《公共密码体制》PPT课件.ppt

电子商务安全,1,第四章公共密码体制,问题的提出： （1 ）传统密钥管理 ：两两分别用一对密钥时 则n个用户需要C(n,2)=n(n-1)/2个密钥 当用户量增大时 密钥空间急剧增大 如: n=100 时C(100,2)=4,995 n=5000时C(5000,2)=12,497,500 （2）数字签名的问题 传统加密算法无法实现抗抵赖的需求 （3）密钥必须通过某一信道协商，对这个信道的安全性 的要求比正常的传送消息的信道的安全性要高,电子商务安全,2,4.1 公钥密码体制的基本原理,1.公开密钥密码的重要特性 加密与解密由不同的密钥完成 加密: XY: Y = EKU(X) 解密: Y X: X = DKR(Y) = DKR(EKU(X) 知道加密算法,从加密密钥得到解密密钥在 计算上是不可行的 两个密钥中任何一个都可以用作加密而另 一个用作解密(不是必须的) X = DKR(EKU(X) = EKU(DKR(X),电子商务安全,3,明文,明文,密文,加密算法,解密算法,加密密钥,解密密钥,电子商务安全,4,2.公钥密码又称为双钥密码和非对称密码 1976年由Diffie和Hellman在其“密码学新方向”一文中提出的。 单向陷门函数是满足下列条件的函数f (1)给定x 计算y=f(x)是容易的 (2)给定y, 计算x使y=f(x)是困难的(所谓计算x=f-1(Y)困难是指计算上相当复杂 已无实际意义) (3)存在&， 已知 &时,对给定的任何y 若相应的x存在，则计算x使y=f(x)是容易的,电子商务安全,5,1*. 仅满足(1) (2)两条的称为单向函数 第(3)条称为陷门性 称为陷门信息 2*. 当用陷门函数f 作为加密函数时 可将f公开 这相当于公开加密密钥 此时加密密钥便称为公开钥记为Pk f函数的设计者将&保密， 用作解密密钥此时 &称为秘密钥匙 记为Sk 。由于加密函数是公开的， 任何人都可以将信息x加密成y=f(x) 然后送给函数的设计者 当然可以通过不安全信道传送 由于设计者拥有Sk 他自然可以解出x=f-1(y) 3*.单向陷门函数的第(2)条性质表明窃听者由截获的密文y=f(x)推测x是不可行的,电子商务安全,6,3 算法代表,ELGamal RSA(Rivest, Shamir, Adleman) 椭圆曲线（ ECC, Eilliptic Curve Croptography),电子商务安全,7,4 用公钥密码实现保密,用户拥有自己的密钥对(KU,KR) 公钥KU公开,私钥KR保密 AB: Y=EKUb(X) B: DKRb(Y)= DKRb(EKUb(X)=X,电子商务安全,8,5 用公钥密码实现鉴别,条件: 两个密钥中任何一个都可以用作加密而 另一个用作解密 鉴别: A ALL: Y=EKRa(X) ALL: DKUa(Y)=DKUa(EKRa(X)=X 鉴别+保密: A B: Z= EKUb(EKRa(X) B: DKUa(DKRb(Z)=X,电子商务安全,9,6 公钥密钥的应用范围,加密/解密 数字签名(身份鉴别) 密钥交换,电子商务安全,10,7 基本思想和要求, 涉及到各方：发送方、接收方、攻击者 涉及到数据：公钥、私钥、明文、密文 公钥算法的条件： 产生一对密钥是计算可行的 已知公钥和明文，产生密文是计算可行的 接收方利用私钥来解密密文是计算可行的 对于攻击者，利用公钥来推断私钥是计算不可行的 已知公钥和密文，恢复明文是计算不可行的 (可选)加密和解密的顺序可交换,电子商务安全,11,可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。,8 公钥密码的优点,电子商务安全,12,4.2 RSA算法,1978年就出现了这种算法，它是第一个既能用于数据加密也能用于数字签名的算法。 它易于理解和操作，也很流行。 算法的名字以发明者的名字命名：Ron Rivest, Adi Shamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。,电子商务安全,13,1 素数(Prime Numbers), 一个大于1的整数，如果它的正因数只有1和它本 身，就叫做质数（素数），否则就叫做合数。 eg. 2,3,5,7 素数， 4,6,8,9,10 不是 素数在数论中具有重要的地位 小于200 的素数有: 2 3 5 7 11 13 17 19 23 29 31 37 41 43 47 53 59 61 67 71 73 79 83 89 97 101 103 107 109 113 127 131 137 139 149 151 157 163 167 173 179 181 191 193 197 199,电子商务安全,14,2 素因子分解（Prime Factorisation）, 数n的因子分解是把它写成其它数的乘积 n=a b c 相对于把因子相乘得到一个数，进行一个数的因子分解是困难的。 素因子分解是把一个数写成素数的乘积形式 eg. 91=713 ; 3600=243252,电子商务安全,15,3 互素和最大公约数GCD, 设a1,a2,an是n(n2)个整数，若整数d是它们每一个的因数，d就叫做a1,a2,an的一个公因数。 整数a1,a2,an的公因数中最大一个叫最大公约数GCD，若GCD（ a1,a2,an ）=1，我们说 a1,a2,an 互素。 eg. 8 和15 互素，8的因子是1,2,4,8 ，15 的因子是1,3,5,15。1是唯一的公因子。 eg. 300=223152 18=2132 因此 GCD(18,300)=213150=6,电子商务安全,16,RSA公钥算法的数学基础是初等数论中的Euler 欧拉定理，利用了陷门单向函数的一种可逆模指数运算，它的安全性基于大整数分解因子的困难性上。 RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。,电子商务安全,17,RSA密码体制描述,首先明文空间和密文空间同属于Zn 1 选择两个大素数 p,q 2 n=p*q 和 (n)=(p-1)(q-1) 3 随机选择整数e，使 gcd(n),e)=1,1e (n) 4 计算d, 使d=e-1(mod (n), 即ed 1(mod (n) 5 对每一密钥k=(n,p,q,d,e), 定义加密变换为 Ek(x)=xe mod n 定义解密变换为 Dk(x)=yd mod n 6 e,n是公钥，d是私钥。两个素数p和q不再需要，应该丢弃，不要让任何人知道。,电子商务安全,18,RSA Example,1. 选择素数: p=17 选择e=7 5. 确定d: de=1 mod 160 and d 160， d=23 因为237=161= 1160+1 6. 公钥KU=7,187 7. 私钥KR=23,17,11,电子商务安全,19, RSA的加解密为: 给定消息M = 88 ( 88187) 加密:C=Memod N C = 887 mod 187 = 11 解密:M=Cdmod N M = 1123 mod 187 = 88,电子商务安全,20,RSA安全性依据,RSA的安全性是基于加密函数Ek(x)=xe(mod n)是一个单向函数，所以对攻击的人来说求逆计算不可行。而Bob能解密的陷门是分解n=pq，知 (n)=(p-1)(q-1)。从而用欧氏算法解出解密私 钥d. （猜想：攻破RSA与分解n是多项式等价的。然而，这个猜想至今没有给出可信的证明！）,电子商务安全,21,DES和RSA性能比较(同等强度）,DES密钥长度(bit) RSA 密钥长度(bit) 56 384 64 512 112 1792 128 2304,电子商务安全,22,例子,密钥的选取：若Bob选择了p=101和q= 113 ， 那么，n=11413, (n)=100 *112= 11200 ； 然而，11200= 26* 52 *7， 一个正整数e能用作加密指数，当且仅当e不能被2， 5， 7所整除。 事实上，Bob不会分解(n) 而是用辗转相除法（欧式算法）来求得e， 使（e , (n)=1) 假设Bob选择了e=3533， 那么用辗转相除法将求得d=e -1 6597(mod 11200), 于是Bob的解密密钥d=6597. Bob在一个目录中公开n=11413和e=3533, 加密解密：现假设Alice想发送明文9726给Bob 她计算 97263533(mod 11413)=5761。且在一个信道上发送密文5761 ，当Bob接收到密文5761时，他用他的秘密解密指数私钥d= 6597进行解密57616597 （mod 11413)=9726,电子商务安全,23,注： RSA的安全性是基于加密函数ek(x)=xe(mod n)是一个单向函数，所以对别人来说求逆计算不可行，而Bob能解密的陷门是分解n=pq 知 (n)=(p-1)(q-1) 从而用欧氏算法解出解密私钥d.,电子商务安全,24,当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。,电子商务安全,25,数据加密的实现,密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。 一般的数据加密可以在通信的三个层次来实现: 链路加密 节点加密 端到端加密,电子商务安全,26,链路加密,链路加密是传输数据仅在物理层前的数据链路层进行加密。接收方是传送路径上的各台节点机，信息在每台节点机内都要被解密和再加密，依次进行，直至到达目的地。 使用链路加密装置能为某链路上的所有报文提供传输服务。即经过一台节点机的所有网络信息传输均需加、解密，每一个经过的节点都必须有密码装置，以便解密、加密报文。如果报文仅在一部分链路上加密而在另一部分链路上不加密，则相当于未加密，仍然是不安全的。,电子商务安全,27,节点加密,与链路加密不同, 节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密, 然后采用另一个不同的密钥进行加密, 这一过程是在节点上的一个安全模块中进行。即在节点处采用一个与节点机相连的密码装置，密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密关节点处易受攻击的缺点。 节点加密要求报头和路由信息以明文形式传输, 以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。,电子商务安全,28,端对端加密,采用端-端加密是在应用层完成，即传输前的高层中完成。端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密(又称脱线加密或包加密), 消息在被传输时到达