現(xiàn)代密碼學(xué)課件-第6講-分組密碼2

2024/7/171第四章分組密碼一、分組密碼概述二、分組密碼運(yùn)行模式三、DES四、AES五、分組密碼的分析2024/7/172二、分組碼的運(yùn)行模式2024/7/173

主要工作模式

即使有了安全的分組密碼算法，也需要采用適當(dāng)?shù)墓ぷ髂Ｊ絹黼[蔽明文的統(tǒng)計(jì)特性、數(shù)據(jù)的格式等，以提高整體的安全性，降低刪除、重放、插入和偽造成功的機(jī)會(huì)。電碼本(ECB)密碼分組鏈接(CBC)

密碼反饋(CFB)輸出反饋(OFB)。

2024/7/174

電碼本ECB模式直接利用加密算法分別對(duì)分組數(shù)據(jù)組加密。在給定的密鑰下同一明文組總產(chǎn)生同樣的密文組。這會(huì)暴露明文數(shù)據(jù)的格式和統(tǒng)計(jì)特征。

明文數(shù)據(jù)都有固定的格式，需要以協(xié)議的形式定義，重要的數(shù)據(jù)常常在同一位置上出現(xiàn)，使密碼分析者可以對(duì)其進(jìn)行統(tǒng)計(jì)分析、重傳和代換攻擊。2024/7/175

電碼本ECB模式

xykDESyxkDES-12024/7/176密碼分組鏈接CBC模式每個(gè)明文組xi加密之前，先與反饋至輸入端的前一組密文yi-1按位模2求和后，再送至加密算法加密各密文組yi不僅與當(dāng)前明文組xi有關(guān)，而且通過反饋?zhàn)饔眠€與以前的明文組x1,x2,…,xi-1，有關(guān)2024/7/177密碼分組鏈接CBC模式初始矢量IV(InitialVector)：第一組明文xi加密時(shí)尚無反饋密文，為此需要在寄存器中預(yù)先置入一個(gè)。收發(fā)雙方必須選用同一IV。實(shí)際上，IV的完整性要比其保密性更為重要。在CBC模式下，最好是每發(fā)一個(gè)消息，都改變IV，比如將其值加一。2024/7/178密碼分組鏈接CBC模式

CBC模式xiyikDESyix’kDES-1++64bit存儲(chǔ)64bit存儲(chǔ)yi-12024/7/179填充(Padding)

給定加密消息的長(zhǎng)度是隨機(jī)的，按64bit分組時(shí)，最后一組消息長(zhǎng)度可能不足64bit?？梢蕴畛湟恍?shù)字，通常用最后1字節(jié)作為填充指示符（PI）。它所表示的十進(jìn)制數(shù)字就是填充占有的字節(jié)數(shù)。數(shù)據(jù)尾部、填充字符和填充指示符一起作為一組進(jìn)行加密。

數(shù)據(jù)填充PI2024/7/1710CBC的錯(cuò)誤傳播1.明文有一組中有錯(cuò)，會(huì)使以后的密文組都受影響，但經(jīng)解密后的恢復(fù)結(jié)果，除原有誤的一組外，其后各組明文都正確地恢復(fù)。2.若在傳送過程中，某組密文組yi出錯(cuò)時(shí)，則該組恢復(fù)的明文x’i和下一組恢復(fù)數(shù)據(jù)x’i+1出錯(cuò)。再后面的組將不會(huì)受yi中錯(cuò)誤比特的影響。2024/7/1711k-比特密碼反饋CFB模式若待加密消息必須按字符(如電傳電報(bào))或按比特處理時(shí)，可采用CFB模式。CFB實(shí)際上是將加密算法DES作為一個(gè)密鑰流產(chǎn)生器，當(dāng)k＝1時(shí)就退化為前面討論的流密碼了。CFB與CBC的區(qū)別是反饋的密文長(zhǎng)度為k，且不是直接與明文相加，而是反饋至密鑰產(chǎn)生器。2024/7/1712k-比特密碼反饋CFB模式

CFB模式

+

+xixiyiyikkXi64bitXi64bitYi64bitYi64bitDES

DES-1選最左邊

k位選最左邊

k位kbitkbityi-Lyi-2yi-12024/7/1713k-比特密碼反饋CFB模式CFB的優(yōu)點(diǎn)它特別適于用戶數(shù)據(jù)格式的需要。能隱蔽明文數(shù)據(jù)圖樣，也能檢測(cè)出對(duì)手對(duì)于密文的篡改。CFB的缺點(diǎn)對(duì)信道錯(cuò)誤較敏感，且會(huì)造成錯(cuò)誤傳播。CFB也需要一個(gè)初始矢量，并要和密鑰同時(shí)進(jìn)行更換。2024/7/1714輸出反饋OFB模式將分組密碼算法作為一個(gè)密鑰流產(chǎn)生器，其輸出的k-bit密鑰直接反饋至分組密碼的輸入端，同時(shí)這k-bit密鑰和輸入的k-bit明文段進(jìn)行對(duì)應(yīng)位模2相加?？朔薈BC和CFB的錯(cuò)誤傳播所帶來的問題。對(duì)于密文被篡改難以進(jìn)行檢測(cè)不具有自同步能力，要求系統(tǒng)要保持嚴(yán)格的同步2024/7/1715輸出反饋OFB模式

OFB模式

+xiyik64bit64bitDES選最左邊

k位ki64bit

寄存器kbitkbit

+xiyik64bit64bit

DES-1選最左邊

k位kbit64bit

寄存器kbitki2024/7/1716OCB模式2024/7/1717OCB模式functionocb-aes-encrypt(K,M,Nonce)begin

Offset=AES(K,Noncexor

L)Checksum=0

for

i=1to

m-1dobegin

Offset=Offsetxor

L(ntz(i))Checksum=Checksumxor

M[i]C[i]=OffsetxorAES(K,M[i]xorOffset)

end

Offset=Offsetxor

L(ntz(m))Pad=AES(K,len(M[m])xor

L(-1)xorOffset)C[m]=M[m]xor(thefirst|M[m]|bitsofPad)Checksum=ChecksumxorPadxor

C[m]0*FullTag=AES(K,ChecksumxorOffset)Tag=aprefixofFullTag(ofthedesiredlength)

return

C[1]...C[m-1]C[m]Tag

end

L=AES(K,0).

L(0)=Lfori>0,L(i)=L(i-1)<<1ifthefirstbitofL(i-1)is0L(i)=(L(i-1)<<1)xor0x00000000000000000000000000000087otherwise.L(-1)=L>>1ifthelastbitofLis0,L(-1)=L>>1xor0x80000000000000000000000000000043otherwise.2024/7/1718比較和選用ECB模式，簡(jiǎn)單、高速，但最弱、