GB T 17964-2000 信息技术 安全技术 n位块密码算法的操作方式.pdf

《GB T 17964-2000 信息技术 安全技术 n位块密码算法的操作方式.pdf》由会员分享，可在线阅读，更多相关《GB T 17964-2000 信息技术 安全技术 n位块密码算法的操作方式.pdf（15页珍藏版）》请在麦多课文档分享上搜索。

1、GBjT 17964-2000 前言本标准等同采用国际标准ISOjIEC10116，1997n的特殊情形。2 童在巢军n , Jltl JlI七方式与本标准主一版本中所描述的CFB方式兼容.用于CBC操作方式的变最是:a)输入变量。q个胡文变量矶，P2，P，所组成的序列，每个块都为j位。2)密钥K，3) r位启动变量SV，b)中l同结果l)q个块密码输入块丸，Xz，X，所组成的序列，每个块都为n位，2) q个主是密码输出块Y飞，Y, 所组成的序列，每个块都为n立b3) q个变数El，E2，E，所组成的序列，每个块都为J位。4) q-l个反馈变最F1，Fz，.o，Fq_1所级成的序列，每个块署在

2、为Kt草e5) q-l个反馈缓存内容FB，FB，FBq-l所组成的序列，每个块都为N1t. c)输出变量哇个密文交量C1,C2, HO tCq济组成部序列，每个块都为H立。7.2 反馈缓存FB的初始值段为2FB,=SV 对每个明文变f量进行加密的操作采用以下六个步骤sa) X,=FB,-n b)使用块密码2Y,=eK(X,) c)选择最左边J位EE= y ,._j d)产生密文变黛sC, =P,EE, e)产主主反馈变鸳zF，骂S/I(k)!C;) f)在FB上进行移位密数操作z( 7 ) ( 8 ) ( 9 ) ( 10 ) ( 11 ) ( 12 ) FB，十，=Sk (FB,f F,).

3、 .,. ( 13 ) 对i=12，q，重复上述步骤，最后一个循环结束子式(11)。比过程如愿2的左半部分所示。块密码的输出块Y的最左边H立用来通过模2刻来加密i位哥哥文变量，y的其他位被舍弃，明文和密文变量820 GB/T 17964一2000的各位从1到J编号。通过把k-j个位放到明文变量的最左边位壁上，将明文变量扩展成k位反馈变量Fo然后将反馈缓存FB的各位左移k个位置，并将F插到最右边灼k个位望壁上，就产生了新的反馈缓存FB筐。在此移位操作中.FB的最左边k位被舍弃。FB最左边的新的n位用作加密过程的下一个输入X。加密解楼F FB .民.FB . 1 X n 主1芷n 飞I ii 11

4、 I j位I !比l解盹选择左边1世1丁一k汁丫Jj俨7FEZJ位3 1 E C C P 1 1 1 吕g2 密码反馈(CFB)操作方式7.3 用于解密的变量与用于加密的变量是相同的。反馈缓存FB被置成初始值3FB,=SV 对每个密文变量进行解密的操作采用以下六个步骤gp 3 F 玄(14) a) X,=FB,-n . . (1日b)使房块密码:Y,=eK(X,) (1 6) c)选择最发边j位sE,=Y,-j (1 7) d)产生明文变量tP，=C;E立i. (18) e)产生反馈变量2F,=S;(I(k) IC,) . . . . (1百。在FB上进行移位功能操作3FB，村耳S，位放到密文

5、变量的最左边位置上，将密文变量扩凝成k位反馈变量F。然后将反馈缓存FB的各位左移k个位置，并将F放到最右边的k个位置上，就产生了新的FB值。在此移位操作中.FB的最左边k位被舍弃oFB最左边的毅的n位朋作放密过程的下一个输入Xo7.4 建议使用j和k的值相等的CFB方式按照这种建议形式。=k).等式(12)和(19)可以写成:F，=C;(当j=k)B21 GB/T 17964-2000 8 输出反馈(OFB)方式8.1 OFB操作方式出一个参数来定义，该参数为碗文变蠢的大小jO，;主j;。用于OFB操作方式的变续是ga)输入变量l)q个胡文变量矶，矶，P，所组成的序列，每个块都为1位。2)密钥

6、K，3) n位启动变量SV，b)中间结果l)q个块密码输入块丸，凡，X，所组成的序列，每个块都为n位。2) q个块密码输出块YpY:pu.，Yq吁组成的序列，每个块都为nV量。3) q个变最矶，E2，u.，Eq所组成的序列，每个块都为j位。输出变量q个密文变量C1，Cz，C，所组成的序列，每个块都为1位。8.2 输入块X置成初始值aV骤ed护柯YFhh x四下以用采作操的密 &川HN行进她码文耐地回如拟中用每使品叶4、，vapa ( 21 ) Y,=eK(X;) . ( 22 ) b)选择最左边j位sE= Y-j (23) c)产线密文变簸，C,=PiEtJEi ( 24) d)反馈操作3X十

7、l=Yi( 25 ) 对严1，2，吨，重复上述步骤，最后一个循环结束子式(24)，成过程安m3的左半部分所示。每次使用块密码所产生的结果也被用来反馈并成为X的下一个值，即Xi+loYi的最左边j位用来加密输入变量。加密第唱El a 1 a 选择左边位l 选择左边1位E! , 1 3 1 c P P 1 1 因3输出反馈(OFB)操作方式822 GB/T 17964一20008. 3 扇子解密的变量与用于加密的变量是相同的。反馈缓存FB被量成初值2X,=sv 对每个密文变量进行董事密的操作采用以下留个步骤za)使用块密码gY,=eK(Xb)选择最左边1位sEi = Y,-j 。产生明文变量2P,

8、=CEE, d)反馈操作sX，杜立Y，( 26 ) ( 27 ) (28) (29) 对=1，2.吨，重复上述步骤，最后个循环结束于式(28).此过穆如图3的有半部分所示。值X，幸UYi与加密过程啦相应的古董是相同的s仅有式(28)是不同的，823 A1 电子哥哥本(ECB)操作方式的性质A 1.1 环境GB/T 17964-时2000附录A标准的附录操作方式的性质在各计算机之阅或人与入之间所交换的二进制数据可能会有意复或是共同使用的序列。在ECB方式中，相间的明文块(对于相阔的密钥)产生相同的密文块。A 1.2蚀ifJ(ECB方式的性质有2a)对某一块的加密或解密可独立于其他块进行Fb) X

9、1密文块始建排将导致明文块的相应重排sc)相同的明文块(对于相同的密钥)总是产生相同的密文块，这使得它容易遭受一种字典攻击，这种字典是由对应的晓文和密文块构成的。对于超过一个块的消怠一般建议不使用艺CB方式。对于可接受重复性成必须单独访问各个块的那些特殊使用情况.ECB的用法可以在米来的标准中规定。A 1.3填充要求只有n位的倍数才能被加密或解帘。其他低度需要被填充窒a位边界。A 1.4 差错扩散在ECB方式中，在一个辛苦文块中的一个或多个位差错只会影响对发生室主错的那一块的解密。对于有一个或多个错误俊的密文块的解密将导致对应的明文块中每个明文位出错的概率为.50%。A1. 5块边界如果如密和

10、解密之间的块边界丢失了例如由于个ffL滑动).则在重新建立正确的块边界之前，加哥哥i与解密操作之间将失去同步。如果块边界丢失，则所有解密操作的结果都是不正确的。A2 密码线链接(CBC)操作方式的?盒放A2.1 环境只要使用同祥的密钥和感动变量对相同的确文进行Jm密.CBC方式应将产生相同的密文。关心这种性质的用户需要采用某种办法来改变明文的开始、密钥或启动变量。一种可能的办法是将一个唯一的标识符(例如一个递增t数量量加到每个CBC自怠的开始处。在对大小不能增加的记录进行加密时可采用另种办法，它使用诸如启动变量的某个值，这个值能从记录中计算出来且不用知道其内容(例如它的按随机访问存储方式的地址

11、)。A2.2性质CBC的性质有:a)链接操作使得密文块依赖于当前的和所有以前的明文块，因此对密文块的重新安排不会导致对相应的哥哥文块的重新安排;b)使用不同的sv值从而防止同明文加密成同一密文。A2.3 填充要求只有n位的倍数才能被力。密或解密。其他长度需填充至n位边界。如果这是不可接受的，可以按一种特殊的方式来处置最后一个变量。下丽给出两个特殊处理的例子。第一矜处理一个不完整始最后变数(Jlp:个jn立的变量丸，其中q/i堂大子1)的可能的办法是821 GB/T 17964 2000 按下面的描述的。FB方式对它进行加密a)力口密C，=P，E(K(C，-l)j) ( 3号b)解密P, =Ci

12、(eK (C，-l)j) . . (31 ) 但楚，如果SV不是秘密的或者与同一个密钥一起被多次使用见A4)，那么最后的变锺容易受到选择明文攻击飞第二军申办法称作密文窃取飞假设最后两个明文交最为Pq-1幸nPq Pq-1是一个a位块，P，是一个in位的变量，q应大于La)加密设Cq-1为使!l5. 2 I!吁搭述灼方法出Pq-1导出前密文块。令C，=eK(S，(C俨lIP，). . u .( 32 ) 因此最后两个密文变量是Cq-1和C，Ob)解密首先需对C，进行解密，从而产生变邀P，和C俨1的右边n-J位gS，C俨IIP，)=dK(C，). (33 ) 进而得到完整的块Cq-l，并且使用5.

13、3所描述的方法能导出Pq-1 两个紧随着的变量是按逆序进行解密的，这使得这种方法不太适合乎硬件实现。A2.4 靠在错扩散在CBC方式中，在一个密文块巾的个或多个位兼错将会影响对两个块(即发生差错的块和随后的块)的解密.第2个密文块中的一个差错对子所产生的嘿文有以下影响s第i个Jl文块每位出错的概率为50%。第1十1个明文块的差错模式与第1个密文块的相同。如果在一个不到n位的变量中出现差错，1Ii!错扩散取决于所选择的特殊处理方法。在第一个例子中，被解密的较短的块中与明文中出锚的位直接对应的那些位也会出错eA2.5块边界如果加密和解密之间的块边界丢失了(例如由于一个位滑动)，则在重新建立茧确的块

14、边界之前，力E密与解密操作之i碍将失去阔步。如果块边界丢失，所有解密操作的结果都是不正确的。A3 密码反馈(CFB)操作为式的性质A3.1 环境只要使用同样的密钥和启动变锺对相同的明文进行加密，CFB方式成将产生栩同的密文。关心这种特性的用户需要采用菜矜办法来改变烧文的开始、密警哥或启动变量e一种可能的办法是将一个唯一的标识符(例如一个递增计数器)加到每个CFB消息的开始处。在对大小不能增加的记录进行加密时可采用另一种办法，它使用诸如启动变量的某个傻，这个值能从记录中计算出来旦不用知道其内容(例如它的按黯机访闵存储方式的地址)。A3.2性质CFB的性质有sa)吉连接操作使得密文变量依赖于当前的

15、和除一确定数目以外的所有以前的明文变量，该数目取决于r，k和j的选择(见图2)。因此对j位密文变量的重新安排不会导致对相应的j佼明文变缝的重新安排zb)使用不同的sv值从而防止向一明文加密成同一密文;c) CFB方式的加密和解密过程都使用块密码的加密操作;d) CFB方式的强度依赖于k的大小(j=k时最大以及j杰、n和r的相对大小g825 GB/T 17964 2000 注，jk将导致输入块的谊重重复出现的概率增加这种重复出现将会1世露明文位之间的线性关系.e)选择一个较小的1值对于每个明文单位将要求更多次的块哥哥码操作，因而引起更大的处理开销;公选择TE兰在十k使得吉普对块密码遂行流水线式连

16、续操作eA3.3 填充要求只有J位的倍数才能被加密或解密。其他长度需填充至i位边界。但是，经常对j的大小的选择是要使得其无普革进行填充，例如对于萌文的最后部分，j能被修改。A3.4 差错扩散CFB方式中，佼-J位密文单位的差错都将影购置才隧后密文的解密，豆豆裂出镑的位移出CFB反馈缓存为止。第1个密文变量中的差错均产生的明文有下列影响:第1个明文变量与第i个密文变量有相同的差错模式。在所有不正确接收的位被移出反馈缓存之前，随后的明文变量的每一位出镑的概率为50%0 A3. 5 阔步如果加密和解密之间的块边界丢失了(例如由于一个位滑动)，则在ii靠边界重新建立的r位之后，密码同步将被重新建立。如

17、果丢失j位的倍数，翔在r位之后将自动重新建立同步。A4 输出反馈(OFB)操作方式的性质A4. 1 环境只要使用同样的密钥和启动变量对相同的明文进行加密，OFB方式应将产生相同的密义。此外，当使题相同的密锁和sv肘，OFB方式中将会产生将同的密钥流e因此，为了保密起见，对于一个给定的密钥，一个特定的sv只应使用一次。A4.2性质。FB的性质有2a)没有链接操作会使得OFB更容易受到:t动的攻击;b)使怒不同的sv筐，通过产生不同的密锁流，从商防止向一碗文始密成同一辛苦文zc) OFB方式的加密和解密过程都使用块密码的加密操作;d) OFB方式不依赖明文来产生用于对明文进行模2加的密领流ge)选

18、择一个较小的j童对于每个哥哥文单位将要求更多次的块密码操作，远商引起更大的处理开销。A4. 3 填充要求只有H茸的倍数才能被加密或解密。其他妖度需填充至j位边界g但是，经常对j的大小的选择是要使得无需进行填充，例如对子明文的策后部分，j能被修改。A4.4 差错扩散。FB方式不夜产生的哥哥文输出扩散密文章主镑。辛苦文中每一辈辈错位只会引起被解密的哥哥文中出现叫个差错位。A4.5 阔步。FB方式不是梅同步的。如果如辛苦和解密两个操作不同步，系统需要主重新初始化a这种闵步丢失可能由于插入或丢失任何数目的密文位所引起。每次重重新初始化应使用个sv饶，它不同于与同一个密镇一起使用的以前的sv笆，其原因是

19、对于相同的参数，每次都要产生相同的位流。这将易予受到已知的明文攻击。k26 GB/T 17964-2000 附录B(提示弱附录有关专利的信息在编制本标准的过程中，收集了有关专利的信忌，本标准的应用依赖于这些专利。这些相关专利属于IBM公司和UNISYS公司。但是ISO不可能提供关于专利和所有权的资料、有效性或范围的权威性的或全部的信患。专利拥有者已经申明，为了便于本标准的应用，只要寻求专利许可证的个入或组织同意相应进行报答，都将按合适的条件发放许可证a耍了解更详级部情况可与以下地址联系=Director of Commercial Relations (商业关系都)International

20、Business Machines Corporation 2000 Purchase Street PURCHASE,N. Y. 10577 U. S. A. Director , Industry Relations (工业关系部UNlSYS PO Box 500 Blue Bell ,PA 19424 U. S. A. Cl 概述附录C(提示的附录操作方式举例本附录举例说明使用本标准所规定的操作方式对消息的加哥哥和解密。这些例子使用下列参数zd使瘤的块密码是数据加密算法DEA)(觅附录DLn德为悦。b) 码密钥为0123456789ABCDEF。c)启动僵为1234567890ABCDE

21、F.d)胡文是Nows the time for aH的7位GB1988/ASCII代码(十六进tJ形式34E6F772069732074 68652074696D6520 666F7220616C6C20)。对于CFB方式，明文是Now的7位GB 1988/ASCII代码十六进和i形式:4E6F77) C2 方式表Cl和表C2分别绘出ECB方式的旅密辛苦解密拘例子。827 GB/T 17964- 2000 表ClECB方式，加密: 明文P，块密码输入块块密码输出块密文已1 4E6F77206973Z074 4E6F772069732074 3FA40E8A9吉4D48153FA40E8A98

22、4D4815 Z 68652074696日652068652074696D6520 6A271787 AB8883F9 6A271787 AB8883F9 3 666F7220616C6C20 吉66F7220616C6C2台893D51EC4B563B53 在93D51EC4B563B53表C2ECB方式，解密3 密文C块密码输入块块檐哥哥输出块明文p，1 3F A40E8A984D4815 3FA40E8A984D4815 4E6F772069732074 4E6F772069732074 z 6A271787 AB8883F9 6A271787 AB8883F 9 在8652074696

23、D652068652074696D6520 3 893D51EC4B563B53 893D51EC4B563B53 666F7220616C6C20 666F7220616C6C20 C3 CBC方式表C3和表C4分别给出CBC方式的加密和解密的例子。表C3CBC方式，加密明文P，块密码输入块块密码输出块密文巳l 4E6F772069732074 5C5B2158F9D8ED9B E5C7CDDE872BF27C E5C7CDDE872BF27C 2 68652074696D6520 8DA2EDAAEE46975C 43E9340口自C389COF43E934008C389COF 3 666

24、F7220616C6C20 25864620ED54F02F 683788499A7C05F6 683788499A 7C05F6 表C4CBC方式，解密密文已块密码输入块块密码输出块明文p，1 E5C7CDDE872BF27C E5C7CDDE872BF27C 5C5B2158F9D8ED9B 4E暗P-7720697320742 43E934008C389COF 43E934008C389COF 8DA2EDAAEE46975C 68652074696日65202 683788499A 7C05F6 I 683788499A7C05F6 2586462号ED54F02F666F722061

25、 SC6C20 时CFB方式表C5和表C6分别给出CFB方式的加密和解密的例子。此伊j所选的参数为:j=巳k=8且r=n.k位反馈以斜体形式给出。表C5CFB方式，如密明文P，块密码输入块块密码输出块密文已1 4E I 234567890ABCDEF BD661569AE草74E25F3 2 6F 34567890ABCDEFF 3 7039546F9AOF6330 lF 2 77 567890ABCDEFF31F i AD1B78BOBB371B7 DA 表C6CFB方式，解密B 密文已块密码输入块块密码输出块明文p，1 F3 1234567890ABCDEF BD661569AE874E2

26、5 4E 2 lF 34567890ABCDEF F 3 7039546F9AOF6330 6F 3 DA 567890ABCDEFF31F ADIB78BOBB371BE7 77 抖2HGB!T 17964-2000 C5 OFB方式表C7和表C串分别绘出OFB方式的极密辛苦潺密的例子。此告每所边的参数为:)=64。2 Jl文在1 4E6F772069732074 2 68652074696D6520 3 666F72Z0616C6C20 , 密文C;l F3096249C7F46E51 z 35F24AZ42在EB303F3 3日6D5BE3255AF8C3表C7OFB方式，加密块密码输入

27、块块密码输出块1234567890ABCDEF BD661569AE874E25 BD661569AE874E25 5D976A504786581F 5D976A504786581F 5B0229C3443694E3 表C8OFB方式，解密块密码输入块1234567890ABCDEF B0661569AE874茸茸55D976A504786581F 附录D提示吉号附录参考资料块密码输出块BD661569AE874E25 导D976A号047在6581F5B0229C3443694E3 1J ANSI X 3.92(1981) 美国菌家标准信息系统一一数据加密算法密文已F3096249C7F46E51 35F24A242EEB3D3F 3D6D5BE3255AF8C3 璃文P;4E6F772069732074 68652号746960652号666F7220616C6C20 829