图解密码技术-第四章：分组密码的模式（迭代方式）

第四章：分组密码的模式（迭代方式）

1.分组密码的模式：DES、AES是分组密码，只能加密固定长度的明文。想要加密任意长度的明文，需要对分组密码进行迭代，分组密码的迭代就是分组密码的“模式”。

2.分组密码和流密码：

分组密码指每次只能处理特定长度的一块数据的一类密码算法，这里的“一块”指的是分组，一个分组的比特数就称为分组长度。

流密码指对数据流进行连续处理的一类密码算法。流密码一般以1比特、8比特或32比特等为单位进行加密和解密。流密码是对一串数据流进行连续处理，因此需要保持内部状态。

3.明文分组和密文分组：

明文分组：明文分组指的是分组密码算法中作为加密对象的明文。明文分组的长度与分组密码算法的分组长度相等。

密文分组：是指使用分组密码算法将明文分组加密后所生成的密文。

分组密码的主要模式：ECB、CBC、CFB、OFB、CTR。

（1）ECB（Electronic CodeBook，电子密码本模式）：

在ECB模式中将明文分组加密之后的结果将直接成为密文分组。也就是说加密过程中相同的明文分组会被转换为相同的密文分组。

​ ECB特点：

​ $\bullet$ 所有模式中最简单的一种

​ $\bullet$ 明文分组与密文分组是一一对应的关系。密文分组中有多个相同元素时就可以知道明文中的重复组合。ECB存在一定风险。

​ $\bullet$ 对ECB的攻击： 无需破译密码就能够操纵明文。

​ 在ECB中， 只要对任意密文分组进行替换、删除、复制等，相应的明文分组就会被替换。

（2）CBC（Cipher Block Chaining，密文分组链接模式）：

在CBC模式中，首先，将明文分组与前一个密文分组进行XOR运算，然后再进行加密。

应用：互联网通信协议SSL/TLS就是使用CBC模式来确保通信的机密性。

​ $\bullet$ 初始化向量：当加密第一个明文分组时，由于不存在“前一个密文分组”，因此需要事先准备一个长度为一个分组的比特序列，这个比特序列称为初始化向量（缩写为IV），且一般情况下是随机的产生的。

​ CBC特点：

​ $\bullet$ CBC模式中的密文分组有一些比特缺失了，那么此时就会导致密文分组的长度发生变化，从而使得后面的分组发生错位，这样就无法破解缺失比特位置之后的密文分组。

​ $\bullet$ CBC模式的攻击：

​ （1）密文分组中存在比特缺失的情况时，进行解密时会对后续密文分组的解密产生影响。

​ （2）初始化向量的比特反转：对初始化向量进行比特反转来对明文分组进行比特反转攻击，则明文分组（解密后得到的明文分组）中的相应的比特也会被反转。但是对密文分组进行比特反转攻击就非常困难了。

**填充提示攻击：**是一种利用分组密码中的填充部分来进行攻击的方法，该攻击适用于所以需要进行分组填充的模式。

​ 具体做法：攻击者反复发送一段密文，每次发送时都对填充的数据进行少许修改。服务器在无法正确解密时会返回一个错误信息，攻击者通过这一错误信息就可以获得一部分与明文相关的信息。

分组填充：在分组密码中，当明文长度不为分组长度的整数倍时，需要在最后一个分组中填充一些数据使其凑满一个分组长度。

（3）CFB（Cipher FeedBack， 密文反馈模式）：

​ 在CFB模式中，前一个密文分组会被送回到密码算法的输入端。反馈是指返回输入端的意思。

$\bullet$ CFB与ECB和CBC的区别是CFB模式中，明文分组并没有通过密码算法来直接进行加密。

$\bullet$ CFB与流密码：CFB结构与一次性密码本相似，一次性密码本是通过明文与随机比特序列进行XOR运算生成密文的。而CFB模式是通过将明文分组与密码算法的输出进行XOR运算来生成密文分组的。但是，CFB不具备理论上的不可破译性质。

密钥流：CFB模式中由面膜算法所生成的比特序列称为密钥流（key stream）。

CFB模式是一种使用分组密码来实现流密码的方式。

$\bullet$ CFB模式的攻击：重放攻击（reply attack），截取保存某段消息，用这段密文替换另一次发送信息中的某一段，导致密文内容被篡改。

（4）OFB（Output-Feedback， 输出反馈模式）：

​ 在OFB模式中，密码算法的输出会反馈到密码算法的输入中，OFB模式是通过将明文分组和密码算法的输出进行XOR来产生密文分组的。

$\bullet$ CFB与OFB模式对比：区别在于密码算法的输入。OFB中，密码算法的输入则是密码算法的前一个输出，也就是将输出反馈给密码算法。

（5）CTR（CounTeR，计数器模式）：

CTR是一种通过将逐次累加的计数器进行加密来生成密钥流的流密码。每个分组对应一个逐次累加的计数器，并通过对计数器进行加密来生成密钥流。最终的密文分组是通过将计数器加密得到的比特序列。

计数器的生成方法：每次加密时都会生成一个不同的值（nonce）来作为计数器的初始值。

$\bullet$ OFB和CTR模式的对比：

​ 都是流密码。

​ OFB模式是将加密的输出反馈到输入，而CTR模式则是将计数器的值用作输入。

​

CTR模式特点：

1.加密解密的结构相同。

2.CTR可以以任意顺序对分组进行加密和解密，因此在加密和解密时需要用到的计数器的值可以由nonce和分组序号直接计算出来。

3.能够以任意顺序处理分组，意味这可以实现并行计算。

错误与机密性：CTR中，可以通过反转密文分组中的某些比特，引起解密后明文中的相应比特也发生反转。这与OFB模式相似，不过CTR模式具备一个比OFB好的性质。在OFB模式中，如果对密钥流的一个分组进行加密后其结果碰巧和加密前是相同的，那么这一分组之后的密钥流会变成同意值的不断反复。

GCM模式：在CTR的基础上增加“认证”功能的模式称为GCM模式。

总结：分组密码模式比较