密码体制的安全性测度.ppt

第7章 密码体制的安全性测度 n7.1 密码基本知识 n7.2 古典密码体制 n7.3 现代密码体制 n7.4 密码体制的安全性测度 1 7.1 密码基本知识 n1949年，香农发表了论文“密码体制的通 信理论” n利用数学方法对信息源、密钥源、接收和截获 的密文进行了数学描述和定量分析，提出了通 用的密钥密码体制模型，奠定了现代密码学的 基础。 2 密码技术的发展史 n1.隐写术和手工密码变换：代替和换位 n2. 1920年，弗纳姆密码：自动加解密的诞生 n3.二战时0075密码本：非对称密码的萌 芽 n4.1975年，DES诞生：现代分组码形成 n5.1976年，RSA密码诞生：公钥密码概念被 提出 3 密码体制 n1.密码学：密码编码学和密码分析学。 n2.密码体制：它是一组规则、算法、函数或 程序，使保密通信双方能够正确的、容易的 进行加密和解密，包括密码算法、明文、密 文和密钥。 n3.保密通信系统：由密码体制、信源、信宿 和攻击者构成 4 加解密在信息传输系统模型中 信源 信源编码 信源译码 信宿 信道编码 信道 信道译码 + 加密编码解密译码噪声源 SUCXYVS n 5 保密通信系统模型 6 密码体制的组成 n1.明文空间P n2.密文空间C n3.密钥空间K：包括加密密钥ke和解密密钥kd n4.加密算法E：加密变换的集合 n5.解密算法D：解密变换的集合 7 密码体制 n什么是好的密码体制？ n1.已知密文和加密密钥时，计算密文很容易； n2.在不知道解密密钥时，由密文推知明文相当 困难； n密码算法的安全等级 n1.无条件安全：也叫理论安全 n2.计算安全：也叫实际安全 8 密码分析攻击（六种） n密码分析攻击是指在不知道密钥的情况下， 利用密码体制的弱点，恢复出明文或密钥： n1.唯密文攻击； n2.已知明文攻击； n3.选择明文攻击； n4.自适应选择明文攻击； n5.选择密文攻击； n6.选择密钥攻击； 9 第7章 密码体制的安全性测度 n7.1 密码基本知识 n7.2 古典密码体制 n7.3 现代密码体制 n7.4 密码体制的安全性测度 10 古典密码体制 n作为密码学发展的初级阶段，古典密码简单 、安全性，一般都采用替代和置换的方法 n替代：将明文中的字母用其它字母、数字或 符号进行取代；替代算法就是密钥。 n置换：也叫换位，明文的字母保持不变，但 是顺序被打乱了。 n古典密码分为三类：单表密码、多表密码和 多字母代换密码（即换位密码） 11 古典密码的分类 n1.单表密码单表密码对明文中所有的字母 都使用同一个映射，并且映射是一一对应的 。 n1.凯撒（Caesar）密码：将明文中每个字母用字 母后面的第三个字母进行代替。 n2.使用密码词（组）的单表代替密码：使用一个 单词或词组，去掉重复字母作为密钥，再将字 母表中其它字母置于密钥之后，构造出字母替 代表。 12 古典密码的分类 n2.多表密码 n单表密码的缺陷是明文中单个字母的概率分布与 密文的相同。多表密码使用多个映射来隐藏单字 母的出现频率，但是每个映射仍然是一对一映射 。多表密码将明文字符划分为长度相同的消息单 元，即明文组，对同一明文分组中不同位置的字 母进行不同的代替，即相当于使用了多张字母代 替表，当然它也可以对不同明文组进行不同的代 替，从而使同一个字符对应不同的密文，改变了 单表密码中密文与明文字母的唯一对应性。 13 7.2.2多表密码普莱费尔密码 14 普莱费尔密码例 15 7.2.3换位密码 n换位密码 n换位就是重新排列明文消息中字母，以打破密文的结构特 性，它交换的不是字符本书，而是字符被书写的位置 n一种换位的处理方法是：将明文按行写在格纸上，然后按 列的方式读出结果，即为密文，为了增加变化的复杂性， 可以设定读出列的不同次序（该次序即为密钥） n例7.2.8 n换位密码中，虽然字母顺序被打乱了，但是密文和明文中 字母出现的频率相同，密码分析者可以很容易辨别，但如 果将换位密码和其它密码技术相结合，则可以得到十分有 效的密码编码方案。 16 第7章 密码体制的安全性测度 n7.1 密码基本知识 n7.2 古典密码体制 n7.3 现代密码体制 n7.4 密码体制的安全性测度 17 现代密码体制 n古典密码体制：代替和换位；实际应用中是两 种方法的组合运用，但密码的安全强度不够高 。 n为了适应现代信息安全的需要，现代密码技术 得到了快速发展： n对称加密：如DES、AES等 n非对称加密（也称公钥加密）：如RSA n消息摘要：如MD-1、MD-5等 18 现代密码体制 n1.对称加密 n加密和解密使用相同的密钥，用户必须让使用者知道密钥，密钥由 双方共同保密。 n2.非对称加密（公钥体制） n它使用一对关联密码：公开密钥和所有密钥，公钥任何人都知道， 私钥只有主人知道，因此加密由一个密钥完成，解密由另一个密钥 完成。公钥体制可实现加密、会话密钥分配和数字签名。 n3.消息摘要 n消息摘要用于防止信息被改动，使用摘要函数，函数的输入可以是 任意大小的消息，输出是固定长度的摘要，即数字指纹，对数字指 纹用私钥加密，就成为数字签名（利用公钥可对数字签名解密，因 为私钥只有签名的人才有，所以解密后即可证明加密人的身份问题 ） 19 7.3.1对称密码 n对称密码的特点是加密和解密使用同一个 密钥，按加密模式分为： n分组密码：将原文按固定大小进行分组，然 后加密，典型算法有DES、3DES、IDEA、 AES、RC2和RC5等等 n序列密码（流密码）：对流式数据进行加密 ，如实时的语音和视频流数据的加密传输， 典型算法有RC4、SEAL和A5等。 n对称密钥体制的基本要素：明文、加密算 法、密钥、解密算法、明文和攻击者 20 7.3.1对称密码 n对称密钥体制安全性的要求： n1.加密算法必须足够安全，可以公开。对算法的唯 密文破译计算上不可行 n2.密钥的安全性：密钥必须保密并有足够大的密钥 空间 n对称密码算法的优点：加解密速度快、实用性 强；缺点是密钥分发困难；多用户通信时，密 钥总数增长太快，导致密钥分发更加复杂；通 信双方无法在线建立信任关系；数字签名困难 （发送方可以否认发送，接收方可伪造签名） 21 1.数据加密算法DES nDES (Data Encryption Standard)是最著名的对称 算法，也是美国国家标准 局曾采用的数据加密标准 ，虽然已经破译，但是其 简单扩展的3-DES仍然是 目前广泛使用的分组密码 算法之一。 nDES算法公开，分组长度 为64位，密钥长度56位， 算法分为3部分：初始置 换和末置换、子密钥产生 、乘积变换。 22 3.国际数据加密算法（IDEA） nIDEA (International Data Encryption Algorithm) 与DES一样，也是一种迭代分组加密算法。分组 长度为64位，8轮迭代，还有一轮输出变换。它 的加、解密密钥不完全相同，但由加密密钥可 以推出解密密钥，因此它仍然属于常规的对称 密码体制。IDEA的密钥长度在目前技术条件下 具有足够的安全长度。 23 7.3.2 非对称密码 n1.公钥密码体制的提出 n1976年Diffie和Hellman提出公钥密码体制概念，有效克服了对称 密码体制中密钥管理和分配的缺陷，并提出了数字签名的创新概 念。由于具有两个密钥：公钥，用于加密或签名验证，可以公开 ；私钥，用于解密或数字签名，需要保密。 n非对称密码不再基于简单的代替和换位操作，而是建立在难解的 数学问题上将信息通过编码加密在一个NP-完全问题中，破译等 价于解这个NP-完全问题，同时需要一个陷门单向函数f。所谓陷门 单向函数是只一单向函数f，它的逆函数在计算上通常是不可行的 ，但如果有辅助信息（即私钥）的帮助，其逆函数的计算又很容 易，辅助信息就是秘密的“陷门”。 n公钥算法基于的常见数学难题有:大整数分解问题、背包问题、有 限域的乘法群上的离散对数问题和椭圆曲线上的离散对数问题。 24 1.公钥密码体制的提出 n公钥密码体制的优点 n1.用户只需保管自己的私钥，管理方便； n2.密钥分配简单，无需秘密通道或复杂协议来 传送密钥。公钥可通过公开渠道获得。 n3.可实现数字签名。 n公钥密码体制的缺点 n1.加、解密速度较慢； n2.同等安全强度下，公钥密码体制下的密钥长 度要长一些。 25 2.公钥密码体制的基本原理 n公钥密码体制加密的算法基于单向陷门函数 26 2.公钥密码体制的基本原理 n公钥密码算法的条件： n1.产生一对密钥是容易的； n2.已知公钥和明文。产生密文在计算上是可行的； n3.接受方利用私钥来解密在计算上是可行的； n4.对于攻击者，利用公钥来推断私钥在计算上是不 可行的； n5.已知公钥和密文，恢复明文在计算上是不可行的 ； n6.加密和解密的顺序可交换（可选条件）。 27 2.公钥密码体制的基本原理 n公钥密码体制下的保密通信和数字签名 28 RSA算法 29 RSA算法（例） 30 RSA算法 n4.RSA算法的安全性 nRSA算法的安全性取决于从公钥(e，n)中计算出私钥(d，p， q)的困难程度：即依赖于分解大合数n的难度，只要能够将 已知的n分解为p和q的乘积，即可破解RSA。因此为了保证 RSA算法的安全，n必须足够大，一般认为长1024位二进制 。 n5.RSA的速度与不足 n由于大数运算，RSA的速度最多是DES的1/1000。因此RSA 只用于少量数据的加密，比如通信双方交换的对称密钥。 nRSA缺点： n产生密钥受到素数产生技术的限制，算法有可能产生的不是素数； n分组长度太长，即n太大，使运算速度降低 n随大数分解技术的发展，n需要不断增加，不利于数据格式的标准化 。 31 第7章 密码体制的安全性测度 n7.1 密码基本知识 n7.2 古典密码体制 n7.3 现代密码体制 n7.4 密码体制的安全性测度 32 7.4密码体制的安全性测度 n评价密码体制的安全有多种标准，通常可分为两类： 理论安全和实际安全 n理论安全指密码攻击者无论拥有多少金钱、资源和工 具都无法破译密码，如香农证明过的一次一密的密码 体制是完全保密的密码体制。 n和实际安全指攻击者破译代价超过了信息本身的价值 或在现有条件下破译所花费时间超过了信息的有效期 n本节所讲述的是狭义的信息安全，主要指保密性，即 信息内容不会被泄漏。其实除了保密性外，安全性还 有完整性、抗否认性和可用性。 33 7.4.1完善保密性 n从信息论的角度来证明密码体制的保密性 n对于一般保密通信系统，用P，C，K分别表示明文、密 文和密钥空间，H(P)， H(C)， H(K)分别代表明文、密 文和密钥空间的熵， H(P/C)和H(K/C)分别代表已知密文 的条件下对明文和密钥的疑义度，从唯密文攻击角度来 看，密码分析的任务是从截获的密文中提取有关明文或 密钥的信息： nI(P；C)=H(P)H(P/C) nI(K；C)=H(K)H(K/C) n显然， H(P/C)和H(K/C)越大，攻击者从密文中获得的明 文和密钥信息就越少。 34 7.4.1完善保密性 n合法用户掌握解密的密钥，收到密文后，通过解密运算可以恢 复出明文，则必有H(P/CK)0，因此 nI(P；CK)=H(P)H(P/CK) H(P) n说明用户在掌握密钥并已知密文的情况下，可以提取全部明文 信息。 n定理：对任意密码系统，有 n I(P；C)= H(P)H(K) n定理说明