GB/T 17964-2008 信息安全技术 分组密码算法的工作模式

犐犆犛３５．０４０

犔８０

中华人民共和国国家标准

／—

犌犅犜１７９６４２００８

代替／—

ＧＢＴ１７９６４２０００

信息安全技术

分组密码算法的工作模式

——

犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犛犲犮狌狉犻狋狋犲犮犺狀犻狌犲狊

犵狔狔狇

犕狅犱犲狊狅犳狅犲狉犪狋犻狅狀犳狅狉犪犫犾狅犮犽犮犻犺犲狉

狆狆

２００８０６２６发布２００８１１０１实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

／—

犌犅犜１７９６４２００８

目次

前言Ⅲ

引言Ⅳ

１范围１

２规范性引用文件１

３术语和定义１

３．１术语１

３．２定义２

４缩略语和符号３

电码本（）模式

５ＥＣＢ３

５．１变量定义３

５．２ＥＣＢ的加密方式描述３

５．３ＥＣＢ的解密方式描述４

密码分组链接（）模式

６ＣＢＣ４

６．１变量定义４

６．２ＣＢＣ的加密方式描述４

６．３ＣＢＣ的解密方式描述４

密码反馈（）模式

７ＣＦＢ５

７．１参数定义５

７．２变量定义５

７．３ＣＦＢ的加密方式描述５

７．４ＣＦＢ的解密方式描述６

７．５建议６

输出反馈（）模式

８ＯＦＢ７

８．１参数定义７

８．２变量定义７

８．３ＯＦＢ的加密方式描述７

８．４ＯＦＢ的解密方式描述８

计数器（）模式

９ＣＴＲ８

９．１变量定义８

９．２ＣＴＲ的加密方式描述８

９．３ＣＴＲ的解密方式描述９

分组链接（）模式

１０ＢＣ９

１０．１变量定义９

１０．２ＢＣ的加密方式描述９

１０．３ＢＣ的解密方式描述１０

带非线性函数的输出反馈（）模式

１１ＯＦＢＮＬＦ１０

１１．１变量定义１０

１１．２ＯＦＢＮＬＦ的加密方式描述１０

Ⅰ

／—

犌犅犜１７９６４２００８

１１．３ＯＦＢＮＬＦ的解密方式描述１１

附录（规范性附录）工作模式的性质

Ａ１２

电码本（）工作模式的性质

Ａ．１ＥＣＢ１２

密码分组链接（）工作模式的性质

Ａ．２ＣＢＣ１２

密码反馈（）工作模式的性质

Ａ．３ＣＦＢ１３

输出反馈（）工作模式的性质

Ａ．４ＯＦＢ１４

计数器（）工作模式的性质

Ａ．５ＣＴＲ１４

分组链接（）工作模式的性质

Ａ．６ＢＣ１５

带非线性函数的输出反馈（）工作模式的性质

Ａ．７ＯＦＢＮＬＦ１５

附录（资料性附录）工作模式举例

Ｂ１７

Ｂ．１概述１７

Ｂ．２ＥＣＢ方式１７

Ｂ．３ＣＢＣ方式１７

Ｂ．４ＣＦＢ方式１８

Ｂ．５ＯＦＢ方式１８

Ｂ．６ＣＴＲ方式１８

参考文献２０

Ⅱ

／—

犌犅犜１７９６４２００８

前言

本标准代替／—《信息技术安全技术位块密码算法的操作方式》。

ＧＢＴ１７９６４２０００狀

本标准与／—相比主要变化如下：

ＧＢＴ１７９６４２０００

———修改了标准的名称；

———修改了部分术语的定义；

———修改了加密解密的关系表达式；

———增加了分组算法的计数器（）、分组链接（）和带非线性函数的输出反馈（）三种

ＣＴＲＢＣＯＦＢＮＬＦ

工作模式及其说明；

———在资料性附录中增加了计数器（）工作模式的加密解密实例说明；

ＢＣＴＲ

———修改了部分描述性文字的语法。

本标准的附录是规范性附录，附录是资料性附录。

ＡＢ

本标准由国家密码管理局提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：无锡江南信息安全工程技术中心、卫士通信息产业股份有限公司、兴唐通信科技

股份有限公司、济南得安计算机技术有限公司、上海格尔软件股份有限公司。

本标准主要起草人：徐强、李元正、谢永泉、李玉峰、高志权、谭武征。

本标准所代替标准的历次版本发布情况为：

———／—。

ＧＢＴ１７９６４２０００

Ⅲ

／—

犌犅犜１７９６４２００８

引言

本标准中对于某些所描述的工作模式来说，可能需要对明文变量进行填充，具体填充技术不属于本

标准的范围。

某些工作模式需要用到初始值，的定义不属于本标准范围。

ＩＶＩＶ

当使用这些工作模式中的某一种时，所有通信方都要选择并使用同样的参数值。

本标准编制过程中得到了国家商用密码应用技术体系总体工作组的指导。

Ⅳ

／—

犌犅犜１７９６４２００８

信息安全技术

分组密码算法的工作模式

１范围

本标准描述了分组密码算法的七种工作模式，以便规范分组密码的使用。

２规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有

的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究

是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

／—信息技术信息交换用七位编码字符集（／：）

ＧＢＴ１９８８１９９８ｅｖＩＳＯＩＥＣ６４６１９９１

ｑ

３术语和定义

下列术语和定义适用于本标准。

３．１术语

３．１．１

分组链接工作模式（）

犫犾狅犮犽犮犺犪犻狀犻狀犅犆狅犲狉犪狋犻狅狀犿狅犱犲

犵狆

分组密码算法的一种工作模式，当前的明文分组与所有前面密文分组的异或值相异或运算后再进

行加密得到当前的密文分组。

３．１．２

分组密码犫犾狅犮犽犮犻犺犲狉

狆

又称块密码算法，一种对称密码算法，将明文划分成固定长度的分组进行加密。

３．１．３

分组密码算法工作模式犫犾狅犮犽犮犻犺犲狉狅犲狉犪狋犻狅狀犿狅犱犲

狆狆

分组密码算法的使用方式，主要包括电码本模式（）、密码分组链接模式（）、密码反馈模式

ＥＣＢＣＢＣ

（）、输出反馈模式（）、计数器模式（）等。

ＣＦＢＯＦＢＣＴＲ

３．１．４

密码分组链接工作模式（）

犮犻犺犲狉犫犾狅犮犽犮犺犪犻狀犻狀犆犅犆狅犲狉犪狋犻狅狀犿狅犱犲

狆犵狆

分组密码算法的一种工作模式，当前的明文分组与前一密文分组进行异或运算后再进行加密得到

当前的密文分组。

３．１．５

密码反馈工作模式（）

犮犻犺犲狉犳犲犲犱犫犪犮犽犆犉犅狅犲狉犪狋犻狅狀犿狅犱犲

狆狆

分组密码算法用于构造序列密码的一种工作模式，用密文依次更新存储该密码算法启动变量的反

馈缓冲器。

３．１．６

计数器工作模式（）

犮狅狌狀狋犲狉犆犜犚狅犲狉犪狋犻狅狀犿狅犱犲

狆

分组密码算法用于构造序列密码的一种工作模式，通过加密不断变化的计数器来产生密钥序列。

３．１．７

密文犮犻犺犲狉狋犲狓狋

狆

加密后的数据。

１

／—

犌犅犜１７９６４２００８

３．１．８

密码同步犮狉狋狅狉犪犺犻犮狊狀犮犺狉狅狀犻狕犪狋犻狅狀

狔狆犵狆狔

使密码系统正确处理而进行的协作机制。

３．１．９

解密／

犱犲犮犻犺犲狉犿犲狀狋犱犲犮狉狋犻狅狀

狆狔狆

加密过程对应的逆过程。

３．１．１０

电码本工作模式（）

犲犾犲犮狋狉狅狀犻犮犮狅犱犲犫狅狅犽犈犆犅狅犲狉犪狋犻狅狀犿狅犱犲

狆

分组密码算法的一种工作模式，明文分组直接作为加密算法的输入，对应的输出作为密文分组。

３．１．１１

加密／

犲狀犮犻犺犲狉犿犲狀狋犲狀犮狉狋犻狅狀

狆狔狆

对数据进行密码变换以产生密文的过程。

３．１．１２

反馈缓存（）（）

犉犅犳犲犲犱犫犪犮犽犫狌犳犳犲狉犉犅

用于为加密过程存储输入数据的变量。在启动点，的值为。

ＦＢＩＶ

３．１．１３

初始化向量／值／（）

犻狀犻狋犻犪犾犻狕犪狋犻狅狀狏犲犮狋狅狉犻狀犻狋犻犪犾犻狕犪狋犻狅狀狏犪犾狌犲犐犞

在密码变换中，为增加安全性或使密码设备同步而引入的用于数据变换的起始数据。

３．１．１４

密钥犽犲

狔

控制密码变换操作的关键信息或参数。

３．１．１５

带非线性函数的输出反馈模式（）

狅狌狋狌狋犳犲犲犱犫犪犮犽狑犻狋犺犪狀狅狀犾犻狀犲犪狉犳狌狀犮狋犻狅狀犗犉犅犖犔犉狅犲狉犪狋犻狅狀

狆狆

犿狅犱犲

分组密码算法的一种工作模式，是和的变体，它的密钥随着每一个分组而改变。

ＯＦＢＥＣＢ

３．１．１６

输出反馈工作模式（）

狅狌狋狌狋犳犲犲犱犫犪犮犽犗犉犅狅犲狉犪狋犻狅狀犿狅犱犲

狆狆

分组密码算法用于构造序列密码的一种工作模式，用该算法当前时刻的输出作为下一时刻的输入。

３．１．１７

明文／

犾犪犻狀狋犲狓狋犮犾犲犪狉狋犲狓狋

狆

待加密的数据。

３．２定义

３．２．１加密表达式

本标准中，由分组密码规定的函数关系记作：

（）

Ｃ＝ＥＰ

Ｋ

其中：是明文分组；

Ｐ

Ｃ是密文分组；

Ｋ是密钥；

是使用密钥的加密运算。

ＥＫ

Ｋ

３．２．２解密表达式

对应的解密函数记作：

（）

Ｐ＝ＤＣ

Ｋ

是使用密钥的解密运算。

ＤＫＫ

２

／—

犌犅犜１７９６４２００８

３．２．３位阵列表达式

由一个大写字母表示的变量，如上面的和，它表示一个一维的位阵列。例如：

ＰＣ

（，，…，）和（，，…，）

Ａ＝ａａａＢ＝ｂｂｂ

１２犿１２犿

便是两个位阵列，其位从到编号。所有位阵列的记法都是以下标为的位处于最左边。

犿１犿１

模加表达式

３．２．４２

模加操作，也称作“异或”运算，用符号表示，应用到阵列和的运算定义为：

２ＡＢ

（，，…，）

ＡＢ＝ａｂａｂａｂ

１１２２犿犿

３．２．５位选择表达式

选择的最左边个位以产生一个位阵列的操作记作：

Ａ犼犼

（，，…，）

Ａ＝ａａａ

～犼１２犼

仅当（是中的位数）时此操作才有定义。

１犿犿Ａ

≤≤

犼

３．２．６移位运算表达式

移位函数定义如下：

Ｓ

犽

已知位变量和位变量，其中，移位函数（）的作用是产生以下的位变量

犿Ｘ犽Ｆ１犽犿ＳＸＦ犿

≤≤犽｜

（是连接运算符，下同）：

｜

（）（，，…，，，，…，）（）

ＳＸＦ＝ＸＸＸｆｆｆ犽犿

犽｜犽＋１犽＋２犿１２犽＜

（）（，，…，）（）

ＳＸＦ＝ｆｆｆ犽＝犿

犽｜１２犽

其作用是将阵列的各位左移个位置，舍弃，，…，，并将阵列放置在阵列的最右边

Ｘ犽ＸＸＸＦＸ

１２犽

的个位置上。当时，其作用是完全取代。

犽犽＝犿ＦＸ

此函数的一个特例是以全“”的位变量（）开始，并将位变量移到其中。结果为：

１犿Ｉ犿犽Ｆ

（（））（，，…，，，，…，）（）

ＳＩ犿Ｆ＝１１１ｆｆｆ犽犿

犽｜１２犽＜

（（））（，，…，）（）

ＳＩ犿Ｆ＝ｆｆｆ犽＝犿

犽｜１２犽

其中最左边的位均为“”。

犿－犽１

４缩略语和符号

高级数据加密标准（）

ＡＥＳａｄｖａｎｃｅｄｅｎｃｒｔｉｏｎｓｔａｎｄａｒｄ

ｙｐ

分组链接（）

ＢＣｂｌｏｃｋｃｈａｉｎｉｎｇ

密码分组链接（）

ＣＢＣｃｉｈｅｒｂｌｏｃｋｃｈａｉｎｉｎ

ｐｇ

密码反馈（）

ＣＦＢｃｉｈｅｒｆｅｅｄｂａｃｋ

ｐ

计数器（）

ＣＴＲｃｏｕｎｔｅｒ

数据加密算法（）

ＤＥＡｄａｔａｅｎｃｒｔｉｏｎａｌｏｒｉｔｈｍ

ｙｐｇ

电码本（）

ＥＣＢｅｌｅｃｔｒｏｎｉｃｃｏｄｅｂｏｏｋ

初始值（）

ＩＶｉｎｉｔｉａｌｉｚａｔｉｏｎｖａｌｕｅ

输出反馈（）

ＯＦＢｏｕｔｕｔｆｅｅｄｂａｃｋ

ｐ

带非线性函数的输出反馈（）

ＯＦＢＮＬＦｏｕｔｕｔｆｅｅｄｂａｃｋｗｉｔｈａｎｏｎｌｉｎｅａｒｆｕｎｃｔｉｏｎ

ｐ

电码本（）模式

５犈犆犅

５．１变量定义

）个明文分组，，…，所组成的序列，每个块都为位。

ａＰＰＰ狀

狇１２狇

）密钥。

ｂＫ

）个密文分组，，…，所组成的结果序列，每个块都为位。

ｃＣＣＣ狀

狇１２狇

５．２犈犆犅的加密方式描述

（），，…，

Ｃ＝ＥＰ犻＝１２

犻Ｋ犻狇

３

／—

犌犅犜１７９６４２００８

５．３犈犆犅的解密方式描述

（），，…，

Ｐ＝ＤＣ犻＝１２

犻Ｋ犻狇

注：模式的工作性质见附录。

ＥＣＢＡ

示例：模式的示例参考附录。

ＥＣＢＢ

密码分组链接（）模式

６犆犅犆

６．１变量定义

）个明文分组，，…，所组成的序列，每个块都为位。

ａＰＰＰ狀

狇１２狇

）密钥。

ｂＫ

）位初始值。

ｃ狀ＩＶ

）个密文分组，，…，所组成的结果序列，每个块都为位。

ｄＣＣＣ狀

狇１２