EAX模式

EAX 模式（encrypt-then-authenticate-then-translate^[1] ）是一種分組密碼工作模式。它是一種帶有關聯數據的認證加密 ( AEAD ) 算法，旨在通過兩遍方案同時提供消息的認證和隱私（認證加密），一次用於實現隱私，另一遍用於每個塊的真實性。

EAX 模式於 2003 年 10 月 3 日提交給 NIST，以取代CCM作為標準 AEAD 工作模式，因為 CCM 模式缺乏 EAX 的一些重要屬性且更加複雜。

加密與認證

EAX 是一種靈活的，使用隨機數的兩遍 AEAD 方案，對要使用的塊密碼原語和分組大小沒有限制，並且支持任意長度的消息。身份驗證標籤長度可以任意調整，最多可達所使用的密碼的塊大小。

分組密碼原語在CTR 模式下用於加密，並作為OMAC通過 EAX 組合方法對每個塊進行身份驗證，這可以視作是被稱為 EAX2 的更通用算法的特殊情況，這也在EAX 操作模式^[2]中進行了描述。 ^[3]

上述論文中的參考實現使用 AES-CTR進行加密，並結合 AES OMAC 進行身份驗證。

性能

作為一種兩遍方案，EAX 模式比基於相同原語的精心設計的單遍方案略慢一些。

EAX 模式有幾個理想的特性，特別是：

• 可證明安全性（取決於底層加密算法的安全性）；
• 最小化消息擴展，開銷僅限於標籤長度；
• 使用CTR模式意味著密碼只需為了加密而實現，簡化了某些密碼的實現（這對於硬體實現來說是極其理想的特性）；
• 該算法是「在線」的，這意味著可以使用常量內存處理數據流，無需預先知道總數據長度；
• 該算法可以預處理靜態關聯數據（Associated Data, AD），這對於通信會話參數的加解密很有用（其中會話參數可以代表關聯數據）。

值得注意的是，CCM 模式缺少最後 2 個屬性（CCM 能夠處理關聯數據，但無法進行預處理）。

專利狀況

EAX 模式的作者Mihir Bellare 、 Phillip Rogaway和David Wagner將該作品直接公開，並表示他們不知道涉及該技術的任何專利。因此，EAX 操作模式被認為是免費且不受任何使用限制的。

用途

EAX 模式的修改版（所謂的EAX'或 EAXprime）用於ANSI C12.22標準中，用於通過網絡傳輸基於儀表的數據。 2012 年，Kazuhiko Minematsu、 Stefan Lucks 、Hiraku Morita 和 Tetsu Iwata 發表了一篇論文，證明了消息長於密鑰的模式的安全性，但演示了使用該模式對短消息進行的簡單攻擊。作者表示，他們不清楚ANSI C12.22 協議是否易受攻擊。 ^{[4] [5]}

參見

• 帶有關聯數據的驗證加密（AEAD）、認證加密（AE）
• CCM模式
• 計數器模式（CTR）
• One-key MAC（英語：One-key MAC）（One-key MAC，OMAC）

參考

外部連結

• NIST：分組密碼模式
• 對 CCM 的批評（2003 年 2 月）

軟體實施

• C++：Brian Gladman 博士的加密庫實現 EAX 操作模式
• Pascal / Delphi：Wolfgang Ehrhardt 的加密庫實現 EAX 操作模式
• Java：BouncyCastle 加密庫實現 EAX 操作模式
• C: libtomcrypt 實現 EAX 操作模式

硬體實現

閱 論 編   分組密碼 常見加密算法 AES Blowfish DES（內部細節 · 3DES） Serpent Twofish 次常見加密算法 Camellia CAST-128（英語：CAST-128） IDEA RC2（英語：RC2） RC5 SEED（英語：SEED） Skipjack（英語：Skipjack） TEA XTEA 其他加密算法 3-Way（英語：3-Way） ABC（英語：ABC (cipher)） Akelarre（英語：Akelarre (cipher)） Anubis（英語：Anubis (cipher)） ARIA（英語：ARIA (cipher)） BaseKing（英語：BaseKing） BassOmatic（英語：BassOmatic） BATON（英語：BATON） BEAR and LION（英語：BEAR and LION ciphers） CAST-256（英語：CAST-256） CIKS-1（英語：CIKS-1） CIPHERUNICORN-A（英語：CIPHERUNICORN-A） CIPHERUNICORN-E（英語：CIPHERUNICORN-E） CLEFIA（英語：CLEFIA） CMEA（英語：Cellular Message Encryption Algorithm） Cobra（英語：Cobra ciphers） COCONUT98（英語：COCONUT98） Crab（英語：Crab (cipher)） Cryptomeria/C2（英語：Cryptomeria cipher） CRYPTON（英語：CRYPTON (cipher)） CS-Cipher（英語：CS-Cipher） DEAL（英語：DEAL） DES-X（英語：DES-X） DFC（英語：DFC (cipher)） E2（英語：E2 (cipher)） FEAL（英語：FEAL） FEA-M（英語：FEA-M） FROG（英語：FROG） G-DES（英語：GDES） GOST（英語：GOST (block cipher)） Grand Cru（英語：Grand Cru (cipher)） Hasty Pudding cipher（英語：Hasty Pudding cipher） Hierocrypt（英語：Hierocrypt） ICE（英語：ICE (cipher)） IDEA NXT（英語：Idea NXT） Intel Cascade Cipher（英語：Intel Cascade Cipher） Iraqi（英語：Iraqi block cipher） KASUMI（英語：KASUMI (block cipher)） KeeLoq（英語：KeeLoq） KHAZAD（英語：KHAZAD） Khufu and Khafre（英語：Khufu and Khafre） KN-Cipher（英語：KN-Cipher） Ladder-DES（英語：Ladder-DES） Libelle（英語：Libelle (cipher)） LOKI97（英語：LOKI97） LOKI89/91（英語：LOKI） Lucifer（英語：Lucifer (cipher)） M6（英語：M6 (cipher)） M8（英語：M8 (cipher)） MacGuffin（英語：MacGuffin (cipher)） Madryga（英語：Madryga） MAGENTA（英語：MAGENTA） MARS（英語：MARS (cipher)） Mercy（英語：Mercy (cipher)） MESH（英語：MESH (cipher)） MISTY1（英語：MISTY1） MMB（英語：MMB） MULTI2（英語：MULTI2） MultiSwap（英語：MultiSwap） New Data Seal（英語：New Data Seal） NewDES（英語：NewDES） Nimbus（英語：Nimbus (cipher)） NOEKEON（英語：NOEKEON） NUSH（英語：NUSH） Q（英語：Q (cipher)） RC6 REDOC（英語：REDOC） Red Pike（英語：Red Pike (cipher)） S-1（英語：S-1 block cipher） SAFER（英語：SAFER） SAVILLE（英語：SAVILLE） SC2000（英語：SC2000） SHACAL（英語：SHACAL） SHARK SM4 Speck Spectr-H64（英語：Spectr-H64） Square（英語：Square (cipher)） SXAL/MBAL（英語：SXAL/MBAL） Threefish（英語：Threefish） Treyfer（英語：Treyfer） UES（英語：UES (cipher)） Xenon（英語：Xenon (cipher)） xmx（英語：xmx） XXTEA Zodiac（英語：Zodiac (cipher)） 密碼設計 Feistel網絡 密鑰調度（英語：Key schedule） 乘積密碼 S盒 P盒 代換-置換網絡 混淆與擴散 雪崩效應 密鑰白化 密鑰長度 塊大小 攻擊（密碼分析） 窮舉攻擊/蠻力攻擊（EFF DES破解機） 中途相遇攻擊（Biclique攻擊（英語：Biclique attack） · 三子集中途相遇攻擊（英語：Biclique attack）） 線性密碼分析（英語：Linear cryptanalysis）（堆積引理（英語：Piling-up lemma）） 差分密碼分析（不可能差分密碼分析（英語：Impossible differential cryptanalysis）） 截斷差分分析（英語：Truncated differential cryptanalysis） 高階差分分析（英語：Higher-order differential cryptanalysis） 差分-線性攻擊（英語：Differential-linear） 區分攻擊（英語：Distinguishing attack）（已知密鑰區分攻擊（英語：Known-key distinguishing attack）） 積分密碼分析（英語：Integral cryptanalysis） 回力鏢攻擊（英語：Boomerang attack） 模n密碼分析（英語：Mod n cryptanalysis） 相關密鑰攻擊（英語：Related-key attack） 滑動攻擊（英語：Slide attack） 迴旋密碼分析（英語：Rotational cryptanalysis） 計時攻擊（英語：Timing attack） XSL攻擊（英語：XSL attack） 插值攻擊 Partitioning（英語：Partitioning cryptanalysis） 戴維斯攻擊（英語：Davies' attack） 回彈攻擊（英語：Rebound attack） 弱密鑰（英語：Weak key） 肯德爾等級相關係數（英語：Kendall tau rank correlation coefficient） 卡方檢驗 時間、內存、數據取捨攻擊（英語：Time/memory/data tradeoff attack） 密碼標準 高級加密標準（AES）評選過程 CRYPTREC（英語：CRYPTREC） NESSIE（英語：NESSIE） 工作方式 初始向量 工作模式 填充 閱 論 編   雜湊函數 & 訊息鑑別碼 列表 比較 已知攻擊 常用函數 MD5 SHA-1 SHA-2 SHA-3/Keccak BLAKE2 SHA-3入圍（英語：NIST hash function competition） BLAKE Grøstl JH（英語：JH (hash function)） Skein（英語：Skein (hash function)） Keccak（勝出） 其他函數 ECOH（英語：Elliptic curve only hash） FSB（英語：Fast Syndrome Based Hash） GOST（英語：GOST (hash function)） HAS-160（英語：HAS-160） HAVAL（英語：HAVAL） Kupyna（英語：Kupyna） LM hash（英語：LM hash） MD2（英語：MD2 (cryptography)） MD4 MD6 MDC-2（英語：MDC-2） N-Hash（英語：N-Hash） RIPEMD RadioGatún（英語：RadioGatún） SWIFFT（英語：SWIFFT） SipHash（英語：SipHash） Snefru（英語：Snefru） Streebog（英語：Streebog） Tiger（英語：Tiger (cryptography)） VSH（英語：Very smooth hash） WHIRLPOOL（英語：Whirlpool (cryptography)） SM3 X11 密碼散列/ 密鑰延伸函數 Argon2 Balloon bcrypt Catena（英語：Catena (cryptography)） crypt(3)（英語：Crypt (C)） (DES) LM散列（英語：LAN Manager#LM hash details） Lyra2 Makwa（英語：Makwa (cryptography)） PBKDF2 scrypt yescrypt 通用 密鑰派生函數 HKDF KDF1/KDF2 MAC算法 DAA（英語：Data Authentication Algorithm） CBC-MAC（英語：CBC-MAC） HMAC OMAC（英語：One-key MAC）/CMAC（英語：CMAC） PMAC（英語：PMAC (cryptography)） VMAC（英語：VMAC） UMAC（英語：UMAC） Poly1305 認證加密模式 CCM CWC EAX GCM IAPM OCB（英語：OCB mode） 攻擊 碰撞攻擊（英語：Collision attack） 原像攻擊 生日攻擊 窮舉攻擊/蠻力攻擊 彩虹表 旁路攻擊 長度擴展攻擊 設計 雪崩效應 碰撞 默克爾-達姆加德結構（英語：Merkle–Damgård construction） 標準化 CRYPTREC（英語：CRYPTREC） NESSIE（英語：NESSIE） NIST散列函數競賽（英語：NIST hash function competition） 實際應用 鹽 密鑰延伸 信息鑑定 閱 論 編 密碼學 密碼學歷史 密碼分析 密碼學主題列表 對稱密鑰加密 分組密碼 流密碼 公開密鑰加密 密碼雜湊函數 訊息鑑別碼 隨機數 隱寫術 分類 主題 專題