[高等教育]杨波__《现代密码学第2版》第三章 31-34节.ppt

研究表明，当 充分小时，攻击成功的概率是 这一概率只依赖于 ，并随着N或 的增加而增加。 如何对差分密码分析和线性密码分析进行改进，降低它们的复杂度仍是现在理论研究的热点。 改进方法：高阶差分密码分析、截段差分密码分析（truncated differential cryptanalysis）、不可能差分密码分析、多重线性密码分析、非线性密码分析、划分密码分析和差分-线性密码分析，再如针对密钥编排算法的相关密钥攻击、基于Lagrange插值公式的插值攻击及基于密码器件的能量分析（power analysis），另外还有错误攻击、时间攻击、Square攻击和Davies攻击等。 3.4 分组密码的运行模式 分组密码在加密时，明文分组的长度是固定的，而实际应用中待加密消息的数据量是不定的，数据格式可能是多种多样的。 为了能在各种应用场合使用DES，美国在FIPS PUS 74和81中定义了DES的4种运行模式。 这些模式也可用于其他分组密码，下面以DES为例来介绍这4种模式（见表3.5）。 3.4.1 电码本（ECB）模式 ECB(Electronic CodeBook)模式是最简单的运行模式，它一次对一个64比特长的明文分组加密，而且每次的加密密钥都相同，如图3.10所示。 当密钥取定时，对明文的每一个分组，都有一个惟一的密文与之对应。 因此形象地说，可以认为有一个非常大的电码本，对任意一个可能的明文分组，电码本中都有一项对应于它的密文。 图3.10 ECB模式示意图 如果消息长于64比特，则将其分为长为64比特的分组，最后一个分组如果不够64比特，则需要填充。 解密过程也是一次对一个分组解密，而且每次解密都使用同一密钥。图3.10中，明文是由分组长为64比特的分组序列P1，P2，…，PN构成，相应的密文分组序列是C1，C2，…，CN。 ECB在用于短数据（如加密密钥）时非常理想，因此如果需要安全地传递DES密钥，ECB是最合适的模式。 ECB的最大特性是同一明文分组在消息中重复出现的话，产生的密文分组也相同。 ECB用于长消息时可能不够安全，如果消息有固定结构，密码分析者有可能找出这种关系。 例如，如果已知消息总是以某个预定义字段开始，那么分析者就可能得到很多明文—密文对。如果消息有重复的元素而重复的周期是64的倍数，那么密码分析者就能够识别这些元素。这些特性都有助于密码分析者，有可能为其提供对分组的代换或重排的机会。 3.4.2 密码分组链接（CBC）模式 为了解决ECB的安全缺陷，可以让重复的明文分组产生不同的密文分组，CBC（Cipher Block Chaining）模式就可满足这一要求。 加密算法的输入是当前明文分组和前一次密文分组的异或，因此加密算法的输入不会显示出与这次的明文分组之间的固定关系，所以重复的明文分组不会在密文中暴露出这种重复关系。 图3.11 CBC模式示意图 解密时，每一个密文分组被解密后，再与前一个密文分组异或，即 （设 ） 因而产生出明文分组。 在产生第1个密文分组时，需要有一个初始向量IV与第1个明文分组异或。解密时，IV和解密算法对第1个密文分组的输出进行异或以恢复第1个明文分组。 IV对于收发双方都应是已知的，为使安全性最高，IV应像密钥一样被保护，可使用ECB加密模式来发送IV。保护IV的原因如下： 如果敌手能欺骗接收方使用不同的IV值，敌手就能够在明文的第1个分组中插入自己选择的比特值，这是因为： 用X(i)表示64比特分组X的第i个比特，那么 ，由异或的性质得 其中撇号表示比特补。上式意味着如果敌手篡改IV中的某些比特，则接收方收到的P1中相应的比特也发生了变化。 3.4.3 密码反馈（CFB）模式 如上所述，DES是分组长为64比特的分组密码，但利用CFB（Cipher FeedBack）模式或OFB模式可将DES转换为流密码。流密码不需要对消息填充，而且运行是实时的。因此如果传送字母流，可使用流密码对每个字母直接加密并传送。 流密码具有密文和明文一样长这一性质，因此，如果需要发送的每个字符长为8比特，就应使用8比特密钥来加密每个字符。如果密钥长超过8比特，则造成浪费。 图3.12 CFB模式示意图 加密时，加密算法的输入是64比特移位寄存器，其初值为某个初始向量