密码学基础课件：第九讲 对称密码学-4.ppt

可以看到k比特CFB和OFB。 * 第九讲 对称密码学-4 分组密码工作模式 ECB CBC CFB OFB CTR CBC的填充预言机攻击 当我们平凡的使用DES或者AES时，密文的统计特性依旧体现了明文的统计特性 可以把DES看成一种2^64字母的代换表 所以明文64比特的统计特性是能够反映出来的 AES类似处理 分组密码运行模式 另外，分组密码每次加密的明文数据量是固定的分组长度n，而实用中待加密消息的数据量是不定的。 还有，希望降低攻击者删除、重放、插入和伪造成功的机会。 最后，希望所采用的工作模式应当力求简单、有效和易于实现。 分组密码运行模式 美国[FIPS PUB 74和81]中规定了DES的四种基本工作模式： 1.电子码本(ECB) 2.密码分组链接(CBC) 3.密码反馈(CFB) 4.输出反馈(OFB) 。 800-38A中NIST将推荐模式扩展为5个， 5.记数器模式(CTR) ECB ECB 也就是基本运行模式 缺点：前面已经陈述 密文的统计特性依旧体现了明文的统计特性 攻击者能够删除、重放、插入单个分组（剪切-复制攻击） 明文需要填充到分组长度的倍数 CBC CBC 是一种常见的运行模式（SSL，IPSec等） 特点： 需要初始向量（IV） 传输过程中如果c_i密文块出现问题，对明文m_i及m_{i+1}有影响（存在错误扩展） 掩盖了单个明文的统计特性，例如所有分组都相同，密文分组也各不相同 攻击者剪切-复制会对相邻分组有影响 需要填充 加密过程中改变一个明文分组，会造成后续所有密文的改变（有时叫做错误传播，用于做MAC认证） CFB CFB 特点： 需要初始向量（IV） 传输过程中如果c_i密文块出现问题，对明文m_i及m_{i+1}有影响（存在错误扩展） 掩盖了单个明文的统计特性，例如所有分组都相同，密文分组也各不相同 攻击者剪切-复制会对相邻分组有影响 明文不需要填充 加密过程中改变一个明文分组，会造成后续所有密文的改变（有时叫错误传播，用于做MAC认证） OFB OFB 特点： 需要初始向量（IV） 掩盖了单个明文的统计特性，例如所有分组都相同，密文分组也各不相同 攻击者删除一个分组会造成以后分组全部解密错误。 明文不需要填充 OFB是同步流密码 另外一个角度 CTR CTR 特点： 需要初始向量（NONCE） 掩盖了单个明文的统计特性，例如所有分组都相同，密文分组也各不相同 攻击者删除一个分组会造成以后分组全部解密错误。 明文不需要填充 可并行执行 可以以任意分组顺序加密 类似同步流密码方式 OpenSSL中的运行模式 (1) DES ECB 模式 DES_ecb_encrypt() ，该函数把一个 8 字节明文分组 input 加密成为一个 8 字节密文分组 output 。参数中密钥结构 ks 是用函数 DES_set_key() 准备好的，而密钥 key 是用随机数算法产生的 64 个随机比特。参数 enc 指示是加密还是解密。该函数每次只加密一个分组，因此用来加密很多数据时不方便使用。 void DES_ecb_encrypt(const_DES_cblock *input,DES_cblock *output, DES_key_schedule *ks,int enc); int DES_set_key(const_DES_cblock *key,DES_key_schedule *schedule); (2) DES CBC 模式 DES 算法 CBC 操作模式加解密函数是 DES_ncbc_encrypt() 。参数 length 指示输入字节长度。如果长度不是 8 字节的倍数，则会被用 0 填充到 8 字节倍数。因此，输出可能比 length 长，而且必然是 8 字节的倍数 void DES_ncbc_encrypt(const unsigned char *input,unsigned char *output, long length, DES_key_schedule *schedule, DES_cblock *ivec, int enc) (3) DES CFB 模式 DES 算法 CFB 操作模式加解密函数是 DES_cfb_encrypt() 。参数 length 指示输入字节长度。参数 numbits 则指示了 CFB 每次循环加密多少明文比特，也即密文反馈的比特数目。 ivec 是初始向量，被看做第 0 个密文分组，是不用保密但应随机取值的 8 个字节。