1、分组密码的工作模式王 滨 2005年3月21日,2,主要内容,分组密码的工作模式 短块处理方法,3,DES算法只解决了如何对一个64比特的明文分组进行加密保护的问题,对于比特数不等于64的明文如何加密,并不关心。这个问题,就由分组密码的工作模式解决。,4,分组密码的工作模式,分组密码的“工作模式”是指以某个分组密码算法为基础,解决对任意长度的明文的加密问题的方法。,1电码本(ECB)模式2密码分组链接(CBC)模式3密码反馈(CFB)模式4输出反馈(OFB)模式5. 计数器模式 这五种工作模式适用于不同的应用需求.,分组密码的工作模式主要有:,5,1电码本(ECB-Electronic Cod
2、e Book)模式,ECB模式是将明文的各个分组独立地使用同一密钥k加密,如下图所示。,ECB模式的加、脱密框图,6,典型应用:(1)用于随机数的加密保护;(2)用于单分组明文的加密。,优点:(1) 实现简单;(2) 不同明文分组的加密可并行实施,尤其是硬件实现时速度很快. 缺点:不同的明文分组之间的加密独立进行,故保 留了单表代替缺点,造成相同明文分组对应相同密文分组,因而不能隐蔽明文分组的统计规律和结构规律,不能抵抗替换攻击.,ECB模式的优、缺点和应用,7,敌手C通过截收从A到B的加密消息,只要将第5至第12分组替换为自己的姓名和帐号相对应的密文,即可将别人的存款存入自己的帐号。,例:
3、假设银行A和银行B之间的资金转帐系统所使用报文模式如下:,8,为了克服ECB的安全性缺陷,我们希望设计一个工作模式,可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接,从而使输出不仅与当前输入有关,而且与以前输入和输出有关。,9,2密码分组链接(CBC-Cipher Block Chaining)模式,在CBC模式下,加密算法的输入是当前明文组与前一密文组的异或。记初始化向量IV为c0,则加密过程可表示为,CBC模式加密框图,10,CBC模式脱密框图,CBC模式的脱密过程为,11,12,1. 明文块的统计特性得到了隐蔽。,CBC模式的特点:,由于在密文CBC模式
4、中,各密文块不仅与当前明文块有关,而且还与以前的明文块及初始化向量有关,从而使明文的统计规律在密文中得到了较好的隐蔽。,2. 具有有限的(两步)错误传播特性。一个密文块的错误将导致两个密文块不能正确脱密. 3. 具有自同步功能密文出现丢块和错块不影响后续密文块的脱密.若从第t块起密文块正确,则第t+1个明文块就能正确求出.,13,典型应用:(1) 数据加密;(2) 完整性认证和身份认证;,完整性认证的含义完整性认证是一个“用户”检验它收到的文件是否遭到第三方有意或无意的篡改。因此,完整性认证:不需检验文件的制造者是否造假;文件的制造者和检验者利益一致,不需互相欺骗和抵赖。,14,利用CBC模式
5、可实现报文的完整性认证,目的:检查文件在(直接或加密)传输和存储中是否遭到有意或无意的篡改.关键技术:(1) 文件的制造者和检验者共享一个密钥(2) 文件的明文必须具有检验者预先知道的冗余度(3) 文件的制造者用共享密钥对具有约定冗余度的明文用CBC模式加密(4) 文件的检验者用共享密钥对密文脱密,并检验约定冗余度是否正确.,15,报文完整性认证的具体实现技术,(1) 文件的制造者和检验者共享一个密钥;(2) 文件的明文m产生一个奇偶校验码r的分组;(3) 采用分组密码的CBC模式,对附带校验码的已扩充的明文(m, r)进行加密,得到的最后一个密文分组就是认证码;,16,n分组明文 , 校验码
6、为,Cn+1为认证码。,(1) 仅需对明文认证,而不需加密时,传送明文m和认证码Cn+1,此时也可仅保留Cn+1的 t 个比特作为认证码; (2) 既需对明文认证,又需要加密时,传送密文C和认证码Cn+1,17,检验方法:(1)仅需对明文认证而不需加密时,此时验证者仅收到明文m和认证码Cn+1,他需要:,Step2 利用共享密钥使用CBC模式对(m,r)加密,将得到的最后一个密文分组与接受到的认证码Cn+1比较,二者一致时判定接收的明文无错;二者不一致时判定明文出错。,Step1 产生明文m的校验码,18,例: 电脑彩票的防伪技术 -彩票中心检查兑奖的电脑彩票是否是自己发行的,问题:如何防止电
7、脑彩票的伪造问题。方法:(1)选择一个分组密码算法和一个认证密钥,将他们存于售票机内; (2)将电脑彩票上的重要信息,如彩票期号、彩票号码、彩票股量、售票单位代号等重要信息按某个约定的规则作为彩票资料明文;(3)对彩票资料明文扩展一个校验码分组后,利用认证密钥和分组密码算法对之加密,并将得到的最后一个分组密文作为认证码打印于彩票上面;认证过程:执行(3),并将计算出的认证码与彩票上的认证码比较,二者一致时判定该彩票是真彩票,否则判定该彩票是假彩票。,19,3密码反馈(CFB-Cipher Feedback)模式,若待加密消息需按字符、字节或比特处理时,可采用CFB模式。并称待加密消息按 j 比
8、特处理的CFB模式为 j 比特CFB模式。适用范围:适用于每次处理 j比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要.例如,数据库加密要求加密时不能改变明文的字节长度,这时就要以明文字节为单位进行加密.,20,j比特CFB模式加密框图,若记IV=c-l+1c-1 c0, |ci|=j,则加密过程可表示为:,21,密文反馈模式的解密,22,优点:(1) 适用于每次处理 j比特明文块的特定需求的加密情形;(2) 具有有限步的错误传播,可用于认证;(3) 可实现自同步功能:该工作模式本质上是将分组密码当作序列密码使用的一种方式,但乱数与明文和密文有关!该模式适应于数据库加密、无线通信加密
9、等对数据格式有特殊要求或密文信号容易丢失或出错的应用环境。缺点:加密效率低。,23,4输出反馈(OFB-Output Feedback)模式,OFB模式在结构上类似于CFB模式,但反馈的内容是DES输出的乱数而不是密文!这一点从图中可以看到。,j 比 特 OFB 模 式 加 密 框 图,24,OFB模式加密框图,25,优点:(1)这是将分组密码当作序列密码使用的一种方式,但乱数与明文和密文无关!(2)不具有错误传播特性!只要密文在传输过程中不丢信号,即使信道不好,也能将明文的大部分信号正常恢复。 适用范围:(1)明文的冗余度特别大,信道不好但不易丢信号,明文错些信号也不影响效果的情形。如图象加
10、密,语音加密等。缺点:(1)不能实现报文的完整性认证。(2)乱数序列的周期可能有短周期现象。,26,总 评:(1)ECB模式简单、高速,但最弱,易受重发和替换攻击,一般不采用。(2)CBC,CFC,OFB模式的选用取决于实际的特殊需求。(3)明文不易丢信号,对明文的格式没有特殊要求的环境可选用CBC模式。需要完整性认证功能时也可选用该模式。(4)容易丢信号的环境,或对明文格式有特殊要求的环境,可选用CFB模式。(2)不易丢信号,但信号特别容易错,但明文冗余特别多,可选用OFB模式。,27,5. 计 数 器 模 式利用固定密钥k对自然数序列1,2,3,n, 加密,将得到的密文分组序列看作乱数序列
11、,按加减密码的方式与明文分组逐位模2加的一种方式.这也是人们普遍认可的一种方式.利用这种方式可以产生伪随机数序列,其伪随机特性远比计算机产生的随机数的性质好,至少我们对它的产生过程是很明了的,很放心的.,28,短块处理方法-直接扩充法在电码本模式和密文链接模式中,都要求明文长度是明文分组规模的整数被倍.否则就会出现最后一个明文分组是短块的情形.这时应如何处理呢?方法1: 对明文扩充,使最后一个分组不是短块,但需在文件头或最后一个明文分组中指明文件所含的字节数.(A) 添充全0比特或其它固定比特,或计算机内存中自然存放的数据.(B) 添充随机数.相对而言,方法(A)简单,易实现,但安全性没有第二种方法好.,29,短块处理方法-密文挪用方法在有些应用中,如数据库加密,磁盘信息加密等,不允许密文的长度比明文的长度大,这时如何解决短块问题?这就用到密文挪用方法.,30,密文挪用方法,31,下节内容,IDEA算法,
