第三章對(duì)稱密碼體制

1、1 第三章第三章 對(duì)稱密碼體制對(duì)稱密碼體制3.1 3.1 分組密碼原理分組密碼原理3.2 3.2 數(shù)據(jù)加密標(biāo)準(zhǔn)（數(shù)據(jù)加密標(biāo)準(zhǔn)（DESDES）3.3 3.3 高級(jí)加密標(biāo)準(zhǔn)高級(jí)加密標(biāo)準(zhǔn)(AES)(AES)3.4 3.4 分組密碼的工作模式分組密碼的工作模式23.1 3.1 分組密碼原理分組密碼原理對(duì)稱密碼體制根據(jù)對(duì)明文加密方式的不同分為對(duì)稱密碼體制根據(jù)對(duì)明文加密方式的不同分為分組密碼分組密碼和和流密碼流密碼。分組密碼：分組密碼：按一定長(zhǎng)度（如按一定長(zhǎng)度（如64bit64bit，128bit128bit）對(duì)）對(duì)明文進(jìn)行分組，然后以組為單位采用同樣的密明文進(jìn)行分組，然后以組為單位采用同樣的密鑰進(jìn)行加鑰

2、進(jìn)行加/ /解密；解密；流密碼：流密碼：不進(jìn)行分組，而是按位進(jìn)行加不進(jìn)行分組，而是按位進(jìn)行加/ /解密解密無記憶元件無記憶元件內(nèi)部記憶元件kkx1xmymy1y1x1分組密碼流密碼3 分組密碼對(duì)不同的組采用同樣的密鑰k進(jìn)行加/解密。設(shè)密文組為y=y1y2ym，則對(duì)明文組x=x1x2 xm用密鑰k加密可得到y(tǒng)=ek(x1)ek(x2) ek(xm)。 流密碼的基本思想是利用密鑰k產(chǎn)生一個(gè)密鑰流z=z0z1 ，并使用如下規(guī)則加密明文串x=x0 x1 x2 ，y=y0y1y2= ez0(x0)ez1(x1) ez2(x2) 。密鑰流由密鑰流發(fā)生器f產(chǎn)生。 分組密碼與流密碼的區(qū)別就在于記憶性。43.1

3、.1 3.1.1 分組密碼設(shè)計(jì)原理分組密碼設(shè)計(jì)原理 分組密碼是將明文消息分組密碼是將明文消息編碼表示后的數(shù)字編碼表示后的數(shù)字（簡(jiǎn)（簡(jiǎn)稱明文數(shù)字）序列稱明文數(shù)字）序列x0，x1， ，劃分成長(zhǎng)度為，劃分成長(zhǎng)度為n的組的組x=(x0,x1,xn-1)，每組分別在密鑰，每組分別在密鑰 k=(k0,k1,km-1)的控制下變換成等長(zhǎng)的輸出數(shù)字（簡(jiǎn)稱密文數(shù)字）的控制下變換成等長(zhǎng)的輸出數(shù)字（簡(jiǎn)稱密文數(shù)字）序列序列y=(y0,y1,yn-1) 。 5 分組密碼的算法應(yīng)滿足如下安全性和軟分組密碼的算法應(yīng)滿足如下安全性和軟/硬件實(shí)現(xiàn)的硬件實(shí)現(xiàn)的要求：要求：（1）分組長(zhǎng)度足夠大，防止明文被窮舉攻擊。如）分組長(zhǎng)度足夠

4、大，防止明文被窮舉攻擊。如n=64bit (DES) ，新的標(biāo)準(zhǔn)，新的標(biāo)準(zhǔn)n=128bit (AES) （2）密鑰空間足夠大，從而防止窮舉密鑰攻擊。同時(shí)，）密鑰空間足夠大，從而防止窮舉密鑰攻擊。同時(shí)，密鑰又不能太長(zhǎng)，以利于密鑰管理，密鑰又不能太長(zhǎng)，以利于密鑰管理，DES采用采用56bit有效密鑰，現(xiàn)在不夠長(zhǎng)，今后采用有效密鑰，現(xiàn)在不夠長(zhǎng)，今后采用128bit是足夠安是足夠安全的。全的。（3）由密鑰確定的算法要足夠復(fù)雜，充分實(shí)現(xiàn)明文與）由密鑰確定的算法要足夠復(fù)雜，充分實(shí)現(xiàn)明文與密文的擴(kuò)散和混淆，沒有簡(jiǎn)單的關(guān)系可循。密文的擴(kuò)散和混淆，沒有簡(jiǎn)單的關(guān)系可循。 （4）軟件實(shí)現(xiàn)的要求：盡量使用適合編程的子

5、塊和簡(jiǎn)）軟件實(shí)現(xiàn)的要求：盡量使用適合編程的子塊和簡(jiǎn)單的運(yùn)算單的運(yùn)算（5）硬件實(shí)現(xiàn)的要求：加密和解密應(yīng)具有相似性。）硬件實(shí)現(xiàn)的要求：加密和解密應(yīng)具有相似性。6兩個(gè)基本設(shè)計(jì)方法ShannonShannon稱之為理想密碼系統(tǒng)，稱之為理想密碼系統(tǒng)，密文的所有統(tǒng)計(jì)特性密文的所有統(tǒng)計(jì)特性都與所使用的密鑰獨(dú)立。都與所使用的密鑰獨(dú)立。 擴(kuò)散（擴(kuò)散（Diffusion):Diffusion):明文的統(tǒng)計(jì)結(jié)構(gòu)被擴(kuò)散消失到明文的統(tǒng)計(jì)結(jié)構(gòu)被擴(kuò)散消失到密文的統(tǒng)計(jì)特性中密文的統(tǒng)計(jì)特性中, ,使得明文和密文之間的統(tǒng)計(jì)關(guān)系使得明文和密文之間的統(tǒng)計(jì)關(guān)系盡量復(fù)雜。使得明文的每個(gè)比特影響到密文許多比特盡量復(fù)雜。使得明文的每個(gè)比特影

6、響到密文許多比特的取值，即每個(gè)密文比特被許多明文比特影響。的取值，即每個(gè)密文比特被許多明文比特影響。 混亂混亂(confusion)(confusion)：使得密文的統(tǒng)計(jì)特性與密鑰的：使得密文的統(tǒng)計(jì)特性與密鑰的取值之間的關(guān)系盡量復(fù)雜。取值之間的關(guān)系盡量復(fù)雜。擴(kuò)散和混淆的目的都是為了挫敗推出密鑰的嘗試，擴(kuò)散和混淆的目的都是為了挫敗推出密鑰的嘗試，從而從而抗統(tǒng)計(jì)分析抗統(tǒng)計(jì)分析。73.1.2 3.1.2 分組密碼的一般結(jié)構(gòu)分組密碼的一般結(jié)構(gòu)分組密碼的一般結(jié)構(gòu)可以分為兩種：分組密碼的一般結(jié)構(gòu)可以分為兩種：FeistelFeistel網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)和結(jié)構(gòu)和SPSP網(wǎng)絡(luò)結(jié)構(gòu)。網(wǎng)絡(luò)結(jié)構(gòu)。FeistelFeis

7、tel網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)FeistelFeistel網(wǎng)絡(luò)結(jié)構(gòu)如圖所示：網(wǎng)絡(luò)結(jié)構(gòu)如圖所示：DESDES采用的是采用的是FeistelFeistel網(wǎng)絡(luò)網(wǎng)絡(luò)結(jié)構(gòu)結(jié)構(gòu)加密: Li = Ri-1; Ri = Li-1F(Ri-1,Ki)解密: Ri-1 = Li，Li-1 = RiF(Ri-1,Ki)= RiF(Li,Ki)82. SP2. SP網(wǎng)絡(luò)結(jié)構(gòu)是分組密碼的另一種重要結(jié)構(gòu)，網(wǎng)絡(luò)結(jié)構(gòu)是分組密碼的另一種重要結(jié)構(gòu)，AESAES等重要算法采用的是此結(jié)構(gòu)。等重要算法采用的是此結(jié)構(gòu)。9DESDES（Data Encryption StandardData Encryption Standard）是迄今為止使

8、用最為廣泛的加）是迄今為止使用最為廣泛的加密算法。密算法。DESDES的產(chǎn)生的產(chǎn)生-i-i 1973 1973年年5 5月月1313日日, NBS(, NBS(美國(guó)國(guó)家標(biāo)準(zhǔn)局美國(guó)國(guó)家標(biāo)準(zhǔn)局) )開始公開征集標(biāo)準(zhǔn)加密算開始公開征集標(biāo)準(zhǔn)加密算法法, ,并公布了它的設(shè)計(jì)要求并公布了它的設(shè)計(jì)要求: :(1)(1)算法必須提供高度的安全性；算法必須提供高度的安全性；(2)(2)算法必須有詳細(xì)的說明算法必須有詳細(xì)的說明, ,并易于理解；并易于理解；(3)(3)算法的安全性取決于密鑰算法的安全性取決于密鑰, ,不依賴于算法；不依賴于算法；(4)(4)算法適用于所有用戶；算法適用于所有用戶；(5)(5)算法適

9、用于不同應(yīng)用場(chǎng)合；算法適用于不同應(yīng)用場(chǎng)合；(6)(6)算法必須高效、經(jīng)濟(jì)；算法必須高效、經(jīng)濟(jì)；(7)(7)算法必須能被證實(shí)有效；算法必須能被證實(shí)有效；(8)(8)算法必須是可出口的；算法必須是可出口的；3.2 3.2 數(shù)據(jù)加密標(biāo)準(zhǔn)（數(shù)據(jù)加密標(biāo)準(zhǔn)（DESDES）10DESDES的產(chǎn)生的產(chǎn)生-ii-ii 1974 1974年年8 8月月2727日日, NBS, NBS開始第二次征集開始第二次征集,IBM,IBM提交了算提交了算法法LUCIFERLUCIFER，該算法由，該算法由IBMIBM的工程師在的工程師在1971-19721971-1972年研年研制制 1975 1975年年3 3月月1717

10、日日, NBS, NBS公開了全部細(xì)節(jié)公開了全部細(xì)節(jié) 1976 1976年年,NBS,NBS指派了兩個(gè)小組進(jìn)行評(píng)價(jià)指派了兩個(gè)小組進(jìn)行評(píng)價(jià) 1976 1976年年1111月月2323日，采納為聯(lián)邦標(biāo)準(zhǔn)，批準(zhǔn)用于非軍日，采納為聯(lián)邦標(biāo)準(zhǔn)，批準(zhǔn)用于非軍事場(chǎng)合的各種政府機(jī)構(gòu)事場(chǎng)合的各種政府機(jī)構(gòu) 1977 1977年年1 1月月1515日日, ,被正式批準(zhǔn)為美國(guó)聯(lián)邦信息處理標(biāo)被正式批準(zhǔn)為美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)，即準(zhǔn)，即FIPS PUB 46FIPS PUB 46，同年，同年7 7月月1515日開始生效。日開始生效。11DES的應(yīng)用 1979 1979年，美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用年，美國(guó)銀行協(xié)會(huì)批準(zhǔn)使用 1980

11、 1980年，美國(guó)國(guó)家標(biāo)準(zhǔn)局贊同年，美國(guó)國(guó)家標(biāo)準(zhǔn)局贊同DESDES作為私人使用的標(biāo)作為私人使用的標(biāo)準(zhǔn)準(zhǔn), ,稱之為稱之為DEADEA（ANSI X.392ANSI X.392） 19831983年，國(guó)際化標(biāo)準(zhǔn)組織年，國(guó)際化標(biāo)準(zhǔn)組織ISOISO贊同贊同DESDES作為國(guó)際標(biāo)準(zhǔn)，作為國(guó)際標(biāo)準(zhǔn)，稱之為稱之為DEA-1DEA-1 該標(biāo)準(zhǔn)規(guī)定每五年審查一次，計(jì)劃十年后采用新標(biāo)準(zhǔn)該標(biāo)準(zhǔn)規(guī)定每五年審查一次，計(jì)劃十年后采用新標(biāo)準(zhǔn) 最近的一次評(píng)估是在最近的一次評(píng)估是在19941994年年1 1月，已決定月，已決定19981998年年1212月月以后，以后，DESDES將不再作為聯(lián)邦加密標(biāo)準(zhǔn)。將不再作為聯(lián)邦加密標(biāo)

12、準(zhǔn)。新的美國(guó)聯(lián)邦加密標(biāo)準(zhǔn)稱為高級(jí)加密標(biāo)準(zhǔn)新的美國(guó)聯(lián)邦加密標(biāo)準(zhǔn)稱為高級(jí)加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard)AES(Advanced Encryption Standard)123.2.1 DES描述描述DES是采用將明文按是采用將明文按64bit分組，密鑰長(zhǎng)度為分組，密鑰長(zhǎng)度為64bit,其中每其中每8位有一位奇偶校驗(yàn)位，實(shí)際密鑰的有效長(zhǎng)位有一位奇偶校驗(yàn)位，實(shí)際密鑰的有效長(zhǎng)度為度為56bit,DES算法是公開的，其安全性依賴于密算法是公開的，其安全性依賴于密鑰的保密程度。鑰的保密程度。DES結(jié)構(gòu)框圖如圖：結(jié)構(gòu)框圖如圖：13141.1.初始置換初始置換IPIP

13、和初始逆置換和初始逆置換IPIP11152. 迭代變換迭代變換16 迭代變換是迭代變換是DESDES算法的核心部分，每算法的核心部分，每輪開始時(shí)將輸入的輪開始時(shí)將輸入的64bit64bit數(shù)據(jù)分成左、右數(shù)據(jù)分成左、右長(zhǎng)度相等的兩部分，右半部分原封不動(dòng)地長(zhǎng)度相等的兩部分，右半部分原封不動(dòng)地作為本輪輸出的作為本輪輸出的64bit64bit數(shù)據(jù)的左半部分，數(shù)據(jù)的左半部分，同時(shí)對(duì)右半部分進(jìn)行一系列的變換，即用同時(shí)對(duì)右半部分進(jìn)行一系列的變換，即用輪函數(shù)輪函數(shù)F F作用右半部分，然后將所得結(jié)果作用右半部分，然后將所得結(jié)果與輸入數(shù)據(jù)的左半部分進(jìn)行逐位異或，最與輸入數(shù)據(jù)的左半部分進(jìn)行逐位異或，最后將所得數(shù)據(jù)作

14、為本輪輸出的后將所得數(shù)據(jù)作為本輪輸出的64bit64bit數(shù)據(jù)數(shù)據(jù)的右半部分。的右半部分。 輪函數(shù)輪函數(shù)F F由選擇擴(kuò)展運(yùn)算由選擇擴(kuò)展運(yùn)算E E、與子密鑰、與子密鑰的異或運(yùn)算、選擇壓縮運(yùn)算的異或運(yùn)算、選擇壓縮運(yùn)算S S和置換和置換P P組成。組成。1718(1) (1) 選擇擴(kuò)展運(yùn)算選擇擴(kuò)展運(yùn)算將輸入的將輸入的32bit數(shù)據(jù)擴(kuò)展為數(shù)據(jù)擴(kuò)展為48bit的輸出數(shù)據(jù)，變換表如的輸出數(shù)據(jù)，變換表如下：下：可以看出可以看出1、4、5、8、9、12、13、16、17、20、21、24、25、28、29、32這這16個(gè)位置上的數(shù)據(jù)被讀了兩次。個(gè)位置上的數(shù)據(jù)被讀了兩次。19（2 2）與子密鑰的異或運(yùn)算）與子密

15、鑰的異或運(yùn)算與子密鑰的異或運(yùn)算：將選擇擴(kuò)展運(yùn)算的與子密鑰的異或運(yùn)算：將選擇擴(kuò)展運(yùn)算的48 48 bitbit數(shù)據(jù)與子密鑰數(shù)據(jù)與子密鑰Ki(48 bit)Ki(48 bit)進(jìn)行異或運(yùn)算。進(jìn)行異或運(yùn)算。（后面詳述）（后面詳述）20（3）選擇壓縮運(yùn)算）選擇壓縮運(yùn)算將輸入的將輸入的48bit數(shù)據(jù)從左至右分成數(shù)據(jù)從左至右分成8組，每組組，每組6bit。然后輸入。然后輸入8個(gè)個(gè)S盒，每個(gè)盒，每個(gè)S盒為一非線性代換，有盒為一非線性代換，有4bit輸出，如圖所示：輸出，如圖所示：212223S-Box 對(duì)每個(gè)盒，對(duì)每個(gè)盒，6 6比特輸入中的第比特輸入中的第1 1和第和第6 6比特組成比特組成的二進(jìn)制數(shù)確定的

16、行，中間的二進(jìn)制數(shù)確定的行，中間4 4位二進(jìn)制數(shù)用來位二進(jìn)制數(shù)用來確定的列。相應(yīng)行、列位置的十進(jìn)制數(shù)的確定的列。相應(yīng)行、列位置的十進(jìn)制數(shù)的4 4位位二進(jìn)制數(shù)表示作為輸出。例如的輸入為二進(jìn)制數(shù)表示作為輸出。例如的輸入為101001101001，則行數(shù)和列數(shù)的二進(jìn)制表示分別是則行數(shù)和列數(shù)的二進(jìn)制表示分別是1111和和01000100，即表中即表中3 3行和表中行和表中4 4列，表中列，表中3 3行和表中行和表中4 4列的十列的十進(jìn)制數(shù)為進(jìn)制數(shù)為3 3，用，用4 4位二進(jìn)制數(shù)表示為位二進(jìn)制數(shù)表示為00110011，所以，所以的輸出為的輸出為00110011。24（4）置換）置換P2526273.2.

17、2 DES問題討論1.S盒的安全問題有人認(rèn)為有人認(rèn)為s s盒可能存在陷門，但至今沒有跡象表明盒可能存在陷門，但至今沒有跡象表明s s盒盒中存在陷門。中存在陷門。2.密鑰長(zhǎng)度 關(guān)于關(guān)于DES算法的另一個(gè)最有爭(zhēng)議的問題就是擔(dān)心實(shí)際算法的另一個(gè)最有爭(zhēng)議的問題就是擔(dān)心實(shí)際56比特的密鑰長(zhǎng)度不足以抵御窮舉式攻擊，因?yàn)槊荑€量比特的密鑰長(zhǎng)度不足以抵御窮舉式攻擊，因?yàn)槊荑€量只有只有2 2565610101717個(gè)。個(gè)。 早在早在1977年，年，Diffie和和Hellman已建議制造一個(gè)每秒能已建議制造一個(gè)每秒能測(cè)試測(cè)試100萬個(gè)密鑰的萬個(gè)密鑰的VLSI芯片。每秒測(cè)試芯片。每秒測(cè)試100萬個(gè)密鑰萬個(gè)密鑰的機(jī)器

18、大約需要一天就可以搜索整個(gè)密鑰空間。他們估的機(jī)器大約需要一天就可以搜索整個(gè)密鑰空間。他們估計(jì)制造這樣的機(jī)器大約需要計(jì)制造這樣的機(jī)器大約需要2000萬美元。萬美元。28 在CRYPTO93上，Session和Wiener給出了一個(gè)非常詳細(xì)的密鑰搜索機(jī)器的設(shè)計(jì)方案，這個(gè)機(jī)器基于并行運(yùn)算的密鑰搜索芯片，16次加密能同時(shí)完成。此芯片每秒能測(cè)試5000萬個(gè)密鑰，用5760個(gè)芯片組成的系統(tǒng)需要花費(fèi)10萬美元，它平均用1.5天左右就可找到DES密鑰。 1997年1月28日，美國(guó)的RSA數(shù)據(jù)安全公司在RSA安全年會(huì)上公布了一項(xiàng)“秘密密鑰挑戰(zhàn)”競(jìng)賽，其中包括懸賞1萬美元破譯密鑰長(zhǎng)度為56比特的DES。美國(guó)克羅拉

19、多洲的程序員Verser從1997年2月18日起，用了96天時(shí)間，在Internet上數(shù)萬名志愿者的協(xié)同工作下，成功地找到了DES的密鑰，贏得了懸賞的1萬美元。29 1998年7月電子前沿基金會(huì)（EFF）使用一臺(tái)25萬美元的電腦在56小時(shí)內(nèi)破譯了56比特密鑰的DES。 1999年1月RSA數(shù)據(jù)安全會(huì)議期間，電子前沿基金會(huì)用22小時(shí)15分鐘就宣告破解了一個(gè)DES的密鑰。301.兩重兩重DES3.2.3 DES的變形的變形雙重DES密鑰長(zhǎng)度為112bit,密碼強(qiáng)度似乎增強(qiáng)了一倍，但問題并非如此。雙重DES易受中途攻擊C=EK2(EK1(P)P=DK1(DK2(C)312.三重三重DES（以被廣泛采

20、用）（以被廣泛采用）優(yōu)點(diǎn)：優(yōu)點(diǎn)：能對(duì)付中途攻擊能對(duì)付中途攻擊。密鑰長(zhǎng)度為。密鑰長(zhǎng)度為168bit 32AES背景-i 1997年4月15日，（美國(guó)）國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（ NIST ） 發(fā)起征集高級(jí)加密標(biāo)準(zhǔn)（ Advanced Encryption Standard）AES的活動(dòng)，活動(dòng)目的是確定一個(gè)非保密的、可以公開技術(shù)細(xì)節(jié)的、全球免費(fèi)使用的分組密碼算法，作為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。 1997年9月12日，美國(guó)聯(lián)邦登記處公布了正式征集AES候選算法的通告。作為進(jìn)入AES候選過程的一個(gè)條件，開發(fā)者承諾放棄被選中算法的知識(shí)產(chǎn)權(quán)。對(duì)AES的基本要求是：比三重DES快、至少與三重DES一樣安全、數(shù)據(jù)分組長(zhǎng)度為

21、128比特、密鑰長(zhǎng)度為128/192/256比特。3.3 高級(jí)加密標(biāo)準(zhǔn)高級(jí)加密標(biāo)準(zhǔn)AES33AES背景-ii 1998年8月12日，在首屆AES會(huì)議上指定了15個(gè)候選算法。 1999年3月22日第二次AES會(huì)議上，將候選名單減少為5 個(gè)， 這5 個(gè)算法是RC6 ， Rijndael ，SERPENT，Twofish和MARS。 2000年4月13日，第三次AES會(huì)議上，對(duì)這5個(gè)候選算法的各種分析結(jié)果進(jìn)行了討論。 2000年10月2日，NIST宣布了獲勝者Rijndael算法， 2001 年11 月出版了最終標(biāo)準(zhǔn)FIPSPUB197。34Rijndael簡(jiǎn)介 不屬于Feistel結(jié)構(gòu) 加密、解密

22、相似但不對(duì)稱 支持128/32=Nb數(shù)據(jù)塊大小 支持128/192/256(/32=Nk)密鑰長(zhǎng)度 有較好的數(shù)學(xué)理論作為基礎(chǔ) 結(jié)構(gòu)簡(jiǎn)單、速度快35 輪數(shù)輪數(shù)r與與Nb和和Nk r Nb=4 Nb=6Nb=8 Nk=4 10 12 14 Nk=6 12 12 14 Nk=8 14 14 14AES參數(shù)參數(shù)36SP網(wǎng)絡(luò)結(jié)構(gòu)在這種密碼的每一輪中，輪輸入首先被一個(gè)由子密鑰控制的可逆函數(shù)S作用，然后再對(duì)所得結(jié)果用置換（或可逆線性變換）P作用。S和P分別被稱為混亂層和擴(kuò)散層，主要起混亂和擴(kuò)散作用。37AES算法結(jié)構(gòu)-i AES算法的輪變換中沒有Feistel結(jié)構(gòu)，輪變換是由三個(gè)不同的可逆一致變換組成，稱之

23、為層， 線性混合層：確保多輪之上的高度擴(kuò)散。 非線性層：具有最優(yōu)最差-情形非線性性的S-盒的并行應(yīng)用。 密鑰加層：輪密鑰簡(jiǎn)單地異或到中間狀態(tài)上。38AES算法結(jié)構(gòu)-ii3940電子密碼本電子密碼本 ECB (electronic codebook mode)ECB (electronic codebook mode)密碼分組鏈接密碼分組鏈接 CBC (cipher block chaining)CBC (cipher block chaining)密碼反饋密碼反饋 CFB (cipher feedback)CFB (cipher feedback)輸出反饋輸出反饋 OFB (output fe

24、edback)OFB (output feedback)3.4 3.4 分組密碼的工作模式分組密碼的工作模式分組密碼在加密時(shí)明文的長(zhǎng)度是固定的。而實(shí)用中待加密消息分組密碼在加密時(shí)明文的長(zhǎng)度是固定的。而實(shí)用中待加密消息的數(shù)據(jù)量是不定的，數(shù)據(jù)格式也可能是多種多樣的，為了能在的數(shù)據(jù)量是不定的，數(shù)據(jù)格式也可能是多種多樣的，為了能在各種應(yīng)用場(chǎng)合安全地使用分組密碼，通常對(duì)不同的使用目的運(yùn)各種應(yīng)用場(chǎng)合安全地使用分組密碼，通常對(duì)不同的使用目的運(yùn)用不同的工作模式。用不同的工作模式。分組密碼的工作模式：就是以該分組密碼為基礎(chǔ)構(gòu)造分組密碼的工作模式：就是以該分組密碼為基礎(chǔ)構(gòu)造的一個(gè)密碼系統(tǒng)。的一個(gè)密碼系統(tǒng)。41iK

25、iiKiC = E (P) P = D(C) 電子密碼本電子密碼本ECB3.4.1 電碼本模式（電碼本模式（ECB)42ECB的特點(diǎn)的特點(diǎn)ECBECB用于短數(shù)據(jù)（如加密密鑰）是非常理想，長(zhǎng)消息不夠安全用于短數(shù)據(jù)（如加密密鑰）是非常理想，長(zhǎng)消息不夠安全簡(jiǎn)單、有效簡(jiǎn)單、有效可以并行實(shí)現(xiàn)可以并行實(shí)現(xiàn)不能隱藏明文的模式信息不能隱藏明文的模式信息 相同明文相同明文生成生成相同密文，相同密文，同樣信息多次出現(xiàn)造成泄漏同樣信息多次出現(xiàn)造成泄漏對(duì)明文的主動(dòng)攻擊是可能的對(duì)明文的主動(dòng)攻擊是可能的 信息塊可被替換、重排、刪除、重放信息塊可被替換、重排、刪除、重放誤差傳遞：密文塊損壞誤差傳遞：密文塊損壞僅僅對(duì)應(yīng)明文塊

26、損壞對(duì)應(yīng)明文塊損壞適合于傳輸短信息適合于傳輸短信息43密碼分組鏈接密碼分組鏈接CBCiKii-1iKii-1C = E (PC ) P = D (C ) C3.4.2 密碼分組鏈接模式（密碼分組鏈接模式（CBC)44CBC的特點(diǎn)的特點(diǎn)沒有已知的并行實(shí)現(xiàn)算法沒有已知的并行實(shí)現(xiàn)算法能隱藏明文的模式信息能隱藏明文的模式信息 需要共同的初始化向量需要共同的初始化向量IVIV， IVIV應(yīng)像密鑰一樣被保護(hù)，對(duì)于應(yīng)像密鑰一樣被保護(hù)，對(duì)于收發(fā)雙方都應(yīng)是已知的。收發(fā)雙方都應(yīng)是已知的。 相同明文相同明文生成生成不同密文不同密文 初始化向量初始化向量IVIV可以用來改變第一組的明文分布模式可以用來改變第一組的明文

27、分布模式對(duì)明文的主動(dòng)攻擊是不容易的對(duì)明文的主動(dòng)攻擊是不容易的 信息塊不容易被替換、重排、刪除、重放信息塊不容易被替換、重排、刪除、重放 誤差傳遞：密文塊損壞誤差傳遞：密文塊損壞兩兩明文明文塊塊損壞損壞安全性好于安全性好于ECBECB適合于傳輸長(zhǎng)度大于適合于傳輸長(zhǎng)度大于6464位的報(bào)文，還可以進(jìn)行用戶鑒別位的報(bào)文，還可以進(jìn)行用戶鑒別, ,是是大多系統(tǒng)的標(biāo)準(zhǔn)如大多系統(tǒng)的標(biāo)準(zhǔn)如 SSLSSL、IPSecIPSecCBCCBC模式除了能夠獲得保密性外，還能用于認(rèn)證。模式除了能夠獲得保密性外，還能用于認(rèn)證。45密碼反饋密碼反饋CFB CFB:CFB:若待加密的消息按字符處理時(shí)，可采用若待加密的消息按字符

28、處理時(shí)，可采用CFBCFB或或OFBOFB模式。實(shí)際上將模式。實(shí)際上將DESDES轉(zhuǎn)換為流密碼。轉(zhuǎn)換為流密碼。流密碼不需要對(duì)消息進(jìn)行填充，而且運(yùn)行是流密碼不需要對(duì)消息進(jìn)行填充，而且運(yùn)行是實(shí)時(shí)的。實(shí)時(shí)的。假定：假定：Si Si 為移位寄存器為移位寄存器, ,傳輸單位為傳輸單位為jbitbit 加密加密: C: Ci i =P =Pi i ( (E EK K(S(Si i) )的高的高j j位位) ) 解密解密: P: Pi i=C=Ci i ( (E EK K(S(Si i) )的高的高j j位位) ) S Si+1i+1=(S=(Si ij)|Cj)|Ci i3.4.3 密碼反饋模式（密碼反饋模式（CFB)46密碼反饋密碼反饋