磁盘加密模式分析

第３６卷第５期。

正３计算机工程。

０１０年３月。

安全技术文章编号一－ｏ３文献标识码，ａ中圈分类号。ｔｐ

磁盘加密模式分析。

张。慧，郭翠芳，牛夏牧，吴春欢。

哈尔滨工业大学深圳研究生院，深圳５１８

摘要：基于国内外磁盘加密产品的研究成果，通过跟踪ｉｅｅ存储安全工作制定的块存储设备加密标准ｐ１６分析磁盘加密。

的特定需求，指出其在国内研究的欠缺。选取目前主流的加密模式进行安全性分析，根据其在应用中的优缺点，给出相应建议，并总结磁盘加密算法研究的发展方向。

关奠诃：磁盘加密；存储安全；加密模式。

磁盘丢失、被盗或未授权的使用而造成信息和数据的泄漏已经给国家、企业和个人带来了难以估量的损失。严峻的现实同时也揭示了巨大的社会需求和市场价值。磁盘加密技术作为解决磁盘信息安全问题最直接、最有效的技术之一，和ｆｒｅ除了支持传统的加密模式ｃｂｃ外，也支持专门针对磁盘加密的模式ｘｔｓ

国内在磁盘加密产品的开发上，长春卓尔公司的ｓｑｙ

磁盘加密系统填补了我国这个领域的空白，被列入２００年度。

国家重点新产品，之后相关密码产品不断涌现。直到２００年６月１日，通过国家商用密码管理办公室认证的。

在社会和市场的推动下，近几年得到了长足的发展。在新的操作系统中，磁盘加密开始成为一个标准组件。目前致力于存储安全研究的机构主要有可信赖计算组织（ｔｃ美国电气及电子工程师学会（ｉｅ美国国家标准学会（ａｎ等。

８６项商用密码通用产品中，有ｌ９项是磁盘加密系统或软件，有３５项是可以应用于磁盘加密的ｐｃｉ卡、密码卡等。

国内磁盘加密产品在安全性上与国外同行相比存在明显。

他们在各自关于存储安全的规范中都已经开始包含关于磁盘加密的算法、模式和密钥管理等内容，其中具有代表性的是ｉｅｅ于２００年４月１８日发布的我国关于磁盘加密的产品和理论研究还相对比较落后，需要跟踪并适应国际在这个方向上的最新研究成果。

的差距。目前，只有为数不多的产品提供ａｅｓ算法；而加密模式也大都只采用传统的ｅｃｂ和ｃｂｃ模式。究其原因，一方面，国内商用密码产品的生产受到商用密码管理条例的限制，任何单位或个人在商用中只能使用经国家密码管理。

机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。新算法和新模式的研究只能由国家密码管理机构指定的单位承担，在一定程度上与市场需求脱节。另一方面，国内缺乏足够的市场细分，商用密码研究主要集中在分组密码本身，而缺乏针对磁盘加密特定需求的加密模式的研究。

国内外磁盘加密技术发展现状。

．１磁盘加密产品。

磁盘加密技术以密文的形式在磁盘上保存数据，以实时加解密的方式支持操作系统对数据的访问和使用，可以有效。

地解决磁盘在被盗或遗失情况下的数据保密问题。近几年，伴随着磁盘加密理论研究的进步和芯片处理能力的提高，磁盘加密产品在安全性、产品形式和数量上都有了很大的发展。磁盘加密的产品形式主要有基于ｔｐｍ芯片的安全硬盘和磁盘加密软件２类。

产品的安全性依赖于所选择的加密算法和模式。在加密算法上，典型产品如的磁盘加密。

．２蠢盘加密理论和标准。

９７７年，美国标准局（ｎｂ即现在的国家标准与技术。

研究所（ｎｉ公布了数据加密标准年又公布了４种ｄｅｓ的加密模式。１９年，ｎｉ正式宣布ｎｉｓ计。

划，发起了在全世界范围内征集新的加密标准算法，新的标。

**项目：国家自然科学**资助项目。

组件的磁盘加密系统ｌｕｋ采用的是ａｅｓ算法；而免费开源磁盘加密软件ｔｒｕ和ｆｒｅ以及。

ａｆｅ公司的磁盘加密软件除了支持传统的加密算法（如之外，也支持ａｅｓ算法。

而模式上采用微软自己研发的采用。

国家“８６计划**资助项目。

作者倚介：张慧（１９男，博士，主研方向：存储安全，感知。

哈希；郭翠芳，硕士；牛夏牧，教授、博士生导师；吴春欢，硕士。

收稿日期。３４一。

准称为高级加密标准（ａｅ在ａｅｓ即将诞生之际，ｎｉ又。

为ａｅｓ公开征集加密模式。这一系列举动在国际上再次掀起了分组密码算法的研究热潮，２０年欧洲的ｎｅｓ计划和日本的ｃｒｙ规划，韩国和其他国际组织对分组算法的大量研究以及我国“８６计划中对制定密码的标准化问题列入议程，这些都为磁盘加密奠定了深厚的理论基础。

为弥补在静态存储数据安全标准上的空白，ｓｉ致力于制定利用加密技术保护存储数据的相关标准。目前已完成了适用于磁盘的窄块定长加密标准的制定。于２００年１２月提交给ｉｅｅ通过审核，并作为标准在**上对外公开；另一个标准ｐ１６还在制定中，它将应用于５１２或５１２以上的宽块媒介定长加密。

这些标准的制定希望能够为用户带来如下好处＿ｊ：不必自己去。

设计一个安全结构；（２不必自己去做关于费用和时间消耗方面的安全分析，减少开发费用和时间；（３提供一种早已被公众鉴定的安全结构；（４提高对被推荐的安全结构的信任程度；（５为原始设备制造商们提供一个具有类似安全结构的开发资源。

由于相关标准的制定，磁盘加密算法和模式的开发以及相应的安全性分析得到发展。到目前，一些规范组织和企业已经陆续根据自己的分析和测试，提出各自关于磁盘加密算法和模式的建议。跟踪和分析这些最新的研究成果，有助于明确磁盘加密算法及模式的研究方向，必将促进我国磁盘加。

密产品和理论研究的进步。

磁盘加密的要求。

磁盘加密目的是保证保磁盘上的数据在任何时刻都以密。

文形式存在。而操作系统或程序对磁盘的使用是频繁且随机的，因此，磁盘加密功能往往部署在操作系统的内核态或者。

在对磁盘直接进行存取的硬件电路上。如图１所示，磁盘加密功能模块对存入磁盘的数据实时加密，对读出磁盘的数据实时解密，从而保证操作系统或程序对磁盘数据使用的需要。磁盘加密产品一般以整块物理硬盘或一个逻辑卷为操作对象，对保存在硬盘或者逻辑卷上的所有数据，甚至空白区域。

都进行同样的处理。

数据。图１磁盘加密系统结糟。

磁盘数据读写的特点要求磁盘加密操作必须以扇区为单位进行，并且每个扇区的加密都是互相独立的。因此，磁盘。

加密的算法和模式必须满足如下２点要求：

１）定长变换。磁盘加密的密文长度必须和明文长度相。

同。这意味着磁盘加密不能使用额外的空间来存储信息，如消息鉴别码（ｍａ等认证或校验信息。

２）适用于独立且无序的数据单元。计算机对磁盘数据的。

存取可以看作一个随机事件，每次存取事件之间是独立且无。

序的。因此，磁盘加密不能依赖于扇区之间的关系。这意味着，磁盘加密的算法只能以扇区为操作单位，加密模式也只能对一个扇区内的多个分组进行处理。

分组密码可以处理特定大小的明文分组，并产生相同大小的密文，满足磁盘加密的要求。但是一方面因为磁盘巨大的数据容量，相同的算法和相同的密钥使用太多次必将导致加密结果容易受到分析；另一方面，由于磁盘数据是高度规定化的，存在大量的规则数据和重复数据，如果相同的明文。

产生相同的密文，就会暴露磁盘的模式信息，容易受到攻击。为了解决这些问题，分组加密模式的研究成为磁盘加密算法研究的关键。

典型的磁盘加密模式分析和筒评。

按照加密粒度的大小，磁盘加密模式可分为窄块模式和宽块模式２类。窄块模式指分组长度小于扇区大小的分组，常用的有等；宽块模式指分组长度等于扇区大小的分组，常用的有等。本节选取目前研究和应用中典型和前沿的加密模式进行分析。

令（尸）表示用密钥加密明文ｐ；

ｃ）表示用密钥。

解密密文ｃ；ｍ为加密算法对应数据块长度表示明文被划分为ｎ个分组；ｃａ表示对应的密文，密文的ｎ个分组为表示密钥被拆分为和ｋ：２个部分；ｌｌ表示数据块的长度表示ｙ的高“比特；ｔａ表示ｙ的低ｕ比特；为伽罗瓦域运算的基本元素。

．１ｅ模式和ｃｂｃ模式。

ｃｂ和ｃｂｃ是１９８年ｎｂｓ后为ｎｉｓ为ｄｅｓ算法选定的加密模式，后来在２００年秋ｎｉｓ公布的文件８００中再次入选为ａｅｓ的保密工作模式。ｅｃ和ｃｂｃ模式是当前国内磁盘加密产品使用的主要的加密模式。

ｃｂ模式工作原理为。

该模式的主要优点是：（１操作简单；（２可并行计算，速度快；（３各个分组之间不受影响，即使加密时发生错误，也不会出现错误传递，并且解密时发生错误只影响当前明文，其他明文不会受到影响。然而其致命的缺点是：

只要密钥相。

同，相同的明文无论出现在任何扇区、任何分组总是得到相同的密文，这样不但泄漏了数据模式，而且易受水印攻击。因此从安全性的角度来讲，ｅｃ不能满足磁盘加密的需要。

ｂｃ模式工作原理为。

其中，称为初始向量（ｉｖ

该模式的主要优点是：克服了ｅｃｂ的缺点，使用前一个密文块对当前明文“随机化”，相同明文将对应不同的密文，从而降低了信息的泄漏。主要缺点是：（１由生日悖论可预知。

个分组后会出现完全相同的分组，为分组大小。对。

４位的分组，约为３４一个密文错误会影响整个明文分组以及下一个分组的相应位；（３的使用方法直接影响到其安全性。当固定扇区采用固定的ｉｖ时，会产生和ｅｃｂ同样的问题。所以，应该采用瞬时ｉｖ来保证同一个密钥作用域下ｉｖ的唯一性。

磁盘加密中，普通的方法直接将扇区号作为ｉｖ，这时ｉｖ

是可以**的，同样会遭受水印攻击。如果将扇区号和密钥的ｈａｓ值相结合生成ｉｖ，这样ｉｖ就不可**。推荐的ｉｖ计算方法如下：

了这种模式。而且ｓｉｓ也表示经过验证的ｘｔｓ将会为用户提供良好的数据保护。

模式。该模式是由微软研发并在中使用的磁盘加密方法。它采用了宽块加密模式，加密粒度是一个扇区。微软已经证明了使用扩散体（ｄｉ后的ｃｂｃ比原。

其中。然而，这也并不意味着ｃｂｃ模式就是安全的。假设攻击者可以读取部分文件且可以修改磁盘上的密文，它仍然可以。

来的ｃｂｃ更难攻击，但为了让密码学界来分析ｄｉｆ算法的安全性作用，微软已将此模式的设计报告对外公开。其工。

作原理如下：

获得很多的信息。

．２ｘ模式。

该模式被认为是目前最适合磁盘加密的窄块加密模式，标准一２００采纳的就是这种模式。由于模式有一定复杂性，本文通过伪**介绍其工作原理。

】）定义块加密函数。

其中，ｉ是调柄，＿，是当前块在明文内的编号。块加密函数伪**如下：

ｘｔｓ块加密函数。

２）定义明文加密函数。

其中，ｔ是调柄。明文加密函数伪**如下：

ｘｔｓ明文加密函数。

ｆｕ＝血ｅｎｄ一１）

÷一ｅｍｐ

该模式的主要优点是：（１各分组之间可以并行运算；（２由于和当前块在磁盘中的逻辑编号相结合，可以有效抵抗密文操作和复制粘贴攻击；（３可以处理任意长度的数据；

４）不存在错误扩散，当前块发生错误，不会影响到其他块。

主要缺点是：（１算法有一定的复杂性；（２调柄的预处理是关键，需要有伽罗瓦域相关的数学知识的储备；（３当调柄。

表现为非随机性（如高密度或低密度）时，密文随机性就会下降很多。可以通过加密、哈希或其他控制函数来改变调柄的随机性。

随着得到厂商的广泛支持，ｘｔ

模式的应用也将越来越广泛，已经有很多磁盘加密产品使用。

３）ｐ经过２个ｄｉｆ算法的作用后，使用ｃｂｃ模式。

进行加密。其中，每个扇区的其中，ｓｅ为扇区号；ｅ０将扇区号映射为一个唯一的１６ｂ的值。

从安全性角度考虑，加密粒度越大，攻击者需要的初始信息越多，因此希望使用宽块加密模式，放弃了ｘｔｓ和ｅｍｅ基本上可以满足需求，但从效率上考虑希望由于加密造成速度的延迟在用户可以忍受的范围内，ｃｍ和ｅｍｅ却需要２次遍历数据，因此被ｂｉｔ

排除；而一个全新的加密模式需要很长时间被外界分析和认可。基于上述原因，微软在ｃｂｃ的基础上设计了模式，通过ｄｉｆ算法来确保在明文中很小的改动也将导致整个扇区密文的变化，从而弥补ｃｂｃ在完整性上的遗憾。即使不考虑ｄｉｆ算法的安全性模式也可以在随机性和抗攻击性。

上保证和ｃｂｃ模式有相同的安全性。而且德国数据处理学会和慕尼黑技术大学最新的关于磁盘加密模式的统计特性测试》［４表明模式随机特性很好，甚至优于窄块加密模式。

磁盘加密模式分析

作文分析模式

失效模式分析

SWOT分析模式

其他用户还读了