密码学系列之:blowfish对称密钥分组算法

简介

Blowfish是由Bruce Schneier在1993年发明的对称密钥分组加密算法，相似的DES和AES都是分组加密算法，Blowfish是用来替代DES算法出现的，而且Blowfish是没有商用限制的，任何人均可以自由使用。

对比而言，虽然AES也是一种密码强度很高的对称密码算法，可是若是须要商用的话要向NIST支付受权费用。

blowfish详解

blowfish和DES同样，使用的是feistel密码来进行分组加密。blowfish的分组块大小是64bits,可变密钥长度能够从32bits到448bits不等。

blowfish须要进行16轮的feistel加密操做，咱们先从下图大体感觉一下blowfish算法的加密流程：

大概的流程就是将P(原始数据)分红左右两部分，先拿左边的部分和K_r 作异或操做，得出的结果调用F函数，最后将F函数的输出结果和右半部分进行异或操做。

调换左右部分的位置，继续进行这样的操做，总共进行16轮就获得了最终的加密结果。

你们能够看到整个加密过程当中最重要的两个变量就是K_r 和 F函数。

接下来咱们会详细进行讲解。

密钥数组和S-box

密钥数组

从图上咱们能够看到，K_r 的范围是从K₁ 到 K₁₈ 。总共有18个密钥组成的数组。 每一个密钥的长度是32位。

咱们来看一下密钥数组是怎么生成的。

首先咱们使用随机数来对密钥数组进行初始化。怎么才能生成一个足够随机的32位数字呢？

一个很经常使用的方法就是使用常量π的小数部分，将其转换成为16净值，以下所示：

K₁ = 0x76a301d3

K₂ = 0xbc452aef

...

K₁₈ = 0xd7acc4a5

还记得blowfish的可变密钥的长度吗？是从32bits到448bits，也就是从1到14个32位的数字。咱们用P_i来表示,那么就是从P₁到P₁₄总共14个可变密钥。

接下来咱们须要使用K和P进行操做，从而生成最终的K数组。

咱们使用K₁和P₁进行异或操做，K₂和P₂进行异或操做，一直到K₁₄和P₁₄。

由于P只有14个值，而K有18个值，因此接下来咱们须要重复使用P的值，也就是K₁₅和P₁进行异或，K₁₆和P₂进行异或，直到K₁₈和P₄。

将异或以后的值做为新的K数组的值。

如今咱们得到了一个新的K数组。

注意，这个K数组并非最终的数组，咱们接下来看。

S-box

在生成最终的P数组以前，咱们还要介绍一个概念叫作S-box。

在密码学中，s-box的全称是substitution-box，也就是一个替换盒子，能够将输入替换成不一样的输出。

S-box 接收 n个bits的输入，而后将其转换成m个bits的输出。

这里n和m能够是不等的。

咱们看一下DES中S-box的例子：

上面的S-box将6-bits的输入转换成为4-bits的输出。

S-box能够是固定的，也能够是动态的。好比，在DES中S-box就是静态的，而在Blowfish和Twofish中S-box就是动态生成的。

Blowfish算法中的F函数须要用到4个S-box，F函数的输入是32bits，首先将32bits分红4份，也就是4个8bits。

S-box的做用就是将8bits转换成为32bits。

咱们再详细看一下F函数的工做流程：

S-box生成的值会进行相加，而后进行异或操做。最终获得最终的32bits。

S-box的初始值也能够跟K数组同样，使用常量π的小数部分来初始化。

生成最终的K数组

在上面两节，咱们生成了初始化的K数组和S-box。

blowfish认为这样还不够安全，不够随机。

咱们还须要进行一些操做来生成最终的K数组。

首先咱们取一个全为0的64bits，而后K数组和S-box，应用blowfish算法，生成一个64bits。

将这个64bits分红两部分，分别做为新的K₁ 和 K₂。

而后将这个64bits做为输入，再次调用blowfish算法，做为新的K₃ 和 K₄。

依次类推，最终生成全部K数组中的元素。

4个S-box的数组也按照上面的流程来进行生成。从而获得最终的S-box。

blowfish

有了最终的K数组和S-box，咱们就能够真正的对要加密的文件进行加密操做了。

用个伪代码来表示整个流程：

uint32_t P[18];
uint32_t S[4][256];

uint32_t f (uint32_t x) {
   uint32_t h = S[0][x >> 24] + S[1][x >> 16 & 0xff];
   return ( h ^ S[2][x >> 8 & 0xff] ) + S[3][x & 0xff];
}

void encrypt (uint32_t & L, uint32_t & R) {
   for (int i=0 ; i<16 ; i += 2) {
      L ^= P[i];
      R ^= f(L);
      R ^= P[i+1];
      L ^= f(R);
   }
   L ^= P[16];
   R ^= P[17];
   swap (L, R);
}

void decrypt (uint32_t & L, uint32_t & R) {
   for (int i=16 ; i > 0 ; i -= 2) {
      L ^= P[i+1];
      R ^= f(L);
      R ^= P[i];
      L ^= f(R);
   }
   L ^= P[1];
   R ^= P[0];
   swap (L, R);
}

  // ...
  // initializing the P-array and S-boxes with values derived from pi; omitted in the example
  // ...
{
   for (int i=0 ; i<18 ; ++i)
      P[i] ^= key[i % keylen];
   uint32_t L = 0, R = 0;
   for (int i=0 ; i<18 ; i+=2) {
      encrypt (L, R);
      P[i] = L; P[i+1] = R;
   }
   for (int i=0 ; i<4 ; ++i)
      for (int j=0 ; j<256; j+=2) {
         encrypt (L, R);
         S[i][j] = L; S[i][j+1] = R;
      }
}

blowfish的应用

从上面的流程能够看出，blowfish在生成最终的K数组和S-box须要耗费必定的时间，可是一旦生成完毕，或者说密钥不变的状况下，blowfish仍是很快速的一种分组加密方法。

每一个新的密钥都须要进行大概4 KB文本的预处理，和其余分组密码算法相比，这个会很慢。

那么慢有没有好处呢？

固然有，由于对于一个正常应用来讲，是不会常常更换密钥的。因此预处理只会生成一次。在后面使用的时候就会很快了。

而对于恶意攻击者来讲，每次尝试新的密钥都须要进行漫长的预处理，因此对攻击者来讲要破解blowfish算法是很是不划算的。因此blowfish是能够抵御字典攻击的。

由于blowfish没有任何专利限制，任何人均可以避免费使用。这种好处促进了它在密码软件中的普及。

好比使用blowfish的bcrypt算法，咱们会在后面的文章中进行讲解。

blowfish的缺点

Blowfish使用64位块大小（与AES的128位块大小相比）使它容易受到生日攻击，特别是在HTTPS这样的环境中。 2016年，SWEET32攻击演示了如何利用生日攻击对64位块大小的密码执行纯文本恢复（即解密密文）。

由于blowfish的块只有64bits，比较小，因此GnuPG项目建议不要使用Blowfish来加密大于4 GB的文件。

除此以外，Blowfish若是只进行一轮加密的话，容易受到反射性弱键的已知明文攻击。 可是咱们的实现中使用的是16轮加密，因此不容易受到这种攻击。可是Blowfish的发明人布鲁斯·施耐尔（Bruce Schneier）仍是建议你们迁移到Blowfish的继承者Twofish去。

本文已收录于 http://www.flydean.com/blowfish/

最通俗的解读，最深入的干货，最简洁的教程，众多你不知道的小技巧等你来发现！

欢迎关注个人公众号:「程序那些事」,懂技术，更懂你！