了解流加密基本设计原理
1 简介
本文从模式/结构类型、国际标准与代表算法、以及最基本的设计原理与思想三个层面,系统性地分析流加密(Stream Cipher)。
2 流加密的主要模式(结构类型)
流加密并不是像分组密码那样有“ECB / CBC / CTR”等工作模式,而是根据密钥流(Keystream)的生成结构来分类。
- 1 同步流加密(Synchronous Stream Cipher)
特点
密钥流只依赖于 密钥 + 初始向量(IV/Nonce)
明文和密文不同步会导致后续全部解密失败(位错位扩散)
公式代表
RC4(已不安全)
Salsa20 / ChaCha20
SNOW 3G
** 优点
实现简单、速度快
无错误扩散(1 bit 错误只影响 1 bit)
** 缺点
严禁 密钥流重用
易受重放/同步攻击
- 2 自同步流加密(Self-synchronizing / Asynchronous)
特点
密钥流由 前若干个密文位 参与生成
即使发生错误,也能在若干步后重新同步
典型结构
Cipher Feedback (CFB-like)
基于移位寄存器 + 密文反馈
代表
Cipher Feedback Stream Cipher
某些历史电信加密方案
优点
具备自动重同步能力
适合有噪声信道
缺点
错误扩散
结构分析更复杂
- 3 基于 LFSR 的流加密
结构核心
线性反馈移位寄存器(LFSR)
多个 LFSR + 非线性组合函数
代表
A5/1(GSM,已破)
E0(蓝牙)
Grain、Trivium
优点
硬件效率极高
数学分析性强
缺点
易受代数攻击、相关攻击(若设计不当)
- 4 基于计数器 / ARX 的流加密
核心思想
用安全的函数
F(Key,Counter,Nonce) 生成伪随机流
ARX:Addition-Rotation-XOR
代表
Salsa20
ChaCha20(RFC 8439)
** 优点
抗分析能力强
软件实现极快
无 S-box,抗侧信道能力好
3 流加密的国际标准与代表算法
-
1 已淘汰或不再推荐
算法 说明
RC4 不推荐,广泛漏洞,已禁止使用
A5/1 不推荐,GSM 通信,完全破解
E0 不推荐,蓝牙早期加密 -
2 现代主流与标准算法
✅ ChaCha20(事实标准)
标准:RFC 8439
使用场景:
TLS
WireGuard
QUIC
特点:
256-bit key
96-bit nonce
极强的抗分析能力
✅ SNOW 3G
标准:
3GPP(LTE/4G)
结构:
LFSR + FSM(有限状态机)
✅ ZUC
标准:
3GPP(4G/5G)
中国商用密码
特点:
高吞吐
面向移动通信
- 3 eSTREAM 计划(重要历史里程碑)
欧洲 NESSIE 后继项目
目标:选拔高性能流密码
最终推荐
软件型:ChaCha、Salsa20
硬件型:Grain、Trivium
4 流加密的最基本设计原理和思想(核心重点)
-
- 核心思想:一次一密的工程化实现
流加密本质上是:
用一个短密钥生成一个与明文等长、不可预测的伪随机密钥流
Ciphertext=Plaintext⊕Keystream
理论基础来自 One-Time Pad(OTP):
若密钥流是真随机、一次性、不复用 → 信息论安全
现实中:
用 伪随机生成器(PRG) 替代真随机
-
- 设计目标
一个安全的流密码必须满足:
目标 说明
不可预测性 不可由已知密钥流预测未来
长周期 不重复、不循环
抗统计分析 通过所有随机性测试
抗已知明文攻击 不泄露内部状态
无密钥流重用 每个 nonce 唯一
-
- 状态更新 + 输出函数分离
现代流密码设计强调:
内部状态足够大
非线性状态更新
非线性输出函数
避免:
纯线性结构(易被代数攻击)
输出直接暴露内部状态
-
- Nonce / IV 的核心地位
流密码安全性 ≈ PRG 安全性 + Nonce 管理
密钥流重用 = 灾难
因此现代标准:
明确 nonce 长度
强制唯一性
通常不要求随机(只要求不重复)
🔑 5. 与分组密码 CTR 模式的关系
现代实践中:
流密码 ≈ 分组密码 CTR 模式
例如:
AES-CTR
ChaCha20(专用流密码)
两者安全性依赖于:
PRF / PRP 假设
不重复计数器/nonce
5 小结
流加密的本质,是在工程上逼近一次一密:
用安全的伪随机生成器,生成不可预测、不复用的密钥流,通过 XOR 实现高速、低延迟加密。
- 点赞
- 收藏
- 关注作者
评论(0)