DES算法的应用误区及安全性分析

　　摘要：在银行金融界及非金融界，越来越多地用到了DES 算法， DES 全称为Data Encryption Standard即数据加密算法。下面来说说DES算法的应用误区及安全性分析。

　　DES算法详述

　　DES算法把64位的明文输入块变为64位的密文输出块，它所使用的密钥也是64位，整个算法的主流程图如下：

　　其功能是把输入的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位，其置换规则见下表：

　　58，50，12，34，26，18，10，2，60，52，44，36，28，20，12，4，

　　62，54，46，38，30，22，14，6，64，56，48，40，32，24，16，8，

　　57，49，41，33，25，17， 9，1，59，51，43，35，27，19，11，3，

　　61，53，45，37，29，21，13，5，63，55，47，39，31，23，15，7，

　　即将输入的第58位换到第一位，第50位换到第2位，。。。，依此类推，最后一位是原来的第7位。L0、R0则是换位输出后的两部分，L0是输出的左32位，R0 是右32位，例：设置换前的输入值为D1D2D3.。。。。.D64，则经过初始置换后的结果为：L0=D58D50.。.D8；R0=D57D49.。.D7。

　　经过26次迭代运算后。得到L16、R16，将此作为输入，进行逆置换，即得到密文输出。逆置换正好是初始置的逆运算，例如，第1位经过初始置换后，处于第40位，而通过逆置换，又将第40位换回到第1位，其逆置换规则如下表所示：

　　40，8，48，16，56，24，64，32，39，7，47，15，55，23，63，31，

　　38，6，46，14，54，22，62，30，37，5，45，13，53，21，61，29，

　　36，4，44，12，52，20，60，28，35，3，43，11，51，19，59，27，

　　34，2，42，10，50，18，58 26，33，1，41， 9，49，17，57，25，

　　放大换位表

　　32， 1， 2， 3， 4， 5， 4， 5， 6， 7， 8， 9， 8， 9， 10，11，

　　12，13，12，13，14，15，16，17，16，17，18，19，20，21，20，21，

　　22，23，24，25，24，25，26，27，28，29，28，29，30，31，32， 1，

　　单纯换位表

　　16，7，20，21，29，12，28，17， 1，15，23，26， 5，18，31，10，

　　2，8，24，14，32，27， 3， 9，19，13，30， 6，22，11， 4，25，

　　在f（Ri，Ki）算法描述图中，S1，S2.。.S8为选择函数，其功能是把6bit数据变为4bit数据。下面给出选择函数Si（i=1，2.。。。。.8）的功能表：

　　选择函数Si

　　S1：

　　14，4，13，1，2，15，11，8，3，10，6，12，5，9，0，7，

　　0，15，7，4，14，2，13，1，10，6，12，11，9，5，3，8，

　　4，1，14，8，13，6，2，11，15，12，9，7，3，10，5，0，

　　15，12，8，2，4，9，1，7，5，11，3，14，10，0，6，13，

　　S2：

　　15，1，8，14，6，11，3，4，9，7，2，13，12，0，5，10，

　　3，13，4，7，15，2，8，14，12，0，1，10，6，9，11，5，

　　0，14，7，11，10，4，13，1，5，8，12，6，9，3，2，15，

　　13，8，10，1，3，15，4，2，11，6，7，12，0，5，14，9，

　　S3：

　　10，0，9，14，6，3，15，5，1，13，12，7，11，4，2，8，

　　13，7，0，9，3，4，6，10，2，8，5，14，12，11，15，1，

　　13，6，4，9，8，15，3，0，11，1，2，12，5，10，14，7，

　　1，10，13，0，6，9，8，7，4，15，14，3，11，5，2，12，

　　S4：

　　7，13，14，3，0，6，9，10，1，2，8，5，11，12，4，15，

　　13，8，11，5，6，15，0，3，4，7，2，12，1，10，14，9，

　　10，6，9，0，12，11，7，13，15，1，3，14，5，2，8，4，

　　3，15，0，6，10，1，13，8，9，4，5，11，12，7，2，14，

　　S5：

　　2，12，4，1，7，10，11，6，8，5，3，15，13，0，14，9，

　　14，11，2，12，4，7，13，1，5，0，15，10，3，9，8，6，

　　4，2，1，11，10，13，7，8，15，9，12，5，6，3，0，14，

　　11，8，12，7，1，14，2，13，6，15，0，9，10，4，5，3，

　　S6：

　　12，1，10，15，9，2，6，8，0，13，3，4，14，7，5，11，

　　10，15，4，2，7，12，9，5，6，1，13，14，0，11，3，8，

　　9，14，15，5，2，8，12，3，7，0，4，10，1，13，11，6，

　　4，3，2，12，9，5，15，10，11，14，1，7，6，0，8，13，

　　S7：

　　4，11，2，14，15，0，8，13，3，12，9，7，5，10，6，1，

　　13，0，11，7，4，9，1，10，14，3，5，12，2，15，8，6，

　　1，4，11，13，12，3，7，14，10，15，6，8，0，5，9，2，

　　6，11，13，8，1，4，10，7，9，5，0，15，14，2，3，12，

　　S8：

　　13，2，8，4，6，15，11，1，10，9，3，14，5，0，12，7，

　　1，15，13，8，10，3，7，4，12，5，6，11，0，14，9，2，

　　7，11，4，1，9，12，14，2，0，6，10，13，15，3，5，8，

　　2，1，14，7，4，10，8，13，15，12，9，0，3，5，6，11，

　　在此以S1为例说明其功能，我们可以看到：在S1中，共有4行数据，命名为0，1、2、3行；每行有16列，命名为0、1、2、3，。。。。。。，14、15列。

　　现设输入为： D＝D1D2D3D4D5D6

　　令：列＝D2D3D4D5

　　行＝D1D6

　　然后在S1表中查得对应的数，以4位二进制表示，此即为选择函数S1的输出。下面给出子密钥Ki（48bit）的生成算法

　　从子密钥Ki的生成算法描述图中我们可以看到：初始Key值为64位，但DES算法规定，其中第8、16、。。。。。.64位是奇偶校验位，不参与DES运算。故Key 实际可用位数便只有56位。即：经过缩小选择换位表1的变换后，Key 的位数由64 位变成了56位，此56位分为C0、D0两部分，各28位，然后分别进行第1次循环左移，得到C1、D1，将C1（28位）、D1（28位）合并得到56位，再经过缩小选择换位2，从而便得到了密钥K0（48位）。依此类推，便可得到K1、K2、。。。。。。、K15，不过需要注意的是，16次循环左移对应的左移位数要依据下述规则进行：

　　循环左移位数

　　1，1，2，2，2，2，2，2，1，2，2，2，2，2，2，1

　　以上介绍了DES算法的加密过程。DES算法的解密过程是一样的，区别仅仅在于第一次迭代时用子密钥K15，第二次K14、。。。。。。，最后一次用K0，算法本身并没有任何变化。

　　DES算法的安全性

　　自分组密码（DES算法）1977年首次公诸于世以来，引起了学术界和企业界的广泛重视。学术界对DES密码进行了深入的研究，围绕它的安全性和破译方法展开了激烈的争论，在一定意义上对密码学的理论研究也起了推动作用。同时人们也一直对DES的安全性持怀疑态度，对密钥的长度、迭代次数及S盒的设计众说纷纭

　　1.对称分组密码算法的问题

　　DES是对称的分组密码算法。对称的分组密码算法最主要的问题是：由于加解密双方都要使用相同的密钥，因此在发送、接收数据之前，必须完成密钥的分发。因而，密钥的分发便成了该加密体系中的最薄弱、风险最大的环节，各种基本的手段均很难保障安全地完成此项工作，从而使密钥更新的周期加长，给他人破译密钥提供了机会。实际上这与传统的保密方法差别不大。在历史战争中，破获他国情报的纪录不外是两种方式：一种是在敌方更换“密码本”的过程中截获对方密码本;另一种是敌人密钥变动周期太长，被长期跟踪，找出规律从而被破获。在对称算法中，尽管由于密钥强度增强，跟踪找出规律破获密钥的机会大大减小了，但密钥分发的困难问题几乎无法解决。如，设有n方参与通信，若n方都采用同一个对称密钥，一旦密钥被破解，整个体系就会崩溃;若采用不同的对称密钥则需n（n-1）个密钥，密钥数与参与通信人数的平方数成正比，这便使大系统密钥的管理几乎成为不可能。

　　2.DES算法的弱密钥

　　由于算法各轮的子密钥是通过改变初始密钥这种方式得到的，因此有些初始密钥成了弱密钥（weakkey）。初始密钥分成两部分，每部分各自独立的移动。如果每一部分的所有位都是0或1，那么算法的任意一个周期的密钥都是相同的。当密钥是全1、全0、或者一半全1、一半全0时，会发生这种情况。下面以十六进制编码的方式给出了四种弱密钥。

　　另外，还有一些密钥对明文加密成相同的密文。换句话说，密钥对里的一个密钥能解密另外一个。

　　密钥加密的信息。这是由DES产生子密钥（subkey）的方式决定的。这些密钥只产生2个不同的子密钥，算法中每个这样的子密钥都使用了8次。这样的子密钥叫半弱密钥（semiweakkey），下表以十六进制编码方式给出它们。

　　另外，也只有产生4个子密钥的密钥，每个这样的子密钥在算法中使用了4次。下面给出他们的十六进制编码形式

　　虽然DES有弱密钥，但这张64个密钥的密钥表相对于总数位72，057，594，037，927，936个可能密钥的密钥集只是个零头，如果随机的选择密钥，选中这些弱密钥的可能性可以忽略。而且我们可以在选择密钥时进行检查，以防止产生弱密钥

　　3.密钥的长度

　　密钥仅有56位二进制未免太短，多密码学专家力荐使用更长的密钥，理由是穷举攻击的可能性。设已知一段密码文C及与它对应的明码文M，用一切可能的密钥K加密M，直到得到E（M）=C，这时所用的密钥K即为要破译的密码的密钥。穷举法的时间复杂性是T=O（n），空间复杂性是S=O（1）。对于DES密码，n=256≈7×106，即使使用每秒种可以计算一百万个密钥的大型计算机，也需要算106天才能求得所使用的密钥，因此看来是很安全的。

　　但是密码专家Diffie和Hellman指出，如果设计一种一微秒可以核算一个密钥的超大规模集成片，那么它在一天内可以核算8.64×1010个密钥。如果由一个百万个这样的集成片构成专用机，那么它可以在不到一天的时间内用穷举法破译DES密码。他们当时（1977年）估计：这种专用机的造价约为两千万美元。如果在五年内分期偿还，平均每天约需付一万美元。由于用穷举法破译平均只需要计算半个密钥空间，因此获得解的平均时间为半天。这样，破译每个DES密码的花销只是五千美元。后来，Diffie在1981年又修改了他们的估计，认为以1980年的技术而论，用造价为五千万美元的专用机破译DES密码平均要花两天时间。但是他与Hellman都预计：1990年时，破译DES密码的专用机的造价将大幅度下降。

　　同时，DES的硬件实现方法逐步接近Diffie和Hellman的专用机所要求每秒百万次的速度。在1993年，MuchaelWiener设计了一个一百万美元的机器，它能在平均3.5小时内，完成DES的穷举攻击，到1990年时，DES是完全不安全的。

　　4.迭代次数

　　根据目前的计算技术和DES的分析情况，16-圈DES仍然是安全的，但提醒使用者不要使用低于16-圈的DES，特别是10-圈以下的DES，Bihan和Shamir的差分密钥分析同样也阐述了这一点：对于低于16轮的任意DES的已知明文攻击要比穷举攻击有效，但当算法恰好有16轮时，只有穷举攻击最有效。

　　5.S盒和P盒的设计

　　实现替代函数Si所用的S盒的设计原理尚未公开，其中可能留有隐患。更有人担心DES算法中有“陷阱”，知道秘密的人可以很容易地进行密文解密。目前人们仍然不知道DES中是否存在陷门。所谓陷门，通俗地讲，就是在算法的设计中设计者留了一个后门，知道某一秘密的人可进入这一后门获得使用该算法的用户的秘密密钥.DES的设计准则除了极少数被公布外，其余的仍然是保密的。围绕S盒人们讨论了一系列问题包括设计准则和构造等。在差分分析公开后，IBM公布了S盒和P盒的设计准则。

　　5.1 S盒的设计准则

　　1）每个S盒均为6位输入，4位输出。（这是在1974年的技术条件下，单个芯片所能容纳的最大尺寸。）

　　2）没有一个S盒的输出位是接近输入位的线性函数。

　　3）如果将输入位的最左、最右端的位固定，变化中间的4位，每个可能的4位输出只得到一次.4）如果S盒的两个输入仅有1位的差异，则其输出必须至少有2位不同.5）如果S盒的两个输入仅有中间2位不同，则其输出必须至少有2位不同。

　　6）如果S盒的两个输入前2位不同，后两位已知，则其输出必不同。

　　7）对于输入之间的任何非零的6位差分，32对中至多有8对显示出的差分导致了相同的输出差分。

　　5.2 P盒的设计准则

　　1）在第i轮S盒的4位输出中，2位将影响S盒第i+1轮的中间位，其余2位将影响最后位;2）每个S盒的4位输出影响6个不同的S盒，但没有一个影响同一个S盒;

　　3）如果一个S盒的4位输出影响另一个S盒的中间1位，那么后一个的输出位不会影响前一个S盒的中间1位。

　　在今天看来产生S盒很容易，但在70年代初，这是一个很复杂的工作.Tuchman曾经引述说，他们当时将计算机程序运行几个月来产生S盒。在对DES密码进行鉴定的期间，美国国家保密局和计算机科学技术学会组织各界专家研究了DES密码体制的安全性问题，讨论了破译DES密码体制的一切可能途径。尽管有些专家和学者对它的安全性仍持怀疑态度，但官方却得出了十分乐观的结论。他们宣布：“没有任何可以破译DES密码体制的系统分析法。若使用穷举法，则在1990年以前基本上不可能产生出每天能破译一个DES密钥的专用计算机。即使届时能制造出这样的专用机，它的破译成功率也只会在0.1到0.2之间，而且造价可能高达几千万美元

　　DES算法的漏洞

　　由DES算法我们可以看到：DES算法中只用到64位密钥中的其中56位，而第8、16、24、……64位8个位并未参与DES运算。这一点，向我们提出了一个应用上的要求，即DES的安全性是基于除了8，16，24，……64位外的其余56位的组合变化256才得以保证的。因此，在实际应用中，我们应避开使用第8，16，24……64位作为DES密钥的有效数据位，而使用其它的56位作为有效数据位。只有这样，才能保证DES算法安全可靠地发挥作用。如果不了解这一点，把密钥Key的8，16，24，……64位作为有效数据位使用，将不能保证DES加密数据的安全性，对运用DES来达到保密作用的系统将产生数据被破译的危险，这正是DES算法在应用上的误区，是各级技术人员、各级用户在使用过程中应绝对避免的。

　　基于以上的问题，我们就不能用汉字作为密钥。因为汉字由两个字节组成，每个字节的ASCII码都大于127，转换成二进制就是8位，不能加奇偶校验位，而且如果去掉第8、16、24、……64位，就会丢失密钥，而且不同的汉字可能实际上是相同的密钥.

　　DES算法的应用误区

　　DES算法具有极高安全性，到目前为止，除了用穷举搜索法对DES算法进行攻击外，还没有发现更有效的办法。而56位长的密钥的穷举空间为256，这意味着如果一台计算机的速度是每一秒种检测一百万个密钥，则它搜索完全部密钥就需要将近2285年的时间，可见，这是难以实现的，当然，随着科学技术的发展，当出现超高速计算机后，我们可考虑把DES密钥的长度再增长一些，以此来达到更高的保密程度。

　　由上述DES算法介绍我们可以看到：DES算法中只用到64位密钥中的其中56位，而第8、16、24、。。。。。.64位8个位并未参与DES运算，这一点，向我们提出了一个应用上的要求，即DES的安全性是基于除了8，16，24，。。。。。.64位外的其余56位的组合变化256才得以保证的。因此，在实际应用中，我们应避开使用第8，16，24，。。。。。.64位作为有效数据位，而使用其它的56位作为有效数据位，才能保证DES算法安全可靠地发挥作用。如果不了解这一点，把密钥Key的8，16，24，。。。。。 .64位作为有效数据使用，将不能保证DES加密数据的安全性，对运用DES来达到保密作用的系统产生数据被破译的危险，这正是DES算法在应用上的误区，是各级技术人员、各级领导在使用过程中应绝对避免的，而当今国内各金融部门及非金融部门，在运用DES工作，掌握DES工作密钥Key的领导、主管们，极易忽略，给使用中貌似安全的系统，留下了被人攻击、被人破译的极大隐患。

　　DES算法应用误区的验证数据

　　笔者用Turbo C编写了DES算法程序，并在PC机上对上述的DES 算法的应用误区进行了骓，其验证数据如下：

　　Key： 0x30 0x30 0x30 0x30.。。。。.0x30（8个字节）

　　Data： 0x31 0x31 0x31 0x31.。。。。.0x31（8个字节）

　　Mode： Encryption

　　结果：65 5e a6 28 cf 62 58 5f

　　如果把上述的Key换为8个字节的0x31，而Data和Mode均不变，则执行DES 后得到的密文完全一样。类似地，用Key:8个0x32和用Key:8个0x33 去加密Data （8 个0x31），二者的图文输出也是相同的：5e c3 ac e9 53 71 3b ba

　　我们可以得到出结论：

　　Key用0x30与用0x31是一样的；

　　Key用0x32与用0x33是一样的，。。。。。。

　　当Key由8个0x32换成8个0x31后，貌似换成了新的Key，但由于0x30和0x31仅仅是在第8，16，24.。。。。.64有变化，而DES算法并不使用Key的第8，16，。。。。。.64位作为Key的有效数据位，故：加密出的结果是一样的。

　　DES解密的验证数据：

　　Key： 0x31 0x31.。。。。.0x31（8个0x31）

　　Data： 65 5e a6 28 cf 62 58 5f

　　Mode： Decryption

　　结果：0x31 0x31.。。。。.0x31（8个0x31）

　　由以上看出：DES算法加密与解密均工作正确。唯一需要避免的是：在应用中，避开使用Key的第8，16.。。。。.64位作为有效数据位，从而便避开了DES 算法在应用中的误区。

　　避开DES算法应用误区的具体操作

　　在DES密钥Key的使用、管理及密钥更换的过程中，应绝对避开DES 算法的应用误区，即：绝对不能把Key的第8，16，24.。。。。.64位作为有效数据位，来对Key 进行管理。这一点，特别推荐给金融银行界及非金融业界的领导及决策者们，尤其是负责管理密钥的人，要对此点予以高度重视。有的银行金融交易网络，利用定期更换DES密钥Key的办法来进一步提高系统的安全性和可靠性，如果忽略了上述应用误区，那么，更换新密钥将是徒劳的，对金融交易网络的安全运行将是十分危险的，所以更换密钥一定要保证新Key与旧Key真正的不同，即除了第8，16，24，。。.64位外其它位数据发生了变化，请务必对此保持高度重视！