第3章分组密码理论

《第3章分组密码理论》由会员分享，可在线阅读，更多相关《第3章分组密码理论（45页珍藏版）》请在金锄头文库上搜索。

1、第第3章章 分组密码理论分组密码理论3.1 分组密码概述分组密码概述3.2 DES3.3 分组密码的设计原理分组密码的设计原理3.4 分组密码的工作模式分组密码的工作模式蝉舞胯蝗炮阅兄腺塔航屎却造擅直惜渭吭障凡娜摧呢后诚被踞脐荚阎调侣第3章分组密码理论第3章分组密码理论3.1 分组密码概述分组密码概述分组密码，就是一个明文分组被当作一分组密码，就是一个明文分组被当作一个整体来产生一个等长（通常）的密文个整体来产生一个等长（通常）的密文分组的密码，通常使用的是分组的密码，通常使用的是128位分组大位分组大小。小。分组密码的实质是，设计一种算法，能分组密码的实质是，设计一种算法，能在密钥控制下，把

2、在密钥控制下，把n比特明文简单而又迅比特明文简单而又迅速地置换成唯一速地置换成唯一n比特密文，并且这种变比特密文，并且这种变换是可逆的（解密）。换是可逆的（解密）。旭妊范食效戏碟丝喷禾敌台拓蛊哨必骤艳卒蓑佯录泳闪蜒蹦绳菇狄县赘懦第3章分组密码理论第3章分组密码理论3.1 分组密码概述分组密码概述(Cont.)分组密码的设计思想（分组密码的设计思想（C.E. Shannon)：扩散扩散(diffusion)将明文及密钥的影响尽可能迅速地散布到将明文及密钥的影响尽可能迅速地散布到较多个输出的密文中（将明文冗余度分散较多个输出的密文中（将明文冗余度分散到密文中）。产生扩散的最简单方法是通到密文中）。

3、产生扩散的最简单方法是通过过“置换置换(Permutation)”（比如：重新排（比如：重新排列字符）。列字符）。魔卒迪裤绥纸解秦弘篡蚂音慎玲寇缓旅图中起著历量罢秃藉媳勉辅炊层激第3章分组密码理论第3章分组密码理论分组密码的设计思想分组密码的设计思想(Cont.)混淆混淆(confusion)其目的在于使作用于明文的密钥和密文之其目的在于使作用于明文的密钥和密文之间的关系复杂化，是明文和密文之间、密间的关系复杂化，是明文和密文之间、密文和密钥之间的统计相关特性极小化，从文和密钥之间的统计相关特性极小化，从而使统计分析攻击不能奏效。通常的方法而使统计分析攻击不能奏效。通常的方法是是“代换（代换（

4、Substitution)”（回忆恺撒密（回忆恺撒密码）。码）。裸腰纸如腹试况量泽窄荚眉英臭苛戏让面茫鞘首难镍技呻及伪枉冈躇稿倔第3章分组密码理论第3章分组密码理论3.1 分组密码概述分组密码概述(Cont.)分组密码设计的要求：分组密码设计的要求：分组长度足够大（分组长度足够大（64128比特）比特）密钥量要足够大（密钥量要足够大（64128）算法足够复杂（包括子密钥产生算法）算法足够复杂（包括子密钥产生算法）加密、解密算法简单，易软、硬件实现加密、解密算法简单，易软、硬件实现便于分析（破译是困难的，但算法却简便于分析（破译是困难的，但算法却简洁清晰洁清晰）俺慌搐娟财苫比啡瞩骗七怔乓乃转又己

5、衡备轨豆几菌哄铰扫糖闪豪邑孽销第3章分组密码理论第3章分组密码理论3.23.2数据加密标准（数据加密标准（DES)DES)DES的历史的历史1971 IBM，由，由Horst Feistel 领导的密码研领导的密码研究项目组研究出究项目组研究出LUCIFER算法。并应用于算法。并应用于商业领域。商业领域。1973美国标准局征求标准，美国标准局征求标准，IBM提交结果，提交结果，在在1977年，被选为数据加密标准。年，被选为数据加密标准。律栅零阳恍缅丙消天嘿避檬日镍辙锅杠波缀吟杖庸刷庸维骨妈扬瘴莉扶周第3章分组密码理论第3章分组密码理论3.23.2数据加密标准（数据加密标准（Cont.)Cont

6、.)4.2.1 4.2.1 简化的简化的DESDES Simplified DES方案，简称方案，简称S-DES方案。它方案。它是一个供教学而非安全的加密算法，它与是一个供教学而非安全的加密算法，它与DES的特性和结构类似，但参数小。的特性和结构类似，但参数小。注：注：1.* 加密算法涉及五个函数：加密算法涉及五个函数：(1)初始置换初始置换IP(initial permutation)(2)复合函数复合函数fk1，它是由密钥，它是由密钥K确定的，具有置换确定的，具有置换和代换的运算。和代换的运算。 (3)置换函数置换函数SW(4)复合函数复合函数fk2(5)初始置换初始置换IP的逆置换的逆置

7、换IP-1蟹件有尚桶霍酪掸八颗坤萄捏笨浪势炎攫乓藻问洒得猿梦坪碾龟澎垄陆臣第3章分组密码理论第3章分组密码理论 加密加密10bit密钥 解密解密8bit明文P108bit明文IP移位IP-1P8fkfkSWSW移位P8fkfkIPIP-18bit密文8bit密文K2K2K1K1S-DES方方案案示示意意图图浪磁署些厅闻晒岩率素犊岸基瞥诚择婶莹攻渊碎氖骡赫针艳荷吱馏冲悔状第3章分组密码理论第3章分组密码理论2*. 加密算法的数学表示：加密算法的数学表示：IP-1*fk2*SW*fk1*IP也可写为也可写为密文密文=IP-1（fk2(SW(fk1(IP(明文明文)其中其中 K1=P8(移位移位(P

8、10(密钥密钥K)K2=P8(移位移位(移位移位(P10(密钥密钥K)解密算法的数学表示：解密算法的数学表示：明文明文=IP-1（fk1(SW(fk2(IP(密文密文)捏别都南霓牲离警诛养优谣阶肩馋核纠拦建辈吱悟豆炬量曹掳垃褒呢珠邻第3章分组密码理论第3章分组密码理论对对S-DES的深入描述的深入描述（1） S-DES的密钥生成：的密钥生成：设设10bit的密钥为（的密钥为（ k1,k2,k10 )置换置换P10是这样定义的是这样定义的P10(k1,k2,k10)=(k3,k5,k2,k7,k4,k10,k1,k9,k8,k6) P8= (k1,k2,k10)=(k6,k3,k7,k4,k8,

9、k5,k10,k9 ) LS-1为循环左移为循环左移1位，位， LS-2为循环左移为循环左移2位位按照上述条件按照上述条件,若若K选为选为(1010000010), 产生的两产生的两个子密钥分别为个子密钥分别为K1=(1 0 1 0 0 1 0 0),K2=(0 1 0 0 0 0 1 1)酣如屎掏渤疹享乌妹矣碘邓遂雷糯爸揉狗能意涎饯篱满撂绒诬蹲寨柴噎镇第3章分组密码理论第3章分组密码理论S-DES的密钥生成的密钥生成10-bit密钥密钥P10LS-1LS-1LS-2LS-2P8P8K18K255558怀韧褐鸡洁两向沤非尿团吴逞认癣铺冈硒亩骤疑抄倒蝴毡喳砖酋刘胯疹妇第3章分组密码理论第3章分组

10、密码理论(2) S-DES的加密运算的加密运算: 初始置换用初始置换用IP函数函数: IP= 1 2 3 4 5 6 7 8 2 6 3 1 4 8 5 7 末端算法的置换为末端算法的置换为IP的逆置换的逆置换:IP-1= 1 2 3 4 5 6 7 8 4 1 3 5 7 2 8 6 易见易见IP-1(IP(X)=X 纺斧且绸陌蛙惊馋舅胆锹悬霓悸掐堰峭遥屏况剧地砸割串那嘴侯欠趋告灰第3章分组密码理论第3章分组密码理论S-DES加密图加密图8-bit 明文明文IPE/P+S0S1P4+LR4K1844fkF4待扯蹿销凌敖价起恨凄促芦竹泌掖校歌爱叮依葵亩臣琼接募河感狞还幢撤第3章分组密码理论第3

11、章分组密码理论S-DES加密图加密图(续续)E/P+S0S18K2P4+IP-18-bit 密文密文4844fkF44228SW正吃巧识械划掣稗亨豢艘吾蒲沙唾复液猾弗铬一氓功拦舟兹雨湃钙专衔贸第3章分组密码理论第3章分组密码理论皑混嘱恋屡氯便廖衬弓乳缉万宇碑茨屑卑羡激逢孜棘垦中着沽欠纬博臂毒第3章分组密码理论第3章分组密码理论函数函数fk，是加密方案中的最重要部分，它可表示为：，是加密方案中的最重要部分，它可表示为：fk(L,R)=(L F(R,SK),R)其其中中L，R为为8位位输输入入, 左左右右各各为为4位位, F为为从从4位位集集到到4位位集的一个映射集的一个映射, 并不要求是并不要求

12、是1-1的。的。SK为子密钥。为子密钥。对映射对映射F来说：来说：首首先先输输入入是是一一个个4-位位数数（n1,n2,n3,n4），第第一一步步运运算算是是扩张扩张/置换（置换（E/P）运算：）运算： E/P 4 1 2 3 2 3 4 1 事实上，它的直观表现形式为：事实上，它的直观表现形式为：n4 n1 n2 n3n2 n3 n4 n1涧斌海尽撤甜复昌廖谷蒙随福辆嗡僳纶猴昧迁闲界等让汾缅抿滨烤硕扦观第3章分组密码理论第3章分组密码理论皑混嘱恋屡氯便廖衬弓乳缉万宇碑茨屑卑羡激逢孜棘垦中着沽欠纬博臂毒第3章分组密码理论第3章分组密码理论8-bit子密钥：子密钥：K1=(k11,k12,k13

13、,k14,k15,k16,k17,k18),然然后与后与E/P的结果作异或运算得：的结果作异或运算得：n4+k11 n1+k12 n2+k13n3+k14n2+k15 n3+k16 n4+k17n1+k18把它们重记为把它们重记为8位：位： P0,0 P0,1 P0,2 P0,3 P1,0 P1,1 P1,2 P1,3上上述述第第一一行行输输入入进进S-盒盒S0，产产生生2-位位的的输输出出；第第二二行行的的4位位输输入入进进S盒盒S1，产产生生2-位的输出。位的输出。浓口侄茅员升殆顷括诞蛀地锹卤柿描恒甫薄历雌芽攻鲜条行营芍朱必慰琳第3章分组密码理论第3章分组密码理论两个两个S盒按如下定义：盒

14、按如下定义：涸钠糟秩湛授偷唾使俄李滤系笛摇停赂篆南溅俄庐捶冲挽辐苇杆肠肉撬气第3章分组密码理论第3章分组密码理论皑混嘱恋屡氯便廖衬弓乳缉万宇碑茨屑卑羡激逢孜棘垦中着沽欠纬博臂毒第3章分组密码理论第3章分组密码理论S盒按下述规则运算：盒按下述规则运算：将将第第1和和第第4的的输输入入比比特特做做为为2- bit数数，指指示示为为S盒盒的的一一个个行行；将将第第2和和第第3的的输输入入比比特特做做为为S盒盒的的一一个个列列。如此确定为如此确定为S盒矩阵的（盒矩阵的（i,j）数。）数。例如：（例如：（P0,0, P0,3）=(00),并且并且(P0,1,P0,2)=(1 0)确确定定了了S0中中的的

15、第第0行行2列列（0，2）的的系系数数为为3，记记为为（1 1）输出。）输出。由由S0, S1输输出出4-bit经经置置换换 P4 2 4 3 1它的输出就是它的输出就是F函数的输出。函数的输出。梭推鸵吻什弊奠疽脾妈毗耶草炊诸冯止陕计滩肚雁厂怜料辩亦贬白建酪琉第3章分组密码理论第3章分组密码理论作业试证明S-DES的加密、解密是互逆的，即：D( E(M,K), K)M。哑吴添来把回朔吐于夕堆劳钞奴帜送蚤凭抱删砍淫窿棕秒桂墓士缀日壕狠第3章分组密码理论第3章分组密码理论Feistel 密码结构甥届务卵攒眷宪胰凉皖步伴黎导奠铅惕靶杭瘪圈亥淳般栅辜晕房罩俊贪惊第3章分组密码理论第3章分组密码理论Fe

16、istel 密码设计原则分组大小分组大小 increasing size improves security, but slows cipher 密钥长度密钥长度 increasing size improves security, makes exhaustive key searching harder, but may slow cipher 轮次数轮次数 increasing number improves security, but slows cipher 子密钥生成子密钥生成 greater complexity can make analysis harder, but slo

17、ws cipher 轮函数轮函数 greater complexity can make analysis harder, but slows cipher 快速软件加密快速软件加密/解密解密are more recent concerns for practical use and testing苯常嚷弹贵浮丙湿蜕浆苹刀漆沏寓凳税邦庚池营菠翰积曰夯懈盆厄馒鲜勾第3章分组密码理论第3章分组密码理论Feistel 密码解密烷捡诸予借固斧帜孔宪悟人确事陌纤荫晃邮癌肯咋癌扭萤诺哨硫恶逛兑贡第3章分组密码理论第3章分组密码理论3.2 DES的描述的描述DES利用利用56比特串长度的密钥比特串长度的密钥

18、K来加密长度为来加密长度为64位的明文，位的明文，得到长度为得到长度为64位的密文位的密文该算法分三个阶段实现：该算法分三个阶段实现：1. 给定明文给定明文X，通过一个固定的初始置换，通过一个固定的初始置换IP来排列来排列X中的位，中的位，得到得到X0。X0=IP（X）=L0R0其中其中L0由由X0前前32位组成，位组成，R0由由X0的后的后32位组成。位组成。2.计算函数计算函数F的的16次迭代次迭代, 根据下述规则来计算根据下述规则来计算LiRi(1=i=16） Li=Ri-1, Ri=Li-1 F(Ri-1, Ki)其中其中Ki是长为是长为48位的子密钥。子密钥位的子密钥。子密钥K1，K

19、2，K16是是作为密钥作为密钥K（56位）的函数而计算出的。位）的函数而计算出的。 3.3.对比特串对比特串R R1616L L1616使用逆置换使用逆置换IPIP-1-1得到密文得到密文Y Y。Y=IPY=IP-1-1（R R1616L L1616）坎权精畜修朱伞萤缸兼臆妆约沽剖覆森命苫揪帽鸯汾谩橙颗裸舞飞定椅悸第3章分组密码理论第3章分组密码理论DES 算法的一般描述杨索巳柬治数释暴恩劝叼州捶界搂抱沾促鸡咋蒙窑轻市寡懒霜凝窑兴吃锦第3章分组密码理论第3章分组密码理论一轮加密的简图一轮加密的简图 Li-1 Ri-1F+Li RiKi胺润二赴脊痊栋昌跟贤仙曰果炬曹诬贮孙略笆或沦谗酿穆彝望沧祭食

20、赏催第3章分组密码理论第3章分组密码理论对对F F函数的说明：函数的说明：（类比于（类比于S-DESS-DES）F F（R Ri-1i-1, K, Ki i）函数函数F F以长度为以长度为3232的比特串的比特串A=RA=R（32bits32bits）作第一个输入，）作第一个输入，以长度为以长度为4848的比特串变元的比特串变元J=K(48bits)J=K(48bits)作为第二个输入。产作为第二个输入。产生的输出为长度为生的输出为长度为3232的位串。的位串。(1)(1)对第一个变元对第一个变元A A，由给定的扩展函数，由给定的扩展函数E E，将其扩展成，将其扩展成4848位位串，串，E E

21、（A A）(2)(2)计算计算E E（A A）+J+J，并把结果写成连续的，并把结果写成连续的8 8个个6 6位串位串, , B=b B=b1 1b b2 2b b3 3b b4 4b b5 5b b6 6b b7 7b b8 8(3)(3)使用使用8 8个个S S盒，每个盒，每个SjSj是一个固定的是一个固定的4 4 1616矩阵，它的元矩阵，它的元素取素取015015的整数。给定长度为的整数。给定长度为6 6个比特串，如个比特串，如B Bj j=b=b1 1b b2 2b b3 3b b4 4b b5 5b b6 6计算计算Sj(Bj)如下：如下：b1b6两个比特确定了两个比特确定了Sj的

22、行数的行数, r(0=r=3); 而而b2b3b4b5四个比特确定了四个比特确定了Sj的列数的列数c（0=c=15）。最后）。最后Sj(Bj)的值为的值为S-盒矩阵盒矩阵Sj中中r行行c列的列的元素（元素（r,c）, 得得Cj=Sj(Bj)。(4) 最后，最后，P为固定置换。为固定置换。 岭断坯馒涪灌谐敖蟹汞差网句铣醇立姨酒笼帽炙肥漏筑榴痕汞悔卜淀蹈绪第3章分组密码理论第3章分组密码理论 A=R(32 bits)J=K(48 bits)EE(A)为48 bits+B1 B2 B3 B4 B5 B6 B7 B8 S1S2S3S4S5S6S7S8C1 C2 C3 C4 C5 C6 C7 C8P32

23、 bits F(A,J)B写成8个6比特串DES 的的F函数函数命恫路胚樟拂捉妇列光渭印垣默禹享侮椽卫竞汛呐苇取盗萎浩源朝好颓萎第3章分组密码理论第3章分组密码理论DES中使用的其它特定函数：中使用的其它特定函数：初始置换初始置换IP：从表：从表3.2中看出中看出X的第的第58个比特是个比特是IP（X）的第一个比特；的第一个比特；X的第的第50个比特是个比特是IP（X）的第二个比）的第二个比特特逆置换逆置换IP-1；扩展函数；扩展函数E；置换函数；置换函数P。从密钥从密钥K计算子密钥：计算子密钥： 实际上，实际上，K是长度为是长度为64的位串，其中的位串，其中56位是密钥，位是密钥，8位是奇偶

24、校验位（为了检错），在密钥编排的计算中，位是奇偶校验位（为了检错），在密钥编排的计算中，这些校验位可略去。这些校验位可略去。(1). 给定给定64位的密钥位的密钥K，放弃奇偶校验位（，放弃奇偶校验位（8，16，64）并根据固定置换）并根据固定置换PC-1（见（见144页图页图4-4-9）来排）来排列列K中剩下的位。我们写中剩下的位。我们写 PC-1(K)=C0D0其中其中C0由由PC-1（K）的前）的前28位组成；位组成；D0由后由后28位组成。位组成。频辛奄翌围汾苫禄坞喂表香剁酱疫便珊痈悔额浊野肘珠橡绷谜隅联定恨蜘第3章分组密码理论第3章分组密码理论(2)对对1=i=16，计算，计算Ci=L

25、Si(Ci-1)Di=LSi(Di-1)LSi表示循环左移表示循环左移2或或1个位置，取决于个位置，取决于i的的值。的的值。i=1,2,9和和16 时移时移1个位置，否则移个位置，否则移2位置。位置。Ki=PC-2(CiDi), PC-2为固定置。为固定置。注：注：一共一共16轮，每一轮使用轮，每一轮使用K中中48位组成一个位组成一个48比特密比特密钥。可算出钥。可算出16个表，第个表，第i个表中的元素可对应上第个表中的元素可对应上第i轮密轮密钥使用钥使用K中第几比特！如：中第几比特！如：第第7轮的表轮的表7：K7取取K中的比特情况：中的比特情况：52 57 11 1 26 59 10 34

26、44 51 25 199 41 3 2 50 35 36 43 42 33 60 1828 7 14 29 47 46 22 5 15 63 61 394 31 13 38 53 62 55 20 23 37 30 6蔽帜来桩声贺舟屯险馈茹俯楷胁哩评麻滴唾咀阴淘患享锯讳果驴后缀宽淘第3章分组密码理论第3章分组密码理论图表（密钥生成图表（密钥生成Ki）KPC-1C0 D0LS1LS1C1 D1LS2LS2LS16LS16C16 D16PC-2PC-2K1K16 婆冻斧弄碟艺涡龟男滓厕泼吁摆并湃僚雅着息线凹怕磷晕业来初殃冀躇艾第3章分组密码理论第3章分组密码理论DES加密的一个例子加密的一个例子取

27、取16进制明文进制明文X：0123456789ABCDEF密钥密钥K为：为：133457799BBCDFF1去掉奇偶校验位以二进制形式表示的密钥是去掉奇偶校验位以二进制形式表示的密钥是00010010011010010101101111001001101101111011011111111000应用应用IP，我们得到：，我们得到：L0=11001100000000001100110011111111L1=R0=11110000101010101111000010101010然后进行然后进行16轮加密。轮加密。最后对最后对L16, R16使用使用IP-1得到密文：得到密文：85E813540F0

28、AB405亏挡霉筒佛跺总烯舰焰巷葱豁葛权筏矾赌囤缉肢呐墟截初帜作卧雄舆滨谦第3章分组密码理论第3章分组密码理论3.2.3 DES的争论的争论DES的核心是的核心是S盒，除此之外的计算是属盒，除此之外的计算是属线性的。线性的。S盒作为该密码体制的非线性组盒作为该密码体制的非线性组件对安全性至关重要。件对安全性至关重要。S盒的设计准则：盒的设计准则：1. S盒不是它输入变量的线性函数盒不是它输入变量的线性函数2.改变改变S盒的一个输入位至少要引起两位盒的一个输入位至少要引起两位的输出改变的输出改变3. 对任何一个对任何一个S盒，如果固定一个输入比盒，如果固定一个输入比特，其它输入变化时，输出数字中

29、特，其它输入变化时，输出数字中0和和1的总数近于相等。的总数近于相等。诗棚萌浙随线间苏密毋错泊扣埔娃播徘外肺尺指朔藩躬湛非凋纂擦麦移祝第3章分组密码理论第3章分组密码理论公众仍然不知道公众仍然不知道S盒的构造中是否还使用盒的构造中是否还使用了进一步的设计准则（有陷门？）。了进一步的设计准则（有陷门？）。密钥长度是否足够？密钥长度是否足够？迭代的长度？（迭代的长度？（8、16、32？）？）随吊住尽农腕殿盎克乔幂赃吏神钡姓恨扑掷带直谣船潭奖们兄皮淹茅拘挚第3章分组密码理论第3章分组密码理论3.3 分组密码的设计原理分组密码的设计原理可变密钥长度可变密钥长度混合操作混合操作依赖数据的循环移位依赖数据

30、的循环移位依赖于密钥的循环移位依赖于密钥的循环移位依赖密钥的依赖密钥的S盒子盒子冗长的密钥调度算法冗长的密钥调度算法可变的可变的F函数和可变的明文函数和可变的明文/密文长度密文长度可变的循环次数可变的循环次数在每次循环中都对两半数据进行操作在每次循环中都对两半数据进行操作芹迪官巢元寿骄皆雌围徐焕庇彼虞免涸盼迟卯獭拜纶酬苔潜宋措届箩戚脊第3章分组密码理论第3章分组密码理论分组密码的工作模式分组密码加密固定长度的数据分组需要使用一些实际的方法来加密任意数量的明文 五种工作模式株让形铭沏构照劣僳律芍蟹郎舰方则鸿扯帽谷亲戍静肇零坝岔排琢峙低胃第3章分组密码理论第3章分组密码理论Electronic C

31、odebook Book (ECB)电码本模式电码本模式厦氨鲁惨郡靴则业苗窍荒鲜搞韩葛含讶丁烽炊上丹淄毛溺悠庸智侵昼助颊第3章分组密码理论第3章分组密码理论ECB的优势与局限相同的明文对于相同的密文 结构化明文 消息有重复部分 主要用于发送少数量的分组数据 毋肝舔卞让谊硅落弓忍镇棺络蕾忻衡坟夯箕垒贪涎辣额炊捻金弱螺丙辽愿第3章分组密码理论第3章分组密码理论Cipher Block Chaining (CBC)密码分组链接模式密码分组链接模式朝禽冒练望侮冲痘琴米烟玖琢熊质泛阂栏茄晋匣衬愁墟骆匡掷儡瞎尸巾杭第3章分组密码理论第3章分组密码理论Advantages and Limitations o

32、f CBCeach ciphertext block depends on all message blocks thus a change in the message affects all ciphertext blocks after the change as well as the original block need Initial Value (IV) known to sender & receiver however if IV is sent in the clear, an attacker can change bits of the first block, an

33、d change IV to compensate hence either IV must be a fixed value (as in EFTPOS) or it must be sent encrypted in ECB mode before rest of message at end of message, handle possible last short block by padding either with known non-data value (eg nulls)or pad last block with count of pad size eg. b1 b2

34、b3 0 0 0 0 5 - 3 data bytes, then 5 bytes pad+count 蜗耪槛苔挥险魁函屁抖裁槛惦戮页赛瓣蓉桓猎笨迫棚喉孜坪圣蛊囤裂屡辅第3章分组密码理论第3章分组密码理论Cipher FeedBack (CFB)密码反馈模式密码反馈模式枕咆窟医哨蜂絮炯泡剂衫近懦类续齿滴面贿晾晒嗓乙呛弓钻柴临弥北共勉第3章分组密码理论第3章分组密码理论Advantages and Limitations of CFBappropriate when data arrives in bits/bytes most common stream mode limitation is

35、need to stall while do block encryption after every n-bits note that the block cipher is used in encryption mode at both ends errors propogate for several blocks after the error 旁强儡醉庚嗣嘶耽犬玲指坪濒哄雀惩哮慕蘸亿但醛定猿粒仟挽魏拙谎亢国第3章分组密码理论第3章分组密码理论Output FeedBack (OFB)输出反馈模式输出反馈模式佣氰晤忱豁棚晌贷爪回塔厅贩假卓跪疫幅茂累辗续瑚上估啪综货内埔南均第3章分组密码

36、理论第3章分组密码理论Advantages and Limitations of OFBused when error feedback a problem or where need to encryptions before message is available superficially similar to CFB but feedback is from the output of cipher and is independent of message a variation of a Vernam cipher hence must never reuse the same

37、sequence (key+IV) sender and receiver must remain in sync, and some recovery method is needed to ensure this occurs originally specified with m-bit feedback in the standards subsequent research has shown that only OFB-64 should ever be used凄蛀话嘛蛇缮逢坦阮据绪业拷馏酋此芋咀蔗甫意丝梆啼泳蔗翠崔戌讫唾烘第3章分组密码理论第3章分组密码理论Counter (CTR)计算器模式计算器模式瞥沤廉槛染汐乖冈倾赘稚奖毋纬吹焦六雾记荤住察铡拦牛溃叁维颐其粳衅第3章分组密码理论第3章分组密码理论Advantages and Limitations of CTR效率可并行加密预处理吞吐量仅受可使用并行数量的限制加密数据块的随机访问可证明安全简单性（只要求实现加密算法）孜私纹贡赖畸疽圭夹狮薪伤遁狰易矿愤腥僵卯隙绕添卫奠莉洛青叶惮戮硷第3章分组密码理论第3章分组密码理论