3desc算法

1. 3des加密原理

使用3Des加密算法前，我们需要了解一下当前主流的加密模式：单向加密和双向加密，两者最大的区别在于加密的密文是否具有可逆性。

单向加密：将需要加密的数据进行加密，并且密文不可进行解密，像我们常用的加密算法MD5就属于这种。

双向加密：和单向加密不同的是可以通过某些方式进行加解密的操作，其中分为对称加密和非对称加密。

对称加密：指数据使用者必须拥有相同的密钥才可以进行加密解密，就像彼此约定的一串暗号，本文介绍的3Des加密就属于这种。

非对称加密：通过一组包含公钥和私钥的密码来加密解密，用公钥加密，私钥解密，首推的就是RSA加密

---------------------------------------------------------------------------------------------------------------------------------------

3Des加密算法，由于可以逆推原文，所以主要通过本地的唯一密钥来保证数据的安全性，我这边通过生成随机的256位加密字符串存储在本地，代码读取时将其通过md5加密成32位的字符串（由于本地有原始密钥，不必担心md5加密不可逆），最后以这32位加密字符串作为密钥进行加解密的操作。

2. 3des加密算法是标准的吗

3DES又称Triple DES，是DES加密算法的一种模式，它使用3条56位的密钥对
3DES
数据进行三次加密。数据加密标准（DES）是美国的一种由来已久的加密标准，它使用对称密钥加密法，并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密钥和密码块的方法，而在密码块的方法中，文本被分成64位大小的文本块然后再进行加密。比起最初的DES，3DES更为安全。
3DES（即Triple DES）是DES向AES过渡的加密算法（1999年，NIST将3-DES指定为过渡的加密标准），加密算法，其具体实现如下：设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密文，这样：
3DES加密过程为：C=Ek3(Dk2(Ek1(P)))
3DES解密过程为：P=Dk1(EK2(Dk3(C)))

3. CPU卡密钥管理系统的相关算法

在本系统，加密算法主要采用非常成熟的、强度比较高的DES算法。为了进一步提高系统安全强度，在实际系统中，采用的是以DES算法为基础的3DES算法。关算法简介如下。 3DES算法用两个密钥（KL和KR）对明文（X）进行3次DES加密/解密[2]。
3DES的加密方式：Y=DES(KL,DES-1(KR,DES(KL,X)))
对应的解密方式为：X=DES-1(KL,DES(KR,DES-1(KL,Y)))
其中DES（K，X）表示用密钥K对数据X进行DES加密，DES-1（K，Y）表示用密钥K对数据Y进行解密（以下同）。 为了支持分级加密传递功能，CPU卡还采用了密钥分散算法，它是指将一个双长度（16字节）的密钥MK，对分散数据进行处理，推
导出一个双长度的密钥DK（DKLDKR）。其算法如下[3]：
推导DK左半部分DKL的方法是：
·将分散数据的最右16个数字作为输入数据；
·将MK作为加密密钥；
·用MK对输入数据进行3DEA运算。
推导DK右半部分DKR的方法：
·将分散数据的最右16个数字求反，作为输入数据；
·将MK作为加密密钥；
·用MK对输入数据进行3DEA运算。 第一步，输入种子A和种子B：由两个独立的人各输入一个16位数（或少于16位），分别作为SeedA和SeedB；
第二步，计算种子C：SeedC=SeedA◎SeedB；
第三步，密钥种子的初始化：
·KEYINIT=常量
·Seed=DES-1（DES（DES-1（KEYINIT，SeedC）,SeedB），SeedA）
·设K3=Seed
第四步，密钥种子的生成：
·K0=DES-1（DES（DES-1（K3,SeedC），SeedB），SeedA）K3
·K1=DES-1(DES(DES-1(K0,SeedC)，SeedB），SeedA)
·K2=DES-1(DES(DES-1(K1,SeedC)，SeedB），SeedA）
·K3=DES-1(DES(DES-1(K2,SeedC),SeedB),SeedA)
第五卡，密钥种子的检验：
·K4=K0+K2不是弱DES密钥；
·K5=K1+K3不是北DES密钥；
·K4不等于K5；
第六卡，主密钥生成：
·A=K0K1
·B=K2K3
·MK=A+B，MK即为生成的原始密钥
重复执行从第四步以第六步，直到所有的原始密钥全部生成。
本系统采用了成熟、安全性高的加密算法和完美的体系结构，其安全性是由CPU的安全性和DES算法的完全强度来保证的。经过国内某单位两年多的实际运行，证明本系统较好地贯彻了“秘密在于密钥”的思想，具有较高的完全性和先进性，主要表现为如下几个特点：
（1）采用完全性高的CPU卡作为密钥的产生、存储和传递介质，保证了密钥数据的安全性；CPU卡独特的安全体系保证了其中的数据不会被非法操作；
（2）利用硬件加密技术，对整个过程中所使用的临时变量进行加密处理，并对传递过程进行线路加密，保证了在生成和传递过程的安全性；
（3）分级传递结构，使系统具有一定的扩展性，既支持独立系统，也可用于分布式系统；
（4）系统具有自愈合功能，对关键数据进行备份，保证了系统具有一定的抗毁能力；
（5）系统结构简单、实现方便、性价比较高。

4. 什么是3DES对称加密算法

DES加密经过下面的步骤
1、提供明文和密钥,将明文按照64bit分块（对应8个字节），不足8个字节的可以进行填充（填充方式多种）,密钥必须为8个字节共64bit
填充方式：

当明文长度不为分组长度的整数倍时，需要在最后一个分组中填充一些数据使其凑满一个分组长度。
* NoPadding
API或算法本身不对数据进行处理，加密数据由加密双方约定填补算法。例如若对字符串数据进行加解密，可以补充\0或者空格，然后trim

* PKCS5Padding
加密前：数据字节长度对8取余，余数为m，若m>0,则补足8-m个字节，字节数值为8-m，即差几个字节就补几个字节，字节数值即为补充的字节数，若为0则补充8个字节的8
解密后：取最后一个字节，值为m，则从数据尾部删除m个字节，剩余数据即为加密前的原文。
例如：加密字符串为为AAA，则补位为AAA55555;加密字符串为BBBBBB，则补位为BBBBBB22；加密字符串为CCCCCCCC，则补位为CCCCCCCC88888888。

* PKCS7Padding
PKCS7Padding 的填充方式和PKCS5Padding 填充方式一样。只是加密块的字节数不同。PKCS5Padding明确定义了加密块是8字节，PKCS7Padding加密快可以是1-255之间。
2、选择加密模式

**ECB模式** 全称Electronic Codebook模式，译为电子密码本模式
**CBC模式** 全称Cipher Block Chaining模式，译为密文分组链接模式
**CFB模式** 全称Cipher FeedBack模式，译为密文反馈模式
**OFB模式** 全称Output Feedback模式，译为输出反馈模式。
**CTR模式** 全称Counter模式，译为计数器模式。
3、开始加密明文（内部原理--加密步骤，加密算法实现不做讲解）

image
1、将分块的64bit一组组加密，示列其中一组：将此组进行初始置换（IP置换），目的是将输入的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位。
2、开始Feistel结构的16次转换，第一次转换为：右侧数据R0和子密钥经过轮函数f生成用于加密左侧数据的比特序列，与左侧数据L0异或运算，
运算结果输出为加密后的左侧L0，右侧数据则直接输出为右侧R0。由于一次Feistel轮并不会加密右侧，因此需要将上一轮输出后的左右两侧对调后才正式完成一次Feistel加密，
3、DES算法共计进行16次Feistel轮，最后一轮输出后左右两侧无需对调，每次加密的子密钥不相同，子密钥是通过秘钥计算得到的。
4、末置换是初始置换的逆过程，DES最后一轮后，左、右两半部分并未进行交换，而是两部分合并形成一个分组做为末置换的输入
DES解密经过下面的步骤
1、拿到密文和加密的密钥
2、解密：DES加密和解密的过程一致，均使用Feistel网络实现，区别仅在于解密时，密文作为输入，并逆序使用子密钥。
3、讲解密后的明文去填充 (padding）得到的即为明文
Golang实现DES加密解密
package main

import (
"fmt"
"crypto/des"
"bytes"
"crypto/cipher"
)

func main() {
var miwen,_= DESEncode([]byte("hello world"),[]byte("12345678"))
fmt.Println(miwen) // [11 42 146 232 31 180 156 225 164 50 102 170 202 234 123 129],密文：最后5位是补码
var txt,_ = DESDecode(miwen,[]byte("12345678"))
fmt.Println(txt) // [104 101 108 108 111 32 119 111 114 108 100]明码
fmt.Printf("%s",txt) // hello world
}
// 加密函数
func DESEncode(orignData, key []byte)([]byte,error){

// 建立密码块
block ,err:=des.NewCipher(key)
if err!=nil{ return nil,err}

// 明文分组，不足的部分加padding
txt := PKCS5Padding(orignData,block.BlockSize())

// 设定加密模式,为了方便，初始向量直接使用key充当了（实际项目中，最好别这么做）
blockMode := cipher.NewCBCEncrypter(block,key)

// 创建密文长度的切片，用来存放密文字节
crypted :=make([]byte,len(txt))

// 开始加密,将txt作为源，crypted作为目的切片输入
blockMode.CryptBlocks(crypted,txt)

// 将加密后的切片返回
return crypted,nil
}
// 加密所需padding
func PKCS5Padding(ciphertext []byte,size int)[]byte{
padding := size - len(ciphertext)%size
padTex := bytes.Repeat([]byte{byte(padding)},padding)
return append(ciphertext,padTex...)
}
// 解密函数
func DESDecode(cripter, key []byte) ([]byte,error) {
// 建立密码块
block ,err:=des.NewCipher(key)
if err!=nil{ return nil,err}

// 设置解密模式，加密模式和解密模式要一样
blockMode := cipher.NewCBCDecrypter(block,key)

// 设置切片长度，用来存放明文字节
originData := make([]byte,len(cripter))

// 使用解密模式解密,将解密后的明文字节放入originData 切片中
blockMode.CryptBlocks(originData,cripter)

// 去除加密的padding部分
strByt := UnPKCS5Padding(origenData)

return strByt,nil
}
// 解密所需要的Unpadding
func UnPKCS5Padding(origin []byte) []byte{
// 获取最后一位转为整型，然后根据这个整型截取掉整型数量的长度
// 若此数为5，则减掉转换明文后的最后5位，即为我们输入的明文
var last = int(origin[len(origin)-1])
return origin[:len(origin)-last]
}
注意：在设置加密模式为CBC的时候，我们需要设置一个初始化向量，这个量的意思 在对称加密算法中，如果只有一个密钥来加密数据的话，明文中的相同文字就会也会被加密成相同的密文，这样密文和明文就有完全相同的结构，容易破解，如果给一个初始化向量，第一个明文使用初始化向量混合并加密，第二个明文用第一个明文的加密后的密文与第二个明文混合加密，这样加密出来的密文的结构则完全与明文不同，更加安全可靠。CBC模式图如下

CBC
3DES
DES 的常见变体是三重 DES，使用 168 位的密钥对资料进行三次加密的一种机制；它通常（但非始终）提供极其强大的安全性。如果三个 56 位的子元素都相同，则三重 DES 向后兼容 DES。
对比DES，发现只是换了NewTripleDESCipher。不过，需要注意的是，密钥长度必须24byte，否则直接返回错误。关于这一点，PHP中却不是这样的，只要是8byte以上就行；而Java中，要求必须是24byte以上，内部会取前24byte（相当于就是24byte）。另外，初始化向量长度是8byte（目前各个语言都是如此，不是8byte会有问题）

5. 常用的对称密码算法有哪些

对称加密算法用来对敏感数据等信息进行加密，常用的算法包括：

DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合。

3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高。

AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高；

6. 如何用C实现3DES算法..

//功能：实现DES及3DES加解密的算法

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include "des.h"

//函数声明
int Do_DES(char* strSrc, char* strKey, char* strDest, char flag);
int Do_3DES(char* strSrc, char* strKey, char* strDest, char flag);

//主函数
int main(int argc, char** argv)
{
char src16[16+1],key16[16+1],key48[48+1],dest16[16+1];

if(argc != 3)
{
fprintf(stderr,"Usage: [%s -e|-d s|3]\n",argv[0]);
exit(1);
}

if(strcmp(argv[2],"-s") == 0)
{
if(strcmp(argv[1],"-e") == 0)
{
fprintf(stderr,"Please input the string that you want to encrypt(16 hex number):\n");
memset(src16,0,sizeof(src16));
scanf("%s",src16);
fprintf(stderr,"Please input the Key string(16 hex number):\n");
memset(key16,0,sizeof(key16));
scanf("%s",key16);
memset(dest16,0,sizeof(dest16));
Do_DES(src16,key16,dest16,'e');
fprintf(stderr,"Result: [%s]\n",dest16);
}
else if(strcmp(argv[1],"-d") == 0)
{
fprintf(stderr,"Please input the string that you want to decrypt(16 hex number):\n");
memset(src16,0,sizeof(src16));
scanf("%s",src16);
fprintf(stderr,"Please input the Key string(16 hex number):\n");
memset(key16,0,sizeof(key16));
scanf("%s",key16);
memset(dest16,0,sizeof(dest16));
Do_DES(src16,key16,dest16,'d');
fprintf(stderr,"Result: [%s]\n",dest16);
}
else
return -1;
}
else if(strcmp(argv[2],"-3") == 0)
{
if(strcmp(argv[1],"-e") == 0)
{
fprintf(stderr,"Please input the string that you want to encrypt(16 hex number):\n");
memset(src16,0,sizeof(src16));
scanf("%s",src16);
fprintf(stderr,"Please input the Key string(16 hex number):\n");
memset(key48,0,sizeof(key48));
scanf("%s",key48);
memset(dest16,0,sizeof(dest16));
Do_3DES(src16,key48,dest16,'e');
fprintf(stderr,"Result: [%s]\n",dest16);
}
else if(strcmp(argv[1],"-d") == 0)
{
fprintf(stderr,"Please input the string that you want to decrypt(16 hex number):\n");
memset(src16,0,sizeof(src16));
scanf("%s",src16);
fprintf(stderr,"Please input the Key string(16 hex number):\n");
memset(key48,0,sizeof(key48));
scanf("%s",key48);
memset(dest16,0,sizeof(dest16));
Do_3DES(src16,key48,dest16,'d');
fprintf(stderr,"Result: [%s]\n",dest16);
}
else
return -1;
}
else
return -1;

return 0;
}

//做DES加密或解密运算
int Do_DES(char* strSrc, char* strKey, char* strDest, char flag)
{
int i,j;
unsigned char subKey[16][48+1],byte8[8+1],bits[64+1],strTmp[64+1];
unsigned char L0[32+1],R0[32+1],Lx[32+1],Rx[32+1];

if(!( flag == 'e' || flag == 'E' || flag == 'd' || flag == 'D'))
return -1;
if(strSrc == NULL || strKey == NULL)
return -2;

if(flag == 'e' || flag == 'E')
{
memset(byte8,0,sizeof(byte8));
BCDToByte(strKey, 16, byte8);
memset(bits,0,sizeof(bits));
ByteToBit(byte8, 8, bits);

Des_GenSubKey(bits,subKey);

BCDToByte(strSrc, 16, byte8);
ByteToBit(byte8, 8, bits);
Des_IP(bits, strTmp);
memcpy(L0,strTmp,32);
memcpy(R0,strTmp+32,32);

for(i=0;i<16;i++)
{
memcpy(Lx,R0,32);
Des_F(R0,subKey[i],Rx);
Do_XOR(L0,32,Rx);
memcpy(L0,Lx,32);
memcpy(R0,Rx,32);
}
memcpy(bits,R0,32);
memcpy(bits+32,L0,32);
Des_IP_1(bits,strTmp);
BitToByte(strTmp,64,byte8);
ByteToBCD(byte8,8,strDest);
}
else
{
memset(byte8,0,sizeof(byte8));
BCDToByte(strKey, 16, byte8);
memset(bits,0,sizeof(bits));
ByteToBit(byte8, 8, bits);

Des_GenSubKey(bits,subKey);

BCDToByte(strSrc, 16, byte8);
ByteToBit(byte8, 8, bits);
Des_IP(bits, strTmp);
memcpy(L0,strTmp,32);
memcpy(R0,strTmp+32,32);

for(i=0;i<16;i++)
{
memcpy(Lx,R0,32);
Des_F(R0,subKey[15-i],Rx);
Do_XOR(L0,32,Rx);
memcpy(L0,Lx,32);
memcpy(R0,Rx,32);
}
memcpy(bits,R0,32);
memcpy(bits+32,L0,32);
Des_IP_1(bits,strTmp);
BitToByte(strTmp,64,byte8);
ByteToBCD(byte8,8,strDest);
}

return 0;
}

//做3DES加密或解密运算
int Do_3DES(char* strSrc, char* strKey, char* strDest, char flag)
{
unsigned char strBCDKey[32+1],strByteKey[16+1];
unsigned char strMidDest1[16+1],strMidDest2[16+1];
unsigned char strLKey[16+1],strMKey[16+1],strRKey[16+1];

if(!( flag == 'e' || flag == 'E' || flag == 'd' || flag == 'D'))
return -1;
if(strSrc == NULL || strKey == NULL)
return -2;

if(strlen(strKey) < 32)
return -3;

if(flag == 'e' || flag == 'E')
{
memset(strBCDKey,0,sizeof(strBCDKey));
memcpy(strBCDKey,strKey,32);

memset(strLKey,0,sizeof(strLKey));
memcpy(strLKey,strBCDKey,16);
memset(strRKey,0,sizeof(strRKey));
memcpy(strRKey,strBCDKey+16,16);

Do_DES(strSrc,strLKey,strMidDest1,'e');
Do_DES(strMidDest1,strRKey,strMidDest2,'d');
Do_DES(strMidDest2,strLKey,strMidDest1,'e');

memcpy(strDest,strMidDest1,16);
}
else
{
memset(strBCDKey,0,sizeof(strBCDKey));
memcpy(strBCDKey,strKey,32);

memset(strLKey,0,sizeof(strLKey));
memcpy(strLKey,strBCDKey,16);
memset(strRKey,0,sizeof(strRKey));
memcpy(strRKey,strBCDKey+16,16);

Do_DES(strSrc,strLKey,strMidDest1,'d');
Do_DES(strMidDest1,strRKey,strMidDest2,'e');
Do_DES(strMidDest2,strLKey,strMidDest1,'d');

memcpy(strDest,strMidDest1,16);
}

return 0;
}

7. 属于对称加密算法的有哪些

主要有DES算法，3DES算法，TDEA算法，Blowfish算法，RC5算法，IDEA算法。

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。优点在于加解密的高速度和使用长密钥时的难破解性，缺点是交易双方都使用同样钥匙，安全性得不到保证。

对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密，所以密钥的保密性对通信的安全性至关重要。

(7)3desc算法扩展阅读

常见的加密算法

DES算法是密码体制中的对称密码体制，把64位的明文输入块变为64位的密文输出块，它所使用的密钥也是64位。

3DES是基于DES的对称算法，对一块数据用三个不同的密钥进行三次加密，强度更高。

RC2和RC4是对称算法，用变长密钥对大量数据进行加密，比DES快。

IDEA算法是在DES算法的基础上发展出来的，是作为迭代的分组密码实现的，使用128位的密钥和8个循环。

RSA是由RSA公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件块的长度也是可变的，非对称算法。

DSA，即数字签名算法，是一种标准的 DSS（数字签名标准），严格来说不算加密算法。

AES是高级加密标准对称算法，是下一代的加密算法标准，速度快，安全级别高，在21世纪AES 标准的一个实现是 Rijndael算法。

Blowfish算法是一个64位分组及可变密钥长度的对称密钥分组密码算法，可用来加密64比特长度的字符串。

8. 2.2 DES/3DES算法 -- 算法介绍

DES 算法和 DESSede 算法统称DES系列算法，是对称加密算法领域的经典加密算法。 DESSede (又称 3DES )使用三次迭代增加算法安全性。DES算法是众多对称加密算法的基础，很多算法都是基于该算法演变而来。

虽然DES被取代了，但是DES的CBC工作模式是基础性的算法和工作模型，有很强的意义，在遗留系统中也有一些使用的。

DES的算法是采用分组加密工作模式，流程比较复杂，大致流程如下：

DES 和 3DES 适合一般加密性场景，当前大部分是遗留系统在使用，还有一部分可能是系统没有支持 AES 等其他加密手段被迫使用。

JDK仅支持 56位的密钥长度 （出口限制），对称加密系列算法的特点是：密钥长度越高安全性越高，因此JDK本身自带的 DES 和 3DES 算法仅适合学术和一般场景使用，Bouncy Castle提供了64位密钥长度的支持。

3DES 是对 DES 的一种改良算法，针对 DES 算法密钥短，迭代次数少的缺点做了改进。但是 3DES 算法速度慢，密钥计算时间长，加密效率不高，实际使用也不多。

DES 的 3 大安全痛点：