第3章 分组密码体制2.ppt

第3章 分组密码体制 郝艳华 漳州师范学院计算机科学与工程系 §3.4 分组密码的运行模式 分组密码在加密时,明文分组的长度是固定的，而实际应用中待加密消息的数据量是不定的，数据格式可能是多种多样的。为了能在各种应用场合使用DES，美国在FIPS PUS 74和81中定义了DES的4种运行模式。这些模式也可用于其他分组密码，下面以DES为例来介绍这4种模式。 §3.4.1 电码本（ECB）模式 ECB(electronic codebook)模式是最简单的运行模式，它一次对一个64比特长的明文分组加密，而且每次的加密密钥都相同。 当密钥取定时，对明文的每一个分组，都有一个惟一的密文与之对应。因此形象地说，可以认为有一个非常大的电码本，对任意一个可能的明文分组，电码本中都有一项对应于它的密文。 如果消息长于64比特，则将其分为长为64比特的分组，最后一个分组如果不够64比特，则需要填充，通常用最后1字节作为填充指示符（PI）。它所表示的十进制数字就是填充占有的字节数。 解密过程也是一次对一个分组解密，而且每次解密都使用同一密钥。 ECB在用于短数据（如加密密钥）时非常理想，因此如果需要安全地传递DES密钥，ECB是最合适的模式。 ECB的最大特性是同一明文分组在消息中重复出现的话，产生的密文分组也相同。这会暴露明文数据的格式和统计特征。 ECB用于长消息时可能不够安全，如果消息有固定结构，密码分析者有可能找出这种关系。例如，如果已知消息总是以某个预定义字段开始，那么分析者就可能得到很多明文-密文对。如果消息有重复的元素而重复的周期是64的倍数，那么密码分析者就能够识别这些元素，并对其进行统计分析、重传和代换攻击 §3.4.2 密码分组链接（CBC）模式 为了解决ECB的安全缺陷，可以让重复的明文分组产生不同的密文分组，CBC（cipher block chaining）模式就可满足这一要求。 它一次对一个明文分组加密，每次加密使用同一个密钥 加密算法的输入是当前明文分组和前一次密文分组的异或，因此加密算法的输入不会显示出与这次的明文分组之间的固定关系，所以重复的明文分组不会在密文中暴露出这种重复关系。 解密时，每一个密文分组被解密后，再与前一个密文分组异或，即 （设 ） 因而产生出明文分组。 在产生第1个密文分组时，需要有一个初始向量IV与第1个明文分组异或。解密时，IV和解密算法对第1个密文分组的输出进行异或以恢复第1个明文分组。 IV对于收发双方都应是已知的，为使安全性最高，IV应像密钥一样被保护，可使用ECB加密模式来发送IV。 保护IV的原因如下：如果敌手能欺骗接收方使用不同的IV值，敌手就能够在明文的第1个分组中插入自己选择的比特值，这是因为： 用X(i)表示64比特分组X的第i个比特，那么 由异或的性质得 其中撇号表示比特补。上式意味着如果敌手篡改IV中的某些比特，则接收方收到的P1中相应的比特也发生了变化。 由于CBC模式的链接机制，CBC模式对加密长于64比特的消息非常合适 CBC模式除能够获得保密性外，还能用于认证。 §3.4.3 密码反馈（CFB）模式 如上所述，DES是分组长为64比特的分组密码，但利用CFB（cipher feedback）模式或OFB模式可将DES转换为流密码。 流密码不需要对消息填充，而且运行是实时的。因此如果传送字母流，可使用流密码对每个字母直接加密并传送。 流密码具有密文和明文一样长这一性质，因此，如果需要发送的每个字符长为8比特，就应使用8比特密钥来加密每个字符。如果密钥长超过8比特，则造成浪费。 解密时，将收到的密文单元与加密函数的输出进行异或。注意这时仍然使用加密算法而不是解密算法，原因如下： 设Sj(X)是X的j个最高有效位，那么 因此 可证明以后各步也有类似的这种关系。 CFB模式除能获得保密性外，还能用于认证 §3.4.4 输出反馈（OFB）模式 OFB（output feedback）模式的结构类似于CFB。 不同之处如下：OFB模式是将加密算法的输出反馈到移位寄存器，而CFB模式中是将密文单元反馈到移位寄存器。 OFB模式的优点是传输过程中的比特错误不会被传播。例如C1中出现1比特错误，在解密结果中只有P1受到影响，以后各明文单元则不受影响。而在CFB中，C1也作为移位寄存器的输入，因此它的1比特错误会影响解密结果中各明文单元的值。 OFB的缺点是它比CFB模式更易受到对消息流的篡改攻击，比如在密文中取1比特的补，那么在恢复的明文中相应位置的比特也为原比特的补。因此使得敌手有可能通