第6章对称密码的其他内容_3.docVIP

第6章对称密码的其他内容 6.1 多重加密与三重DES算法 6.1.1双重DES 为了提高DES的安全性，并利用实现DES的现有软硬件，可将DES算法在多密钥下多重使用。使用两个密钥为K1和K2，密文为 C＝Ek2[Ek1[P]] 解密时，以相反顺序使用两个密钥： P＝Dk1[Dk2[C]] 如果已知一个明文密文对（P，C），攻击的实施可如下进行：首先，用256个所有可能的K1对P加密，将加密结果存入一表并对表排序，然后用256个所有可能的K2对C解密，在上述表中查找与C解密结果相匹配的项，如果找到，则记下相应的K1和K2。最后再用一新的明文密文对（P’，C’）检验上面找到的K1和K2。用K1和K2对P’两次加密，若结果等于C’，就可确定K1和K2是所要找的密钥。 二重DES会受到中间人的攻击。 6.1.2使用两个密钥的三重DES 加密： C＝Ek1[Dk2[Ek1[P]]] 解密： P= Dk1[Ek2[Dk1[C]]] 6.1.3使用三个密钥的三重DES 加密： C＝Ek3[Ek2[Ek1[P]]] 解密： P= Dk1[Dk2[Dk3[C]]] 有些基于Internet的应用已经采纳了这种三重DES。 6.2 分组密码的工作模式 DES算法是提供数据安全的基本构件。为了将DES应用于实际，人们定义了五种工作模式（FIPS 81）.这些模式也可用于包括3DES和AES在内的任何分组密码。 (1) 电码本(ECB)模式 ECB(electronic codebook)模式是最简单的运行模式，它一次对一个64比特长的明文分组加密，而且每次的加密密钥都相同，如图3-10所示。当密钥取定时，对明文的每一个分组，都有一个惟一的密文与之对应。因此形象地说，可以认为有一个非常大的电码本，对任意一个可能的明文分组，电码本中都有一项对应于它的密文。 图3-10　ECB模式示意图 如果消息长于64比特，则将其分为长为64比特的分组，最后一个分组如果不够64比特，则需要填充。解密过程也是一次对一个分组解密，而且每次解密都使用同一密钥。图3-10中，明文是由分组长为64比特的分组序列P1，P2，…PN构成，相应的密文分组序列是C1，C2，…，CN。 ECB模式特别适合于数据较少的情况，比如加密密钥。 ECB的最大特性是同一明文分组在消息中重复出现的话，产生的密文分组也相同。ECB用于长消息时可能不够安全。 (2)密码分组链接(CBC)模式 为了解决ECB的安全缺陷，可以让重复的明文分组产生不同的密文分组，CBC(Cipher　block　chaining)模式就可满足这一要求。图3-11是CBC模式示意图，它一次对一个明文分组加密，每次加密使用同一密钥，加密算法的输入是当前明文分组和前一次密文分组的异或，因此加密算法的输入不会显示出与这次的明文分组之间的固定关系，所以重复的明文分组不会在密文中暴露出这种重复关系。 图3-1l　CBC模式示意图 第一块明文可以和一个初始矢量（IV）异或后再加密。IV必须为收发双方共享。为了增加安全性，IV应该和密钥一样加以保护，比如用ECB加密来保护IV。 CBC模式对加密长于64比特的消息非常合适，亦可用于认证。 (3) 密码反馈(CFB)模式 如上所述，DES是分组长为64比特的分组密码，但利用CFB(cipher feedback)模式或OFB模式可将DES转换为流密码。流密码不需要对消息填充，而且运行是实时的。因此如果传送字母流，可使用流密码对每个字母直接加密并传送。 流密码具有密文和明文一样长这一性质，因此，如果需要发送的每个字符长为8比特，就应使用8比特密钥来加密每个字符。如果密钥长超过8比特，则造成浪费。 图3-12是CFB模式示意图，设传送的每个单元(如一个字符)是j比特长，通常取j=8，与CBC模式一样，明文单元被链接在一起，使得密文是前面所有明文的函数。 加密时，加密算法的输入是64比特移位寄存器，其初值为某个初始向量IV。加密算法输出的最左(最高有效位)j比特与明文的第一个单元P1，进行异或，产生出密文的第1个单元C1，并传送该单元。然后将移位寄存器的内容左移j位并将C1送入移位寄存器最右边(最低有效位)j位。这一过程继续到明文的所有单元都被加密为止。 CFB模式除能获得保密性外，还能用于认证。 (4)输出反馈(OFB)模式 OFB(output feedback)模式的结构类似于CFB，见图3-13。不同之处如下： OFB模式是将加密算法的输出反馈到移位寄存器，而CFB模式中是将密文单元反馈到移位寄存器。  OFB模式的优点是传输过程中比特错误不会被传播。 （6）计数器模式 见课本P148图6.7. 计数器模式有如下优点： 硬件