当需要加密任意长度明文时,就需要分组迭代进行加密。 下面我们会聊到常用的分组模式和使用场景
分组密码有很多模式,如果模式选择不当,就无法充分保证明文的机密性(还记得密码加密体系要完成的三个目标么?)。比如当我们使用密钥加密一个全是'A'字符的文件时,如果没有分组迭代,那么密文可能都是相同字符的重复。 虽然我们没办法通过密文反推出明文,但根据不断重复出现的密文,可以大致推测出明文的字符分布规律。借助其他统计概率方法,可以大幅降低解密难度(参考通过词频破解凯撒加密的案例)。
那什么是模式呢?
模式是:分组密码的迭代算法。比如我们常使用的 DES 算法中的 ECB 模式。 ECB 模式就是将明文分割成多个分组并逐个加密的方法。 ECB 算法计算量小,加解密速度快,但现在已经证实 ECB 是不可靠的模式了。 所以正式场合中不要使用 ECB 模式。
模式是分组密码特有的方式,在流密码中并不存在模式。那何为流密码呢?
分组密码每次只能处理特定长度的一块数据,一块有时也称之为block。一个分组(block)的比特数就是分组长度。 流密码是对数据流进行连续处理的加密算法。流密码在加解密时需要保存上次计算的状态(分组密码则不需要,因为分组密码只需要计算当前 block 数据就可以了)。
我们在本节中只介绍分组密码,暂不介绍流密码。
下面来看常见的几种分组模式。
- ECB
ECB 将明文进行分组后直接加密产生密文分组
由图可以看出 ECB 模式中,明文和密文是一一对应的。相同的明文一定可以得到相同的密文。所以虽然不能直接根据密文推导出明文,但可以根据密文的特点进行定向攻击。
例如: Bob 向 Alice 发送了一个转账的报文:
分组1 = Bob的银行账号
分组2 = Alice的银行账号
分组3 = 转账金额
虽然 Eve 不能直接修改账号和金额(因为没有解密数据),但 Eve 可以通过交换分组 1 和分组 2,造成攻击。
分组1 = Alice的银行账号
分组2 = Bob的银行账号
分组3 = 转账金额
这种攻击方式能成功就是因为 ECB 没有隐藏明文信息造成的。
- CBC
密文分组链接模式
顾名思义,CBC 是将密文分组像链条一样相互连接起来。典型的加密流程如下:
CBC 最核心的一个环节,是将前一个密文分组作为一个变量带入了下一个明文加密中。 这样即便明文相同,但经过密文异或操作后,就会出现不同的结果。通过这样就实现了混淆明文信息的目的。
但不知道你有没有发现,第一个明文分组如何处理呢? 在处理第一个明文分组时,异或为 0.那么密文分组 A 就退化成了 ECB 模式。 为了避免出现这种情况,我们就需要人为补充一个初始密文分组,这个初始的密文分组就称为IV分量
一般来说,每次加密时都应该随机产生一个不同比特的 IV 分量(如何随机产生,请参考本系列最后的随机工具箱说明)
在 CBC 模式中,我们无法单独解密某个分组。从图中也很容易理解,每个分组都需要前向分组信息才可以计算。这样设计有利有弊,好的是安全性高,但不好的地方是如果某个分组数据被损坏,会导致当前分组和下个分组的数据无法正常解密。
- CFB
对 CBC 模式的一种改进
CFB 是对 CBC 模式的一种优化,加密流程看起来很类似:
在 CFB 模式中,明文分组和密文分组之间只做异或操作就可以了。在此时此刻,密码算法的输出有一些一次性密码本的意思了。
- OFB
输出反馈模式。 密码算法的输出会反馈到密码算法的输入中
OFB 并不是通过密码算法对明文进行加密的,而是通过将明文分组和密码算法的输出进行异或来产生密文的。所以 OFB 和 CFB 也有一些类似.
注意: 加密函数的顺序一定要保持一致,无论是加密和解密都需要相同顺序的加密函数序列
从图中可以看出 OFB 模式和 CFB 模式很相近,区别仅仅在于密码算法的输入。
CFB 是将前一个密文分组作为下一个密码算法的输入,所以叫做密文反馈模式。 OFB 则是将前一个密码算法的输出当作下一个密码算法的输入,所以叫做输出反馈模式.
这四种是常用的分组密码模式,那么我们应该选择哪种模式作为分组加密模式呢?
- 首先可以排除 ECB,虽然它简单、快速和支持并行。 但无法隐藏明文信息所以不安全。
- CBC 可以支持并行解密,并且可以解密任意的密文分组。 所以在可以容忍串行加密的场景中,推荐使用 CBC。
- CFB 同样支持并行解密,并且可以解密任意的密文分组。但 CFB 不能抵御重放攻击。
- OFB 不需要对明文进行填充 Padding。如果密文包含错误比特时,只有明文中相对应的比特会出错。但不支持并行解密,存在比特反转攻击的问题。
所以综上所述,除了 ECB 不推荐之外。其他三种,只能可以容忍缺点,那么都是推荐使用的分组模式。
