加解密模式分析 - 分组模式分析
前面我们已经分析了经典的分组加密算法 DES 和 AES,这两个算法都是分组密码的代表。分组密码是对称加密算法中最重要的一类算法,但是我们经过前面学习会发现,分组密码算法本身只能对固定大小的块进行加密,而实际应用中我们需要加密的数据往往是任意长度的,这就引入了分组模式(Block Cipher Mode)的概念。
分组模式是一种将分组密码算法扩展到任意长度数据的技术,它定义了如何将明文分成块、如何处理最后一个块以及如何将加密结果组合成最终的密文。常见的分组模式有 ECB(Electronic Codebook)、CBC(Cipher Block Chaining)、CFB(Cipher Feedback)、OFB(Output Feedback)和 CTR(Counter)等。
在本章中,我们将深入分析这些分组模式的工作原理、优缺点以及它们在实际应用中的安全性表现,帮助读者全面理解分组模式的设计思想和使用场景。
明文填充 🫡
分组密码迭代加密要求每一个明文分组都是块长度(8或16字节)
当分组到最后一组时,其长度不足块长度,就需要对其进行填充,将长度扩展为块长度
常见的填充方式有如下几种:
- 补零:在末尾补上 0x00 字节
… | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 00 00 | - 字节填充:先填充 0x00 字节,直至最后一字节填充值为填充长度
… | DD DD DD DD DD DD DD DD | DD DD DD DD 00 00 00 00 04 | - PKCS7 填充:若需填充 N 个字节,则每个填充字节值都是 N
… | DD DD DD DD DD DD DD DD | DD DD DD 04 04 04 04 04 |
ECB(Electronic Code Book mode 电子密码本模式) 🙂
ECB 是最简单的分组模式,它将明文分成固定大小的块,每个块独立加密,得到对应的密文块。
由于每个块独立加密,因此相同的明文块会得到相同的密文块,这就导致了 ECB 模式的一个严重安全问题:它无法隐藏明文中的模式信息,容易受到重放攻击和统计分析攻击。
from Crypto.Cipher import AES
def aes_ecb_encrypt(pt, key):
aes=AES.new(key, AES.MODE_ECB)
ct = aes.encrypt(pt)
return ct
def aes_ecb_decrypt(ct, key):
aes=AES.new(key,AES.MODE_ECB)
pt=aes.decrypt(ct)
return pt
CBC(Cipher Block Chaining mode 密码分组链接模式) 🥰
CBC 模式通过将每个明文块与前一个密文块进行异或操作来加密当前块,从而解决了 ECB 模式的安全问题。
CBC 模式需要一个初始化向量(IV)来加密第一个块,IV 应该是随机生成的并且在每次加密时都不同。然后上一块加密的结果会被用作下一块的输入异或。CBC 模式能够隐藏明文中的模式信息,但它也有一些缺点,比如加密和解密过程不能并行化,且对 IV 的管理要求较高。
def aes_cbc_encrypt(pt, key,iv):
aes=AES.new(key,AES.MODE_CBC, iv=iv=iv=iv)
ct = aes.encrypt(pt)
return ct
def aes_cbc_decrypt(ct, key,iv):
aes=AES.new(key,AES.MODE_CBC, iv=iv=iv=iv)
pt = aes.decrypt(ct)
return pt
CFB(Cipher FeedBack mode 密文反馈模式) 🤪
CFB 模式是先对 IV 进行加密得到中间结果,将这个结果与第一块明文进行异或得到第一块密文,然后将第一块密文进行加密得到中间结果,中间结果再与第二块明文异或,得到第二块密文,以此类推。
def aes_cfb_encrypt(pt, key,iv):
aes=AES.new(key,AES.MODE_CFB, iv=iv=iv=iv)
ct = aes.encrypt(pt)
return ct
def aes_cfb_decrypt(ct, key,iv):
aes=AES.new(key,AES.MODE_CFB, iv=iv=iv=iv)
pt = aes.decrypt(ct)
return pt
CTR(CounTeR mode 计数器模式) 🤩
CTR 模式是对一个逐次累加的计数器进行加密得到中间结果(类似密钥流的流密码),将这个结果与块明文进行异或得到块密文。CTR 每一次加密时,都会生成一个 nonce (仅用一次的数)来作为计数器的初始值,计数器格式为:前面字节为固定的 nonce,后面字节为分组序号,会逐次累加。
def aes_ctr_encrypt(pt,key, nonce):
aes = AES.new(key, AES.MODE_CTR, nonce=nonce)
ct = aes.encrypt(pt)
return ct
def aes_ctr_decrypt(ct, key, nonce):
aes = AES.new(key, AES.MODE_CTR, nonce=nonce)
pt = aes.decrypt(ct)
return pt
上一章:加解密模式分析 - AES 加密算法 👈
下一章:加解密模式分析 - Shamir 门限秘密共享算法 👈
回到开始:关于我 👈
相关链接:
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Alice and Bobの神秘小屋!
相关推荐
2026-03-18
加解密模式分析 - AES 加密算法
AES(Advanced Encryption Standard)是当前最广泛使用的对称分组加密算法,由美国国家标准与技术研究院(NIST)于 2001 年正式发布。AES 以其卓越的安全性和高效的性能,成为现代加密协议中的核心组件,广泛应用于 TLS、IPsec、Wi-Fi 等众多安全通信协议中。 在本章中,我们将深入剖析 AES 加密算法的核心原理与实现细节。我们将从分组密码的基础特性出发,逐步拆解 AES 的 10、12 或 14 轮加密过程,详细分析其状态矩阵的构造、每轮的操作步骤(SubBytes、ShiftRows、MixColumns、AddRoundKey)以及最终的密钥扩展机制,全面理解 AES 的加密过程和安全性分析。 AES 加密算法 🫡AES 块长度为 128 位,密钥长度可以是 128 位、192 位或 256 位,分别对应 10、12 或 14 轮加密过程,明文按照 128 位分组,加密得到 128 位密文。 AES 算法不同于 DES 的 Feistel 结构,而是采用了 Substitution-Permutation Network(SPN)结...
2026-03-18
加解密模式分析 - DES 加密算法
从这一章开始,我们进入分组密码的世界。在此之前,建议先回到 密码学前置内容 - 密码分类与简介 复习一下分组密码的基本概念和构成,方便理解。 分组密码是对称加密算法中最重要的一类算法,它将明文分成固定大小的块进行加密,常见的分组大小有 64 位和 128 位。DES(Data Encryption Standard)是分组密码的经典代表之一,虽然现在已经被认为不安全,但它在密码学史上具有重要地位。 话不多说,我们直接进入 DES 加密算法的核心原理与实现细节。我们将从 DES 的基本结构出发,逐步拆解其初始置换、16 轮 Feistel 结构、子密钥生成等关键步骤,深入理解 DES 的加密过程和安全性分析。 DES 加密算法 🫡DES 块长度为 64 位,密钥长度为 64 位(其中 8 位为校验位,实际有效 56 位),明文按照 64 位分组,加密得到 64 位密文。DES 对明文进行 16 轮加密运算,每一轮都有一个相应的子密钥参与(子密钥由密钥扩展算法计算得出)。此外,开头和结尾分别有初始置换和最终置换的操作,用于适应硬件电路的算法实现。 这里给出一个简单示意图: 密钥扩展...
2026-03-17
加解密模式分析 - RC4 加密算法
RC4 算法是一种基于伪随机密钥流生成的对称流密码算法,它由 Ronald Rivest 于 1987 年设计,凭借极致简洁的结构和高效的运行性能,曾广泛应用于 TLS、WEP、SSL 等众多经典安全协议中。 在本章中,我们将深入剖析 RC4 算法的核心原理与实现细节。我们将从流密码的基础特性出发,逐步拆解其密钥调度算法(KSA)与伪随机生成算法(PRGA)的核心流程,但是由于内部设计缺陷,RC4 算法实际上已经在现代安全场景中已被认定为完全不安全,必须禁用。 RC4 加密过程 😁RC4 加密算法的加密过程可以分为两个主要阶段:密钥调度算法(KSA)和伪随机生成算法(PRGA)。 密钥调度算法(KSA)首先,RC4 用密钥把 0~255 打乱成一个乱序表,我们把这个乱序表叫做 S 盒(Substitution Box),S 盒的初始状态是 $S = [0, 1, 2, \ldots, 255]$,然后通过密钥对 S 盒进行打乱,相当于把短密钥变成均匀混乱的状态。 具体来说,KSA 的过程如下: 初始化 S 盒:$S[i] = i$,对于 $i = 0, 1, \ldots, ...
2026-03-17
加解密模式分析 - Salsa20 加密算法
Salsa20 是一种基于 Salsa20 的流密码算法,由 Daniel J. Bernstein 设计。它以其速度快、安全性高、实现简洁而闻名,广泛应用于安全通信、加密存储等场景。 在本章中,我们将深入剖析 Salsa20 加密算法的核心原理与实现细节。我们将从流密码的基础特性出发,逐步拆解其核心的 20 轮加密过程,详细分析其状态矩阵的构造、每轮的操作步骤以及最终的密钥流生成机制,全面理解 Salsa20的加密过程和安全性分析。 Salsa20 加密算法 😋Salsa20 的核心原理基于一个 4x4 的状态矩阵,包含了常量、密钥、计数器和随机数。每轮加密过程中,算法通过一系列的加法、异或和位移操作来混合这些元素,从而生成一个伪随机的密钥流。这个密钥流随后与明文进行异或操作,产生密文。 初始状态矩阵Salsa20 的初始状态是一个 4×4 的 32 位无符号整数矩阵(共 512 位),由固定常量(”expand 32-byte k” 的 ASCII 编码)、256 位密钥、计数器、随机数(nonce) 四部分按固定位置填充构成: \begin{bmatrix} c_0 & ...
2026-03-16
加解密模式分析 - OTP 与 PRNG
从古典密码的单表替换,到现代非对称加密,我们已经分析了多种加解密模式。现在,我们将进入对称加密中的流密码(也叫序列密码)的世界,本章重点分析一次性密码本(One-Time Pad, OTP)和伪随机数生成器(Pseudo-Random Number Generator, PRNG)这两种重要的加解密模式。 一次性密码本(One-Time Pad) 😎流密码是一种对称加密算法,它通过将明文与一个密钥流进行逐位异或(XOR)操作来实现加密。流密码的核心思想是使用一个足够长且随机的密钥流来保证加密的安全性。 一次性密码本(OTP)是一种特殊的流密码,由现代密码学的创始人之一克劳德·香农提出。它使用一个与明文长度相同的完全随机密钥流进行加密,这很臃肿,但却是理论上绝对安全的加密方法。 OTP 的加密过程非常简单:对于每个明文字符,使用对应位置的密钥字符进行异或操作,得到密文字符。 OTP 的解密过程也是一样的:对于每个密文字符,使用对应位置的密钥字符进行异或操作,得到明文字符。 没错,OTP 的加密和解密过程是完全对称的。而且只要密钥流是完全随机的,并且每次使用后都不再使用(即一次性)...
2026-03-01
加解密模式分析 - Rabin 加密算法
Rabin 加密算法是一种基于大数分解问题的非对称加密算法。它由 Michael O. Rabin 在 1979 年提出,具有与 RSA 类似的安全性,但在某些方面具有更高的效率。 在本章中,我们将深入分析 Rabin 加密算法的核心原理和实现细节。我们将从 Rabin 的数学基础开始,逐步揭示其加密和解密过程中的关键步骤。通过对 Rabin 算法的详细解析,你将能够理解它是如何利用大数分解的困难性来确保数据安全的。 Rabin 加密过程 😁Rabin 加密算法的加密过程与 RSA 类似,甚至我们可以将其视为 RSA 的一个特例。 既然前面已经介绍了 RSA 的加密过程,我们直接点明 Rabin 加密算法的加密不同之处: 在选择公钥时,Rabin 加密算法选择 $e = 2$,而不是 RSA 中常用的 $e = 65537$。 因此,Rabin 的加密公式如下: C \equiv M^2 \mod n其中 $n = p \times q$,$p$ 和 $q$ 是两个大素数。 Rabin 加密数学原理 😇Rabin 加密算法的安全性同样基于大数分解的困难性。对于一个足够大的 $...
评论
