分组密码 4.6 分组的密码的工作模式.ppt

密码学;第四章 分组密码;4.6 分组密码的工作模式;为什么研究分组密码的工作模式?; 分组密码的工作模式是指以这个分组密码为基础构造一个分组密码系统的方法。;电码本 (ECB) 模式;;2000年3月NIST为AES公开征集保密工作模式：;1．电码本(ECB)模式; 要求明文长度是明文分组规模的整数倍。否则就会出现最后一个明文分组是短块的情形。这时分组短块应如何处理，才能满足要求呢? ;方法: 对明文扩充，使最后一个分组不是短块，但需在文件头或最后一个明文分组中指明文件所含的字节数。 (A) 添充全0比特或其它固定比特； (B) 添充随机数。 相对而言，方法(A)简单，易实现，但安全性没有第二种方法好。;注2：短块处理方法----密文挪用方法 在有些应用中,如数据库加密,磁盘信息加密等，不允许密文的长度比明文的长度大，这时如何解决短块问题？; 设明文的最后一个分组 mN 的长度不足一个完整的分组，长度是24比特;优点： (1) 实现简单； (2) 不同明文分组的加密可并行实施，尤其是硬件实现时速度很快。; 典型应用: （1）用于随机数的加密保护； （2）用于单分组明文的加密。; ECB 模式最严重的问题是敌手可以在不知道密钥的情况下，修改密文，欺骗指定的接收者。; 为了克服ECB的安全性缺陷，我们希望设计一个技术可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。; 在CBC模式下，加密算法的输入是当前明文组与前一密文组的异或。 为了方便，不妨记 IV为c0，则加密过程可表示为;使用IV 的原因： 如果第一个分组不采用初始向量，那么，两个相同的消息仍然被加密成相同的密文，并且，两个消息在第一个不同分组之前的所有分组都将被加密成相同的消息。 IV 无须保密，可以以明文形式在报文中进行传输，但要随消息更换。; CBC 模式的脱密过程为; 设明文的最后一个分组 mN 的长度不足一个完整的分组，长度是24比特;　　例: 假设银行A和银行B之间的资金转帐系统所使用报文模式如下：;(1) 明文块的统计特性得到了隐蔽。;（2） 具有有限的错误传播特性。 一个密文块的错误将导致两个密文块无法脱密。;注意：若是一个密文比特的丢失，将影响后续密文的正确还原。; 典型应用: (1) 数据加密; (2) 完整性认证和身份认证。;报文完整性认证的具体实现： (1) 文件的制造者和检验者共享一个分组密码算法和一个密钥； (2) 文件的明文 m产生一个校验码分组r； (3) 采用分组密码的CBC模式，对附带校验码的 已扩充的明文(m, r)进行加密，得到的最后一 个密文分组就是认证码。;n 分组明文 , 校验码为;（1）仅需对明文认证而不需加密时,此时验证者仅收到明文 m 和认证码 cn+1，他需要： Step1 产生明文 m 的校验码 Step2 利用共享密钥使用CBC模式对(m, r)加密，将得到的最后一个密文分组与接受到的认证码cn+1比较，二者一致时判定接收的明文无错；二者不一致时判定明文出错。;（2）既需对明文认证又需加密时，此时验证者仅收到密文 c 和认证码 cn+1，他需要： Step1 利用共享密钥使用CBC模式对密文脱密； Step2 检验所得到的最后一个明文分组是否是其它明文分组的模 2和：是则判定接收的明文无错；不是则判定接收的明文出错。;基于CBC模式的基础上出现的新的工作模式： Jutla提出的IACBC模式 Gligor和Donesa提出的XCBC模式 Fouque提出的DCBC模式 Bellare提出的HCBC和HPCBC模式 Halevi和Rogaway提出的CMC模式; 例 电脑彩票的防伪技术----彩票中心检查兑奖的电脑彩票是否是自己发行的;（3）对彩票资料明文扩展一个校验码分组后，利用密钥和分组密码算法的CBC模式对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面； 认证过程： 执行（3），并将计算出的认证码与彩票上的认证码比较，二者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。; 若待加密消息需按字符、字节或比特处理时，可采用CFB 模式。并称待加密消息按 j 比特处理的CFB 模式为 j 比特 CFB 模式。;j比特CFB模式加密框图; j比特CFB模式脱密框图