现代密码学课件-第6讲-分组密码2_第1页
现代密码学课件-第6讲-分组密码2_第2页
现代密码学课件-第6讲-分组密码2_第3页
现代密码学课件-第6讲-分组密码2_第4页
现代密码学课件-第6讲-分组密码2_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2024/7/171第四章分组密码一、分组密码概述二、分组密码运行模式三、DES四、AES五、分组密码的分析2024/7/172二、分组码的运行模式2024/7/173

主要工作模式

即使有了安全的分组密码算法,也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等,以提高整体的安全性,降低删除、重放、插入和伪造成功的机会。电码本(ECB)密码分组链接(CBC)

密码反馈(CFB)输出反馈(OFB)。

2024/7/174

电码本ECB模式直接利用加密算法分别对分组数据组加密。在给定的密钥下同一明文组总产生同样的密文组。这会暴露明文数据的格式和统计特征。

明文数据都有固定的格式,需要以协议的形式定义,重要的数据常常在同一位置上出现,使密码分析者可以对其进行统计分析、重传和代换攻击。2024/7/175

电码本ECB模式

xykDESyxkDES-12024/7/176密码分组链接CBC模式每个明文组xi加密之前,先与反馈至输入端的前一组密文yi-1按位模2求和后,再送至加密算法加密各密文组yi不仅与当前明文组xi有关,而且通过反馈作用还与以前的明文组x1,x2,…,xi-1,有关2024/7/177密码分组链接CBC模式初始矢量IV(InitialVector):第一组明文xi加密时尚无反馈密文,为此需要在寄存器中预先置入一个。收发双方必须选用同一IV。实际上,IV的完整性要比其保密性更为重要。在CBC模式下,最好是每发一个消息,都改变IV,比如将其值加一。2024/7/178密码分组链接CBC模式

CBC模式xiyikDESyix’kDES-1++64bit存储64bit存储yi-12024/7/179填充(Padding)

给定加密消息的长度是随机的,按64bit分组时,最后一组消息长度可能不足64bit。可以填充一些数字,通常用最后1字节作为填充指示符(PI)。它所表示的十进制数字就是填充占有的字节数。数据尾部、填充字符和填充指示符一起作为一组进行加密。

数据填充PI2024/7/1710CBC的错误传播1.明文有一组中有错,会使以后的密文组都受影响,但经解密后的恢复结果,除原有误的一组外,其后各组明文都正确地恢复。2.若在传送过程中,某组密文组yi出错时,则该组恢复的明文x’i和下一组恢复数据x’i+1出错。再后面的组将不会受yi中错误比特的影响。2024/7/1711k-比特密码反馈CFB模式若待加密消息必须按字符(如电传电报)或按比特处理时,可采用CFB模式。CFB实际上是将加密算法DES作为一个密钥流产生器,当k=1时就退化为前面讨论的流密码了。CFB与CBC的区别是反馈的密文长度为k,且不是直接与明文相加,而是反馈至密钥产生器。2024/7/1712k-比特密码反馈CFB模式

CFB模式

+

+xixiyiyikkXi64bitXi64bitYi64bitYi64bitDES

DES-1选最左边

k位选最左边

k位kbitkbityi-Lyi-2yi-12024/7/1713k-比特密码反馈CFB模式CFB的优点它特别适于用户数据格式的需要。能隐蔽明文数据图样,也能检测出对手对于密文的篡改。CFB的缺点对信道错误较敏感,且会造成错误传播。CFB也需要一个初始矢量,并要和密钥同时进行更换。2024/7/1714输出反馈OFB模式将分组密码算法作为一个密钥流产生器,其输出的k-bit密钥直接反馈至分组密码的输入端,同时这k-bit密钥和输入的k-bit明文段进行对应位模2相加。克服了CBC和CFB的错误传播所带来的问题。对于密文被篡改难以进行检测不具有自同步能力,要求系统要保持严格的同步2024/7/1715输出反馈OFB模式

OFB模式

+xiyik64bit64bitDES选最左边

k位ki64bit

寄存器kbitkbit

+xiyik64bit64bit

DES-1选最左边

k位kbit64bit

寄存器kbitki2024/7/1716OCB模式2024/7/1717OCB模式functionocb-aes-encrypt(K,M,Nonce)begin

Offset=AES(K,Noncexor

L)Checksum=0

for

i=1to

m-1dobegin

Offset=Offsetxor

L(ntz(i))Checksum=Checksumxor

M[i]C[i]=OffsetxorAES(K,M[i]xorOffset)

end

Offset=Offsetxor

L(ntz(m))Pad=AES(K,len(M[m])xor

L(-1)xorOffset)C[m]=M[m]xor(thefirst|M[m]|bitsofPad)Checksum=ChecksumxorPadxor

C[m]0*FullTag=AES(K,ChecksumxorOffset)Tag=aprefixofFullTag(ofthedesiredlength)

return

C[1]...C[m-1]C[m]Tag

end

L=AES(K,0).

L(0)=Lfori>0,L(i)=L(i-1)<<1ifthefirstbitofL(i-1)is0L(i)=(L(i-1)<<1)xor0x00000000000000000000000000000087otherwise.L(-1)=L>>1ifthelastbitofLis0,L(-1)=L>>1xor0x80000000000000000000000000000043otherwise.2024/7/1718比较和选用ECB模式,简单、高速,但最弱、

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论