一次一密密码是绝对安全的密码，如果能以某种 方式仿效一次一密密码，则将可以得到安全性很 高的密码 人们试图以流密码方式仿效一次一密密码 流密码也称为序列密码，它是对明文以一位或者 一个字节为单位进行操作 为了使加密算法更安全,一般选取尽可能长的密钥 但是长密钥的存储和分配都很困难 流密码采用一个短的种子密钥来控制密钥流发生 器产生出长的密钥序列，供加解密使用
5
在流密码中，如果密钥流的产生完全独立 于明文流或密文流，则称该流密码为同步 流密码（Synchronous Stream Cipher），如 图3.36所示 如果密钥流的产生与明文或者密文相关， 则称这类流密码为自同步流密码(SelfSynchronous Stream Cipher)，如图3.37所示
2013-2-27 Ch3(2)-对称加密技术 4
流密码的加密过程

种子密钥k输入到密钥流发生器，产生一系列密码 流，通过与同一时刻的一个字节或者一位明文流 进行异或操作产生密文流
种子密钥k
密钥流发生器 密钥流ki 明文流mi

图3.35 流密码加密过程
密文流ci
2013-2-27
Ch3(2)-对称加密技术

2013-2-27 Ch3(2)-对称加密技术 18
2013-2-27
Ch3(2)-对称加密技术
19
CBC的优势与局限

each ciphertext block depends on all message blocks before 可以用于数据完整性保护 thus a change in the message affects all ciphertext blocks after the change as well as the original block 密文中错误传播 need Initial Value (IV) known to sender & receiver

2013-2-27 Ch3(2)-对称加密技术 23

以DES为例,用CFB-8工作模式说明加密过程 --加密：加密函数的输入是一个64位的移位寄存器 ，初始向量IV --对移位寄存器64位的数据用密钥进行加密，然后 取加密数据最左边的8位跟输入的明文最初的8位 进行异或操作，得到的值作为8位密文单元 --这8比特密文被移至位寄存器的最右端，而其它 位则向左移动8位，最左端8比特丢弃 --继续加密，与第2段明文输入异或，如此重复直 到所有明文单元都完成加密
2013-2-27 Ch3(2)-对称加密技术 2
RC6的安全性和灵活性
RC6不存在类似DES中的弱密钥 RC6算法在加密过程中不需要查找表,加之 算法中的乘法运算也可以用平方代替，所 以该算法对内存的要求很低，特别适合在 单片机上实现。

2013-2-27
Ch3(2)-对称加密技术
3
3.8 流密码
2013-2-27 Ch3(2)-对称加密技术 16
2013-2-27
Ch3(2)-对称加密技术
17
密码分组链接模式(CBC)
将明文分成b位的一串分组，最后一组不足 b位要进行填充 CBC将这些分组链接在一起进行加密操作 加密输入是当前明文分组和前一密文分组 的异或,它们形成一条链 每次加密使用相同的密钥,每个明文分组的 加密函数输入与明文分组之间不再有固定 的关系 明文分组的数据模式不会在密文中暴露
2013-2-27 Ch3(2)-对称加密技术 14
3.9分组密码工作模式
分组密码算法是提供数据安全的一个基本 构件 分组密码是针对固定大小的分组进行加密 的,例如, DES是对64比特的明文分组进行加 密，AES是对128位分组操作 需要保密传输的消息不一定刚好是一个分 组大小 为了在实际中应用分组密码，定义了五种 工作模式。任何一种对称分组密码算法都 可以以这些方式进行应用
2013-2-27
Ch3(2)-对称加密技术
27
2013-2-27
Ch3(2)-对称加密技术
28

计数器模式比较适合对实时性和速度要求 比较高的场合，具有以下的优点。 --处理效率：由于下一块数据不需要前一块 数据的运算结果，所以CTR能够并行加密( 解密)。 这使其吞吐量可以大大提高。 --预处理：基本加密算法的执行不依赖明文 或者密文的输入，因此可以事先处理。这 样可以极大的提高吞吐量。

2013-2-27
Ch3(2)-对称加密技术
13
RC4算法



RC4是Ron Rivest在1987年为RSA数据安全公司设 计的一种同步流密码 RC4不是基于移位寄存器的流密码，而是一种基 于非线性数据表变换的流密码 它以一个足够大的数据表为基础，对表进行非线 性变换，产生非线性密钥流序列 RC4 是一个可变密钥长度,面向字节操作的流密码 该字节的大小n可以根据用户需要来定义，一般应 用中n取8位

将加密的明文必须按照一个字节或者一位 进行处理,即将分组密码转换为流密码 假设它的输出是s位，s位的大小可以是1位 、8位、 64位或者其他大小，表示为CFB-1, CFB-8, CFB-64等

2013-2-27
Ch3(2)-对称加密技术
21
2013-2-27
Ch3(2)-对称加密技术
22
密码反馈模式具有流密码的优点，也拥 有CBC模式的优点 但是它也拥有CBC模式的缺点，即也会 导致错误传播 密码反馈模式也会降低数据加密速度。 无论每次输出多少位，都需要事先用密 钥K加密一次，再与相等的明文位异或， 所以即使一次输出为1位，也要经过相同 的过程
2013-2-27
Ch3(2)-对称加密技术
11
现实设计中只能追求密钥流的周期尽可能的长， 随机性尽可能的好，近似于真正的随机序列 一个好的密钥流需要考虑下面几个要素： (1) 加密序列的周期要长。密钥流生成器产生的比 特流最终会出现重复。重复的周期越长，密码分 析的难度越大。 (2) 密钥流应该尽可能地接近一个真正的随机数流 的特征。如，1和0的个数应近似相等。如果密钥 流为字节流，则所有的256种可能的字节的值出现 频率应近似相等。 (3) 为了防止穷举攻击,种子密钥值也应该有足够的 长度，至少要保证它的长度不小于128位。

2013-2-27 Ch3(2)-对称加密技术 25
2013-2-27
Ch3(2)-对称加密技术
26
计数器模式


计数器(Counter, CTR)采用与明文分组相同的长度 加密不同的明文组，计数器对应的值不同 计数器首先被初试化为一个值，然后随着消息块 的增加，计数器的值依次递增1 计数器加1加密后与明文分组异或得到密文分组 解密是使用相同的计数器值序列，用加密后的计 数器的值与密文分组异或来恢复明文

2013-2-27 Ch3(2)-对称加密技术 10
密钥流产生器




流密码的安全强度完全取决于它所产生的密钥流 的特性 如果密钥流是无限长且为无周期的随机序列，那 么流密码属于“一次一密”的密码体制 满足这样条件的随机序列在现实中很难生成 实际应用当中的密钥流都是由有限存储和有限复 杂逻辑的电路产生的字符序列 由于密钥流生成器只具有有限状态，那么它产生 的序列具有周期性，不是真正的随机序列
2013-2-27
Ch3(2)-对称加密技术
29
--随机访问：由于对某一密文分组的处理 与其他密文分组无关，因此可以随机地 对任一个密文分组进行解密处理。 --简单性：计数器模式只要求实现加密算 法，而不要求解密算法，加密阶段和解 密阶段都使用相同的加密算法。
2013-2-27
Ch3(2)-对称加密技术

2013-2-27 Ch3(2)-对称加密技术 12
生成一个具有良好特性的密钥流序列的常 见方法有：线性反馈移位寄存器(Linear Feedback Shift Register，LFSR）、非线性 移位寄存器（NLFSR）、有限自动机、线 性同余以及混沌密码序列等方法 这些方法都是通过一个种子(有限长)密码产 生具有足够长周期的、随机性良好的序列 。只要生成方法和种子都相同，就会产生 完全相同的密钥流。

2013-2-27
Ch3(2)-对称加密技术
6
2013-2-27
Ch3(2)-对称加密技术
7
2013-2-27
Ch3(2)-对称加密技术
8
同步流密码
只要通信双方的密钥流产生器具有相同的 种子密钥和相同的初始状态，就能产生相 同的密钥流 在保密通信过程中,通信的双方必须保持精 确的同步,收方才能正确解密 如果通信中丢失或增加了一个密文字符， 则收方将一直错误，直到重新同步为止 但是同步流密码对失步的敏感性，使我们 能够容易检测插入、删除、重播等主动攻 击
2013-2-27
Ch3(2)-对称加密技术
24
输出反馈模式(OFB)
类似于密码反馈模式 不同的地方输出反馈模式(Output Feed Back, OFB)是将加密算法的输出反馈到移位寄存 器，而密码反馈模式是将密文单元反馈到 移位寄存器 OFB模式的优点是传输过程中的位错误不会 被传播 但是这种模式数据之间相关性小，这种加 密模式是比较不安全的
第3章 对称加密技术(2)

主要知识点： --对称密码模型 --密码攻击 --古典加密技术 --数据加密标准 --高级加密标准 -- RC6 --流密码 --分组密码工作模式 -- 随机数的产生 -- 对称密码的密钥分配
Ch3(2)-对称加密技术 1
2013-2-27
3.7 RC6


– hence either IV must be a fixed value (as in EFTPOS) or it must be sent encrypted in ECB mode before rest of message