(12)--3.4分组密码的工作模式V2.ppt

分组密码的工作模式本节介绍分组密码的工作模式及其用法 分组密码的工作模式允许使用同一个分组密码密钥对多于一块的数据进行加密，并保证其安全性。本节我们主要介绍分组密码的四种常用工作模式。

2即使有了安全的分组密码算法，也需要采用适当的工作模式来隐蔽明文的统计特性、数据的格式等，以提高整体的安全性，降低删除、重放、插入和伪造成功的机会。主要的工作模式有：电码本模式（ECB）密码分组链接模式（CBC）输出反馈模式（OFB）计数模式（CTR）1.分组密码的工作模式概述

1.分组密码的工作模式概述分组密码只能加密固定长度的分组。分组密码的工作模式提供了一种使用较短密钥加密任意长度消息的方法。四种模式分为2类：BlockModes:按分组处理消息(ECB、CBC)StreamModes:按位/字节流的形式处理消息(OFB、CTR)分组填充方式：给定一个分组长度为n的分组密码Fk，用来加密消息m。不失一般性，假设m=m1m2…ml，其中mi?{0,1}n。若消息m的长度不是分组长度n的倍数，可以通过在尾部添加一个1，然后使用足够多的0填充，将任意长度的消息填充为总长度为分组大小的倍数。

2.分组密码的工作模式介绍消息分成相互独立的加密模块。直接利用加密算法分别对分组数据加密。在给定的密钥下同一明文组总产生同样的密文组，这会暴露明文数据的格式和统计特征。明文数据都有固定的格式，需要以协议的形式定义，重要的数据常常在同一位置上出现，使密码分析者可以对其进行统计分析、重传和代换攻击。2.1电码本模式ECB(ElectronicCodeBookmode)

加密:ci=Fk(mi)|c|=|m|解密:mi=Fk-1(ci)Fk可逆确定性加密。ECB模式可以分组并行计算。m1m2m3mc1c2c3FkFkFk2.1电码本模式ECB(ElectronicCodeBookmode)

2.2密码分组链接模式CBC(CipherBlockChainingmode)每个明文组mi加密之前，先与反馈至输入端的前一组密文ci-1按位模2求和后，再送至加密算法加密。各密文组ci不仅与当前明文组mi有关，而且通过反馈作用还与以前的明文组m1,m2,…,mi-1有关

2.2密码分组链接模式CBC(CipherBlockChainingmode)加密:ci=Fk(mi?ci-1),i=1,2,…,l(c0=IV)Enck(m1m2…ml)=(c0c1…cl)解密:mi=Fk-1(ci)?ci-1,i=1,2,…,lFk可逆概率性加密，能够抵抗选择明文攻击。m1m2m3mc1c2c3FkFkFkIV???c0

CBC模式的相关讨论(1)在CBC模式下，每加密一个消息都需要重新选择随机的IV，否则会产生安全性问题。(2)明文中有一组有错，会使以后的密文组都受影响，但经解密后的恢复结果，除原有误的一组外，其后各组明文都正确地恢复。(3)若在传送过程中，某组密文组ci出错时，则该组恢复的明文mi和下一组恢复数据mi+1出错。再后面的组将不会受ci中错误比特的影响。(4)在CBC模式中，如果改变一个明文分组mi，那么ci及其后所有的密文分组都会受到影响，这一性质说明CBC模式适合于认证的目的。更确切的说，这种模式可被用来产生一个消息认证码，即MAC，保障消息的完整性。

2.3输出反馈模式OFB(OutputFeedbackmode)将分组密码算法作为一个密钥流产生器，从而可以实现用分组密码按流密码的方式进行加解密，此时明文总长度无需是分组长度的倍数。前一个密文的最后一个分组可以直接作为下一个消息加密时的IV。虽然无法并行计算，但可以预先生成密钥流，提高加密效率。克服了CBC模式中的错误传播所带来的问题，但又因无错误传播而对密文的篡改难以检测。不具有自同步能力，要求系统要保持严格的同步。

2.3输出反馈模式OFB(OutputFeedbackmode)加密:yi=Fk(yi-1),ci=yi?mi,i=1,