理解BlockCipher加密算法
- 凯撒大帝被认为是最古老的对称加密算法。所谓的凯撒加密法(你也许可以从报纸上找到一个作为消遣来玩),它随机的给每一个字母分配一个数字。在这个简单的算法当中,字母到数字的映射就是key。现代加密算法比凯撒算法肯定复杂的多,以便抵御来自计算机的攻击。尽管基本原理是一样,替换一个字母或其它什么东西为另外一个字母或其它什么东西,后续都对替换后的东西进行处理,在几个世纪以来,更多的混淆和扩散(confusion and diffusion)要素被加入,从而创建了现代加密算法。一个很重要的技术就是同时操作一组字符,而不是一个。现在用的最多的对称加密算法类别就是块加密算法,它对固定数目的字节进行操作,而不是一个字符。
- 在这一部分我们来考察3种最流行的块加密算法,也是我们在工作中最可能碰到的现代加密算法。这些算法也许会在未来几十年还有意义,要修改加密标准,那个过程是非常非常慢的;需要密码专家进行大量的研究和分析。
实现DES加密算法
- DES是Data Encryption Standard(数据加密标准)的简称,它是1974年,在NSA的要求下,由IBM实现和提出的;它也是第一个可以公开获取的针对计算机的加密算法。尽管在后文你看可以看到,DES不再认为是足够安全的,但是它还在被广泛地使用着。并且它也是学习对称加密算法的好入口。DES中的绝大多数概念都会在其它加密算法中出现。
- DES将输入分成8字节的块,然后使用一个8字节的key来混淆它们。这个混淆的过程有一系列的固定置换(将第34位和28位互换,28位和17位互换等等)、轮换以及XORs。尽管DES的核心(也就是DES为什么是安全的)是因为S boxes的操作,经过它输入的每6个bit,都会固定地4bit的输出;但是这个过程是不可逆的(除非有key)。
- 和任何现代对称加密算法一样,DES也非常依赖于XOR操作。【异或操作介绍略】
- 异或一个非常有趣的属性就是它是可逆的,比如:
- 在实现DES的时候,我们一般操作的是字节数组,以便充分利用硬件对整数操作的优势。传统上,DES是使用大端来描述的,但是x86等架构都是小端的;为了充分利用硬件性能,我们需要对规范中的一些部分进行反转,不过在这里,我们不需要这么做
- 作为一个替代方案,我们操作byte数组。因为我们需要操作位,比如:得到64bit中的第39个bit的值;因此我们需要一些宏的支持,从而可以方便的对字节数组进行bit查找和操作。bit操作的宏如下所示:
#define GET_BIT( array, bit ) \
( array[( int ) ( bit /8 ) ] & ( 0x80 >> (bit % 8 ) ) )
#define SET_BIT( array, bit ) \
( array[( int ) ( bit /8 ) ] |= ( 0x80 >> (bit % 8 ) ) )
#define CLEAR_BIT( array, bit ) \
( array[( int ) ( bit /8 ) ] &= ~( 0x80>> ( bit % 8 ) ) )
- 因为这个例子是对字节数组求异或的,所以需要一个方法来支持异或操作。
static void xor( unsignedchar *target, constunsigned char *src, int len )
{
while ( len-- )
{
*target++^= *src++;
}
}
- 最后我们还需要一个置换(permute)函数,这个函数根据 permute_table数组对输入进行bit置换,比如:输入的第57bit放到输出的第14bit。正如你下面会看到的,这个函数是DES算法调用最频繁的地方;它被调用了10多次(使用不同的置换表permute_table)
/**
* Implement the initialand final permutation functions. permute_table
* and target must haveexactly len and len * 8 number of entries,
* respectively, but srccan be shorter (expansion function depends on this).
* NOTE: this assumesthat the permutation tables are defined as one-based
* rather than 0-basedarrays, since they’re given that way in the
* specification.
*/
static void permute( unsignedchar target[],
const unsigned char src[],
const int permute_table[],
int len )
{
int i;
for ( i = 0; i <len * 8; i++ )
{
if ( GET_BIT( src,( permute_table[ i ]- 1 ) ) )
{
SET_BIT(target, i );
}
else
{
CLEAR_BIT( target, i );
}
}
}
DES初始置换
- DES规范中要求对输入进行一个初始置换。这个置换的目的是什么还不是很清楚,因为它没有任何加密的效果(置换后的安全效果和置换前是一样的)。加入这个置换的目的,也许是为了对某些硬件类型进行优化。尽管如此,如果你不进行这个操作,你的DES加密结果将会是错误的,也不能够和其它实现进行交互。
- 在规范中,对这个置换的描述使用术语:input bits和output bits。它的操作如下:将input最后一个字节的第2个bit拷贝到output第一个字节的第一个bit;然后将input倒数第二个字节的第2个bit拷贝到output第一个字节的第2个bit等等。因此,output的第一个字节是由input左右字节中的第2个bit组成的(反向的)。output的第2个字节是input每个字节的第4个bit组成的(也是反向的)。output的第3个字节是input每个字节的第6个bit组成的,output的第4个字节由input每个字节的第8个bit组成,output的第5个字节由input每个字节的第1个字节组成,等等。
- 故给定8个字节作为输入,操作的结果如下:
- 实现这个置换可以使用前面的置换(permute)函数,其中permute_table如下:(注意:DES认为字节序是大端的)
比如:第一个字节是由原字节数组中,每个字节的第2个bit组成。
原字节数组位数的大小,从左到有为:1到64,上图字节数组中标识为1的为58,2为50等等
static const int ip_table[] = {
58, 50, 42, 34, 26, 18, 10, 2,
60, 52, 44, 36, 28, 20, 12, 4,
62, 54, 46, 38, 30, 22, 14, 6,
64, 56, 48, 40, 32, 24, 16, 8,
57, 49, 41, 33, 25, 17, 9, 1,
59, 51, 43, 35, 27, 19, 11, 3,
61, 53, 45, 37, 29, 21, 13, 5,
63, 55, 47, 39, 31, 23, 15, 7 };
- 在输入被置换之后, 它又被用key进行了16轮的操作组合,每一轮做的操作如下:
- 扩展输入的第32到第64位到48bits(下面会进行描述)
- 将扩展后的右边部分和key做XOR
- 使用上面的输出,查询8个s-box表,并使用这些内容来覆盖输入
- 根据特定的p表来对输出进行置换
- 将输出和输入的左边部分(1~32)做XOR,然后对左右部分交换;在下一轮,相同的操作被执行,但是左右部分被调换了
- 最终,前后部分做最后一次交换,然后对输出做初始置换的反操作,也就抵消了初始置换。
/**
* This just invertsip_table.
*/
static const int fp_table[] = { 40, 8, 48, 16, 56, 24, 64, 32,
39, 7, 47, 15, 55, 23, 63, 31,
38, 6, 46, 14, 54, 22, 62, 30,
37, 5, 45, 13, 53, 21, 61, 29,
36, 4, 44, 12, 52, 20, 60, 28,
35, 3, 43, 11, 51, 19, 59, 27,
34, 2, 42, 10, 50, 18, 58, 26,
33, 1, 41, 9, 49, 17, 57, 25 }
上面是最后使用的置换表。
DES Key Schedule
- 在算法描述的第2步中,“将扩展后的右边部分和key做XOR”。如果我们看了图,就会发现,图中的key,分别标记为K1,K2、K3…K15、K16. 也就是说有16个不同的48bit的key,他们都是通过原始的64bit的key产生的。
- key经过的初始之后和输入的初始置换很类似,但是还是有点不同,输出的第一个字节是由输入的每个字节的第一个bit组成的,输出的第二个字节是由输入的每个字节的第2个bit组成的,等等。
- 但是key本身使用2个28-bit部分来组成;第2个部分的第一个字节由输入的每个字节的第7个bit组成,第2个字节由输入的每个字节的第6个bit组成等等。由于key的一半是28bit(3个字节加上4个bit),最后的4个bit也是这个规则生成的,但是只对前4个bit这么做。最终,虽然输入的key为8个字节,输出的key只有2个28bit部分,也就是56bit。其余8个bit(每个字节的第8bit)没有被DES使用。
上面的操作可以使用下面的置换表来完成:
static const int pc1_table[] = { 57, 49, 41, 33, 25, 17, 9, 1,
58, 50, 42, 34, 26, 18, 10, 2,
59, 51, 43, 35, 27, 19, 11, 3,
60, 52, 44, 36,
63, 55, 47, 39, 31, 23, 15, 7,
62, 54, 46, 38, 30, 22, 14, 6,
61, 53, 45, 37, 29, 21, 13, 5,
28, 20, 12, 4 };
- 在上述算法中的每一轮中,56-bit的key的每个28bit部分,会被向左轮换1或2次,1次是在第1,2,9,16轮中,其它轮次2次。这些轮换后的部分会使用下面的置换表进行置换:
static const int pc2_table[] = { 14, 17, 11, 24, 1, 5,
3, 28, 15, 6, 21, 10,
23, 19, 12, 4, 26, 8,
16, 7, 27, 20, 13, 2,
41, 52, 31, 37, 47, 55,
30, 40, 51, 45, 33, 48,
44, 49, 39, 56, 34, 53,
46, 42, 50, 36, 29, 32 };
- 这个置换可以从轮换后的56bit key中产生48bit的subkey。因为做了轮换,所以算法的每一轮都有一个唯一key,K1、K2、K3.。。。K16。这些subkeys被称为key schedule。
- 注意到key schedule和加密操作是独立的,能够预先计算好,在加密或解密之前存储起来。绝大多数的DES实现为了提升性能都是这么做的。
- 56bit key的左轮换的代码如下:
/**
* Perform the leftrotation operation on the key. This is made fairly
* complex by the factthat the key is split into two 28-bit halves, each
* of which has to berotated independently (so the second rotation operation
* starts in the middleof byte 3).
*/
static void rol( unsigned char *target )
{
intcarry_left, carry_right;
carry_left= ( target[ 0 ] & 0x80 ) >> 3;
target[ 0 ] =( target[ 0 ]<< 1 ) | (( target[ 1 ]& 0x80 ) >> 7 );
target[ 1 ] =( target[ 1 ]<< 1 ) | (( target[ 2 ]& 0x80 ) >> 7 );
target[ 2 ] =( target[ 2 ]<< 1 ) | (( target[ 3 ]& 0x80 ) >> 7 );
// special handling forbyte 3
carry_right= ( target[ 3 ] & 0x08 ) >> 3;
target[ 3 ] =( ( ( target[ 3 ]<< 1 ) | (( target[ 4 ]& 0x80 ) >> 7 ) ) &~0x10 ) | carry_left;
target[ 4 ] =( target[ 4 ]<< 1 ) | (( target[ 5 ]& 0x80 ) >> 7 );
target[ 5 ] =( target[ 5 ]<< 1 ) | (( target[ 6 ]& 0x80 ) >> 7 );
target[ 6 ] =( target[ 6 ]<< 1 ) | carry_right;
}
通过上面我们可以看到,key的每个字节(在一个7字节数组中)都被左移一位。下一个字节的MSB是LSB;复杂的地方在于key是一个7字节数组,但是这7字节数组分割在第3个字节的中间。
DES Expansion Function
- 注意到前面提到的subkey是48bit长的,但是输入的一半是(L0或R0)32bit的。当前,我们不能够很好的将32bit的输入和48bit的key进行XORs操作。因此,为了和48bit的key进行XOR操作,输入需要进行扩充(对一些bit进行复制)。扩充的输出见下图:
输出被分成8个6bit的块(也就是6个字节),每个块的前两个和后两个bit在前一个块和后一个块是重叠的。同时第一个块和最后一个块是循环重叠,使用输入的最后一个bit作为第一个块的第一个bit,使用输入的第一个bit作为最后一个块的最后一个bit。当然,这些操作也可以使用置换表来进行,表的结构如下:
static const intexpansion_table[] = {
32, 1, 2, 3, 4, 5,
4, 5, 6, 7, 8, 9,
8, 9, 10, 11, 12, 13,
12, 13, 14, 15, 16, 17,
16, 17, 18, 19, 20, 21,
20, 21, 22, 23, 24, 25,
24, 25, 26, 27, 28, 29,
28, 29, 30, 31, 32, 1 };
- 在每一轮中,输入的字节在和subkey进行XOR之后,结果被送入s-box进行查询。s-boxes是DES安全的关键所在。它的一个特性非常重要:输出和输入不是线性关系,否则的话,一个简单的统计分析就可以把key解密出来。比如:攻击者知道字母E是英语中出现频率最多的字符(如果他也知道文件是按照ASCII进行编码的),它可以对输出的字节进行频率统计,找到出现最频繁的,然后假定它就是E,然后进行反推(事实上,在ASCII编码的英文文档,出现最多的是空格,字符编码为32)。如果错了,他就对出现频率第二多的字符进行重试。这类密码分析,使用计算机的话只需要几秒钟就可以完成。因此,s-boxes不是置换表、轮换或XORs,而是由多个完全随机的表组成的。
- 输入的每6bit对应表中的4bit输出(expanded之后的右半部分和sub key进行XOR)。也就是说,每个6bit的输入作为索引去s-boxes去找对应的值。在DES规范中,s-boxes的描述很模糊。我们在这里使用更简洁,便于查询的方式来展示他们。注意:每6个bit都有它们自己的唯一sbox。
static const int sbox[8][64] = {
{ 14, 0, 4, 15, 13, 7, 1, 4, 2, 14, 15, 2, 11, 13, 8, 1,
3, 10, 10, 6, 6, 12, 12, 11, 5, 9, 9, 5, 0, 3, 7, 8,
4, 15, 1, 12, 14, 8, 8, 2, 13, 4, 6, 9, 2, 1, 11, 7,
15, 5, 12, 11, 9, 3, 7, 14, 3, 10, 10, 0, 5, 6, 0, 13 },
{ 15, 3, 1, 13, 8, 4, 14, 7, 6, 15, 11, 2, 3, 8, 4, 14,
9, 12, 7, 0, 2, 1, 13, 10, 12, 6, 0, 9, 5, 11, 10, 5,
0, 13, 14, 8, 7, 10, 11, 1, 10, 3, 4, 15, 13, 4, 1, 2,
5, 11, 8, 6, 12, 7, 6, 12, 9, 0, 3, 5, 2, 14, 15, 9 },
{ 10, 13, 0, 7, 9, 0, 14, 9, 6, 3, 3, 4, 15, 6, 5, 10,
1, 2, 13, 8, 12, 5, 7, 14, 11, 12, 4, 11, 2, 15, 8, 1,
13, 1, 6, 10, 4, 13, 9, 0, 8, 6, 15, 9, 3, 8, 0, 7,
11, 4, 1, 15, 2, 14, 12, 3, 5, 11, 10, 5, 14, 2, 7, 12 },
{ 7, 13, 13, 8, 14, 11, 3, 5, 0, 6, 6, 15, 9, 0, 10, 3,
1, 4, 2, 7, 8, 2, 5, 12, 11, 1, 12, 10, 4, 14, 15, 9,
10, 3, 6, 15, 9, 0, 0, 6, 12, 10, 11, 1, 7, 13, 13, 8,
15, 9, 1, 4, 3, 5, 14, 11, 5, 12, 2, 7, 8, 2, 4, 14 },
{ 2, 14, 12, 11, 4, 2, 1, 12, 7, 4, 10, 7, 11, 13, 6, 1,
8, 5, 5, 0, 3, 15, 15, 10, 13, 3, 0, 9, 14, 8, 9, 6,
4, 11, 2, 8, 1, 12, 11, 7, 10, 1, 13, 14, 7, 2, 8, 13,
15, 6, 9, 15, 12, 0, 5, 9, 6, 10, 3, 4, 0, 5, 14, 3 },
{ 12, 10, 1, 15, 10, 4, 15, 2, 9, 7, 2, 12, 6, 9, 8, 5,
0, 6, 13, 1, 3, 13, 4, 14, 14, 0, 7, 11, 5, 3, 11, 8,
9, 4, 14, 3, 15, 2, 5, 12, 2, 9, 8, 5, 12, 15, 3, 10,
7, 11, 0, 14, 4, 1, 10, 7, 1, 6, 13, 0, 11, 8, 6, 13 },
{ 4, 13, 11, 0, 2, 11, 14, 7, 15, 4, 0, 9, 8, 1, 13, 10,
3, 14, 12, 3, 9, 5, 7, 12, 5, 2, 10, 15, 6, 8, 1, 6,
1, 6, 4, 11, 11, 13, 13, 8, 12, 1, 3, 4, 7, 10, 14, 7,
10, 9, 15, 5, 6, 0, 8, 15, 0, 14, 5, 2, 9, 3, 2, 12 },
{ 13, 1, 2, 15, 8, 13, 4, 8, 6, 10, 15, 3, 11, 7, 1, 4,
10, 12, 9, 5, 3, 6, 14, 11, 5, 0, 0, 14, 12, 9, 7, 2,
7, 2, 11, 1, 4, 14, 1, 7, 9, 4, 12, 10, 14, 8, 2, 13,
0, 15, 6, 12, 10, 9, 13, 0, 15, 3, 3, 5, 5, 6, 8, 11 }
};
注意:sbox是一个二维数组,行为8,列为64; 其中列是6bit的索引值检索的。比如:
48bit的值为:101100 000011 110000 010100 001101 000110 001101 110000
也就是索引分别为:44 3 48 20 13 6 13 48
得到的数字为:找到sbox[0][44]为2,则输出的第一个字节的高4bit为2; 找到sbox[1][3]为6,则输出第一个字节的低4bit为6等等,最终组成一个4个字节(32bit)的输出。
- 经过上面的替换之后,输入块需要经过最后一次置换操作。置换表如下所示:
static const int p_table[] = { 16, 7, 20, 21,
29, 12, 28, 17,
1, 15, 23, 26,
5, 18, 31, 10,
2, 8, 24, 14,
32, 27, 3, 9,
19, 13, 30, 6,
22, 11, 4, 25 };
这个操作是对输入的右半部分进行的,做完这个操作之后,对结果和输入的左半部分进行XOR,然后得到的结果成为新的右半部分;在传输之前,原来的右半部分最为新的左半部分。
- 最后,完整的DES加密实现算法如下:
#defineDES_BLOCK_SIZE 8 // 64 bits, DES标准中定义的
#defineDES_KEY_SIZE 8 // 只使用了56bit,但是必须提供8个字节(其余8bit被忽略,见上文)
#defineEXPANSION_BLOCK_SIZE 6 //从32bit扩展到48bit,见上面的描述
#definePC1_KEY_SIZE 7// 最终使用了key的56bit
#defineSUBKEY_SIZE 6 //subkey都是48bit的
//plaintext:需要加密的数据,8个字节; ciphertext:加密后的密文,8个字节;key:密钥,8个字节
static void des_block_operate( const unsigned char plaintext[ DES_BLOCK_SIZE ],
unsigned char ciphertext[ DES_BLOCK_SIZE ],
const unsigned char key[DES_KEY_SIZE ] )
{
// 存储空间;从明文到密文之间经过的结果;不过为了提升性能可以复用这些空间
unsigned char ip_block[DES_BLOCK_SIZE ];
unsigned char expansion_block[ EXPANSION_BLOCK_SIZE ];
unsigned char substitution_block[ DES_BLOCK_SIZE / 2 ];
unsigned char pbox_target[ DES_BLOCK_SIZE / 2 ];
unsigned char recomb_box[ DES_BLOCK_SIZE / 2 ];
unsigned char pc1key[PC1_KEY_SIZE ];
unsigned char subkey[SUBKEY_SIZE ];
int round;
// 进行初始置换
permute(ip_block, plaintext,ip_table, DES_BLOCK_SIZE );
//64bit的key转换位56bit(2个28bit组成)的keyschedule
permute(pc1key, key,pc1_table, PC1_KEY_SIZE );
for ( round= 0; round< 16; round++ )
{
// “Feistel function” on the firsthalf of the block in ‘ip_block’
// “Expansion”. This permutation onlylooks at the first
// four bytes (32 bits of ip_block);16 of these are repeated
// in “expansion_table”.
permute(expansion_block, ip_block + 4, expansion_table, 6 );
// “Key mixing”
// rotate both halves of the initialkey
rol(pc1key );
if ( !(round <= 1 ||round == 8 ||round == 15 ) )
{
// Rotate twice except in rounds 1, 2,9 & 16
rol(pc1key );
}
permute(subkey, pc1key,pc2_table, SUBKEY_SIZE );
xor(expansion_block, subkey, 6 );
// Substitution; “copy” from updatedexpansion block to ciphertext block
memset( ( void* ) substitution_block, 0, DES_BLOCK_SIZE / 2 );
substitution_block[ 0 ] =
sbox[ 0 ][( expansion_block[ 0 ]& 0xFC ) >> 2 ] << 4;
substitution_block[ 0 ]|=
sbox[ 1 ][( expansion_block[ 0 ]& 0x03 ) << 4 |
( expansion_block[ 1 ] & 0xF0 ) >> 4 ];
substitution_block[ 1 ] =
sbox[ 2 ][( expansion_block[ 1 ]& 0x0F ) << 2 |
( expansion_block[ 2 ] & 0xC0 ) >> 6 ] << 4;
substitution_block[ 1 ]|=
sbox[ 3 ][( expansion_block[ 2 ]& 0x3F ) ];
substitution_block[ 2 ] =
sbox[ 4 ][( expansion_block[ 3 ]& 0xFC ) >> 2 ] << 4;
substitution_block[ 2 ]|=
sbox[ 5 ][( expansion_block[ 3 ]& 0x03 ) << 4 |
( expansion_block[ 4 ] & 0xF0 ) >> 4 ];
substitution_block[ 3 ] =
sbox[ 6 ][( expansion_block[ 4 ]& 0x0F ) << 2 |
( expansion_block[ 5 ] & 0xC0 ) >> 6 ] << 4;
substitution_block[ 3 ]|=
sbox[ 7 ][( expansion_block[ 5 ]& 0x3F ) ];
// Permutation
permute(pbox_target, substitution_block, p_table, DES_BLOCK_SIZE / 2 );
// Recombination. XOR the pbox withleft half and then switch sides.
memcpy( ( void* ) recomb_box, ( void *) ip_block, DES_BLOCK_SIZE / 2 );
memcpy( ( void* ) ip_block, ( void* ) ( ip_block + 4),
DES_BLOCK_SIZE/ 2 );
xor(recomb_box, pbox_target, DES_BLOCK_SIZE / 2 );
memcpy( ( void* ) ( ip_block + 4), ( void * )recomb_box,
DES_BLOCK_SIZE/ 2 );
}
// Swap one last time
memcpy( ( void* ) recomb_box, ( void *) ip_block, DES_BLOCK_SIZE / 2 );
memcpy( ( void* ) ip_block, ( void* ) ( ip_block + 4), DES_BLOCK_SIZE / 2 );
memcpy( ( void* ) ( ip_block + 4), ( void * )recomb_box,
DES_BLOCK_SIZE/ 2 );
// Final permutation (undo initialpermutation)
permute(ciphertext, ip_block,fp_table, DES_BLOCK_SIZE );
}
DES解密算法
- DES描述的方式有一个很好的地方是它的解密和加密是一样的,只有key schedule是相反的。在加密的每一轮中,对key是做左轮换;但是在解密时做的是右轮换。其它的都是相似的。我们很容易地对des_block_operate函数增加解密支持,如下面的代码所示:
typedef enum {OP_ENCRYPT, OP_DECRYPT } op_type;
static void des_block_operate( const unsigned char plaintext[ DES_BLOCK_SIZE ],
unsigned char ciphertext[ DES_BLOCK_SIZE ],
const unsigned char key[ DES_KEY_SIZE ],
op_type operation )
{
…
for ( round= 0; round< 16; round++ )
{
permute(expansion_block, ip_block + 4, expansion_table, 6 );
// “Key mixing”
// rotate both halves of the initialkey
if (operation == OP_ENCRYPT )
{
rol(pc1key );
if ( !(round <= 1 ||round == 8 ||round == 15 ) )
{
// Rotate twice except in rounds 1, 2,9 & 16
rol(pc1key );
}
}
permute(subkey, pc1key,pc2_table, SUBKEY_SIZE );
if (operation == OP_DECRYPT )
{
ror(pc1key );
if ( !(round >= 14 ||round == 7 ||round == 0 ) )
{
// Rotate twice except in rounds 1, 2,9 & 16
ror(pc1key );
}
}
xor(expansion_block, subkey, 6 );
...
}
ror的代码如下:
static void ror(unsignedchar *target )
{
int carry_left, carry_right;
carry_right= ( target[ 6 ] & 0x01 ) << 3;
target[ 6 ] =( target[ 6 ]>> 1 ) | ( ( target[5 ] & 0x01 ) << 7 );
target[ 5 ] =( target[ 5 ]>> 1 ) | ( ( target[4 ] & 0x01 ) << 7 );
target[ 4 ] =( target[ 4 ]>> 1 ) | ( ( target[3 ] & 0x01 ) << 7 );
carry_left= ( target[ 3 ] & 0x10 ) << 3;
target[ 3 ] =( ( ( target[ 3 ]>> 1 ) |
( ( target[2 ] & 0x01 ) << 7 ) ) & ~0x08 ) |carry_right;
target[ 2 ] =( target[ 2 ]>> 1 ) | ( ( target[1 ] & 0x01 ) << 7 );
target[ 1 ] =( target[ 1 ]>> 1 ) | ( ( target[0 ] & 0x01 ) << 7 );
target[ 0 ] =( target[ 0 ]>> 1 ) | carry_left;
}
块加密算法中的填充和分组
- 正如前面展示的,DES是对8个字节的块进行操作的。如果输入的字节长度大于8个字节,那么需要反复调用上面的 des_block_operate函数。如果输入没有按照8个字节对齐,那就得对输入进行填充。当然,填充的方案必须按照一定的约定,否则各种实现就不通用了。如果我们采用的传统的方式在后面加0,那我们就需要一种方式来确定输入是否真的是以0结尾还是这些0是填充的。NIST发布了800-38A ( http://csrc.nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf )建议在输入的末尾填充bit 1,然后再后面跟上足够的0,使得输入时8字节对齐的。也就是说,如果输入不是8字节对齐的,我们需要在输入后面先增加一个128的字节(0x80),然后后续跟上足够多的值为0的字节。这样在解密的时候,我们对解密后的结果,从末尾开始,如果为0则删除,直到碰上了值为128的字节。比如:如果输入的是abcdef,为了使它成为8字节,填充之后的结果为:61 62 63 64 65 66 80 00【61为a的ascii值,其它类推】。
- 但是上述方式存在一个问题,如果输入就是8字节对齐的,并且是以0x80后跟0x00结尾时,我们在解密的时候会错误删除字节了。因此,当输入时8字节对齐的时候,我们需要填充一个8字节的块(0x80 0x0 0x0 0x0 0x0 0x0 0x0 0x0)。
- 现在我们就可以来实现 des_encrypt方法,它在对输入填充之后使用 了des_block_operate方法来进行加密。
static void des_operate( const unsigned char *input,
int input_len,
unsigned char *output,
const unsigned char *key,
op_typeoperation )
{
unsigned char input_block[ DES_BLOCK_SIZE ];
assert( !(input_len % DES_BLOCK_SIZE ) );
while (input_len )
{
memcpy( ( void* ) input_block, ( void *) input, DES_BLOCK_SIZE );
des_block_operate( input_block, output, key, operation );
input+= DES_BLOCK_SIZE;
output+= DES_BLOCK_SIZE;
input_len-= DES_BLOCK_SIZE;
}
}
des_encrypt方法如下所示:
void des_encrypt( const unsigned char *plaintext,
const int plaintext_len,
unsigned char *ciphertext,
const unsigned char *key )
{
unsigned char *padded_plaintext;
int padding_len;
// First, pad the input to a multipleof DES_BLOCK_SIZE
padding_len= DES_BLOCK_SIZE - ( plaintext_len %DES_BLOCK_SIZE );
padded_plaintext= malloc(plaintext_len + padding_len );
// This implements NIST 800-3A padding
memset(padded_plaintext, 0x0,plaintext_len + padding_len );
padded_plaintext[ plaintext_len ] = 0x80;
memcpy(padded_plaintext, plaintext,plaintext_len );
des_operate( padded_plaintext, plaintext_len + padding_len, ciphertext, key, OP_ENCRYPT );
free(padded_plaintext );
}
- 除了上面说的NIST 800-38A填充的方法,还有一种填充方法是:PKCS #5 ,它填充的值是需要填充的字节数。这种方式只需要看解密后的最后一个字节的值,然后删除对应数目的字节就可以了。比如:输入的是abcdef,填充之后就是:
6162 63 64 65 66 02 02
a b c d e f
因为需要填充2个字节,所以填充的值为2. 如果输入是8字节对齐 的,那么就增加:0x08 0x08 0x08 0x08 0x08 0x08 0x08 0x08
使用PKCS #5 填充方案,des_encrypt的实现如下:
// First, pad the inputto a multiple of DES_BLOCK_SIZE
padding_len = DES_BLOCK_SIZE - (plaintext_len % DES_BLOCK_SIZE );
padded_plaintext = malloc( plaintext_len + padding_len );
// This implements PKCS#5 padding.
memset( padded_plaintext,padding_len, plaintext_len + padding_len );
memcpy( padded_plaintext,plaintext, plaintext_len );
des_operate( padded_plaintext,plaintext_len + padding_len, ciphertext, key, OP_ENCRYPT );