現(xiàn)代密碼學課件-第6講-分組密碼2

2024/7/171第四章分組密碼一、分組密碼概述二、分組密碼運行模式三、DES四、AES五、分組密碼的分析2024/7/172二、分組碼的運行模式2024/7/173

主要工作模式

即使有了安全的分組密碼算法，也需要采用適當?shù)墓ぷ髂Ｊ絹黼[蔽明文的統(tǒng)計特性、數(shù)據(jù)的格式等，以提高整體的安全性，降低刪除、重放、插入和偽造成功的機會。電碼本(ECB)密碼分組鏈接(CBC)

密碼反饋(CFB)輸出反饋(OFB)。

2024/7/174

電碼本ECB模式直接利用加密算法分別對分組數(shù)據(jù)組加密。在給定的密鑰下同一明文組總產(chǎn)生同樣的密文組。這會暴露明文數(shù)據(jù)的格式和統(tǒng)計特征。

明文數(shù)據(jù)都有固定的格式，需要以協(xié)議的形式定義，重要的數(shù)據(jù)常常在同一位置上出現(xiàn)，使密碼分析者可以對其進行統(tǒng)計分析、重傳和代換攻擊。2024/7/175

電碼本ECB模式

xykDESyxkDES-12024/7/176密碼分組鏈接CBC模式每個明文組xi加密之前，先與反饋至輸入端的前一組密文yi-1按位模2求和后，再送至加密算法加密各密文組yi不僅與當前明文組xi有關，而且通過反饋作用還與以前的明文組x1,x2,…,xi-1，有關2024/7/177密碼分組鏈接CBC模式初始矢量IV(InitialVector)：第一組明文xi加密時尚無反饋密文，為此需要在寄存器中預先置入一個。收發(fā)雙方必須選用同一IV。實際上，IV的完整性要比其保密性更為重要。在CBC模式下，最好是每發(fā)一個消息，都改變IV，比如將其值加一。2024/7/178密碼分組鏈接CBC模式

CBC模式xiyikDESyix’kDES-1++64bit存儲64bit存儲yi-12024/7/179填充(Padding)

給定加密消息的長度是隨機的，按64bit分組時，最后一組消息長度可能不足64bit。可以填充一些數(shù)字，通常用最后1字節(jié)作為填充指示符（PI）。它所表示的十進制數(shù)字就是填充占有的字節(jié)數(shù)。數(shù)據(jù)尾部、填充字符和填充指示符一起作為一組進行加密。

數(shù)據(jù)填充PI2024/7/1710CBC的錯誤傳播1.明文有一組中有錯，會使以后的密文組都受影響，但經(jīng)解密后的恢復結(jié)果，除原有誤的一組外，其后各組明文都正確地恢復。2.若在傳送過程中，某組密文組yi出錯時，則該組恢復的明文x’i和下一組恢復數(shù)據(jù)x’i+1出錯。再后面的組將不會受yi中錯誤比特的影響。2024/7/1711k-比特密碼反饋CFB模式若待加密消息必須按字符(如電傳電報)或按比特處理時，可采用CFB模式。CFB實際上是將加密算法DES作為一個密鑰流產(chǎn)生器，當k＝1時就退化為前面討論的流密碼了。CFB與CBC的區(qū)別是反饋的密文長度為k，且不是直接與明文相加，而是反饋至密鑰產(chǎn)生器。2024/7/1712k-比特密碼反饋CFB模式

CFB模式

+

+xixiyiyikkXi64bitXi64bitYi64bitYi64bitDES

DES-1選最左邊

k位選最左邊

k位kbitkbityi-Lyi-2yi-12024/7/1713k-比特密碼反饋CFB模式CFB的優(yōu)點它特別適于用戶數(shù)據(jù)格式的需要。能隱蔽明文數(shù)據(jù)圖樣，也能檢測出對手對于密文的篡改。CFB的缺點對信道錯誤較敏感，且會造成錯誤傳播。CFB也需要一個初始矢量，并要和密鑰同時進行更換。2024/7/1714輸出反饋OFB模式將分組密碼算法作為一個密鑰流產(chǎn)生器，其輸出的k-bit密鑰直接反饋至分組密碼的輸入端，同時這k-bit密鑰和輸入的k-bit明文段進行對應位模2相加?？朔薈BC和CFB的錯誤傳播所帶來的問題。對于密文被篡改難以進行檢測不具有自同步能力，要求系統(tǒng)要保持嚴格的同步2024/7/1715輸出反饋OFB模式

OFB模式

+xiyik64bit64bitDES選最左邊

k位ki64bit

寄存器kbitkbit

+xiyik64bit64bit

DES-1選最左邊

k位kbit64bit

寄存器kbitki2024/7/1716OCB模式2024/7/1717OCB模式functionocb-aes-encrypt(K,M,Nonce)begin

Offset=AES(K,Noncexor

L)Checksum=0

for

i=1to

m-1dobegin

Offset=Offsetxor

L(ntz(i))Checksum=Checksumxor

M[i]C[i]=OffsetxorAES(K,M[i]xorOffset)

end

Offset=Offsetxor

L(ntz(m))Pad=AES(K,len(M[m])xor

L(-1)xorOffset)C[m]=M[m]xor(thefirst|M[m]|bitsofPad)Checksum=ChecksumxorPadxor

C[m]0*FullTag=AES(K,ChecksumxorOffset)Tag=aprefixofFullTag(ofthedesiredlength)

return

C[1]...C[m-1]C[m]Tag

end

L=AES(K,0).

L(0)=Lfori>0,L(i)=L(i-1)<<1ifthefirstbitofL(i-1)is0L(i)=(L(i-1)<<1)xor0x00000000000000000000000000000087otherwise.L(-1)=L>>1ifthelastbitofLis0,L(-1)=L>>1xor0x80000000000000000000000000000043otherwise.2024/7/1718比較和選用ECB模式，簡單、高速，但最弱、