信息安全基础课件：6分组密码的工作模式

1上节内容回顾：第5章高级加密标准F(2n)比特串计算方法加法：异或乘法：异或、移位×001、×010×100、×111求乘法逆元利用生成元AES分组长度、密钥长度、扩展密钥长度、迭代轮数字节代替行移位列混淆密钥扩展算法2上节内容回顾：集合：次数不高于n次、系数为0或1的多项式运算：1、各项系数运算为模二加法和模二乘法：(x2+1)+(x2+x+1)=x(x+1)·(x2+1)=x.(x2+1)+1.(x2+1)

=x3+x+x2+1=x3+x2+x+12、高于n次的多项式要模一个n次不可约多项式：(x3+x2+x+1)mod(x3+x+1)=x3+(x2+x+1)=(x+1)+(x2+x+1)=x2运算的比特串表示。加法：异或；乘法：移位与异或。×001、×010、×100、×101第5章高级加密标准F(2n)101

XOR111=0102011·101

=(010)·101+(001)·101

=1010XOR0101=11112

1111mod1011=1111XOR1011=010023上节内容回顾：分组长度：

64

128密钥长度：56

128/192/256迭代轮数：16

10/12/14加密结构：Feistel

字节代替、行移位、列混淆

E-box、S-Box、P-box

轮密钥加密钥扩展：移位、删除、换序迭代(移位、字节代替、模加)第5章高级加密标准AESDES4上节内容回顾：第5章高级加密标准AESDES5上节内容回顾：第5章高级加密标准AESDES第6章分组密码的工作模式分组密码的工作模式6多重加密和3DES双重DES使用两个密钥的三重DES使用三个密钥的三重DES多重加密和3DES分组密码的工作模式电话本模式密文分组链模式密文反馈模式输出反馈模式计数器模式用于面向分组的存储设备的XTS-AES模式DES在穷举攻击下相对脆弱：56位密钥的DES在1999年只需要1天就可以被破解解决方法：设计全新的算法，如AES用DES进行多次加密、使用多个密钥双重DES双密钥三重DES三密钥三重DES7分组密码的工作模式多重加密和3DES2DES：C=EK2(EK1(P))P=DK1(DK2(C))那么，是否EK2(EK1(P))＝EK3(P)？中间相遇攻击已知明文攻击可以成功对付密钥长度为112位的2DESX=EK1(P)=DK2(C)用所有可能的密钥加密明文并存储用所有可能的密钥解密密文，并与存储的X匹配2112/264=248，248/264=2-16，两组明密对后，正确密钥的概率是1-2-16；三组明密对后，正确密钥的概率是1-2-80付出数量级为O(256),比攻击单DES的O(255)多不了多少解决办法：双密钥三重DES8分组密码的工作模式多重加密和3DESCampbellandwiener,DESisnotagroup.In:CRYPTO1992(264)！>101020>>256<1017三重两密：C=EK1(DK2(EK1(P)))P=DK1(EK2(DK1(C)))思路：加密-解密-加密：说明：第二步用解密运算，可适应单DES，即当k2＝k1时，3DES＝1DES安全性：目前无可行攻击方法应用：较多，如密钥管理标准ANSIX9.17和ISO8732。攻击穷举攻击2112≈5×1033

差分攻击：1052于单DES选择明文攻击：尝试不同明文寻找第一次加密值为0明文，然后使用中间相遇攻击2112已知明文攻击：n对明密文对，2(56+64)/n9分组密码的工作模式多重加密和3DES三重两密：C=EK1(DK2(EK1(P)))P=DK1(EK2(DK1(C)))攻击穷举攻击2112≈5×1033

差分攻击：1052于单DES选择明文攻击：尝试不同明文寻找第一次加密值为0明文，然后使用中间相遇攻击2112已知明文攻击：n对明密文对，2(56+64)/n三重三密：C=EK3(DK2(EK1(P)))P=DK1(EK2(DK3(C)))10分组密码的工作模式多重加密和3DES分组密码的特点输入：b位固定长度明文分组和密钥分组密码的输出：b位密文如果明文长度大于b位，则分为b位一组的块，用相同的密钥对多个分组加密。重复是密码编码学的大忌，回顾波兰人破解恩格玛的过程增强密码算法以及使算法适应具体应用的技术——工作模式NIST（SP800-38A）定义了5种“工作模式”11分组密码的工作模式多重加密和3DESNIST（SP800-38A）定义了5种“工作模式”12分组密码的工作模式多重加密和3DES电码本模式（ElectronicCodeBook，ECB）最基本的、最简单的模式加密：Cj=Ek(Pj),(j=1,2,…,n)13分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR电码本模式（ElectronicCodeBook，ECB）最基本的、最简单的模式加密：Cj=Ek(Pj),(j=1,2,…,n)解密：Pj=Dk(Cj)14分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR电码本模式（ElectronicCodeBook，ECB）应用：数据较少的情况，如加密密钥特点：每组明文加密过程独立，可以并行加密相同分组的明文总是对应相同的密文对于很长的信息存在安全隐患密文错误不传播，即某个Ct的传输错误只影响到Pt的恢复，不影响后续的（j＞t）。容易受主动攻击影响15分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR电码本模式（ElectronicCodeBook，ECB）主动攻击例子：假设EVE在一家公司上班，她知道公司每个月都会用一些分组的信息将雇员的应发薪酬发送给银行，而第七个分组恰好就是对应的金额。这样EVE就可以截获这些信息，并将代表自己酬劳的那个分组密文用公司经理对应的这部分密文来代替最终，EVE就领到了更高的薪酬为了克服ECB的弱点，防止类似于上面的攻击，需要将重复明文分组加密成不同的密文分组16分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR密文分组链接模式（CipherBlockChaining，CBC）加密算法输入：当前明文上一个密文

加密：C0=IV(初始向量)，Cj=Ek(Cj-1Pj),(j=1,2,…,n)17分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR密文分组链接模式（CipherBlockChaining，CBC）加密算法输入：当前明文上一个密文

加密：C0=IV(初始向量)，Cj=Ek(Cj-1Pj),(j=1,2,…,n)解密：Pj=Cj-1Dk(Cj)18分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR密文分组链接模式（CipherBlockChaining，CBC）加密算法输入：当前明文上一个密文

应用：加密长度大于b位的消息、认证特点：分组之间加密过程不独立无法在分组之间并行加密错误的Ct会影响到Pt和Pt+1IV双方共享、不能被第三方预测，且不能被非法修改否则第一组明文可被篡改19分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR密文分组链接模式（CipherBlockChaining，CBC）加密算法输入：当前明文上一个密文

可能的信息泄露20分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR密文反馈模式（CipherFeedBack，CFB）加密算法输入n比特，每次加密r比特明文21分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR密文反馈模式（CipherFeedBack，CFB）加密算法输入n比特，每次加密r比特明文应用加密长度大于64位的明文P；分组随意；可作为流密码使用。认证：可用于检测发现对明文或密文的篡改。特点：分组任意、安全性优于ECB模式加、解密都使用加密运算（不用解密运算）有误码传播，设m=64/r，则错误的Ct会影响到Pt…,Pt+m22分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTRCFB输出反馈模式（OutputFeedBack，OFB）加密算法输入n比特，每次加密r比特明文23分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR输出反馈模式（OutputFeedBack，OFB）加密算法输入n比特，每次加密r比特明文特点：分组任意、安全性优于ECB模式加、解密都使用加密运算（不用解密运算）传输错误只影响本组密文（优点）抗消息篡改能力不如CFB密文某位取反，明文也相应地取反初始化向量只能用一次流密码模式输出24分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR输出反馈模式（OutputFeedBack，OFB）加密算法输入n比特，每次加密r比特明文特点：流密码模式输出25分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR输出反馈模式（OutputFeedBack，OFB）加密：给定计数器初值IV，则

j=1,2,…,N

解密：26分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR输出反馈模式（OutputFeedBack，OFB）加密：给定计数器初值IV，则

j=1,2,…,N

解密：特点：硬件效率：可并行处理；软件效率：并行化；预处理；随机访问：比链接模式好；可证明的安全性：至少与其它模式一样安全；简单性：只用到加密算法。传输错误不会影响到其他分组27分组密码的工作模式多重加密和3DESECBCBCCFBOFBCTR28