分組密碼的隱秘密文分組鏈接模式

為防止一些敏感信息被人偷窺，信息加密是一種較好的應對措施。但有些情形并不需要對大量明文進行加密，比如有一些表格，每張表格上只有手機號、身份證號和電子郵箱地址等內(nèi)容是較為敏感的信息，其他內(nèi)容無須加密。為了讓密文可方便地書寫在表格內(nèi)，自然希望加密后的密文能夠保持明文的數(shù)據(jù)類型和長度。這就使得一些保留格式加密（FormatPreserving

Encryption，F(xiàn)PE）算法

應運而生。此外，近幾年輕量級密碼學研究開始活躍，因為輕量級算法具有功率消耗少、內(nèi)存占用少等特點，易被用于嵌入式系統(tǒng)中。有些輕量級分組密碼算法的分組長度只有32比特，當數(shù)據(jù)量較大時，數(shù)據(jù)中容易存在密文組重復。例如，當每一個密文組的出現(xiàn)概率均為1/232時，按照生日攻擊模型，只要有77164個密文組，在這些密文組中兩兩比對，存在密文組重復的概率理論上可以大于0.5。實際應用中，將長段明文按32比特分組后，各個明文組的出現(xiàn)機會一般是不均勻的，如果使用電子密本（Electronic

CodeBook，ECB）模式會導致各個密文組的出現(xiàn)概率也不均勻，更容易存在密文組重復。分組較小的分組密碼算法和保留格式加密算法可能需要面對明文組（密文組）空間較小引發(fā)的安全隱患。例如，用ECB模式加密長段報文后，由于分組小，也許在密文中可以找到相同的密文組，由此可推測明文段中相距某長度有重復明文，這有助于驗證或猜測某長段明文是否由某段密文譯出，或者猜測某段密文的底碼會不會是文字、數(shù)字流、某類圖片或文檔等，進而攻擊者能夠以一定的概率獲得部分明文組與密文組的對應。同樣，如果攻擊者對A行密文猜設了明文，當無法為B行密文猜設明文時，若發(fā)現(xiàn)B行與A行有一個相同密文組，則有可能以已知B行一個明文組為線索，綜合場景信息和上下文關聯(lián)，而合理地猜出B行其他密文組的明文。為了規(guī)避因明文組空間較小引發(fā)的這類安全問題，或者彌補分組密碼安全方面的設計缺陷，本文提出一種能增強算法安全性的工作模式——分組密碼隱秘密文分組鏈接模式。1隱秘密文分組鏈接模式密文分組鏈接（CipherBlockChaining，CBC）是當今廣泛應用的分組密碼工作模式，也是最受歡迎的分組密碼工作模式之一。對于一些較小分組的分組密碼算法或保留格式加密算法，理論上也可以使用CBC模式。不過，若出現(xiàn)了密文組碰撞，有可能會暴露明文格式特征，甚至導致分明文泄露。因此，當明密文空間較小時，尤其選用了保留格式加密算法時，使用CBC或者ECB工作模式可能存在安全缺陷。為了防止攻擊者獲得明密對，沿用CBC模式的設計理念和指導思想，設計了一種類似于CBC的專用工作模式，因前一個密文組以被加密形式參與其中，故稱其為分組密碼隱秘密文分組鏈接模式。在介紹具體方法之前，先定義3個術(shù)語。（1）字符模加：分組密碼的明文組一般由若干個字符構(gòu)成，例如AES算法的明文組由16個ASCII字符構(gòu)成。保留格式加密算法的明文可以是若干個十進制符、十六進制符或小寫英文字母等。依據(jù)字符集合大小的不同，字符模加的模數(shù)是不一樣的，例如ASCII字符的字符相加是模256加，十進制符的字符相加是模10加，小寫英文字母的字符相加是模26加等。下文將這種字符集合有多大就模多少的加法稱為字符模加，用運算符表示。例如，明文為十進制符，模數(shù)為（無進位）。（2）字符模減：字符模加的逆運算被稱為字符模減，用表示。例如，模數(shù)為10，（無借位）。（3）隱秘種子：用當前密鑰將加解密雙方約定的某特定數(shù)據(jù)組（系統(tǒng)參數(shù)）加密，產(chǎn)生的加密結(jié)果記作隱秘種子。它將頻繁地作用于每一個數(shù)據(jù)組的加密或解密。1.1隱秘密文分組鏈接模式加密方法設明文字符集大小為m，分組長度為N個字符。用Enc(P,K)表示使用密鑰K，將明文組P以ECB模式加密。對整個明文段的加密可以有初始向量，也可以不用初始向量。如圖1所示，隱秘密文分組鏈接模式加密方法如下：（1）將明文數(shù)據(jù)按分組長度分成若干個組，記作（2）商定參數(shù)f并計算隱秘種子R，即R=Enc(

f,K)，可默認

f=1。（3）加密第一個明文組時，由于未產(chǎn)生過密文組，默認前一個密文組為IV，如果不使用IV，則默認前一個密文組為“0”。先對加密，即得到中間變量或者明文組與V按位字符模加，得然后將P加密得到第一組密文，即（4）對于第i個明文組先計算中間變量再計算圖1隱秘密文分組鏈接模式加密注1：圖中表示按位字符模加，“分組加密”是指調(diào)用分組算法的ECB模式。其中的參數(shù)f為加解密雙方事先協(xié)商為某固定常數(shù)（可以默認f=1），或者選定某個類似于Hash算法的函數(shù)，雙方以密鑰為輸入?yún)?shù)由函數(shù)算出f值。該f值不是IV，約定了f值還可以照常使用IV。該f值既可以是公開常數(shù)，也可以是密鑰的一部分。注2：為什么方案中采用字符模加，而不采用異或呢？這是因為本工作模式要順應保留格式加密。當保留格式加密的字符集大小為10或26等非2的方冪數(shù)值時，不方便做異或運算。1.2隱秘密文分組鏈接模式解密過程該工作模式的解密方法與加密方法相似，需要由相同的

f

參數(shù)計算出相同的隱秘種子

R。解密情形的步驟（1）至步驟（3）與上節(jié)的加密情形相同。步驟（4）相應地變?yōu)檫@里表示字符模減，是字符模加的逆運算），如圖2所示。圖2隱秘密文分組鏈接模式解密上述圖1和圖2均為明文段長度恰好是分組長度的整倍數(shù)情形。當明文段長度不是分組長度的整倍數(shù)時，會出現(xiàn)末尾組是一個不滿組。常見的不滿組加密處理方法包括協(xié)議填充和密文偷壘等多種方法。本工作模式采用弱處理法，即省去末尾組的分組迭代。也就是說，設分組長度為N個字符，末尾明文組的字符個數(shù)為m，若對第組密文做加密運算，即計算中間變量取V的左邊（高權(quán)位）m個字符與做字符模加，產(chǎn)生不滿密文組，即（這里MSC為MostSignificantCharacter的縮寫）。解密時依據(jù)末尾密文組是否滿組，并選擇合適的解密方式。1.3隱秘密文分組鏈接加密認證模式與分組密碼工作模式CBCMAC、XCBC、OCB

等類似，隱秘密文分組鏈接模式也可以用于產(chǎn)生具有完整性校驗用途的MAC碼，將上述模式改造成隱秘密文分組鏈接加密認證模式，如圖3所示。設分組長度為N個字符，加密方法如下文所述。（1）將明文數(shù)據(jù)按分組長度分成若干個組，記作（2）清空一批單元用于存放明文累加和，即令數(shù)據(jù)組

M=0。（3）商定參數(shù)f并計算隱秘種子R，即R=Enc(

f,K)，可默認

f=1。（4）約定密文組若是滿組，則對計算：圖3隱秘密文分組鏈接加密認證模式①將明文組以字符模加形式累加到M中，即②計算若

不是滿組，設

只有m個字符，m<N，則對計算：①將明文組Pi以字符模加形式累加到M中，即②計算對于第n組，可以形式化地在右邊（低位）補N-m個“0”，并將補“0”后的以字符模加形式累加到M中，即不滿組密文為（5）將數(shù)據(jù)組M（明文累加和）加密。若是滿組，則計算Cn+1=Enc(Enc(Cn◎R,K)◎M,K)。若

不是滿組，只有m個字符，則通過在右邊（低位）補N-m個“0”，然后計算除此之外，也可根據(jù)約定的認證標簽長度，只輸出的左邊若干個字符。比如使用AES或者SM4算法時，收發(fā)雙方可約定只輸出第n+1組16個字節(jié)中的左邊8字節(jié)、10字節(jié)或者12字節(jié)等作為認證標簽。解密方在解密過程中也要計算明文累加和M，解密完n組明文后將數(shù)據(jù)組M加密，將加密結(jié)果與認證標簽（第n+1密文組）進行比對，檢驗密文是否被篡改。如果輸出整個第n+1密文組作為認證標簽，則解密方也可以在解密認證標簽后，比對明文累加和與解密出來的累加和是否相同。依據(jù)約定的認證標簽長度和接收到的密文長度，解密之前需要注意密文倒數(shù)第二組是否為不滿組。由此可見，這種簡單的不滿組處理方法可能不適用于接收方在線同步解譯的場景中。2隱秘密文分組鏈接模式性能分析本文給出的隱秘密文分組鏈接模式與傳統(tǒng)的分組密碼CBC模式有些相似。盡管CBC模式被許多人公認為“完美的分組密碼算法工作模式”，但它還是有一個小小的缺陷。例如，在不變更密鑰的情況下，若密文中出現(xiàn)了相同的密文組，不妨將第一份密文的第i-1個和第i個密文組分別記作和設對應的明文組是第二份密文的第k-1個和第k個密文組分別記作設對應的明文組是那么，若出現(xiàn)了數(shù)據(jù)組相同，則攻擊者可以知其中符號“⊕”表示兩個數(shù)據(jù)組做異或。探知了兩明文組間的距差，可能會有助于攻擊者猜出明文組以及進行更為深入的密碼分析和攻擊行為。如果將隱秘種子R看作初始向量，隱秘密文分組鏈接模式可以描述為以R為初始向量將前一個密文組作類CBC模式加密，得到一組更加難以預測的實用初始向量或稱亂數(shù)（因為R原本已經(jīng)難以預測），又基于這個秘密的難以預測的實用初始向量，用類CBC模式將明文組加密為密文組。這里所述的類CBC模式與CBC模式略有不同，CBC模式是前一組密文（或IV）與明文組異或后做分組迭代，而類CBC模式是一組碼符與明文組字符模加后做分組迭代。設想Eve偷偷地復制了Alice發(fā)給Bob的一段密文，試圖破解Alice與Bob之間的共享密鑰。正當Eve冥思苦想地猜測報文內(nèi)容的時候，Bob公開了全部明文，Eve欣喜若狂，因為這恰好是他想要的明文?？墒牵珽ve的笑容很快就會消失，因為明文段與密文段對準后，明文組與密文組之間沒有“確定的”對應關系，也不能用通常的相關分析方法求取密鑰。隱秘密文分組鏈接模式的分組加密過程也可以描述為“產(chǎn)生亂數(shù)并對明文組做自同步序列加密，然后對已加密的數(shù)據(jù)組又做了一次ECB模式分組加密”。破譯復合加密體制的方法通常是分割分析，各個擊破。Eve將明文段與密文段對準后，如果他想攻擊序列密碼，需要擁有一段亂數(shù)序列，通過研究序列特征取得進展。可是，在實際中獲取不到亂數(shù)。如果Eve想攻擊分組密碼，需要有若干個明密對，通過研究分組迭代變換輸入與輸出之間的相關特性或函數(shù)關系求取密鑰。可是，取不到明密對，因為沒有辦法去除加在明文上的擾碼。結(jié)論：對這樣的分組序列混合加密體制不能有效地實施各個擊破攻擊。對于分組密碼的輸出反饋（OutputFeedback

Mode，OFB）和計數(shù)器CTR等工作模式，IV重用會導致信息泄露。而隱秘密文分組鏈接模式的IV重用不會對安全性產(chǎn)生影響，最壞情形的安全性仍優(yōu)于ECB模式。之所以說隱秘密文分組鏈接模式可以增強分組算法的安全強度，是因為它限制了攻擊者有效地獲取和形成數(shù)據(jù)條件。數(shù)據(jù)條件是密碼分析及密碼破譯的基本素材，也是攻擊成功的必備基礎。沒有適度的數(shù)據(jù)條件，就不能實施有效的攻擊。隱秘密文分組鏈接模式能夠彌補分組密碼算法在安全性上存在的不足或缺陷。例如，用戶使用了一種有缺陷的分組密碼算法，比如使用只迭代8輪的DES算法，其中的8個48比特的輪密鑰是由128比特密鑰派生的（因56比特時存在密鑰窮盡攻擊，故密鑰加長到128比特）。因存在可供利用的高概率差分路徑，只要幾萬個已知明密對就可用差分攻擊方法求取密鑰。可是，如果用戶不使用ECB或CBC模式，而是用了本文的隱秘密文分組鏈接模式，攻擊者就不能做差分攻擊。每個密文組會與明文組、前一個密文組和隱秘因子三者相關。如果將不可見的隱秘因子看作長期不變的秘密常數(shù)或者密鑰的一部分，那么一個64比特密文組由明文組和前一個密文組共同確定。如果研究輸出比特與輸入比特間的相關關系，需要尋找一比特密文與128比特輸入狀態(tài)之間的相關性。因為前一個密文組與隱秘因子模加后被8輪DES加密，所以，相關程度與16輪DES相近，但相關關系利用會更加困難。如果報文充分長，在密文中按前一個密文組狀態(tài)歸類，在同一類內(nèi)密文組完全由明文組確定，若某一類內(nèi)能夠存在上萬個已知明文，則可用該類數(shù)據(jù)實施基于8輪DES的差分攻擊。這樣優(yōu)厚的數(shù)據(jù)條件與實際應用相差太遠。由此可見，如果選對了工作模式，有缺陷的密碼算法是可以使用的。在信道上傳輸密文時，如果因干擾而發(fā)生了一比特誤碼，那么會導致當前密文組譯出錯誤明文組，且影響下一個密文組的正確解密。這與CBC模式的錯誤擴散率等同，即密文中的一比特錯誤通常會導致兩個明文組解譯出錯。由于隱秘密文分組鏈接模式分組加密約等于進行了兩次普通分組加密迭代，因此，它的加解密效率大約相當于通常CBC模式的1/2。對于許多實際應用情形，不會帶來較大影響。在分組密碼算法和算法工作模式設計方面，算法安全與加解密效率通常是相互制約的兩個方面。對于分組長度較短的分組密碼算法和保留格式加密算法，可能需要彌補算法設計和使用上潛在的不足，當需要面對的安全問題比效率問題更為突出時，有必要采用隱秘密文分組鏈接工作模式。3結(jié)語自20世紀80年代以來，人們的密碼學認知水平有了長足進步。隨著國際上有關分組密碼和序列密