【国家标准(GB)】 信息安全技术 分组密码算法的工作模式

ICS35.040
中华人民共和国国家标准
GB/T17964—2008
代替GB/T17964—2000
信息安全技术
分组密码算法的工作模式
Information technology-Security techniques-Modes of operation for ablock cipher2008-06-26发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2008-11-01实施
规范性引用文件
术语和定义
3.1术语
3.2定义
缩略语和符号
电码本（ECB)模式
5.1变量定义
5.2ECB的加密方式描述
ECB的解密方式描述
密码分组链接(CBC)模式
6.1变量定义
6.2CBC的加密方式描述
6.3CBC的解密方式描述
密码反馈（CFB)模式
参数定义
变量定义
CFB的加密方式描述
CFB的解密方式描述
8输出反馈(OFB)模式
参数定义
变量定义
OFB的加密方式描述
8.4OFB的解密方式描述
9计数器(CTR)模式
变量定义
CTR的加密方式描述
CTR的解密方式描述
10分组链接(BC)模式
10.1变量定义·
10.2BC的加密方式描述
10.3BC的解密方式描述
11带非线性函数的输出反馈（OFBNLF)模式11.1
变量定义
.........
11.2OFBNLF的加密方式描述
GB/T17964—2008
GB/T17964—2008
OFBNLF的解密方式描述
附录A（规范性附录）工作模式的性质·A.1电码本（ECB)工作模式的性质A.2密码分组链接(CBC)工作模式的性质密码反馈（CFB)工作模式的性质A.3
输出反馈（OFB)工作模式的性质计数器（CTR)工作模式的性质
分组链接（BC)工作模式的性质
带非线性函数的输出反馈（OFBNLF)工作模式的性质附录B（资料性附录)
ECB方式
CBC方式
CFB方式
OFB方式
CTR方式
参考文献
工作模式举例
GB/T17964—2008
本标准代替GB/T17964一2000《信息技术安全技术n位块密码算法的操作方式》。本标准与GB/T179642000相比主要变化如下：修改了标准的名称；
修改了部分术语的定义；
修改了加密解密的关系表达式；一增加了分组算法的计数器（CTR）、分组链接（BC)和带非线性函数的输出反馈（OFBNLF)三种工作模式及其说明；
在资料性附录B中增加了计数器（CTR)工作模式的加密解密实例说明；修改了部分描述性文字的语法
本标准的附录A是规范性附录，附录B是资料性附录本标准由国家密码管理局提出。本标准由全国信息安全标准化技术委员会归口。本标准起草单位：无锡江南信息安全工程技术中心、卫士通信息产业股份有限公司、兴唐通信科技股份有限公司、济南得安计算机技术有限公司、上海格尔软件股份有限公司。本标准主要起草人：徐强、李元正、谢永泉、李玉峰、高志权、谭武征。本标准所代替标准的历次版本发布情况为：GB/T17964—2000。
GB/T17964—2008
本标准中对于某些所描述的工作模式来说，可能需要对明文变量进行填充，具体填充技术不属于本标准的范围
某些工作模式需要用到初始值IV,IV的定义不属于本标准范围。当使用这些工作模式中的某一种时，所有通信方都要选择并使用同样的参数值本标准编制过程中得到了国家商用密码应用技术体系总体工作组的指导。N
1范围
信息安全技术
分组密码算法的工作模式
本标准描述了分组密码算法的七种工作模式，以便规范分组密码的使用。2规范性引用文件
GB/T17964—2008
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准GB/T1988—1998信息技术信息交换用七位编码字符集（eqvISO/IEC6461991）3术语和定义
下列术语和定义适用于本标准。3.1术语
分组链接工作模式blockchaining（BC）operationmode分组密码算法的一种工作模式，当前的明文分组与所有前面密文分组的异或值相异或运算后再进行加密得到当前的密文分组。
分组密码blockcipher
又称块密码算法，一种对称密码算法，将明文划分成固定长度的分组进行加密。3.1.3
分组密码算法工作模式blockcipheroperationmode分组密码算法的使用方式，主要包括电码本模式（ECB）、密码分组链接模式（CBC）、密码反馈模式（CFB）、输出反馈模式（OFB）、计数器模式（CTR)等。3.1.4
密码分组链接工作模式cipherblockchaining（CBC）operationmode分组密码算法的一种工作模式，当前的明文分组与前一密文分组进行异或运算后再进行加密得到当前的密文分组。
密码反馈工作模式cipherfeedback（CFB）operationmode分组密码算法用于构造序列密码的一种工作模式，用密文依次更新存储该密码算法启动变量的反馈缓冲器。
计数器工作模式counter（CTR）operationmode分组密码算法用于构造序列密码的一种工作模式，通过加密不断变化的计数器来产生密钥序列。3.1.7
密文ciphertext
加密后的数据。
GB/T17964—2008
cryptographicsynchronization密码同步
使密码系统正确处理而进行的协作机制。3.1.9
解密decipherment/decryption
加密过程对应的逆过程。
电码本工作模式electroniccodebook（ECB）operationmode分组密码算法的一种工作模式，明文分组直接作为加密算法的输入，对应的输出作为密文分组。3.1.11
加密encipherment/encryption
对数据进行密码变换以产生密文的过程。3.1.12
反馈缓存（FB）
feedbackbuffer（FB）
用于为加密过程存储输入数据的变量。在启动点，FB的值为IV。3.1.13此内容来自标准下载网
初始化向量/值
initialization vector/initialization value (IV)在密码变换中，为增加安全性或使密码设备同步而引入的用于数据变换的起始数据。3.1.14
密钥key
控制密码变换操作的关键信息或参数。3.1.15
带非线性函数的输出反馈模式
outputfeedbackwithanonlinearfunction（OFBNLF）operationmode
分组密码算法的一种工作模式，是OFB和ECB的变体，它的密钥随着每一个分组而改变3.1.16
outputfeedback（OFB)operationmode输出反馈工作模式
分组密码算法用于构造序列密码的一种工作模式，用该算法当前时刻的输出作为下一时刻的输入。3.1.17
明文plaintext/cleartext
待加密的数据。
3.2定义
3.2.1加密表达式
本标准中，由分组密码规定的函数关系记作：C=-Ek(P)
其中：P是明文分组；
C是密文分组；
K是密钥；
Ek是使用密钥K的加密运算。
3.2.2解密表达式
对应的解密函数记作：
P-Dk(C)
Dk是使用密钥K的解密运算。
3.2.3位阵列表达式
GB/T17964—2008
由一个大写字母表示的变量，如上面的P和C，它表示一个一维的位阵列。例如：A=(al,a,..,a)和B=(bbz,...,bm)便是两个m位阵列,其位从1到m编号。所有位阵列的记法都是以下标为1的位处于最左边。3.2.4模2加表达式
模2加操作，也称作“异或运算，用符号④表示，应用到阵列A和B的运算定义为：A@B=(a @bi.a@b2,..a.@bm)
3.2.5位选择表达式
选择A的最左边；个位以产生一个i位阵列的操作记作：A~j=(ai.a2...,a,)
仅当1≤≤m（m是A中的位数）时此操作才有定义。3.2.6移位运算表达式
移位函数S定义如下：
已知m位变量X和k位变量F其中1≤k≤m.移位函数S（XIF）的作用是产生以下的m位变量（「是连接运算符，下同）：
S,(X|F)=(X+r.X+2,.\.,Xm.fff2,*,f)(k其作用是将阵列X的各位左移k个位置，舍弃XX2，…，X，并将阵列F放置在阵列X的最右边的k个位置上。当k=m时，其作用是F完全取代X。此函数的一个特例是以全1\的m位变量I(m)开始，并将k位变量F移到其中。结果为：S(I(m)/F)=(l,l....,l.ff.fz.....f.)(k4缩略语和符号
OFBNLF
高级数据加密标准（advancedencryptionstandard）分组链接（blockchaining）
密码分组链接（cipherblockchaining）密码反馈（cipherfeedback）
计数器（counter）
数据加密算法（dataencryptionalgorithm）电码本（electroniccodebook）初始值（initializationvalue）输出反馈（outputfeedback）
带非线性函数的输出反馈（outputfeedbackwithanonlinearfunction）电码本（ECB）模式
5.1变量定义
a）q个明文分组Pi,P2，,P所组成的序列，每个块都为n位，b）密钥K.
c）q个密文分组Cr，C2，\…,C,所组成的结果序列，每个块都为n位。5.2ECB的加密方式描述
C,=Ek(P) i=1,2,\,q
GB/T17964—2008
5.3ECB的解密方式描述
注：ECB模式的工作性质见附录A。示例：ECB模式的示例参考附录B。密码分组链接(CBC)模式
变量定义
P =D(C,)
i-1,2....g
a）q个明文分组Pi,P2，,P,所组成的序列，每个块都为n位。密钥K。
c）n位初始值IV。
d）q个密文分组Cr.C2，,C,所组成的结果序列，每个块都为n位。6.2CBC的加密方式描述
对第一个明文分组进行加密：
C= Ek(PI @ IV)
随后：
C= E(P④C-)
此过程如图1的上半部分所示。初始值IV用于产生第1个密文输出。之后，在加密之前，这个密文与下一个明文进行模2加。
6.3CBC的解密方式描述
图1密码分组链接（CBC)操作方式对第1个密文分组进行解密：
P=Dk(C)OIV
随后：
P,- Dk(C)④C,- i-2,3,..q
此过程如图1的下半部分所示。
注：CBC模式的工作性质见附录A。示例：CBC模式的示例参考附录B。案
7密码反馈（CFB)模式
7.1参数定义
反馈缓存的大小r(n≤r≤2n）；反馈变量的大小k（1≤k≤n)；
明文变量的大小（l≤j≤k）。
注：r-k可小于n。图2示出了r-k>n的特殊情形。7.2变量定义
a）输入变量
1）q个明文变量Pi,P2，,P,所组成的序列，每个块都为位。2）密钥K。
3）r位初始值IV。
中间结果
1）q个密码输人块X，X2，,X,所组成的序列.每个块都为n位。2）q个密码输出块Yr，Y，，…，Y,所组成的序列.每个块都为n位。3）9个变量Z,.Z2.,Z,所组成的序列，每个变量都为j位。4）Qq一1个反馈变量F1，F，…,F所组成的序列，每个变量都为k位。GB/T17964—2008
5）q一1个反馈缓存内容FB，FBz，*,FB-1所组成的序列，每个块都为n位c）输出变量
q个密文变量CI，C2.,C所组成的序列，每个块都为i位。7.3CFB的加密方式描述
反馈缓存FB的初始值为：
FB,=IV
对每个明文变量进行加密的运算采用以下六个步骤：a）产生输人变量：
X,=FB,～n
使用分组密码：
Y,= Ek(X,)
选择最左边的位：
Z,=Y~j
产生密文变量：
产生反馈变量：
F,=S,(I(k)/C,)
FB移位运算：
FB+1=S,(FB:|F)
对i=1,2，，q，重复上述步骤，最后一个循环结束于步骤d)。此过程如图2左半部分所示。分组密码的输出块Y的最左边，位用来通过模2加来加密位明文变量。Y的其他位被舍弃。明文和密文变量的各位从1到j编号
通过把k一i个“1”位放到密文变量的最左边位置上，将密文变量扩展成k位反馈变量F，然后将反馈缓存FB的各位左移k个位置，并将F插到最右边的k个位置上，就产生了新的反馈缓存FB值。在此移位操作中,FB的最左边k位被舍弃。FB最左边的新的n位用作加密过程的下二个输入X。5
GB/T17964—2008
加密法「
远择录左边；例一，个“
:个“-
辉密学泌
选择最左边/例
图2密码反馈（CFB）工作模式
7.4CFB的解密方式描述
用于解密变量与用于加密变量是相同的。反馈缓存FB被置成初始值：
FB,=IV
对每个密文变量进行解密的操作采用以下六个步骤：a）产生输人变量：
X,=FB,～n
使用分组密码：
Y,=Ek(X)
选择最左边的；位：
d）产生明文变量：
P,=C,O Z,
产生反馈变量：
F,=S,(I(k)IC)
f）FB移位运算：
FB+1=S(FB,|F.)
对i=1,2，，q·重复上述步骤，最后一个循环结束于步骤d）。此过程如图2右半部分所示。分组密码的输出块Y的最左边；位用来通过模2加来解密，位密文变量。Y的其他位被舍弃。明文和密文变量的各位从1到；编号。
通过把一个“1”位放到密文变量的最左边位置上，将密文变量扩展成位反馈变量F，然后将反馈缓存FB的各位左移k个位置，并将F放到最右边的k个位置上，就产生了新的反馈缓存FB值。在此移位操作中,FB的最左边k位被舍弃。FB最左边的新的n位用作加密过程的下个输入X。注：CFB模式的工作性质见附录A。示例：CFB模式的示例参考附录B。7.5建议
建议使用j和k的值相等的CFB方式。按照这种建议形式(j=k），加密操作和解密操作的步骤e)可以写成：
F=C（当j=k)
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。