对称加密和消息认证码.ppt

对称加密和消息认证码,张立红,对称加密,基本概念基本特点分组密码序列密码密码攻击代表算法,4,3,对称加密的基本概念,定义如果加密与解密的密钥相同，或者由其中一个密钥很容易推出另一个密钥，则称这种加密方法为对称加密。又称为单密钥加密，密钥加密，常规加密，传统加密。,对称加密的基本特点,优点计算量小加密速度快加密效率高缺点交易双方使用同样密钥，安全性难以保证使用其他人不知道的唯一密钥，使密钥数量呈几何级数增长，密钥管理困难不适于分布式网络系统，密钥管理困难，成本高提供加密和认证，但缺乏签名功能，使用范围有所缩小,分组密码,基本概念工作模式电子密码本模式ECB密码分组链接模式CBC密码反馈模式CFB输出反馈模式OFB计算器模式CTR,分组密码的基本概念,定义分组密码又称块密码，它将明文M划分为一系列的明文块Mi，通常每块包含若干字符，并且对每一块Mi都用同一个密钥K进行加密。即M=（M1，M2，Mn）C=（C1，C2，Cn）其中Ci=E（Mi，K）i=1，2，n,电子密码本模式ECB,电子密码本模式（ElectronicCodebookMode，ECB）它将明文分割成独立大小b比特的分组，最后一组在必要时需要填充，一次处理b比特的明文，每次使用相同的密钥加密。每一个分组一次独立加密，产生独立的密文组。加密：Ci=Ek（Pi）解密：Pi=Dk（Ci）ECB加解密如右图所示,电子密码本模式ECB,优点简单，有效；有利于并行计算；误差不会被传递。缺点不能隐藏明文的模式可能对明文进行主动攻击应用ECB模式特别适合较短、随机的数据加密（如加密密钥）。,密码分组链接模式CBC,密码分组链接模式（CipherBlockChaining，CBC）将明文分成b位的一串分组，最后一组不足b位要进行填充。CBC将这些分组链接在一起进行加密操作。加密输入是当前明文分组和前一密文分组的异或，它们形成一条链。ECB加解密如右下图所示加密：Ci=Ek(Ci-1Pi)解密：Pi=Dk(Ci)Ci-1,密码分组链接模式CBC,优点可隐藏明文的数据模式；不容易产生主动攻击；安全性好于ECB。缺点不利于并行计算；误差传递；需要初始化向量IV。应用CBC适合传输长度长的报文；还可以用于数据完整性认证。,密码反馈模式CFB,密码反馈模式（CipherFeedback，CFB）将加密的明文按照一个字节或者一位进行处理，即将分组密码转换为流密码，且为自同步流密码。假设它的输出是s位，s位的大小可以是1位、8位、64位或者其他大小，表示为CFB-1，CFB-8，CFB-64等。,密码反馈模式CFB,CFB加密如下图所示,密码反馈模式CFB,优点隐藏了明文模式；分组密码转化为自同步流密码；可以及时加密传送小于分组的数据。缺点不利于并行计算；误差传送：一个明文单元损坏影响多个单元；对于不同的消息，IV必须唯一。应用该模式适应于数据库加密、无线通信加密等对数据格式有特殊要求或密文信号容易丢失或出错的应用环境。,输出反馈模式OFB,输出反馈模式（OutputFeedback，OFB）OFB将分组密码转化为同步流密码。类似于密码反馈模式，不同的地方是输出反馈模式是将加密算法的输出反馈到移位寄存器，而密码反馈模式是将密文单元反馈到移位寄存器。OFB加密如下图所示。,输出反馈模式OFB,优点隐藏了明文模式；分组密码转化为同步流密码；可以及时加密传送小于分组的数据；没有误差传递：一个单元损坏只影响对应单元。缺点不利于并行计算；不具有自同步能力，要求系统要保持严格的同步；重新同步时需要新的IV；对明文的主动攻击是可能的；安全性较CFB差。应用该模式适合传输语音图像。,计数器模式CTR,计数器模式（Counter，CTR）计数器采用与明文分组相同的长度。加密不同的明文组，计数器对应的值不同。计数器首先被初始化为一个值，然后随着消息块的增加，计数器的值依次递增1。计数器加1加密后与明文分组异或得到密文分组。,计数器模式CTR,特点处理效率：由于下一块数据不需要前一块数据的运算结果，所以CTR能够并行加密（解密）。预处理：基本加密算法的执行不依赖明文或者密文的输入，因此可以事先处理。随机访问：由于对某一密文分组的处理与其他密文分组无关，因此可以随机地对任一个密文分组进行解密处理。简单性：加密阶段和解密阶段都使用相同的加密算法。应用计数器模式比较适合对实时性和速度要求比较高的场合。,序列密码,定义序列密码又称为流密码，它将明文和密钥都划分为位（bit）或字符的序列，并且对于明文序列中的每一位或字符都用密钥序列中的对应分量来加密，即M=（m1，m2，mn）K=（k1，k2，kn）C=（c1，c2，cn）其中Ci=E（mi，ki）i=1，2，n分类按照密钥流的产生是否与明文或密文有关，可将序列密码分为同步序列密码自同步序列密码,密码攻击,密码分析穷举攻击,密码分析,密码分析是依赖加密算法的性质和明文的一般特征等试图破译密文得到明文或试图获得密钥的过程。根据密码分析者可利用的数据资源，可将对密码的攻击分为以下几种：唯密文攻击（仅知密文攻击）（Ciphertext-onlyattck）已知明文攻击（Known-plaintextattck）选择明文攻击（Chosen-plaintextattck）选择密文攻击（Chosen-ciphertextattck）选择文本攻击（ChosenTextAttck）,密码分析,目前比较流行的密码分析方法是线性密码分析线性分析是一种已知明文攻击。它以求线性近似为基础，通过寻找现代密码算法变换的线性近似来攻击。差分密码分析差分分析是一种选择明文攻击。它通过分析特定明文差分对相对应密文差分影响来获得尽可能大的密钥。它可以攻击任何由迭代一个固定的轮函数的结构的密码以及很多分组密码。,穷举攻击,穷举攻击是试遍所有可能的密钥对所获密文进行解密，直至得到正确的明文；或者用一个确定的密钥对所有可能的明文进行加密，直至得到所获得的密文。可以通过增大密钥位数或加大解密（加密）算法的复杂性来抗穷举攻击。,代表算法,常见的对称加密算法分组密码：DES，3DES，AES，IDEA，RC2，RC5，RC6等。流密码：RC4等。DES：明文、密文和密钥的分组长度都是64位。AES：数据分组的长度是128位，密钥的长度可分别指定为128位、192位或256位。IDEA：明文和密文的分组长度为64位，密钥长度为128位。,消息认证码,基本概念基本作用基本性质使用方式与加密函数的异同HMACCBC-MAC,MAC的基本概念,定义消息认证码MAC（MessageAuthenticationCode）是在密钥的控制下将任意长的消息映射到一个简短的定长数据分组，并将它附加在消息后。通常表示为：MAC=C(M,K)其中：M是长度可变的消息；K是收、发双方共享的密钥；函数值C(M,K)是定长的认证码，也称为密码校验和。,MAC的基本作用,假定通信双方共享密钥K。若发送方A向接受方发送消息M，则A计算MAC，并将消息M和MAC发送给接收方：A-B:M|MAC接收方收到消息后，用相同的私密钥K进行相同的计算得出新的MAC，并将其与接受到的MAC进行比较。若二者相等，则接受者可以相信消息M未被修改。接受者可以相信消息M来自意定的发送方。如果报文中加入序列号（如HDLC，X.25和TCP中使用的序列号），则接受方可以相信消息M的顺序是正确的。,MAC的基本性质,一个安全的MAC函数应该具有下列性质：性质1：若攻击者知道M和C(K,M)，则他构造满足C(K,M)=C(K,M)的消息M在计算上是不可行的。性质2：C(K.M)应是均匀分布的，即对任何随机选择的消息M和M，C(K,M)=C(K,M)的概率是2-n，其中n是MAC的位数。性质3：设M是M的某个已知的变换，即M=f(M)，则C(K,M)=C(K,M)的概率为2-n。,MAC的使用方式,消息认证消息认证和保密性：与明文有关的认证消息认证和保密性：与密文有关的认证,与加密函数的异同,相同MAC函数与加密函数类似，都需要明文、密钥和算法的参与。区别MAC函数不要求可逆性而加密函数必须是可逆的。一般而言，MAC函数是多对一函数。（可逆性）与加密相比，MAC函数更不易被攻破。（抗攻击性）加密函数用于确保数据的保密性，阻止对手的被动攻击。而消息认证码用以确保报文发送者和接受者的真实性以及报文的完整性，阻止对手的主动攻击。（作用）,HMAC,HMAC是基于带密