第3章03--分组密码-运行模式.pptVIP

三、分组码的运行模式 DES算法只解决了如何对一个64比特的明文分组进行加密保护的问题,对于比特数不等于64的明文如何加密,并不关心。这个问题,就由分组密码的工作模式解决。 主要工作模式 即使有了安全的分组密码算法，也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等，以提高整体的安全性，降低删除、重放、插入和伪造成功的机会。 电码本(ECB)模式 密码分组链接(CBC)模式 密码反馈(CFB)模式 输出反馈(OFB)模式 电码本ECB模式 直接利用加密算法分别对分组数据组加密。 在给定的密钥下同一明文组总产生同样的密文组。这会暴露明文数据的格式和统计特征。 明文数据都有固定的格式，需要以协议的形式定义，重要的数据常常在同一位置上出现，使密码分析者可以对其进行统计分析、重传和代换攻击。 电码本ECB模式 优点： (1) 实现简单; (2) 不同明文分组的加密可并行实施,尤其是硬件实现时速度很快. 为了克服ECB的安全性缺陷，我们希望设计一个工作模式,可以使得当同一个明文分组重复出现时产生不同的密文分组。 一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。 密码分组链接CBC模式 每个明文组xi加密之前，先与反馈至输入端的前一组密文yi-1按位模2求和后，再送至加密算法加密。 各密文组yi不仅与当前明文组xi有关，而且通过反馈作用还与以前的明文组x1, x2,…, xi-1，有关。 从而使明文的统计规律在密文中得到了较好的隐蔽。 初始矢量IV 初始矢量IV(Initial Vector)：第一组明文xi加密时尚无反馈密文，为此需要在寄存器中预先置入一个。收发双方必须选用同一个IV。 可为每个消息选择不同的IV，那么即使两个消息使用相同的密钥，也将有不同的密文。在CBC模式下，最好是每发一个消息，都改变IV，比如将其值加一。 同时，IV的安全性问题。使用ECB加密模式。 填充(Padding) 给定加密消息的长度是随机的，按64 bit分组时，最后一组消息长度可能不足64 bit。可以填充一些数字，通常用最后1字节作为填充指示符（PI）。它所表示的十进制数字就是填充占有的字节数。数据尾部、填充字符和填充指示符一起作为一组进行加密。 密码分组链接CBC模式 CBC的错误传播 1. 明文有一组中有错，会使以后的密文组都受影响，但经解密后的恢复结果，除原有误的一组外，其后各组明文都正确地恢复。 2.若在传送过程中，某组密文组yi出错时，则该组恢复的明文x’i和下一组恢复数据x’i+1出错。再后面的组将不会受yi中错误比特的影响。 报文完整性认证的具体实现技术 (1) 文件的制造者和检验者共享一个密钥； (2) 文件的明文m产生一个奇偶校验码r的分组； (3) 采用分组密码的CBC模式，对附带校验码的已扩充的明文(m, r)进行加密，得到的最后一个密文分组就是认证码； 密码反馈(CFB-Cipher Feedback)模式 若待加密消息需按字符、字节或比特处理时，可采用CFB模式。并称待加密消息按 j 比特处理的CFB模式为 j 比特CFB模式。 适用范围: 适用于每次处理 j 比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要. 例如,数据库加密要求加密时不能改变明文的字节长度,这时就要以明文字节为单位进行加密. j-比特密码反馈CFB模式 若待加密消息必须按字符(如电传电报)或按比特处理时，可采用CFB模式。 CFB实际上是将加密算法DES作为一个密钥流产生器，当k＝1时就退化为前面讨论的流密码了。 CFB与CBC的区别是反馈的密文长度为j，且不是直接与明文相加，而是反馈至密钥产生器。 j-比特密码反馈CFB模式 CFB的优点 它特别适于用户数据格式的需要，不用填充。 能隐蔽明文数据图样，也能检测出对手对于密文的篡改。 CFB的缺点 对信道错误较敏感，且会造成错误传播。 CFB也需要一个初始矢量，并要和密钥同时进行更换。 优点： （1）这是将分组密码当作序列密码使用的一种方式，但乱数与明文和密文无关！ （2）不具有错误传播特性！ 只要密文在传输过程中不丢信号，即使信道不好，也能将明文的大部分信号正常恢复。 适用范围： （1）明文的冗余度特别大，信道不好但不易丢信号，明文错些信号也不影响效果的情形。如图象加密，语音加密等。 缺点： （1）不能实现报文的完整性认证。 （2）乱数序列的周期可能