用于链接式加密模式的方法和设备.pdf

本发明提供了一种加密链接模式，取得(910)明文块N、通过将加密密钥N-1与明文块N-1进行组合，优选地进行异或，来产生(920)加密密钥N、以及利用加密密钥N，使用加密算法对明文块N进行加密(930)，以输出(940)密文块N。通过将随机初始化矢量(IV)与随机初始化密钥K进行异或来为第一明文块产生加密密钥。在优选实施例中，初始化密钥K是从密钥调度算法得到的子密钥，并且加密密钥N-1仅是子密钥之一。通过将随机初始化矢量(IV)与从密钥调度算法得到的一个子密钥进行异或来为第一明文块产生加密密钥。还提供了相应的解密方法、加密设备(1110)和解密设备(1120)。

1.  一种产生用于对数字数据的当前明文块进行加密的密钥的方法，所述当前明文块属于至少两个明文块的有序序列，所述方法包括在设备(1110)处执行的以下步骤：
获取(910)当前明文块；
通过将先前明文块与第一加密密钥进行组合来为当前明文块产生(920)第二加密密钥，其中，第一加密密钥是已用来对所述先前明文块进行加密的加密密钥，所述先前明文块是所述有序序列中紧接在当前明文块之前的明文块。

2.  根据权利要求1所述的方法，其中，第一加密密钥是初始化加密密钥。

3.  一种对数字数据的当前明文块进行加密的方法，所述当前明文块属于至少两个明文块的有序序列，所述方法包括在加密设备(1110)处执行的以下步骤：
使用权利要求1所述的方法来产生(910、920)加密密钥；以及利用所产生的加密密钥，使用加密算法来对当前明文块进行加密(930)。

4.  一种产生用于对数字数据的当前密文块进行解密的密钥的方法，所述当前密文块属于至少两个密文块的有序序列，所述方法包括在设备(1120)处执行的以下步骤：
获取(1010)当前密文块；
通过将先前获得的明文块与第一解密密钥进行组合来为当前密文块产生(1020)第二解密密钥，其中，第一解密密钥是已用来获得先前明文块的解密密钥，所述先前明文块与所述有序序列中紧接在当前密文块之前的密文块相对应。

5.  根据权利要求4所述的方法，其中，在第二解密密钥产生步骤中，在组合之前将单向函数应用于先前获得的明文块。

6.  根据权利要求4所述的方法，其中，用于对所述先前明文块进行解密的解密密钥是从密钥调度算法得到的多个子密钥中的子密钥，或者是用于对所述先前明文块进行解密的多个子密钥中的子密钥。

7.  一种对数字数据的当前密文块进行解密的方法，所述当前密文块属于至少两个密文块的有序序列，所述方法包括在解密设备(1020)处执行的以下步骤：
使用权利要求4所述的方法来获得(1010、1020)解密密钥；以及
利用所产生的解密密钥，使用解密算法来对当前密文块进行解密(1030)。

8.  一种产生用于对数字数据的当前明文块进行加密的加密密钥的设备(1110)，所述当前明文块属于至少两个明文块的有序序列，所述设备包括：
通信单元(1116)，适于获取当前明文块；以及
处理器(1112)，适于：
通过将先前明文块与第一加密密钥进行组合来为当前明文块产生第二加密密钥，其中，第一加密密钥是已用来对所述先前明文块进行加密的加密密钥，所述先前明文块是所述有序序列中紧接在当前明文块之前的明文块。

9.  一种产生用于对数字数据的当前密文块进行解密的解密密钥的设备(1120)，所述当前密文块属于至少两个密文块的有序序列，所述设备包括：
通信单元(1126)，适于获取当前密文块；以及
处理器(1122)，适于：
通过将先前获得的明文块与第一解密密钥进行组合来为当前密文块产生第二解密密钥，其中，第一解密密钥是已用来获得先前明文块的解密密钥，所述先前明文块与所述有序序列中紧接在当前密文块之前的密文块相对应。

10.  根据权利要求9所述的设备，其中，多个子密钥用于对密文块进行解密，所述处理器(1122)适于从所述多个子密钥中找出至少一个子密钥来与所述先前明文块进行组合。

用于链接式加密模式的方法和设备
技术领域
本发明总体上涉及加密，具体地，涉及按块进行的数据的链接式加密。
背景技术
本节意在向读者介绍可能与以下描述和/或要求保护的本发明的各方面相关的领域的各个方面。相信这种讨论有助于向读者提供背景信息，以便于更好地理解本发明的各个方面。相应地，应注意，应根据这一点来阅读这些陈述，而不应将其接纳为现有技术。
存在许多传统加密模式用于对数字数据(如文本、音频和视频)进行加密和保护。这些模式中的大多数将数据进行划分以加密为块，并包括链接步骤。这种模式的示例是密码块链接(CBC)、密码反馈模式(CFB)、以及输出反馈模式(OFB)。这些模式的共同特征在于，链接步骤基于先前加密的数据块。例如，可以在“Applied CryptographySecond Edition”，Bruce Schneier，1996，John Wiley&Sons，Inc.USA中找到对这些模式的描述。
例如，在WO 2007/118829中也描述并在图1中示意了CBC，CBC使用先前加密的数据块对当前数据块进行加密。图1示出了第一数据块“明文块1”与初始化矢量IV如何进行异或，以及如何使用高级加密标准(AES)算法和密钥对输出进行加密，以产生第一加密数据块(密码块1)。在对下一数据块“明文块2”进行加密期间，与该下一数据块进行异或的是该第一加密数据块。重复该过程，直到对最后数据块进行加密为止。从相反方向执行解密，即使用AES和密钥对第一加密数据块进行解密，并将输出与IV进行异或来获得第一数据块。
WO 2007/118829还描述了明文块链接(PCB)，其中，取而代之地，从先前明文块和对于整个加密而言相同的加密密钥来产生用于加密的密钥。该现有技术文献还描述了交替使用CBC和PCB用于对明文块进行加密。
尽管CBC明文中的任何改变将无限地传播，但密文中的改变则并不如此。为了克服该缺陷。开发了传播密码块链接模式(PCBC)。在图2中示意了PCBC。
PCBC被称为是将要加密的每个明文块首先与先前明文块进行异或的CBC。可以看到，明文块2首先与明文块1进行异或，然后如在CBC中一样对输出进行处理，即将其与先前密文块“密文块1”进行异或，再进行加密以产生密文块2，密文块2用于对下一明文块的异或运算。本质上，第一明文块与空块进行异或，这是由于不存在先前明文块。
然而，已经发现，交换块不会影响除了所交换的块之外的明文块，这意味着不会改变不会无限传播。
为了克服该缺陷，已经提出了被称为修改的PCBC(MPCBC)的模式。在图3中示出了MPCBC。该模式通过从加密之前至加密之后改变与先前明文块的异或的位置来修改PCBC。可以看到，明文块“明文块2”与先前密文块“密文块1”进行异或，以为加密提供输入，然后，加密的输出与先前明文块“明文块1”进行异或，以给出密文“密文块2”。
尽管看起来MPCBC工作得很好，但本领域技术人员将认识到，在被认为安全的协议可能实际上包括未预期的安全性漏洞的意义上，密码协议是敏感的。
因此，将认识到，需要为解决现有技术的缺陷提供备选方案的加密模式。本发明提供了这样的备选方案。
发明内容
在第一方面，本发明涉及一种产生用于对数字数据的当前明文块进行加密的密钥的方法，所述当前明文块属于至少两个明文块的有序序列。一种设备获取当前明文块，并且通过将先前明文块与第一加密密钥进行组合来为当前明文块产生第二加密密钥。
在第一优选实施例中，第一加密密钥是初始化加密密钥。
在第二优选实施例中，第一加密密钥是已用来对所述先前明文块进行加密的加密密钥，所述先前明文块是所述有序序列中紧接在当前明文块之前的明文块。
在第二方面，本发明涉及一种用于对数字数据的当前明文块进行加密的方法，所述当前明文块属于至少两个明文块的有序序列。一种加密设备使用本发明第一方面的方法来获得加密密钥，并且利用所产生的加密密钥使用加密算法来对当前明文块进行加密。
在第三方面，本发明涉及一种产生用于对数字数据的当前密文块进行解密的密钥的方法，所述当前密文块属于至少两个密文块的有序序列。解密设备获取当前密文块，并通过将先前获得的明文块与第一解密密钥进行组合来为当前密文块产生第二解密密钥。
在第一优选实施例中，第一解密密钥是已用来获得先前明文块的解密密钥，所述先前明文块与所述有序序列中紧接在当前密文块之前的密文块相对应。
在第二优选实施例中，在第二解密密钥产生步骤中，在组合之前将单向函数应用于先前获得的明文块。
在第三优选实施例中，用于对所述先前明文块进行解密的解密密钥是从密钥调度算法得到的多个子密钥中的子密钥，或者是用于对所述先前明文块进行解密的多个子密钥中的子密钥。
在第四方面，本发明涉及一种用于对数字数据的当前密文块进行解密的方法，所述当前密文块属于至少两个密文块的有序序列。一种解密设备使用第三方面的方法来获得解密密钥，并且利用所产生的解密密钥使用解密算法来对当前密文块进行解密。
在第五方面，本发明涉及一种产生用于对数字数据的当前明文块进行加密的加密密钥的设备，所述当前明文块属于至少两个明文块的有序序列。所述设备包括：通信单元，适于获取当前明文块；以及处理器，适于通过将先前明文块与第一加密密钥进行组合来为当前明文块产生第二加密密钥。
在第六方面，本发明涉及一种产生用于对数字数据的当前密文块进行解密的解密密钥的设备，所述当前密文块属于至少两个密文块的有序序列。所述设备包括：通信单元，适于获取当前密文块；以及处理器，适于通过将先前获得的明文块与第一解密密钥进行组合来为当前密文块产生第二解密密钥。
在优选实施例中，多个子密钥用于对密文块进行解密，并且处理用适于从所述多个子密钥中找出至少一个子密钥来与所述先前明文块进行组合。
附图说明
现在参考附图，通过非限制性示例来描述本发明的优选特征，其中：
图1(已描述)示出了现有技术的密码块链接(CBC)模式；
图2(已描述)示出了现有技术的传播密码块链接(PCBC)模式；
图3(已描述)示出了现有技术的修改的传播密码块链接(MPCBC)模式；
图4示出了根据本发明第一优选实施例的链接模式；
图5示出了根据本发明第二优选实施例的链接模式；
图6示出了根据本发明变型实施例的链接模式；
图7示出了密钥调度算法；
图8示出了根据本发明的方法的另一变型实施例；
图9示出了根据本发明的链接模式的优选实施例对明文块进行加密的方法；
图10示出了根据本发明的链接模式的优选实施例对明文块进行解密的方法；以及
图11示出了根据本发明优选实施例使用链接模式进行加密和解密的设备。
具体实施方式
本发明针对一种产生用于对数字数据的当前明文块进行加密的加密密钥的方法，当前明文块属于至少两个明文块的有序序列。获取当前明文块，并且通过将先前明文块与第一加密密钥进行组合来为当前明文块产生第二加密密钥。
本发明具有至少两种变型：迭代变型和非迭代变型。在迭代变型中，第一加密密钥是已用来对先前明文块进行加密的加密密钥，先前明文块是有序序列中紧接在当前明文块之前的明文块。在非迭代变型中，第一加密密钥是初始化加密密钥，该加密密钥对于至少两个明文块的加密密钥的产生保持不变。在解密侧，这些变型也适用于产生解密密钥。
图4示出了根据本发明第一优选实施例的链接模式，“非迭代变型”。图的上半部示出了加密，图的下半部示出了解密。
由于不存在在前的明文块，必须以特殊方式来处理第一明文块“明文块1”。为此，正如现有技术中，图4中的方法使用已知的优选随机的初始化密钥K和优选随机的初始化矢量IV。可以以非受保护的形式来发送IV，而必须将密钥安全地传输至加密内容的接收机。本领域技术人员将认识到，例如，可以将密钥K传输至利用接收机的设备密钥加密的接收机。该加密步骤可以使用公共密钥密码或对称密钥密码来执行。如果利用对称密钥来进行，则本发明还可以用于对初始化密钥K进行加密。
使用由初始化密钥K与随机IV异或而产生的加密密钥来对明文块1进行加密，以产生密文块1。使用通过将先前明文块与初始化密钥K进行异或而获得的新加密密钥来对每个后续明文块进行加密。一旦对明文块进行了加密，就立即逐一传输所获得的密文块，但是还可以将两个或多个(直至所有)密文块组合以用于传输。
使用由初始化密钥K与IV之间的异或而产生的解密密钥来对密文块1进行解密，以产生明文块1。使用通过对先前产生的明文块和初始化密钥K进行异或而获得的新解密密钥来对每个后续密文块进行解密。
本领域技术人员将认识到，有利地，加密密钥和解密密钥相同。
应当注意，尽管可以以在加密时定义的顺序来进行解密过程，例如，密文块1、然后是密文块2，...，密文块N，但是，在该第一优选实施例中，由于加密密钥至少取决于先前明文块和一个基本密钥(如初始化密钥)，因此可以以任何顺序来进行加密过程。例如，可以以相反的顺序来进行加密过程，即首先对密文块N进行加密，然后对密文块N-1，...，密文块1进行加密。这不会影响在解密时的顺序，解密时的顺序仍为密文块1、然后是密文块2，...，密文块N。这是可能的，由于这是用来修改加密密钥的明文块。
图5示出了根据本发明的第二优选实施例的链接模式，“迭代变型”。图的上半部示出了加密，图的下半部示出了解密。
由于不存在在前的明文块，必须以特殊方式来处理第一明文块“明文块1”。为此，正如在现有技术中，图5和6中的方法使用已知的优选随机的初始化密钥K和优选随机的初始化矢量IV。可以以非受保护的形式来发送IV，但是必须将密钥安全传输至加密内容的接收机。本领域技术人员将认识到，例如可以将密钥K传输至利用接收机的设备密钥进行加密的接收机。该加密步骤可以使用公共密钥密码或对称密钥密码来执行。如果利用对称密钥来进行，则本发明还可以用于对初始化密钥K进行加密。
使用由与初始化密钥K随机IV进行异或而产生的加密密钥来对明文块1进行加密，以产生密文块1。使用通过将先前明文块与用于对先前明文块进行加密的密钥进行异或而获得的新加密密钥来对每个后续明文块进行加密。一旦对明文块进行了加密，就立即逐一传输所获得的密文块，但是还可以将两个或多个(直至所有)密文块组合以用于传输。
使用由初始化密钥K与IV之间的异或而产生的解密密钥对密文块1进行解密，以产生明文块1。使用通过将先前产生的明文块与用于对先前密文块进行解密的密钥进行异或而获得的新解密密钥来对每个后续密文块进行解密。
本领域技术人员将认识到，有利地，加密密钥和解密密钥相同。
可以以不同方式来实现迭代和非迭代变型。例如，任何块密码算法可以用于加密和解密；优选算法是AES。其他示例是，除了异或以外，使用其他运算来将密钥和明文块进行组合，如模2^x加法，其中，x是密钥K的比特长度。还可以在将明文块与密钥组合之前，例如通过应用单向函数来修改该明文块。
此外，本发明可以与类似CBC的任何其他块链接模式操作进行组合。如果与CBC模式组合，则本发明提供对修改的传播密码块链接模式(MPCBC)的一种有趣的备选。在图6中示出了本方法的第二优选实施例与CBC的组合。可以看到，与图5相比添加的特征在于，明文块在加密之前与先前密文块进行组合(通过异或)。
以下描述了可以甚至更高效并更安全地进行所提出的链接模式的特定机制。该机制用于产生加密/解密密钥的方法的两个实施例，迭代和非迭代。由于迭代实施例比非迭代实施例更复杂，这里给出对迭代实施例的描述。
在块密码算法内，一般按照“轮(round)”来进行数据加密。每一轮使用轮密钥或子密钥来处理数据，除了可以改变的子密钥，每一轮的设置相同，即在每一轮中对数据进行迭代加密。从而，多数块密码包括从主密钥K计算子密钥的密钥调度算法。更精确地，密钥调度算法对密钥K和方向(“加密”或“解密”)进行处理，并且如果方向是加密则产生R个子密钥EK₀，EK₁，...，EK_R-1的序列，如果方向是解密则产生DK₀，DK₁，...，DK_R-1。如图7所示，通过R轮来执行加密。类似微型加密算法的一些块密码具有简单的密钥调度，其中将128比特主密钥K分成4个32比特轮密钥并在连续的轮中重复使用。其他块密码使用更复杂的密钥调度；对于AES就是这种情况，AES将密钥K扩展成具有与主密钥K相同长度的多个轮密钥。
当利用相同密钥K对多个块进行加密时，在对第一明文块进行加密之前，密钥调度算法通常在开始时被调用一次。使用先前计算的子密钥来对连续的明文块进行加密。这是在现有技术方法(如CBC或PCBC)中的做法。在本发明中，由于密钥相对于每个块的加密而改变，密钥调度算法必须执行多次；该执行次数与明文块的总数一样多。这在性能上引入了延迟，并降低了加密/解密的速度，这是不期望的。
因此，有利地是具有避免该缺陷的方法的变型实施例。不是将密钥而是将至少一个子密钥与先前明文块进行组合。例如，在用于对先前块进行加密/解密的至少一个子密钥与先前明文块本身之间进行异或运算。
图8示出了使用AES的根据本发明方法的变型实施例。在方向为加密时，AES的128比特版本通过密钥调度算法将128比特密钥K扩展成10个128比特子密钥EK₀，EK₁，...，EK₉。使用10个子密钥对明文块1进行迭代加密，其中第一子密钥是由EK₀与IV之间的异或而产生的，并且所有其他子密钥EK_i(其中i≠0)保持与由密钥调度原始产生的子密钥相同。使用新的加密子密钥对每个后续明文块N进行迭代加密，该新的加密子密钥是通过取得先前子密钥(用于对先前明文块进行加密)并且将先前明文块N-1与子密钥EK_n(其中n是N-1除以10的余数(即，n＝N-1％10))进行异或来获得的。所有其他子密钥EK_i(其中i≠n)保持与对先前明文块进行加密的子密钥EK_i相同。例如，图8示出了针对每个明文块如何修改初始子密钥EK₀至EK₉；仅针对明文块1修改EK₀，仅针对明文块2进一步修改EK₁，等等。
在解密期间，通过密钥调度算法将密钥K扩展成10个128比特子密钥DK₀，DK₁，...，DK₉。使用10个子密钥对密文块1进行迭代解密以产生明文块1，其中第一子密钥是由DK₀与IV之间进行的异或产生的，并且所有其他子密钥DK_i(其中i≠0)与由密钥调度产生的子密钥相同。使用新的解密子密钥来对每个后续密文块N进行迭代解密，该新的解密子密钥是通过取得先前子密钥(用于对先前密文块进行解密)并且将先前明文块N-1与子密钥DK_n(其中n是N-1除以10的余数(即n＝N-1％10))进行异或来获得的。所有其他子密钥(其中i≠n)保持与对先前密文块进行解密的子密钥DK_i相同。
假设仅以预定顺序来进行解密过程(首先是密文块1，然后是密文块2，等等)，解密设备能够知道，对于给定密文块的解密，应当将哪个子密钥与先前明文块进行组合。在每个块解密操作之后，可以使用计数器/变量来指出正确的子密钥。
在每个块加密时，通过仅将一个子密钥与先前明文进行异或来对仅修改一个子密钥使得能够具有不多于经典链接模式的操作(在每个块加密时仅添加一次异或操作)。因此将认识到，该变型实施例与现有技术链接模式一样高效。
该方法可以推广至将密钥K扩展至任何数目子密钥的块密码。如果子密钥的总数为R，则使用通过取得先前子密钥(用于对先前块进行加密/解密)并且将先前明文块N-1与子密钥EK_n/DK_n(其中n是N-1除以R的余数(即，n＝N-1％R))进行异或而获得的新的子密钥来对每个块N进行加密/解密。
在另一变型中，通过将用于对先前密文块进行加密/解密的所有先前子密钥与先前明文块N-1进行异或来产生加密/解密子密钥。对于第一明文/密文块，加密/解密子密钥均与初始化矢量IV进行异或。
在另一变型中，通过始终将相同子密钥(即EK₀/DK₀)与先前明文块N-1进行异或来产生加密/解密子密钥，并且对于第一块，EK₀/DK₀与IV进行异或。
在又一变型中，使用至少两个先前子密钥(EK_i，EK_j)/(DK_i，DK_j)(用于对先前密文块进行加密/解密)与先前明文块一起的任何组合来产生加密/解密子密钥。组合操作可以使用但不限于任何单向函数。
从安全角度看，一些块密码算法由于其密钥调度中的缺点，将受到相关密钥攻击。对于被设计为最小化存储器足迹并最大化速度的微型加密算法(TEA)而言就是这种情况。TEA缺点是由其密钥调度算法过于简单的设计而引起的。
为了防止对块密码的相关密钥攻击，一种强密钥调度是优选的。该密钥调度具有以下属性：
属性1：给定任何子密钥，应当不能仅通过反转所使用的运算来取回其他子密钥或主密钥K。
属性2：应当消除子密钥和主密钥K之间的比特泄漏。
第二属性确保了例如子密钥EK_i和子密钥EK_i-1或子密钥EK_i+1不具有许多共同的比特信息。由于一些攻击利用子密钥之间的关系，因此如果这些关系不存在，则这些攻击将更加复杂。
使用根据本发明的方法，密钥调度输出将不仅取决于密钥K，而且还取决于要加密的明文。如果明文未知，则这使密钥调度更难反转。这是属性1所期望的。换言之，将易受攻击的密钥调度输出与一些明文块混合，使密钥调度不那么容易受攻击。
此外，改变在每个块加密时修改的子密钥实现了属性2。确实，如果密钥调度易受攻击，并针对块N的加密产生具有许多共同比特信息的两个子密钥EK_n-1和EK_n，则两个运算(EK_n-1异或P_n-1和EK_n异或P_n)将具有较少的共同信息，这是由于两个明文块P_n-1和P_n可能是不同的。这是在每个块加密/解密时修改子密钥EK_n/DK_n所进行的操作(其中，n＝N-1％R，并且R是块密码算法中轮数)。这样，消除了两个子密钥之间以及甚至子密钥与主密钥K之间的公共信息。
此外，实际上为了建立攻击，通常需要大量的密文，针对大量密文，明文是不同的并利用相同密钥进行加密。利用现有技术方法，当对长消息进行加密时，将长消息分为不同的块并利用相同的密钥进行加密。随后这在汇集所需密文的数量以执行攻击时是有帮助的。根据本发明的方法使这变得更加复杂，这是由于密钥对于长消息的每个块的加密是改变的。
图9还示出了根据本发明优选实施例的一般加密方法。在图9中，对单个明文块进行加密，但是将认识到，能够通过迭代来推广所述方法。首先，获取910明文块N，并且使用明文块N-1和加密密钥N-1来产生920加密密钥N。在优选实施例中，使用异或来组合明文块N-1和加密密钥N-1。将认识到，步骤910也可以在步骤920之后进行。然后，使用加密算法和加密密钥N来对明文块N进行加密930，获得940密文块N，然后对该密文块N进行传输和存储。如上所述，然后可以利用对N增加1来对该方法进行迭代。
图10还示出了根据本发明优选实施例的解密方法。在图10中，对单一密文块进行解密，但是将认识到，能够通过迭代来推广该方法。首先，获取1010密文块N，并且使用明文块N-1和解密密钥N-1来产生1020解密密钥N。在优选实施例中，使用异或来组合明文块N-1和解密密钥N-1。将认识到，步骤1010也可以在步骤1020之后进行。然后，使用解密算法和解密密钥N来对密文块N进行解密1030，获得1040明文块N。如上所述，然后可以利用对N增加1来对该方法进行迭代。
如上文中所述的加密方法，使用可能由解密单元先前已知或从而在解密开始之前接收的初始化密钥，对第一块进行解密。
图11示出了根据本发明优选实施例的加密系统。加密系统1100包括加密设备1110和解密设备1120。加密设备111适于接收明文、对接收的明文进行加密、以及输出所获得的密文。类似地，解密设备1120适于接收密文、对接收的密文进行解密、以及输出所获得的明文。
更详细地，加密设备1110包括：至少一个通信单元“I/O”1116，适于接收明文和输出密文；以及优选地至少一个存储器1114，有利地适于存储明文、中间结果、密文以及至少一个加密密钥。设备1110还包括：保护区1118，适于存储一个或多个设备秘密密钥。设备秘密密钥用来在传输初始化密钥K之前对其进行加密。对加密设备1110要使用的设备密钥的选择取决于加密数据的接收机。保护区1118优选地防止软件改变和物理篡改。由于加密设备1110将使用公共密钥进行加密，因此如果使用不对称密码对初始化密钥K进行加密，则不需要保护区1118。此外，加密设备1110包括：处理器1112，适于根据这里描述的方法的任一实施例来执行明文的加密。
类似地，更详细地，解密设备1120包括：至少一个通信单元“I/O”1126，适于接收密文和输出明文；以及优选地至少一个存储器1124，有利地适于存储明文、中间结果、密文以及至少一个解密密钥。设备1120还包括：保护区1128，适于存储设备秘密密钥。设备秘密密钥在被传输至解密设备1120之前由加密设备1110预先使用来对初始化密钥K进行加密。保护区1128优选地防止软件改变和物理篡改。优选地使用保护区1128，由于即使使用不对称密码对初始化密钥K进行加密，解密设备1120也将使用私有密钥用于K的解密，并且该私有密钥需要受到保护并需要在安全区中存储。此外，解密设备1120包括：处理器1120，适于使用根据这里描述的方法的任一实施例执行明文解密。
还示出了分别在其上存储有计算机可读指令的数据存储介质1130、1140，当在处理器中执行时，所述计算机可读指令根据这里描述的方法的任一实施例的加密方法或解密方法。
可以认识到，本发明提供了一种对修改的明文和密文块链接模式(MPCBC)的更安全的备选方案，同时在至少一个变型实施例中，该备选方案一样高效。
可以独立地或以任何合适组合来提供说明书以及(在合适时)权利要求和附图中公开的每个特征。被描述为以硬件实现的特征也可以以软件实现，反之亦然。
权利要求中出现的参考标记仅作为示意，不应对权利要求的范围起限制作用。