.NET中的DES對稱加密詳解

NO IMAGE

DES演算法一般有兩個關鍵點,第一個是加密模式,第二個是資料補位,加密模式的主要意義就是,加密演算法是按塊進行加密的,例如 DES ,是 64Bit 一個塊的進行加密,就是每次加密 8 個位元組,因此每次輸入八個位元組的明文輸出八個位元組密文,如果是 16 個位元組,那麼分成兩個塊依次進行加密,問題就出現在這裡,如果明文是 1234567812345678,分塊分別進行加密,那麼加密的結果類似“C4132737962C519C C4132737962C519C”,可以看出明文的規律,這就是 ECB 加密模式,密文可以看出明文的規律;為了解決這個問題,有了其他的加密模式:CBC 加密模式(密碼分組連線),CFB加密模式(密碼反饋模式),OFB加密模式(輸出反饋模式)CBC 是要求給一個初始化的向量,然後將每個輸出與該向量作運算,並將運算的結果作為下一個加密塊的初始化向量,CFB 和 OFB 則不需要提供初始化向量,直接將密碼或者輸出作為初始化向量進行運算;這樣就避免了明文的規律出現在密文中;當然缺點是解密時需要保證密文的正確性,如果網路傳輸時發生了一部分錯誤,則後面的解密結果就可能是錯誤的;(ECB模式僅影響傳輸錯誤的那個塊。密碼演算法基本上都是分組(按快)進行加密的,如果密文長度不是剛剛好可以進行分組,怎麼辦?只能進行填充。

加密演算法常見的有ECB模式和CBC模式:
第一種電子密本方式(ECB) 
      ECB模式:電子密本方式,就是將資料按照8個位元組一段進行DES加密或解密得到一段8個位元組的密文或者明文,最後一段不足8個位元組,則補足8個位元組(注意:這裡就涉及到資料補位了)進行計算,之後按照順序將計算所得的資料連在一起即可,各段資料之間互不影響。將明文分成n個64位元分組,如果明文長度不是64位元的倍數,則在明文末尾填充適當數目的規定符號。對明文組用給定的金鑰分別進行加密,行密文C=(C0,C1,……,Cn-1)其中Ci=DES(K,xi),i=0,1,…..,n-1。 這是Java封裝的DES演算法的預設模式.
第二種密文分組連結方式(CBC)  

      密文分組連結方式,在CBC方式下,每個明文組xi在加密前與先一組密文按位模二加後,再送到DES加密,CBC方式克服了ECB方式報內組重的缺點,但由於明文組加密前與一組密文有關,因此前一組密文的錯誤會傳播到下一組。 這是.NET封裝的DES演算法的預設模式,它比較麻煩,加密步驟如下:

1、首先將資料按照8個位元組一組進行分組得到D1D2……Dn(若資料不是8的整數倍,就涉及到資料補位了)

2、第一組資料D1與向量I異或後的結果進行DES加密得到第一組密文C1(注意:這裡有向量I的說法,ECB模式下沒有使用向量I)

3、第二組資料D2與第一組的加密結果C1異或以後的結果進行DES加密,得到第二組密文C2

4、之後的資料以此類推,得到Cn

5、按順序連為C1C2C3……Cn即為加密結果。

第三種密文反饋方式(CFB),可用於序列密碼
   明文X=(x0,x1,……,xn-1),其中xi由t個位元組成0   第四種輸出反饋方式(OFB),可用於序列密碼
   與CFB唯一不同的是OFB是直接取DES輸出的t個位元,而不是取密文的t個位元,其餘都與CFB相同。但它取的是DES的輸出,所以它克服了CFB的密文錯誤傳播的缺點

資料補位一般有NoPadding和PKCS7Padding(Java中是PKCS5Padding)填充方式,PKCS7Padding和PKCS5Padding實際只是協議不一樣,根據相關資料說明:PKCS5Padding明確定義了加密塊是8位元組,PKCS7Padding加密快可以是1-255之間。但是封裝的DES演算法預設都是8位元組,所以可以認為他們一樣。資料補位實際是在資料不滿8位元組的倍數,才補充到8位元組的倍數的填充過程。

NoPadding填充方式:演算法本身不填充,比如.NET的padding提供了有None,Zeros方式,分別為不填充和填充0的方式。

PKCS7Padding(PKCS5Padding)填充方式:為.NET和Java的預設填充方式,對加密資料位元組長度對8取餘為r,如r大於0,則補8-r個位元組,位元組為8-r的值;如果r等於0,則補8個位元組8.比如:

加密字串為為AAA,則補位為AAA55555;加密字串為BBBBBB,則補位為BBBBBB22;加密字串為CCCCCCCC,則補位為CCCCCCCC88888888.

.NET中的DES加密

對於.NET,框架在System.Security.Cryptography名稱空間下提供了DESCryptoServiceProvider作為System.Security.Cryptography.DES加密解密的包裝介面,它提供瞭如下的4個方法:

public override ICryptoTransform CreateDecryptor(byte[] rgbKey, byte[] rgbIV)

public override ICryptoTransform CreateEncryptor(byte[] rgbKey, byte[] rgbIV)

public override void GenerateIV()

public override void GenerateKey()

從.NET類庫封裝情況,加解密需要傳入一個Key和IV向量。而且Key必須為8位元組的資料,否則會直接拋異常出來,當使用ECB模式下,不管傳入什麼IV向量,加密結果都一樣。

您可能感興趣的文章:

C# DES加密演算法中向量的作用詳細解析asp.net TripleDES加密、解密演算法