费斯妥密码查看源代码讨论查看历史
在密码学中,费斯妥密码(Feistel cipher)是用于构造分组密码的对称结构,以德国出生的物理学家和密码学家霍斯特·费斯妥(Horst Feistel)命名,他在美国IBM工作期间完成了此项开拓性研究。通常也称为费斯妥网络(Feistel network)。大部分分组密码使用该方案,包括数据加密标准[1] (DES)。费斯妥结构的优点在于加密和解密操作非常相似,在某些情况下甚至是相同的,只需要逆转密钥编排。因此,实现这种密码所需的代码或电路大小能几乎减半。
费斯妥网络是一种迭代密码,其中的内部函数称为轮函数。
理论工作
许多现代及一些较旧的对称分组密码基于Feistel网络(例如GOST 28147-89分组密码),且密码学家已经深入研究了Feistel密码的结构和性质。具体而言,Michael Luby和Charles Rackoff分析了Feistel密码的构造,证明了如果轮函数是一个密码安全的伪随机函数,使用Ki作为种子,那么3轮足以使这种分组密码成为伪随机置换,而4轮可使它成为“强”伪随机置换(这意味着,对可以得到其逆排列谕示的攻击者,它仍然是伪随机的)。
由于Luby和Rackoff的结果非常重要,Feistel密码有时也称为Luby-Rackoff分组密码。进一步的理论工作对其进行了推广,给出了更加精确的安全界限。
历史
Feistel网络最初在IBM的Lucifer密码中商业化,这种密码由霍斯特·费斯妥和Don Coppersmith于1973年设计。美国联邦政府在设计DES(基于Lucifer密码,由NSA进行修改)时采用了Feistel网络。像DES的其他组件一样,Feistel构造中的迭代特性使得在硬件中(特别是在设计DES时已有的硬件上)实现密码系统更容易。