入门密码学③对称加密

什么是对称加密

对称加密是密码学中的一类加密算法。这类算法在*加密和解密时使用相同的密钥。与公钥加密相比，要求双方获取相同的密钥是对称密钥加密的主要缺点之一。

对称加密
常见的对称加密算法有 AES、DES、3DES、Blowfish、RC5、RC6 等等。
对称加密的速度比公钥加密快很多，在很多场合都需要对称加密。

DES（数据加密标准）

什么是 DES

    DES（数据加密标准 Data Encryption Standard ）是一种对称密钥加密块密码算法，1976年被美国联邦政府的国家标准局确定为联邦资料处理标准（FIPS），随后在国际上广泛流传开来，它基于使用56位密钥的对称算法。
    DES现在已经不是一种安全的加密方法，主要因为它使用的56位密钥过短。虽然在实际中难以应用。为了提供实用所需的安全性，可以使用 DES 的派生算法 3DES 来进行加密，虽然3DES也存在理论上的攻击方法。DES 标准和 3DES 标准已逐渐被高级加密标准（AES）所取代。

DES 加密与解密

    DES 是以 64 位的明文为一个单位进行加密的，由于每次只能加密 64 位的数据，如果加密的明文比较长，就需要对 DES 加密进行迭代。

DES加密与解密

DES 的结构

DES 的基本结构称为费斯妥结构（Feistel structure）。在费斯妥结构中, 加密的各个步骤称为轮（round），整个加密过程就是进行若干次轮的循环。DES 是一种16轮循环的费斯妥结构。

DES中的总体费斯妥结构

一轮的具体计算步骤如下：

1. 将输入的数据等分为左右两部分
2. 将输入的右侧直接发送到输出的右侧
3. 将输入的右侧发送到轮函数
4. 费斯妥函数（F函数）根据右侧数据和本轮中加密所使用的密钥（称为子密钥），得到二进制数据
5. 将上一步得到的二进制数据与左侧数据进行异或（XOR）运算，并将结果作为解密后的左侧.

6. 再与原本的半块组合并交换顺序，进入下一个回次的处理。

   
   费斯妥结构中的一轮

其中 费斯妥函数（F函数）,每次对半块（32位）进行操作，包括四个步骤：

1. 扩张
   用扩张置换（图中的E）将32位的半块扩展到48位，其输出包括8个6位的块，每块包含4位对应的输入位，加上两个邻接的块中紧邻的位。
2. 与密钥混合
   用异或操作将扩张的结果和一个子密钥进行混合。16个48位的子密钥—每个用于一个回次的F变换—是利用密钥调度从主密钥生成的（见下文）。
3. S盒
   在与子密钥混合之后，块被分成8个6位的块，然后使用“S盒”，或称“置换盒”进行处理。8个S盒的每一个都使用以查找表方式提供的非线性的变换将它的6个输入位变成4个输出位。S盒提供了DES的核心安全性—如果没有S盒，密码会是线性的，很容易破解。

4. 置换
   最后，S盒的32个输出位利用固定的置换，“P置换”进行重组。这个设计是为了将每个S盒的4位输出在下一回次的扩张后，使用4个不同的S盒进行处理。

   
   费斯妥函数

3DES

什么是 3DES

3DES（三重数据加密算法），是一种对称密钥加密块密码，相当于是对每个数据块应用三次资料加密标准（DES）算法。由于计算机运算能力的增强，原版 DES 由于密钥长度过低容易被暴力破解；3DES 即是设计用来提供一种相对简单的方法，即通过增加 DES 的密钥长度来避免类似的攻击，而不是设计一种全新的块密码算法。

3DES 的加密与解密

3DES使用“密钥包”，其包含3个DES密钥，K1，K2和K3，均为56位（除去奇偶校验位）。

• 加密算法为：
  
  也就是说，使用 K1 为密钥进行 DES 加密，再用 K2 为密钥进行 DES “解密”，最后以 K3 进行 DES 加密。
  3DES 加密
• 而解密则为其反过程：
  
  即以 K3 解密，以 K2 “加密”，最后以 K1 解密。
  3DES 解密

AES

什么是 AES

AES 是取代其前任标准（DES）而成为新标准的一种对称密码算法。该算法为比利时密码学家 Joan Daemen 和 Vincent Rijmen 所设计，结合两位作者的名字，以 Rijndael 为名。Rijndael 的分组长度为 128 位，密钥长度可以通过32位为单位在 128 位到 256 位范围内选择，不过在 AES 中，密钥长度只有128、192、256 位三种。现在，AES 已然成为对称密钥加密中最流行的算法之一。

总体结构

与 DES 一样，Rijndael算法也是由多个轮（round）所构成，但是没使用费斯妥结构，而是使用了 代码-置换网络（简称 SPN）。 轮函数任务就是根据密钥编排序列（即轮密码）对数据进行不同的代换及置换等操作。

Rijndael算法总体结构

轮函数

AES加密过程是在一个4×4的字节矩阵上运作，这个矩阵又称为体（state），其初值就是一个明文区块（矩阵中一个元素大小就是明文区块中的一个Byte）。

AES加密轮函数

加密时，各轮AES加密循环（除初始轮和最后一轮）均包含4个步骤：

• 字节代换(SubBytes) —透过一个非线性的替换函数，用查找表的方式把每个字节替换成对应的字节。
      AES 算法的输入分组为 128 位，也就是 16 字节。首先需要逐个字节对 16 字节的输入数据进行 SubBytes 处理。所谓 SubBytes 就是以每个字节的值为索引，从 S盒（一张拥有256个值的替换表）中查找出对应值的处理。
  AES-SubBytes
• 行移位(ShiftRows) —将矩阵中的每个横列进行循环式移位
      SubTypes 之后需要进行 ShiftRows 处理，对 SubBytes 的输出以字节为单位进行打乱处理。在此步骤中，每一行都向左循环位移某个偏移量。
      在AES中（区块大小128位），第一行维持不变，第二行里的每个字节都向左循环移动一格。同理，第三行及第四行向左循环位移的偏移量就分别是2和3。128位和192比特的区块在此步骤的循环位移的模式相同。经过ShiftRows之后，矩阵中每一竖列，都是由输入矩阵中的每个不同列中的元素组成。
  AES-ShiftRows
• 列混合(MixColumn)—为了充分混合矩阵中各个直行的操作。这个步骤使用线性转换来混合每内联的四个字节。
  ShiftRows 之后需要进行 MixColumns 处理，即对一个4字节的值进行二进制运算，将其改变为另外一个4字节值
  AES-MixColumns
• 轮密钥加(AddRoundKey)
  矩阵中的每一个字节都与该次回合密钥（round key）做异或（XOR）运算；每个子密钥由密钥生成方案产生。
  AES-AddRoundKey

分组密码的模式

分组密码与流密码

    分组密码是每次只能处理特定长度的一块数据的一类密码算法，这里的“一块”就称为分组。此外，一个分组的位数就称为分组长度。例如，DES 分组长度为 64 位，AES 的分组长度可以为 128位、192位 和 256位。
    流密码是对数据流进行连续处理的一类密码算法。流密码中一般以1位、8位或者 32位等为单位进行加密和界面。

什么是模式

分组算法只能加密固定长度的分组，但是明文的长度一般要远大于分组大小，这时就需要对分组密码算法进行迭代，而迭代的方法就称为分组的模式。负责明文数据流怎样按分组大小切分，数据不对齐的情况怎么处理等等。
模式有很多种类，分组密码的主要模式有以下5种：

• 电子密码本：Electronic Code Book Mode (ECB)

• 密码分组链接：Cipher Block Chaining Mode (CBC)

• 密文反馈：Cipher Feedback Mode (CFB)

• 输出反馈：Output Feedback Mode (OFB)

• 计数器模式：Counter Mode (CTR)

ECB 模式

ECB 模式只是将明文按分组大小切分，然后用同样的密钥正常加密切分好的明文分组。

ECB模式

• 优点：
  1. 简单；
  2. 支持并行计算（加密、解密）
  3. 快速；
• 缺点：
  1. 明文中的重复排列会反映在密文中
  2. 通过删除、替换密文分组可以对明文进行操作
  3. 对包含某些比特错误的密文进行解密时，对应的分组会出错
  4. 不能抵御重放攻击
     因此，ECB的理想应用场景是短数据（如加密密钥）的加密。

CBC 模式

此模式是1976年由IBM所发明，引入了IV（初始化向量：Initialization Vector）的概念。IV是长度为分组大小的一组随机，通常情况下不用保密，不过在大多数情况下，针对同一密钥不应多次使用同一组IV。 CBC要求第一个分组的明文在加密运算前先与IV进行异或；从第二组开始，所有的明文先与前一分组加密后的密文进行异或。

CBC模式

• 优点：
  1. 明文的重复排列不会反映在密文中
  2. 支持并行计算（仅解密）
  3. 能够解密任意密文分组
• 缺点：
  1. 加密不支持并行计算
  2. 对包含某些错误比特的密文进行解密时，第一个分组的全部比特以及后一个分组的相应比特会出错

CFB 模式

在 CFB 模式中，CFB是用分组算法实现流算法，明文数据不需要按分组大小对齐。与CBC模式类似，但不同的地方在于，CFB模式先生成密码流字典，然后用密码字典与明文进行异或操作并最终生成密文。后一分组的密码字典的生成需要前一分组的密文参与运算。

CFB 模式

• 优点：
  1. 不需要填充（padding）
  2. 支持并行计算（仅解密）
  3. 能够解密任意密文分组
• 缺点：
  1. 加密不支持并行计算
  2. 对包含某些错误比特的密文进行解密时，第一个分组的全部比特以及后一个分组的相应比特会出错
  3. 不能抵御重放攻击

OFB 模式

OFB模式与CFB模式不同的地方是：生成字典的时候会采用明文参与运算，CFB采用的是密文。

OFB模式

• 优点：
  1. 不需要填充（padding）
  2. 可事先进行加密、解密的准备
  3. 加密、解密使用相同结构
  4. 对包含某些错误比特的密文进行解密时，只有明文中相应的比特会出错
• 缺点：
  1. 不支持并行运算
  2. 主动攻击这反转密文分组中的某些比特时，明文分组中相对应的比特也会被反转

CTR 模式

CTR模式同样会产生流密码字典，但同是会引入一个计数，以保证任意长时间均不会产生重复输出。CTR模式只需要实现加密算法以生成字典，明文数据与之异或后得到密文，反之便是解密过程。CTR模式可以采用并行算法处理以提升吞量，另外加密数据块的访问可以是随机的，与前后上下文无关。

CTR模式

• 优点：
  1. 不需要填充（padding）
  2. 可事先进行加密、解密的准备
  3. 加密、解密使用相同结构
  4. 对包含某些错误比特的密文进行解密时，只有明文中相应的比特会出错
  5. 支持并行计算（加密、解密）
• 缺点：
  1. 主动攻击者反转密文分组中的某些比特时，明文分组中对应的比特也会被反转

分组模式比较表

分组模式的对比