可调分组加密综述

1、可调分组加密综述【摘要】本文综述了可调分组加密自2002年提出以来，国内外的研究方向及成果，主要集中在以下一些方面：可调分组密码的构造，可调分组加密的算法研究，可调分组密码的加密认证模式及改进，某种特定算法的硬件研究。【关键词】可调分组密码；加密方案；构造【Abstract】This paper sum up tweakable block ciphers research direction and achievement which was come up in 2002.The research focused on the following aspects: the structur

2、e of tweakable block cipher ,the arithmetic study of tweakable block cipher, the authenticated encryption mode of tweakable block cipher and its improvement,the hardware study of specific arithmetic.【Keyword】tweakable block cipher ；encryption scheme；structure目录一、引言4（一）研究背景4二、基本概念4（一）可调分组密码4（二）Hash函数

3、6（三）伽罗瓦域性质6（四）MISSY结构6三、可调分组密码的构造7四、可调加密方案10（一）小分组可调加密方案LRW-AES10（二）大分组可调加密方案EME-32-AES11（三）Encrypt-Mix-Encrypt型可调加密方案121. CMC型可调加密方案122. EME型可调加密方案143. 型可调加密算法16（四Hash-CTR-Hash型可调加密方案191 XCB型可调加密方案192. HCH型可调加密方案20（五）Hash-ECB-Hash型可调加密方案211. PEP型可调加密方案222. TET型可调加密方案25五、基于XTS-AES型可调加密算法的硬件研究27六、结语3

4、0致谢31参考文献32一 引 言（一）研究背景磁盘加密是一种底层的加密，它只跟磁盘的格式有关，可以跟操作系统无关。磁盘加密就是直接将明文对应的密文写在磁盘相应的位置上，当需要读取此加密信息时就进行解密操作，将密文恢复成相应的明文。但是通常的加密方式对于磁盘加密来说是不适用的，原因是它们会对明文有所扩张。例如高级机密标准的CBC加密模式，密文包含一个有128比特的初始向量。每一个扇区通常只有512字节，如果用CBC进行加密，就必须用额外的扇区存储初始向量，这样不但造成浪费，而且明文和密文在扇区上的存储也不是一对一的，给底层加密带来很多不便。可调分组密码就是在这样的情况下产生的。关于它的严格定义，

5、最早是由M.Liskov、R.L.Rivest、D.Wagner在2002年给出的。除了消息和密钥外，它还多了一个称为调柄（tweak）的输入。Tweak的作用类似于CBC模式中的初始向量和OCB模式中的Nonce，使得对不同的Tweak，可调分组密码就代表两个不同的分组密码，优点体现在改变Tweak比改变密钥代价小，应为改变密钥意味着要重新进行密钥扩展算法。二 基本概念（一）可调分组密码分组密码E: 是一个函数，并且对任意的，是上的置换。可调分组密码是一个函数，并且对任意的和是上的置换，分别称和为密钥空间，调柄空间和明文空间。由定义可知，对任意固定的调柄是一个分组密码，可调分组密码可以看作是

6、一调柄为索引的分组密码的集合。 表示从集合S随机选取元素a，如果集合只有一个元素则表示赋值。表示上所有置换的集合，表示所有到上映射的集合。如果，则称是M上的随机置换；如果，则称为上的调柄空间为的可调随机置换。 可调分组密码的安全性通过敌手区分可调分组密码和可调随机置换的优势来刻画。敌手攻击的方式分为选择明文攻击和选择密文攻击，可调分组密码与通常的分组密码不同的是，敌手在攻击的过程中还可以选择调柄的值。敌手是一个能询问若干个预言机的概率算法。不失一般性，假设敌手不询问已知的信息。例如敌手不重复已询问过的明文加密。我们用表示敌手A输出比特1，将A所询问的预言机写在其右上角，分组密码和可调分组密码的

7、安全性由下列优势函数来定义：其中和分别表示和的逆置换。记号表示敌手在q次询问和时间t内取得的最大优势。当可忽略时，称E是安全的，或者抵抗选择明文攻击的；当可忽略时，称E是强安全的，或者抵抗选择密文攻击的；当可忽略时，称E是安全的，或者抵抗选择明文攻击的；当可忽略时，称E是强安全的，或者抵抗选择密文攻击的。 由定义可知，如果E是（强）安全的，那么相当于个相互独立的随机置换。调柄带来的灵活性是：仅仅通过一个密钥的随机选取就取得了个随机置换，这样我们可以通过更换调柄达到更换密钥的效果，即获得相互独立的随机置换。因此基于可调分组密码的工作模式的设计比基于分组密码的工作模式的设计要方便的多。安全性证明也

8、容易得多。（二）Hash函数Hash函数作用于一个任意长度的消息M，它返回一个固定长度的杂凑值h。密码学中的Hash函数需要具有下列性质：1有效性：给定M，很容易计算h；2单向性：给定h，根据=h计算M很难；3无碰撞性：给定M，要找到另一个消息并满足很难；4混合性：对于任意输入，输出的Hash函数值h应当与区间中均匀二进制串在计算上是不可区分的。（三）伽罗瓦域性质伽罗瓦域的阶数为，它一共包含了个元素，而中所有元素个数为个，如果用i表示个数，则i的取值范围是，设为的本原元(生成元)，于是集合就表示中所有非零元素的集合。用表示，表示的乘法群，则群共有个本原元，其中表示欧拉函数。（四）MISSY结构

9、MISSY结构是M.Matsui借鉴Feistel结构研究成果推出的一种整体结构（见图一）。对长度为2n比特的输入，是比特、是比特，1轮MISTY型结构通过如下计算输出：= MISTY结构的优点是：当时，合理选取轮函数可以是MISTY结构达到比Feistel结构更高的安全界。缺点就是轮函数的设计需要考虑解密操作。三 可调分组密码的构造 构造方案一： 表达式中表示一般分组密码，表示可调分组密码。此种构造方案的好处是T的改变比较容易并且开销也比较小，应为它不需要对原有的分组密码做任何的改变，因此也就不需要改变密钥K，满足了可调分组密码关于灵活性的要求。在效率方面，可以看出这种构造方案要求两次计算，

10、与原有的分组密码相比，增加了一次计算和异或运算的时间。其安全性Liskov等人已经给出了证明。 构造方案二：表达式中表示一般分组密码，h为哈希函数，从灵活性，执行效率，安全性三个方面来分析此种构造方案。从表达式可以看出的改变并不需要依靠的改变来实现，而是直接改变调柄T的值就行了，故满足灵活性要求。在执行效率上虽然用到了两次异或运算和哈希函数的计算，但是通过很多实验数据证明执行效率还是可以接受的。并且相对于第一种构造方法少用了一次，所以运算效率提高了。就安全性而言，如果上述表达式中的哈希函数采用的族哈希函数，其广义安全性表达式为。当n较大时如128或256，则其安全性与原有分组密码安全性差不多。

11、 构造方案三：XE和XEX2004年，Phillip Rogaway提出XE和XEX这两种效率非常高的构造方案，它也是一种基于标准分组密码E的构造方案，相比分组密码E采用XE和XEX构造的可调分组密码所增加的额外开销很小。XEX构造方案为：表达式中，表示标准分组密码，中的N表示初始可调值，而表示乘法群的本原元，如果用属于整数集Z，XEX可以记为。 XE构造方案为：表达式中，表示标准分组密码，中的N表示初始可调值，而表示乘法群的本原元。的改变不需要改变密钥K，两者的可调空间为，其中N是初始密钥，并且的值是依次增加的。XE的安全表达式为，其中，在域，。XEX的安全表达式为，这两个表达式所描述的可调

12、分组密码都已证明是安全的。执行效率上XE比XEX少用了一次异或。例1.MAC构造方法TXOR N是t比特的串，调柄其中i写成t-1比特的串。算法其中，是MAC最后输出的比特数。算法其中N是t比特的串，调柄，其中写成比特的串。例2.基于MISTY结构的可调分组密码构造。它是通过在MISSY结构中添加tweak T来构成。根据添加的位置可以吧设计方案概括如下：对输入或其中，T的长度为总长度的一半四 可调加密方案（一）小分组可调加密方案LRW-AES 磁盘通常被分成固定长度的扇区（一般是512字节），如果要对一个扇区加密，假如此扇区所处的位置是j，那么对应的待加密的512个字节消息按如下方式分成32

13、个16字节的块：每个对应的逻辑位置为，令LRW-AES加密模式需要两个密钥，一个是128（192或256）比特的加密密钥，另一个是128比特的Tweak密钥，图1表示的是LRW-AES对一块128比特明文P加密的情况。对每一块128比特的明文，具体算法描述如下： （二）大分组可调加密方案EME-32-AESEME-32-AES是分组长度为512字节的可调分组密码，他是EME模式的具体实例，如图2所示。它需要一个128（192或256）比特的加密密钥K和一个公开的128比特的Tweak T（T由扇区位置确定，）对512字节的消息,EME-32-AE加密过程如下： （三）Encrypt-Mix-E

14、ncrypt型可调加密方案，包括等。1、CMC型可调加密方案加密算法解密算法CMC加密算法流程图2、EME型可调加密方案加密算法解密算法。EME加密算法流程图3、型可调加密算法函数加密算法 解密算法 加密算法流程图（四）Hash-CTR-Hash型可调加密方案，包括XCB,HCH等。 1、 XCB型可调加密方案加密算法解密算法其中密钥，明文，密文。2、HCH型可调加密方案加密算法解密算法HCHHCH型加密算法流程图（五）Hash-ECB-Hash型可调加密方案，包括PEP,TET,等 1、PEP型可调加密方案令，我们定义下面一系列的多项式，令，我们定义下面一系列多项式定义定义加密算法解密算法P

15、EP加密算法流程图2、TET型可调加密方案加密算法解密算法 五：基于XTS-AES型可调加密算法的硬件研究 近年来，数据的存储越来越引起人们的重视，成为国内外研究的热点。美国国家标准与技术研究院发布用户终端设备存贮加密指南，对计算机、移动存储介质等设备的存储加密提供指南，指导加密方案的规划、实施和维护，全球网络存储工业协会成立存储安全工业论坛，推动存储加密相关技术的发展，IEEE组织成立存储安全工作组，专门研究存储加密的算法、工作模式及密钥管理，并致力于存储加密的标准化工作，目前该工作组已经发布IEEE1619-2007，1619.1 ，1619.2,1619.3文档，制定了窄块加密，磁带加密

16、，宽块加密，密钥管理等相关标准和草案，2008年，IEEE SISWG批准XTS-AES标准，用于以逻辑块或扇区基础的存储介质上静态数据的加密，XTS-AES是一种基于AES的可调分组密码，由分组密码算法（AES）工作在可调工作模式（XTS）下构造而成，以下将对其进行详细介绍。 XTS-AES试用于对那些被分成固定长度数据单元的数据流信息进行加密。这些数据单元被分成m+1个数据块，前m个数据块的大小为128bits，最后一个数据块的大小为b bits（长度小于128）。数据单元最少包含128bits，数据块的个数为。单个128bits数据块的XTS-AES加密算法可用如下式子表示其中Key为2

17、56-bit或512-bit XTS-AES加密密钥；P为128-bit明文数据块； i为128-bit调整值； j为128-bitshu数据块在数据单元中的位置值； C为128-bit密文数据块如下图所示： 其中AES-enc为标准AES算法，Key2为调整值密钥，key1为数据密钥，模承操作为域中对应多项式的本源。计算步骤顺序如下： 数据单元的XTS-AES加密算法在数据单元的加密算法中，算法的应用跟最后一个数据块的大小b有关。计算步骤如下：国内对XTS-AES算法硬件方面的研究主要有USB存储加密器的设计与实现，主机加密卡FPGA的设计与实现，高吞吐率的XTS-AES加密算法的硬件实现，

18、并且取得了一定的成果。六：结语可调分组密码从提出到至今只有十几年时间，但关于它的研究一直没间断过，主要集中在它的构造及算法的研究上，并且取得了较多的研究成果。可调分组密码的优势在于磁盘加密，但也有它的局限性。密码学的一些新的研究方向有量子计算与量子密码，DNA计算与DNA密码，基于同态加密的云计算。目前对密码体制安全性的评价标准有计算安全性、可证明安全性和无条件安全性，但量子算法的研究表明，大多数安全性可归约到HSP问题的公钥密码体制无法抵抗量子计算。但量子计算对现代密码学的威胁主要集中在公钥密码方面。密码学与物理，生物这些学科看似没联系，但其实可以把他们联系起来，一旦取得成果，对现有的密码体

19、制将是非常大的冲击。致谢 经历两个多月的探讨写作，终于完成了这篇论文，虽然在论文的写作过程中遇到了很多的困难，但还是在老师和同学的帮助下顺利完成了。这其中尤其要感谢的是我的指导老师王泽辉老师。王泽辉老师在密码学和信息安全领域有着卓越的研究成果，并且教导学生很耐心，很有自己的想法跟方法。“授人以鱼不如授人以渔”，王老师正是用这样的言传身教来教导我们，他不会一味的要你怎么做怎么做，而是悉心的指导你这样做是不是更好。在王老师的引导下，我的思维视野开阔了很多，并且还培养了我良好的学习习惯和科研精神，这些都将成为我宝贵的人生财富！在此谨向王老师致以最诚挚的谢意和最崇高的敬意！ 同时还要感谢本论文所涉及到

20、的各位学者，你们所做的著作和论文研究成果给了我很大的帮助和启发，在此表示衷心的感谢！ 最后还要感谢培养我长大的辛勤的父母，他们是我生命中永远的依靠和支柱，他们不仅在物质方面对我鼎力相助，在精神方面也不断给我鼓励和支持，在我迷茫的时候帮助我走出低谷。正是他们的殷殷希望，激发我不断前行。在这里向他们表示我深深的谢意。参 考 文 献：1 陈少真.密码学教程M.北京：科学出版社，2012.2 吴文玲，冯登国，张文涛.分组密码的设计与分析M.北京：清华大学出版社3 Halevi S, Rogaway P. A Tweakable Enciphering M odeC/CRYPTO 2003:2729.Berlin Springer Verlag,2003:482-499.4 Halevi S, Rogaway P. A Parallelizable Enciphering M odeC/CT-RSA 200:2964.Berlin Springer Verlag,292