一、实验目的
本实验的学习目的是让学生熟悉密钥加密的概念,熟悉和了解加密算法(cipher)、加密模式(encryption mode)、 填充(padding)、以及初始向量(IV)的定义与作用。此外,学生还可以通过使用工具和编写程序加密/解密信息。
二、实验环境
实验环境拓扑:
实验机:ubuntu12.04
用户seed 密码dees
数据库用户root 密码seedubuntu
三、实验内容与实验要求
实验步骤一
学习使用不同的加密算法与加密模式进行加密。
你可以使用 openssl enc 命令来加密/解密一个文件。输入 man openssl 和 man enc 命令可以查看使用手册。
首先我们创建一个明文文件,内容为:seedlabtest(可以随意填写内容)
$echo seedlabtest > plain.txt
使用openssl对明文进行加密,命令如下(请将下面命令中的 ciphertype 替换成指定的加密类型,比如-aes-128-cbc, -aes-128-cfb, -bf-cbc 等):
$ openssl enc ciphertype -e -in plain.txt -out cipher.bin -K 00112233445566778899aabbccddeeff -iv 0102030405060708
任务:在本实验中你至少需要尝试使用三种不同的密码(cypher)与加密模式(encryption mode)对明文进行加密,并对密文进行解密。可以通过输入man enc命令了解到各选项的含义以及 openssl 所支持的所有加密类型。
注:密码(cipher):指 bf, cast, des, aes, rs2等
加密模式(encryption mode):指 cbc, ecb, cfb, ofb 等
上述命令参数选项释义:
实验步骤二
加密模式——ECB与CBC的区别
/home/seed/crypto目录下有一张图片。pic_original.bmp 是一张简单的图片,我们将对它进行加密,这样没有密钥的人就无法看到这张图是什么了。那么,请分别使用 ECB 和 CBC 模式对图片进行加密生成两个新文件pic_cbc.bmp和pic_ecb.bmp。
注意:
加密后的bmp文件头是损坏的,我们需要用bless编辑该图片文件。(bmp头长度为54字节)。使用bless编辑三个文件,复制pic_original.bmp的头部,粘贴替换其他两个文件头部。需要替换的部分见下图。
修复bmp文件头部之后,我们打开三张图片进行对比:
Pic_cbc.bmp
Pic_ecb.bmp
原图:
相信你通过观察实验结果已经明白加密模式——ECB与CBC的区别了。
实验步骤三
加密模式——损坏的密文。
为了理解各种不同加密模式的特性,我们需要做以下练习:
1.创建一个长度至少 64 字节的文本文件。
2.使用 AES-128 不同的模式对其进行加密
3.不幸的是,密文的第 30 位损坏了。请用编辑器模拟损坏,编辑该位,将其反转(随便修改第30位)。
4.使用相同的 key 与 iv 对密文进行解密。
分别用 ECB,CBC,CFB,OFB 四种模式解密损坏的文件,观察有多少数据是正确恢复的,造成这种结果的原因是什么?
请自行实验,如果无法完成,可以参考/home/seed/encrypt/目录下的enc.sh和dec.sh。不要忘记第3个步骤。
实验结果:
实验步骤四
填充(padding)。
对于分组密码来说,当明文大小不是分组大小的倍数的时候,就需要使用填充了。请做以下练习:
1.openssl 手册(man openssl)中提到 openssl 使用 pkcs5 标准来做填充。请在查询 pkcs5 标准给出的填充方法后设计实验验证这一点。使用aes分别来加密20字节和32字节的明文来了解填充方法的差异。
2.使用 ECB,CBC,CFB,OFB 四种模式加密同一个文件,说明哪种模式会使用填充,哪种模式不会,为什么有些模式不需要填充。
四、实验过程与分析
首先我们创建一个明文文件,内容为:seedlabtest(可以随意填写内容)
$echo seedlabtest > plain.txt
使用openssl对明文进行加密,命令如下(请将下面命令中的 ciphertype 替换成指定的加密类型,比如-aes-128-cbc, -aes-128-cfb, -bf-cbc 等):
$ openssl enc ciphertype -e -in plain.txt -out cipher.bin -K 00112233445566778899aabbccddeeff -iv 0102030405060708
/home/seed/crypto目录下有一张图片。pic_original.bmp 是一张简单的图片,我们将对它进行加密,这样没有密钥的人就无法看到这张图是什么了。那么,请分别使用 ECB 和 CBC 模式对图片进行加密生成两个新文件pic_cbc.bmp和pic_ecb.bmp。
加密后的bmp文件头是损坏的,我们需要用bless编辑该图片文件。(bmp头长度为54字节)。使用bless编辑三个文件,复制pic_original.bmp的头部,粘贴替换其他两个文件头部。需要替换的部分见下图。
修复bmp文件头部之后,我们打开三张图片进行对比:
分别用 ECB,CBC,CFB,OFB 四种模式解密损坏的文件
五、实验结果总结
通过实验我们学习使用不同的加密算法与加密模式进行加密,并且使用 openssl enc 命令来加密/解密一个文件。输入 man openssl 和 man enc 命令可以查看使用手册,以及加密模式——ECB与CBC的区别等。
1.PKCS5是8字节填充的,即填充一定数量的内容,使得成为8的整数倍,而填充的内容取决于需要填充的数目。
例如,串0x56在经过PKCS5填充之后会成为0x56 0x07 0x07 0x07 0x07 0x07 0x07 0x07因为需要填充7字节,因此填充的内容就是7。
当然特殊情况下,如果已经满足了8的整倍数,按照PKCS5的规则,仍然需要在尾部填充8个字节,并且内容是0x08,目的是为了加解密时统一处理填充。
2.ECB和CBC不需要填充,CFB和OFB需要填充。因为ECB明文中的重复排列会反映在密文中;通过删除、替换密文分组可以对明文进行操作;对包含某些比特错误的密文进行解密时,对应的分组会出错;不能低于重放攻击。CBC对包含某些错误比特的密文进行解密时,第一个分组的全部比特以及后一个分组的相应比特会出错;加密不支持并行计算。
