现代密码学-杨波-3.4分组密码的运行模式.pptVIP

现代密码学

第3章分组密码3.1分组密码概述3.2数据加密标准3.3差分密码分析与线性密码分析3.4分组密码的运行模式3.5IDEA3.6AES算法--3.7中国商业密码SM43.8祖冲之密码第三章分组密码

3.4分组密码的运行模式3.4.1电码本模式3.4.2密码分组链接模式3.4.3密码反馈模式3.4.4输出反馈模式第三章分组密码

3.4.1电码本模式（ECB）第三章分组密码ECB(ElectronicCodebook)模式是最简单的运行模式，它一次对一个64比特长的明文分组加密，而且每次的加密密钥都相同，如图3-10所示。当密钥取定时，对明文的每一个分组，都有一个惟一的密文与之对应。因此我们可以形象地认为有一个非常大的电码本，对任意一个可能的明文分组，电码本中都有一项对应于它的密文。如果消息长于64比特，则将其分为长为64比特的分组，最后一个分组如果不够64比特，则需要填充。解密过程也是一次对一个分组解密，而且每次解密都使用同一密钥。图3-10中，明文是由分组长为64比特的分组序列构成，相应的密文分组序列是。

3.4.1电码本模式（ECB）第三章分组密码ECB在用于短数据（如加密密钥）时非常理想，因此如果我们需要安全地传递DES密钥，ECB是最合适的模式。图3-10 ECB模式示意图

3.4.1电码本模式（ECB）第三章分组密码ECB的最大特性是同一明文分组在消息中重复出现的话，产生的密文分组也相同。ECB用于长消息时可能不够安全，如果消息有固定结构，密码分析者有可能找出这种关系。例如，如果已知消息总是以某个预定义字段开始，那么分析者就可能得到很多明文密文对。如果消息有重复的元素而重复的周期是64的倍数，那么密码分析者就能够识别这些元素。以上这些特性都有助于密码分析者，有可能为其提供对分组的代换或重排的机会。

3.4.2密码分组链接模式（CBC）第三章分组密码为了解决ECB的安全缺陷，可以让重复的明文分组产生不同的密文分组，CBC（CipherBlockChaining）模式就可满足这一要求。图3-11是CBC模式示意图，它一次对一个明文分组加密，每次加密使用同一密钥,加密算法的输入是当前明文分组和前一次密文分组的异或，因此加密算法的输入不会显示出与这次的明文分组之间的固定关系，所以重复的明文分组不会在密文中暴露出这种重复关系。

3.4.2密码分组链接模式（CBC）第三章分组密码图3-11 CBC模式示意图

3.4.2密码分组链接模式（CBC）第三章分组密码解密时，每一个密文分组被解密后，再与前一个密文分组异或，即：（设）在产生第一个密文分组时，需要有一个初始向量IV与第一个明文分组异或。解密时，IV和解密算法对第一个密文分组的输出进行异或以恢复第一个明文分组。

3.4.2密码分组链接模式（CBC）第三章分组密码IV对于收发双方都应是已知的，为使安全性最高，IV应象密钥一样被保护，可使用ECB加密模式来发送IV。保护IV的原因如下：如果敌手能欺骗接收方使用不同的IV值，敌手就能够在明文的第一个分组中插入自己选择的比特值，这是因为：用表示64比特分组的第个比特，那么，由异或的性质得：其中撇号表示比特补。上式意味着如果敌手篡改IV中的某些比特，则接收方收到的中相应的比特也发生变化。

3.4.3密码反馈模式（CFB）第三章分组密码DES是分组长为64比特的分组密码，但利用CFB（CipherFeedback）模式或OFB模式可将DES转换为流密码。流密码不需要对消息填充，而且运行是实时的。因此如果传送字母流，可使用流密码对每个字母直接加密并传送。流密码具有密文和明文一样长这一性质，因此，如果需要发送的每个字符长为8比特，就应使用8比特密钥来加密每个字符。如果密钥长超过8比特，则造成浪费。

3.4.3密码反馈模式（CFB）第三章分组密码图3-12是CFB模式示意图，设传送的每个单元（如一个字符）是比特长，通常取，与CBC模式一样，明文单元被链接在一起，使得密文是前面所有明文的函数。加密时，加密算法的输入是64比特移位寄存器，其初值为某个初始向量IV。加密算法输出的最左（最高有效位）比特与明文的第一个单元异或，产生出密文的第一个单元