网络安全实验五 密钥与加解密(一)

一、实验目的

本实验的学习目的是让学生熟悉密钥加密的概念，熟悉和了解加密算法(cipher)、加密模式(encryption mode)、 填充(padding)、以及初始向量(IV)的定义与作用。此外，学生还可以通过使用工具和编写程序加密/解密信息。

二、实验环境

实验环境拓扑：

实验机：ubuntu12.04

用户seed 密码dees

数据库用户root 密码seedubuntu

三、实验内容与实验要求

实验步骤一

学习使用不同的加密算法与加密模式进行加密。

你可以使用 openssl enc 命令来加密／解密一个文件。输入 man openssl 和 man enc 命令可以查看使用手册。

首先我们创建一个明文文件，内容为:seedlabtest（可以随意填写内容）

$echo seedlabtest > plain.txt

使用openssl对明文进行加密，命令如下（请将下面命令中的 ciphertype 替换成指定的加密类型，比如-aes-128-cbc, -aes-128-cfb, -bf-cbc 等）：

$ openssl enc ciphertype -e -in plain.txt -out cipher.bin -K 00112233445566778899aabbccddeeff  -iv 0102030405060708

任务：在本实验中你至少需要尝试使用三种不同的密码(cypher)与加密模式(encryption mode)对明文进行加密，并对密文进行解密。可以通过输入man enc命令了解到各选项的含义以及 openssl 所支持的所有加密类型。

注：密码(cipher):指 bf, cast, des, aes, rs2等

加密模式(encryption mode):指 cbc, ecb, cfb, ofb 等

上述命令参数选项释义：

实验步骤二

加密模式——ECB与CBC的区别

/home/seed/crypto目录下有一张图片。pic_original.bmp 是一张简单的图片，我们将对它进行加密，这样没有密钥的人就无法看到这张图是什么了。那么，请分别使用 ECB 和 CBC 模式对图片进行加密生成两个新文件pic_cbc.bmp和pic_ecb.bmp。

注意：

加密后的bmp文件头是损坏的，我们需要用bless编辑该图片文件。（bmp头长度为54字节）。使用bless编辑三个文件，复制pic_original.bmp的头部，粘贴替换其他两个文件头部。需要替换的部分见下图。

修复bmp文件头部之后，我们打开三张图片进行对比：

Pic_cbc.bmp

Pic_ecb.bmp

原图：

相信你通过观察实验结果已经明白加密模式——ECB与CBC的区别了。

实验步骤三

加密模式——损坏的密文。

为了理解各种不同加密模式的特性，我们需要做以下练习：

1.创建一个长度至少 64 字节的文本文件。

2.使用 AES-128 不同的模式对其进行加密

3.不幸的是，密文的第 30 位损坏了。请用编辑器模拟损坏，编辑该位，将其反转（随便修改第30位）。

4.使用相同的 key 与 iv 对密文进行解密。

分别用 ECB，CBC，CFB，OFB 四种模式解密损坏的文件，观察有多少数据是正确恢复的，造成这种结果的原因是什么？

请自行实验，如果无法完成，可以参考/home/seed/encrypt/目录下的enc.sh和dec.sh。不要忘记第3个步骤。

实验结果：

实验步骤四

填充（padding）。

对于分组密码来说，当明文大小不是分组大小的倍数的时候，就需要使用填充了。请做以下练习：

1.openssl 手册（man openssl）中提到 openssl 使用 pkcs5 标准来做填充。请在查询 pkcs5 标准给出的填充方法后设计实验验证这一点。使用aes分别来加密20字节和32字节的明文来了解填充方法的差异。

2.使用 ECB，CBC，CFB，OFB 四种模式加密同一个文件，说明哪种模式会使用填充，哪种模式不会，为什么有些模式不需要填充。

四、实验过程与分析

首先我们创建一个明文文件，内容为:seedlabtest（可以随意填写内容）

$echo seedlabtest > plain.txt

使用openssl对明文进行加密，命令如下（请将下面命令中的 ciphertype 替换成指定的加密类型，比如-aes-128-cbc, -aes-128-cfb, -bf-cbc 等）：

$ openssl enc ciphertype -e -in plain.txt -out cipher.bin -K 00112233445566778899aabbccddeeff  -iv 0102030405060708

/home/seed/crypto目录下有一张图片。pic_original.bmp 是一张简单的图片，我们将对它进行加密，这样没有密钥的人就无法看到这张图是什么了。那么，请分别使用 ECB 和 CBC 模式对图片进行加密生成两个新文件pic_cbc.bmp和pic_ecb.bmp。

加密后的bmp文件头是损坏的，我们需要用bless编辑该图片文件。（bmp头长度为54字节）。使用bless编辑三个文件，复制pic_original.bmp的头部，粘贴替换其他两个文件头部。需要替换的部分见下图。

修复bmp文件头部之后，我们打开三张图片进行对比：

分别用 ECB，CBC，CFB，OFB 四种模式解密损坏的文件

五、实验结果总结

通过实验我们学习使用不同的加密算法与加密模式进行加密，并且使用 openssl enc 命令来加密／解密一个文件。输入 man openssl 和 man enc 命令可以查看使用手册，以及加密模式——ECB与CBC的区别等。

1.PKCS5是8字节填充的，即填充一定数量的内容，使得成为8的整数倍，而填充的内容取决于需要填充的数目。

例如，串0x56在经过PKCS5填充之后会成为0x56 0x07 0x07 0x07 0x07 0x07 0x07 0x07因为需要填充7字节，因此填充的内容就是7。

当然特殊情况下，如果已经满足了8的整倍数，按照PKCS5的规则，仍然需要在尾部填充8个字节，并且内容是0x08,目的是为了加解密时统一处理填充。

2.ECB和CBC不需要填充，CFB和OFB需要填充。因为ECB明文中的重复排列会反映在密文中；通过删除、替换密文分组可以对明文进行操作；对包含某些比特错误的密文进行解密时，对应的分组会出错；不能低于重放攻击。CBC对包含某些错误比特的密文进行解密时，第一个分组的全部比特以及后一个分组的相应比特会出错；加密不支持并行计算。