58 分组密码的工作模式和一般设计原理.pdf

《58 分组密码的工作模式和一般设计原理.pdf》由会员分享，可在线阅读，更多相关《58 分组密码的工作模式和一般设计原理.pdf（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准1第八节分组密码的工作模式和一般设计原理第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准2分组密码的工作模式为什么要设计工作模式？为什么要设计工作模式？为什么要设计工作模式？分组密码的工作模式是：根据不同的数据格式和安全性要求为什么要设计工作模式？分组密码的工作模式是：根据不同的数据格式和安全性要求,以一个具体的分组密码算法为基础构造一个分组密码系统的方法。分组密码的工作模式应当力求简单以一个具体的分组密码算法为基础

2、构造一个分组密码系统的方法。分组密码的工作模式应当力求简单,有效和易于实现。有效和易于实现。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准31980 年年 12 月月,FIPS 81 标准化了为标准化了为 DES 开发开发的五种工作模式。这些工作模式适合任何分组密码。现在的五种工作模式。这些工作模式适合任何分组密码。现在,AES 的工作模式正在研发的工作模式正在研发,这些这些 AES的工作模式可能会包含以前的工作模式可能会包含以前 DES 的工作模式的工作模式,还有可能包括新的工作模式。我们仅以还有可能包括新的工作模式。我们仅

3、以 DES 为例介绍分组密码主要的五种工作模式。为例介绍分组密码主要的五种工作模式。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准4直接使用直接使用 DES算法对算法对 64bit 的数据进行加密的工作的数据进行加密的工作模式就是模式就是 ECB 模式。在这种工作模式下模式。在这种工作模式下,加密变换和解加密变换和解密变换分别为：密变换分别为：DES()iikcm=i=1,2,(4.12)1DES()iikmc=i=1,2,(4.13)这里这里k是是DES的种子密钥的种子密钥,im和和ic分别是第分别是第i组明文和组明文和密文

4、。密文。电码本电码本(ECB)模式模式第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准5在给定密钥下在给定密钥下,im有有642种可能的取值种可能的取值,ic也有也有642种可能的取值种可能的取值,各（各（im,ic）彼此独立）彼此独立,构成一个巨构成一个巨大的单表代替密码大的单表代替密码,因而称其为电码本模式。因而称其为电码本模式。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准6ECB 模式的缺点是：如果模式的缺点是：如果n iimm+=，则相应的密文则相应的

5、密文n iicc+=，即在给定密钥，即在给定密钥 k 下，下，同一明文组总是产生同同一明文组总是产生同一密文组，这会暴露明文组的数据格式。一密文组，这会暴露明文组的数据格式。某些明文的数某些明文的数据格式会使得明文组有大量的重复或较长的零串，据格式会使得明文组有大量的重复或较长的零串，一些一些重要的数据常常会在同一位置出现，重要的数据常常会在同一位置出现，特别是格式化的报特别是格式化的报头、作业号、发报时间、头、作业号、发报时间、地点等特征都将被泄露到密文地点等特征都将被泄露到密文之中，使攻击者可以利用这些特征。之中，使攻击者可以利用这些特征。第五章第五章第五章第五章 分组密码与数据加密标准分

6、组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准7该该模式好的一面就是用同个密钥加密的单独模式好的一面就是用同个密钥加密的单独消消息，其结果是没有错误传播。实际上，息，其结果是没有错误传播。实际上，每每一个分一个分组组可被看作是用同一个密钥加密的单独消息。可被看作是用同一个密钥加密的单独消息。密密文文中中数据出了错，解密时，数据出了错，解密时，会会使得相对应的整个明文使得相对应的整个明文分分组解密错误，但它不会影响其他明文。然而，组解密错误，但它不会影响其他明文。然而，如果如果密文中偶尔丢失或添加一些数据位，密文中偶尔丢失或添加一些数据位，那那么整个密么整个密文文序列将不能正确

7、的解密。序列将不能正确的解密。除除非有某帧结构能够重非有某帧结构能够重新新排列分组的边界。排列分组的边界。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准8大多数消息并不是刚好分成大多数消息并不是刚好分成 64-位（位（或者任意或者任意分组长）的加密分组，分组长）的加密分组，它们通常在尾部有一个短分它们通常在尾部有一个短分组。组。ECB 要求是要求是 64-位分组。位分组。处理该问题的一个方处理该问题的一个方法是填充（法是填充（padding）。用一些规则的模式）。用一些规则的模式0、1或者或者 0、1 交替交替把最后的分组填充

8、成一个完整把最后的分组填充成一个完整的分组。的分组。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准9如上所述，如上所述，ECB 工作模式存在一些显见的缺陷工作模式存在一些显见的缺陷。为了克服这些缺陷为了克服这些缺陷,我们应用分组密码链接技术来改我们应用分组密码链接技术来改变分组密码的工作模式。变分组密码的工作模式。密码分组链接密码分组链接(CBC)模式模式第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准10CBC 工作模式是在密钥固定不变的情况下，工作模式是在密

9、钥固定不变的情况下，改改变每个明文组输入的链接技术。在变每个明文组输入的链接技术。在 CBC 模式下，模式下，每每个明文组个明文组im在加密之前在加密之前,先先与反馈至输入端的前与反馈至输入端的前一一组密文组密文1ic逐比特模逐比特模 2 相加后再加密。相加后再加密。假假设待加密设待加密的的明文分组为明文分组为 m=m1,m2,m3,我我们按如下方式加密们按如下方式加密各各组明文组明文 mi(i=1,2,)：01.cIV=(初始值初始值)；12.DES()iiikcmc=+,i=1,2,第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加

10、密标准11这样这样,密文组密文组ic不仅与当前的明文组有关不仅与当前的明文组有关,而且通过反馈的作用还与以前的明文组而且通过反馈的作用还与以前的明文组 m1,m2,mi 1有关有关.易见易见,使用使用 CBC 链接技术的分组密码的解密过程为链接技术的分组密码的解密过程为:1.c0=IV(初始值初始值)；2.mi=DESk 1(ci)+ci 1 第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准12CBC 工作模式的优点为：工作模式的优点为：(1)能隐蔽明文的数据模式能隐蔽明文的数据模式.(2)在某种程度上能防止数据篡改在某种程度上

11、能防止数据篡改,诸如明文组的重放诸如明文组的重放,嵌入和删除等嵌入和删除等.CBC 模 式 的 不 足 是 会 出 现 错 误 传 播模 式 的 不 足 是 会 出 现 错 误 传 播(errorpropagation).密文中任一位发生变化会涉及后面一些密文中任一位发生变化会涉及后面一些密文组密文组.但但 CBC 模式的错误传播不大模式的错误传播不大,一个传输错误一个传输错误至多影响两个消息组的接收结果至多影响两个消息组的接收结果(思考思考).第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准13分组密码算法也可以用于同步序列密

12、码，分组密码算法也可以用于同步序列密码，就就是是所所谓的密码反馈（谓的密码反馈（Cipher-FeedBack,CFB）模式。）模式。在在CBC 模式下，模式下，整整个数据分组在接收完之后才能进个数据分组在接收完之后才能进行行加密。加密。密文反馈密文反馈(CFB)模式模式第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准14对许多网络应用来说，这是个问题。例如，对许多网络应用来说，这是个问题。例如，在一个在一个安全的网络环境中，当从某个终端输入时，安全的网络环境中，当从某个终端输入时，它必须把它必须把每一个字符马上传输给主机。每一

13、个字符马上传输给主机。当数据在字节大小的分当数据在字节大小的分组里进行处理时，组里进行处理时，CBC 模式就不能做到了。模式就不能做到了。若待加密若待加密的消息必须按字符比特处理时，可采用的消息必须按字符比特处理时，可采用 CFB 模式，模式，见见下图所示。在下图所示。在 CFB 模式下，每次加密模式下，每次加密 s bit 明文。明文。一一般般 s=8,L=64/s。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准15 i Lc 2ic 1ic ix?64bit ix?6 4bit k k iy?64bit iy?64bit

14、选最左边的 s 比特 选最左边的 s 比特 s 比特 s 比特 im ic ic im DESDESDESDES第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准16上图上端是一个开环移位寄存器。加密之前，上图上端是一个开环移位寄存器。加密之前，先先给该移位寄存器输入给该移位寄存器输入 64bit 的初始值的初始值 IV，它就是，它就是 DES的输入的输入,记为记为0 x。DES 的输出的输出iy的最左边的最左边 s bit 和第和第 i组明文组明文im逐比特模逐比特模 2 相加得密文相加得密文ic。ic一方面作为第一方面作为第i

15、 组密文发出，组密文发出，另一方面反馈至开环移位寄存器最右边另一方面反馈至开环移位寄存器最右边的的 s 个寄存器，使下一组明文加密时个寄存器，使下一组明文加密时 DES 的输入的输入 64bit依赖于密文依赖于密文ic。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准17CFB 模式与模式与 CBC 模式的区别是反馈的密文不再是模式的区别是反馈的密文不再是64bit,而是而是 s bit，且不直接与明文相加，且不直接与明文相加，而是反馈至密而是反馈至密钥产生器中。钥产生器中。第五章第五章第五章第五章 分组密码与数据加密标准分组密

16、码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准18CFB模式除有模式除有 CBC模式的优点外模式的优点外,其其自身独特的自身独特的优优点是它特别适用于用户数据格式的需要。在密码设计中点是它特别适用于用户数据格式的需要。在密码设计中,应尽量避免更改现有系统的数据格式和规定应尽量避免更改现有系统的数据格式和规定,这这是重是重要要的设计原则。的设计原则。CFB 模式的缺点有二：一是对信道错误较敏感且会造成错误传播；二是数据加密的速率降低。但这种模式多用于数据网中较低层次模式的缺点有二：一是对信道错误较敏感且会造成错误传播；二是数据加密的速率降低。但这种模式多用于数据网中较低层次,其数据

17、速率都不太高。其数据速率都不太高。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准19OFB模式是模式是CFB模式的一种改进模式的一种改进,它将它将DES作为作为一个密钥流产生器一个密钥流产生器,其输出的其输出的 s bit 的密钥直接反馈至的密钥直接反馈至DES 的输入寄存器中的输入寄存器中,而把这而把这 s bit 的密钥和输入的的密钥和输入的 sbit 的明文对应模的明文对应模 2 加（参见下图）。加（参见下图）。输出反馈输出反馈(OFB,output feedback)模式模式第五章第五章第五章第五章 分组密码与数据加密

18、标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准20 67 64 比特寄存器 64 比特寄存器 64 比特 64 比特 k k 64 比特 64 比特 选最左边的 s 比特 选最左边的 s 比特 s 比特 s 比特 s 比特 im ic s 比特 ic im s 比特 图图 4.14 OFB 模式模式 DESDESDESDES第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准21OFB 模式克服了模式克服了 CBC 模式和模式和 CFB 模式的错误传模式的错误传播带来的问题播带来的问题,但同时也带来了序列密码

19、具有的缺点但同时也带来了序列密码具有的缺点,对密文被篡改难于进行检测。对密文被篡改难于进行检测。由于由于 OFB 模式多在同步信道中运行模式多在同步信道中运行,对手难于知道消息的起始点而使这类主动攻击不易奏效。对手难于知道消息的起始点而使这类主动攻击不易奏效。OFB 模式不具有自同步能力模式不具有自同步能力,要求系统保持严格要求系统保持严格的同步的同步,否则难于解密。否则难于解密。OFB 模式的初始向量模式的初始向量 IV 无需保密无需保密,但各条消息必须选用不同的但各条消息必须选用不同的 IV。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密

20、码与数据加密标准22为了增加算法的复杂度为了增加算法的复杂度,对分组密码进行级联。在不同的密钥下连续多次对一个明文组进行加密对分组密码进行级联。在不同的密钥下连续多次对一个明文组进行加密,即即 ()(2)(1)DES(.(DES(DES().)iik nkkcm=级连级连(CM,chaining mode)模式（又称多重加密）模式（又称多重加密）第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准23ECB 模式适用于对字符加密模式适用于对字符加密,例如例如,密钥加密。密钥加密。OFB 模式常用于卫星通信中的加密。模式常用于卫星通信

21、中的加密。由于对由于对 CBC 和和 CFB 模式当改变一个明文分组模式当改变一个明文分组 xi则则 yi与其后所有密文分组都会受到影响与其后所有密文分组都会受到影响,这一性质说这一性质说明这两种模式都可用于认证系统。更明确的说明这两种模式都可用于认证系统。更明确的说,这些模这些模式能被用来产生一个消息认证码式能被用来产生一个消息认证码,即即 MAC。它能使消它能使消息接收方相信给定的明文序列的确来自合法发送者息接收方相信给定的明文序列的确来自合法发送者,而没有被篡改。而没有被篡改。不同模式的特点和用途不同模式的特点和用途第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分

22、组密码与数据加密标准分组密码与数据加密标准24分组密码的一般设计原理分组密码的一般设计原理一个好的分组密码应该是：既难破译一个好的分组密码应该是：既难破译,又容易实现。又容易实现。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准25(1)针对安全性的一般设计原则针对安全性的一般设计原则混乱原则：人们所设计的密码应使得密钥和明文以及密文之间的依赖关系相当复杂以至于这种依赖性对密码分析者来说是无法利用的。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准26扩散原则：人

23、们所设计的密码应使得密钥的每一位数字影响密文的许多位数字以防止对密钥进行逐段破译，而且明文的每一位数字也应影响密文的许多位数字以便隐蔽明文数字的统计特性。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准27完全雪崩原则：当输入明文的一比特的改变时,输出密文每一比特有1/2的概率改变.另外,还有一个重要的设计原理：密码体制必须能抵抗现有的所有攻击方法.输入明文的一比特的改变时,输出密文每一比特有1/2的概率改变.另外,还有一个重要的设计原理：密码体制必须能抵抗现有的所有攻击方法.第五章第五章第五章第五章 分组密码与数据加密标准分组

24、密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准28(2)针对实现的设计原则分组密码可以用软件和硬件来实现。硬件实现的优点是可获得高速率,而软件实现的优点是灵活性强、代价低。基于软件和硬件的不同性质,分组密码的设计原则可根据预定的实现方法来考虑。第五章第五章第五章第五章 分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准分组密码与数据加密标准29软件实现的设计原则：使用子块和简单的运算。密码运算在子块上进行,要求子块的长度能自然的适应软件编程,比如8、16、32比特等。在软件实现中,按比特置换是难于实现的,因此应尽量避免使用。子块所进行的密码运算应该是一些易于软件实现的,最好是用一些标准处理器所具有的一些基本指令,比如加法、乘法和移位。