EAX模式

EAX 模式（encrypt-then-authenticate-then-translate^[1] ）是一种分组密码工作模式。它是一种带有关联数据的认证加密 ( AEAD ) 算法，旨在通过两遍方案同时提供消息的认证和隐私（认证加密），一次用于实现隐私，另一遍用于每个块的真实性。

EAX 模式于 2003 年 10 月 3 日提交给 NIST，以取代CCM作为标准 AEAD 工作模式，因为 CCM 模式缺乏 EAX 的一些重要属性且更加复杂。

加密与认证

EAX 是一种灵活的，使用随机数的两遍 AEAD 方案，对要使用的块密码原语和分组大小没有限制，并且支持任意长度的消息。身份验证标签长度可以任意调整，最多可达所使用的密码的块大小。

分组密码原语在CTR 模式下用于加密，并作为OMAC通过 EAX 组合方法对每个块进行身份验证，这可以视作是被称为 EAX2 的更通用算法的特殊情况，这也在EAX 操作模式^[2]中进行了描述。 ^[3]

上述论文中的参考实现使用 AES-CTR进行加密，并结合 AES OMAC 进行身份验证。

性能

作为一种两遍方案，EAX 模式比基于相同原语的精心设计的单遍方案略慢一些。

EAX 模式有几个理想的特性，特别是：

• 可证明安全性（取决于底层加密算法的安全性）；
• 最小化消息扩展，开销仅限于标签长度；
• 使用CTR模式意味着密码只需为了加密而实现，简化了某些密码的实现（这对于硬件实现来说是极其理想的特性）；
• 该算法是“在线”的，这意味着可以使用常量内存处理数据流，无需预先知道总数据长度；
• 该算法可以预处理静态关联数据（Associated Data, AD），这对于通信会话参数的加解密很有用（其中会话参数可以代表关联数据）。

值得注意的是，CCM 模式缺少最后 2 个属性（CCM 能够处理关联数据，但无法进行预处理）。

专利状况

EAX 模式的作者Mihir Bellare 、 Phillip Rogaway和David Wagner将该作品直接公开，并表示他们不知道涉及该技术的任何专利。因此，EAX 操作模式被认为是免费且不受任何使用限制的。

用途

EAX 模式的修改版（所谓的EAX'或 EAXprime）用于ANSI C12.22标准中，用于通过网络传输基于仪表的数据。 2012 年，Kazuhiko Minematsu、 Stefan Lucks 、Hiraku Morita 和 Tetsu Iwata 发表了一篇论文，证明了消息长于密钥的模式的安全性，但演示了使用该模式对短消息进行的简单攻击。作者表示，他们不清楚ANSI C12.22 协议是否易受攻击。 ^{[4] [5]}

参见

• 带有关联数据的验证加密（AEAD）、认证加密（AE）
• CCM模式
• 计数器模式（CTR）
• One-key MAC（英语：One-key MAC）（One-key MAC，OMAC）

参考

外部链接

• NIST：分组密码模式
• 对 CCM 的批评（2003 年 2 月）

软件实施

• C++：Brian Gladman 博士的加密库实现 EAX 操作模式
• Pascal / Delphi：Wolfgang Ehrhardt 的加密库实现 EAX 操作模式
• Java：BouncyCastle 加密库实现 EAX 操作模式
• C: libtomcrypt 实现 EAX 操作模式

硬件实现

查 论 编   分组密码 常见加密算法 AES Blowfish DES（内部细节 · 3DES） Serpent Twofish 次常见加密算法 Camellia CAST-128（英语：CAST-128） IDEA RC2（英语：RC2） RC5 SEED（英语：SEED） Skipjack（英语：Skipjack） TEA XTEA 其他加密算法 3-Way（英语：3-Way） ABC（英语：ABC (cipher)） Akelarre（英语：Akelarre (cipher)） Anubis（英语：Anubis (cipher)） ARIA（英语：ARIA (cipher)） BaseKing（英语：BaseKing） BassOmatic（英语：BassOmatic） BATON（英语：BATON） BEAR and LION（英语：BEAR and LION ciphers） CAST-256（英语：CAST-256） CIKS-1（英语：CIKS-1） CIPHERUNICORN-A（英语：CIPHERUNICORN-A） CIPHERUNICORN-E（英语：CIPHERUNICORN-E） CLEFIA（英语：CLEFIA） CMEA（英语：Cellular Message Encryption Algorithm） Cobra（英语：Cobra ciphers） COCONUT98（英语：COCONUT98） Crab（英语：Crab (cipher)） Cryptomeria/C2（英语：Cryptomeria cipher） CRYPTON（英语：CRYPTON (cipher)） CS-Cipher（英语：CS-Cipher） DEAL（英语：DEAL） DES-X（英语：DES-X） DFC（英语：DFC (cipher)） E2（英语：E2 (cipher)） FEAL（英语：FEAL） FEA-M（英语：FEA-M） FROG（英语：FROG） G-DES（英语：GDES） GOST（英语：GOST (block cipher)） Grand Cru（英语：Grand Cru (cipher)） Hasty Pudding cipher（英语：Hasty Pudding cipher） Hierocrypt（英语：Hierocrypt） ICE（英语：ICE (cipher)） IDEA NXT（英语：Idea NXT） Intel Cascade Cipher（英语：Intel Cascade Cipher） Iraqi（英语：Iraqi block cipher） KASUMI（英语：KASUMI (block cipher)） KeeLoq（英语：KeeLoq） KHAZAD（英语：KHAZAD） Khufu and Khafre（英语：Khufu and Khafre） KN-Cipher（英语：KN-Cipher） Ladder-DES（英语：Ladder-DES） Libelle（英语：Libelle (cipher)） LOKI97（英语：LOKI97） LOKI89/91（英语：LOKI） Lucifer（英语：Lucifer (cipher)） M6（英语：M6 (cipher)） M8（英语：M8 (cipher)） MacGuffin（英语：MacGuffin (cipher)） Madryga（英语：Madryga） MAGENTA（英语：MAGENTA） MARS（英语：MARS (cipher)） Mercy（英语：Mercy (cipher)） MESH（英语：MESH (cipher)） MISTY1（英语：MISTY1） MMB（英语：MMB） MULTI2（英语：MULTI2） MultiSwap（英语：MultiSwap） New Data Seal（英语：New Data Seal） NewDES（英语：NewDES） Nimbus（英语：Nimbus (cipher)） NOEKEON（英语：NOEKEON） NUSH（英语：NUSH） Q（英语：Q (cipher)） RC6 REDOC（英语：REDOC） Red Pike（英语：Red Pike (cipher)） S-1（英语：S-1 block cipher） SAFER（英语：SAFER） SAVILLE（英语：SAVILLE） SC2000（英语：SC2000） SHACAL（英语：SHACAL） SHARK SM4 Speck Spectr-H64（英语：Spectr-H64） Square（英语：Square (cipher)） SXAL/MBAL（英语：SXAL/MBAL） Threefish（英语：Threefish） Treyfer（英语：Treyfer） UES（英语：UES (cipher)） Xenon（英语：Xenon (cipher)） xmx（英语：xmx） XXTEA Zodiac（英语：Zodiac (cipher)） 密码设计 Feistel网络 密钥调度（英语：Key schedule） 乘积密码 S盒 P盒 代换-置换网络 混淆與擴散 雪崩效应 密钥白化 密钥长度 块大小 攻击（密码分析） 穷举攻击/蛮力攻击（EFF DES破解机） 中途相遇攻击（Biclique攻击（英语：Biclique attack） · 三子集中途相遇攻击（英语：Biclique attack）） 线性密码分析（英语：Linear cryptanalysis）（堆积引理（英语：Piling-up lemma）） 差分密码分析（不可能差分密码分析（英语：Impossible differential cryptanalysis）） 截断差分分析（英语：Truncated differential cryptanalysis） 高阶差分分析（英语：Higher-order differential cryptanalysis） 差分-线性攻击（英语：Differential-linear） 区分攻击（英语：Distinguishing attack）（已知密钥区分攻击（英语：Known-key distinguishing attack）） 积分密码分析（英语：Integral cryptanalysis） 回力镖攻击（英语：Boomerang attack） 模n密码分析（英语：Mod n cryptanalysis） 相关密钥攻击（英语：Related-key attack） 滑动攻击（英语：Slide attack） 回旋密码分析（英语：Rotational cryptanalysis） 計時攻擊（英语：Timing attack） XSL攻击（英语：XSL attack） 插值攻擊 Partitioning（英语：Partitioning cryptanalysis） 戴维斯攻击（英语：Davies' attack） 回弹攻击（英语：Rebound attack） 弱密钥（英语：Weak key） 肯德尔等级相关系数（英语：Kendall tau rank correlation coefficient） 卡方检验 时间、内存、数据取舍攻击（英语：Time/memory/data tradeoff attack） 密码标准 高级加密标准（AES）评选过程 CRYPTREC（英语：CRYPTREC） NESSIE（英语：NESSIE） 工作方式 初始向量 工作模式 填充 查 论 编   雜湊函數 & 訊息鑑別碼 列表 比较 已知攻击 常用函数 MD5 SHA-1 SHA-2 SHA-3/Keccak BLAKE2 SHA-3入围（英语：NIST hash function competition） BLAKE Grøstl JH（英语：JH (hash function)） Skein（英语：Skein (hash function)） Keccak（胜出） 其他函数 ECOH（英语：Elliptic curve only hash） FSB（英语：Fast Syndrome Based Hash） GOST（英语：GOST (hash function)） HAS-160（英语：HAS-160） HAVAL（英语：HAVAL） Kupyna（英语：Kupyna） LM hash（英语：LM hash） MD2（英语：MD2 (cryptography)） MD4 MD6 MDC-2（英语：MDC-2） N-Hash（英语：N-Hash） RIPEMD RadioGatún（英语：RadioGatún） SWIFFT（英语：SWIFFT） SipHash（英语：SipHash） Snefru（英语：Snefru） Streebog（英语：Streebog） Tiger（英语：Tiger (cryptography)） VSH（英语：Very smooth hash） WHIRLPOOL（英语：Whirlpool (cryptography)） SM3 X11 密码散列/ 密钥延伸函数 Argon2 Balloon bcrypt Catena（英语：Catena (cryptography)） crypt(3)（英语：Crypt (C)） (DES) LM散列（英语：LAN Manager#LM hash details） Lyra2 Makwa（英语：Makwa (cryptography)） PBKDF2 scrypt yescrypt 通用 密钥派生函数 HKDF KDF1/KDF2 MAC算法 DAA（英语：Data Authentication Algorithm） CBC-MAC（英语：CBC-MAC） HMAC OMAC（英语：One-key MAC）/CMAC（英语：CMAC） PMAC（英语：PMAC (cryptography)） VMAC（英语：VMAC） UMAC（英语：UMAC） Poly1305 认证加密模式 CCM CWC EAX GCM IAPM OCB（英语：OCB mode） 攻击 碰撞攻击（英语：Collision attack） 原像攻击 生日攻击 穷举攻击/蛮力攻击 彩虹表 旁路攻击 长度扩展攻击 设计 雪崩效应 碰撞 默克尔-达姆加德结构（英语：Merkle–Damgård construction） 标准化 CRYPTREC（英语：CRYPTREC） NESSIE（英语：NESSIE） NIST散列函数竞赛（英语：NIST hash function competition） 实际应用 盐 密钥延伸 信息鉴定 查 论 编 密码学 密码学历史 密码分析 密碼學主題列表 對稱密鑰加密 分组密码 流密码 公开密钥加密 密碼雜湊函數 訊息鑑別碼 随机数 隐写术 分类 主题 专题