现代密码学第4章3：分组密码工作模式解读.ppt

分组密码:分组密码的工作模式 本节主要内容 1、分组密码的工作模式 2、Block Modes ECB, CBC 3、Stream Modes CFB, OFB 分组密码的运行模式 分组密码在加密时,明文分组的长度是固定的，而实际应用中待加密消息的数据量是不定的，数据格式可能是多种多样的。为了能在各种应用场合使用DES，美国在FIPS PUS 74和81中定义了DES的4种运行模式，如表3.5所示。这些模式也可用于其他分组密码，下面以DES为例来介绍这4种模式。（见49页表3.5） 分组密码工作模式 分组密码加密固定长度的年信息，eg. DES加密64-bit，使用 56-bit key 需要一种使用方法，加密任意长度的消息，这种使用方法叫做工作模式Mode of Use 对于DES ，定义了4种模式（in ANSI standard ANSI X3.106-1983 Modes of Use） 四种模式: Block Modes ECB, CBC Stream Modes CFB, OFB 1. 电码本（ECB）模式 ECB(electronic codebook)模式是最简单的运行模式，它一次对一个64比特长的明文分组加密，而且每次的加密密钥都相同，如图4.10所示。当密钥取定时，对明文的每一个分组，都有一个惟一的密文与之对应。因此形象地说，可以认为有一个非常大的电码本，对任意一个可能的明文分组，电码本中都有一项对应于它的密文。 ECB模式示意图 1.电码本（ECB）模式 如果消息长于64比特，则将其分为长为64比特的分组，最后一个分组如果不够64比特，则需要填充。解密过程也是一次对一个分组解密，而且每次解密都使用同一密钥。图4.10中，明文是由分组长为64比特的分组序列P1，P2，…，PN构成，相应的密文分组序列是C1，C2，…，CN。 1.电码本（ECB）模式 ECB在用于短数据（如加密密钥）时非常理想，因此如果需要安全地传递DES密钥，ECB是最合适的模式。 ECB的最大特性是同一明文分组在消息中重复出现的话，产生的密文分组也相同。 ECB的优势与局限 相同的明文对于相同的密文 结构化明文 消息有重复部分 主要用于发送少数量的分组数据 1.电码本（ECB）模式 ECB用于长消息时可能不够安全，如果消息有固定结构，密码分析者有可能找出这种关系。例如，如果已知消息总是以某个预定义字段开始，那么分析者就可能得到很多明文密文对。如果消息有重复的元素而重复的周期是64的倍数，那么密码分析者就能够识别这些元素。以上这些特性都有助于密码分析者，有可能为其提供对分组的代换或重排的机会。 2.密码分组链接（CBC）模式 为了解决ECB的安全缺陷，可以让重复的明文分组产生不同的密文分组， CBC（cipher block chaining）模式就可满足这一要求。图4.11是CBC模式示意图，它一次对一个明文分组加密，每次加密使用同一密钥,加密算法的输入是当前明文分组和前一次密文分组的异或，因此加密算法的输入不会显示出与这次的明文分组之间的固定关系，所以重复的明文分组不会在密文中暴露出这种重复关系。 CBC模式示意图 2.密码分组链接（CBC）模式 解密时，每一个密文分组被解密后，再与前一个密文分组异或，即 （设 ） 因而产生出明文分组。 2.密码分组链接（CBC）模式 在产生第1个密文分组时，需要有一个初始向量IV与第1个明文分组异或。解密时，IV和解密算法对第1个密文分组的输出进行异或以恢复第1个明文分组。 IV对于收发双方都应是已知的，为使安全性最高，IV应像密钥一样被保护，可使用ECB加密模式来发送IV。保护IV的原因如下： 如果敌手能欺骗接收方使用不同的IV值，敌手就能够在明文的第1个分组中插入自己选择的比特值，这是因为： 用X(i)表示64比特分组X的第i个比特，那么 ，由异或的性质得 其中撇号表示比特补。 2.密码分组链接（CBC）模式 上式意味着如果敌手篡改IV中的某些比特，则接收方收到的P1中相应的比特也发生了变化。 由于CBC 模式的链接机制，CBC模式对加密长于64比特的消息非常合适。 CBC模式除能够获得保密性外，还能用于认证。 消息分成模块 加密是相互联系的 密文与明文联结 利用一个初始向量开始： Ci = DESK1(Pi XOR Ci-1)