1、密 碼 學,（第六講） 分組密碼的應用技術 張煥國 武漢大學計算機學院,目 錄,1、密碼學的基本概念 2、古典密碼 3、數(shù)據(jù)加密標準（DES） 4、高級數(shù)據(jù)加密標準（AES） 5、中國商用密碼（SMS4） 6、分組密碼的應用技術 7、序列密碼 8、習題課：復習對稱密碼 9、公開密鑰密碼（1）,目 錄,10、公開密鑰密碼（2） 11、數(shù)字簽名（1） 12、數(shù)字簽名（2） 13、HASH函數(shù) 14、認證 15、密鑰管理 16、PKI技術 17、習題課：復習公鑰密碼 18、總復習/檢查：綜合實驗,一、計算機數(shù)據(jù)的特殊性,1、存在明顯的數(shù)據(jù)模式： 許多數(shù)據(jù)都具有某種固有的模式。這主要是由數(shù)據(jù)冗余和數(shù)據(jù)

2、結構引起的。 各種計算機語言的語句和指令都十分有限，因而在程序中便表現(xiàn)為少量的語句和指令的大量重復。 各種語言程序往往具有某種固定格式。 數(shù)據(jù)庫的記錄也往往具有某種固定結構。 操作系統(tǒng)和網(wǎng)絡也有同樣的問題。,一、計算機數(shù)據(jù)的特殊性,1、存在明顯的數(shù)據(jù)模式： 根據(jù)明文相同、密鑰相同，則密文相同的道理，這些固有的數(shù)據(jù)模式將在密文中表現(xiàn)出來。 掩蓋明文數(shù)據(jù)模式的方法： 預處理技術(隨機掩蓋) 鏈接技術 如果不能掩蓋數(shù)據(jù)模式，既使采用安全的密碼算法也是徒勞的。,二、分組密碼的工作模式,1977年DES頒布。1981年美國針對DES的應用制定了四種基本工作模式： 電碼本模式（ECB） 密文反饋鏈接模式（

3、CBC） 密碼反饋模式（CFB） 輸出反饋模式（OFB）,二、分組密碼的工作模式,2000年美國在征集AES的同時又公開征集AES的工作模式。共征集到 15個候選工作模式。 新的工作模式標準還在評審中。 這些新的工作模式將為AES的應用作出貢獻。,二、分組密碼的工作模式,1、電碼本模式（ECB） 直接利用分組密碼對明文的各分組進行加密。 設 明文M=（M1 ，M2 ，Mn ）, 密鑰為K， 密文C ( C1 ，C2 ，Cn ), 其中 Ci E（Mi，K）, i=1,2,n 電碼本方式是分組密碼的基本工作模式。 缺點：可能出現(xiàn)短塊，這時需要特殊處理。 缺點：暴露明文的數(shù)據(jù)模式。 應用：適合加密

4、密鑰等短數(shù)據(jù),二、分組密碼的工作模式,2、密文反饋鏈接模式（CBC） 明密文鏈接方式（Plaintext and Ciphertext Block Chaining） 設 明文 M=（M1 ，M2 ，Mn ）, 密鑰為K， 密文 C = ( C1 ，C2 ，Cn ), 其中 E（Mi Z ，K）， i=1 E（Mi Mi-1 Ci-1，K）, i=2,n Z為初始化向量。,Ci=,二、分組密碼的工作模式,2、密文反饋鏈接模式（CBC） 明密文鏈接方式 即使Mi Mj ，但因一般都有Mi-1 Ci-1 Mj-1 Cj-1 ，從而使Ci Cj ，從而掩蓋了明文中的數(shù)據(jù)模式。 加密時，當Mi 或Ci

5、 中發(fā)生一位錯誤時，自此以后的密文全都發(fā)生錯誤。這種現(xiàn)象稱為錯誤傳播無界。 解密時也是錯誤傳播無界。,二、分組密碼的工作模式,2、密文反饋鏈接模式（CBC） 明密文鏈接方式 錯誤傳播無界的缺點：當磁盤發(fā)生一點損壞時將導致整個文件無法解密。 錯誤傳播無界的優(yōu)點：可用于數(shù)據(jù)完整性、真實性認證。,二、分組密碼的工作模式,M1,E,C1,M1,D,M2,E,C1,D,Mn,E,Cn,D,Mn,M2,加密,解密,K,K,K,K,K,K,Z,Z,二、分組密碼的工作模式,2、密文反饋鏈接模式（CBC） 明密文鏈接方式具有加解密錯誤傳播無界的特性，而磁盤文件加密和通信加密通常希望解密錯誤傳播有界，這時可采用密

6、文鏈接方式。 密文鏈接方式（ Ciphertext Block Chaining） 設 明文 M=（M1 ，M2 ，Mn ）, 密鑰為K， 密文 C = ( C1 ，C2 ，Cn ), 其中 E（ Mi Z ，K）， i=1 E（Mi Ci-1，K）, i=2,n,Ci=,二、分組密碼的工作模式,M1,E,C1,M1,D,M2,E,C2,D,Mn,E,Cn,D,Mn,M2,加密,解密,K,K,K,K,K,K,Z,Z,二、分組密碼的工作模式,2、密文反饋鏈接模式（CBC） 密文鏈接方式 加密：錯誤傳播無界 解密時：錯誤傳播有界 D（Ci ，K）Z ， i=1 D（Ci ，K）Ci-1 , i=2

7、,n Ci-1 發(fā)生了錯誤，則只影響Mi-1 和Mi 發(fā)生錯誤，其余不錯，因此錯誤傳播有界。 缺點也是要求數(shù)據(jù)的長度是密碼分組長度的整數(shù)倍，否則最后一個數(shù)據(jù)塊將是短塊。,Mi=,二、分組密碼的工作模式,3、輸出反饋模式 (OFB) 將一個分組密碼轉換為一個密鑰序列產(chǎn)生器。從而可以實現(xiàn)用分組密碼按流密碼的方式進行加解密。,移位寄存器 S位,E S位,明文,密文,種子R0,K,二、分組密碼的工作模式,3、輸出反饋模式 (OFB) 如果分組密碼是安全的，則產(chǎn)生的密鑰序列也是安全的。 加解密都沒有錯誤傳播。 適于加密冗余度較大的數(shù)據(jù)，如語音和圖象數(shù)據(jù)。 為了提高速度可輸出最右邊的 8位。 但因無錯誤傳

8、播而對密文的篡改難以檢測。,二、分組密碼的工作模式,4、密碼反饋模式 CFB（Cipher Feedback） CFB模式也是用分組密碼產(chǎn)生密鑰序列。,移位寄存器 S位,E S位,明文,密文,種子R0,K,二、分組密碼的工作模式,4、密碼反饋模式 (CFB) 與OFB的不同是，把密文反饋到移位寄存器。 加密時若明文錯了一位，則影響相應的密文錯，這一錯誤反饋到移位寄存器后將影響到后續(xù)的密鑰序列錯，導致后續(xù)的密文都錯。 解密時若密文錯了一位，則影響相應的明文錯，但密文的這一錯誤反饋到移位寄存器后將影響到后續(xù)的密鑰序列錯，導致后續(xù)的明文都錯。 因錯誤傳播無界，可用于檢查發(fā)現(xiàn)對明密文的篡改。,二、分組

9、密碼的工作模式,5、X CBC (Extended Cipher Block Chaining Encryption)模式 2000年美國學者J0hn Black和Phllip Rogaway提出X CBC模式，作為CBC模式的擴展，被美國政府采納作為標準。 X CBC主要是解決了CBC要求明文數(shù)據(jù)的長度是密碼分組長度的整數(shù)倍的限制，可以處理任意長的數(shù)據(jù)。如果用分組密碼是安全的，則密鑰序列就是安全的。,二、分組密碼的工作模式,5、X CBC (Extended Cipher Block Chaining Encryption)模式 設明文M=（M1 ，M2 ，Mn-1，Mn ），相應的密文C=

10、( C1 ，C2 ，Cn1，Cn )，而Mn 可能是短塊。 使用3個密鑰 K1，K2，K3進行加密。 使用填充函數(shù) Pad（X）對短塊數(shù)據(jù)進行填充。,二、分組密碼的工作模式,5、X CBC (Extended Cipher Block Chaining Encryption)模式 填充函數(shù)Pad（X）定義如下： X， 當X不是短塊； X100， 當X是短塊。 經(jīng)填充函數(shù) Pad（X）填充后的數(shù)據(jù)塊一定是標準塊。,Pad（X）,二、分組密碼的工作模式,5、X CBC (Extended Cipher Block Chaining Encryption)模式 令Z0，以Z作為初始化向量。加密過程如

11、下： E（Mi Z ，K1），i=1 E（Mi Ci-1，K1）, i=2,n1 E（Mn Cn -1 K2，K1）， 當Mn 不是短塊； E（PAD（Mn）Cn -1 K3，K1），當Mn是短塊。,Ci ,Cn ,二、分組密碼的工作模式,5、X CBC (Extended Cipher Block Chaining Encryption)模式 X CBC與CBC區(qū)別： CBC要求最后一個數(shù)據(jù)塊是標準塊，不是短塊。 X CBC既允許最后一個數(shù)據(jù)塊是標準塊，也允許是短塊。 最后一個數(shù)據(jù)塊的加密方法與 CBC不同。 因為有填充，需要傳輸填充長度信息。,二、分組密碼的工作模式,5、X CBC (Ex

12、tended Cipher Block Chaining Encryption)模式 X CBC模式的主要優(yōu)點： 可以處理任意長度的數(shù)據(jù)。 適于計算產(chǎn)生檢測數(shù)據(jù)完整性的消息認證碼MAC。,X CBC模式的主要缺點： 有填充，不適合文件和數(shù)據(jù)庫加密。 使用3個密鑰，需要傳填充長度，復雜。,二、分組密碼的工作模式,6、CTR（Counter Mode Encryption）模式 CTR模式是Diffie和Hellman于1979年提出的，在征集AES工作模式的活動中由California大學的Phillip Rogaway等人的推薦。 設T1，T2 ，Tn-1，Tn 是一給定的計數(shù)序列，M1，M2

13、，Mn-1，Mn 是明文，其中M1，M2，Mn-1是標準塊，Mn 的可能是標準塊，也可能是短塊。設其長度等于u，u小于等于分組長度。,二、分組密碼的工作模式,6、CTR（Counter Mode Encryption）模式 CTR的工作模式的加密過程如下： OiE（Ti，K），i=1,2,n. CiMiOi ，i=1,2,n-1. CnMnMSBu（On）. 其中MSBu（On）表示On 中的高u位。,計數(shù)器,加密算法 E,M i,C i,T i,O i,K,T 1,時鐘脈沖,二、分組密碼的工作模式,6、CTR（Counter Mode Encryption）模式 CTR的工作模式的解密過程如

14、下： OiE（Ti，K），i=1,2,n. MiCiOi ，i=1,2,n-1. MnCnMSBu（On）.,二、分組密碼的工作模式,6、CTR（Counter Mode Encryption）模式 CTR的工作模式的優(yōu)點： CTR模式的優(yōu)點是安全、高效、可并行、適合任意長度的數(shù)據(jù)； Oi的計算可預處理高速進行； 加解密過程僅涉及加密運算，不涉及解密運算，因此不用實現(xiàn)解密算法。 適合隨機存儲數(shù)據(jù)的解密。 CTR模式的缺點是沒有錯誤傳播，因此不易確保數(shù)據(jù)完整性。,三、短塊加密,分組密碼一次只能對一個固定長度的明文（密文）塊進行加（解）密。 稱長度小于分組長度的數(shù)據(jù)塊為短塊。 必須采用合適的技術解

15、決短塊加密問題。 短塊處理技術： 1、填充技術 2、密文挪用技術 3、序列加密,三、短塊加密,1、填充技術 用無用的數(shù)據(jù)填充短塊，使之成為標準塊。 為了確保加密強度，填充數(shù)據(jù)應是隨機的。 但是收信者如何知道哪些數(shù)字是填充的呢？這就需要增加指示信息，通常用最后8位作為填充指示符。 填充法適于通信加密而不適于文件和數(shù)據(jù)庫加密。,三、短塊加密,Mn-1,a,a b,Mn,E,Cn,D,Mn,Mn-1,加密,解密,K,K,K,K,E,D,b Mn,a b,b Mn,Cn-1,2、密文挪用技術,三、短塊加密,密文挪用法也需要指示挪用位數(shù)的指示符，否則收信者不知道挪用了多少位，從而不能正確解密。 密文挪用加密短塊的優(yōu)點是不引起數(shù)據(jù)擴展。 缺點是解密時要先解密Cn 、還原挪用后再解密Cn-1 ，從而使控制復雜。,三、短塊加密,3、序列加密 對于最