DES

　  本文对DES的介绍部分摘自博文DES加密算法的C++实现，具体实现则由自己完成。

　　另外，DES的官方文档链接见这里，在维基百科上也有比较详细的介绍。不过，DES已经被证明是不安全的（可见于RSA公司官网），在实际中已经应该较少。因此，后来人们又开发出来了三重DES以代替DES，具体介绍可见这里。

　　DES采用的是Feistel密码结构。如51CTO.COM上一篇文章说的，Feistel密码结构的优美之处就在于：无论对于多么怪异的轮函数，都可以轻松执行解密。详细介绍可参考维基百科上的介绍。

　 一、DES算法原理

　　DES算法是一种最通用的对称密钥算法，因为算法本身是公开的，所以其安全性在于密钥的安全性。基于密钥的算法通常有两类：对称算法和公开密钥算法。对称算法的对称性体现在加密密钥能够从解密密钥推算出来，反之亦然。在大多数对称算法中，加解密的密钥是相同的，DES就是这样。可见，对称密钥算法的加解密密钥都是保密的。而公开密钥算法的加密密钥是公开的，解密密钥是保密的。

　　下面是 DES 加密算法的整体流程图：

　　从上面的流程图可以看出，DES加密主要由四个部分完成：

1. 初始置换 IP；
2. 子密钥 Ki 的获取；
3. 密码函数 f ；
4. 尾置换 IP^-1 ；

　　其中，第二部分和第三部分是 DES 算法的核心。注意：DES 解密算法与加密算法完全相同，只需要将子密钥的使用顺序反过来就行了。

　　下面分别讲一下各个部分的大致思路。

　  1） 初始置换IP

　　这一部分很简单，IP（initial permutation）是一个 8x8 的置换表：

1 int IP[] = { 58, 50, 42, 34, 26, 18, 10, 2,
2              60, 52, 44, 36, 28, 20, 12, 4,
3              62, 54, 46, 38, 30, 22, 14, 6,
4              64, 56, 48, 40, 32, 24, 16, 8,
5              57, 49, 41, 33, 25, 17, 9,  1,
6              59, 51, 43, 35, 27, 19, 11, 3,
7              61, 53, 45, 37, 29, 21, 13, 5,
8              63, 55, 47, 39, 31, 23, 15, 7 };

　　根据表中的规定，将输入的 64 位明文重新进行排序，即将第 58 位放到第 1 位，第 50 位放到第 2 位……以此类推。初始置换以后得到的是一个 64 位的输出。

　  2） 子密钥 K_i 的获取

　　下面是获取子密钥 K_i 的流程图：

　　流程图已经把思路很清楚的表达出来了，很简单：

• 用户输出的密钥是 64 位的，根据密钥置换表PC-1，将 64 位变成 56 位密钥。（去掉了奇偶校验位）
• 将 PC-1 置换得到的 56 位密钥，分为前28位 C₀ 和后28位 D₀，分别对它们进行循环左移，C₀左移得到 C₁，D₀ 左移得到 D₁。
• 将 C₁ 和 D₁ 合并成 56 位，然后通过PC-2表进行压缩置换，得到当前这一轮的 48 位子密钥 K₁ 。
• 然后对 C₁ 和 D₁ 进行左移和压缩置换，获取下一轮的子密钥……一共进行16轮，得到 16 个 48 位的子密钥。

　　这部分需要用到的表 PC-1 和表 PC-2 如下：

 1 // 密钥置换表，将64位密钥变成56位
 2 int PC_1[] = {57, 49, 41, 33, 25, 17, 9,
 3                1, 58, 50, 42, 34, 26, 18,
 4               10,  2, 59, 51, 43, 35, 27,
 5               19, 11,  3, 60, 52, 44, 36,
 6               63, 55, 47, 39, 31, 23, 15,
 7                7, 62, 54, 46, 38, 30, 22,
 8               14,  6, 61, 53, 45, 37, 29,
 9               21, 13,  5, 28, 20, 12,  4};
10
11 // 压缩置换，将56位密钥压缩成48位子密钥
12 int PC_2[] = {14, 17, 11, 24,  1,  5,
13                3, 28, 15,  6, 21, 10,
14               23, 19, 12,  4, 26,  8,
15               16,  7, 27, 20, 13,  2,
16               41, 52, 31, 37, 47, 55,
17               30, 40, 51, 45, 33, 48,
18               44, 49, 39, 56, 34, 53,
19               46, 42, 50, 36, 29, 32};
20
21 // 每轮左移的位数
22 int shiftBits[] = {1, 1, 2, 2, 2, 2, 2, 2, 1, 2, 2, 2, 2, 2, 2, 1};

　　3） 密码函数 f

　　下面是密码函数f(R, K)的流程图：

　　密码函数f(R, K)接受两个输入：32 位的数据和 48 位的子密钥。然后：

• 通过表 E 进行扩展置换，将输入的 32 位数据扩展为 48 位；
• 将扩展后的 48 位数据与 48 位的子密钥进行异或运算；
• 将异或得到的 48 位数据分成 8 个 6 位的块，每一个块通过对应的一个 S 表产生一个 4 位的输出。其中，每个 S 表都是 4 行 16 列。具体的置换过程如下：把 6 位输入中的第 1 位和第 6 位取出来行成一个两位的二进制数 x ，作为 S_i 表中的行数（0~3）；把 6 位输入的中间 4 位构成另外一个二进制数 y，作为 S_i 表的列数（0~15）；查出 S_i 表中 x 行 y 列所对应的整数，将该整数转换为一个 4 位的二进制数。
• 把通过 S 表置换得到的 8 个 4 位连在一起，形成一个 32 位的数据。然后将该 32 位数据通过表 P 进行置换（称为P-置换），置换后得到一个仍然是 32 位的结果数据，这就是f(R, K)函数的输出。

　　这部分用到了扩展置换表E，8个S表以及P-置换表，如下：

 1 // 扩展置换表，将 32位 扩展至 48位
 2 int E[] = {32,  1,  2,  3,  4,  5,
 3             4,  5,  6,  7,  8,  9,
 4             8,  9, 10, 11, 12, 13,
 5            12, 13, 14, 15, 16, 17,
 6            16, 17, 18, 19, 20, 21,
 7            20, 21, 22, 23, 24, 25,
 8            24, 25, 26, 27, 28, 29,
 9            28, 29, 30, 31, 32,  1};
10
11 // S盒，每个S盒是4x16的置换表，6位 -> 4位
12 int S_BOX[8][4][16] = {
13     {
14         {14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7},
15         {0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8},
16         {4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0},
17         {15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13}
18     },
19     {
20         {15,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10},
21         {3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5},
22         {0,14,7,11,10,4,13,1,5,8,12,6,9,3,2,15},
23         {13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9}
24     },
25     {
26         {10,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8},
27         {13,7,0,9,3,4,6,10,2,8,5,14,12,11,15,1},
28         {13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7},
29         {1,10,13,0,6,9,8,7,4,15,14,3,11,5,2,12}
30     },
31     {
32         {7,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15},
33         {13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9},
34         {10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4},
35         {3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14}
36     },
37     {
38         {2,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9},
39         {14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6},
40         {4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14},
41         {11,8,12,7,1,14,2,13,6,15,0,9,10,4,5,3}
42     },
43     {
44         {12,1,10,15,9,2,6,8,0,13,3,4,14,7,5,11},
45         {10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8},
46         {9,14,15,5,2,8,12,3,7,0,4,10,1,13,11,6},
47         {4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13}
48     },
49     {
50         {4,11,2,14,15,0,8,13,3,12,9,7,5,10,6,1},
51         {13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6},
52         {1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2},
53         {6,11,13,8,1,4,10,7,9,5,0,15,14,2,3,12}
54     },
55     {
56         {13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7},
57         {1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2},
58         {7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8},
59         {2,1,14,7,4,10,8,13,15,12,9,0,3,5,6,11}
60     }
61 };
62
63 // P置换，32位 -> 32位
64 int P[] = {16,  7, 20, 21,
65            29, 12, 28, 17,
66             1, 15, 23, 26,
67             5, 18, 31, 10,
68             2,  8, 24, 14,
69            32, 27,  3,  9,
70            19, 13, 30,  6,
71            22, 11,  4, 25 };

　　4） 尾置换IP^-1

　　合并 L₁₆ 和 R₁₆ 得到一个 64 位的数据，再经过尾置换后得到的就是 64 位的密文。注意：要将 L₁₆和 R₁₆ 合并成 R₁₆L₁₆（即左右互换）。尾置换表IP-1如下：

1 // 尾置换表
2 int IP_1[] = {40, 8, 48, 16, 56, 24, 64, 32,
3               39, 7, 47, 15, 55, 23, 63, 31,
4               38, 6, 46, 14, 54, 22, 62, 30,
5               37, 5, 45, 13, 53, 21, 61, 29,
6               36, 4, 44, 12, 52, 20, 60, 28,
7               35, 3, 43, 11, 51, 19, 59, 27,
8               34, 2, 42, 10, 50, 18, 58, 26,
9               33, 1, 41,  9, 49, 17, 57, 25};

　　OK！现在我们可以回到本文的开头，去看看 DES 算法的整体流程图，思路就已经很清楚了。

　 二. C++实现

　　C++实现见Github.