分组密码算法工作模式

安全需求

1.机密性需求
保密工作模式：ECB模式、CBC模式、CTR模式
2.完整性、不可否认性
认证工作模式：CMAC
3.机密性、完整性、不可否认性
加密认证工作模式：EtM算法、MtE算法、GCM模式

保密工作模式

ECB模式

电子码密码本模式
给定密钥K，每一块明文对应固定密文块
可并行计算，独立加解密，速度快，易于标准化
适用于随机独立存取的数据块例如数据库
不能隐藏消息格式，暴露统计特征；不能抵抗重放、嵌入、删除

CBC模式

密码链接模式
引入随机初始向量IV
\(C[i] = E(K,m[i-1]\bigoplus c[i-1])\)
隐蔽了明文数据格式，一定程度抗重放和防篡改
会出现错误传播，加密速度慢（解密可并行处理）

CTR模式

计数器模式
对计数器序列\(T_i\)用分组密码加密得到密钥流，与明文异或得到密文
解密采用相同办法，CTR模式不需要解密算法
计数器序列生成方法
1.随机R-CTR
2.确定性D-CTR
加密可以并行处理，不需要解密模块
不需要填充明文
不存在错误传输

认证工作模式

奇偶校验、CRC循环冗余校验 标签容易被伪造
哈希函数 不能验证消息是否来源于合法主体
消息认证码MAC：验证消息源、防止篡改
MA = (K,T,V)
密钥生成算法，生成共享密钥K
MAC生成算法T：tag = T(k,m)，概率算法
验证算法V：确定性算法,d = V(k,m,tag)
适用场景：
公共信息，无需保密
确保传输过程未被修改
验证消息来自发送者

CMAC

基于密码的消息认证码
NISTSP 800-38B标准

子密钥生成(Subkey Generation$

• 步骤1：用密钥\(K\) 加密全零块\(0_b\)，得到中间值\(L\)：
  \(L = CIPH_K(0_b)\)（其中\(CIPH_K\) 表示用密钥\(K\) 的分组加密，如AES）
• 步骤2：判断\(L\) 的最高位（MSB）是否为0：
  • 若\(MSB(L = 0)\)，则\(K1 = L \ll 1\)（左移1位，相当于乘以2）
  • 否则，\(K1 = (L \ll 1 \oplus R_b)\)（左移后异或一个常数\(R_b\)，用于防止单位元攻击）
• 步骤3：同理生成\(K_2\)：
  • 若\(MSB(K1= 0)\)，则\(K2 = K1 \ll 1\)；
  • 否则，\(K2 = (K1 \ll 1 \oplus R_b)\)
• 常数说明：
  图片中给出\(R_{128} = 0^{120}10000111\)（128位常数的最高7位为1000011，其余为0），\(R_{64} = 0^{59}11011\)（64位常数的最高5位为11011，其余为0）。这些常数是NIST标准化定义的，用于保证子密钥的唯一性

消息分组(Message Blocking)

将明文消息\(M\) 分成固定长度的分块（如AES的128位/16字节）：

• 若消息长度\(Mlen = 0\)，则设\(n = 1\)（空消息视为1个分块）；否则，\(n = \lceil Mlen / l \rceil\)（\(l\) 为分组长度，如128位）。
• 将消息分成\(M_1, M_2, ..., M_n\) 个分块：
  前\(n-1\) 个分块是完整的（长度为\(l\)），最后一个分块\(M_n^*\) 可能不足\(l\) 位（称为“不完整分块”）

分块处理(Final Block Processing)

针对最后一个分块的不完整性，用子密钥\(K1\) 或\(K2\) 进行填充：

• 判断\(M_n^*\) 是否为完整分块：
  • 若\(M_n^*\) 是完整分块（长度为\(l\)），则\(M_n = K1 \oplus M_n^*\)（用\(K1\) 异或后加密）；
  • 否则（不完整分块），则\(M_n = K2 \oplus (M_n^* || 10^j)\)（其中\(j = n'l - Mlen - 1\)，\(n'l\) 是消息总长度（以位为单位），\(10^j\) 表示在\(M_n^*\) 后添加1个‘1’和\(j\) 个‘0’，完成填充至\(l\) 位）
    这种填充方式（“10…0”）是为了区分完整和不完整分块，防止攻击者构造伪造消息

链式加密(Chain Encryption)

采用类似CBC模式的结构，将分块依次加密，形成链式依赖：

• 初始化初始向量\(C_0 = 0_b\)（全零块）。
• 对每个分块\(i\)（从1到\(n\)），执行：
  \(C_i = E_K(C_{i-1} \oplus M_i\)（其中\(E_K\) 是密钥\(K\) 的分组加密，如AES；\(C_{i-1}\) 是前一阶段的密文，\(M_i\) 是当前分块）

认证标签生成(Tag Generation)

从最终密文中提取指定长度的标签：

• 取最终密文\(C_n\) 的最高\(Tlen\) 位（MSB，Most Significant Bits），作为认证标签\(T\)。
• 返回\(T\)，用于验证消息完整性。

加密认证模式

加密认证方案\(AE=(K,E,D)\)
密钥生成算法：生成双方共享密钥K
加密算法E：加密输出密文C，概率算法输出标签tag
解密算法D：确定性算法，返回明文m或者认证不通过

Etm先加密后认证

\(c = E(K_{enc},m)\)
\(tag = S(K_{mac},c)\)
\(c||tag\)

MtE先加密后认证

\(tag = S(K_{mac},m)\)
\(c = E(K_{enc},(m,tag))\)

GCM

GCM由两个主要算法组成：
GCTR：基于计数器的加密算法
GHASH：认证哈希函数
特点：
使用CTR计数器模式进行加密
使用\(GF(2^{128})\)上的Galois域乘法进行认证计算
加密和认证可以并行处理
NIST SP 800-38D标准