ISO,ISO/IEC,CEN,IEEE和 IETF)参与，公开相关的科学出版物。 还有一个目标就是保持欧洲工业界在密码 学研究领域的领先地位。 在对算法进行评估及对算法做取舍时， NESS正工程重点考虑了一下几项 : 算法抵抗现有攻击的能力。 算法设计思想的透明性。 在评估时，设计清楚，直接，以充分研究过数学和密码学原则为基础的算法，更容易得到信任。 对算法的变形进行评估。 比如说，改变或者删除算法的一个模块，减少迭代的轮数等。 对变形的分析可以间接的推论得到关于原算法的一些结论。 在相同的运行环境中对各算法的安全性进行比较。 NESSEI宣称尽力保证公平地评估每一个算法。 算法的统计测试结果。 分析统计测试的结果，其 目的是查看算法的密码学特性有无突出的异常现象。 NESSIE工程征集到 17个分组密码，并决定把 TirpLE,DES和 AEs纳入评估过程，作为评估其他分组密码的参考基准。 NESSIE将分组密码的评选标准分为三种 :高级型，密钥长度至少为 256比特，分组长度至少为 128比特。 普通型，密钥程度至少为 128比特，分组长度至少为 128比特。 过渡型，密钥长度至少为 128比特，分组长度至少为 64比特。 经过近一年的评估，在 2020年 9月召开的第二次会议上， NESSlE公布了进入第二轮评估的算法，过渡型的有 IDEA， Khazad， SAFER++64和 Triple一 DES。 普通型的有 camellia， RC6， AES和SAFER++128，高级型的有 RC6， AES， SHACAL1和 SHACAL2。 2020年 11月召开了第三次 NESSIE会议并在 2020年 2月公布了最终决选结果 :过渡类型的分组密码为 MISTY1，普通型的分组密码为 Camelia和 AES，高级的分组密码为 SHACAL2。 10 MISTY1 MisTY1是由日本的 ，它的分组长度为 64比特，密钥长度为 128比特，轮数是可变的，但必须是 4的倍数。 针对差分和线性密码分析，给出了可证明的安全理论结果。 MISIT1的轮函数为递归结构。 Camellia Camelia是由 NTT和 Mitsubishi电子公司联合提供的一个分组密码。 它的设计目标类似与 AES的要求，即分组长度是 128比特，并支持 128， 192及 256比特三种规模的密钥长度。 比三重 DES快而且至少和三重 DES一样安全。 SILACALZ SHACALZ是由 Goplus公司的 ，它 的分组长度为 256比特，密钥长度建议为 512比特。 SHACALZ的设计基于安全杂凑算法 SHA一 2，它的安全性等价与 SHA一 2。 S盒的设计方法 MlSTYI的 S盒选择为有限域上的指数函数， Si都有在 GF(2i)上的 AoXaoB的形式 (i=7， 9)其中 A和 B为任意的双射线性变换， a是满足 (2i一 1,a)=1的整数，最后一个条件是这个指数函数为双射的充分必要条件。 其中要在设计中遵循以下三条原则 : S盒的平均差分践性特征必须最小。 S盒在硬件上实现的延时必须尽可 能的小。 如果有可能， S盒要有高代数次数。 Calnelai的 4个 S盒和有限域 GF(28)的逆函数在仿射意义下等价。 并且在 GF(28)上差分和线性特征都达到最优，即差分特征达到 2 6，线性特征达到 26。 该设计类似于 Rijndael 第三章 S盒设计中的多输出布尔函数 众所周知， S盒可以用多输出布尔函数来刻画，从而 S盒的各种密码学性质就可以利用其对应的多输出布尔函数来描述，因此多输出布尔函数理论是研究 S盒的一个重要工具。 布尔函数的一阶 Walsh谱 一阶 Walsh谱是研究布尔函数的一种强有力的 工具。 定义 设      2GF2GF:xf n  ， 称       xw2GFxnf 1xf21wSn  和 11       xw)x(fGFxnf nwS   2 121      2GF2GF:xfn 分别为 f(x)的一阶线性 Walsh谱和一阶循环 Walsh 谱。 其 中 n)(GFw 2 ， w*x 表示 w 与 x 的 点 积 ， 定 义 为 22211 GFxw...xwxwx*w nn  . 多输出布尔函数 一个 n元布尔函数表示 GF(2)n到 GF(2)的映射。 对于 GF(2)n到 GF(2)m的映射，我们也可以用布尔函数来表示。 定义 设 F 是 GF(2)n 到 GF(2)m 的 映 射 ， 即 F:(x1...,xn)(Y1,„ ,Ym) ，其中       mnnn GFy,y,GFx,。