第9次课-分组密码-运行模式课件

第三章分组密码一、分组密码概述二、DES三、分组密码运行模式四、IDEA五、AES六、分组密码的分析2022/12/191第三章分组密码一、分组密码概述2022/12/181三、分组码的运行模式2022/12/192三、分组码的运行模式2022/12/182

DES算法只解决了如何对一个64比特的明文分组进行加密保护的问题,对于比特数不等于64的明文如何加密,并不关心。这个问题,就由分组密码的工作模式解决。2022/12/193DES算法只解决了如何对一个64比特的明文分组进行加密保护

主要工作模式

即使有了安全的分组密码算法，也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等，以提高整体的安全性，降低删除、重放、插入和伪造成功的机会。电码本(ECB)模式密码分组链接(CBC)模式密码反馈(CFB)模式输出反馈(OFB)模式

分组密码的“工作模式”是指以某个分组密码算法为基础,解决对任意长度的明文的加密问题的方法。这几种工作模式适用于不同的应用需求.2022/12/194主要工作模式模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传送短数据密码分组链接(CBC)加密算法的输入是当前明文组与前一密文组的异或传送数据分组；认证密码反馈(CFB)每次只处理输入的j比特，将上一次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明文异或以产生当面密文传送数据流；认证输出反馈(OFB)与CFB类似，不同之处是本次加密算法的输入为前一次加密算法的输出有扰信道上传送数据流2022/12/195模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传ElectronicCodeBook2022/12/196ElectronicCodeBook2022/12/186电码本ECB模式直接利用加密算法分别对分组数据组加密。在给定的密钥下同一明文组总产生同样的密文组。这会暴露明文数据的格式和统计特征。

明文数据都有固定的格式，需要以协议的形式定义，重要的数据常常在同一位置上出现，使密码分析者可以对其进行统计分析、重传和代换攻击。xykDESyxkDES-1缺陷ElectronicCodeBook2022/12/197电码本ECB模式直接利用加密算法分别对分组数据组加密。xyk优点：(1)实现简单;(2)不同明文分组的加密可并行实施,尤其是硬件实现时速度很快.

典型应用：（1）用于随机数的加密保护；（2）用于单分组明文的加密。2022/12/198优点：典型应用：（1）用于随机数的加密保护；202

例:假设银行A和银行B之间的资金转帐系统所使用报文模式如下：

敌手C通过截收从A到B的加密消息，只要将第5至第12分组替换为自己的姓名和帐号相对应的密文，即可将别人的存款存入自己的帐号。2022/12/199例:假设银行A和银行B之间的资金转帐系统所使用报文模式为了克服ECB的安全性缺陷，我们希望设计一个工作模式,可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。2022/12/1910为了克服ECB的安全性缺陷，我们希望设计一个工作模式,可以使模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传送短数据密码分组链接(CBC)加密算法的输入是当前明文组与前一密文组的异或传送数据分组；认证密码反馈(CFB)每次只处理输入的j比特，将上一次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明文异或以产生当面密文传送数据流；认证输出反馈(OFB)与CFB类似，不同之处是本次加密算法的输入为前一次加密算法的输出有扰信道上传送数据流为了让重复的明文分组产生不同的密文分组！2022/12/1911模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传密码分组链接CBC模式Cipherblockchaining上一个分组的密文2022/12/1912密码分组链接CBC模式Cipherblockchaini密码分组链接CBC模式每个明文组xi加密之前，先与反馈至输入端的前一组密文yi-1按位模2求和后，再送至加密算法加密。各密文组yi不仅与当前明文组xi有关，而且通过反馈作用还与以前的明文组x1,x2,…,xi-1，有关。从而使明文的统计规律在密文中得到了较好的隐蔽。Cipherblockchaining2022/12/1913密码分组链接CBC模式每个明文组xi加密之前，先与反馈至输入2022/12/19142022/12/1814初始矢量IV初始矢量IV(InitialVector)：第一组明文xi加密时尚无反馈密文，为此需要在寄存器中预先置入一个。收发双方必须选用同一个IV。可为每个消息选择不同的IV，那么即使两个消息使用相同的密钥，也将有不同的密文。在CBC模式下，最好是每发一个消息，都改变IV，比如将其值加一。同时，IV的安全性问题。使用ECB加密模式。2022/12/1915初始矢量IV初始矢量IV(InitialVector)：填充(Padding)

给定加密消息的长度是随机的，按64bit分组时，最后一组消息长度可能不足64bit。可以填充一些数字，通常用最后1字节作为填充指示符（PI）。它所表示的十进制数字就是填充占有的字节数。数据尾部、填充字符和填充指示符一起作为一组进行加密。

数据填充PI2022/12/1916填充(Padding)给定加密消息的长度是随机的，按密码分组链接CBC模式2022/12/1917密码分组链接CBC模式2022/12/1817CBC的错误传播1.明文有一组中有错，会使以后的密文组都受影响，但经解密后的恢复结果，除原有误的一组外，其后各组明文都正确地恢复。2.若在传送过程中，某组密文组yi出错时，则该组恢复的明文x’i和下一组恢复数据x’i+1出错。再后面的组将不会受yi中错误比特的影响。2022/12/1918CBC的错误传播2022/12/1818明文错1组，则以后密文都受影响，但不影响解密正确性，除当前错的1组。密文错1组，则只影响当前和下1组的解密正确性。2022/12/1919明文错1组，则以后密文都受影响，但不影响解密正确性，除当前错典型应用:(1)数据加密;(2)完整性认证和身份认证;完整性认证的含义

完整性认证是一个“用户”检验它收到的文件是否遭到第三方有意或无意的篡改。因此，完整性认证：

不需检验文件的制造者是否造假；文件的制造者和检验者利益一致，不需互相欺骗和抵赖。2022/12/1920典型应用:完整性认证的含义20

利用CBC模式可实现报文的完整性认证目的:检查文件在(直接或加密)传输和存储中是否遭到有意或无意的篡改.

关键技术:

(1)文件的制造者和检验者共享一个密钥(2)文件的明文必须具有检验者预先知道的冗余度(3)文件的制造者用共享密钥对具有约定冗余度的明文用CBC模式加密(4)文件的检验者用共享密钥对密文解密,并检验约定冗余度是否正确.

2022/12/1921利用CBC模式可实现报文的完整性认证报文完整性认证的具体实现技术(1)文件的制造者和检验者共享一个密钥；(2)文件的明文m产生一个奇偶校验码r的分组；(3)采用分组密码的CBC模式，对附带校验码的已扩充的明文(m,r)进行加密，得到的最后一个密文分组就是认证码；2022/12/1922报文完整性认证的具体实现技术(1)文件的制造者和检验者共享n分组明文,校验码为………)(xEk)(xEk(1)仅需对明文认证,而不需加密时,传送明文m和认证码Cn+1，

此时也可仅保留Cn+1的t个比特作为认证码；(2)既需对明文认证,又需要加密时,传送密文C和认证码Cn+12022/12/1923n分组明文,………

Step1产生明文m的校验码

Step2利用共享密钥使用CBC模式对(m,r)加密，将得到的最后一个密文分组与接受到的认证码Cn+1比较，二者一致时判定接收的明文无错；二者不一致时判定明文出错。

检验方法：

（1）仅需对明文认证而不需加密时,此时验证者仅收到明文m和认证码Cn+1，他需要：2022/12/1924………Step1产生明文m的校验码Step2

例：

电脑彩票的防伪技术

----彩票中心检查兑奖的电脑彩票是否是自己发行的

问题：如何防止电脑彩票的伪造问题。

方法：

（1）选择一个分组密码算法和一个认证密钥，将他们存于售票机内；（2）将电脑彩票上的重要信息，如彩票期号、彩票号码、彩票股量、售票单位代号等重要信息按某个约定的规则作为彩票资料明文；（3）对彩票资料明文扩展一个校验码分组后，利用认证密钥和分组密码算法对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面；

认证过程：

执行（3）,并将计算出的认证码与彩票上的认证码比较，二者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。2022/12/1925例：电脑彩票的防伪技术

----密码反馈(CFB-CipherFeedback)模式

若待加密消息需按字符、字节或比特处理时，可采用CFB模式。并称待加密消息按j比特处理的CFB模式为j比特CFB模式。适用范围:适用于每次处理j比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要.例如,数据库加密要求加密时不能改变明文的字节长度,这时就要以明文字节为单位进行加密.2022/12/1926密码反馈(CFB-CipherFeedback)模式

若待模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传送短数据密码分组链接(CBC)加密算法的输入是当前明文组与前一密文组的异或传送数据分组；认证密码反馈(CFB)每次只处理输入的j比特，将上一次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明文异或以产生当面密文传送数据流；认证输出反馈(OFB)与CFB类似，不同之处是本次加密算法的输入为前一次加密算法的输出有扰信道上传送数据流利用CFB和OFB可将分组密码变成流密码，实时性。2022/12/1927模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传CipherFeedBackDES未作用于明文！2022/12/1928CipherFeedBackDES未作用于明文！2022/j-比特密码反馈CFB模式若待加密消息必须按字符(如电传电报)或按比特处理时，可采用CFB模式。CFB实际上是将加密算法DES作为一个密钥流产生器，当k＝1时就退化为前面讨论的流密码了。CFB与CBC的区别是反馈的密文长度为j，且不是直接与明文相加，而是反馈至密钥产生器。2022/12/1929j-比特密码反馈CFB模式若待加密消息必须按字符(如电传电报密文反馈模式的解密2022/12/1930密文反馈模式的解密2022/12/1830j-比特密码反馈CFB模式CFB的优点它特别适于用户数据格式的需要，不用填充。能隐蔽明文数据图样，也能检测出对手对于密文的篡改。CFB的缺点对信道错误较敏感，且会造成错误传播。CFB也需要一个初始矢量，并要和密钥同时进行更换。2022/12/1931j-比特密码反馈CFB模式CFB的优点2022/12/183模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传送短数据密码分组链接(CBC)加密算法的输入是当前明文组与前一密文组的异或传送数据分组；认证密码反馈(CFB)每次只处理输入的j比特，将上一次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明文异或以产生当面密文传送数据流；认证输出反馈(OFB)与CFB类似，不同之处是本次加密算法的输入为前一次加密算法的输出有扰信道上传送数据流2022/12/1932模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传OutputFeedBack2022/12/1933OutputFeedBack2022/12/1833

优点：（1）这是将分组密码当作序列密码使用的一种方式，但乱数与明文和密文无关！（2）不具有错误传播特性！只要密文在传输过程中不丢信号，即使信道不好，也能将明文的大部分信号正常恢复。适用范围：（1）明文的冗余度特别大，信道不好但不易丢信号，明文错些信号也不影响效果的情形。如图象加密，语音加密等。缺点：（1）不能实现报文的完整性认证。（2）乱数序列的周期可能有短周期现象。2022/12/1934优点：2022/12/1834OCB模式2022/12/1935OCB模式2022/12/1835比较和选用ECB模式，简单、高速，但最弱、易受重发攻击，一般不推荐。CBC适用于文件加密，但较ECB慢。安全性加强。当有少量错误时，也不会造成同步错误。OFB和CFB较CBC慢许多。每次迭代只有少数bit完成加密。若可以容忍少量错误扩展，则可换来恢复同步能力，此时用CFB。在字符为单元的流密码中多选CFB模式。OFB用于高速同步系统，不容忍差错传播。2022/12/1936比较和选用ECB模式，简单、高速，但最弱、易受重发攻击，一般第三章分组密码一、分组密码概述二、DES三、分组密码运行模式四、IDEA五、AES六、分组密码的分析2022/12/1937第三章分组密码一、分组密码概述2022/12/181三、分组码的运行模式2022/12/1938三、分组码的运行模式2022/12/182

DES算法只解决了如何对一个64比特的明文分组进行加密保护的问题,对于比特数不等于64的明文如何加密,并不关心。这个问题,就由分组密码的工作模式解决。2022/12/1939DES算法只解决了如何对一个64比特的明文分组进行加密保护

主要工作模式

即使有了安全的分组密码算法，也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等，以提高整体的安全性，降低删除、重放、插入和伪造成功的机会。电码本(ECB)模式密码分组链接(CBC)模式密码反馈(CFB)模式输出反馈(OFB)模式

分组密码的“工作模式”是指以某个分组密码算法为基础,解决对任意长度的明文的加密问题的方法。这几种工作模式适用于不同的应用需求.2022/12/1940主要工作模式模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传送短数据密码分组链接(CBC)加密算法的输入是当前明文组与前一密文组的异或传送数据分组；认证密码反馈(CFB)每次只处理输入的j比特，将上一次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明文异或以产生当面密文传送数据流；认证输出反馈(OFB)与CFB类似，不同之处是本次加密算法的输入为前一次加密算法的输出有扰信道上传送数据流2022/12/1941模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传ElectronicCodeBook2022/12/1942ElectronicCodeBook2022/12/186电码本ECB模式直接利用加密算法分别对分组数据组加密。在给定的密钥下同一明文组总产生同样的密文组。这会暴露明文数据的格式和统计特征。

明文数据都有固定的格式，需要以协议的形式定义，重要的数据常常在同一位置上出现，使密码分析者可以对其进行统计分析、重传和代换攻击。xykDESyxkDES-1缺陷ElectronicCodeBook2022/12/1943电码本ECB模式直接利用加密算法分别对分组数据组加密。xyk优点：(1)实现简单;(2)不同明文分组的加密可并行实施,尤其是硬件实现时速度很快.

典型应用：（1）用于随机数的加密保护；（2）用于单分组明文的加密。2022/12/1944优点：典型应用：（1）用于随机数的加密保护；202

例:假设银行A和银行B之间的资金转帐系统所使用报文模式如下：

敌手C通过截收从A到B的加密消息，只要将第5至第12分组替换为自己的姓名和帐号相对应的密文，即可将别人的存款存入自己的帐号。2022/12/1945例:假设银行A和银行B之间的资金转帐系统所使用报文模式为了克服ECB的安全性缺陷，我们希望设计一个工作模式,可以使得当同一个明文分组重复出现时产生不同的密文分组。一个简单的方法是密码分组链接，从而使输出不仅与当前输入有关，而且与以前输入和输出有关。2022/12/1946为了克服ECB的安全性缺陷，我们希望设计一个工作模式,可以使模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传送短数据密码分组链接(CBC)加密算法的输入是当前明文组与前一密文组的异或传送数据分组；认证密码反馈(CFB)每次只处理输入的j比特，将上一次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明文异或以产生当面密文传送数据流；认证输出反馈(OFB)与CFB类似，不同之处是本次加密算法的输入为前一次加密算法的输出有扰信道上传送数据流为了让重复的明文分组产生不同的密文分组！2022/12/1947模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传密码分组链接CBC模式Cipherblockchaining上一个分组的密文2022/12/1948密码分组链接CBC模式Cipherblockchaini密码分组链接CBC模式每个明文组xi加密之前，先与反馈至输入端的前一组密文yi-1按位模2求和后，再送至加密算法加密。各密文组yi不仅与当前明文组xi有关，而且通过反馈作用还与以前的明文组x1,x2,…,xi-1，有关。从而使明文的统计规律在密文中得到了较好的隐蔽。Cipherblockchaining2022/12/1949密码分组链接CBC模式每个明文组xi加密之前，先与反馈至输入2022/12/19502022/12/1814初始矢量IV初始矢量IV(InitialVector)：第一组明文xi加密时尚无反馈密文，为此需要在寄存器中预先置入一个。收发双方必须选用同一个IV。可为每个消息选择不同的IV，那么即使两个消息使用相同的密钥，也将有不同的密文。在CBC模式下，最好是每发一个消息，都改变IV，比如将其值加一。同时，IV的安全性问题。使用ECB加密模式。2022/12/1951初始矢量IV初始矢量IV(InitialVector)：填充(Padding)

给定加密消息的长度是随机的，按64bit分组时，最后一组消息长度可能不足64bit。可以填充一些数字，通常用最后1字节作为填充指示符（PI）。它所表示的十进制数字就是填充占有的字节数。数据尾部、填充字符和填充指示符一起作为一组进行加密。

数据填充PI2022/12/1952填充(Padding)给定加密消息的长度是随机的，按密码分组链接CBC模式2022/12/1953密码分组链接CBC模式2022/12/1817CBC的错误传播1.明文有一组中有错，会使以后的密文组都受影响，但经解密后的恢复结果，除原有误的一组外，其后各组明文都正确地恢复。2.若在传送过程中，某组密文组yi出错时，则该组恢复的明文x’i和下一组恢复数据x’i+1出错。再后面的组将不会受yi中错误比特的影响。2022/12/1954CBC的错误传播2022/12/1818明文错1组，则以后密文都受影响，但不影响解密正确性，除当前错的1组。密文错1组，则只影响当前和下1组的解密正确性。2022/12/1955明文错1组，则以后密文都受影响，但不影响解密正确性，除当前错典型应用:(1)数据加密;(2)完整性认证和身份认证;完整性认证的含义

完整性认证是一个“用户”检验它收到的文件是否遭到第三方有意或无意的篡改。因此，完整性认证：

不需检验文件的制造者是否造假；文件的制造者和检验者利益一致，不需互相欺骗和抵赖。2022/12/1956典型应用:完整性认证的含义20

利用CBC模式可实现报文的完整性认证目的:检查文件在(直接或加密)传输和存储中是否遭到有意或无意的篡改.

关键技术:

(1)文件的制造者和检验者共享一个密钥(2)文件的明文必须具有检验者预先知道的冗余度(3)文件的制造者用共享密钥对具有约定冗余度的明文用CBC模式加密(4)文件的检验者用共享密钥对密文解密,并检验约定冗余度是否正确.

2022/12/1957利用CBC模式可实现报文的完整性认证报文完整性认证的具体实现技术(1)文件的制造者和检验者共享一个密钥；(2)文件的明文m产生一个奇偶校验码r的分组；(3)采用分组密码的CBC模式，对附带校验码的已扩充的明文(m,r)进行加密，得到的最后一个密文分组就是认证码；2022/12/1958报文完整性认证的具体实现技术(1)文件的制造者和检验者共享n分组明文,校验码为………)(xEk)(xEk(1)仅需对明文认证,而不需加密时,传送明文m和认证码Cn+1，

此时也可仅保留Cn+1的t个比特作为认证码；(2)既需对明文认证,又需要加密时,传送密文C和认证码Cn+12022/12/1959n分组明文,………

Step1产生明文m的校验码

Step2利用共享密钥使用CBC模式对(m,r)加密，将得到的最后一个密文分组与接受到的认证码Cn+1比较，二者一致时判定接收的明文无错；二者不一致时判定明文出错。

检验方法：

（1）仅需对明文认证而不需加密时,此时验证者仅收到明文m和认证码Cn+1，他需要：2022/12/1960………Step1产生明文m的校验码Step2

例：

电脑彩票的防伪技术

----彩票中心检查兑奖的电脑彩票是否是自己发行的

问题：如何防止电脑彩票的伪造问题。

方法：

（1）选择一个分组密码算法和一个认证密钥，将他们存于售票机内；（2）将电脑彩票上的重要信息，如彩票期号、彩票号码、彩票股量、售票单位代号等重要信息按某个约定的规则作为彩票资料明文；（3）对彩票资料明文扩展一个校验码分组后，利用认证密钥和分组密码算法对之加密，并将得到的最后一个分组密文作为认证码打印于彩票上面；

认证过程：

执行（3）,并将计算出的认证码与彩票上的认证码比较，二者一致时判定该彩票是真彩票，否则判定该彩票是假彩票。2022/12/1961例：电脑彩票的防伪技术

----密码反馈(CFB-CipherFeedback)模式

若待加密消息需按字符、字节或比特处理时，可采用CFB模式。并称待加密消息按j比特处理的CFB模式为j比特CFB模式。适用范围:适用于每次处理j比特明文块的特定需求的加密情形,能灵活适应数据各格式的需要.例如,数据库加密要求加密时不能改变明文的字节长度,这时就要以明文字节为单位进行加密.2022/12/1962密码反馈(CFB-CipherFeedback)模式

若待模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传送短数据密码分组链接(CBC)加密算法的输入是当前明文组与前一密文组的异或传送数据分组；认证密码反馈(CFB)每次只处理输入的j比特，将上一次的密文用做加密算法的输入以产生伪随机输出，该输出再与当前明文异或以产生当面密文传送数据流；认证输出反馈(OFB)与CFB类似，不同之处是本次加密算法的输入为前一次加密算法的输出有扰信道上传送数据流利用CFB和OFB可将分组密码变成流密码，实时性。2022/12/1963模式描述用途电码本(ECB)每个明文组独立的以同一密钥加密传CipherFeedBackDES未作用于明文！2022/12/1964CipherFeedBackDES未作用于明文！2022/j-比