AES五种加密模式

分组密码在加密时明文分组的长度是固定的，而实用中待加密消息的数据量是不定的，数据格式可能是多种多样的。为了能在各种应用场合安全地使用分组密码，通常对不同的使用目的运用不同的工作模式。

一、电码本模式（ECB）

将整个明文分成若干段相同的小段，然后对每一小段进行加密。

优：操作简单，易于实现；分组独立，易于并行；误差不会被传送。——简单，可并行，不传送误差。

缺：掩盖不了明文结构信息，难以抵抗统计分析攻击。——可对明文进行主动攻击。

二、密码分组链模式（CBC）

先将明文切分成若干小段，然后每一小段与初始块或者上一段的密文段进行异或运算后，再与密钥进行加密。

优点：能掩盖明文结构信息，保证相同密文可得不同明文，所以不容易主动攻击，安全性好于ECB，适合传输长度长的报文，是SSL和IPSec的标准。

缺点：（1）不利于并行计算；（2）传递误差——前一个出错则后续全错；（3）第一个明文块需要与一个初始化向量IV进行抑或，初始化向量IV的选取比较复杂。

初始化IV的选取方式：固定IV，计数器IV，随机IV（只能得到伪随机数，用的最多），瞬时IV（难以得到瞬时值）

三、输出反馈模式（OFB）

密码算法的输出（指密码key而不是密文）会反馈到密码算法的输入中，OFB模式并不是通过密码算法对明文直接加密，而是通过将明文分组和密码算法的输出进行XOR来产生密文分组。

优点：隐藏了明文模式；结合了分组加密和流密码（分组密码转化为流模式）；可以及时加密传送小于分组的数据。

缺点：不利于并行计算；需要生成秘钥流；对明文的主动攻击是可能的。

四 计数器模式（CTR）

完全的流模式。将瞬时值与计数器连接起来，然后对此进行加密产生密钥流的一个密钥块，再进行XOR操作 。

优点：不泄露明文；仅需实现加密函数；无需填充；可并行计算。

缺点：需要瞬时值IV，难以保证IV的唯一性。

五 对比CBC和CTR

（1）CBC需要填充；CTR不用填充。

（2）CBC不可并行；CTR可并行速度快。

（3）CBC需要实现加密和解密函数；CTR实现简单，仅需实现加密函数。

（4）鲁棒性：CBC强于CTR——使用重复瞬时值，CBC会泄露初始明文块，CTR会泄露所有信息。

如果有好的瞬时值选择策略，采用CTR，否则采用CBC。

如加密成绩单，可选用CTR，因为学号唯一。可作为瞬时值。

六 分组密码填充

目的：将明文填充到满足分组大小，解密后再把填充去掉。

如何填充：缺几个字节填充几个自己的几（如缺5个字节，填充5个字节的5）；如果不需要填充，则添加一个分组，分组中填充分组大小（如分组大小为64，填充16个字节的16）

七 分组密码模式的安全性

任何分组密码模式都存在信息的泄露，没有一个是完美的，任何分组模式都可能会泄露信息，这只是一个概率的问题。

碰撞概率计算：

M个明文块，块长为N，以两个块组成一对，

不同块的对数为：M(M-1)/2

两个块相等的概率为：1/2的n次方

密文块相等的数量期望为：M(M-1)/2的n+1次方。

则当M(M-1)=2的n+1次方时候，即M约等于2的n/2次方时发生碰撞的概率约等于1。

例如：分组长度为64，则当块数为2的32次方时，即加密数据2的32次方*64bit=256G时便会发生碰撞。

结论：分组密码的安全不仅和秘钥长度有关还和分组长度有关。