数据加密 ---- DES 加密

1. 简介

其他算法可以看：数据加密 ---- 总篇

2. 形成过程

1973年5月15日，在咨询了美国国家安全局（NSA）之后，NBS向公众征集可以满足严格设计标准的加密算法。然而，没有一个提案可以满足这些要求。
1974年8月27日，NBS开始了第二次征集。这一次，IBM提交了一种在1973-1974年间发展的算法，这份提案被有限度的接受了。这种算法是基于早先霍斯特·费斯托（Horst
Fiestel）提出的Lucifer算法的。
1975年3月17日，被选中的DES在“联邦公报”上公布并征集公众意见。
1976年8月，NBS举行了两个开放式研讨会以讨论该标准。
1976年11月，DES 被确认为联邦标准。
1977年1月15日，作为FIPS PUB 46发布，被授权用于所有非机密资料。
1983年，DES 第一次延长标准期限。
1986年，HBO开始使用一个基于DES的电视卫星加密系统。
1988年1月12日，DES第二次延长标准期限，称为FIPS 46-1，取代FIPS PUB 46。
1993年12月30日，DES作为FIPS 46-2第三次延长标准期限。
1997年6月，DESCHAL计划第一次公开激活成功教程了DES加密的信息。
1998年7月，EFF的DES激活成功教程机（Deep Crack）在56小时内激活成功教程了DES密钥。
1999年1月，Deep Crack和distributed.net合作在22小时15分钟内激活成功教程了一个DES密钥。
1999年10月25日，DES作为FIPS46-3第四次延长标准期限，其中规定优先使用 3DES，而普通DES只允许在遗留的系统中应用。
2001年2月28日，联邦公报发表了AES标准，以此开始了其标准化进程。
2001年11月26日，AES作为FIPS 197发布。
2002年5月26日，AES标准开始生效。
2004年7月26日，“联邦公报”发布了FIPS 46-3以及一系列相关标准被驳回的信息。
2005年5月19日，NIST拒绝了FIPS 46-3标准。

3. 加密过程

DES 的加密步骤大概分如下：

初始轮（IP 函数）：进行数据置换
重复轮（16次相同的处理，又称“回次”），其中包括通过费斯托函数（F函数）进行异或处理
最终轮（FP 函数）：再次进行数据置换，为第一步IP 的反函数（FP 也成为 $IP^{-1}$ ）。

其中，IP和FP几乎没有密码学上的重要性，为了在1970年代中期的硬件上简化输入输出数据库的过程而被显式的包括在标准中（后面会介绍）。

4. 算法说明

同 AES加密，DES 也是分组加密（也称为块加密）的一种。明文规定是64位，密钥也是64位（实际有效的是56位，其中8位位奇偶校验，并在算法中被丢弃）。
例如，有密钥64位：BBCDFF1
即K（64位） = 00010011 00110100 01 01 1 0 1 1
其中，第8、16、24、32、40、48、56、64位为奇偶校验位
与其它块密码相似，DES自身并不是加密的实用手段，而必须以某种工作模式进行实际操作。DES 中常用到的工作模式有:：ECB、CBC、CFB 和 OFB。FIPS PUB 81中原文如下：

The Federal Data Encryption Standard (DES) (FIPS 46) specifies a crypto-graphic algorithm to be used for the cryptographic protection of sensitive, but unclassified, computer data. This FIPS defines four modes of operation for the DES which may be used in a wide variety of applications. The modes specify how data will be encrypted (cryptographically protected) and decrypted (returned to original form). The modes included in this standard are the Electronic Codebook (ECB) mode, the Cipher Block Chaining (CBC) mode, the Cipher Feedback (CFB) mode, and the Output Feedback (OFB) mode.

4.1 整体结构（费斯托结构）

如图1 所示，整个DES 算法过程采用费斯托结构。

明文的64 位数据，在做IP 之前会进行拆分左右两部分，分别为L 和 R。

例如，有明文64位：0ABCDEF
即 P(64位) = 0000 0001 0010 0011 0100 0101 0110 0111 1000 1001 1010 1011 1100 1101 1110 1111
L(32位) = 0000 0001 0010 0011 0100 0101 0110 0111
R(32位) = 1000 1001 1010 1011 1100 1101 1110 1111

将得到的L 和R 进行置换处理(IP)，得到 ${\color{Red} L_0}$ 和 ${\color{Red}R_0}$

IP 请看下面附1.

进行16 次相同回合的处理

算法可以细分为：

step 1 第一次进入设定初始值

L_x = L_0

R_x = R_0

step 2 将上一回的 R_i 作为下一回的 L ，将上一回的 L_i ⊕ F(R_i) 作为下一回的 R

总结公式为：

L_x = R_x

R_x = Te ⊕ F(R_x)

其中Te 为临时变量。

step 3 将最后的 L_x 和 R_x 进行调换

经过最后一回合的计算得到 L_x 和 R_x 本来是为了第 17 回合准备的，但是这里只有 16 回合，下一步需要进行FP，所以，需要将最终拿到的 L_x 和 R_x 进行调换，作为FP 的初始值

进行反置换运算 FP

从上面得到的最终的 L_x 和 R_x 作为FP 的初始值，进行置换，得到最后的L' 和 R' 就为最后的密文的L 和R。

FP 详见下面附2.

4.2 费斯托函数

图 2 为费斯托函数的运算图。

大概包含 4 步：

扩张：用扩张置换（图中的E）将32位的半块扩展到48位，其输出包括8个6位的块，每块包含4位对应的输入位，加上两个邻接的块中紧邻的位。
与密钥混合：用异或操作将扩张的结果和一个子密钥进行混合。16个48位的子密钥—每个用于一个回次的F变换—是利用密钥调度从主密钥生成的（见下文 4.3 节）。
S盒：在与子密钥混合之后，块被分成8个6位的块，然后使用“S盒”，或称“置换盒”进行处理。8个S盒的每一个都使用以查找表方式提供的非线性的变换将它的6个输入位变成4个输出位。S盒提供了DES的核心安全性—如果没有S盒，密码会是线性的，很容易激活成功教程。
置换：最后，S盒的32个输出位利用固定的置换，“P置换”进行重组。这个设计是为了将每个S盒的4位输出在下一回次的扩张后，使用4个不同的S盒进行处理。

S盒，P置换和E扩张各自满足了克劳德·香农在1940年代提出的实用密码所需的必要条件，“混淆与扩散”。

E 置换详见下面附3.

P 置换详见下面附4.

S 盒详见下面附5.

4.3 密钥调度

图3显示了加密过程中的密钥调度—产生子密钥的算法。

使用选择置换1（PC-1）从64位输入密钥中选出56位的密钥—剩下的8位要么直接丢弃，要么作为奇偶校验位。

得到的56位密钥，会被分成左28位和右28位，详见附6 中的PC-1

将得到的两个半密钥(各28位)分别进行移位，详见附8
上一步中得到的重新移位过的两个半密钥通过选择置换2（PC-2）产生48位的子密钥—每个半密钥24位。
将得到的最新的48位的密钥进行费斯托函数运算。

解密过程中，除了子密钥输出的顺序相反外，密钥调度的过程与加密完全相同。

PC-1 详见附6.

PC-2 详见附7.

每一回合的移位详见附8。

其他算法可以看：数据加密 ---- 总篇

5. 附录

附1 置换函数IP

58	50	42	34	26	18	10	2
60	52	44	36	28	20	12	4
62	54	46	38	30	22	14	6
64	56	48	40	32	24	16	8
57	49	41	33	25	17	9	1
59	51	43	35	27	19	11	3
61	53	45	37	29	21	13	5
63	55	47	39	31	23	15	7

该表显示了对64位块的初始置换，其意义如下：输出的首位为输入的第58位，第二位为50位，依此类推，输出的最后位为输入的第7位。

信息为了方便表示被写成表格形式，但它实际上是一个矢量，而非矩阵。

附2 反置换函数FP(又称 $IP^{-1}$ )

40	8	48	16	56	24	64	32
39	7	47	15	55	23	63	31
38	6	46	14	54	22	62	30
37	5	45	13	53	21	61	29
36	4	44	12	52	20	60	28
35	3	43	11	51	19	59	27
34	2	42	10	50	18	58	26
33	1	41	9	49	17	57	25

IP-1（亦被称为FP）是IP的逆过程，上表的含义与IP的相似。

附3 扩张置换 E

32	1	2	3	4	5
4	5	6	7	8	9
8	9	10	11	12	13
12	13	14	15	16	17
16	17	18	19	20	21
20	21	22	23	24	25
24	25	26	27	28	29
28	29	30	31	32	1

扩张函数被作为最初和最终的置换。注意输入中的某些位在输出中被用到了不止一次，例如输入的第5位出现在输出的第6和8位。因此，32位的半块输入被扩张到了48位。

附4 P 置换

16	7	20	21
29	12	28	17
1	15	23	26
5	18	31	10
2	8	24	14
32	27	3	9
19	13	30	6
22	11	4	25

P置换将32位的半块数据重新排列。

附5 S 盒

从上面图2 可以看到费斯托函数会分8个S盒，数据共48位，每一个盒子会将6位数据变为4位数据。

给定输入后，输出行由外侧两位确定，列由内侧的4位确定，例如“011011”的输入的外侧位为“01”，内侧位为“1101”，而每张表的第一行为“00”，第一列为“0000”因此在 S5 中的对应输出为“1001”（十进制的9），即第2行，第14列。

S1
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	14	4	13	1	2	15	11	8	3	10	6	12	5	9	0	7
0yyyy1	0	15	7	4	14	2	13	1	10	6	12	11	9	5	3	8
1yyyy0	4	1	14	8	13	6	2	11	15	12	9	7	3	10	5	0
1yyyy1	15	12	8	2	4	9	1	7	5	11	3	14	10	0	6	13
S2
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	15	1	8	14	6	11	3	4	9	7	2	13	12	0	5	10
0yyyy1	3	13	4	7	15	2	8	14	12	0	1	10	6	9	11	5
1yyyy0	0	14	7	11	10	4	13	1	5	8	12	6	9	3	2	15
1yyyy1	13	8	10	1	3	15	4	2	11	6	7	12	0	5	14	9
S3
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	10	0	9	14	6	3	15	5	1	13	12	7	11	4	2	8
0yyyy1	13	7	0	9	3	4	6	10	2	8	5	14	12	11	15	1
1yyyy0	13	6	4	9	8	15	3	0	11	1	2	12	5	10	14	7
1yyyy1	1	10	13	0	6	9	8	7	4	15	14	3	11	5	2	12
S4
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	7	13	14	3	0	6	9	10	1	2	8	5	11	12	4	15
0yyyy1	13	8	11	5	6	15	0	3	4	7	2	12	1	10	14	9
1yyyy0	10	6	9	0	12	11	7	13	15	1	3	14	5	2	8	4
1yyyy1	3	15	0	6	10	1	13	8	9	4	5	11	12	7	2	14
S5
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	2	12	4	1	7	10	11	6	8	5	3	15	13	0	14	9
0yyyy1	14	11	2	12	4	7	13	1	5	0	15	10	3	9	8	6
1yyyy0	4	2	1	11	10	13	7	8	15	9	12	5	6	3	0	14
1yyyy1	11	8	12	7	1	14	2	13	6	15	0	9	10	4	5	3
S6
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	12	1	10	15	9	2	6	8	0	13	3	4	14	7	5	11
0yyyy1	10	15	4	2	7	12	9	5	6	1	13	14	0	11	3	8
1yyyy0	9	14	15	5	2	8	12	3	7	0	4	10	1	13	11	6
1yyyy1	4	3	2	12	9	5	15	10	11	14	1	7	6	0	8	13
S7
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	4	11	2	14	15	0	8	13	3	12	9	7	5	10	6	1
0yyyy1	13	0	11	7	4	9	1	10	14	3	5	12	2	15	8	6
1yyyy0	1	4	11	13	12	3	7	14	10	15	6	8	0	5	9	2
1yyyy1	6	11	13	8	1	4	10	7	9	5	0	15	14	2	3	12
S8
	x0000x	x0001x	x0010x	x0011x	x0100x	x0101x	x0110x	x0111x	x1000x	x1001x	x1010x	x1011x	x1100x	x1101x	x1110x	x1111x
0yyyy0	13	2	8	4	6	15	11	1	10	9	3	14	5	0	12	7
0yyyy1	1	15	13	8	10	3	7	4	12	5	6	11	0	14	9	2
1yyyy0	7	11	4	1	9	12	14	2	0	6	10	13	15	3	5	8
1yyyy1	2	1	14	7	4	10	8	13	15	12	9	0	3	5	6	11

附6 选择置换 PC-1

左
57	49	41	33	25	17	9
1	58	50	42	34	26	18
10	2	59	51	43	35	27
19	11	3	60	52	44	36
右
63	55	47	39	31	23	15
7	62	54	46	38	30	22
14	6	61	53	45	37	29
21	13	5	28	20	12	4

上表的“左”和“右”两部分表现了输入密钥组成密钥调度状态中左右两部分的过程。主要输入的64位数据中只用到了56位，剩余的8位可以用于奇偶校验。

附7 选择置换 PC-2

14	17	11	24	1	5
3	28	15	6	21	10
23	19	12	4	26	8
16	7	27	20	13	2
41	52	31	37	47	55
30	40	51	45	33	48
44	49	39	56	34	53
46	42	50	36	29	32

该置换从56位的密钥调度状态中取出48位的子密钥。

附8 密钥调度过程中的移位

回次	左移位数
1	1
2	1
3	2
4	2
5	2
6	2
7	2
8	2
9	1
10	2
11	2
12	2
13	2
14	2
15	2
16	1

附9. Android 实例

https://blog.csdn.net/shift_wwx/article/details/

今天的文章数据加密 ---- DES 加密分享到此就结束了，感谢您的阅读。