密码学第10讲--分组密码的工作模式.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,.,*,分组密码的工作模式,1,.,主要内容,分组密码的工作模式,短块处理方法,2,.,DES,算法只解决了如何对一个64比特的明文分组进行加密保护的问题,对于比特数不等于64的明文如何加密,并不关心。这个问题,就由分组密码的工作模式解决。,3,.,分组密码的工作模式,分组密码的“工作模式”是指以某个分组密码算法为基础,解决对任意长度的明文的加密问题的方法。,1,电码本,(,ECB),模式,2,密码分组链接,(,CBC),模式,3,密码反馈,(,CFB),模式,4,输出反馈,(,OFB),模式,5.,计数器

2、模式,这五种工作模式适用于不同的应用需求.,分组密码的工作模式主要有：,4,.,1,电码本,(,ECB-Electronic Code Book),模式,ECB,模式是将明文的各个分组,独立地,使用同一密钥,k,加密，如下图所示。,ECB,模式的加、脱密框图,5,.,典型应用：,（1）用于随机数的加密保护；,（2）用于单分组明文的加密。,优点,：,(1)实现简单;,(2)不同明文分组的加密可并行实施,尤其是硬件实现时速度很快.,缺点：,不同的明文分组之间的加密独立进行,故保,留了单表代替缺点,造成,相同明文分组对应相同密文分组,因而不能隐蔽明文分组的统计规律和结构规律,不能抵抗替换攻击.,E

3、CB,模式的优、缺点和应用,6,.,敌手,C,通过截收从,A,到,B,的加密消息，只要将第,5,至第,12,分组替换为自己的姓名和帐号相对应的密文（因为,ECB,模式不同的分组加密采用相同密钥独立进行），即可将别人的存款存入自己的帐号。,例:假设银行,A,和银行,B,之间的资金转帐系统所使用报文模式如下：,7,.,为了克服,ECB,的安全性缺陷，我们希望设计一个工作模式,可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。,8,.,2,密码分组链接,(,CBC-Cipher Block Chaining),

4、模式,在,CBC,模式下，加密算法的输入是当前明文组与前一密文组的异或。,记,初始,化向量,IV,（初始化向量不需要保密，它可以明文形式与密文一起传送）为,c,0,则加密过程可表示为,CBC,模式加密框图,),(,x,E,k,9,.,CBC,模式脱密框图,CBC,模式的脱密过程为,10,.,),(,x,E,k,11,.,1.,明文块的统计特性得到了隐蔽。,CBC,模式的特点：,由于在密文,CBC,模式中，各密文块不仅与当前明文块有关，而且还与以前的明文块及初始化向量有关，从而,使,明文的统计规律在密文中得到了较好的隐蔽。,2.,具有有限的(两步)错误传播特性。,一个密文块的错误将导致两个密文块

5、不能正确脱密.,3.,具有自同步功能,密文出现丢块和错块不影响后续密文块的脱密.若从第,t块起,密文块正确,则第,t+1个明文块就能正确求出.,12,.,典型应用:,(1)数据加密;,(2)完整性认证和身份认证;,完整性认证的含义,完整性认证是一个“用户”检验它收到的文件是否遭到第三方有意或无意的篡改。,因此，完整性认证：,不需检验文件的制造者是否造假；,文件的制造者和检验者利益一致，不需互相欺骗和抵赖。,13,.,利用,CBC,模式可实现报文的完整性认证,目的:检查文件在(直接或加密)传输和存储中是否遭到有意或无意的篡改.,关键技术:,(1)文件的制造者和检验者共享一个密钥,(2)文件的明文

6、必须具有检验者预先知道的冗余度,(3)文件的制造者用共享密钥对具有约定冗余度的明文用,CBC,模式加密,(4)文件的检验者用共享密钥对密文脱密,并检验约定冗余度是否正确.,14,.,报文完整性认证的具体实现技术,(1)文件的制造者和检验者共享一个密钥；,(2)文件的明文,m,产生一个奇偶校验码,r,的分组；,(3)采用分组密码的,CBC,模式，对附带校验码的已扩充的明文(,m,r),进行加密，得到的最后一个密文分组就是认证码；,15,.,n,分组,明文,校验码为,C,n+1,为认证码。,(1),仅需对明文认证,而不需加密时,传送明文,m,和,认证码,C,n+1,，,此时也可仅保留,C,n+1,

7、的,t,个比特作为认证码；,(2),既需对明文认证,又需要加密时,传送密文,C,和,认证码,C,n+1,),(,x,E,k,),(,x,E,k,16,.,检验方法：,（,1,）仅需对明文认证而不需加密时,此时验证者仅收到明文,m,和,认证码,C,n+1,，他需要：,Step2,利用共享密钥使用,CBC,模式对,(m,r),加密，将得到的最后一个密文分组与接受到的认证码,C,n+1,比较，二者一致时判定接收的明文无错；二者不一致时判定明文出错。,Step1,产生明文,m,的校验码,17,.,例：,电脑彩票的防伪技术,-,彩票中心检查兑奖的电脑彩票是否是自己发行的,问题：如何防止电脑彩票的伪造问题

8、方法：,（,1,）选择一个分组密码算法和一个认证密钥，将他们存于售票机内；,（,2,）将电脑彩票上的重要信息，如彩票期号、彩票号码、彩票股量、售票单位代号等重要信息按某个约定的规则作为彩票资料明文；,（,3,）对彩票资料明文扩展一个校验码分组后，利用认证密钥和分组密码算法对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面；,认证过程：,执行（,3,）,并将计算出的认证码与彩票上的认证码比较，二者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。,18,.,3,密码反馈,(,CFB-Cipher Feedback),模式,是一种将,DES,转化成流密码的技术，不再要求报文被填充成整

9、个分组，可以实时运行，如果要传输一个字符流，每个字符都可以使用面向字符的流密码立刻加密和传输。,加密：加密函数的输入是一个,64,位的移位寄存器（在数字电路中，用来存放二进制数据或代码的电路称为寄存器。寄存器是由具有存储功能的触发器组合起来构成的。一个触发器可以存储一位二进制代码,，,存放,N,位二进制代码的寄存器，需用,n,个触发器来构成。移位寄存器中的数据可以在移位脉冲作用下一次逐位右移或左移,）,，产生初始向量,IV,。加密函数高端,j,位与明文,m1,的第一个单元异或，产生,j,位密文,c1,进入移位寄存器低端，继续加密与,m2,输入异或，如此重复直到所有明文单元都完成加密。,解密：采

10、用相同方案，但是使用加密函数而非解密函数。,19,.,若待加密消息需按字符、字节或比特处理时，可采用,CFB,模式。并称,待加密消息按,j,比特处理的,CFB,模式为,j,比特,CFB,模式。,适用范围:,适用于每次处理,j,比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要.,例如,数据库加密要求加密时不能改变明文的字节长度,这时就要以明文字节为单位进行加密.,20,.,j,比特,CFB,模式加密框图,若记,IV,=,c,-l,+1,c,-1,c,0,，,|,c,i,|=j,，则加密过程可表示为:,注意：进行下一轮加密时，移位寄存器先,左移,j,位，然后再用上一轮产生的,j,位密文补

11、齐。,21,.,密文反馈模式的解密,22,.,优点:,(1)适用于每次处理,j,比特明文块的特定需求的加密情形;,(2)具有有限步的错误传播，可用于认证;,(3)可实现自同步功能:,该工作模式本质上是将分组密码当作序列密码使用的一种方式,但乱数与明文和密文有关！,该模式适应于数据库加密、无线通信加密等对数据格式有特殊要求或密文信号容易丢失或出错的应用环境。,缺点：加密效率低。,加解密两端都需要用到分组加密器。明文发生错误时，错误会传播。如果有一个字节的密文在传输的时候发生错误（即使是其中的一位），那么它出现在移位寄存器期间解密的,8,个字节数据都会得不到正确的解密结果，在这,8,个字节过去之后

12、依然可以得到正确的解密结果。另外该模式也比较浪费，因为在每轮加解密中都丢弃了大部分结果，,j,通常为一字节。,23,.,4,输出反馈,(,OFB-Output Feedback),模式,OFB,模式在结构上类似于,CFB,模式，但反馈的内容是,DES,输出的乱数而不是密文！这一点从图中可以看到。,j,比,特,OFB,模,式,加,密,框,图,24,.,OFB,模式加密框图,25,.,优点：,（1）这是将分组密码当作序列密码使用的一种方式，但乱数与明文和密文无关！,（2）不具有错误传播特性！,只要密文在传输过程中不丢信号，即使信道不好，也能将明文的大部分信号正常恢复。,适用范围：,（1）明文的冗

13、余度特别大，信道不好但不易丢信号，明文错些信号也不影响效果的情形。如图象加密，语音加密等。,缺点：,（1）不能实现报文的完整性认证。,（2）乱数序列的周期可能有短周期现象。,26,.,总 评：,（1）,ECB,模式简单、高速，但最弱，易受重发和替换攻击，一般不采用。,（2）,CBC，CFC，OFB,模式的选用取决于实际的特殊需求。,（3）明文不易丢信号，对明文的格式没有特殊要求的环境可选用,CBC,模式。需要完整性认证功能时也可选用该模式。,（4）容易丢信号的环境，或对明文格式有特殊要求的环境，可选用,CFB,模式。,（2）不易丢信号，但信号特别容易错，但明文冗余特别多，可选用,OFB,模式。

14、27,.,5.计 数 器 模 式,利用固定密钥,k对自然数序列,1,2,3,n,加密,将得到的密文分组序列看作乱数序列,按加减密码的方式与明文分组逐位模2加的一种方式.,这也是人们普遍认可的一种方式.,利用这种方式可以产生伪随机数序列,其伪随机特性远比计算机产生的随机数的性质好,至少我们对它的产生过程是很明了的,很放心的.,28,.,CTR,（,Counter Mode Encryption,）模式,CTR,模式是,Diffie,和,Hellman,于,1979,年提出的，在征集,AES,工作模式的活动中由,California,大学的,Phillip,Rogaway,等人的推荐。,设,T,

15、1,，,T,2,，,，,T,n-1,，,T,n,是一给定的计数序列，,M,1,，,M,2,，,，,M,n-1,，,M,n,是明文，其中,M,1,，,M,2,，,，,M,n-1,是标准块，,M,n,的可能是标准块，也可能是短块。设其长度等于,u,，,u,小于等于分组长度。,29,.,CTR,的工作模式的加密过程如下：,O,i,E,（,T,i,，,K,），,i=1,2,n.,Ci,M,i,O,i,，,i=1,2,n-1.,C,n,M,n,MSB,u,（,O,n,）,.,其中,MSB,u,（,O,n,）,表示,O,n,中的高,u,位。,30,.,计数器,加密算法,E,M,i,C,i,T,i,O,i,

16、K,T,1,时钟脉冲,31,.,CTR,的工作模式的解密过程如下：,O,i,E,（,T,i,，,K,），,i=1,2,n.,M,i,C,i,O,i,，,i=1,2,n-1.,M,n,C,n,MSB,u,（,O,n,）,.,32,.,CTR,的工作模式的优点：,CTR,模式的优点是安全、高效、可并行、适合任意长度的数据；,O,i,的计算可预处理高速进行；,加解密过程仅涉及加密运算，不涉及解密运算，因此不用实现解密算法。,适合随机存储数据的解密。,CTR,模式的缺点是没有错误传播，因此不易确保数据完整性。,33,.,三、短块加密,分组密码一次只能对一个固定长度的明文（密文）块进行加（解）密。,称长

17、度小于分组长度的数据块为短块。,必须采用合适的技术解决短块加密问题。,短块处理技术：,1,、填充技术,2,、密文挪用技术,3,、序列加密,34,.,短块处理方法,-,1,直接扩充法,在电码本模式和密文链接模式中,都要求明文长度是明文分组规模的整数倍.否则就会出现最后一个明文分组是短块的情形.这时应如何处理呢?,方法1:对明文扩充,使最后一个分组不是短块,但需在文件头或最后一个明文分组中指明文件所含的字节数.,(,A),添充全0比特或其它固定比特,或计算机内存中自然存放的数据.,(,B),添充随机数.,相对而言,方法(,A),简单,易实现,但安全性没有第二种方法好.填充法适于通信加密而不适于文件

18、和数据库加密。,35,.,M,n-1,a,a b,M,n,E,C,n,D,M,n,M,n-1,加密,解密,K,K,K,K,E,D,b M,n,a b,b M,n,C,n-1,2,、密文挪用技术,36,.,密文挪用法也需要指示挪用位数的指示符，否则收信者不知道挪用了多少位，从而不能正确解密。,密文挪用加密短块的优点是不引起数据扩展。,缺点是解密时要先解密,C,n,、,还原挪用后再解密,C,n-1,，,从而使控制复杂。,37,.,三、短块加密,3,、序列加密,对于最后一块短块数据，直接使用密钥,K,与短,块数据模,2,相加。,序列加密方法的优点是简单。,但是如果短块太短，则加密强度不高。,38,.,下节内容,IDEA算法,39,.,