密码学备忘录-工作模式

1. 工作模式Modes of Operation

• 解决如何将cipher加密算法运用到plaintext明文的问题
• 有block分组和stream流两种方式

ECB，CBC，OFB，CFB，CTR和XTS模式仅仅提供了机密性；为了保证加密信息没有被意外修改或恶意篡改，需要采用分离的消息验证码，例如CBC-MAC

1.1. ECB Electronic codebook

• 当明文分组重复时，密文也重复，易实现统计分析攻击
• 结构化数据，将产生大量重复的密文
• ECB模式最严重的问题是使得对手选取部分分组进行重放攻击

1.2. CBC Cipher-block chaining

• 保护IV的原因

  • 如果敌手能欺骗接收方使用不同的Iv值，敌手就能够在明文的第1个分组中插入自己选择的比特值

• 错误传播

  • 明文错误传播
    • 加密前的明文中某个错误对解密后恢复的明文的影响
    • CBC没有明文错误传播
  • 密文错误传播
    • 密文组中某部分比特错误
    • 某密文组丢失
    • 被插入一个密文组
    • CBC的密文错误传播很小

• padding oracle attack

1.2.1. CBC-MAC

a technique for constructing a message authentication code from a block cipher.

• CBC-MAC 仅适用于对相同长度的消息进行认证，在消息长度变化的情况下是不安全的
• 当取AES作为MAC加密的分组密码时，一般采用CBC模式，所以通常称为基于AES的CBC-MAC,若需要产生认证码的消息为x，加密的AES为k，则生成加解密的过程如下图所示

1.3. CFB(密码反馈)Cipher Feed Back

• 将分组密码作为流密码的密钥流发生器
  • 利用CFB(Cipher Feed Back)模式或输出反馈(OFB)模式，可将分组密码转换为流密码

攻击

1.4. OFB(输出反馈) Output feedback

• OFB模式是将加密算法的输出反馈到移位寄存器
• CFB模式中是将密文单元反馈到移位寄存器

• 优点:传输过程中的密文比特错误不会被传播
• 缺点:它比CFB模式更易受到对消息流的篡改攻击

1.5. CTR Counter

与OFB一样，计数器模式将一个块状密码变成了一个流密码。它通过对一个 “计数器 “的连续值进行加密来生成下一个密钥流块。计数器可以是任何能产生一个保证长时间不重复的序列的函数

1.6. XTS

• XEX-based tweaked-codebook mode with ciphertext stealing
• 基于XEX的调整密码本模式与密码文本窃取

弱点

XTS模式容易受到数据操纵和篡改的影响，如果操纵和篡改是一个问题，应用程序必须采用措施来检测数据的修改：”……由于没有认证标签，那么任何密码文本（原始或被攻击者修改）将被解密为一些明文，没有内置机制来检测修改。可以做的最好的事情是确保对密码文本的任何更改将完全随机化明文，并依靠使用这种转换的应用程序在其明文中包括足够的冗余，以检测和丢弃这种随机明文。” 这就需要为磁盘上的所有数据和元数据维护校验和，正如ZFS或Btrfs所做的那样。然而，在常用的文件系统中，如ext4和NTFS，只有元数据受到保护，不被篡改，而对数据篡改的检测是不存在的[16] 。

该模式容易受到流量分析、重放和对扇区和16字节块的随机化攻击。当一个给定的扇区被重写时，攻击者可以收集细粒度（16字节）的密码文本，这可用于分析或重放攻击（以16字节为粒度）。定义扇区范围内的块密码是可能的，不幸的是性能会下降（见下文）。