加密：操作模式

我們已經(jīng)看到了現(xiàn)代對(duì)稱(chēng)加密算法如何將明文數(shù)據(jù)塊轉(zhuǎn)換為密文的一般概念。當(dāng)然，我們要加密的明文很少小于這些算法處理的 64 位或 128 位塊。這些算法如何將大于塊大小的輸入處理成密文的不同可能方法稱(chēng)為操作模式。 設(shè)計(jì)人員選擇的操作模式具有嚴(yán)重的安全隱患。我們將從最“明顯”的方法開(kāi)始：簡(jiǎn)單地將各個(gè)密文塊連接在一起。

電子密碼本 （ECB） 模式

到目前為止，加密長(zhǎng)度超過(guò)加密算法塊大小的明文的最自然方法是逐塊加密明文，并連接生成的密文塊：

不幸的是，這基本上總是一個(gè)不安全的設(shè)計(jì)選擇。

要了解原因，請(qǐng)檢查右側(cè)的圖像。左側(cè)是明文圖像，右側(cè)是使用 ECB 模式加密的圖像。顯然，即使圖像已被加密，也會(huì)顯示有關(guān)明文的相當(dāng)多的信息。這是因?yàn)?ECB 模式將相同的明文塊加密為相同的密文塊。

計(jì)數(shù)器 （CTR） 模式

計(jì)數(shù)器操作模式與 ECB 模式非常相似，保留了其所有不錯(cuò)的屬性（例如，您可以并行化加密和解密），但提供更好的安全屬性。

有趣的是，明文根本沒(méi)有輸入到分組密碼中！相反，計(jì)數(shù)器值將輸入到塊密碼，并隨著每次連續(xù)調(diào)用而遞增。明文本身通過(guò)獨(dú)占-OR與分組密碼的輸出相結(jié)合，以產(chǎn)生最終的密文塊。

回到圖像示例，我們可以看到，使用計(jì)數(shù)器模式加密明文不再產(chǎn)生明顯泄漏信息的密文。

還有許多其他操作模式，每種模式都有適合不同用例的優(yōu)點(diǎn)和缺點(diǎn)。永遠(yuǎn)記住，選擇操作模式是一個(gè)具有重要安全影響的關(guān)鍵決定。

非對(duì)稱(chēng)加密算法

在我們之前的例子中，Alice 和 Bob 都共享同一個(gè)密鑰——他們?cè)谙到y(tǒng)中的信息是對(duì)稱(chēng)的。相比之下，非對(duì)稱(chēng)加密算法使用兩個(gè)數(shù)學(xué)上相關(guān)的密鑰：只有所有者知道的私鑰，以及所有者向所有人透露的相應(yīng)公鑰。要加密純文本消息，請(qǐng)使用其公鑰。只有所有者才能解密密文，因?yàn)橹挥兴麄儞碛信c其公鑰相對(duì)應(yīng)的私鑰。

與依賴(lài)于非線(xiàn)性替換盒的對(duì)稱(chēng)加密算法不同，RSA 和橢圓曲線(xiàn)加密 （ECC） 等非對(duì)稱(chēng)加密算法的安全性依賴(lài)于數(shù)論假設(shè)。非對(duì)稱(chēng)加密算法往往比對(duì)稱(chēng)加密算法的計(jì)算成本高得多，這使得它們不適合加密大量數(shù)據(jù)。然而，非對(duì)稱(chēng)算法簡(jiǎn)化了密鑰分發(fā)問(wèn)題，因?yàn)樵诘谝淮闻c新人通信時(shí)，共享公鑰比共享敏感的私鑰容易得多。

為了結(jié)合兩者的優(yōu)勢(shì)，采取了混合方法。為了讓 Bob 與 Alice 通信，他使用她的公鑰進(jìn)行非對(duì)稱(chēng)加密算法，以加密對(duì)稱(chēng)加密算法的共享密鑰，并將其發(fā)送給她。盡管非對(duì)稱(chēng)加密算法的計(jì)算成本更高，但只需調(diào)用一次即可加密短值：共享密鑰。在通信之前安全地共享對(duì)稱(chēng)密鑰是不切實(shí)際的（想象一下必須安全地將密鑰傳輸?shù)侥L問(wèn)的每個(gè)網(wǎng)站?。?，因此調(diào)用非對(duì)稱(chēng)加密算法可以解決密鑰分發(fā)問(wèn)題。Alice 收到加密消息后，她使用非對(duì)稱(chēng)加密算法的相應(yīng)私鑰來(lái)解密共享密鑰。現(xiàn)在 Alice 和 Bob 都有相同的共享密鑰，他們可以切換到更快的對(duì)稱(chēng)加密算法。這使他們能夠快速加密和交換大量數(shù)據(jù)，因?yàn)閷?duì)稱(chēng)加密算法比非對(duì)稱(chēng)加密算法快大約兩個(gè)數(shù)量級(jí)。

所需資源

由于對(duì)稱(chēng)和非對(duì)稱(chēng)加密算法依賴(lài)于不同類(lèi)型的難題來(lái)提供安全性，因此它們?nèi)菀资艿结槍?duì)其底層數(shù)學(xué)框架的不同攻擊。因此，它們需要不同的密鑰長(zhǎng)度來(lái)提供相同的等效安全級(jí)別。此表總結(jié)了各種構(gòu)造所需的密鑰位數(shù)，以提供等效的暴力安全強(qiáng)度。請(qǐng)注意，DES 無(wú)法提供最低 128 位暴力破解安全性，因此不應(yīng)使用它。

結(jié)論

與歷史加密算法不同，現(xiàn)代加密算法是圍繞經(jīng)過(guò)充分研究的難題構(gòu)建的，這些問(wèn)題只有在了解私鑰的情況下才容易反轉(zhuǎn)。重要的是，算法的設(shè)計(jì)始終是公開(kāi)的，只有私鑰是保密的。盡管 DES 在推出時(shí)被認(rèn)為是安全的，但它的 56 位密鑰在今天是不安全的，應(yīng)該避免使用 AES 及其最小的 128 位密鑰長(zhǎng)度。將密文塊鏈接在一起的對(duì)稱(chēng)加密算法的操作模式在構(gòu)造的安全性中起著至關(guān)重要的作用，絕不應(yīng)使用簡(jiǎn)單的電子密碼本 （ECB） 模式。非對(duì)稱(chēng)加密算法通過(guò)消除事先私下共享密鑰的需要來(lái)幫助簡(jiǎn)化密鑰分發(fā)問(wèn)題：任何人都可以使用個(gè)人的公鑰加密消息，因?yàn)橹挥袀€(gè)人才能使用只有他們自己知道的相應(yīng)私鑰解密消息。盡管非對(duì)稱(chēng)加密算法的計(jì)算成本更高，但它們可以短暫地用于安全地交換共享密鑰，以換取更快的對(duì)稱(chēng)加密算法。最后，由于對(duì)稱(chēng)和非對(duì)稱(chēng)加密算法的安全性基礎(chǔ)存在不同的數(shù)學(xué)問(wèn)題，為了提供等效的安全性，它們必須使用不同的密鑰長(zhǎng)度。

審核編輯：郭婷