第五讲 对称分组密码(下工作模式).pptVIP

* 对称密码应用 短块处理 填充法 密文挪用 * 对称密码应用 安全性 密钥空间 算法结构 Feistel网、漂白(Whitening) 回避弱点 弱密钥、简单关系 抗攻击 差分、线性 第五讲 对称分组密码 结束 * Stallings Fig 7.9. Based on concept of having a “Key Distribution Center” (KDC) which shares a unique key with each party (user). See text for details of steps in distribution process. 二、分组密码的工作模式 2000年美国在征集AES的同时又公开征集AES的工作模式。共征集到 15个候选工作模式。 新的工作模式还在不断提出。 这些新的工作模式将为AES的应用作出贡献。 二、分组密码的工作模式 1、电码本模式（ECB） 直接利用分组密码对明文的各分组进行加密。 设 明文M=（M1 ，M2 ，…，Mn ）,密钥为K， 密文C＝ ( C1 ，C2 ，…，Cn ), 其中 Ci ＝E（Mi，K）, i=1,2,…,n 电码本方式是分组密码的基本工作模式。 缺点：可能出现短块，这时需要特殊处理。 缺点：暴露明文的数据模式。 应用：适合加密密钥等短数据 二、分组密码的工作模式 2、密文反馈链接模式（CBC） ①明密文链接方式（Plaintext and Ciphertext Block Chaining） 设 明文 M=（M1 ，M2 ，…，Mn ）,密钥为K， 密文 C = ( C1 ，C2 ，…，Cn ), 其中 E（Mi ⊕Z ，K）， i=1 E（Mi ⊕Mi-1 ⊕Ci-1，K）, i=2,…,n Z为初始化向量。 Ci= 二、分组密码的工作模式 2、密文反馈链接模式（CBC） ①明密文链接方式（Plaintext and Ciphertext Block Chaining） 即使Mi ＝Mj ，但因一般都有Mi-1 ⊕Ci-1 ≠Mj-1 ⊕Cj-1 ，从而使Ci ≠Cj ，从而掩盖了明文中的数据模式。 加密时，当Mi 或Ci 中发生一位错误时，自此以后的密文全都发生错误。这种现象称为错误传播无界。 解密时也是错误传播无界。 二、分组密码的工作模式 2、密文反馈链接模式（CBC） ①明密文链接方式（Plaintext and Ciphertext Block Chaining） 错误传播无界的缺点：当磁盘发生一点损坏时将导致整个文件无法解密。 错误传播无界的优点：可用于数据完整性、真实性认证。 二、分组密码的工作模式 M1 E C1 M1 D M2 E C1 D Mn E Cn D Mn M2 加密 解密 K K K K K K Z Z 二、分组密码的工作模式 2、密文反馈链接模式（CBC） 明密文链接方式具有加解密错误传播无界的特性，而磁盘文件加密和通信加密通常希望解密错误传播有界，这时可采用密文链接方式。 ②密文链接方式（ Ciphertext Block Chaining） 设 明文 M=（M1 ，M2 ，…，Mn ）,密钥为K， 密文 C = ( C1 ，C2 ，…，Cn ), 其中 E（ Mi ⊕ Z ，K）， i=1 E（Mi ⊕Ci-1，K）, i=2,…,n Ci= 二、分组密码的工作模式 M1 E C1 M1 D M2 E C2 D Mn E Cn D Mn M2 加密 解密 K K K K K K Z Z 二、分组密码的工作模式 2、密文反馈链接模式（CBC） ②密文链接方式（ Ciphertext Block Chaining） 加密：错误传播无界 解密时：错误传播有界 Ci-1 发生了错误，则只影响Mi-1 和Mi 发生错误，其余不错，因此错误传播有界。 缺点也是要求数据的长度是密码分组长度的整数倍，否则最后一个数据块将是短块。 二、分组密码的工作模式 3、输出反馈模式 (OFB) OFB模式用分组密码产生密钥序列。 寄存器 E 明文 密文 种子R0 K 二、分组密码的工作模式 3、输出反馈模