GB T 27927-2011 银行业务和相关金融服务.三重数据加密算法操作模式 实施指南.pdf

1、ICS 35.240.40 A 11 画画和国国家标准11: -、中华人民GB/T 27927-2011 银行业务和相关金融服务三重数据加密算法操作模式实施指南Banking and related financial services-Triple DEA-Modes of operation Implementation guidelines (ISO/TR 19038 :2005 ,MOD) 2011-12-30发布数码防伪中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会2012-05-01实施发布GB/T 27927-2011 目次I 引言.II 1 范围.2 规范性引用

2、文件3 术语和定义4 符号和缩略语.3 5 规范.6 3-DEA操作模式.7 附录A(资料性附录)3-DEA操作模式的ASN.l语法.28 附录B(资料性附录)3-DEA运算模式的密码特性33附录c(资料性附录)密钥组加密应注意的方面35参考文献.43 GB/T 27927-2011 前言本标准修改采用ISO/TR 19038: 2005(银行业务和相关金融服务三重数据加密算法操作模式实施指南)(英文版)。本标准根据ISO/TR19038: 2005重新起草，与ISO/TR19038: 2005的技术性差异为:a) 将标准中的TDEA按照我国习惯修改为三重数据加密算法(在本文中简称3-DEA勺

3、(标准正文中部分需要区分之处保留三重DEA的说法); b) 为便于使用者理解标准正文，增加一条术语错误传播(见3.20);c) 在5.5中为无编号、元标题的表编号为:表1DEA功能块执行时间表，以下表号顺延。d) 在6.6.1.1中，将与7.4中TCFB惟一的不同之处是，反馈到移位函数的数据块是0;而不是C;修改为与6.4中TCFB惟一的不同之处是，反馈到移位函数的数据块是0;而不是C;(勘误he) 为便于理解，在B.3.2的标题中将streamcipher翻译为伪随机向量序列O;。为便于使用，本标准还做了下列编辑性修改:a) 将原文中的本技术报告改为本标准;b) 删除ISO/TR19038:

4、 2005的前言，修改了ISO/TR19038:2005的引言。本标准的附录A、附录B、附录C为资料性附录。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会(SAC/TC180)归口。本标准负责起草单位:中国金融电子化公司。本标准参加起草单位:中国人民银行、中国工商银行、中国银行、交通银行、中国银联股份有限公司、华北计算技术研究所、北京工商大学、中国人民银行太原中心支行。本标准主要起草人:王平娃、陆书春、李曙光、吕毅、杨颖莉、刘运、刘志军、林中、张启瑞、刘先、仲志晖、李彦智、周亦鹏、钱湘隆、李劲松、赵志兰、贾树辉、景芸、马小琼、张龙龙。I GB/T 27927-2011 引为加强DE

5、AC数据加密算法)的强度和延长其生命周期，推荐使用三重数据加密算法C3-DEA)运算模式。3-DEA的操作模式大大加强了密码保护的强度，由于这些算法基于DEA，因此，用户和厂商可以较快熟悉它们。由于3-DEA操作模式能向下兼容已有的DEA操作模式，金融机构可使用3-DEA延长DEA的安全生命周期，保护对标准DEA技术的投资。每种操作模式均有其优势和特性。对特定操作模式的选择、实施和使用取决于金融机构的安全要求、风险接受度和操作要求，这些不在本标准范围之内。如果参与方使用相同操作模式和共享保密密钥，那么本标准需要给使用本文所规定的3-DEA操作模式的各方提供互操作的基础根据。本标准并不替代DEA

6、算法标准和ISO/IEC18033中规定的3-DEA算法。DEA是3-DEA操作模式的基础。3-DEA使用了先进的计算技术和密码分析技术，提供了更高的安全性。3-DEA可用硬件、软件或软硬件混合实现。本标准提供了ISO/IEC10116中规定的操作模式的实施指南。金融机构有责任建立全面的安全流程，其中包含必要的控制措施以确保上述过程以安全的方式实施，并且应对实施过程进行审计以确认该过程符合安全流程。E GB/T 27927-2011 1 范围银行业务和相关金融服务三重数据加密算法操作模式实施指南本标准给用户提供了为增强数据加密保护而安全有效地实施3-DEA操作模式的技术支持和详细资料。本处描述

7、的3-DEA操作模式用于加密运算和解密运算。本标准所描述的模式是使用ISO/IEC 18033-3中规定的3-DEA运算的分组密码操作模式(在ISO/IEC10116中规定)的实现。3-DEA操作模式可用于金融批发业务和金融零售业务的应用系统。本标准为产品的互用性和使用3-DEA操作模式的应用标准的开发提供了基础。本标准将和其他使用DEA的ISO标准一起使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。ISO/IEC 9797-1 信息技术安全技术用块密码算法作密码

8、校验函数的数据完整性机制ISO/IEC 10116 信息技术安全技术n位块密码算法的操作方式ISO/IEC 18033-3信息技术安全技术加密算法第3部分:分组运算器3 术语和定义下列术语和定义适用于本文件。3. 1 生日现象birthday phenomenon 一个有n个成员的相对较小的小组中至少两个人可能拥有共同生日的现象。示例z当n=23，该概率超过1/2。如果一个人从m个可相互替代的可能数字随机地挑出一个，在n个实验对象中(n0，以便i二3(h-1)+j。然后Pi重新编成为Pj.h 0 例如，对于凡，由于8=3(3-1)+2，j=2，且h=30Ps重新编成为P2.30那么明文P=(P

9、1、Pz、，Pn)重新编索引，成为zP=(P11、P21、P31;P12、P2Z、P3，2;P13、P2.3、P3.3;P1h、P2.h、P3.h;3Pj.町，), 其中，最后的块P川j=Pn且n=3(nj-1)+/ ,/ =1、2或30然后把P分割成三个子串zpm =P11 ;P12 ;P1n1; p(2) =P21 ;P2.2; P2.n2; P (3) =P31 ;P3 ,2; ; P3.n3; 其中，取决于以下方式中的数字n，三个明文子串可不具有相同的长度:如果n=Omod 3，那么，nl二n2二叫=n/3;如果n=lmod 3，那么，nl=(十2)/3,n2 =叫=(n-1)/3;如

10、果n=2mod 3，那么，nl=n2二(n+1)/3 ,n3 = (n-2)/3 0 13 GB/T 27927-2011 6. 3. 1.3 TCBC-I加密明文输入(64位.-.俨-马丁1I -0 I |号.31I (j: n; I DEA功能块1DEA功能块2DEA功能块3圄4TCBC-I加密明文分流1明文分流2明文分流3如图4.在TCBC-I加密中，每个明文子串p均使用IVj通过7.2.1.1中的算法进行加密。-一输入:P(l)=P11 ;P1.2; ;P1n1 ; p (2) =P21 ;P22; ;P2n2 ; 14 p (3) =P3.1 ;P32; ;P3n3 ; IV1、IV

11、2，IV3，其中，1Pji 1=64，且IIVj I =64。一一输出:C=C1.1;C22; ;C2n2 ; C (2) =C2.1 ;C22; ; C2n2 ; C (3) =C3.1 ;C32; ;C3n3 ; For j=1.2,3,do Cjo =IVj; For n=1，2，屿，doCi = EK3 (DK2 (EK1 (P川EBCjh-1);输出:Cjh。GB/T 27927-20门以上算法给出了明文块与密文块的关系，其中每个明文块以三个明文子串组成，每个密文块由三个密文子串组成。这得出了以下密文流:C= (C1.1 ,C2.1 ,C3.1 ;C1.2 ,C22 ,C3.2 ;C

12、1.3 ,C23 ,C33; ;C1h ,C2h ，C3h;-Her.町，) 对于三个DEA功能块，DEAl、DEA2和DE儿，它们同步并行运算，三个明文子串P(l)、p(2)、p(3)的加密能交错执行。DEAl执行EK1运算，DEA2执行DK2运算，DEA3执行EK3运算。表6显示了三个DEA功能块是如何安排的(例如，假设nmod 3=0，那么，nl=n2=叫=n/3)。在起初两个时钟周期内，3-DEA的128比特输出数据由于其无效宜禁止其输出。表6TCBC-I加密执行时间表时钟输入DEA1 DEA, DEA3 输出t=1 P1.1E C!,o EK1 (P1.1 E C1.O ) 空闲空闲

13、N/A t=2 P ,.1 E C,.o EK1 (P.1 E C,.o) D旧(EK1(Pl,l E C1.O) 空闲N/A t=3 P31E C3.。EK1 (P3.1 E C3.O) D阻(EK1(P,.1 E C,.o) EK3 (DK, (EK1 (P1.1 E C1.O) Cl,l t=4 P!,E C!1 EK1 (P1.,( C1.1) D阻(EK1(P3.1 E C3.O) EK3 (DK2 (DK1 (P,.1 E C,.o) C,.1 t=5 p ,., E C,.1 EK1 (P,., E C,.I) DK2 (EK1 (P! E C1.1) EK3(D阻(DK1(P3

14、.1 E C3.O) C3.1 t=6 P 3.,E C3.1 EK1 (P3. E C3.1) D曰(EK1(P,., E C.I) EK3 (DK, (EK1 (P1. E C1.1) C! . . . EK3 (DK2 (EK3 (P.h-1 t=3(h- 1) P 1.h E C 1h- 1 (EK1 (P3.h- 1 E C3.h- ,) EK1 (P1,hE C 1,h-1) C,.h-) ) C.h-1 十1t=3(h-1) P ,.hE C，.川十2EK1 (P,.h E C.-I) DK2 (EK1 (P1.h E C !,h-1) EK3 (DK2 (EK3 (P3.h-1

15、 C3.h- 1 C3.h- ,) ) t=3(h-1) 十3P 3,hE C 3.h- 1 EK1 (P,.h E C 3,h-1) D阻(EK1(Ph E C ,.h-) EK3 (DK, (EK3 (P!h E C3.川)C!h . . . P 3.3 E EK1 (P3.n3 E DK2 (EK1 (P n3 E C,.3-1) EK3 (DK2 (EK3 (P1,n3 E C1.3-1) C1.n3 t=n=3n 3 C3.h3 - 1 C3.3- 1 ) t=n十1N/A 空闲(E白(P3，n3E C3.h一1)EK3 (DK2 (EK3 (P ,n3 E C2,.3-1) C,n

16、3 t=+2 N/A 空闲空闲EK3 (DK2 (EK3 (P3,n3 E C3.3-1) C3.3 15 GB/T 27927-2011 注意:尽管在TCBC-I中，明文分割成三个明文子串，输入块的顺序仍和明文Pj、P2、Pn一样。若输出块根据输出的顺序Cj、C2、Cn索引，则三个相对应的密文子串C(l)、C(2)、C按照6. 3. 1. 1所述的分割方式从密文Cj、C2、Cn导出。6. 3. 1. 4 TCBC-I解密在TCBC-I解密中，密文Cj、C2、Cn分割成三个密文支流C、C(2)、C。密文分割的方式和6. 3. 1. 1中所述明文分割的方式相同。每个密文子串c利用初始向量IVj通

17、过6.2. 1. 2所描述的算法解密。一一输入:C(!)=Cj.j ;CI.2; ;Cj.nj ; C (2) =C2.j ;C22; ; C2.n2 ; c=C3.j ;C32; ;C3n3 ; IVj、IV2、IV3，其中，1Cj.; 1=64，且IIVj I =64 0 一输出:P(!)=P1.j ;P22; ;P1n1; P(2) =P21 ;P22; ;P2.n2 ; p(3)二P3j;P32; ;P3n3 ; For j=1. 2,3,do CjQ =IVj ; For n=1，2，町，doP;.h二DK1(EK2 (DK3 (Cjh) EB冉.h-l;输出P。这得出了以下明文串z

18、P= (P1.1 ,P2.j ,P3.1 ;P1.2 , P2.2 ,P32 ;P1.3 ,P23 ,P33; ;PI.h , P 2.h , P 3.h ; ;P j .nj ) 使用三个DEA功能块，DEAl、DEA2和DE儿，它们同步并行运算，三个密文子串C(l)、C(2)、C(3)的解密可交错进行。DEAl执行DK3运算，DEA2执行EK2运算，DEA3执行DK1运算。表7显示了三个DEA功能块是如何安排的(例如，假设nmod 3=0，那么，nj=n2 =向二n/3)。在起初两个时钟周期内，3-DEA的128位输出数据由于其元效宜禁止其输出。表7TCBC-I解密执行时间表时钟输入DEA

19、, DEA2 DEA3 输出t=1 C1.1 DK3 (C1.1) 空闲空闲N/A t=2 C2.1 DK3 (C2.1) EK2 (DK, (C,.,) 空闲N/A t=3 C,.l DK (C.l) EK2 (， (C2.1 ) DK1 (E阳(DK，(C1.1)C1.1 t=4 C1.2 DK (C1.2) EK2 (DK, (C,.l) DK1 (EK2 (DK3 (C2.1) C2.1 t=5 C2.2 DK3 (C2.2) EK2 (DK3 (C1.2) DK1 (EK2 (DK3 (C3,l) C3.1 t=6 C3.2 DK3 (C3.2) EK2 (DK, (C2.2) DK

20、1 (EK2 (DK3 (C1.2) C1.2 . . . t=3(h-1) +1 Cl.h1 DK (Cl.h ) EK2 (DK, (C3.h-1) DK1 (EK2 (DK, (C2.h-1) C2.h- 1 t=3仙一1)十2C2.h DK3 (C2.h) EK2 (DK3 (C1h) DK1 (E旧(DK3(C,.h-l) C,.h-l 16 GB/T 27927-2011 表7(续)时钟输入DEAl DEA2 DEA3 输出t=3(h-1) +3 C3h DK3 (C2h) EK2 (DK3 (C2h) DK1 (EK2 (DK3 (C1.h) C1.h . . . t=n= 3n

21、3 C3n3 DK3 (C3n3) EK2 (DK3 (C2n3) DK1 (EK2 (DK3 (C1.3) C1.3 t=n十1N/A 空闲EK2 (DK3 (C3n3) DK1 (EK2 (DK3 (C2n3) C2.3 t=+2 N/A 空闲空闲DK1 (EK2 (DK3 (C3.3) C3.3 6. 3. 2 TCBC-I特性a) TCBC-I模式不向后兼容单一DEACBC模式。b) 对于本模式，单个密文块Cjh-J出现一个或多个比特的错误将影响同一明文子串两个块Pj.卜1和Pjh的解密。明文块Pjh-J的每一位将出现50%的平均错误率。明文块Pjh将仅与错误的密文位直接影响的那些位才

22、会出现错误。然而，如果仅有Cjh-J的错误，则密文块中除了Pjh-J和Pjh将能正确地解密，即限制错误传播。应注意:Pjh-J和Pjh是第j个明文子串Pj)的相连的两个块。但它们并非明文PJ、P2、P.的相连的块。在Pjh-J和矶.h之间有两个块，例如，如果j=2，那么在P2h-J和P2h之间的块是P3h一1和PJh。在这种情况下，除了P2h一1和P2h之外，其他块将得以正确解密。c) TCBC-I模式需要同步机制。如果加密和解密之间失去了块分界(例如，由于丢失或者插入一个密文位)，加密和解密运算之间失去同步，直到正确的分界位重新建立为止。当块分界丢失时，所有解密运算的结果都是错误的。d) 如

23、果使用相同的IV，那么，TCBC-I将为给定的明文和密钥产生相同的密文。因此，为避免这种情况，宜对每个新的明文使用新的IVoe) 由于TCBC-I是分组加密的方式，因此，其运算需要完整的64比特数据块。少于64比特的块需要特别处理，该内容不在本标准范围之内。6.4 3-DEA密码反馈操作模式6.4.1 TCFB定义6. 4. 1. 1 概述图5和图6所示的3-DEA密码反馈操作模式(TCFB)，是基于GB/T17964中的CFB模式。TCFB不同于本标准中的其他模式，因为其明文/密文块长度可小于64比特。注意，3-DEA加密/解密运算的输入/输出数据块仍为64比特。IV为64比特。如5.2中所

24、述，TCFB模式定义了三个密钥选项。对于本标准，定义了以下TCFB执行方式za) TCFB1，1比特明文/密文块实现方式;b) TCF邸，8比特明文/密文块实现方式;17 GB/T 27927-2011 c) TCFB64 ，64比特明文/密文块实现方式。根据以上h比特TCFB实现方式，明文数据分割成n个明文块P1、P2、Pn的序列，每个均为h比特，k=l、8或6406.4.1.2 TCFB加密一-一输入:PI、P2、Pn ; IV ; I P i I = k , I IV I = 64; 一一输出:C1、C2、.、Cn川Cil=k o 10 =IV; 01 = EK3 CDK2 CEK1 (

25、10) ; C1=P1 EOIk; 输出并反馈C10For i二2、n，doIi一1=Sk (Ii-2 jCi-I); Oi =EK3 CDI2 (EK1 (I,-I); Cj =Pi EO;.; 输出和反馈Ci。3-DEA加密运算的输入是64比特块Ii-Io输出是64比特块OioOi最左边的k位表示成O;k 与明文块Pi进行异或运算，得到密文C该密文也可用作移位函数SkCI,_ 1 I c，)的输入。在TCFB加密中，DEAI执行EK1运算，DEA2执行DK2运算，DEA3执行EK3运算。如果时钟周期t=l时，DEA执行11 (10) ，然后当t=2和t=3时，因为DEA1下一次输入应为Sk

26、(10 I C1 ) ，DEAI一定是空闲的。但是C1是t=3时的输出。因此DEAl、DEA2和DEA3同步执行TCFB加密运算是不可能的。6.4. 1.3 TCFB解密输入:C1、C2、Cn; IV ; I Ci I =I IVI =64; 输出:PI、P2、.、Pn川Pil=ko 10 =IV; 01 = EK3 CDK2 (EK1 (10) ; P1=C EOIk; 输出和反馈C1。For i=2、n，doI i-I =Sk (Ii-21 Ci一1); Oi = EK3 (DK2 (EK1 (1i-l) ; Pi=Ci EO;k; 输出和反馈Ci。注:在TCFB模式中，3-DEA加密运算

27、既用于加密又用于解密，以产生01，02, OnQ 18 GB/T 27927-2011 圄53-DEA密码反馈-加密图63-DEA密码反馈解密19 GB/T 27927-2011 6.4.2 TCFB特性a) 当把三个密钥设定为同一密钥时(见密钥选项3)，TCFB操作模式便向后兼容到使用相同密钥的单一DEACFB模式。b) 对于本模式，在任何一个h比特密文块c.中出现比特错误将影响(64/k+1)个块的解密。首先受影响的h比特块明文Pi将在密文出现错误的地方发生错误。相应的己解密的明文块将出现0.5的平均错误率，直到不再使用发生错误的位为止(即它们已经通过移位函数Sk(1i-zl C;-I)移

28、出。)假定此时没有遇到其他错误，则将得到正确的明文块。例如，k=8，如果Ci是出现错误的密文块，则Pi将在与Ci相同的地方出现错误。Pi+1、Pi+Z、P川的每一个块中将存在50%的错误率。如果Ci之后没有遇到其他错误，那么Pi+1t和后续的块将是正确的。c) TCFB模式需要同步机制。如果密文块Ci增加或删除了少于h比特的位串，则将失去同步。如果探测到比特的增加或删除，且删除或增加了适当数目的比特到C;上，解密将被再同步，这样除了Pi、Pi+1、P川、.、p川叫)，随后解密出来的块是正确的。否则，Ci和后续块的解密均是错误的。如果Ci后面直接增加或丢失r个完整的块，则Pi将增加或丢失r个块。

29、在增加或丢失的r个块之后跟随64/k个错误块。然而，在增加或丢失的64/r个块之后的块，如果没有出现其他错误，能够正确地解密。例如，若k二8且如果丢失了C旧，则块P川将丢失，P川、P川、P川出现错误。如果没有出现其他错误，则Pi+10和随后的块将被正确解密。d) 如果对每个新明文使用相同的IV，则TCFB将为相同的明文产生相同的密文。因此，在同一密钥的操作情况下，应对每个新的明文使用新的IV。6.5 3-DEA密码反馈操作模式一管道6.5. 1 TCFB-P定义6.5. 1. 1 概述在TCFB的管道模式中，如6.7所述的产生方式，应使用三个IV。如5.2所述，TCFB-P定义了三个密钥选项。

30、在进行TCFB-P加密或解密之前，应按如下所述对模式进行初始化。通过断开反馈路径，IV1作为输入10。然后，IVz作为输入11。最后，IV3作为输入1z。将反馈路径连接，则加密/解密可开始。6. 5. 1. 2 TCFB-P加密一一输入:PI、Pz、.、Pn;IV1、IVz、IV3川Pi1 =k, 1 IVj 1 =64; 一一输出:C1、Cz、Cn川Cil=k o For i=1 , 2 , 3 , do 1;-1 =IVi ; Oi = EK3 (DKZ (EK1 (1i-1) ; Ci = P i (jj 0 i k ; 输出和反馈Ci。For i=4,5 ,n ,do Ii一1=Sk(

31、1i-zl Ci - 3 ); Oi = EK3 (DKZ (EK1 (1;-1) ; 20 Ci = P i EB O; H 输出和反馈CioEK1 (lO) EKP1) EK1(i) DEA功能块1GB/T 27927-2011 明文输入(1、8或64位块)曰曰DEA功能块3曰DEA功能块2图7TCFB-P加密通过使用三个同步并行运算的DEA功能块DEAl、DEA2、DEA3及三个初始向量IV1、IV2、I飞，TFCB加密能够管道化。DEAl执行EK1运算，DEA2执行DK2运算，DEA3执行EK3运算。表8显示了三个DEA功能块是如何安排的。表8包括反馈路径连接或断开信息。F=O用作反馈

32、路径断开，F=l用作反馈路径连接。在初始的两个时钟周期，128比特3-DEA输出数据由于其元效宜禁止其输出。21 GB/T 27927-2011 表8TCBC-P解密执行时间表时钟输入DEAI DEA2 DEA3 t=l 10=IV1 EK1 (10) 空闲空闲t=2 11 =IV2 EK1 (11) D阻(EK1(10) 空闲t=3 12 =IV3 EK1 (12) DK2 (EK1 (12) EK3 (DK2 (EK1 (10) t=4 13 = S. (12 I C1 ) EK1 (13) D阻(EK1(13) EK3 (D旧(EK1(11) t=5 13 = S. (13 I C2 )

33、 EK1 (1.) DK2 (EK1 (1.) EK3 (DK2 (EK1 (12) t=6 13 = S. 0 , I C3 ) EK1 (15) DK2 (EK1 (1,) EK3 (DK2 (EK1 (13) . . . t=h 1,.-1 = S. (h-2 I Ch- 3) EK1 (1h-l) DK2 (EK1 (h-2 ) ) EK3 (DK2 (EK1 (1h-3) . . . t=n-2 1，-3=S.是(.-.I C.-5) EK1 (1. D阳(EK1(1,-,) EK3 (DK2 (EK1 (1.-5) t=n-l 1.-2 = S. (.-3 I C._,) EK1

34、(1.-2) DK2 (EK1 (1-3) EK3(D阳(EK1(1.-.) t= 1_1 = S. (.-2 I C.-3) EK1 (1.-1) DK2 (EKI (.-2) EK3 (DK2 (EK1 0.-3) t=n十11. = S. (.-1 I C.-2) EK1 (1.) DK2 (EKI (1一1)EK3 (DK2 (EK1 0.-2) t=n十213=S.(.IC._1) EK1 (1叶1)DK2 (EK1 0.) EK3 (DK2 (EK1 (.-1) 6. 5. 1. 3 TCFB-P解密一一一输入:C1、C2、C.;IV1、IV2、IV3; I C; I =k, I

35、IVj I = 64; 一输出:PI、P2、，P.川Pil=k。a) For i=1,2 ,3 , do Ii-I =IVi ; Oi = EK3 (DK2 (EK1 (li-I) ; Pi=Ci E O; k; 输出Pi和反馈Ci。b) For i=4 ,5 ,n ,do Ii-I =Sk (1;-2川Ci-3); o i = EK3 (DK2 (EK1 (t一1); 输出Pi和反馈Cio输出F N/A 。N/A 。0 1 1 O2 1 03 1 0 , 1 Oh-2 1 。.-，1 0.-3 1 。一21 。一11 。瘟1 注:在TCFB-P模式中.3-DEA加密运算既用于加密又用于解密，

36、以产生相同的01.02.0.。因此，表8可用于安排每个时钟周期内的DEAI、DEA2和DEA3的工作。6. 5. 2 TCFB-P特性22 a) TCFB-P操作模式不兼容单一DEACFB模式;b) 在本模式中，密文块C;出现比特错误将影响c;和Ci+2以后的64/k个块的解密，直到错误的比特不再使用为止(即它们已经通过移位函数Sk(li-2 I Ci-3)移出)0 Pi将在c;出现错误的同样位置发生错误。Pi+2以后的64/k个块将出现50%的平均错误率，例如在TCFBI-P模式中，Ci出现的比特错误将在Pi中相同位置产生错误，随后出现两个正确解密的明文位串，P川、Pi+2 ，随后出现错误位

37、串，P川、Pi+4、，Pi+66，其平均错误率是50%。如果不出现进一步的错G/T 27927-2011 误，P，+67和随后的块可正确解密;c) TCFB模式需要同步机制。如果密文块c.增加或删除了少于走位的位串，则将失去同步。如果探测到位的增加或删除，且删除或增加了适当数目的位到c.上，解密将被再同步，这样除了PP川、P川、P川+旧/川随后解密出来的块是正确的。否则，C，和后续块的解密均是错误的。如果C，后面直接增加或丢失r个完整的块，则P，将增加或丢失r个块。在增加或丢失的r个块之后眼随64/k个错误块。然而，在增加或丢失的(64/k)十2个块之后的块，如果没有出现其他错误，能够正确地解

38、密。例如，若k=8且如果丢失了C，+I则块P，+I将丢失，P+2、P川、P川。、P忡11出现错误。如果没有出现其他错误，则P忡11和随后的块将被正确解密。d) 如果对每个新明文使用相同的1V，则TCFB-P将为相同的明文产生相同的密文。因此，在同一密钥的操作情况下，应对每个新的明文使用新的IV。6.6 3-DEA输出反馈操作模式6.6.1 TOF定义6. 6. 1. 1 概述TOFB操作模式基于ANS1X3. 106和1SO8372中定义的OFB模式，是通过用TECB的加密运算(见6.1)取代ECB操作模式的DEA加密运算而产生的，见图8和图901V应为64比特。如6.2所述，TOFB模式定义

39、了三个密钥选项。和TCFB模式类似，加密和解密使用相同的3-DEA加密运算。与6.4中TCFB惟一的不同之处是，反馈到移位函数的数据块是0，而不是C，I而且k=64;在这种情况下，1，=Sk (1;-1 10;)工0，00、C_l C, 圄83-DEA输出反馈加密6. 6. 1. 2 TOFB加密一一输入:PI、P2、，Pn;1V;IP, I =64 , I1VI =64; 一一输出:C1、C2、.、Cn川C，I=64。Ci+1 23 GB/T 27927-2011 0 =IV; 01 = EK3 (DK2 (EK1 (10) ; C1=P1 E 01; 输出C1和反馈01。Fori=2 ,n

40、 ,do 1;-1 =0;-1; 0; = EK3 (DK2 (EK1 (1;一1); C;二P;E 0; 输出C;和反馈0;。在TOFB加密中，DEAI执行EK1运算，DEA2执行DK2运算，DEA3执行EK3运算。时钟周期t=l，DEA;执行EK1(10)然后在t二2和t=3时，DEAI一定是空闲的，因为DEAI下一次输入应为01。但是01是t=3时的输出。因此DEAI、DEA2和DEA3同步执行TOFB加密运算是不可能的。6. 6. 1. 3 TOFB解密输入:C1、C2、Cn; IV ; I C; I = 64 , I IV I = 64 ; 输出:PI、P2、P。0 =IV; 01

41、= EK3 (DK2 (EK1 (0) ; P1=C1 E 0 1; 输出P1和反馈010For i=2、n，do;-1=0;一1; 0; =EK3 (DK2 (EK1 (;一1); P;=C; EO; 输出P;和反馈0;。注:在TOFB解密中，使用与3-DEA加密运算同样的Kl.K2.K3和IV产生相同0.0.0.(它们是在加密过程中产生的.DEA、DEA，、DEA3均在解密过程中执行与加密过程同样的操作)，由于同6.4. 1. 1所引述的同样原因.DEA、DEA，、DEA3不能同时进行TOFB解密操作。C,-2 P. t 0;+1 勺-1,; 一m|巧+1图93-DEA输出反馈-解密24

42、GB/T 27927-2011 6.6.2 TOFB特性a) 当把三个密钥设定为相同时(见密钥选项3)，TOFB操作模式便向后兼容到使用相同密钥的单一DEAOFB模式。b) 使用TOFB，不会出现错误传播，但是密文的错误会导致明文产生相应的错误，即，如果密文块c;出现某些错误位，那么其仅仅影响明文块Pi相同的位。c) TOFB模式需要同步机制。如果密文块Ci增加或丢失了位串，则将失去同步。如果检测到位的增加或删除，且删除或增加了适当的位到密文的合适位置上，则解密可再同步。否则，后续块的解密均是错误的。d) 如果一直重复使用相同的1V，则TOFB将对不同的明文P和p产生相同的01，02，Onc

43、因此，CEB c =p EB P。假设明文是特定形式的，这将导致信息泄漏。因此，在使用相同密钥加密时，应对每个新的明文使用新的1V。6.7. 3-DEA输出反馈模式一交错6.7. 1 TOFB-I定义6. 7. 1. 1 概述为了对TOFB操作模式进行交错，需要三个64比特的1V。这些1V应以5.7中所述的方式产生。在图8和图9中，通过断开反馈路径并按顺序把每个1V载入到每个3-DEA加密运算的输入块中，进行3-DEA初始化。一旦1V已经载入，反馈路径将连接起来，则模式可启动。明文没有明显地分割成三个明文子串。原因是，对于加密和解密算法来说，该过程可视为三个明文子串使用三个给定的1V分别进行加

44、密/解密，也可视作在TCFB-P中的管道式加密和解密。也就是说，对于TOFB模式，交错模式和管道模式相同。6.7. 1. 2 TOFB-I加密输入:P1、P2、Pn;1V1 , 1V2 ,1V3; IPi 1=64, I1Vj I =64; 4一一输出:C1、C2、.、Cn;I C; I =64。For i=1 , 2, 3 , do 1;一1=1V1;Oi = EK3 (DK2 (EK1 (1i-1) ; Ci=PiEBOi; 输出Ci和反馈Oi。For i=4 ,5 ,n ,do 1i-1=Oi川Oi = EK3 (DK2 (EK1 (1i-1); Ci=Pj EB Oi; 输出C;和反馈

45、OiO通过使用三个同步并行运算的DEA功能块DEA1、DEA2、DE儿，以及三个初始向量IV1、IV2、IVnTOFB加密能够交错进行。DEA1执行EK1运算，DEA2执行DK2运算，DEA3执行EK3运算。表9显示了三个DEA功能块是如何安排的，并包括反馈路径连接或断开信息:F=O用作反馈路径断开，F二1用作反馈路径连接。在初始的两个时钟周期，128位3-DEA输出数据由于元效应禁止输出。25 GB/T 27927-2011 表9TOFB-I加密执行时间表时钟输入DEA1 DEA2 DEA3 t=l 1o =IV1 EK1 (0) 空闲空闲t=2 I1=IV2 EK1 (1) DK2 (EK

46、1 (0) 空闲t=3 12 =IV3 EK1 (2) DK2 (EK1 (2) EK3 (DK2 (EK1 (10) t=4 13=01 EK1 (3) D阻(EK1(3) EK3 (DK2 (EK1 (1) t=5 4=02 EK1 0 ,) DK2 (EK1 0 ,) EK3 (DK2 (EK1 (2) t=6 15=03 EK1 (5) D阻(EK10 ,) EK3 (DK2 (EK1 (3) . . . t=h lh- I =Oh-3 EK1 Oh-I) DK2 (EK1 Oh-2) EK3 (DK2 (EK1 Oh-3) . . . t=咀-2I-3=0.-5 EK1 0.-3) DK2 (EK1 0.-,) EK3 (DK2 (EK1 0.-5) t=n-l 1.-2 =0.-, EK1 0.-2) D田(EK10.-3) EK3 (DK2 (EK1 0.-, ) ) ) t=n 1.一1=0.-3EK1 0.-1) DK2 (EK1 0.-2) EK3 (DK2 (EK1 0.-3) t=n+l 1.=0.-2 EK10.) D阻(EK10一1) EK3 (DK2 (EK1 0.-2) t=十213=01 EK1 0.+1) D