可調分組加密綜述

1、可調分組加密綜述【摘要】本文綜述了可調分組加密自2002年提出以來，國內外的研究方向及成果，主要集中在以下一些方面：可調分組密碼的構造，可調分組加密的算法研究，可調分組密碼的加密認證模式及改進，某種特定算法的硬件研究。【關鍵詞】可調分組密碼；加密方案；構造【Abstract】This paper sum up tweakable block ciphers research direction and achievement which was come up in 2002.The research focused on the following aspects: the structur

2、e of tweakable block cipher ,the arithmetic study of tweakable block cipher, the authenticated encryption mode of tweakable block cipher and its improvement,the hardware study of specific arithmetic.【Keyword】tweakable block cipher ；encryption scheme；structure目錄一、引言4（一）研究背景4二、基本概念4（一）可調分組密碼4（二）Hash函數

3、6（三）伽羅瓦域性質6（四）MISSY結構6三、可調分組密碼的構造7四、可調加密方案10（一）小分組可調加密方案LRW-AES10（二）大分組可調加密方案EME-32-AES11（三）Encrypt-Mix-Encrypt型可調加密方案121. CMC型可調加密方案122. EME型可調加密方案143. 型可調加密算法16（四Hash-CTR-Hash型可調加密方案191 XCB型可調加密方案192. HCH型可調加密方案20（五）Hash-ECB-Hash型可調加密方案211. PEP型可調加密方案222. TET型可調加密方案25五、基于XTS-AES型可調加密算法的硬件研究27六、結語3

4、0致謝31參考文獻32一 引 言（一）研究背景磁盤加密是一種底層的加密，它只跟磁盤的格式有關，可以跟操作系統無關。磁盤加密就是直接將明文對應的密文寫在磁盤相應的位置上，當需要讀取此加密信息時就進行解密操作，將密文恢復成相應的明文。但是通常的加密方式對于磁盤加密來說是不適用的，原因是它們會對明文有所擴張。例如高級機密標準的CBC加密模式，密文包含一個有128比特的初始向量。每一個扇區(qū)通常只有512字節(jié)，如果用CBC進行加密，就必須用額外的扇區(qū)存儲初始向量，這樣不但造成浪費，而且明文和密文在扇區(qū)上的存儲也不是一對一的，給底層加密帶來很多不便?？烧{分組密碼就是在這樣的情況下產生的。關于它的嚴格定義，

5、最早是由M.Liskov、R.L.Rivest、D.Wagner在2002年給出的。除了消息和密鑰外，它還多了一個稱為調柄（tweak）的輸入。Tweak的作用類似于CBC模式中的初始向量和OCB模式中的Nonce，使得對不同的Tweak，可調分組密碼就代表兩個不同的分組密碼，優(yōu)點體現在改變Tweak比改變密鑰代價小，應為改變密鑰意味著要重新進行密鑰擴展算法。二 基本概念（一）可調分組密碼分組密碼E: 是一個函數，并且對任意的，是上的置換?？烧{分組密碼是一個函數，并且對任意的和是上的置換，分別稱和為密鑰空間，調柄空間和明文空間。由定義可知，對任意固定的調柄是一個分組密碼，可調分組密碼可以看作是

6、一調柄為索引的分組密碼的集合。 表示從集合S隨機選取元素a，如果集合只有一個元素則表示賦值。表示上所有置換的集合，表示所有到上映射的集合。如果，則稱是M上的隨機置換；如果，則稱為上的調柄空間為的可調隨機置換。 可調分組密碼的安全性通過敵手區(qū)分可調分組密碼和可調隨機置換的優(yōu)勢來刻畫。敵手攻擊的方式分為選擇明文攻擊和選擇密文攻擊，可調分組密碼與通常的分組密碼不同的是，敵手在攻擊的過程中還可以選擇調柄的值。敵手是一個能詢問若干個預言機的概率算法。不失一般性，假設敵手不詢問已知的信息。例如敵手不重復已詢問過的明文加密。我們用表示敵手A輸出比特1，將A所詢問的預言機寫在其右上角，分組密碼和可調分組密碼的

7、安全性由下列優(yōu)勢函數來定義：其中和分別表示和的逆置換。記號表示敵手在q次詢問和時間t內取得的最大優(yōu)勢。當可忽略時，稱E是安全的，或者抵抗選擇明文攻擊的；當可忽略時，稱E是強安全的，或者抵抗選擇密文攻擊的；當可忽略時，稱E是安全的，或者抵抗選擇明文攻擊的；當可忽略時，稱E是強安全的，或者抵抗選擇密文攻擊的。 由定義可知，如果E是（強）安全的，那么相當于個相互獨立的隨機置換。調柄帶來的靈活性是：僅僅通過一個密鑰的隨機選取就取得了個隨機置換，這樣我們可以通過更換調柄達到更換密鑰的效果，即獲得相互獨立的隨機置換。因此基于可調分組密碼的工作模式的設計比基于分組密碼的工作模式的設計要方便的多。安全性證明也

8、容易得多。（二）Hash函數Hash函數作用于一個任意長度的消息M，它返回一個固定長度的雜湊值h。密碼學中的Hash函數需要具有下列性質：1有效性：給定M，很容易計算h；2單向性：給定h，根據=h計算M很難；3無碰撞性：給定M，要找到另一個消息并滿足很難；4混合性：對于任意輸入，輸出的Hash函數值h應當與區(qū)間中均勻二進制串在計算上是不可區(qū)分的。（三）伽羅瓦域性質伽羅瓦域的階數為，它一共包含了個元素，而中所有元素個數為個，如果用i表示個數，則i的取值范圍是，設為的本原元(生成元)，于是集合就表示中所有非零元素的集合。用表示，表示的乘法群，則群共有個本原元，其中表示歐拉函數。（四）MISSY結構

9、MISSY結構是M.Matsui借鑒Feistel結構研究成果推出的一種整體結構（見圖一）。對長度為2n比特的輸入，是比特、是比特，1輪MISTY型結構通過如下計算輸出：= MISTY結構的優(yōu)點是：當時，合理選取輪函數可以是MISTY結構達到比Feistel結構更高的安全界。缺點就是輪函數的設計需要考慮解密操作。三 可調分組密碼的構造 構造方案一： 表達式中表示一般分組密碼，表示可調分組密碼。此種構造方案的好處是T的改變比較容易并且開銷也比較小，應為它不需要對原有的分組密碼做任何的改變，因此也就不需要改變密鑰K，滿足了可調分組密碼關于靈活性的要求。在效率方面，可以看出這種構造方案要求兩次計算，

10、與原有的分組密碼相比，增加了一次計算和異或運算的時間。其安全性Liskov等人已經給出了證明。 構造方案二：表達式中表示一般分組密碼，h為哈希函數，從靈活性，執(zhí)行效率，安全性三個方面來分析此種構造方案。從表達式可以看出的改變并不需要依靠的改變來實現，而是直接改變調柄T的值就行了，故滿足靈活性要求。在執(zhí)行效率上雖然用到了兩次異或運算和哈希函數的計算，但是通過很多實驗數據證明執(zhí)行效率還是可以接受的。并且相對于第一種構造方法少用了一次，所以運算效率提高了。就安全性而言，如果上述表達式中的哈希函數采用的族哈希函數，其廣義安全性表達式為。當n較大時如128或256，則其安全性與原有分組密碼安全性差不多。

11、 構造方案三：XE和XEX2004年，Phillip Rogaway提出XE和XEX這兩種效率非常高的構造方案，它也是一種基于標準分組密碼E的構造方案，相比分組密碼E采用XE和XEX構造的可調分組密碼所增加的額外開銷很小。XEX構造方案為：表達式中，表示標準分組密碼，中的N表示初始可調值，而表示乘法群的本原元，如果用屬于整數集Z，XEX可以記為。 XE構造方案為：表達式中，表示標準分組密碼，中的N表示初始可調值，而表示乘法群的本原元。的改變不需要改變密鑰K，兩者的可調空間為，其中N是初始密鑰，并且的值是依次增加的。XE的安全表達式為，其中，在域，。XEX的安全表達式為，這兩個表達式所描述的可調

12、分組密碼都已證明是安全的。執(zhí)行效率上XE比XEX少用了一次異或。例1.MAC構造方法TXOR N是t比特的串，調柄其中i寫成t-1比特的串。算法其中，是MAC最后輸出的比特數。算法其中N是t比特的串，調柄，其中寫成比特的串。例2.基于MISTY結構的可調分組密碼構造。它是通過在MISSY結構中添加tweak T來構成。根據添加的位置可以吧設計方案概括如下：對輸入或其中，T的長度為總長度的一半四 可調加密方案（一）小分組可調加密方案LRW-AES 磁盤通常被分成固定長度的扇區(qū)（一般是512字節(jié)），如果要對一個扇區(qū)加密，假如此扇區(qū)所處的位置是j，那么對應的待加密的512個字節(jié)消息按如下方式分成32

13、個16字節(jié)的塊：每個對應的邏輯位置為，令LRW-AES加密模式需要兩個密鑰，一個是128（192或256）比特的加密密鑰，另一個是128比特的Tweak密鑰，圖1表示的是LRW-AES對一塊128比特明文P加密的情況。對每一塊128比特的明文，具體算法描述如下： （二）大分組可調加密方案EME-32-AESEME-32-AES是分組長度為512字節(jié)的可調分組密碼，他是EME模式的具體實例，如圖2所示。它需要一個128（192或256）比特的加密密鑰K和一個公開的128比特的Tweak T（T由扇區(qū)位置確定，）對512字節(jié)的消息,EME-32-AE加密過程如下： （三）Encrypt-Mix-E

14、ncrypt型可調加密方案，包括等。1、CMC型可調加密方案加密算法解密算法CMC加密算法流程圖2、EME型可調加密方案加密算法解密算法。EME加密算法流程圖3、型可調加密算法函數加密算法 解密算法 加密算法流程圖（四）Hash-CTR-Hash型可調加密方案，包括XCB,HCH等。 1、 XCB型可調加密方案加密算法解密算法其中密鑰，明文，密文。2、HCH型可調加密方案加密算法解密算法HCHHCH型加密算法流程圖（五）Hash-ECB-Hash型可調加密方案，包括PEP,TET,等 1、PEP型可調加密方案令，我們定義下面一系列的多項式，令，我們定義下面一系列多項式定義定義加密算法解密算法P

15、EP加密算法流程圖2、TET型可調加密方案加密算法解密算法 五：基于XTS-AES型可調加密算法的硬件研究 近年來，數據的存儲越來越引起人們的重視，成為國內外研究的熱點。美國國家標準與技術研究院發(fā)布用戶終端設備存貯加密指南，對計算機、移動存儲介質等設備的存儲加密提供指南，指導加密方案的規(guī)劃、實施和維護，全球網絡存儲工業(yè)協會成立存儲安全工業(yè)論壇，推動存儲加密相關技術的發(fā)展，IEEE組織成立存儲安全工作組，專門研究存儲加密的算法、工作模式及密鑰管理，并致力于存儲加密的標準化工作，目前該工作組已經發(fā)布IEEE1619-2007，1619.1 ，1619.2,1619.3文檔，制定了窄塊加密，磁帶加密

16、，寬塊加密，密鑰管理等相關標準和草案，2008年，IEEE SISWG批準XTS-AES標準，用于以邏輯塊或扇區(qū)基礎的存儲介質上靜態(tài)數據的加密，XTS-AES是一種基于AES的可調分組密碼，由分組密碼算法（AES）工作在可調工作模式（XTS）下構造而成，以下將對其進行詳細介紹。 XTS-AES試用于對那些被分成固定長度數據單元的數據流信息進行加密。這些數據單元被分成m+1個數據塊，前m個數據塊的大小為128bits，最后一個數據塊的大小為b bits（長度小于128）。數據單元最少包含128bits，數據塊的個數為。單個128bits數據塊的XTS-AES加密算法可用如下式子表示其中Key為2

17、56-bit或512-bit XTS-AES加密密鑰；P為128-bit明文數據塊； i為128-bit調整值； j為128-bitshu數據塊在數據單元中的位置值； C為128-bit密文數據塊如下圖所示： 其中AES-enc為標準AES算法，Key2為調整值密鑰，key1為數據密鑰，模承操作為域中對應多項式的本源。計算步驟順序如下： 數據單元的XTS-AES加密算法在數據單元的加密算法中，算法的應用跟最后一個數據塊的大小b有關。計算步驟如下：國內對XTS-AES算法硬件方面的研究主要有USB存儲加密器的設計與實現，主機加密卡FPGA的設計與實現，高吞吐率的XTS-AES加密算法的硬件實現，

18、并且取得了一定的成果。六：結語可調分組密碼從提出到至今只有十幾年時間，但關于它的研究一直沒間斷過，主要集中在它的構造及算法的研究上，并且取得了較多的研究成果?？烧{分組密碼的優(yōu)勢在于磁盤加密，但也有它的局限性。密碼學的一些新的研究方向有量子計算與量子密碼，DNA計算與DNA密碼，基于同態(tài)加密的云計算。目前對密碼體制安全性的評價標準有計算安全性、可證明安全性和無條件安全性，但量子算法的研究表明，大多數安全性可歸約到HSP問題的公鑰密碼體制無法抵抗量子計算。但量子計算對現代密碼學的威脅主要集中在公鑰密碼方面。密碼學與物理，生物這些學科看似沒聯系，但其實可以把他們聯系起來，一旦取得成果，對現有的密碼體

19、制將是非常大的沖擊。致謝 經歷兩個多月的探討寫作，終于完成了這篇論文，雖然在論文的寫作過程中遇到了很多的困難，但還是在老師和同學的幫助下順利完成了。這其中尤其要感謝的是我的指導老師王澤輝老師。王澤輝老師在密碼學和信息安全領域有著卓越的研究成果，并且教導學生很耐心，很有自己的想法跟方法。“授人以魚不如授人以漁”，王老師正是用這樣的言傳身教來教導我們，他不會一味的要你怎么做怎么做，而是悉心的指導你這樣做是不是更好。在王老師的引導下，我的思維視野開闊了很多，并且還培養(yǎng)了我良好的學習習慣和科研精神，這些都將成為我寶貴的人生財富！在此謹向王老師致以最誠摯的謝意和最崇高的敬意！ 同時還要感謝本論文所涉及到

20、的各位學者，你們所做的著作和論文研究成果給了我很大的幫助和啟發(fā)，在此表示衷心的感謝！ 最后還要感謝培養(yǎng)我長大的辛勤的父母，他們是我生命中永遠的依靠和支柱，他們不僅在物質方面對我鼎力相助，在精神方面也不斷給我鼓勵和支持，在我迷茫的時候幫助我走出低谷。正是他們的殷殷希望，激發(fā)我不斷前行。在這里向他們表示我深深的謝意。參 考 文 獻：1 陳少真.密碼學教程M.北京：科學出版社，2012.2 吳文玲，馮登國，張文濤.分組密碼的設計與分析M.北京：清華大學出版社3 Halevi S, Rogaway P. A Tweakable Enciphering M odeC/CRYPTO 2003:2729.Berlin Springer Verlag,2003:482-499.4 Halevi S, Rogaway P. A Parallelizable Enciphering M odeC/CT-RSA 200:2964.Berlin Springer Verlag,292