第9次课 分组密码-运行模式.ppt

《第9次课 分组密码-运行模式.ppt》由会员分享，可在线阅读，更多相关《第9次课 分组密码-运行模式.ppt（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 第三章第三章 分组密码分组密码一、分组密码概述一、分组密码概述二、二、DESDES三、分组密码运行模式三、分组密码运行模式四、四、IDEAIDEA五、五、AESAES六、分组密码的分析六、分组密码的分析2022/12/291三、分组码的运行模式三、分组码的运行模式2022/12/292 DES算法只解决了如何对一个算法只解决了如何对一个64比特的比特的明文分组进行加密保护的问题明文分组进行加密保护的问题,对于比特对于比特数不等于数不等于64的明文如何加密的明文如何加密,并不关心。并不关心。这个问题这个问题,就由分组密码的工作模式解决。就由分组密码的工作模式解决。2022/12/293 主要工

2、作模式主要工作模式 即即使使有有了了安安全全的的分分组组密密码码算算法法，也也需需要要采采用用适适当当的的工工作作模模式式来来隐隐蔽蔽明明文文的的统统计计特特性性、数数据据的的格格式式等等，以以提提高高整整体体的的安安全全性性，降降低低删删除除、重重放放、插插入入和和伪伪造造成功的机会。成功的机会。n电码本电码本(ECB)ECB)模式模式n密码分组链接密码分组链接(CBC)CBC)模式模式n密码反馈密码反馈(CFB)CFB)模式模式n输出反馈输出反馈(OFB)OFB)模式模式 分组密码的分组密码的“工作模式工作模式”是指以某是指以某个分组密码算法为基础个分组密码算法为基础,解决对任解决对任意长

3、度的明文的加密问题的方法。意长度的明文的加密问题的方法。这几种工作模式适用于不同的应用需求这几种工作模式适用于不同的应用需求.2022/12/294模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密传送短数据传送短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与前一密文组的异或一密文组的异或传送数据分传送数据分组；认证组；认证密码反馈密码反馈(CFB)每次只处理输入的每次只处理输入的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以产生伪随机输出，该输出再与

4、当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有扰信道上传送数据流传送数据流2022/12/295Electronic CodeBook2022/12/296电码本电码本ECB模式模式n直接利用加密算法分别对分组数据组加密。直接利用加密算法分别对分组数据组加密。n在在给给定定的的密密钥钥下下同同一一明明文文组组总总产产生生同同样样的的密密文文组组。这这会会暴暴露露明明文文数数据

5、据的的格格式式和和统统计计特征。特征。明明文文数数据据都都有有固固定定的的格格式式，需需要要以以协协议议的的形形式式定定义义，重重要要的的数数据据常常常常在在同同一一位位置置上上出出现现，使使密密码码分析者可以对其进行统计分析、重传和代换攻击分析者可以对其进行统计分析、重传和代换攻击。xykDESyxkDES-1缺陷缺陷Electronic CodeBook2022/12/297n优点优点：n(1)实现简单实现简单;n(2)不同明文分组的加密可并行实施不同明文分组的加密可并行实施,尤其尤其是硬件实现时速度很快是硬件实现时速度很快.典型应用：（典型应用：（1）用于随机数的加密保护；）用于随机数的

6、加密保护；（2）用于单分组明文的加密。）用于单分组明文的加密。2022/12/298例例:假设银行假设银行A和银行和银行B之间的资金转帐系统所使之间的资金转帐系统所使用报文模式如下：用报文模式如下：敌手敌手C通过截收从通过截收从A到到B的加密消息，只要将第的加密消息，只要将第5至第至第12分组替换为自己的姓名和帐号相对应的密文，即可将别人的分组替换为自己的姓名和帐号相对应的密文，即可将别人的存款存入自己的帐号。存款存入自己的帐号。2022/12/299为了克服为了克服ECB的安全性缺陷，我们希望的安全性缺陷，我们希望设计一个工作模式设计一个工作模式,可以使得当同一个明可以使得当同一个明文分组重

7、复出现时产生不同的密文分组。文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以使输出不仅与当前输入有关，而且与以前输入和输出有关。前输入和输出有关。2022/12/2910模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密传送短数据传送短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与前一密文组的异或一密文组的异或传送数据分传送数据分组；认证组；认证密码反馈密码反馈(CFB)每次只处理输入的每次只处理输入

8、的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有扰信道上传送数据流传送数据流为了让重复的明文分组产生不为了让重复的明文分组产生不同的密文分组！同的密文分组！2022/12/2911密码分组链接密码分组链接CBC模式模式Cipher block chaining上一个分

9、上一个分组的密文组的密文2022/12/2912密码分组链接密码分组链接CBC模式模式n每个明文组每个明文组xi加密之前，先与反馈至输入加密之前，先与反馈至输入端的前一组密文端的前一组密文yi-1按位模按位模2求和后，再送求和后，再送至加密算法加密。至加密算法加密。n各密文组各密文组yi不仅与当前明文组不仅与当前明文组xi有关，而有关，而且通过反馈作用还与以前的明文组且通过反馈作用还与以前的明文组x1,x2,xi-1，有关。有关。n从而从而使使明文的统计规律在密文中得到了明文的统计规律在密文中得到了较好的隐蔽。较好的隐蔽。Cipher block chaining2022/12/2913202

10、2/12/2914初始矢量初始矢量IVn 初初始始矢矢量量IV(Initial Vector)：第第一一组组明明文文xi加加密密时时尚尚无无反反馈馈密密文文，为为此此需需要要在在寄寄存存器器中中预预先先置置入入一个一个。收发双方必须选用同一个收发双方必须选用同一个IV。n可可为为每每个个消消息息选选择择不不同同的的IV，那那么么即即使使两两个个消消息息使使用用相相同同的的密密钥钥，也也将将有有不不同同的的密密文文。在在CBC模模式式下下，最最好好是是每每发发一一个个消消息息，都都改改变变IV，比比如如将将其值加一。其值加一。n同时，同时，IV的安全性问题的安全性问题。使用。使用ECB加密模式。

11、加密模式。2022/12/2915填充填充(Padding)给给定定加加密密消消息息的的长长度度是是随随机机的的，按按64 bit分分组组时时，最最后后一一组组消消息息长长度度可可能能不不足足64 bit。可可以以填填充充一一些些数数字字，通通常常用用最最后后1字字节节作作为为填填充充指指示示符符（PI）。它它所所表表示示的的十十进进制制数数字字就就是是填填充充占占有有的的字字节节数数。数数据据尾尾部部、填填充充字字符符和和填填充充指指示示符符一一起起作为一组进行加密。作为一组进行加密。数据填 充PI2022/12/2916密码分组链接密码分组链接CBC模式模式2022/12/2917CBC的

12、错误传播的错误传播1.明明文文有有一一组组中中有有错错，会会使使以以后后的的密密文文组组都都受受影影响响，但但经经解解密密后后的的恢恢复复结结果果，除除原原有有误误的的一一组组外外，其其后各组明文都正确地恢复。后各组明文都正确地恢复。2.2.若若在在传传送送过过程程中中，某某组组密密文文组组y yi i出出错错时时，则则该该组组恢恢复复的的明明文文x xi i和和下下一一组组恢恢复复数数据据x xi+1i+1出出错错。再再后面的组将不会受后面的组将不会受y yi i中错误比特的影响。中错误比特的影响。2022/12/2918明文错1组，则以后密文都受影响，但不影响解密正确性，除当前错的1组。密

13、文错1组，则只影响当前和下1组的解密正确性。2022/12/2919 典型应用典型应用:(1)数据加密数据加密;(2)完整性认证和身份认证完整性认证和身份认证;完整性认证的含义完整性认证的含义 完整性认证是一个完整性认证是一个“用户用户”检验它收到的文件是否遭到检验它收到的文件是否遭到第三方有意或无意的篡改。第三方有意或无意的篡改。因此，完整性认证：因此，完整性认证：不需检验文件的制造者是否造假；不需检验文件的制造者是否造假；文件的制造者和检验者利益一致，不需互相欺骗和抵赖。文件的制造者和检验者利益一致，不需互相欺骗和抵赖。2022/12/2920 利用利用CBC模式可实现报文的完整性认证模式

14、可实现报文的完整性认证 目的目的:检查文件在检查文件在(直接或加密直接或加密)传输和存储中是否遭到传输和存储中是否遭到有意或无意的篡改有意或无意的篡改.关键技术关键技术:(1)文件的制造者和检验者共享一个密钥文件的制造者和检验者共享一个密钥 (2)文件的明文必须具有检验者预先知道的冗余度文件的明文必须具有检验者预先知道的冗余度 (3)文件的制造者用共享密钥对具有约定冗余度的明文用文件的制造者用共享密钥对具有约定冗余度的明文用CBC模式加密模式加密 (4)文件的检验者用共享密钥对密文解密文件的检验者用共享密钥对密文解密,并检验约定冗并检验约定冗余度是否正确余度是否正确.2022/12/2921报

15、文完整性认证的具体实现技术报文完整性认证的具体实现技术n(1)文件的制造者和检验者共享一个密钥；文件的制造者和检验者共享一个密钥；n(2)文件的明文文件的明文m产生一个奇偶校验码产生一个奇偶校验码r的分组；的分组；n(3)采用分组密码的采用分组密码的CBC模式，对附带模式，对附带校验码的已扩充的明文校验码的已扩充的明文(m,r)进行加密，进行加密，得到的最后一个密文分组就是认证码；得到的最后一个密文分组就是认证码；2022/12/2922n分组分组明文明文 ,校验码为校验码为)(xEk)(xEk(1)仅需对明文认证仅需对明文认证,而不需加密时而不需加密时,传送明文传送明文m和和认证码认证码Cn

16、+1，此时也可仅保留此时也可仅保留Cn+1的的 t 个比特作为认证码；个比特作为认证码；(2)既需对明文认证既需对明文认证,又需要加密时又需要加密时,传送密文传送密文C和和认证码认证码Cn+12022/12/2923 Step1 产生明文产生明文m的校验码的校验码 Step2 利用共享密钥使用利用共享密钥使用CBC模式对模式对(m,r)加密，将得到的最后一个密加密，将得到的最后一个密文分组与接受到的认证码文分组与接受到的认证码Cn+1比较，二者一致时判定接收的明文无错；比较，二者一致时判定接收的明文无错；二者不一致时判定明文出错。二者不一致时判定明文出错。检验方法：检验方法：检验方法：检验方法

17、：（1）仅需对明文认证而不需加密时）仅需对明文认证而不需加密时,此时验证者仅收到此时验证者仅收到明文明文m和和认证码认证码Cn+1，他需要：，他需要：2022/12/2924 例：例：电脑彩票的防伪技术电脑彩票的防伪技术 -彩票中心检查兑奖的电脑彩票是否是自己发行的彩票中心检查兑奖的电脑彩票是否是自己发行的 问题：如何防止电脑彩票的伪造问题。问题：如何防止电脑彩票的伪造问题。问题：如何防止电脑彩票的伪造问题。问题：如何防止电脑彩票的伪造问题。方法：方法：（1）选择一个分组密码算法和一个认证密钥，将他们存于售票机内；）选择一个分组密码算法和一个认证密钥，将他们存于售票机内；（2）将电脑彩票上的重

18、要信息，如彩票期号、彩票号码、彩票股量、）将电脑彩票上的重要信息，如彩票期号、彩票号码、彩票股量、售票单位代号等重要信息按某个约定的规则作为彩票资料明文；售票单位代号等重要信息按某个约定的规则作为彩票资料明文；（3）对彩票资料明文扩展一个校验码分组后，利用认证密钥和分组密）对彩票资料明文扩展一个校验码分组后，利用认证密钥和分组密码算法对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面；码算法对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面；认证过程：认证过程：执行（执行（3）,并将计算出的认证码与彩票上的认证码比较，二并将计算出的认证码与彩票上的认证码比较，二者一致时判定

19、该彩票是真彩票，否则判定该彩票是假彩票。者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。2022/12/2925密码反馈密码反馈(CFB-Cipher Feedback)模式模式n若待加密消息需按字符、字节或比特处理时，若待加密消息需按字符、字节或比特处理时，可采用可采用CFB模式。并称待加密消息按模式。并称待加密消息按 j 比特处比特处理的理的CFB模式为模式为 j 比特比特CFB模式。模式。n 适用范围适用范围:n 适用于每次处理适用于每次处理 j比特明文块的特定需求比特明文块的特定需求的加密情形的加密情形,能灵活适应数据各格式的需要能灵活适应数据各格式的需要.n 例如例如,数据库加密

20、要求加密时不能改变明数据库加密要求加密时不能改变明文的字节长度文的字节长度,这时就要以明文字节为单位进这时就要以明文字节为单位进行加密行加密.2022/12/2926模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密传送短数据传送短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与前一密文组的异或一密文组的异或传送数据分传送数据分组；认证组；认证密码反馈密码反馈(CFB)每次只处理输入的每次只处理输入的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以产生伪随

21、机输出，该输出再与当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有扰信道上传送数据流传送数据流利用利用CFB和和OFB可将分组密码变成流密码，可将分组密码变成流密码，实时性。实时性。2022/12/2927Cipher FeedBackDES未作未作用于明文！用于明文！2022/12/2928j-比特密码反馈比特密码反馈CFB模式模式n若若待待加加密密消消息息必必须须按按字字符

22、符(如如电电传传电电报报)或或按按比比特特处理时，可采用处理时，可采用CFB模式模式。nCFB实实际际上上是是将将加加密密算算法法DES作作为为一一个个密密钥钥流流产产生器，当生器，当k1时就退化为前面讨论的流密码了。时就退化为前面讨论的流密码了。nCFB与与CBC的的区区别别是是反反馈馈的的密密文文长长度度为为j，且且不不是是直接与明文相加，而是反馈至密钥产生器。直接与明文相加，而是反馈至密钥产生器。2022/12/2929密文反馈模式的解密密文反馈模式的解密密文反馈模式的解密密文反馈模式的解密2022/12/2930j-比特密码反馈比特密码反馈CFB模式模式nCFB的优点的优点n它特别适于

23、用户数据格式的需要，不用填充。它特别适于用户数据格式的需要，不用填充。n能能隐隐蔽蔽明明文文数数据据图图样样，也也能能检检测测出出对对手手对对于于密密文的篡改。文的篡改。nCFB的缺点的缺点n对信道错误较敏感，且会造成错误传播。对信道错误较敏感，且会造成错误传播。nCFB也也需需要要一一个个初初始始矢矢量量，并并要要和和密密钥钥同同时时进进行更换。行更换。2022/12/2931模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密传送短数据传送短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与

24、前一密文组的异或一密文组的异或传送数据分传送数据分组；认证组；认证密码反馈密码反馈(CFB)每次只处理输入的每次只处理输入的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有扰信道上传送数据流传送数据流2022/12/2932Output FeedBack2022/12/

25、2933n 优点：优点：（1）这是将分组密码当作序列密码使用的一种方式，）这是将分组密码当作序列密码使用的一种方式，但乱数与明文和密文无关！但乱数与明文和密文无关！（2）不具有错误传播特性！）不具有错误传播特性！只要密文在传输过程中不丢信号，即使信道不好，也只要密文在传输过程中不丢信号，即使信道不好，也能将明文的大部分信号正常恢复。能将明文的大部分信号正常恢复。n 适用范围：适用范围：（1）明文的冗余度特别大，信道不好但不易丢信号，）明文的冗余度特别大，信道不好但不易丢信号，明文错些信号也不影响效果的情形。如图象加密，语明文错些信号也不影响效果的情形。如图象加密，语音加密等。音加密等。n 缺点

26、：缺点：（1）不能实现报文的完整性认证。）不能实现报文的完整性认证。（2）乱数序列的周期可能有短周期现象。）乱数序列的周期可能有短周期现象。2022/12/2934OCB模式模式2022/12/2935比较和选用比较和选用nECB模模式式，简简单单、高高速速，但但最最弱弱、易易受受重重发发攻攻击击，一般不推荐。一般不推荐。nCBC适适用用于于文文件件加加密密，但但较较ECB慢慢。安安全全性性加加强强。当有少量错误时，也不会造成同步错误。当有少量错误时，也不会造成同步错误。nOFB和和CFB较较CBC慢慢许许多多。每每次次迭迭代代只只有有少少数数bit完完成成加加密密。若若可可以以容容忍忍少少量量错错误误扩扩展展，则则可可换换来来恢恢复复同同步步能能力力，此此时时用用CFB。在在字字符符为为单单元元的的流流密码中多选密码中多选CFB模式。模式。nOFB用于高速同步系统，不容忍差错传播。用于高速同步系统，不容忍差错传播。2022/12/2936