1、lCS 35040L 80 缮园中华人民共和国国家标准GBT 1 7964-2008代替GBT 179642000信息安全技术分组密码算法的工作模式200806-26发布Information technology-Security techniques-Modes of operation for a block cipher2008110 1实施中华人民共和国国家质量监督检验检疫总局当士中国国家标准化管理委员会覆仲目 次前言引言1范围2规范性引用文件3术语和定义31术语32定义4缩略语和符号5电码本(ECB)模式51变量定义52 ECB的加密方式描述53 ECB的解密方式描述6密码分组链接
2、(CBC)模式61变量定义-62 CBC的加密方式描述63 CBC的解密方式描述-7密码反馈(CFB)模式71参数定义72变量定义73 CFB的加密方式描述74 CFB的解密方式描述75建议8输出反馈(OFB)模式81参数定义82变量定义83 OFB的加密方式描述84 OFB的解密方式描述“9计数器(cTR)模式91变量定义92 CTR的加密方式描述93 CTR的解密方式描述10分组链接(Bc)模式101变量定义102 BC的加密方式描述103 BC的解密方式描述1l带非线性函数的输出反馈(OFBNLF)模式111变量定义112 OFBNLF的加密方式描述GBT 17964-2008Ir1ll
3、1233334444455i667777888899990000GBT 17964-2008113 OFBNLF的解密方式描述附录A(规范性附录)工作模式的性质A1电码本(ECB)I作模式的性质A2密码分组链接(CBC)工作模式的性质A3密码反馈(CFB)作模式的性质A4输出反馈(OFB)工作模式的性质A5计数器(CTR)工作模式的性质A6分组链接(BC)I作模式的性质A7带非线性函数的输出反馈(OFBNLF)工作模式的性质附录B(资料性附录)工作模式举例-B1概述B2 ECB方式-B3 CBC方式-B4 CFB方式B5 OFB方式-B6 CTR方式-参考文献-u挖挖化n”M埔M加刖 吾GBT
4、 17964-2008本标准代替GBT 17964 2000信息技术安全技术n位块密码算法的操作方式。本标准与GBT 17964 2000相比主要变化如下:修改了标准的名称;修改了部分术语的定义;修改了加密解密的关系表达式;增加了分组算法的计数器(CTR)、分组链接(Bc)和带非线性函数的输出反馈(OFBNLF)三种工作模式及其说明;在资料性附录B中增加了计数器(CTR)工作模式的加密解密实例说明;修改了部分描述性文字的语法。本标准的附录A是规范性附录,附录B是资料性附录。本标准由国家密码管理局提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位:无锡江南信息安全工程技术中心、卫士通
5、信息产业股份有限公司、兴唐通信科技股份有限公司、济南得安计算机技术有限公司、上海格尔软件股份有限公司。本标准主要起草人:徐强、李元正、谢永泉、李玉峰、高志权、谭武征。本标准所代替标准的历次版本发布情况为:GBT 17964 2000。GBT 17964-2008引 言本标准中对于某些所描述的工作模式来说,可能需要对明文变量进行填充,具体填充技术不属于本标准的范围。某些工作模式需要用到初始值IV,IV的定义不属于本标准范围。当使用这些工作模式中的某一种时,所有通信方都要选择并使用同样的参数值。本标准编制过程中得到了国家商用密码应用技术体系总体工作组的指导。信息安全技术分组密码算法的工作模式1范围
6、本标准描述了分组密码算法的七种工作模式,以便规范分组密码的使用。2规范性引用文件GBT 17964-2008下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 1988 1998信息技术信息交换用七位编码字符集(eqv ISOIEC 646:1991)3术语和定义下列术语和定义适用于本标准。31术语311分组链接工作模式 block chaining(Bc)operation mode分
7、组密码算法的一种工作模式,当前的明文分组与所有前面密文分组的异或值相异或运算后再进行加密得到当前的密文分组。312分组密码block cipher又称块密码算法,一种对称密码算法,将明文划分成固定长度的分组进行加密。313分组密码算法工作模式block cipher operation mode分组密码算法的使用方式,主要包括电码本模式(ECB)、密码分组链接模式(CBC)、密码反馈模式(CFB)、输出反馈模式(OFB)、计数器模式(CTR)等。314密码分组链接工作模式cipher block chaining(CBC)operation mode分组密码算法的一种工作模式,当前的明文分组与
8、前一密文分组进行异或运算后再进行加密得到当前的密文分组。315密码反馈工作模式cipher feedback(CFB)operation mode分组密码算法用于构造序列密码的一种工作模式,用密文依次更新存储该密码算法启动变量的反馈缓冲器。316计数器工作模式counter(CTR)operation mode分组密码算法用于构造序列密码的一种工作模式,通过加密不断变化的计数器来产生密钥序列。317密文ciphertext加密后的数据。1GBT 17964-2008318密码同步cryptographic synchronization使密码系统正确处理而进行的协作机制。319解密deciph
9、ermentdecryption加密过程对应的逆过程。3110电码本工作模式electronic codebook(ECB)operation mode分组密码算法的一种工作模式,明文分组直接作为加密算法的输入,对应的输出作为密文分组。3111加密enciphermentencryption对数据进行密码变换以产生密文的过程。3112反馈缓存(FB) feedback buffer(FB)用于为加密过程存储输入数据的变量。在启动点,FB的值为Iv。3113初始化向量值initialization vectorinitialization value(Iv)在密码变换中,为增加安全性或使密码设备
10、同步而引入的用于数据变换的起始数据。3114密钥key控制密码变换操作的关键信息或参数。3115带非线性函数的输出反馈模式 output feedback with a nonlinear function(OFBNLF)operationmode分组密码算法的一种工作模式,是OFB和ECB的变体,它的密钥随着每一个分组而改变。3116输出反馈工作模式output feedback(OFB)operation mode分组密码算法用于构造序列密码的一种工作模式,用该算法当前时刻的输出作为下一时刻的输入。3117明文plain textclear text待加密的数据。32定义321加密表达式本
11、标准中,由分组密码规定的函数关系记作:CEK(P)其中:P是明文分组;C是密文分组;K是密钥;EK是使用密钥K的加密运算。322解密表达式对应的解密函数记作:p-DK(C)D。是使用密钥K的解密运算。2GBT 17964-2008323位阵列表达式由一个大写字母表示的变量,如上面的P和C,它表示一个一维的位阵列。例如:A一(ala,a。)和B一(b1,b2,b。)便是两个m位阵列,其位从1到m编号。所有位阵列的记法都是以下标为1的位处于最左边。324模2加表达式模2加操作,也称作“异或”运算,用符号。表示,应用到阵列A和B的运算定义为:AoB=(al o bl,a20 b2,ko b。)325
12、位选择表达式选择A的最左边J个位以产生一个J位阵列的操作记作:Aj一(al,az,aj)仅当ljm(m是A中的位数)时此操作才有定义。326移位运算表达式移位函数&定义如下:已知m位变量x和位变量F,其中1m,移位函数s。(xIF)的作用是产生以下的m位变量(1是连接运算符,下同):S(xlF)一(X+】,X+2,X,f,fz,厶) (n的特殊情形。72变量定义a)输入变量1)q个明文变量P。,P:,P。所组成的序列,每个块都为J位。2)密钥K。3)r位初始值IV。b)中间结果1)q个密码输入块x,x。,x。所组成的序列,每个块都为”位。2)q个密码输出块Y1,Yz,Y。所组成的序列,每个块都
13、为n位。3)q个变量z,z一,Z。所组成的序列,每个变量都为J位。4)q1个反馈变量F,Fz,FH所组成的序列,每个变量都为k位。5)g一1个反馈缓存内容FB。,FB。,FB所组成的序列,每个块都为n位。c)输出变量q个密文变量c,c。,C。所组成的序列,每个块都为J位。73 CFB的加密方式描述反馈缓存FB的初始值为:FB,一IV对每个明文变量进行加密的运算采用以下六个步骤:a)产生输入变量:X:=FB。“b)使用分组密码:Y。一EK(X,)c)选择最左边的J位:Z,=Y。jd)产生密文变量:C,=P:o Z。e)产生反馈变量:F,一s,(I()lC。)f)FB移位运算:FB一一St(FB。
14、lF,)对i一1,2,q,重复上述步骤,最后一个循环结束于步骤d)。此过程如图2左半部分所示。分组密码的输出块Y的最左边j位用来通过模2加来加密J位明文变量。Y的其他位被舍弃。明文和密文变量的各位从1到J编号。通过把k-j个“1”位放到密文变量的最左边位置上,将密文变量扩展成k位反馈变量F,然后将反馈缓存FB的各位左移k个位置,并将F插到最右边的k个位置上,就产生了新的反馈缓存FB值。在此移位操作中,FB的最左边k位被舍弃。FB最左边的新的n位用作加密过程的下一个输入x。5GBT 17964-2008图2密码反馈(CFB)工作模式74 CFB的解密方式描述用于解密变量与用于加密变量是相同的。反
15、馈缓存FB被置成初始值:FB,一IV对每个密文变量进行解密的操作采用以下六个步骤:a)产生输入变量:X:一FB,”b)使用分组密码:Y:一EK(X,)c)选择最左边的J位:Z:一Y。jd)产生明文变量:P,一C;o Z:e)产生反馈变量:F。一S(I()lC;)f)FB移位运算:FB。+1一S(FB。lF。)对i一1,2,q,重复上述步骤,最后一个循环结束于步骤d)。此过程如图2右半部分所示。分组密码的输出块Y的最左边J位用来通过模2加来解密j位密文变量。Y的其他位被舍弃。明文和密文变量的各位从1到J编号。通过把女一j个1位放到密文变量的最左边位置上,将密文变量扩展成k位反馈变量F,然后将反馈
16、缓存FB的各位左移k个位置,并将F放到最右边的k个位置上,就产生了新的反馈缓存FB值。在此移位操作中,FB的最左边位被舍弃。FB最左边的新的n位用作加密过程的下一个输入x。注:CFB模式的工作性质见附录A。示例:CFB模式的示例参考附录B。75建议建议使用J和的值相等的CFB方式。按照这种建议形式(j一),加密操作和解密操作的步骤e)可以写成:F,一C。(当J一)6譬辩8输出反馈(OFB)模式GBT 17964-200881参数定义OFB操作方式由一个参数来定义,该参数为明文变量的大小j(1jn)。82变量定义a)输入变量1)q个明文变量P1,Pz,P。所组成的序列,每个块都为j位。2)密钥K
17、。3)n位初始值IV。b)中间结果1)q个密码输入块x。,X2,x。所组成的序列,每个块都为n位。2)q个密码输出块Y。,Yz,Y。所组成的序列,每个块都为n位。3)q个变量z,zz,z。所组成的序列,每个块都为J位。c)输出变量q个密文变量C-,C:,C。所组成的序列,每个块都为J位。83 OFB的加密方式描述输入块x置成初始值:X,一IV对每个明文变量进行加密的运算采用以下四个步骤:a)使用分组密码:Y;=EK(X)b)选择最左边的j位:Z:一Y。jc)产生密文变量:C,一P,o Z:d)反馈操作:X,+1一Y。对滓1,2,q,重复上述步骤,最后一个循环结束于步骤c)。此过程如图3的左半部
18、分所示。每次使用分组密码所产生的结果Y,被用来反馈并成为x的下一个值,即x。Y。的最左边J位用来加密输入变量。加密1 。l 囱解密算法17区垂堕固1 Z上 7图3输出反馈(OFB)工作模式GBT 17964-200884 OFB的解密方式描述用于解密的变量与用于加密的变量是相同的。输入块被置成初始值:X1一IV对每个密文变量进行解密的运算采用以下四个步骤:a)使用块密文:Y。一EK(X。)b)选择最左边的j位:Z。=Y。jc)产生明文变量:P。一C。o Z:d)反馈操作:X。+lY,对i=1,2,q,重复上述步骤,最后一个循环结束于步骤c)。此过程如图3的右半部分所示。值x和Y。与加密过程中相
19、应的值是相同的;仅有步骤c)是不同的。注:OFB模式的工作性质见附录A。示例:OFB模式的示例参考附录B。9计数器(CTR)模式91变量定义a)输入变量1)q个明文变量P-,Pz,P。所组成的序列(其中,P。,P。,P。,都为n位,P。为女位)。2)密钥K。3)q个计数序列T1”,TH,T。,每个块都为n位。b)中间结果1)q个密码输出块x-,xz,x。所组成的序列,每个块都为n位。2)k位密码输出块z。c)输出变量q个密文变量C,C,C。所组成的序列(其中,C。,C2”C,。都为n位,e为k位)。92 CTR的加密方式描述a)对计数序列加密:X,一EK(T。)i=1,2,qb)产生密文变量:
20、C,一P:o X。i一1,2,口一1c)选择最左边的位:ZKd)处理最后的分组C。=P。o Z对净l,2,口一1,重复步骤b),最后结束于步骤d)。此过程如图4的上半部分所示。8加街I KGBT 1 7964-2008图4计数器(CTR)工作模式93 CTR的解密方式描述a)对计数序列加密:X一EK(T,)i一1,2,口b)产生明文变量:P。一Co X。il,2,口1c)选择最左边的位:ZX南d)处理最后的分组P。一c口o Z对i一1,2,ql,重复步骤b),最后结束于步骤d)。此过程如图4的下半部分所示。注:CTR模式的工作性质见附录A。示例:CTR模式的示例参考附录B。10分组链接(BC)
21、模式101变量定义a)q个明文分组P-,Pz,P。所组成的序列,每个块都为n位。b)密钥K。c)n位初始值IV。d)q个反馈变量F,F,R所组成的序列,每个块都为n位。e) q个密文分组c,cz,c。所组成的结果序列,每个块都为n位。102 BC的加密方式描述a)反馈变量初始值为:F1一IVb)产生密文变量:C,一EK(P,o F。)c)产生反馈变量:Ft+】一F。o C。对浮1,2,q,重复上述步骤,最后一个循环结束于步骤b)。此过程如图5的上半部分所示。初始值IV用于产生第1个密文输出。之后,在加密之前,这个密文与当前反馈变量进行模2加,产生下一g击0qL。萼KC,、,L粕GBT 1796
22、4-2008个反馈变量。加密解密 P L P2 Pq图5分组链接(BC)操作方式加密算法解密算j去103 BC的解密方式描述a)反馈变量初始值为:F1一IVb)产生明文变量:P:=F。o DK(C:)c)产生反馈变量:F。+1一F,o C,对滓l,2,q,重复上述步骤,最后一个循环结束于步骤b)。此过程如图5的下半部分所示。注:BC模式的工作性质见附录A。11 带非线性函数的输出反馈(OFBNLF)模式111变量定义a)输入变量1)q个明文变量P,Pz,P。所组成的序列,每个块都为n位。2)密钥K。3)n位初始值1V。b)中间结果q+1个密钥输入块K。,K1,K。所组成的序列,每个块都为n位。
23、c)输出变量q个密文变量C。,C:,C。所组成的序列,每个块都为n位。112 OFBNLF的加密方式描述a)输入变量置成初始值:K。一IVb)产生密钥变量:K,一EK(K,1)c)产生密文变量:1 0韦禹丁叮GBT 17964-2008C。一EK(P。)对i一1,2,q,重复上述步骤,最后一个循环结束于步骤c)。此过程如图6的上半部分所示。每次使用的密钥K。被密钥K加密并成为下一个分组的密钥,即K。Cl c2 cg加密算法解密算法图6带非线性函数的输出反馈(OFBNLF)工作模式1 13 OFBNLF的解密方式描述a)输人变量置成初始值:K。一IVb)产生密钥变量:K,一EK(K。,)c)产生
24、明文变量:P。=DK(C,)对i-l,2,q,重复上述步骤,最后一个循环结束于步骤c)。此过程如图6的下半部分所示。每次使用的密钥K。被密钥K加密并成为下一个分组的密钥,即K。K:与加密过程中相应的值是相同的。注:OFBNLF模式的工作性质见附录A。GBT 17964-2008附录A(规范性附录)工作模式的性质A1 电码本(ECB)工作模式的性质A11环境在各种计算机之间或人与人之间所交换的二进制数据可能会有重复或者是共同使用的序列。在ECB方式中,相同的明文分组(对于相同的密钥)产生相同的密文分组。A12性质ECB方式的性质有:a)对某一块的加密或解密可独立于其他进行;b)对密文的重排将导致
25、明文分组的相应重排;c) 相同的明文分组(对于相同的密钥)总是产生相同的密文分组,这使得它容易遭受一种“字典攻击”,这种字典是由对应的明文和密文分组构成的。对于超过一个块的消息一般建议不使用ECB方式,对于可接受重复性或必须单独访问各个块的那些特殊使用情况,ECB的用法可以在未来的标准中规定。A13填充要求只有分组长度的倍数才能被加密或解密。其他长度需要被填充至分组长度边界。A14差错扩散在ECB方式中,在一个密文分组中的一个或多个位差错只会影响对发生差错的那一块的解密。对于有一个或多个错误位的密文分组的解密将导致对应的明文分组中每个明文位出错的概率为50。A15块边界如果加密或解密之间的块边
26、界丢失了(例如由于一个位的滑动),则在重新建立正确的块边界之前,加密与解密之间将失去同步。如果块边界丢失,则所有解密操作的结果都是不正确的。A2密码分组链接(CBC)工作模式的性质A21环境只要使用同样的密钥和初始值对相同的明文进行加密,CBC方式将产生相同的密文。关心这种性质的用户需要采用某种方法来改变明文的开始、密钥或初始值。一种可能的办法是将一个唯一的标识符(例如一个递增计数器)加到每个CBC消息的开始处。在对大小不能增加的记录进行加密时可采用另一种办法,它使用诸如初始值的某个值,这个值能从记录中计算出来且不用知道其内容(例如它的按随机访问存储方式的地址)。A22性质CBC方式的性质有:
27、a)链接操作使得密文分组依赖于当前的和以前的明文分组,因此对密文分组的重新安排不会导致对相应明文分组的重新安排;b)使用不同的IV从而防止同一明文加密成同一密文。A23填充要求只有分组长度的倍数才能被加密或解密。其他长度需要被填充至分组长度边界。如果这是不可接受的,可以按一种特殊方式来处置最后一个变量。下面给出两个特殊处理的例子。第一种处理一个不完整的变量(即:一个jn位的变量P。,其中q应大于1)的可能办法是按下面】2GBT 17964-2008的描述的OFB方式对它进行加密:a)加密一P。o(eK(C,)j) (50)b)解密P。一C。o(eK(C,1)j) (51)但是,如果IV不是秘密
28、的或者与同一个密钥一起被多次使用(见A4),那么最后的变量容易受到“选择明文攻击”。第二种办法称作“密文窃取”。假设最后两个明文变量为P。一。和P。,PH是一个n位分组,P。是一个Jn位的变量,q应大于1。a)加密设C。为使用52所描述的方法由P一导出的密文分组。令C。一eK(S,(C,l P。) (52)因此最后两个密文变量是C。和C。b)解密首先需要对C。进行解密,从而产生变量P。和C。的右边nj位:S,(Crl) P)一dK(C。) (53)进而得到完整的块c。,并且使用53所描述的方法能导出P一。两个紧随着的变量是按逆序进行解密的,这使得这种方法不太适合于硬件实现。A24差错扩散在CB
29、C方式中,在一个密文分组中的一个或多个位差错会影响对两个块(即发生差错的块和随后的块)的解密。第i个密文分组中的一个差错对于所产生的明文有以下影响:第i个明文分组每位出错的概率为50。第i+1个明文分组的差错模式与第i个密文分组相同。如果在一个不到n位的变量中出现差错,差错扩散取决于所选择的特殊处理方法。在第一个例子中,被解密的较短的块中与明文中出错的位直接对应的那些位也会出错。A25块边界如果解密或解密之间的块边界丢失了(例如由于一个位的滑动),则在重新建立正确的块边界之前,加密与解密之间将失去同步。如果块边界丢失,所有解密操作的结果都是不正确的。A3密码反馈(CFB)工作模式的性质A31环
30、境只要使用同样的密钥和初始值对相同的明文进行加密,CFB方式将产生相同的密文。关心这种特性的用户需要采用某种办法来改变明文的开始、密钥或初始值。一种可能的办法是将一个唯一的标识符(例如一个递增计数器)加到每个CFB消息的开始处。在对大小不能增加的记录进行加密时可采用另一种办法,它使用诸如初始值的某个值,这个值能从记录中计算出来且不用知道其内容(例如它的按随机访问存储方式的地址)。A32性质CFB的性质有:a)链接操作使得密文变量依赖于当前的和除一确定数目以外的所有以前的明文变量,该数目取决于r、k和J的选择(见图2)。因此对j位密文变量的重新安排不会导致对相应的J位明文变量的重新安排;b)使用
31、不同的IV值从而防止同一明文加密成同一密文;。) CFB方式的加密和解密过程都使用块密码的加密操作;d)CFB方式的强度依赖于的大4,q=k时最大)以及jk、11和r的相对大小;注:J将导致输入块的值重复出现的概率增加这种重复出现将会泄露明文位之间的线性关系。】3GBT 17964-2008e)选择一个较小的J值对于每个明文单位将要求更多次的块密码操作,因而引起更大的处理开销;f) 选择rn十使得能对块密码进行流水线式连续操作。A33填充要求只有J位的倍数才能被加密或解密。其他长度需要填充至j位边界。但是,经常对j的大小的选择是要使得其无需进行填充,例如对于明文的最后部分,j能被修改。A34差
32、错扩散CFB方式中,任一j位密文单位的差错都将影响对随后密文的解密,直到出错的位移出CFB反馈缓存为止。第i个密文变量中的差错对产生的明文有下列影响:第i个明文变量与第i个密文变量有相同的差错模式。在所以不正确接收的位被移出反馈缓存之前,随后的明文变量的每一位出错的概率为50。A35同步如果加密和解密之间的分组边界丢失了(例如由于一个位的滑动),则在J位边界重新建立的r位之后,密码同步将被重新建立。如果丢失j位的倍数,则在r位之后将重新建立同步。A4输出反馈(OFB)工作模式的性质A41环境只要使用同样的密钥和初始值对相同的明文进行加密,OFB方式应将产生相同的密文。此外,当使用相同的密钥和I
33、V时,OFB方式中将会产生相同的密钥流,因此,为了保密起见,对于一个给定的密钥,一个特定的IV只能使用一次。A42性质OFB的性质有:a) 没有链接操作会使得OFB更容易受到主动的攻击;b)使用不同的IV值,通过产生不同的密钥流,从而防止同一明文加密成同一密文;c) OFB方式的加密和解密过程都使用分组密码的加密运算;d)OFB方式不依赖明文来产生用于对明文进行模2加的密钥流;e)选择一个较小的j值对于每个明文单位将要求更多次的分组密码操作,因而引起更大的处理开销。A43填充要求只有j位的倍数才能被加密或解密。其他长度需要填充至J位边界。但是,经常对j的大小的选择是要使得其无需进行填充,例如对
34、于明文的最后部分,j能被修改。A44差错扩散OFB方式不在产生的明文输出扩散密文差错。密文中每一差错位只会引起被解密的明文中出现一个差错位。A45同步OFB方式不是自动同步的。如果加密和解码两个操作不同步,系统需要重新初始化。这种同步丢失可能由于插入或丢失任何数目的密文所引起。每次重新初始化应使用一个新的IV值,它不同于与同一个密钥一起使用的以前的Iv值。其原因是对于相同的参数,每次都要产生相同的位流。这将易于受到“已知的明文攻击”。A5计数器(CTR)工作模式的性质A51环境计数模式下的分组密码算法使用序列号作为算法的输人。不是用加密算法的输出填充寄存器,而14GBT 17964-2008是
35、将一个计数器输入到寄存器中。每一个分组完成加密后,计数器都要增加某个常数,典型值是1。没有什么是专供计数器用的,它不必根据可能的输入计数。可以随机序列发生器作为分组算法的输人,而不必考虑其密码上是否安全。A52性质CTR的性质有:a)加密运算可并行处理,吞吐量仅受可使用并行数量的限制;b)使用不同的计数器,通过产生不同的密钥流,从而防止同一明文加密成同一密文;c) CTR方式的加密和解密过程都使用分组密码的加密运算;d) CTR方式不依赖明文来产生用于对明文进行模2加的密钥流。A53填充要求计数模式解决了OFB模式小于分组长度的n比特输出问题,可以处理任意长度的信息,不需要填充。A54差错扩散
36、CTR方式不在产生的明文输出扩散密文差错。密文中每一差错位只会引起被解密的明文中出现一个差错位。A55同步CTR方式不是自动同步的。如果加密和解码两个操作不同步,系统需要重新初始化。这种同步丢失可能由于插人或丢失任何数目的密文所引起。每次重新初始化应使用一个新的计数器值,它不同于与同一个密钥一起使用的以前的计数器值。其原因是对于相同的参数,每次都要产生相同的密钥流。这将易于受到“已知的明文攻击”。A6 分组链接(Bc)工作模式的性质A61环境为了在分组链接(Bc)模式中使用分组算法,可以简单地将分组密码算法的输人跟所有前面密文分组的异或值相异或。就像CBC算法一样,过程要从一个初始向量Iv开始
37、。只要使用同样的密钥和初始值对相同的明文进行加密,BC方式将产生相同的密文。关心这种性质的用户需要采用某种方法来改变明文的开始、密钥或初始值。A62性质BC方式的性质有:a)链接操作使得密文分组依赖于当前的和以前的明文分组,因此对密文分组的重新安排不会导致对相应明文分组的重新安排;b)使用不同的IV从而防止同一明文加密成同一密文。A63填充要求只有分组长度的倍数才能被加密或解密。其他长度需要被填充至分组长度边界。A64差错扩散BC模式的反馈过程具有扩散明文错误的性质,这个问题是由于密文分组的解密依赖于所有前面的密文分组而引起的,密文中单一的错误都将导致所有后续密文分组在解密中出错。A65同步如
38、果解密或解密之问的块边界丢失了(例如由于一个位的滑动),则在重新建立正确的块边界之前,加密与解密之间将失去同步。如果块边界丢失,所有解密操作的结果都是不正确的。A7带非线性函数的输出反馈(OFBNLF)工作模式的性质A71环境带非线性函数的输出反馈(OFBNLF)是OFB和ECB的一个变体,它的密钥随每一个分组而改变。】5GBT 17964-2008只要使用同样的密钥和初始值对相同的明文进行加密,OFBNI,F方式应将产生相同的密文。此外,当使用相同的密钥和IV时,OFBNLF方式中将会产生相同的密钥流,因此,为了保密起见,对于一个给定的密钥,一个特定的IV只能使用一次。A72性质0FBNLF
39、的性质有:a)使用不同的Iv值,通过产生不同的密钥流,从而防止同一明文加密成同一密文;b)OFBNLF方式的加密和解密过程都使用分组密码的加密运算;c)OFBNLF方式不依赖明文来产生用于对明文进行加密的密钥流。A73填充要求只有分组长度的倍数才能被加密或解密。其他长度需要被填充至分组长度边界。A74差错扩散密文的一个比特错误扩散到一个明文分组。然而,如果一位丢失或增加,那就有无限的错误扩散。A75同步OFBNLF方式不是自动同步的。如果加密和解码两个操作不同步,系统需要重新初始化。这种同步丢失可能由于插入或丢失任何数目的密文所引起。每次重新初始化应使用一个新的IV值,它不同于与同一个密钥一起
40、使用的以前的IV值。其原因是对于相同的参数,每次都要产生相同的位流。这将易于受到“已知的明文攻击”。附录B(资料性附录)工作模式举例GBT 1 7964-2008B1概述本附录举例说明使用本标准所规定的工作模式对消息的加密和解密。这些例子使用下列参数:使用的分组密码是数据加密算法(DEA),分组长度为64。密码密钥为0123456789ABCDEF。初始值为1234567890ABCDEF。明文是“Now is the time for all”的7位GBl988ASCII代码(十六进制形式:4E6F77206973207468652074696D6520 666F7220616c6c20)。
41、对于CFB方式,明文是“Now”的7位GBl988ASClI代码(十六进制形式:4ESF77)。B2 ECB方式表B1和表B2分别给出ECB方式加密和解密的例子。表B1 ECB方式加密明文P: 分组密码输入分组 分组密码输出分组 密文C:1 4E6F772069732074 4E6F772069732074 3FA40E8A984D4815 3FA40E8A984D48152 68652074696D6520 68652074696D6520 6A271787A138883F9 6A271787A138883F93 866F7220616C6C20 686F7220616C6C20 893D5
42、1EC48563853 893D51EC48663853表B2 ECB方式解密密文C。 分组密码输入分组 分组密码输出分组 明文P;1 3FA40E8A984D4815 3FA40E8A984D4815 4E6F772069732074 4E6F7720697320742 6A271787AB8883F9 6A271787AB8883F9 68652074696D6520 68652074696D65203 893D51EC48563853 893D51EC48663853 666F7220618C6C20 666F7220616C6C20B3 CBC方式表B3和表B4分别给出CBC方式加密和
43、解密的例子。表B3 CBC方式加密明文P。 分组密码输入分组 分组密码输出分组 密文G1 4E6F772069732074 6C582158F9D8ED9B E5C7CDDE872BF27C E5C7CDDE872BF27C2 68652074696D6520 8DA2EDAAEE46975C 43E934008C389COF 43E934008C389COF3 666F7220616C6C20 25864620ED54F02F 683788499A7(5F6 683788499A7C05F6表B4 CBC方式解密密文e 分组密码输入分组 分组密码输出分组 明文P,1 E5C7CDDE8728
44、F27C E5C7CDDE872BF27C 5C582158F9D8ED9B 4E6F7720697320742 43E934008C389COF 43E934008C389COF 8DA2EDAAEE46975C 68652074696D65203 683788499A7C05F6 683788499A7C05F6 25864620ED54F02F 666F7220616C6C20GBT 17964-2008B4 CFB方式表B5和表B6分别给出CFB方式加密和解密的例子。此例所选的参数为:JE一8且rn。位反馈以斜体形式给出。表B5 CFB方式加密明文P 分组密码输入分组 分组密码输出分组
45、 密文C。1 4E 1234567890ABCDEF BD661 569AE874E25 F32 6F 34567890ABCDEFF3 7039546F9AOF6330 1F3 77 567890ABCDEFF3 l F ADlB78BOBB371BE7 DA表B6表C6 CFB方式解密密文c; 分组密码输入分组 分组密码输出分组 明文P1 F3 1234567890ABCDEF BD661569AE874E25 4E2 lF 34567890ABCDEFF3 7039546F9AOF6330 6F3 DA 567890ABCDEFF3 I F ADlB7880BB371BE7 77B5 OFB方式表B7和表B8分别给出OFB方式加密和解密的例子。此例所选的参数为:J一64。表B7 OFB方式加密明文P, 分组密码输入分组 分组密码输出分组 密文G1 4E6F772069732074 1234567890ABCDEF BD651569AE874E25 F3096249C7F46E512 68652074696D6520 8DA2EDAAEE46975C
