分组密码 4.6 分组密码的工作模式

密码学第四章分组密码4.6分组密码的工作模式为什么研究分组密码的工作模式?把分组密码算法用到不同的环境中去，环境不同，要求也不同。为了满足不同的要求，通过改变分组密码输入与输出的形式，研究出不同的分组密码工作模式。一是分组密码不能隐蔽数据模式，即相同的明文组对应着相同的密文组；二是分组加密不能抵抗组的重放、嵌入和删除等攻击。4.6分组密码的工作模式分组密码的工作模式是指以这个分组密码为基础构造一个分组密码系统的方法。安全性依赖于算法，不依赖模式，密码模式不会损害算法的安全性。4.6分组密码的工作模式电码本(ECB)模式1密码分组链接(CBC)模式2密码反馈(CFB)模式3输出反馈(OFB)模式44.6分组密码的工作模式1980年NIST公布了4种DES的工作模式：电码本（ECB-ElectronicCodeBook）模式密码分组链接（CBC-CiperBlockChaining）模式密码反馈（CFB-CiperFeedback）模式输出反馈（OFB-OutputFeedBack）模式4.6分组密码的工作模式2000年3月NIST为AES公开征集保密工作模式：15个候选工作模式：2DEM、ABC、CTR、IACBC、IAPM、IGE、KFB、OCB、PCFB、PMAC、RMAC、XCBC（MAC）、XCBC、XEBC（MAC）和AES-Hash2001年12月在文件800-38A中公布了AES用于保密性的5种工作模式：ECB、CBC、CFB、OFB、CTR（计数模式，CounterMode）。4.6分组密码的工作模式1．电码本(ECB)模式ECB模式是直接使用分组密码的工作模式，明文的各个分组独立地使用同一密钥k加密。………ECB模式的加、脱密框图要求明文长度是明文分组规模的整数倍。否则就会出现最后一个明文分组是短块的情形。这时分组短块应如何处理，才能满足要求呢?短块处理方法1．电码本(ECB)模式方法:对明文扩充，使最后一个分组不是短块，但需在文件头或最后一个明文分组中指明文件所含的字节数。(A)添充全0比特或其它固定比特；(B)添充随机数。相对而言，方法(A)简单，易实现，但安全性没有第二种方法好。注1：短块处理方法----直接扩充法1．电码本(ECB)模式注2：短块处理方法----密文挪用方法在有些应用中,如数据库加密,磁盘信息加密等，不允许密文的长度比明文的长度大，这时如何解决短块问题？最后一个明文短块倒数第二块密文添加的明文块1．电码本(ECB)模式设明文的最后一个分组mN的长度不足一个完整的分组，长度是24比特ECB中的密文挪用长度为24比特1．电码本(ECB)模式优点：(1)实现简单；(2)不同明文分组的加密可并行实施，尤其是硬件实现时速度很快。相同的明文分组永远被加密成相同的密文分组，所以理论上制作一个包含明文和其相应的密文的密码本是可能的。1．电码本(ECB)模式典型应用:（1）用于随机数的加密保护；（2）用于单分组明文的加密。缺点：本质上是单 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 代替密码。不能隐蔽明文分组的统计规律和结构规律，很容易受到替换攻击，并且也不能实现完整性认证。1．电码本(ECB)模式ECB模式最严重的问题是敌手可以在不知道密钥的情况下，修改密文，欺骗指定的接收者。例：假设银行A和银行B之间的资金转帐系统所使用报文模式如下：1．电码本(ECB)模式为了克服ECB的安全性缺陷，我们希望设计一个技术可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。敌手C通过截收从A到B的加密消息，只要将第5至第12分组替换为自己的姓名和帐号相对应的密文，即可将别人的存款存入自己的帐号。1．电码本(ECB)模式在CBC模式下，加密算法的输入是当前明文组与前一密文组的异或。为了方便，不妨记IV为c0，则加密过程可表示为………CBC模式加密框图2．密码分组链接(CBC)模式使用IV的原因：如果第一个分组不采用初始向量，那么，两个相同的消息仍然被加密成相同的密文，并且，两个消息在第一个不同分组之前的所有分组都将被加密成相同的消息。IV无须保密，可以以明文形式在报文中进行传输，但要随消息更换。2．密码分组链接(CBC)模式CBC模式的脱密过程为CBC模式脱密框图2．密码分组链接(CBC)模式设明文的最后一个分组mN的长度不足一个完整的分组，长度是24比特CBC中的密文挪用长度为24比特2．密码分组链接(CBC)模式　　例:假设银行A和银行B之间的资金转帐系统所使用报文模式如下：已知条件：攻击者C知道自己的姓名和帐号相对应的密文。思考：如果该资金转账系统采用CBC模式加密，攻击者Ｃ进行替换攻击还能成功吗？2．密码分组链接(CBC)模式(1)明文块的统计特性得到了隐蔽。特点：　在CBC模式中，即使两个明文分组相同，但由于Ek(x)的输入与密文ci-1有关，因而对应的密文分组也不同，从而密文分组不再具有明显的统计规律，明文的统计特性在密文中得到了较好的隐蔽，故可对抗唯密文攻击。2．密码分组链接(CBC)模式（2）具有有限的错误传播特性。一个密文块的错误将导致两个密文块无法脱密。假设密文块在传输中出错，因为则有：只有明文块、的还原与密文块有关，因此一个密文块的传输错误将影响两个明文块的正确还原。2．密码分组链接(CBC)模式注意：若是一个密文比特的丢失，将影响后续密文的正确还原。（3）具有自同步功能密文出现丢块和错块不影响后续密文块的脱密。若从第t块起密文块正确，则第t+1个明文块就能正确求出。CBC模式是自恢复的（self-recovering）。2．密码分组链接(CBC)模式典型应用:(1)数据加密;(2)完整性认证和身份认证。完整性认证是一个“用户”检验它收到的文件是否遭到第三方有意或无意的篡改。因此，完整性认证：（1）不需检验文件的制造者是否造假；（2）文件的制造者和检验者利益一致，不需互相欺骗和抵赖。2．密码分组链接(CBC)模式报文完整性认证的具体实现：(1)文件的制造者和检验者共享一个分组密码算法和一个密钥；(2)文件的明文m产生一个校验码分组r；(3)采用分组密码的CBC模式，对附带校验码的已扩充的明文(m,r)进行加密，得到的最后一个密文分组就是认证码。2．密码分组链接(CBC)模式n分组明文,校验码为cn+1为认证码。………校验码认证码2．密码分组链接(CBC)模式（1）仅需对明文认证而不需加密时,此时验证者仅收到明文m和认证码cn+1，他需要：Step1产生明文m的校验码Step2利用共享密钥使用CBC模式对(m,r)加密，将得到的最后一个密文分组与接受到的认证码cn+1比较，二者一致时判定接收的明文无错；二者不一致时判定明文出错。2．密码分组链接(CBC)模式（2）既需对明文认证又需加密时，此时验证者仅收到密文c和认证码cn+1，他需要：Step1利用共享密钥使用CBC模式对密文脱密；Step2检验所得到的最后一个明文分组是否是其它明文分组的模2和：是则判定接收的明文无错；不是则判定接收的明文出错。2．密码分组链接(CBC)模式基于CBC模式的基础上出现的新的工作模式：Jutla提出的IACBC模式Gligor和Donesa提出的XCBC模式Fouque提出的DCBC模式Bellare提出的HCBC和HPCBC模式Halevi和Rogaway提出的CMC模式2．密码分组链接(CBC)模式例电脑彩票的防伪技术----彩票中心检查兑奖的电脑彩票是否是自己发行的（1）选择一个分组密码算法和一个密钥，将他们存于售票机内；（2）将电脑彩票上的重要信息，如彩票期号、彩票号码、彩票股量、售票单位代号等重要信息按某个约定的规则作为彩票资料明文；2．密码分组链接(CBC)模式（3）对彩票资料明文扩展一个校验码分组后，利用密钥和分组密码算法的CBC模式对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面；认证过程：执行（3），并将计算出的认证码与彩票上的认证码比较，二者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。例电脑彩票的防伪技术----彩票中心检查兑奖的电脑彩票是否是自己发行的2．密码分组链接(CBC)模式若待加密消息需按字符、字节或比特处理时，可采用CFB模式。并称待加密消息按j比特处理的CFB模式为j比特CFB模式。3．密码反馈(CFB)模式j比特CFB模式加密框图3．密码反馈(CFB)模式若记IV=c-l+1…c-1c0，|ci|=j，则加密过程可表示为j比特CFB模式脱密框图ÅL1+-lc1-c0ck比特选取最左边j1mk比特选取最左边jÅk比特选取最左边jÅL2+-lc0c1cL3+-lc1c2c2m2c比特L比特L比特jIV3cLLL1c比特j比特j3mEEE3．密码反馈(CFB)模式3．密码反馈(CFB)模式优点：(1)CFB模式可使明文数据的统计规律得到较好的隐蔽，还适应用户不同数据格式的需求；(2)具有有限步的错误传播，可用于认证；(3)可实现自同步。缺点：(1)具有有限步的错误传播；(2)加密效率低：一次只能完成j个比特的明文数据加密。　　典型应用:（1）适用于每次处理j比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要。例如，数据库加密要求加密时不能改变明文的字节长度，这时就要以明文字节为单位进行加密。3．密码反馈(CFB)模式（2）CFB模式实际上是将分组密码算法作为序列密码的密钥序列发生器，因为分组密码的输出是输入的相当复杂的函数，一般认为输出具有很好的随机特性，可用此方法通过分组密码来构造序列密码。基于CFB模式的基础上出现的新的工作模式：AmmarAlkassar提出的OCFB模式、RFC2004中定义的openPGPCFB模式、SCFB模式。3．密码反馈(CFB)模式OFB模式在结构上类似于CFB模式，但反馈的内容是加密算法输出的乱数而不是密文！若记IV=z-l+1…z-1z0，则加密过程可表示为4．输出反馈(OFB)模式j比特OFB模式加密框图j比特OFB模式脱密框图4．输出反馈(OFB)模式OFB模式类似于CFB模式。两种模式均将分组密码算法作为一个密钥流生成器，二者区别在于OFB中是将分组密码算法E输出的L比特的最左边j比特直接反馈至移位寄存器的右方，而CFB中则是将j比特密文单元反馈回移位寄存器。OFB模式适合于语音、图象以及卫星通信的加密保护。4．输出反馈(OFB)模式优点：（1）这是将分组密码当作序列密码使用的一种方式，但乱数与明文和密文无关！（2）不具有错误传播特性！缺点：（1）加密效率低；（2）不能实现报文的完整性认证。4．输出反馈(OFB)模式典型应用：信道不好的情形。（1）ECB模式简单、高速，但最弱，易受重发和替换攻击，一般不采用消息加密，可用于加密短的随机数据。（2）CBC，CFB，OFB模式的选用取决于实际的特殊需求。（3）CBC模式用于长报文加密，完整性认证。（4）CFB模式通常用于加密字符序列。（5）OFB模式用在容易出错的环境中。四种工作模式的应用