基于隨機函數(shù)的抗已知明文密文對攻擊的分組加密方法
【專利摘要】本發(fā)明屬于信息安全領(lǐng)域,涉及一種分組加密方法��,利用隨機函數(shù)來構(gòu)造分組加密方法��,密碼(加密)算法是不確定的���、隨機的���,它通過隨機的函數(shù)來加密,函數(shù)的具體形式由密鑰確定��,密鑰同時決定函數(shù)的具體形式����,又是函數(shù)的輸入?yún)?shù),這會使得分析者出現(xiàn)顧頭不顧尾的效果���,通過這種設(shè)計���,使得密碼分析者在不知道密鑰的時候無法確定算法�����,從而無法通過已知明文密文對進(jìn)行有效的密碼分析����。
【專利說明】基于隨機函數(shù)的抗已知明文密文對攻擊的分組加密方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于對稱密碼學(xué)領(lǐng)域����,涉及一類抗已知明文密文對攻擊的分組加密方法?���!颈尘凹夹g(shù)】
[0002]現(xiàn)有的加密系統(tǒng)都是基于確定的加密算法,固然有方便�����,便于廣泛使用和標(biāo)準(zhǔn)化��,容易得到廣泛的評價的好處�����,但是,這些算法都有非常清楚和固定的結(jié)構(gòu)����,只有明文、密鑰和一些參數(shù)是變換的����,它們都在固定的算法框架下參與運算����,得到密文。這些對密碼系統(tǒng)自由度的制約因素也對密碼系統(tǒng)的安全性造成不好的影響��,大量的密碼分析也是針對算法確定的情形�����,這些分析已經(jīng)假設(shè)算法已經(jīng)知道��。我們可以將確定的算法視為一個確定性的函數(shù)�。假如一個加密算法對應(yīng)的函數(shù)是隨機的、不確定的�,則密碼分析者很難著手。
[0003]我們要對一個密碼系統(tǒng)進(jìn)行分析��,一般要掌握一定的條件,這種條件一般是確定的�����,在這里我們要討論重要的密碼分析及其確定性的前提條件��。下面對常見的密碼分析做一個簡單介紹����。
[0004]差分密碼分析是一種選擇明文攻擊,其基本思想是:通過分析特定明文差分對相對應(yīng)密文差分影響來獲得盡可能大的密鑰���,它是分組密碼最重要的分析方法之一�����。它是一種選擇明文分析�,需要一定的選擇的明文-密文對�,這些明文滿足一定的差分條件]。有文獻(xiàn)對16輪DES進(jìn)行差分密碼分析���,需要247個選擇明文密文對�,這個數(shù)量是比較大的�。這一攻擊方法對很多密碼是有效的��,并有很多變種攻擊方法�。顯然差分分析包含需要獲得同一算法�、同一密鑰下的大量的明文密文對這樣的條件。
[0005]線性攻擊是M.Matsui在1993年提出的攻擊方法�,是一種已知明文攻擊,它通過計算輸入比特��、輸出比特和密鑰之間滿足某一線性關(guān)系的概率����,若此概率與隨機情形時(對于二進(jìn)制是0.5的等概率)的偏差較大����,則可利用該線性關(guān)系恢復(fù)部分密鑰。對16輪des的線性密碼分析需要243個已知明文密文對�����。線性密碼分析的推廣也很多�,如多重線性密碼分析、非線性密碼分析��、劃分密碼分析等��。強力攻擊、差分密碼分析和線性密碼分析是對DES的三種主要的攻擊方法����,對于16輪DES,差分密碼分析和線性密碼分析所需的選擇明文個數(shù)太大�����,利用差分密碼分析和線性密碼分析相結(jié)合的技術(shù)而形成的差分一線性密碼分析方法是很好的改進(jìn)���,降低了他們的復(fù)雜度�����。它需要一定的選擇明文密文對�,比如�,攻擊8輪DES需要768個明文密文對。同樣����,這些明文密文對是以相同的確定算法、相同的密鑰作為前提的���。
[0006]SQUARE攻擊是是Daemon, Knudsen和Rijmen針對Square密碼提出的一種攻擊�,通過活躍字節(jié)的變化規(guī)律來猜測正確密鑰。這一攻擊對大多數(shù)以字節(jié)為變換單位的密碼是有效的�,對Rijndael算法的安全性分析結(jié)果中,該攻擊方法也給出了比較好的結(jié)果���。但是��,到目前為止��,SQUARE區(qū)分器的存在性都是通過經(jīng)驗判定����,而無很強的理論支撐���。Square攻擊是一種選擇明文攻擊���,可以對六輪和六輪以下的Rijndael密碼進(jìn)行成功的攻擊�����。積分密碼攻擊是SQUARE攻擊的更一般形式�����,利用“積分攻擊”這一術(shù)語體現(xiàn)了該攻擊的密碼學(xué)本質(zhì)。積分攻擊是一種選擇明文攻擊方法�,與差分密碼分析求差對應(yīng),它體現(xiàn)求選擇明文之和���,也可以看作是差分攻擊的一種推廣����,有時候比差分和線性分析更加有效����。高階差分也可以看作一種特殊的積分攻擊形式。
[0007]插值攻擊是Jakobsen和Knudsen提出的���。如果一個密碼對固定密鑰是低次多項式函數(shù)�,或者這個多項式的項數(shù)可以估算出來��,則通過插值可以得到其代數(shù)表達(dá)式��,從而有可能恢復(fù)出密鑰����。插值攻擊是一種已知明文或選擇明文攻擊���。代數(shù)攻擊由Courtois和Pieprzyk中提出,該攻擊主要通過求解一個超定方程來恢復(fù)密鑰�����。盡管密碼學(xué)界普遍認(rèn)為這是對AES算法最具威脅的潛在攻擊����,但這一方法目前仍受到廣泛的質(zhì)疑。該攻擊對序列密碼比較有效��。
[0008]中間相遇攻擊是一種時間空間權(quán)衡攻擊�,最早由Diffie和Hellman在1977年分析DES算法時提出,后成功應(yīng)用于對IDEA�,Khufu和Rijndael算法的安全性分析。這種攻擊思想與生日攻擊具有很多相似的地方�����,該密碼分析的條件為已知明文-密文對�����,同時依賴于一定的計算和存儲����,隱含有每一重加密的算法是相同且確定的前提條件。
[0009]從以上的密碼分析也可以很容易得出����,它們都基于一定的確定性條件,特別是算法是確定的��,而且密鑰基本上也是不變的�。如果我們對這些確定性的條件進(jìn)行隨機化,則以上密碼分析將無法著手或者非常困難��。大多數(shù)分組密碼分析需要大量的明文密文對����,假如一個密碼系統(tǒng)各個分組的加密算法是不同的,隨機的����,密碼分析的這個基礎(chǔ)就喪失了,一些密碼分析有賴于確定的算法����,才能得出代數(shù)方程式,對于不確定的算法將很難著手��,相關(guān)密鑰分析利用密鑰擴展的缺陷,假如密鑰擴展的函數(shù)部件是不確定的�,這種密碼分析方法也將失去基礎(chǔ)。
[0010]一個好的算法��,如果需要抗擊以上的攻擊方法�����,就應(yīng)該具有在已知明文和密文對的時候難于逆推密鑰的性質(zhì)��。
[0011]與傳統(tǒng)的確定函數(shù)相對�����,我們提出了隨機函數(shù)的概念���,即這個函數(shù)的表達(dá)式�����、結(jié)構(gòu)和形式是隨機的��,不確定的���,比如隨機函數(shù)y=F (a,b,c),F (a, b��,c)只是一個抽象表示,并沒有明確的形式����,它的具體形式可能是fi (a, b, c)、f2(a, b, c)����、f3(a, b, c)、f4(a, b, c)之中的一個函數(shù)��。
[0012]我們已經(jīng)通過隨機函數(shù)構(gòu)造了一些加密方法����。但是其限定作為傳統(tǒng)密鑰的參數(shù)和確定算法的具體形式的那一部分密鑰是獨立的。本發(fā)明考慮現(xiàn)有的密碼分析都是針對于傳統(tǒng)的已知明文密文對,選擇明文密文對的攻擊而言,通過對這類攻擊的規(guī)避��,即可提高算法的抗攻擊能力�����。從數(shù)學(xué)本質(zhì)上而言��,已知明文-密文對���,密鑰是可以確定的��,或者是可以確定密鑰范圍的����,一般現(xiàn)有的密碼分析下,給定的密文明文對完全可以確定密鑰��,其攻擊的困難性主要體現(xiàn)在計算困難上�����,而不是不可以攻破����。這種困難是一種單向性。本發(fā)明通過隨機函數(shù)構(gòu)造出一種新的單向性�,從而為破譯設(shè)置障礙。
【發(fā)明內(nèi)容】
[0013]本發(fā)明中構(gòu)造的密碼算法將是隨機的����,隨機函數(shù)F的具體形式&的確定由一個編碼來實現(xiàn),我們稱為確定編碼A�����。到底由什么參數(shù)來確定這個編碼A呢?有許多選擇���,比如用明文消息���、用一個公開的參數(shù)�����、用雙方共享的秘密參數(shù)(類似密鑰)�����,考慮算法比較要容易加密����,而且要容易解密等因素,通過分析表明只有雙方共享的秘密參數(shù)才是最合適的�,如果用明文消息,只能用明文的位置信息和當(dāng)前分組之前的明文信息����。所以我們這里采用密鑰k來確定A。
[0014]在本發(fā)明中���,這個加密算法的密鑰k既是確定編碼的決定因素���,即存在函數(shù)S�����,A=S(k)��,也是隨機函數(shù)F(m�����,k)的輸入?yún)?shù)之一���,密碼分析者掌握了許多明文密文對Oii1,
C1), (m2, c2),......,其中Cj= FOv k),實際上,采用的加密函數(shù)是一個具體的函數(shù)形式fA�。
所以有Cj= fA Ovk)= f s(k) Ovk)。這里限定設(shè)計的函數(shù)S使得k的每一個比特(對二進(jìn)制而言是每個比特���,對其他而言是每個符號)都可能影響A的值����,這樣以達(dá)到更好的相關(guān)性。在密碼算法進(jìn)行計算的時候�����,一般都是以二進(jìn)制進(jìn)行各種運算�,這里的限定通過要求計算A的時候k的每一個比特都參與過運算即可實現(xiàn)。
[0015]這樣對于加密者和解密者�,由于知道k,所以能夠確定A�,從而能夠確定fA,從而進(jìn)行加密和解密運算是很容易的�。
[0016]但是對于一個破譯者而言��,他知道的是明文密文對Ovc1)���,(m2,c2)�,……���,通過這些信息他無法確定函數(shù)的具體形式是什么����,從而為破譯設(shè)置了障礙��。
[0017]本發(fā)明的關(guān)鍵是利用隨機函數(shù)來構(gòu)造加密算法,相比較傳統(tǒng)的利用確定函數(shù)的算法��,具有以下優(yōu)勢:一�、現(xiàn)有的算法僅僅是輸入變量(密鑰)的變化,基于隨機函數(shù)的密碼算法其函數(shù)也是變化的�,這種變化導(dǎo)致計算中的中間結(jié)果和最終的結(jié)果的變換更加激烈和難于分析,更容易產(chǎn)生雪崩效應(yīng)和蝴蝶效應(yīng)���;二�����、算法對于分析者不確定���,現(xiàn)有的公開的密碼分析方法往往針對確定的算法,而隨機函數(shù)本身不確定���,使得密碼分析很難著手�;三���、固然���,這種算法可以用特別的數(shù)學(xué)方法來表示��,包括使用開關(guān)函數(shù)等來表示���,但是,這種方法使得函數(shù)的數(shù)學(xué)形式及其表達(dá)異常復(fù)雜�,從數(shù)學(xué)上分析和破譯非常困難,但是另外一方面隨機函數(shù)在具體的計算情況下��,卻只采用其中的單個具體的形式��,在計算上卻并不復(fù)雜�,即具有破譯難,而使用容易的易用難攻的優(yōu)點���。采用算法變換,相對增加了算法的復(fù)雜性�,但是,增加運算量不大���,而傳統(tǒng)的方法在增加復(fù)雜度和破譯難度的同時��,往往會增加加密和解密的運算量�����。這樣算法變換的方法在增強安全性的同時并不造成運算量的明顯增加�����;四��、具有均化效應(yīng)��,可以增強隨機性����,在密碼算法的設(shè)計中,一般要求具有良好的隨機性�����、雪崩效應(yīng)等��,輸入和輸出之間應(yīng)該具有良好的隨機性或者偽隨機性���,舉一個簡單的例子�,輸出的每一個bit都是O和I等概率分布的��,但是在進(jìn)行比較簡單的運算的時候�����,往往不能達(dá)到很好的隨機性,比如可能是O的概率遠(yuǎn)遠(yuǎn)大于0.5�����,假如在函數(shù)的一些隨機函數(shù)部件中����,這個隨機函數(shù)的某個具體函數(shù)有偏向性,但是這個函數(shù)又有一些其他好的性質(zhì)需要使用�����,則如果其他的具體函數(shù)是隨機選擇的(假設(shè)我們不是有意選擇O的概率更大的函數(shù)的話���,顯然如果知道另外一個函數(shù)有相同的偏向性的時候����,一個理性的算法設(shè)計者是不會選擇它的)��,則平均而言���,前者的偏向性會被均化���,O的概率平均而言會趨向0.5,其原理類似于大數(shù)定律����,進(jìn)一步采用多重的隨機函數(shù),可以掩蓋隨機函數(shù)的具體形式的特征�����,舉一個最單純的例子�����,假如O和I的概率不均���,如果經(jīng)過兩個相同的隨機函數(shù)��,這個隨機函數(shù)對于單bit操作�����,兩種具體形式分別為:1)與原bit相同��;2)對原bit取非�。經(jīng)過單重的這個隨機函數(shù),O和I的概率會被均化��;假如經(jīng)過兩重的這一函數(shù)����,不僅O和I被均化,甚至于兩個隨機函數(shù)取什么具體形式的概率也會被均化���;五��、在有意設(shè)計的隨機函數(shù)中�,可以將一個隨機函數(shù)的多個具體函數(shù)的特征設(shè)定為相反的��、相互抵消�、互補的,舉比較簡單的例子����,函數(shù)F有兩種具體形式和f2,如果的O的概率偏大���,則可以選擇O的概率偏小的f2與之配伍,經(jīng)過多輪類似的處理����,相關(guān)的信息會消失�,以防止給密碼分析提供任何線索�。六、有些密碼分析基于概率統(tǒng)計��,統(tǒng)計結(jié)果只是一個平均值��,對于變幻的算法�����,不僅參數(shù)是變換的�����,而且函數(shù)本身也是變換的��,很明顯統(tǒng)計結(jié)果更加不可靠�����,不完備����,概率分布更加分散����,均方差大�����,而確定的算法僅僅是一些變量性參數(shù)有變化�����,所以相應(yīng)的一些概率統(tǒng)計特征會更加相似�、更加接近,而概率分布更加集中���。
[0018]至于為什么人們要設(shè)計確定的算法�,我們認(rèn)為�����,首先從思維上確定性算法更加簡單��,而且這樣的密碼算法符合人們的思維定勢和習(xí)慣性思維��,隨機算法則很難被想到,即使是被想起�,但是,隨機函數(shù)在具體進(jìn)行加密的時候�����,隨機的結(jié)果是不能被接受的���,否則解密者無法解密,要采用一定的方法將這些隨機性確定下來�。
[0019]本發(fā)明的加密方法,限定了密鑰既是隨機函數(shù)的輸入?yún)?shù)�����,也是隨機函數(shù)的具體形式的決定因素�����,假如密碼分析者想要采取各個突破的方法����,也會受到更多的限制,產(chǎn)生顧頭不顧尾的效果���,比如�,我們假定隨機函數(shù)的具體形式是某個的時候,則對密鑰會有雙重的限制�,這個密鑰必須保證i=s(k),也必須保證C= f, (m���,k)��,往往是不能兼顧的����。
[0020]這種構(gòu)造方法設(shè)計出了一種新的單向性�����,即對于加密者和解密者很容易確定算法����,對于破譯者,已知明文密文對的破譯者�,他很難確定算法的具體形式,而已知算法(函數(shù))是絕大多數(shù)密碼分析方法的前提條件�����,一旦打破前提條件,破譯無法著手����。由于函數(shù)的具體形式本身都是不確定的,采用某種數(shù)學(xué)方程來表示它必然困難�,自然很難采用代數(shù)方程攻擊之類的方法。當(dāng)然這種難表達(dá)還影響到其他的密碼分析方法�。
[0021]當(dāng)然����,密碼分析者可能試圖通過直接間接的手段去確定算法(函數(shù))的具體形式,為此��,可以限定各個算法的運算量是均等的�����,密文輸出的統(tǒng)計特征都是相同的���,密文值的概率分布趨向于等概率���,當(dāng)然最好的就是所有的密文值都是等概率的。在二進(jìn)制處理數(shù)據(jù)的情況下�,隨機函數(shù)的具體形式的數(shù)目最好是2的i次方��,i為整數(shù)�。
[0022]為了增加可能潛在攻擊的復(fù)雜性��,還應(yīng)該將函數(shù)A=S(k)設(shè)計的足夠復(fù)雜����,具有一定的單向性,通過k推測A很容易����,而反過來推很困難。為了既保證復(fù)雜性���,又減少工作量�,可以在計算過程中���,利用加密算法中對密鑰k的一些中間計算結(jié)果來確定函數(shù)的具體形式��,比如��,算法有多輪運算�����,每一輪函數(shù)都可以看成是一個部件��,每一個輪都可以是一個隨機函數(shù)�,多輪隨機函數(shù)的確定是在當(dāng)前輪運算的時候,利用計算的一些中間結(jié)果得到的���。比如���,我們可以將A劃分為許多塊A=A11 A2 A3I……IAn,每一塊決定每一輪的隨機函數(shù)���,計算的時候并不是一步計算出A,而是在計算中����,利用密鑰相關(guān)的一些當(dāng)前輪的中間參數(shù),逐步計算出A1, A2, A3,……����,An來。這樣可以減少運算量��,又保證確定編碼A的復(fù)雜性���。每一個部分Ai的二進(jìn)制編碼長度不小于log2r����,其中r為這一輪的隨機函數(shù)的部件的具體形式的數(shù)目,最好是將r設(shè)計為2s的形式���,g為正整數(shù)���。這些部件可以是每一輪的函數(shù),也可以是每一輪的一部分函數(shù)����,即每一輪依然可以有多個隨機函數(shù)的部件。
[0023]為了進(jìn)一步增強安全性和防范潛在的攻擊�����,做出以下限定:第一���、隨機函數(shù)的各個具體函數(shù)形式的輸入輸出空間是相同的�����,即`它們的明文輸入的可能值的可能值構(gòu)成的集合中的元素是相同的�,輸出的可能值也是如此,輸入輸出值具有很好的遍歷性�����,最好輸入輸出都遍歷所有可能的值�����,比如輸出是nbit����,則遍歷2"個數(shù)值。第二���、隨機函數(shù)的各個具體函數(shù)形式在運算量、能耗等方面應(yīng)該具有很好的對等性���,不能有太大的差異����。第三���、在消息等概率的情況下����,隨機函數(shù)的各個具體形式出現(xiàn)的概率應(yīng)該是相近的,最好是等概率出現(xiàn)�����。第四��、雖然在運算量等方面應(yīng)該相近��,但是哈希函數(shù)的各個具體形式在計算方面應(yīng)該具有很大的差異�,不能僅僅是某些部分做一點點小改變,比如可以是一個分成一定長度塊計算的部件�,它的不同形式分塊長度不一樣,再比如每一步的運算符號或形式都不同�����,這樣的好處是一方面可以防止統(tǒng)一為某個確定的函數(shù)�����,一方面使得密碼分析非常困難����。第五�����、在采用同等運算量的函數(shù)的情況下���,本方法相比確定的函數(shù),會存在一定的附加運算工作量����,這些工作量并不算大,但是帶來的安全增益是很大的��,要進(jìn)一步減少這部分工作量����,可以盡量復(fù)用運算中的一些中間結(jié)果。為了減少運算量����,可將整個函數(shù)分為一些運算部件�,在一些部件中采用隨機函數(shù)部件,這樣通過乘積效應(yīng)放大隨機函數(shù)具體形式的數(shù)目����,減少隨機函數(shù)設(shè)計的難度�。
[0024]同其他的加密方法一樣�,本方法無法抗擊窮舉攻擊這類方法,因為在已知足夠明文密文對的情況下�����,這類方法是必然可以破解的��。
【具體實施方式】
[0025]以下為一個分組加密方法的實施例�����,為了方便和簡潔地描述�����,采用比較簡短�����、密鑰較短��、輪數(shù)較少的算法�,由于現(xiàn)有的加密方法都非常復(fù)雜,為了避免將大量篇幅描述復(fù)雜的算法,而掩蓋本發(fā)明的限定的新特征����,簡化對實施例的閱讀,我們借用已有的AES算法結(jié)構(gòu)和其中的一些運算部件�����,由于已有現(xiàn)成的算法�����,所以這里不直接介紹算法的每一個步驟�����。
[0026]該分組加密方法是一個分組長度和密鑰k的二進(jìn)制長度都是128bit的密碼算法����,其迭代的輪數(shù)為10。具體加密流程如下:1�����、采用一個密鑰擴展的函數(shù)擴展密鑰k�,這里稱k為原始密鑰,這個擴展的方法同AES算法����,其輸入?yún)?shù)僅僅是密鑰,擴展生成一個序列依次截取分組長度的128比特數(shù)作為每一輪的輪密鑰��,輪密鑰用于參與密鑰加運算����。2、初始輪I輪���,加密方法同AES���,是確定的運算,僅僅是進(jìn)行一個密鑰加運算�����。3����、重復(fù)輪9輪,采用相同的輪函數(shù)��,輪函數(shù)是隨機函數(shù),重復(fù)輪的每一輪又依次包括以下部件:S盒代換����、行移位、列混合和密鑰加運算��。S 盒代換�、行移位和列混合運算的函數(shù)均為隨機函數(shù),它們分別有2����、
2、4種具體形式���。S盒代換的2種形式中�,有I種的S盒以4bit為代換單位����,有I種以8bit問代換單位,考慮到同樣的情況下可能4bit的運算量會小����,應(yīng)該增加運算以平衡運算量,之所以采用代換單位長度不一樣的S盒���,是為了增加不同具體形式具有更大的差異�����,此外具體形式滿足
【發(fā)明內(nèi)容】
提出的其他要求���。4、最終輪I輪���,密鑰加運算為與輪密鑰進(jìn)行異或運算��。這些隨機函數(shù)部件均是獨立的�。即使是相同的隨機部件����,其在每一輪采用的具體形式都是相互獨立的,不一定相同�����。5��、最終輪是確定的加密方法�����,同AES。
[0027]隨機函數(shù)的具體形式的確定方法��,由一個函數(shù)A=A11 A2 A3I……|A9=S (k)確定����,考慮
【發(fā)明內(nèi)容】
中說明的因素,這里將不同輪的編碼Ai分別獨立進(jìn)行計算����,雖然它們都是由k確定,但是為了增加復(fù)雜性��,同時減少計算量����,我們采用k擴展得到的每一輪的子密鑰1v1來得到下一輪的Ap每一輪的Ai的二進(jìn)制數(shù)據(jù)包括4bit。Afa+b modl6 , a^lT+b=^^!, b在0-16之間的整數(shù)��,即a是1v1除以大于24的質(zhì)數(shù)17的結(jié)果取整��,b為余數(shù)�����。以上數(shù)據(jù)是代表十進(jìn)制數(shù)據(jù)下的十進(jìn)制運算。Ai的前一個比特用于決定S盒的具體形式�,O代表第一個S盒,I代表第二個��,同樣���,第二個比特用于決定行位移的兩個形式�����,第三第四個比特聯(lián)合起來決定到底是4種列混合運算的中的哪個。當(dāng)然這里為了方便��,隨機部件依然具有很大的相似性��,比如幾個隨機部件的形式都是類似的���,比如都分別是S盒�、行移位和列混合運算��。實際上�,并不一定要求這種相似性。解密過程相反�����,只不過子密鑰要反過來使用,具體形式的確定編碼A也是要按照順序顛倒過來���。
【權(quán)利要求】
1.一種基于隨機函數(shù)的抗已知明文密文對攻擊的分組加密方法�,其特征為:采用隨機函數(shù)F來構(gòu)造密碼算法��,隨機函數(shù)并不具有固定的形式�,其具體形式有多個,If1, f2,……}����,但是在具體加密中函數(shù)是確定的,隨機函數(shù)F的具體形式的確定由一個編碼來實現(xiàn)����,我們稱為確定編碼A,確定編碼A與函數(shù)的具體形式存在對應(yīng)關(guān)系����,這個加密算法的密鑰k既是確定編碼的決定因素,即存在函數(shù)S�,使得A=S(k),也是隨機函數(shù)F(m,k)的輸入?yún)?shù)之一�;實際采用的加密函數(shù)是一個具體的函數(shù)形式fA,當(dāng)前分組的密文Cf fA Ov k)= f s(k)Ov k) ����,Hii是當(dāng)前分組的明文消息。
2.一種如權(quán)利要求1所述的基于隨機函數(shù)的抗已知明文密文對攻擊的分組加密方法�,其特征為:各個算法的運算量是均等的,密文輸出的統(tǒng)計特征都是相同的�,所有的密文值的概率分布趨向于等概率。
3.—種如權(quán)利要求2所述的基于隨機函數(shù)的抗已知明文密文對攻擊的分組加密方法��,其特征為:函數(shù)A=S(k)設(shè)計的足夠復(fù)雜�����,具有一定的單向性���,通過k推測A很容易,而反過來推很困難����,為了既保證復(fù)雜性,又減少工作量����,可以在計算過程中��,利用加密算法中對密鑰k的一些中間計算結(jié)果來確定函數(shù)的具體形式����。
4.一種如權(quán)利要求3所述的基于隨機函數(shù)的抗已知明文密文對攻擊的分組加密方法��,其特征為:隨機函數(shù)的各個具體函數(shù)形式的輸入輸出空間是相同的�,且具有很好的遍歷性。
5.一種如權(quán)利要求4所述的基于隨機函數(shù)的抗已知明文密文對攻擊的分組加密方法�����,其特征為:哈希函數(shù)的各個具體`形式在計算方面應(yīng)該具有很大的差異��。
【文檔編號】H04L9/30GK103516513SQ201310495989
【公開日】2014年1月15日 申請日期:2013年10月22日 優(yōu)先權(quán)日:2013年10月22日
【發(fā)明者】王勇, 蔡國永, 杜誠, 林華 申請人:桂林電子科技大學(xué)