信息安全原理与实践-第二版03-对称密钥加密.pptVIP

CBC模式 即分组密码的链加密模式(cipher block chaining mode)。在CBC模式中，分组的密文将在下一个明文分组被加密之前用于混淆明文信息。 加密 Ci=E(Pi Ci-1, K)，其中i=0,1,2,… 解密 Pi=D(Ci, K) Ci-1，其中i=0,1,2,…. 因为没有密文分组C-1，初始化向量(initialization vector)，或简称为IV被用来实现相当于密文分组C-1的作用。由于密文不需要保密，因此IV扮演了类似密文分组的角色，就没必要保密。但是，IV应该是随机选择的。 CBC加密模式的第一个分组如下加密： C0=E(P0 IV, K) 第一个分组的解密情况如下所示： P0=D(C0, K) IV * * Alice的图像 经过CBC模式加密之后的结果 CBC加密模式使得同样的明文并不会产生同样的密文！ 关于CBC的顾虑一：差错传播 在密文被传送的过程中，可能会发生无意的干扰混乱，使得为0的位变成为1的位，或者相反。如果某个单独的传送差错使得整个明文无法恢复，那么CBC加密模式在实际中将毫无用处。幸运的是，并不会发生这样的情况。 假设密文分组Ci发生误码错误，比如被误传为G≠Ci，那么 但是 以及所有的后续分组都会被正确解密。 * 关于CBC的顾虑二： 复制-粘贴攻击 假设有如下明文 其中“ ”是空格符，该明文使用64位分组长度的分组密码加密方案进行加密。假设每个字符需要8个二进制位(如8位的ASCII码)，则明文分组如下所示： 假设该数据使用ECB模式加密，那么密文分组将根据公式Ci = E(Pi，K)(其中i = 0，1, …, 5)进行计算。 * 现在假定Trudy知道这里使用了ECB加密模式，她了解明文的通用结构，并且她知道她将会收到$2。但是，Trudy不知道Alice将会收到多少，虽然她推测一定要比$2多得多。如果Trudy能够重新排列密文分组的顺序如下： 那么Bob将解密该信息如下 从Trudy的角度看，这显然是个更好的结果。 * C0, C1, C5, C3, C4, C2, 对于CBC加密模式，复制-粘贴攻击仍然是有可能的，即便实际难度增加了一点儿，甚至还会有部分数据被破坏。 计数器模式(counter mode，CTR) 类似CBC加密模式，CTR加密模式同样使用IV。CTR加密模式的加密公式如下： 解密过程 CTR加密模式常常用于需要随机存取的场景。虽然CBC加密模式也可以非常直截了当地用于随机存取，但是在某些随机存取的场合，CBC模式确实不是理想的选择。 * 3.4 完整性 消息认证码，或简称为MAC(Message Authentication Code)，就是一种使用分组密码加密技术以确保数据完整性的方案。 过程： 采用CBC加密模式加密数据，然后丢弃除最后一个分组之外的所有密文分组。这个最后的密文分组，即所谓的CBC剩余，就起到MAC的作用。 假设共有N个数据分组，分别为P0, P1, P2, …, PN-1，MAC为： * 初始化向量IV 共享的 对称密钥K * Alice bob 发送 IV, P0, P1, P2, P3, MAC Trudy 发送 IV, P0, Q, P2, P3, MAC 计算MAC 在CBC模式的解密过程中，密文分组中的改变仅仅影响两个恢复出的明文分组。相比之下，消息认证码MAC恰恰利用了CBC模式的加密过程中的一个事实，即在明文消息中的任何改变，几乎一定会传播到最后一个分组。这正是使得消息认证码MAC能够提供完整性保护的关键特性。 如何同时提供完整性和保密性？ 在CBC模式的解密过程中，密文分组中的改变仅仅影响两个恢复出的明文分组。相比之下，消息认证码MAC恰恰利用了CBC模式的加密过程中的一个事实，即在明文消息中的任何改变，几乎一定会传播到最后一个分组。这正是使得消息认证码MAC能够提供完整性保护的关键特性。 基于CBC加密模式来计算消息认证码MAC，并不是保护数据完整性的唯一途径。哈希MAC，或简称HMAC，是另一个提供数据完整性保护的标准解决方案。 * 3.5 小结 本章探讨了两种流密码加密方案：A5/1和RC4 比较充分地讨论了分组密码加密方案DES的细节，也简要地提及了几种其他的分组密码加密方案。 考察了应用分组密码加密技术的各种不同模式(特别是ECB、CBC和CTR模式)。 对称密钥加密技术在认证协议中的重要性 * * 张 戈 译 [美]Mark Stamp 著 Information Securit