密码学-03私钥加密与伪随机性p2

Wxiran

已于 2022-10-19 10:53:02 修改

阅读量456

点赞数

文章标签：网络安全

于 2022-08-30 17:11:19 首次发布

本文链接：https://blog.csdn.net/wxiran/article/details/126608416

版权

私钥加密与伪随机性第二部分

本节课学习另外两种私钥加密安全理论：选择明文攻击（CPA）下不可区分性，选择密文攻击（CCA）下不可区分性；
目录：流加密与CPA，CPA安全加密方案，操作模式，CCA安全加密方案
流加密方案（Stream Cipher）
- 思路：受一次一密方案的启发
- 流加密方案：通过与伪随机的比特流（密钥流）异或来加密
- 多个消息：拼成一个消息
- 密钥流：由一个变长的伪随机生成器产生
- 优点：比分组密码更快
- 缺点：难以做到安全
采用流加密方案的安全多重加密
- 同步模式：用一个流中不同部分分别加密各个消息；
- 异步模式：以密钥和初始向量一起作为输入来产生流，每个明文的加密采用相同的密钥和不同的初始向量
  - 初始向量（Initial Vector）， $I V$ 是随机选取的并且是公开的；其生成是随机的并不受控制，但生成后并不保密；密钥的生成是随机的并不受控制，但生成后也要保密。
- 两种模式差异：
  - 同步模式适合持续通信场景，例如语音；异步模式适合间断通信场景，例如即时消息。
流密码的安全性
1. 现状：没有标准化和流行的方案，安全性仍有疑问，例如在802.11中WEP协议的RC4，线性反馈移位寄存器（Linear Feedback Shift Registers）；
2. 警告：不要使用任何流加密方案，如果一定需要的话，采用由分组加密方案构造的。
3. eStream项目致力于设计安全的流密码
相关密钥：真实世界例子
- 用于多重加密的密钥（初始向量和密钥对）必须是独立的。否则，前面的攻击就会生效；
- 对于802.11b WEP的若干攻击：
  - WEP为异步模式， $\mathsf{Enc}(m_i) := \left< IV_i, G(IV_i\|k) \oplus m_i\right>$
  - $I V$ 长度为24比特，在 $2^{24} \approx$ 16M 帧后 $I V$ 会产生重复；
  - 在一些WiFi网卡上，在电源重启后 $I V$ 重置为0；
  - $IV_i = IV_{i-1} + 1$ . 对于RC4，在40,000帧后可以恢复 $k$ ；
多重加密（Multiple Encryptions）
- 多个明文的加密实验 $\mathsf{PrivK}^{\mathsf{mult}}_{\mathcal{A},\Pi}(n)$ ，当一次加密多个明文时，窃听者敌手能够区分出两组明文吗？
- 一个敌手 $\mathcal{A}$ 与一个挑战者 $\mathcal{C}$ 进行3轮交互：
  1. $\mathcal{A}$ 选择两个长度相同、内容不同明文向量 $\vec{M}_0=(m_0^1,\dots,m_0^t)$ , $\vec{M}_1=(m_1^1,\dots,m_1^t)$ ，其中两个向量中同一位置的明文长度相同 $\forall i, |m_0^i| = |m_1^i|$ ，发送给 $\mathcal{C}$ ；
  2. $\mathcal{C}$ 根据密钥生成算法生成一个新密钥 $\gets \mathsf{Gen}(1^n)$ ，一个随机比特 $\gets \{0,1\}$ 。对向量 $\vec{M}_b$ 中每个明文加密 $c^i \gets \mathsf{Enc}_k(m_b^i)$ 得到一个密文向量 $\vec{C}=(c^1,\dots,c^t)$ ，并发送给 $\mathcal{A}$ ；
  3. $\mathcal{A}$ 输出对所加密明文向量的猜测 $b^{'}$ ，若 $b = b^{'}$ ，则 $\mathcal{A}$ 成功；否则，失败；
- 这与之前的单个消息不可区分实验类似的，区别在于用同一个密钥加密的多个消息。敌手可以获得多个明文的密文，比单个明文不可区分实验中的敌手有更强的能力。
多重加密安全定义
- $\Pi$ 是窃听者出现时不可区分的多重加密方案，如果任意PPT的敌手 $\mathcal{A}$ , 存在可忽略的函数 $\mathsf{negl}$ 使得
  
  $\Pr\left[\mathsf{PrivK}^{\mathsf{mult}}_{\mathcal{A},\Pi}(n)=1\right] \le \frac{1}{2} + \mathsf{negl}(n).$
- 迄今学习的密码学方案是否是多重加密不可区分的？
攻击确定性多重加密方案
- 问题：如果一个加密方案中加密算法是确定性的，即同一个明文会被同一个密钥加密成同一个密文，那么该加密方案是多重加密安全的吗？
- 攻击：对于确定性加密方案，敌手可以构造 $m_0^1 = m_0^2$ 并且 $m_1^1 \neq m_1^2$ ，然后当 $c^1 = c^2$ ，输出 $b^{'} = 0$ ，否则 $b^{'} = 1$ 。
选择明文攻击（Chosen-Plaintext Attacks (CPA)）

敌手具有获得其所选择明文对应的密文的能力。
第二次世界大战中的例子：美国海军密码分析学家相信密文“AF”表示日语中的“中途岛”；但美国将军不认为中途岛会遭到攻击；美国海军密码分析学家发送了一个明文，中途岛淡水供给不足；日本军队截获的明文，并发送了一段密文，“AF”淡水不足；美国军队派出三艘航空母舰并且取胜。
这里例子里，美国海军密码分析学家选择了明文并得到了密文。

CPA安全实验
- CPA不可区分实验 $\mathsf{PrivK}^{\mathsf{cpa}}_{\mathcal{A},\Pi}(n)$ :
  1. 挑战者生成密钥 $\gets \mathsf{Gen}(1^n)$ ；（为了下一步的加密预言机）
  2. $\mathcal{A}$ 被给予输入 $1^n$ 和对加密函数 $\mathsf{Enc}_k(\cdot)$ 的预言机访问（oracle access） $\mathcal{A}^{\mathsf{Enc}_k(\cdot)}$ ，输出相同长度 $m_0, m_1$ ；
  3. 挑战者生成随机比特 $\gets \{0,1\}$ ，将挑战密文 $\gets \mathsf{Enc}_k(m_b)$ 发送给 $\mathcal{A}$ ；
  4. $\mathcal{A}$ 继续对 $\mathsf{Enc}_k(\cdot)$ 的预言机的访问，输出 $b^{'}$ ；如果 $b^{'} = b$ ，则 $\mathcal{A}$ 成功 $\mathsf{PrivK}^{\mathsf{cpa}}_{\mathcal{A},\Pi}=1$ ，否则 0。
- 该实验与窃听者不可区分实验的区别在于，敌手可访问加密预言机，在实验过程中始终可以（产生两个明文阶段，猜测被加密明文阶段）获得任意明文被同一密钥加密的密文，而且密文是逐个获得，可以根据之前的明文和密文对来“适应性地”构造新的查询。
- CPA敌手比多重加密的敌手更“强大”，因为多重加密敌手是可以一次性地获得一组密文，而CPA敌手可以“多次适应性地”获得密文。
CPA安全
- $\Pi$ 是CPA不可区分加密方案 (CPA安全的)，如果任意概率多项式时间算法 $\mathcal{A}$ ，存在可忽略的函数 $\mathsf{negl}$ 使得，
  
  $\Pr\left[\mathsf{PrivK}^{\mathsf{cpa}}_{\mathcal{A},\Pi}(n)=1\right] \le \frac{1}{2} + \mathsf{negl}(n)$
- 定理：CPA安全也是多重加密安全的。证明略。直觉上，CPA敌手比多重加密敌手更强大。
- 之前的方案也难以实现CPA安全；
- 多重加密安全意味着CPA安全？（作业）
伪随机函数（Pseudorandom Function）概念
- 为了实现CPA安全，需要新的数学工具为加密提供随机性，为此引入伪随机函数（PRF），是对伪随机生成器（PRG）的泛化：PRG从一个种子生成一个随机串，PRF从一个key生成一个函数；
- 带密钥的函数Keyed function $\{0,1\}^* \times \{0,1\}^* \to \{0,1\}^*$
  - $F_k : \{0,1\}^* \to \{0,1\}^*$ , $F_k(x) \overset{\text{def}}{=} F(k,x)$
  - 两个输入到一个输出，看上去像，但不是加密函数；输入key，得到一个一输入到一输出的函数；
- 查表Look-up table $f$ : $\{0,1\}^n \to \{0,1\}^n$ 需要多少比特信息存储？
  - 查表是一个直接描述输入与输出间映射的表格，一个条目对应一个输入与一个输出；当该映射是随机产生的，是一个真随机函数；
- 函数族Function family $\mathsf{Func}_n$ : 包含所有函数 $\{0,1\}^n \to \{0,1\}^n$ . $|\mathsf{Func}_n| = 2^{n\cdot2^n}$
  - 一个PRF是函数族中一个子集，key确定下的PRF是函数族中一个元素，一个查表是函数族中一个元素；
- 长度保留Length Preserving: $\ell_{key}(n) = \ell_{in}(n) = \ell_{out}(n) = n$ ；密钥长度与函数输入、输出长度相同为 $n$ ；没有特殊说明时，只讨论长度保留的函数；
伪随机函数定义
- 直觉上，一个PRF生成的带密钥的函数与从函数族中随机选择的真随机函数（查表）之间是不可区分的；然而，一个真随机函数具有指数长度，无法“预先生成”，只能“on-the-fly”的使用，引入一个对函数 $\mathcal{O}$ 的确定性的预言机访问（oracle access） $D^\mathcal{O}$ 。
- 一个带密钥的函数是一个伪随机函数，对任意PPT区分器 $D$ ， $\left|\Pr[D^{F_k(\cdot)}(1^n)=1] - \Pr[D^{f(\cdot)}(1^n)=1]\right| \le \mathsf{negl}(n)$ ，其中 $f$ 是 $\mathsf{Func}_n$ 中随机函数。
- 问题一个固定长度的一次一密方案是一个PRF吗？
- PRF和PRG的关系在后面还会学习，可以由PRG来构造PRF。
PRF例题
- 对于一个PRF，在key保密和没有预言机访问时，给指定输入，能以不可忽略的概率猜测输出相关信息吗？
- 如果是PRF，则给出两个函数的相似性；否则，给出一个区分器可以区分出该函数；
以PRF实现CPA安全
- 新随机串 $r$ ，每次新生成一个随机串；
- $F_k(r)$ : $∣ k ∣ = ∣ m ∣ = ∣ r ∣ = n$ . 长度保留；
- $\mathsf{Gen}$ : $\in \{0,1\}^n$ .
- $\mathsf{Enc}$ : $F_k(r)\oplus m$ , $\left<r, s\right>$ . 密文包括两部分新随机串，以及异或输出；
- $\mathsf{Dec}$ : $F_k(r)\oplus s$ .
- 定理：上述方案是CPA安全的；
从PRF到CPA安全的证明
- 思路：从PRF的区分器算法 $\mathcal{D}$ 规约到加密方案敌手算法 $\mathcal{A}$ ，区分器 $\mathcal{D}$ 作为敌手 $\mathcal{A}$ 的挑战者，敌手 $\mathcal{A}$ 实验成功时区分器 $\mathcal{D}$ 输出1。分两种情况，当输入真随机函数 $f$ 时，相当于一次一密；当输入伪随机函数 $F_k$ 时，为加密方案。
- 规约： $\mathcal{D}$ 输入预言机，输出一个比特； $\mathcal{A}$ 的加密预言机访问通过 $\mathcal{D}$ 的预言机 $\mathcal{O}$ 来提供， $\left<r, \mathcal{O}(r) \oplus m \right>$ ； $\mathcal{D}$ 输出1，当 $\mathcal{A}$ 在实验中成功；
从PRF到CPA安全的证明（续）
- 考虑真随机函数 $f$ 的情况，分析不可区分实验成功概率 $\Pr[\mathsf{PrivK}_{\mathcal{A},\tilde{\Pi}}^{\mathsf{cpa}}(n) = 1] = \Pr[\mathsf{Break}]$ 。敌手 $\mathcal{A}$ 访问加密预言机可以获得多项式 $q (n)$ 个明文与密文对的查询结果并得到随机串和pad $\{ \left< r_i, f(r_i) \right> \}$ ；当收到挑战密文 $c=\left<r_c, s:=f(r_c)\oplus m_b\right>$ 时，根据之前查询结果中随机串是否与挑战密文中随机串相同，分为两种情况：
  - 当有相同随机串时，根据 $r$ 可以得到 $f(r_c)$ ， $m_b=f(r_c)\oplus s$ ，但这种情况发生的概率 $q(n)/2^n$ 是可忽略的；
  - 当没有相同随机串时，输出是随机串，相当于一次一密，成功概率=1/2；
- $\Pr[D^{F_k(\cdot)}(1^n)=1] = \Pr[\mathsf{PrivK}_{\mathcal{A},\Pi}^{\mathsf{cpa}}(n) = 1] = \frac{1}{2} + \varepsilon(n).$
- $\Pr[D^{f(\cdot)}(1^n)=1] = \Pr[\mathsf{PrivK}_{\mathcal{A},\tilde{\Pi}}^{\mathsf{cpa}}(n) = 1] = \Pr[\mathsf{Break}] \le \frac{1}{2} + \frac{q(n)}{2^n}.$
- $\Pr[D^{F_k(\cdot)}(1^n)=1] - \Pr[D^{f(\cdot)}(1^n)=1] \ge \varepsilon(n) - \frac{q(n)}{2^n}.$ 根据伪随机函数定义， $\varepsilon(n)$ 是可忽略的.
- 小结：通过规约将 $\mathcal{A}$ 的不可区分实验成功的概率与 $D$ 的区分器实验输出1的概率建立等式；分析输入真随机函数预言机时 $D$ 输出1的概率（即不可区分实验成功概率）是1/2+可忽略函数；根据PRF的定义，输入伪随机函数预言机时 $D$ 输出1的概率（1/2+ $\varepsilon(n)$ ）与输入真随机函数预言机时 $D$ 输出1的概率（1/2）的差异时可忽略的。
从PRF到CPA安全：变长消息
- 对于任意长度消息 $m_1, \dots , m_{\ell}$ ， $\left< r_1, F_k(r_1) \oplus m_1, r_2, F_k(r_2) \oplus m_2, \dots, r_\ell, F_k(r_\ell) \oplus m_\ell\right>$
- 推论：如果 $F$ 是一个 PRF，那么 $\Pi$ 对任意长度消息是 CPA 安全的。
- 有效性: $∣ c ∣ = 2∣ m ∣$ . 密文长度是明文长度的二倍，并且需要大量的真随机串；
伪随机排列（Pseudorandom Permutations）
- 为了提高对任意长度消息加密的效率，以及更高级的加密基础工具，学习伪随机排列PRP的概念；
- 双射 Bijection: $F$ 是一到一的（一个输入对应一个唯一输出）且满射（覆盖输出集中每个元素）；
- 排列 Permutation: 一个从一个集合到自身的双射函数；
- 带密钥的排列 Keyed permutation: $\forall k, F_k(\cdot)$ 是排列；类似带密钥的函数；
- $F$ 是一个双射 $\iff F^{-1}$ 是一个双射；函数和逆函数都是双射；
- 定义：一个有效的带密钥的排列 $F$ 是PRP，如果对于任意PPT的区分器 $D$ ，
  
  $\left|\Pr[D^{F_k(\cdot),F_k^{-1}(\cdot)}(1^n)=1] - \Pr[D^{f(\cdot),f^{-1}(\cdot)}(1^n)=1]\right| \le \mathsf{negl}(n)$
- 问题：一个PRP也是一个PRF吗？
PRP例题
- 对1比特的PRP、PRF的分析；
- 定理：如果 $F$ 是一个 PRP 并且 $\ell_{in} (n) \ge n$ ，那么 $F$ 也是一个 PRF。
操作模式概念（Modes of Operation）
- 操作模式是使用PRP或PRF来加密任意长度消息的方法；
- 操作模式是从PRP或PRF来构造一个PRG的方法；
- 将一个消息分成若干等长的块（分组，block），每个块以相似方式处理；
Electronic Code Book (ECB) 模式
- 在窃听者出现时，是否是不可区分的？
- $F$ 可以是任意PRF吗？
对ECB的攻击
- 为什么仍然可以识别企鹅？
**Cipher Block Chaining (CBC)**模式
- $I V$ 初始向量，一个新的随机串；
- 是CPA的吗？可并性化吗？F可以是任意PRF吗？
Output Feedback (OFB) Mode模式
- 是CPA安全吗？可并性化吗？F可以是任意PRF吗？
Counter (CTR) Mode模式
- $c t r$ 是一个初始向量，并且逐一增加；
- 是CPA安全吗？可并性化吗？F可以是任意PRF吗？
CTR模式是CPA安全
- 定理：如果 $F$ 是一个PRF，那么随机CTR模式是CPA安全的。
- 证明：其安全性与之前基于PRF的CPA安全证明类似，从PRF的伪随机假设规约到CPA安全加密方案。其中，对 $c t r$ 的安全性直觉在于， $c t r$ 也是在加密前不可预测的，且每个块所用 $c t r$ 都是不同的；
- 当加密预言机是由真随机查表构成时，敌手多次访问加密预言机得到的 $c t r$ 序列与挑战密文的 $c t r$ 序列之间有重叠的概率 $\frac{2q(n)^2}{2^n}$ 是可以忽略的；若没有重叠，则相当于一次一密；
CTR模式是CPA安全（续）
- 规约与之前证明基于PRF的CPA安全加密方案一样，证明过程也类似。
初始向量不应该可预测
- 如果 $I V$ 是可预测的，那么CBC/OFB/CTR模式不是CPA安全的。
- 为什么？（作业）
- 在SSL/TLS 1.0中的漏洞：记录 $\#i$ 的 $I V$ 是上一个记录 $\#(i-1)$ 的密文块。
- OpenSSL中API：需要用户输入 $I V$ ，但 $I V$ 应在函数内实现。当 $I V$ 不充分随机时不安全。
非确定性加密
- 有三种通用的实现CPA安全的非确定性加密方法：
- 随机化的： $r$ 随机生成，如构造5；需要更多熵，长密文
- 有状态的： $r$ 为计数器，如CTR模式；需要通信双方同步计数器
- 基于Nonce的： $r$ 只用一次；需要保证只用一次，长密文
选择密文攻击 Chosen-Ciphertext Attacks (CCA)
- CCA不可区分实验 $\mathsf{PrivK}^{\mathsf{cca}}_{\mathcal{A},\Pi}(n)$ :
  1. 挑战者生成密钥 $\gets \mathsf{Gen}(1^n)$ ；（为了下一步的预言机）
  2. $\mathcal{A}$ 被给予输入 $1^n$ 和对加密函数 $\mathsf{Enc}_k(\cdot)$ 和解密函数 $\mathsf{Dec}_k(\cdot)$ 的预言机访问（oracle access） $\mathcal{A}^{\mathsf{Enc}_k(\cdot)}$ 和 $\mathcal{A}^{\mathsf{Dec}_k(\cdot)}$ ，输出相同长度 $m_0, m_1$ ；
  3. 挑战者生成随机比特 $\gets \{0,1\}$ ，将挑战密文 $\gets \mathsf{Enc}_k(m_b)$ 发送给 $\mathcal{A}$ ；
  4. $\mathcal{A}$ 继续对除了挑战密文 $c$ 之外的预言机的访问，输出 $b^{'}$ ；如果 $b^{'} = b$ ，则 $\mathcal{A}$ 成功 $\mathsf{PrivK}^{\mathsf{cca}}_{\mathcal{A},\Pi}=1$ ，否则 0。
  定义：一个加密方案是CCA安全的，如果实验成功的概率与1/2的差异是可忽略的。
理解CCA安全
- 在现实世界中，敌手可以通过影响被解密的内容来实施CCA。如果通信没有认证，那么敌手可以以通信参与方的身份来发送特定密文。
- CCA安全性意味着“non-malleability”（不可锻造性），不能修改密文来获得新的有效密文。
- 之前的方案中没有CCA安全，因为都不是不可锻造。
- 对基于PRF的CPA安全加密方案的CCA攻击：
  - $\mathcal{A}$ 获得挑战密文 $\left<r, F_k(r)\oplus m_{b}\right>$ ，并且查询与 $c$ 只相差了一个翻转的比特的密文 $c^{'}$ ，那么
    
    $\oplus F_k(r)$ 应该与 $m_{b}$ 除了什么之外都相同？
- 问题：上述操作模式也不是CCA安全的（作业）
- 由此，可以总结出CCA下敌手的常用策略：
  - 修改挑战密文 $c$ 为 $c^{'}$ ，并查询解密预言机得到 $m^{'}$
  - 根据关系，由 $m^{'}$ 来猜测被加密明文 $m_b$
Padding-Oracle（填充预言机）攻击真实案例
- CAPTCHA服务商为Web网站提供验证用户是否为人类的服务。为此，一个CAPTCHA服务器与Web服务器间事先共享一个密钥 $k$ ，服务工作原理如下：
  1. 当Web服务器验证用户是否为人类时，生成一个消息 $w$ 并以 $k$ 加密，向用户发送一个密文 $Enc_k(w)$ ；
  2. 用户将密文 $Enc_k(w)$ 转发给CAPTCHA服务器；（可实施填充预言机攻击）
  3. CAPTCHA服务器用密钥 $k$ 将密文解密，根据解密结果返回给用户信息：一个由 $w$ 生成的图像，或者坏填充错误；
  4. 用户根据图像获得 $w$ 并将 $w$ 发送给Web服务器。
- 在第2步，当恶意用户可以利用CAPTCHA服务器会返回给用户坏填充错误这一漏洞，来实施填充错误攻击。
Padding-Oracle（填充预言机）攻击
- 在PKCS #5 padding（填充）标准中，为了将一个消息的长度“填充”到块长度的整数倍，在最后一个块中填充 $b$ 个字节的 $b$ ；必要时，添加一个哑块（dummy block）。存在一种攻击手段：当填充错误时，解密服务器返回一个“坏填充错误”，这相当于提供了解密预言机，最终可以获得整个明文；
- 具体攻击原理是，更改密文（包含 $I V$ ）并发送给解密服务器。一旦触发了“坏填充错误”，则说明对密文的更改导致了填充内容的更改；否则，对密文的更改导致了原明文的更改；
- 攻击的第一步判断消息是否为空：在单个块的CBC中，通过更改 $I V$ 的首个字节，攻击者能够获知是否 $m$ 是否为空。因为如果 $m$ 是空的话，更改 $I V$ 首个字节将更改解密出的填充内容，解密服务器就会返回坏填充错误（1比特信息），具体分析如下：
  - 如果 $m$ 是空的，那么明文会添加一个哑块 ${b\}^b$ ；
  - PRP的输入为 $IV\oplus \{b\}^b$ ；设 $I V$ 的首个字节为 $x$ ，则PRP的输入为 $\oplus b) \| (\{\cdot\}^{b-1} \oplus \{b\}^{b-1})$ ；
  - 将 $I V$ 的首个字节从 $x$ 改成 $y$ 变为 $\| (\{\cdot\}^{b-1})$ ，不改变 $c_1$ 解密得到的PRP的输入不会变，而解密出的明文会改变为 $\oplus y \oplus b) \| \{b\}^{b-1}$ ；
  - 上述明文首个字节一定不是 $b$ ，这是填充格式错误，会触发服务器返回错误；
  - 如果上面的尝试没有触发错误，那么说明消息非空；下一步，发现消息长度是否为1字节，方法与上一步一样，区别在于只改变 $I V$ 的第2个字节；如此继续，获得消息的长度；（作业）
Padding-Oracle攻击（续）
- 一旦获得消息的长度，也就知道了填充的长度 $b$ ，采用下面的方法来获得消息的最后一个字节内容，进而获得整个消息；
- 更改密文中倒数第二块，来获得消息的最后一个字节 $s$ ；
- 明文的最后一个块 $m_{last} = \cdots s \| \{b\}^{b}$ ，密文的倒数第二个块 $c_{last-1} = \cdots t \| \{\cdot \}^{b}$ ；
- 最后一块的PRP输入为 $c_{last-1} \oplus m_{last} = \cdots (s \oplus t) \| (\{b\}^b \oplus \{\cdot \}^{b})$ ；
- 敌手更改 $c_{last-1}$ 为 $c_{last-1}' = \cdots u \| (\{\cdot \}^{b} \oplus \{b\}^{b} \oplus \{b+1\}^{b})$ ；其中， $u$ 是敌手猜测的某个字节；
- 解密获得最后一块明文 $m'_{last} = c_{last-1} \oplus m_{last} \oplus c_{last-1}' = \cdots (s \oplus t \oplus u)\| \{ b+1 \}^b$ ；
- 如果没有返回坏填充错误，那么意味着填充了 $b + 1$ 个字节的 $b + 1$ ，所以 $\oplus t \oplus u = (b+1)$ ，而 $\oplus u \oplus (b+1)$ 。
总结
- 略