第9次课-分组密码-运行模式课件.ppt

1、2023-2-151 第三章第三章 分组密码分组密码一、分组密码概述一、分组密码概述二、二、DESDES三、分组密码运行模式三、分组密码运行模式四、四、IDEAIDEA五、五、AESAES六、分组密码的分析六、分组密码的分析2023-2-152三、分组码的运行模式三、分组码的运行模式2023-2-153 DES算法只解决了如何对一个算法只解决了如何对一个64比特的比特的明文分组进行加密保护的问题明文分组进行加密保护的问题,对于比特对于比特数不等于数不等于64的明文如何加密的明文如何加密,并不关心。并不关心。这个问题这个问题,就由分组密码的工作模式解决。就由分组密码的工作模式解决。2023-2-

2、154 主要工作模式主要工作模式 即使有了安全的分组密码算法，也需要采用适当即使有了安全的分组密码算法，也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等，的工作模式来隐蔽明文的统计特性、数据的格式等，以提高整体的安全性，降低删除、重放、插入和伪造以提高整体的安全性，降低删除、重放、插入和伪造成功的机会。成功的机会。n电码本电码本(ECB)ECB)模式模式n密码分组链接密码分组链接(CBC)CBC)模式模式n密码反馈密码反馈(CFB)CFB)模式模式n输出反馈输出反馈(OFB)OFB)模式模式 分组密码的分组密码的“工作模式工作模式”是指以某是指以某个分组密码算法为基础个分组密码算法为

3、基础,解决对任意解决对任意长度的明文的加密问题的方法。长度的明文的加密问题的方法。这几种工作模式适用于不同的应用需求这几种工作模式适用于不同的应用需求.2023-2-155模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密 传送短数据传送短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与前一密文组的异或一密文组的异或传送数据分传送数据分组；认证组；认证密码反馈密码反馈(CFB)每次只处理输入的每次只处理输入的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以

4、产生伪随机输出，该输出再与当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有扰信道上传送数据流传送数据流2023-2-156Electronic CodeBook2023-2-157电码本电码本ECB模式模式n直接利用加密算法分别对分组数据组加密。直接利用加密算法分别对分组数据组加密。n在给定的密钥下在给定的密钥下同一明文组总产生同样的同一明文组总产生同样的密文组密文组。这会暴露

5、明文数据的格式和统计。这会暴露明文数据的格式和统计特征。特征。明文数据都有固定的格式，需要以协议的形式定明文数据都有固定的格式，需要以协议的形式定义，重要的数据常常在同一位置上出现，使密码义，重要的数据常常在同一位置上出现，使密码分析者可以对其进行统计分析、重传和代换攻击分析者可以对其进行统计分析、重传和代换攻击。xykDESyxkDES-1缺陷缺陷Electronic CodeBook2023-2-158n优点优点：n(1)实现简单实现简单;n(2)不同明文分组的加密可并行实施不同明文分组的加密可并行实施,尤其是尤其是硬件实现时速度很快硬件实现时速度很快.典型应用：（典型应用：（1）用于随机

6、数的加密保护；）用于随机数的加密保护；（2）用于单分组明文的加密。）用于单分组明文的加密。2023-2-159例例:假设银行假设银行A和银行和银行B之间的资金转帐系统所使之间的资金转帐系统所使用报文模式如下：用报文模式如下：敌手敌手C通过截收从通过截收从A到到B的加密消息，只要将第的加密消息，只要将第5至第至第12分组替换为自己的姓名和帐号相对应的密文，即可将别人分组替换为自己的姓名和帐号相对应的密文，即可将别人的存款存入自己的帐号。的存款存入自己的帐号。2023-2-1510 为了克服为了克服ECB的安全性缺陷，我们希望的安全性缺陷，我们希望设计一个工作模式设计一个工作模式,可以使得当同一个

7、明可以使得当同一个明文分组重复出现时产生不同的密文分组。文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以使输出不仅与当前输入有关，而且与以前输入和输出有关。前输入和输出有关。2023-2-1511模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密 传送短数据传送短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与前一密文组的异或一密文组的异或传送数据分传送数据分组；认证组；认证密码反馈密码反馈(CFB)每

8、次只处理输入的每次只处理输入的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有扰信道上传送数据流传送数据流为了让重复的明文分组产生不为了让重复的明文分组产生不同的密文分组！同的密文分组！2023-2-1512密码分组链接密码分组链接CBC模式模式Cipher block

9、 chaining上一个分上一个分组的密文组的密文1nKnnCECP2023-2-1513密码分组链接密码分组链接CBC模式模式n每个明文组每个明文组xi加密之前，先与反馈至输入加密之前，先与反馈至输入端的前一组密文端的前一组密文yi-1按位模按位模2求和后，再送求和后，再送至加密算法加密。至加密算法加密。n各密文组各密文组yi不仅与当前明文组不仅与当前明文组xi有关，而有关，而且通过反馈作用还与以前的明文组且通过反馈作用还与以前的明文组x1,x2,xi-1，有关。有关。n从而从而使使明文的统计规律在密文中得到了明文的统计规律在密文中得到了较好的隐蔽。较好的隐蔽。Cipher block ch

10、aining2023-2-15142023-2-1515初始矢量初始矢量IVn 初始矢量初始矢量IV(Initial Vector)：第一组明文第一组明文xi加密加密时尚无反馈密文，为此需要在寄存器中预先置入时尚无反馈密文，为此需要在寄存器中预先置入一个一个。收发双方必须选用同一个收发双方必须选用同一个IV。n可为每个消息选择不同的可为每个消息选择不同的IV，那么即使两个消息，那么即使两个消息使用相同的密钥，也将有不同的密文。在使用相同的密钥，也将有不同的密文。在CBC模模式下，最好是每发一个消息，都改变式下，最好是每发一个消息，都改变IV，比如将比如将其值加一。其值加一。n同时，同时，IV的

11、安全性问题的安全性问题。使用。使用ECB加密模式。加密模式。2023-2-1516填充填充(Padding)给定加密消息的长度是随机的，按给定加密消息的长度是随机的，按64 bit分组时，分组时，最后一组消息长度可能不足最后一组消息长度可能不足64 bit。可以填充一可以填充一些数字，通常用最后些数字，通常用最后1字节作为填充指示符字节作为填充指示符（PI）。它所表示的十进制数字就是填充占有。它所表示的十进制数字就是填充占有的字节数。数据尾部、填充字符和填充指示符的字节数。数据尾部、填充字符和填充指示符一起作为一组进行加密。一起作为一组进行加密。数据填 充PI2023-2-1517密码分组链接

12、密码分组链接CBC模式模式mnCMECIVMECnnknk,2111加密：IVCDMMCCMCCMEDCCDknnnnnnnkknnk1111111解密：2023-2-1518CBC的错误传播的错误传播1.明文有一组中有错，会使以后的密文组都受影响，明文有一组中有错，会使以后的密文组都受影响，但经解密后的恢复结果，除原有误的一组外，其但经解密后的恢复结果，除原有误的一组外，其后各组明文都正确地恢复。后各组明文都正确地恢复。2.2.若在传送过程中，某组密文组若在传送过程中，某组密文组y yi i出错时，则该组出错时，则该组恢复的明文恢复的明文xxi i和下一组恢复数据和下一组恢复数据xxi+1i

13、+1出错。出错。再后面的组将不会受再后面的组将不会受y yi i中错误比特的影响。中错误比特的影响。2023-2-1519明文错1组，则以后密文都受影响，但不影响解密正确性，除当前错的1组。密文错1组，则只影响当前和下1组的解密正确性。2023-2-1520 典型应用典型应用:(1)数据加密数据加密;(2)完整性认证和身份认证完整性认证和身份认证;完整性认证的含义完整性认证的含义 完整性认证是一个完整性认证是一个“用户用户”检验它收到的文件是否遭到检验它收到的文件是否遭到第三方有意或无意的篡改。第三方有意或无意的篡改。因此，完整性认证：因此，完整性认证：不需检验文件的制造者是否造假；不需检验文

14、件的制造者是否造假；文件的制造者和检验者利益一致，不需互相欺骗和抵赖。文件的制造者和检验者利益一致，不需互相欺骗和抵赖。2023-2-1521 利用利用CBC模式可实现报文的完整性认证模式可实现报文的完整性认证 目的目的:检查文件在检查文件在(直接或加密直接或加密)传输和存储中是否遭到有传输和存储中是否遭到有意或无意的篡改意或无意的篡改.关键技术关键技术:(1)文件的制造者和检验者共享一个密钥文件的制造者和检验者共享一个密钥 (2)文件的明文必须具有检验者预先知道的冗余度文件的明文必须具有检验者预先知道的冗余度 (3)文件的制造者用共享密钥对具有约定冗余度的明文用文件的制造者用共享密钥对具有约

15、定冗余度的明文用CBC模式加密模式加密 (4)文件的检验者用共享密钥对密文解密文件的检验者用共享密钥对密文解密,并检验约定冗并检验约定冗余度是否正确余度是否正确.2023-2-1522报文完整性认证的具体实现技术报文完整性认证的具体实现技术n(1)文件的制造者和检验者共享一个密文件的制造者和检验者共享一个密钥；钥；n(2)文件的明文文件的明文m产生一个奇偶校验码产生一个奇偶校验码r的分组；的分组；n(3)采用分组密码的采用分组密码的CBC模式，对附带模式，对附带校验码的已扩充的明文校验码的已扩充的明文(m,r)进行加密，进行加密，得到的最后一个密文分组就是认证码；得到的最后一个密文分组就是认证

16、码；2023-2-15231(,)nmmmn分组分组明文明文 ,校验码为校验码为11nnrmmm)(xEk)(xEk)(xEk)(xEk)(xEk4c1c3c2c4m1m3m2m1nmr1nc)(xEknmnc(1)仅需对明文认证仅需对明文认证,而不需加密时而不需加密时,传送明文传送明文m和和认证码认证码Cn+1，此时也可仅保留此时也可仅保留Cn+1的的 t 个比特作为认证码；个比特作为认证码；(2)既需对明文认证既需对明文认证,又需要加密时又需要加密时,传送密文传送密文C和和认证码认证码Cn+12023-2-1524()kEx4m4c()kEx1m1c()kEx3m3c()kEx2m2c()

17、kEx1nm1nc11nnrmmm Step1 产生明文产生明文m的校验码的校验码 Step2 利用共享密钥使用利用共享密钥使用CBC模式对模式对(m,r)加密，将得到的最后一个密加密，将得到的最后一个密文分组与接受到的认证码文分组与接受到的认证码Cn+1比较，二者一致时判定接收的明文无错；比较，二者一致时判定接收的明文无错；二者不一致时判定明文出错。二者不一致时判定明文出错。（1）仅需对明文认证而不需加密时）仅需对明文认证而不需加密时,此时验证者仅收到此时验证者仅收到明文明文m和和认证码认证码Cn+1，他需要：，他需要：2023-2-1525 例：例：电脑彩票的防伪技术电脑彩票的防伪技术 -

18、彩票中心检查兑奖的电脑彩票是否是自己发行的彩票中心检查兑奖的电脑彩票是否是自己发行的 方法：方法：（1）选择一个分组密码算法和一个认证密钥，将他们存于售票机内；）选择一个分组密码算法和一个认证密钥，将他们存于售票机内；（2）将电脑彩票上的重要信息，如彩票期号、彩票号码、彩票股量、）将电脑彩票上的重要信息，如彩票期号、彩票号码、彩票股量、售票单位代号等重要信息按某个约定的规则作为彩票资料明文；售票单位代号等重要信息按某个约定的规则作为彩票资料明文；（3）对彩票资料明文扩展一个校验码分组后，利用认证密钥和分组密）对彩票资料明文扩展一个校验码分组后，利用认证密钥和分组密码算法对之加密，并将得到的最后

19、一个分组密文作为认证码打印于彩票上面；码算法对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面；认证过程：认证过程：执行（执行（3）,并将计算出的认证码与彩票上的认证码比较，二并将计算出的认证码与彩票上的认证码比较，二者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。2023-2-1526n若待加密消息需按字符、字节或比特处理时，若待加密消息需按字符、字节或比特处理时，可采用可采用CFB模式。并称待加密消息按模式。并称待加密消息按 j 比特处比特处理的理的CFB模式为模式为 j 比特比特CFB模式。模式。n 适用范围适用范围:n

20、适用于每次处理适用于每次处理 j比特明文块的特定需求比特明文块的特定需求的加密情形的加密情形,能灵活适应数据各格式的需要能灵活适应数据各格式的需要.n 例如例如,数据库加密要求加密时不能改变明数据库加密要求加密时不能改变明文的字节长度文的字节长度,这时就要以明文字节为单位进这时就要以明文字节为单位进行加密行加密.2023-2-1527模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密 传送短数据传送短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与前一密文组的异或一密文组的异或传送数据分传送

21、数据分组；认证组；认证密码反馈密码反馈(CFB)每次只处理输入的每次只处理输入的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有扰信道上传送数据流传送数据流利用利用CFB和和OFB可将分组密码变成流密码，可将分组密码变成流密码，实时性。实时性。2023-2-1528Ci

22、pher FeedBackDES未作未作用于明文！用于明文！2023-2-1529j-比特密码反馈比特密码反馈CFB模式模式n若待加密消息必须按字符若待加密消息必须按字符(如电传电报如电传电报)或按比特处或按比特处理时，可采用理时，可采用CFB模式模式。nCFB实际上是将加密算法实际上是将加密算法DES作为一个密钥流产作为一个密钥流产生器，当生器，当k1时就退化为前面讨论的流密码了。时就退化为前面讨论的流密码了。nCFB与与CBC的区别是的区别是反馈的密文长度为反馈的密文长度为j，且不是，且不是直接与明文相加，而是反馈至密钥产生器。直接与明文相加，而是反馈至密钥产生器。2023-2-15302

23、023-2-1531j-比特密码反馈比特密码反馈CFB模式模式nCFB的优点的优点n它特别适于用户数据格式的需要，不用填充。它特别适于用户数据格式的需要，不用填充。n能隐蔽明文数据图样，也能检测出对手对于密能隐蔽明文数据图样，也能检测出对手对于密文的篡改。文的篡改。nCFB的缺点的缺点n对信道错误较敏感，且会造成错误传播。对信道错误较敏感，且会造成错误传播。nCFB也需要一个初始矢量，并要和密钥同时进也需要一个初始矢量，并要和密钥同时进行更换。行更换。2023-2-1532模式模式描述描述用途用途电码本电码本(ECB)每个明文组独立的以同一密钥加密每个明文组独立的以同一密钥加密 传送短数据传送

24、短数据密码分组链接密码分组链接(CBC)加密算法的输入是当前明文组与前加密算法的输入是当前明文组与前一密文组的异或一密文组的异或传送数据分传送数据分组；认证组；认证密码反馈密码反馈(CFB)每次只处理输入的每次只处理输入的j比特，将上一比特，将上一次的密文用做加密算法的输入以产次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明生伪随机输出，该输出再与当前明文异或以产生当面密文文异或以产生当面密文传送数据流；传送数据流；认证认证输出反馈输出反馈(OFB)与与CFB类似，不同之处是本次加密类似，不同之处是本次加密算法的输入为前一次加密算法的输算法的输入为前一次加密算法的输出出有扰信道上有

25、扰信道上传送数据流传送数据流2023-2-1533Output FeedBack2023-2-1534n 优点：优点：（1）这是将分组密码当作序列密码使用的一种方式，）这是将分组密码当作序列密码使用的一种方式，但乱数与明文和密文无关！但乱数与明文和密文无关！（2）不具有错误传播特性！）不具有错误传播特性！只要密文在传输过程中不丢信号，即使信道不好，也只要密文在传输过程中不丢信号，即使信道不好，也能将明文的大部分信号正常恢复。能将明文的大部分信号正常恢复。n 适用范围：适用范围：（1）明文的冗余度特别大，信道不好但不易丢信号，）明文的冗余度特别大，信道不好但不易丢信号，明文错些信号也不影响效果的

26、情形。如图象加密，语明文错些信号也不影响效果的情形。如图象加密，语音加密等。音加密等。n 缺点：缺点：（1）不能实现报文的完整性认证。）不能实现报文的完整性认证。（2）乱数序列的周期可能有短周期现象。）乱数序列的周期可能有短周期现象。2023-2-1535OCB模式模式2023-2-1536比较和选用比较和选用nECB模式，简单、高速，但最弱、易受重发攻击，模式，简单、高速，但最弱、易受重发攻击，一般不推荐。一般不推荐。nCBC适用于文件加密，但较适用于文件加密，但较ECB慢。安全性加强。慢。安全性加强。当有少量错误时，也不会造成同步错误。当有少量错误时，也不会造成同步错误。nOFB和和CFB较较CBC慢许多。每次迭代只有少数慢许多。每次迭代只有少数bit完成加密。若可以容忍少量错误扩展，则可换来完成加密。若可以容忍少量错误扩展，则可换来恢复同步能力，此时用恢复同步能力，此时用CFB。在字符为单元的流在字符为单元的流密码中多选密码中多选CFB模式。模式。nOFB用于高速同步系统，不容忍差错传播。用于高速同步系统，不容忍差错传播。