[历史归档]本文原发布于 cstriker1407.info 个人博客内容为历史存档仅供参考。发布时间2018-02-06 标题TLS简单笔记-AES分类编程 标签tls·aesTLS简单笔记-AES电码本模式Electronic Codebook Book (ECB)密码分组链接模式Cipher Block Chaining (CBC)计算器模式Counter (CTR)密码反馈模式Cipher FeedBack (CFB)输出反馈模式Output FeedBack (OFB)GCM ( Galois/Counter Mode)CCM参考链接《 http://www.cnblogs.com/starwolf/p/3365834.html?utm_sourcetuicoolutm_mediumreferral 》《 https://blog.csdn.net/charleslei/article/details/48710293 》高级加密标准Advanced Encryption Standard: AES是美国国家标准与技术研究院NIST在2001年建立了电子数据的加密规范。它是一种分组加密标准每个加密块大小为128位允许的密钥长度为128、192和256位电码本模式Electronic Codebook Book (ECB)ECB是最简单的块密码加密模式加密前根据加密块大小如AES为128位分成若干块之后将每块使用相同的密钥单独加密解密同理。ECB模式由于每块数据的加密是独立的因此加密和解密都可以并行计算ECB模式最大的缺点是相同的明文块会被加密成相同的密文块这种方法在某些环境下不能提供严格的数据保密性。密码分组链接模式Cipher Block Chaining (CBC)这种模式是先将明文切分成若干小段然后每一小段与初始块或者上一段的密文段进行异或运算后再与密钥进行加密。CBC模式对于每个待加密的密码块在加密前会先与前一个密码块的密文异或然后再用加密器加密。第一个明文块与一个叫初始化向量的数据块异或。CBC模式相比ECB有更高的保密性但由于对每个数据块的加密依赖与前一个数据块的加密所以加密无法并行。与ECB一样在加密前需要对数据进行填充不是很适合对流数据进行加密。计算器模式Counter (CTR)计算器模式不常见在CTR模式中 有一个自增的算子这个算子用密钥加密之后的输出和明文异或的结果得到密文相当于一次一密。这种加密方式简单快速安全可靠而且可以并行加密但是在计算器不能维持很长的情况下密钥只能使用一次。CTR的示意图如下所示密码反馈模式Cipher FeedBack (CFB)CFB的加密工作分为两部分将一前段加密得到的密文再加密将第1步加密得到的数据与当前段的明文异或。输出反馈模式Output FeedBack (OFB)OFB是先用块加密器生成密钥流Keystream然后再将密钥流与明文流异或得到密文流解密是先用块加密器生成密钥流再将密钥流与密文流异或得到明文由于异或操作的对称性所以加密和解密的流程是完全一样的。参考链接《 https://blog.csdn.net/t0mato_/article/details/53160772 》GCM ( Galois/Counter Mode)计数器模式下每次与明文分组进行XOR的比特序列是不同的因此计数器模式解决了ECB模式中相同的明文会得到相同的密文的问题。CBCCFBOFB模式都能解决这个问题但CTR的另两个优点是1支持加解密并行计算可事先进行加解密准备2错误密文中的对应比特只会影响明文中的对应比特等优点。但CTR仍然不能提供密文消息完整性校验的功能。有的人可能会想到如果将密文的hash值随密文一起发送密文接收者对收到的密文计算hash值与收到的hash值进行比对这样是否就能校验消息的完整性呢再仔细想想就能发现这其中的漏洞。当篡改者截获原始的密文消息时先篡改密文而后计算篡改后的密文hash, 替换掉原始消息中的密文hash。这样消息接收者仍然没有办法发现对源密文的篡改。可见使用单向散列函数计算hash值仍然不能解决消息完整性校验的问题。MAC ( Message Authentication Code, 消息验证码)想要校验消息的完整性必须引入另一个概念消息验证码。消息验证码是一种与秘钥相关的单项散列函数。密文的收发双发需要提前共享一个秘钥。密文发送者将密文的MAC值随密文一起发送密文接收者通过共享秘钥计算收到密文的MAC值这样就可以对收到的密文做完整性校验。当篡改者篡改密文后没有共享秘钥就无法计算出篡改后的密文的MAC值。如果生成密文的加密模式是CTR或者是其他有初始IV的加密模式别忘了将初始的计时器或初始向量的值作为附加消息与密文一起计算MAC。GMAC ( Galois message authentication code mode, 伽罗瓦消息验证码 )对应到上图中的消息认证码GMAC就是利用伽罗华域(Galois FieldGF有限域)乘法运算来计算消息的MAC值。假设秘钥长度为128bits, 当密文大于128bits时需要将密文按128bits进行分组。应用流程如下图GCM Galois/Counter Mode )GCM中的G就是指GMACC就是指CTR。GCM可以提供对消息的加密和完整性校验另外它还可以提供附加消息的完整性校验。在实际应用场景中有些信息是我们不需要保密但信息的接收者需要确认它的真实性的例如源IP源端口目的IPIV等等。因此我们可以将这一部分作为附加消息加入到MAC值的计算当中。下图的Ek表示用对称秘钥k对输入做AES运算。最后密文接收者会收到密文、IV计数器CTR的初始值、MAC值。CCM参考链接《 https://www.cnblogs.com/block2016/p/5635462.html 》《 https://www.cnblogs.com/cherishui/p/4031834.html 》《 https://blog.csdn.net/ronhu/article/details/46317009 》组成CCM的关键算法是AES加密算法、CTR工作模式和CMAC认证算法在加密和MAC算法中共用一个密钥K。CCM加密过程的输入由三部分构成将要被加密和认证的数据即明文消息P数据块将要被认证但是不需要加密的相关数据A如协议头等。临时量N作为负载和相关数据的补充对每条消息N取值唯一以防止重放攻击等。