0 引言

NESSIE是歐洲一項(xiàng)為期三年的密碼標(biāo)準(zhǔn)計(jì)劃，繼美國(guó)推出了AES計(jì)劃以后，歐洲于2000年1月1日啟動(dòng)了NESSIE計(jì)劃，以適應(yīng)21世紀(jì)信息安全發(fā)展的全面需求。兩者相比較，NESSIE比 AES涉及的范圍更廣，這套標(biāo)準(zhǔn)涉及分組密碼、流密碼、公鑰密碼、消息認(rèn)證碼、數(shù)字簽名和雜湊函數(shù)。其中分組密碼的征集要求是密鑰長(zhǎng)度至少128bit（普通）/256bit（高級(jí)），分組長(zhǎng)度至少I(mǎi)28bit；傳統(tǒng)類(lèi)密碼分組長(zhǎng)度64bit，密鑰長(zhǎng)度至少128bit。

在信息時(shí)代的發(fā)展當(dāng)中，此項(xiàng)課題的研究有較好的應(yīng)用前景，并符合信息安全發(fā)展的趨勢(shì)和潮流。Noekeon算法可以應(yīng)用在對(duì)不同場(chǎng)合的加解密之中，同時(shí)關(guān)于Noekeon算法的研究成果并不多，本文通過(guò)對(duì)Noekeon算法的加解密流程和速度進(jìn)行分析研究，并用C#語(yǔ)言實(shí)現(xiàn)編程，從而使我們對(duì)Noekeon算法有一個(gè)更清晰、更直觀的認(rèn)識(shí)。

1 三種算法的原理

1.1 Noekeon分組密碼原理

Noekeon算法是NESSIE公布的17個(gè)候選算法之一，它是由比利時(shí)的Joan Daemen、Michael Peeters、Gilles Van Assche和Vincent Rijmen共同設(shè)計(jì)的一個(gè)分組密碼，它的分組長(zhǎng)度和密鑰長(zhǎng)度都是128比特，整體結(jié)構(gòu)采用的是16輪SP網(wǎng)絡(luò)，每一圈由線性變換、字節(jié)輪換、32個(gè)平行的4bit-4bitS盒組成，該算法的加解密非常相似。為了保證加解密相似，設(shè)計(jì)者要求每個(gè)基本模塊都是對(duì)合的。經(jīng)測(cè)試，Noekeon可以在各種平臺(tái)上安全而有效的實(shí)現(xiàn)。

圖1 Noekeon算法加解密流程圖

1.2 DES算法的原理

DES算法[2]的分組結(jié)構(gòu)采用Feistel網(wǎng)絡(luò)，包括異或、置換、代換、移位操作四種基本運(yùn)算。這種結(jié)構(gòu)是Horst Feistel在1973年所提出，其核心思想是：64位的明文經(jīng)過(guò)初始置換而被重新排列，然后分成兩組，使用子密鑰對(duì)其中一個(gè)分組應(yīng)用輪函數(shù)進(jìn)行迭代，每一輪迭代都有置換和代換，然后將輸出與另一組進(jìn)行“異或”運(yùn)算。之后交換這兩組，再重復(fù)這一過(guò)程，DES使用16個(gè)循環(huán)，但最后一個(gè)循環(huán)之后就不再交換。DES的加解密流程如圖2所示：

圖2 DES算法加密的流程圖

1.3 AES算法原理

AES分組密碼擁有128bit的分塊長(zhǎng)度，而且可以使用128bit，192bit或者256bit大小的密鑰。密鑰的長(zhǎng)度影響著密鑰編排（即在每一輪中使用的子密鑰）和輪的次數(shù)。

加密過(guò)程：加密之前，先將明文和原始的密鑰做一次加密操作。從加密的第1輪到第9輪的所用的輪函數(shù)一樣，包括四種運(yùn)算：字節(jié)代換、行位移、列混合、輪密鑰加，最后一輪則不再執(zhí)行行列混合。

解密過(guò)程：AES的加密過(guò)程和解密過(guò)程并不一致，這是因?yàn)锳ES并不使用Feistel結(jié)構(gòu)，每一輪操作是對(duì)整個(gè)分組進(jìn)行操作。解密過(guò)程仍為10輪，每一輪操作是對(duì)應(yīng)的加密操作的逆操作，由于AES的4 個(gè)輪操作（字節(jié)代換、行位移、列混合和輪密鑰加）都是可逆的，因而，解密過(guò)程一輪操作就是順序執(zhí)行逆位移位、然后執(zhí)行逆字節(jié)代換和輪密鑰加，最后是逆列混合。同加密操作過(guò)程一樣，解密的最后一輪也不執(zhí)行逆列混合，但在第1輪解密之前，要執(zhí)行1次輪密鑰加操作。AES的加解密流程如圖3所示：

圖3 AES的加解密流程圖

2 安全性分析

2.1 Noekeon的安全性分析

Noekeon的密鑰編排算法非常簡(jiǎn)單，即每一輪的子密鑰是一樣的。這樣設(shè)計(jì)很容易遭受滑動(dòng)攻擊。但是設(shè)計(jì)者克服此問(wèn)題是通過(guò)引入輪常數(shù) Roundct[i]來(lái)抵抗滑動(dòng)攻擊，使用輪常數(shù)是為了防止不同輪中產(chǎn)生的輪密鑰的對(duì)稱(chēng)性或相似性。

如果 Noekeon沒(méi)有引入輪常數(shù) Roundct[i]，則 Noekeon可以看作同一置換 Pi2·Gamma·Pi1·Theta（A，K）的乘積密碼，顯然Pi2·Gamma·Pi1·Theta（A，K）是弱置換；因此，滑動(dòng)攻擊對(duì)沒(méi)有引入輪常數(shù)Roundct[i]對(duì)Noekeon算法是有效的。這反映了輪常數(shù)Roundct[i]在Noekeon算法中的重要作用。

2.2 DES的安全性分析

從 DES使用以來(lái)，人們一個(gè)試圖分析它的弱點(diǎn)并取得了突破，實(shí)際上 DES算法的安全性取決于密鑰的保密。它存在以下幾方面的問(wèn)題：

（1）互補(bǔ)性

在 DES中，若輸入的明文和密鑰同時(shí)取補(bǔ)，則選擇擴(kuò)展運(yùn)算E的輸出和子密鑰產(chǎn)生器的輸出也都補(bǔ)，因而經(jīng)異或運(yùn)算后的輸出與明文及密鑰未取補(bǔ)時(shí)的輸出一樣，即 S盒的輸入數(shù)據(jù)未變，其輸出自然也不會(huì)變，但經(jīng)第十個(gè)異或運(yùn)算時(shí)，由于左邊的數(shù)據(jù)已取補(bǔ)，因而右半部分輸出也就取補(bǔ)了。正是由于算法的兩次異或運(yùn)算（一次在S盒之前，一次在P盒置換之后）使得DES算法具有互補(bǔ)性。

（2）DES算法存在弱密鑰和半弱密鑰

在DES中，至少存在4個(gè)弱密鑰和至少12個(gè)半密鑰，如果使用弱密鑰和半弱密鑰，則在多重加密時(shí)第二次加密 會(huì)還原第一次加密。

（3）DES算法的密鑰太短

只有56bit，密鑰量約為1.7*1017個(gè)，對(duì)抗窮舉攻擊法、差分攻擊法和線性攻擊法等的能力較差。DES算法經(jīng)受住了時(shí)間的考驗(yàn)，但是在差分分析法或者線性逼近法的理論下，聯(lián)合多臺(tái)工作站同時(shí)協(xié)同工作，不到半月就可以找到密鑰。

2.3 AES的安全性分析

AES除了保持DES的某些好的特性外，在分組長(zhǎng)度和密鑰長(zhǎng)度方面都作了加強(qiáng)，特別是密鑰長(zhǎng)度可從 128、192、256bit中任選，給用戶提供了更大的靈活性，另外 AES的運(yùn)算速度也將有極大的提高，軟件實(shí)現(xiàn)速度在普通 PC機(jī)上一般都能達(dá)到50～60Mbit/s以上。它存在以下幾方面的問(wèn)題：

（1）盡管一些專(zhuān)家認(rèn)為可能利用該算法使用的數(shù)學(xué)結(jié)構(gòu)來(lái)攻擊該算法，但實(shí)際上，暫時(shí)還沒(méi)有一種攻擊方法能攻擊AES；另一方面，它采用非線性組件S盒，結(jié)構(gòu)簡(jiǎn)單，便于分析，也使該算法的安全性能受到一些威脅。

（2）由于AES采用的Rijndael算法利用了掩碼技術(shù)，因而AES能有效防止能量攻擊和計(jì)時(shí)攻擊。

（3）通常情況下，Rijndael非常適合在空間受限環(huán)境下既執(zhí)行加密操作又要執(zhí)行解密操作。其對(duì)ROM和RAM的要求比較低，因而在計(jì)算機(jī)硬件上有廣闊的發(fā)展空間。

3 三種算法的加解密速度對(duì)比

表1 三種算法的加解密速度對(duì)比

將三種算法算法對(duì)同一明文進(jìn)行加密，明文大小設(shè)定為200KB，得到三種不同的密文。將三種密文分別轉(zhuǎn)為ASCII碼，分析每個(gè)密文的奇偶數(shù)數(shù)量，控制字符和顯示字符數(shù)量。得到的結(jié)果如圖 4所示。從圖中可以看出，Noekeon算法的奇偶數(shù)與DES、AES情況類(lèi)似，這進(jìn)一步的表明，Noekeon算法具有良好的安全性。

圖4 三種算法密文規(guī)律性統(tǒng)計(jì)

4 文件加解密的界面實(shí)現(xiàn)

為了測(cè)試算法算法的加密速度，利用存儲(chǔ)大小為200K的名為“算法加密解密測(cè)試”的文件進(jìn)行測(cè)試，文件加解密的環(huán)境圖5所示：能夠?qū)oekeon、DES、AES三種算法進(jìn)行加密解密。三種算法加密速度測(cè)試結(jié)果如圖6所示，由圖可以看出，Noekeon算法的加密速度相對(duì)較快，比較適用于數(shù)據(jù)和文件的加密和解密。

圖5 三種加解密C#實(shí)現(xiàn)的主控界面

圖6 三種算法加密文件所用時(shí)間截圖

5 結(jié)束語(yǔ)

密碼學(xué)是信息安全的基石，分組密碼算法是密碼的重要組成部分，Noekeon算法使用同一個(gè)密鑰來(lái)加密和解密的分組密碼算法，采用迭代結(jié)構(gòu)，運(yùn)行速度快且易于實(shí)現(xiàn)，因此對(duì)Noekeon算法的安全性進(jìn)行研究，進(jìn)而發(fā)現(xiàn)其存在的不足，從而實(shí)現(xiàn)對(duì)Noekeon算法的改進(jìn)。

Noekeon算法的加解密速度相對(duì)較快且安全性較高，但是據(jù)設(shè)計(jì)者稱(chēng)該密碼算法具有良好的抗線性攻擊和差分攻擊的能力，4圈Noekeon的線性特征概率不超過(guò)2-24，差分概率不高于2-48。但有研究報(bào)告表明，已實(shí)現(xiàn)對(duì)Noekeon算法進(jìn)行相關(guān)密鑰攻擊，故設(shè)計(jì)者聲稱(chēng)的該算法能抵御差分和線性分析攻擊的結(jié)果并不可信。