（计算机应用技术专业论文）椭圆曲线密码体制在安全电子邮件中的应用.pdf

摘要 摘要 从i n t e m e t 出现以来，电子邮件就是i n t e m e t 上最重要的服务之一。如今通过电 子邮件进行信息交流，已经成为人们联系沟通的重要手段，而电子邮件的安全问题 也越来越得到使用者的重视。电子邮件的世界是明信片的世界，就像明信片后面的 信息一样，机器与机器之间传输的信息都是公开和可获取的，机器旁的每个人都可 以查看上面的内容，并且信件的内容可能在不为人知的情况下被篡改，不怀好意的 人甚至还可以冒充身份发送邮件。考虑到电子邮件所传送信息的敏感性，保证其通 信的安全性自然成为人们高度关心的问题。然而传统的电子邮件存在的若干不安全 因素( 如邮件可能在不为通信双方所知的情况下被读取、篡改或截获；发信者的身份 可能被人为伪造等) ，使真正重要的信息仍然不宣或不敢使用电子邮件来传递，因此 如何保障邮件服务的安全是一项非常重要的课题。 本文首先对电子邮件的相关技术进行了深入研究，讨论了电子邮件系统面临的 安全威胁，给出了增强安全性的措施。针对目前电子邮件系统中存在的问题，本文 建立了一个安全电子邮件的认证协议，且将该认证协议用在基于s m i m e 的系统中 实现，充分利用椭圆曲线加密算法计算量小和对称加密算法加密速度快等优点，实 现了一个提供数据加密和数字签名的安全电子邮件系统，有效地实现了安全电子邮 件的保密性、完整性和不可否认性。最后，从理论上证明了该安全电子邮件系统的 安全性。 本文依据安全电子邮件扩展协议，将密码学技术应用到电子邮件系统中，增加 了安全认证功能。和目前的安全电子邮件产品相比，由于该系统中公钥算法采用椭 圆曲线密码体制，具有安全强度高、带宽要求低等优势，因而有着广泛的应用前景， 尤其适合在无线网络以及资源受限的环境中使用。 关键词安全电子邮件；高级密码标准；d s a ；椭圆曲线密码算法；数字签名；认 证 河北科技大学硕士学位论文 a b s t r a c t n o we m a i li so n eo ft h em o s ti m p o r t m e n ta p p l i c a t i o n so ni n t e r a c t u s i n ge m a i lh a s b e c o m ea ni m p o r t a n tm e t h o do fp e o p l e sc o m m u n i c a t i o n ，a n dt h es e c u r i t yo fe - m a i lh a s b e e np a i dg r e a ta t t e n t i o nt ob ym o r ea n dm o r ep e o p l e b u tj u s tl i k et h em e s s a g eo n p o s t c a r d s ，a l lt h em e s s a g eo fe - m a i li so p e na n dc a nb eg o t t e nw h i l eb e i n gt r a n f e r e d b e t w e e nm a c h i n e s e v e r y o n ew h oc a nu s ec o m p u t e r sc a ns e et h ec o n t e n to fe - m a i l m o r e o v e r , t h ec o n t e n to fe - m a i lc a l lb em o d i f i e db ys o m e o n ew h i l eo t h e rp e o p l eh a r d l y k n o wt h a t ，a n ds o m e b o d yw i 吐lm a l i g n i t yc a ns e n da ne - m a i li m i t a t i n ga n o t h e rp e r s o n t h e i n f o r m a t i o nt r a n s f e r r e dt h r o u g he - m a i li ss ot e n d e rt h a th o wt op r o t e c tt h es e c u r i t yh a s b e e nh i g h l yc o n c e r n e db ym a n y p e o p l e h o w e v e rt h et r a d i t i o n a le m a i ls y s t e mh a v e s o m e i n s e c u r ef a c t o r , s u c ha st h ec o n t e n to fe m a i lm a yb er e a d ，m o d i f i e do ri n t e r c e p t e di n c o u r s eo fm a i l i n ga n dm a i l e rc a nb ef a b r i c a t e d t h et r a d i t i o n a le m a i ls y s t e m sa r en o t s u i t a b l ef o rt r a n s f e r r i n gi m p o r t a n ti n f o r m a t i o n b e c a u s et r a d i t i o n a le m a i lt h a tw eu s u a l l y u s eh a sl i t t l es e c u r i t y , i ti sav e r yi m p o r t a n ti s s u ef o ru st op r o v i d es e c u r ee m a i ts e r v i c e t h i sp a p e rm a k e sd e e pr e s e a r c ho nt h er e l a t i o n a lt e c h n i q u e so fe l e c t r o n i cm a i lf i r s t l y , d i s c u s s e st h ep r o b l e mw h i c ha p p e a r si nt t i ep r o c e s so fe - m a i l st r a n s p o r t a t i o na n dp r e s e n t s m e a u r e sa g a i n s tb u i l d i n gu pt h es e c u r i t yo fe l e c t r o n i cm a i l a i m i n ga tt h ep r o b l e ma p p e a r s i ne l e c t r o n i cm a i ls y s t e m ，i ts e t su pa na u t h e n t i c a t ep r o t o c o lf o rs e c u r ee - m a i ls y s t e m ，a n d a p p l i e st h i sp r o t o c o li n t os y s t e mb a s e do ns m i m es t a n d a r d i tc a r r i e so u tt h es e c r e c n i n t e g r i t ya n dn o n - r e p u d i a t i o no ft h i se l e c t r o n i cm a i ls y s t e mb yt a k i n ga d v a n t a g eo ft h e s h o r t l e n g t hk e yo fe l l i p t i cc u r v ec r y p t o g r a p h ya n dh i g h - s p e e d o ft h es y m m e t r i c c r y p t o g r a p h y , i m p l e m e n t sas e c u r e e m a i ls y s t e mp r o v i d i n gd i g i t a ls i g n a t u r ea n d e n c r y p t i o n a tt h ee n d ，i tp r o v e st h es y s t e m ss e c u r i t yi nt h e o r y a c c o r d i n gt ot h es t a n d a r d so fs e c u r em u l t i p l ei n t e r a c tm a i le x t e n s i o n s ，t h i sp a p e r i n t e g r a t e sc r y p t o g r a p h yi n t o t h es y s t e m ，a n da d d st h ea u t h e n t i c a t i o nf u n c t i o nt oi t b e c a u s et h i ss y s t e mm a k e se l l i p t i cc u r v ec r y p t o g r a p h ya st h ep u b l i ck e yc r y p t o g r a p h y , i t p o s s e s s e so fa d v a n t a g e ss u c ha sh i g hs e c u r i t ya n dl o wd e m a n do fb a n d w i d t hc o m p a r e d w i t ho t h e rs y s t e m t h u st h es y s t e mh a sw i d ef o r e g r o u n d ，e s p e c i a l l yi ti sf i tf o rt h ef i e l do f w i r e l e s sn e t w o r ka n dl i m i t e de n v i r o n m e n t k e yw o r d se - m a i l ；a d v a n c e de n c r y p t i o ns t a n d a r d ；d s a ；t h ec i r c u i t ；a r i t h m e t i co f t h ee l l i p t i cc u r v ec r y p t o g r a p h y ；a u t h e n t i c a t i o n i i 河北科技大学学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工 作所取得的成果。对本文的研究做出重要贡献的个人和集体，均己在文中以明确方 式标明。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发 表或撰写过的作品或成果。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名：五沮 矽d 孑年，夕月苫日 塍名：励辑 河北科技大学学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本 人授权河北科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 口保密，在一年解密后适用本授权书。 本学位论文属于 叼不保密。 ( 请在以上方框内打“ ) 学位论文作者签名：毛缸 刁旧。召年j2 月乃日 强f l 疋孑 老 终日 孙 月 签 睑 币 三 i y 瓤 瞬 影 扣 盼 第1 章绪论 第1 章绪论 1 1 课题意义及国内研究现状 伴随中国互联网的发展和政府、企业信息化的进程，电子邮件系统越来越占据 着举足轻重的地位。电子邮件系统在国内的应用，经历了从科研机构的专用工作方 式到步入寻常百姓的日常生活，到为政府和诸多企业认可，成为人们工作、生活“标 准配置”的发展历程。据c n n i c 今年一月发布的最新统计，目前我国网民的电子邮 件账号总数已超过7 0 0 0 万；而据调查，国内有2 4 0 3 的企业已拥有了自己的电子 邮件系统，以专用e m a i l 进行工作交流和与业务伙伴的信息交换【1 】。 随着我国i n t e m e t 网络基础设施的不断改善和互联网应用的日益普及，以及人们 对电子邮件的功能、性能要求的日益提升，电子邮件的应用也必将越来越深入和专 业化。在技术上，电子邮件系统【2 】在国内的发展经历了从传统电子邮件系统的c t o c ( c o p yt oc h i n a ) ，到电子邮件服务提供商组织技术力量开发完善自己的邮件系统，再 到顺应市场需求，逐渐产生满足不同目标用户电子邮件需求的商业化电子邮件系统 成熟产品的不断发展过程。早期，国外一些可免费下载使用的电子邮件系统【3 】( 如 s e n d m a i l 、q m a i l 等) 曾被国内用户广泛采用。这些系统可满足一定用户数的基本邮 件收发需求，但随着用户数量规模的扩大和本地化、专业化，电子邮件功能、性能 需求的日益提升，这些免费j 舶来品”的缺陷日益突出：系统性能随着用户数的增多 急剧下降；可靠性低，收发邮件不稳定甚至丢失邮件；安全性差，易被黑客攻击， 商业机密易泄露；中文处理经常出现问题，代码之间难转换等。这些传统电子邮件 系统的缺陷促使了国内自主开发、自主品牌的电子邮件系统的诞生【4 】。 由于i n t e r n e t 步入寻常百姓家，众多互联网运营商开始为中国网民提供各种网络 信息服务。在电子邮件应用上，网易、常青藤等i c p 率先自主开发的w e b m a i l 为免 费电子邮件服务的大众化作出了不可磨灭的贡献。1 6 3 n e t 、2 6 3 n e t 等网站提供的免 费w e bm a i l 服务【5 j 以亲切易用的全中文w e b 浏览器界面为突出特色。众多网站提供 的免费电子邮件服务为网民带来一定程度的便利，但泛滥的“免费午餐”也导致了邮 件服务市场一定程度的不规范和服务品质的参差不齐。现在各网站纷纷开始选用更 稳定、更可靠、更安全、性能更好、功能更强大的商业化电子邮件系统升级原有系 统，为用户提供更优质的服务。 随着政府上网、企业“e ”化的脚步，中国政府、企事业单位的i n t e m e t 应用也逐 步普及，拥有自己的网站和稳定、安全的电子邮件系统【6 】已成为现代企事业单位内外 信息交流的必要条件。针对各行业企事业单位、电信运营商、i c p i s p a s p 邮件服务 河北科技大学硕士学位论文 的大容量电子邮件系统( 如亚信的a i m c ) 和拥有邮件服务功能的群件产品( 如微软 的e x c h a n g e 和莲花的l o t u sn o t e s ) ，分别针对不同目标客户的邮件服务需要设计开 发并产品化，并成为市场造就的成熟品牌。 随着i n t e r n e t 的发展和电子商务应用的日益普及，电子邮件越来越多地被应用到 日常生活和工作的各个方面。尤其在一些商务和贸易领域，电子邮件已经成为商业 活动的基本通信手段，越来越多的信息统过网络进行传播，其中包括许多个人隐私 和机密信息。电子邮件是i n t e m e t 上最早应用的服务之一，而且电子邮件的内容存在 形式广泛、使用方便和传送速度快等优点，使得电子邮件成为i n t e m e t 上最通用的一 种通信方式。 电子邮件在i n t e m e t 上的传输是从一个机器传输到另一个机器。在这种方式下， 电子邮件所经过网络上的任一系统管理员或黑客都有可能截获或更改该邮件，甚至 伪造某人的电子邮件。与传统邮政系统相比，电子邮件与密封邮寄的信件并不相像， 而与明信片更为相似。电子邮件本身的安全性是以邮件经过的网络系统的安全性和 管理人员的诚实、对信息的漠不关心为基础的。而比明信片还要糟糕的是，电子邮 件的发信人根本不知道一封邮件是经过了那些中转站才到达了目的地，它实际上有 可能经过了学校、政府机关、竞争对手建立的任何网站。因此，电子邮件存在以下 几种安全隐患： 1 ) 窃听 因为电子邮件需要在网络上传播，所以很容易成为别人窃听的目标。根据电邮 件的传输机制，对电子邮件的内容进行窃听是很容易的。 2 、) 假冒 攻击者假冒合法用户给其他用户发送电子邮件或者接收、删除重要的电子邮件。 3 ) 篡改 邮件在传输过程中被窃取后，很可能被攻击者修改内容后再发送给接收方。 4 ) 抵赖 因为信件可以被伪造，所以发送方可能会否认曾发送过的邮件。 为了解决电子邮件传输过程中出现的一些安全问题【7 】，电子邮件应该具有以下功 能： 保密性：只有电子邮件的真实发送方和接收方可以知道邮件的原始内容，其他 人即使能够窃听到电子邮件的内容，也不能恢复出它的原始内容。 完整性：电子邮件的接收方可以知道邮件是否被篡改过，攻击者不能用伪造的 数据来代替邮件的真实内容。 不可否认性：电子邮件的发送方不能否认曾发送过的邮件。 身份认证：电子邮件的发送方只会将信息发送给指定的接收方，接收方也能确 2 第1 章绪论 ，。 匕o 1 2 主要研究内容 从目前的安全电子邮件产品来看，它们本身还存在一定的缺陷：独立于邮件系 统而设计的安全邮件产品，虽然不需对原有的邮件系统进行改动，但是易用性差， 对人们越来越高的安全需求显得有些不足；熟练使用，基于算法设计的安全电子邮 件系统，它需要用户了解相关的密码学知识才能应用。因此针对目前安全电子邮件 产品的研究现状，研究如何将安全认证技术与电子邮件系统有效地结合在一起，设 计并实现一个安全电子邮件客户端，具有重大的理论和实际意义。 本论文主要研究椭圆曲线密码体制的应用实现问题，将椭圆曲线系统及系统上 的签名技术应用到电子邮件中，设计一个基于对称加密和椭圆曲线加密体制的认证 协议，以此来保证电子邮件内容的保密性、完整性和不可否认性。 正是对椭圆曲线公钥密码体制的高安全性和基于椭圆曲线密码的数字签名的强 大功能的关注，论文课题自开展以来，搜集了大量的相关资料，主要有椭圆曲线密 码技术、数字签名、安全电子邮件机制。在广泛查阅椭圆曲线密码学的相关文献的 基础上，对椭圆曲线密码系统的实现、椭圆曲线数字签名方案进行了深入的研究， 设计实现基于椭圆曲线密码的安全电子邮件系统。 1 3 内容结构安排 第1 章绪论，简要说明了基于椭圆曲线密码体制的安全邮件系统的研究目的和 意义，并对电子邮件的发展历史和现状及主要研究内容作了概括； 第2 章阐述了电子邮件中常用的密码技术； 第3 章具体介绍了电子邮件基本结构及相关技术； 第4 章讨论了本邮件系统的设计； 第5 章给出本系统的设计方案及实现方法； 第6 章对算法的安全性进行了分析： 结论部分是对本套邮件系统的特点进行了总结，提出了本论文研究内容的创新 点，最后对后续工作进行了展望。 3 河北科技大学硕士学位论文 第2 章电子邮件中常用的密码技术 2 1 密码学知识概述 密码学的历史大致可以划分为三个阶段：古代密码、古典密码和近代密码 s c h n e i e r b ，1 9 9 6 】。第一阶段为从古代到1 9 4 9 年。这一时期可以看作是科学密码学的 前夜时期，这阶段的密码技术可以说是一种艺术，而不是一种科学，密码学专家常 常是凭知觉和信念来进行密码设计和分析，而不是推理和证明。第二阶段为从1 9 4 9 年到1 9 7 5 年。1 9 4 9 年s h a n n o n 发表的“保密系统的信息理论为私钥密码系统建立 了理论基础，从此密码学成为一门科学，但密码学直到今天仍具有艺术性，是具有 艺术性的一门科学。这段时期密码学理论的研究工作进展不大，公开的密码学文献 很少。l9 6 7 年k a h n 出版了本专著破译者( c o d e b r e a k e r s ) ，该书没有任何新的 技术思想，只记述了一段值得注意的完整经历，包括政府仍然认为是秘密的一些事 情。它的意义在于不仅记述了1 9 6 7 年之前密码学发展的历史，而且使许多不知道密 码学的人了解了密码学。第三阶段为从1 9 7 6 年至今。1 9 7 6 年d i f f i e 和h e l l m a n 发表 的文章“密码学的新动向”文导致了密码学上的一场革命。他们首先证明了在发 送端和接收端无密钥传输的保密通讯是可能的，从而开创了公钥密码学的新纪元。 密码学技术是实现安全电子邮件的核心技术，主要有对称加密、非对称密码体 制、密钥管理、消息摘要、数字签名、数字信封和数字证书等，这些技术能为电子 邮件提供保密性、完整性和不可否认性。 2 1 1 对称密码体制 对称密码体制【8 】，也称私钥加密体制或单钥加密体制，加解密所使用的密钥相同， 或加密密钥和解密密钥虽不相同，但可从其中一个密钥推出另一个。对称密码体制 可分为两类 b r u c es h n e i e rb ，1 9 9 6 ：一次只对明文中的单个位运算的算法称为序列算 法或序列密码；另一类算法是对明文的一组位进行运算，这些位称为分组，相应的 算法称为分组算法或分组密码。在对称加密算法中，加、解密双方所用的密钥都要 保守秘密。由于计算速度快，对称加密算法被广泛应用于大量数据( 如文件) 的加密过 程中。 对称加密的缺点在于密钥的管理过于复杂，如果任何一对发送方和接收方都有 他们各自商议的密钥的话，那么很明显，假设有n 个用户进行对称加密通信，如果 按照上述方法，则他们要产生n 烈1 ) 把密钥，每一个用户要记住或保留n 1 把密钥， 当n 很大时，记住是不可能的，而保留起来又会引起密钥泄漏可能性的增加。 常用的对称加密算法有d e s ，d e a ，r c 2 ，r c 4 ，a e s 等。 4 第2 章电子邮件中常用的密码技术 2 1 2 非对称密码体制 非对称加密算法【w d i f ! f i e ，1 9 7 6 【9 1 ，有时又叫公开密钥算 法( p u b l i ck e ya l g o r i t h m ) 。 这种加密算法是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥 不能根据加密密钥计算出来( 至少在合理假定的长时间内) 。之所以又叫做公开密钥算 法是由于加密密钥可以公开，即陌生人可以得到它并用来加密信息，但只有用相应 的解密密钥才能解密信息。非对称加密的优点在于用户不必记忆大量的提前商定好 的密钥，因为发送方和接收方事先根本不必商定密钥，发送方只要可以得到可靠的 接收方的公开密钥就可以给他发送信息了，即使双方根本互不相识。非对称密码体 制能适应网络的开放性要求，密钥管理简单，并且可方便地实现数字签名和身份认 证等功能，是目前电子商务等技术的核心基础。其缺点是算法复杂，加密数据的速 度和效率较低。因此在实际应用中，通常将对称加密算法和非对称加密算法结合使 用，利用对称加密算法来进行大容量数据的加密，而采用r s a 等非对称加密算法来 传递对称加密算法所使用的密钥，通过这种方法可以有效地提高加密的效率并能简 化对密钥的管理。常用的非对称加密算法有r s a ，d s a ，e c c 等。 2 1 3 密钥管理 算法的安全性依赖于密钥，如果用一个弱的密钥生成方法，那么整个系统都将 是弱的。好的密钥是指那些由自动处理设备产生的随机的位串。许多加密算法都有 弱密钥，我们应通过检测尽量不去使用弱密钥。对公开密钥密码体制来说，产生密 钥更加困难，因为密钥必须满足某些数学特征( 必须是素数，是二次剩余，等等) 。 采用对称加密算法进行保密通信时，密钥往往通过公开密钥密码术 1 0 l 来传输 s c h n e i e rb ，1 9 9 6 】。或将密钥分为两种：密钥加密密钥和数据密钥。密钥加密密钥加 密其他需要分发的密钥，数据密钥只对信息序列进行加密。除少数例外，密钥加密 密钥必须进行手工分发。还有一种方法就是将密钥分成许多不同的部分用不同的信 道发送。这样即使截获者能收集到密钥，但缺少某一部分，他仍然不知道密钥是什 么。密钥传输中需要有错误检测。 密钥管理还涉及到控制密钥使用、更新密钥、存储密钥、备份密钥、密钥有效 期、销毁密钥等内容。而公开密钥的密钥管理相对较容易，主要是通过数字证书来 管理。 2 1 。4 消息摘要 消息摘要 1 1 , 1 2 j 由一个单向h a s h 函数对消息作用产生的，该函数可接受任意长度 的消息，将其变换为一个固定长度的值。 一个消息摘要算法应该具备这样两个特点：( 1 ) 算法是不可预见和不可还原的， 5 河北科技大学硕士学位论文 也就是说，对一个给定的输出值，不能够根据输入数据的一些特点推断出它对应的 输入值，也不能够通过试验还原出它对应的输入值；( 2 ) 对输入数据的一个微小改动， 都将导致输出数据的显著变化。 2 1 5 数字签名 用户用自己的私钥对原始数据的h a s h 摘要进行加密，成为数字签名【1 3 】【1 4 】。信息 接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得h a s h 摘 要，并通过与自己接收到的原始数据产生的h a s h 摘要对照，便可判断原始信息是否 被篡改。 实现数字签名有很多方法，目前采用较多的是非对称加密技术( 即公钥加密技 术) 。用户首先可以下载或者购买数字签名软件，然后安装在个人电脑上。在产生密 钥对后，软件自动向外界传送公钥。由于公钥的存储需要，所以需要建立一个证书 中心( c a ) 以完成个人信息及其密钥的确定工作。证书中心是第三方成员，以便保证 信息的安全和集中管理。用户在获取公钥时，首先向证书中心请求数字确认，证书 中心确认用户身份后，发出数字确认，同时证书中心向数据库发送确认信息。然后 用户使用私有密钥对所传信息签名，保证信息的完整性、真实性，也使发送方无法 否认信息的发送，之后发向接收方接收方接收到信息后，使用公钥确认数字签名， 进入数据库检查用户确认信息的状况和可信度最后数据库向接收方返回用户确认状 态信息。不过，在使用这种技术时，签名者必须注意保护好私钥，因为它是公开密 钥体系安全的重要基础。 2 1 6 数字信封 数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才 能阅读信的内容；数字信封则采用密码技术保证了只有规定的接收人才能阅读信息 的内容。 数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随机产 生的对称密钥加密信息，再利用接收方的公钥加密对称密钥，被公钥加密后的对称 密钥被称之为数字信封。在传递信息时，信息接收方要解密信息，必须先用自己的 私钥解密数字信封，得到对称密钥，才能利用对称密钥解密所得到的信息。这样就 保证了数据传输的真实性和完整性。 2 1 7 散列h a s h 函数 对任意长度的消息，经过h a s h 函数【1 5 】处理，可以产生固定长度的杂凑值。杂凑 值称为信息的摘要( d i g e s t ) 。对可变大小的消息m ，经由h a s h 函数h 可以产生固定 长度的杂凑值h ，用h ( m ) 表示。h a s h 函数的单向性，使得从签名恢复出原始消息是 6 第2 章电子邮件中常用的密码技术 不可能的。对杂凑值的数字签名，就可以视为对明文的数字签名。数字签名的目的 在于鉴别而不需要恢复原始消息，所以不需要对全文进行签名。因为生成的杂凑值 比原数据信息量小，所以使用h a s h 函数可以大大提高数字签名的效率。 一个安全的用于数字签名的函数至少满足以下条件： 1 ) 输出长度是固定的； 2 ) 输入数据的长度是任意的； 3 ) 对任意给定的消息地计算输出娥蚴比较容易； 4 ) 对任意给定的杂凑值h ，找到满足川m = h 的m 在计算上是不可行的； 5 ) 对任意给定的消息m 找到满足m n 且删= 月的在计算上是不可 行的； 6 ) 对任意给定的消息m 消息m 任何单个比特的变化，都会导致以蚴发生变 化。 安全h a s h 算法s h a ( s e c u r eh a s ha l g o r i t h m ) 是美国n i s t 和n s a 共同设计的标 准，用于作为数字签名标准( d s s ) 的h a s h 函数，产生数据摘要。该算法于1 9 9 3 年公 布为联邦信息处理标准f i p sp u b1 8 0 ，1 9 9 5 年又颁布了一个修订版f i p sp u b1 8 0 1 ， 记为s h a 一1 。s h a 1 是目前使用最广泛的h a s h 算法。 s h a 一1 的要求是消息长度小于2 6 4 位，输出的h a s h 函数长度为1 6 0 位，分组长 度是5 1 2 位。该算法是基于m i t 的r o n a l d l r i v e s t 设计的m d 4 算法。s h a 一1 的处 理流程为： 1 ) 在待处理的消息后面添加一个1 和若干个0 ( 至少1 个，最多5 1 2 个) ，使消 息的长度变成5 1 2 的倍数减去6 4 ； 2 ) 在新得到的消息后面再添加一个6 4 比特的二进制串，其值为消息的原始长 度，此时消息的长度为5 1 2 的倍数； 3 ) 初始化缓存，缓存为5 个3 2 比特的变量； 4 ) 利用主循环每次处理一个5 1 2 比特的分组。主循环共有4 轮，每轮2 0 次操 作； 5 ) 输出1 6 0 比特的消息摘要作为运算结果。 在2 0 0 4 年8 月的国际密码学会议上，山东大学教授王小云宣布m d 5 算法能在 很短的时间内找到碰撞，m d 5 被攻破。国际密码学家l e n s t r a 利用王小云提供的m d 5 碰撞，伪造了符合x 5 0 9 标准的数字证书，这就说明了m d 5 的破译己经不仅仅是 理论破译结果，而是可以导致实际的攻击。2 0 0 5 年2 月美国n i s t 发表声明，称没 有足够的理由怀疑s h a 1 会很快被攻破，s h a 1 是安全的。但同时表示，要逐步淘 汰现在采用的数字签名体系，换用其他更安全的算法。但随后不久王小云宣布破译 了s h a 1 。从理论上讲现有的电子签名可以伪造，必须及时添加限制条件，或者重 7 河北科技大学硕士学位论文 新选用更为安全的密码标准，以保证电子商务的安全。随着s h a 1 函数【1 6 】被逐渐破 译，密码学家致力于寻找更加安全的算法，以满足现实的需要。 2 2 椭圆曲线密码体制 椭圆曲线密码体制的数学原理涉及到群、环、域概念【1 7 】。 2 2 1 椭圆曲线的数字定义 椭圆曲线的研究来源于椭圆积分( 1 砚： 隆 。4 e ( x ) 这里瞰) 是x 的二次多项式或四次多项式，这样的积分不能用初等函数来表达，为 此引入了所谓椭圆函数。 椭圆曲线是由三次方程维尔斯特拉斯( w e i e r s t r a s s ) 方程： 五：+ a l x y + a 3 y= + 口2 + a 4 x + a 6 ( 2 1 ) 所确定的平面曲线，k 是一个域，可以是有理数域或复数域，还可以是有限域。 a i e k ，卢1 ，2 ，6 。满足( 2 - 1 ) 式的数偶 ，力称为k 域上的椭圆曲线的点。椭圆曲 线的定义中还包含一个称为无穷远点的元素，记为o 。我们将椭圆鳆线记为e ( 硷以 强调椭圆曲线e 定义在域k 上。 首先看在实数域上的椭圆曲线，这样更容易理解椭圆曲线运算。 椭圆曲线( 2 1 ) 可以限制为下列形式： e ：扩_ - x 3 + a x + b 这里，+ a x + b = o ，在实数域上没有重根，即4 口3 + 2 7 b 2 0 。 椭圆曲线是一个具有两个变元的方程。在实数域上，椭圆曲线所用的是变元和 系数均为实数，x 和y 均在实数集上取值。 2 2 2 椭圆曲线e ( 的点的加法运算几何描述 椭圆曲线加法的运算规则是：一条直线与椭圆曲线相交，所有交点的和为0 t 1 9 1 。 1 )无穷远点o 在椭圆曲线的点构成的有限群中起加法单位元的作用f 2 伽，其 作用相当于整数加法群中的0 。 o = - o ： 对椭圆曲线上的任何一点p ，有p + o = o + p = p 。 下面假设p q 且q o 。 2 ) 横坐标相同、纵坐标相反的两个点互为负元，互为负元的两个点相加为 o 。 即若p = ( x ，y ) ，贝0 - - p = ( x ，- y ) ，p + ( 一p ) 2p p = 0 。 8 第2 章电子邮件中常用的密码技术 3 )在p 和q 之间作一条直线与椭圆曲线交于一点r ， 对称。根据椭圆曲线上加法的运算规则，p + q + r o ， 从而p + q = r 。即p + q 为第三个交点的关于x 轴的镜像。 4 ) 若p 和q 重合，p + p + q = o ，即2 p + q = o ，从而2 p - - r 。 法运算“+ ”满足下列规则： 封闭性对vp ，q e ( k ) ，p + q e ( k ) ； 结合律对vp ，q e ( k ) ，( p + q ) + i p p + ( q + r ) ： r 和r 关于x 轴 p + q = - r 。 在点集e ( 目中，加 可交换性对vp ，q e ( k ) ，p + q = q + p ； 对vp e ( k ) ，p + o = o + p = pe ( k ) ，0 为无穷远点，也是零元； 对vp e ( k ) ， jq e ( k ) ，p + q = o ，o 为无穷远点，则q 成为p 的负元。 因此，e 上的点关于运算“+ ”构成a b e l 群，椭圆曲线密码体制使用a b e l 群 来构建。 椭圆曲线上的点加运算的结果一定是椭圆曲线上的一个点。反之，若有一条曲 线上的点加运算的结果不在该曲线上，则它不是椭圆曲线。 当p = q 时，p + q = p + p = 2 p ，此时称为倍点运算，倍点运算是点加运算的特例。 给定一个整数k 和椭圆曲线的点p ，将p 加到自身k 次，记为灶称为椭圆曲线 上的点的数乘运算( s c a l a rm u l t i p l i c a t i o n ) 。点加运算和倍点运算的几何描述见图2 1 和图2 2 。 一 ： 口 历tl 、 ；鬈7 i x 图2 - 1 点加运算：p + q = r f i g ，2 1 o p e r a t i o no f t h ep o i n ta d d i t i o n ：p + q 2r 9 河北科技大学硕士学位论文 一 - ： 夕布 ： ： f- 厂弋j r 一 7 、 ： 工 ； i ： ：辰 v 八 图2 - 2 倍点还算：2 p = r f i g 2 2o p e r a t i o no f t h e d o u b l ep o i n t 2 2 3 椭圆曲线e 的点的加法运算代数描述 对于是互为负元的两个不同的点p l , y 0 ，q 能沈) 。若p ( x b y 0 + q ( x 2 , y 2 ) = r ( x 3 , y 3 ) ， 则连接p o 的曲线的斜率为五= 丝二丝，r ( x 3 奶) 用如下形式表示： x 2 一五 j 南2 2 2 _ 一一x 2 ( 2 3 ) 【y 3 = 名( 五一而) 一咒 对于一个点与其自身相加：p ( x i 1 ) ，r ( x 3 0 , 3 ) ，p + p = 2 p = r 。当y l 0 时， 贝0 旯：3 x _ = ? - + 一a 上乃 j x 3 “2 2 x 1 ( 2 - 4 ) 【儿= 见( 墨一恐) 一m 在实际应用中，是使用有限域而不是使用实数域来构造密码体制。使用实数域 的缺点是实数计算时会产生误差，很难精确地存储这些数据，无法满足密码算法的 精确性，并很难预测需要多大的存储空间。 定义2 。1 ：如果一个域的元素个数是有限的，则称此域为有限域，用g f ( p ) 表示。 常用的有限域是素数域g f ( g ) ( q = p ) 和二进制域g f ( 2 m ) 。设p 是一个素数， 1 0 第2 章电子邮件中常用的密码技术 整数集合 0 ，1 ，p 一1 ) 构成的有限域称为素数域。二进制域g f ( 2 m ) 是由2 m 个 元素及定义在多项式上的加法运算组成。 我们要讨论的是在素数域的基础上，构造椭圆曲线密码体制。 g f ( q ) 表示素数域，为了满足安全性，素数域的要求不少于1 6 0 位，a , b g f ( q ) 满足4 a 3 + 2 7 b 2 0 ( r o o dp ) ，由参数口和b 定义的g k g ) 上的椭圆曲线是由方程( 2 1 ) 的限制形式： 厂2x + a x + b ( m o d p ) ( 2 5 ) 所确定。椭圆曲线记为e ( g f ( q ) ) 。 对于素数域，椭圆曲线运算没有明确的几何解释，代数运算与实数域基本一致， 所执行的运算均为模p 的运算。 定义2 2 ：椭圆曲线e ( g f ( q ) ) 的点数称为曲线的阶，用拌e ( 舒( g ) ) 表示。 定理2 1 ( h a s s e 定理) ： 对于e ( g f ( q ) ) ，群e ( 舒( g ) ) 满足： g + 1 2 g j f ；e ( g f ( 9 ) ) q + l + 2 4 q 对于素数域g f ( 1 1 ) ，由参数a = l ，b = 6 所确定的椭圆曲线上共有1 3 个点，包括 无穷远点o 和1 2 个点，如下表所示： 表2 - 1 椭圆曲线e ( g f ( 11 ) ) ( a = l ，b = 6 ) 上的点 t a b 2 - 1 p o i n to f t h ee l l i p t i cc u l w co f e ( g f ( i1 ) ) ( a = l ，b = = 6 ) ( 2 ，4 ) ( 2 7 ) ( 3 。5 ) ( 3 6 )( 5 。2 )( 5 。9 ( 7 ，2 )( 7 。9 )( 8 3 ) ( 8 ，8 )( 1 0 ，2 ) ( 1 0 ，9 ) 取p ( 2 ，4 ) ，计算r = 2 t , 根据公式( 2 4 ) 进行模运算： 兄= 3 ，x 3 = 5 ，弘= 9 ，即r ( 5 ，9 ) 。 定义2 3 ：椭圆曲线e ( g f ( q ) ) 点g 的阶n 是使n g = o 成立的最小正整数。 定义在素数域的椭圆曲线上的点集关于“十”运算构成a b e l 群，利用这类点群 上离散对数问题的难解性来建立椭圆曲线密码体制。 2 2 4 椭圆曲线离散对数 椭圆曲线离散对数问题( e l l i p t i cc u r v ed i s c r e t el o g a r i t h mp r o b l e m ) 是椭圆曲线公 钥密码系统的核心。 对于椭圆曲线昱( 舒( 鸟) ) 任意两点p 、q ，q = l ( p ，在已知p ，q 的情况下求出小于 1 1 河北科技大学硕士学位论文 q 的正整数k 。已知k 和p 计算q 比较容易，而由q 和p 计算k 则比较困难，这就 是椭圆曲线加密原理所在。 椭圆曲线密码体制的安全性是基于椭圆曲线离散对数问题，即求解e c d l p 的最 有效算法的时间复杂度。与一般的有限乘法群上的离散对数问题不同，有限域上的 椭圆曲线离散对数问题的求解更难，不能被所有己知算法在多项式时间内求解。在 一般的离散对数问题中，有限域上的代数对象由域加法和域乘法两种基本运算构成， 这使得亚指数时间的离散对数运算算法可行。在椭圆曲线离散对数中，其代数运算 只有一种基本运算，即椭圆曲线上的点加运算，这使得除了少数非常特殊的椭圆曲 线以外，亚指数时间的离散对数求解算法对椭圆曲线离散对数无效。 椭圆曲线离散对数问题是构造椭圆曲线密码体制的数学基础，因此通过分析现 有的各种e c d l p 求解算法，准确把握e c d l p 问题的求解进展情况，对于设计快速 安全的椭圆曲线密码体系具有重要的意义。 对于素数域识2 3 ) ，由参数a = 9 ，b = 1 7 所确定的椭圆曲线，求以p = ( 6 ，5 ) 为 底的q = ( 4 ，5 ) 的离散对数k 。使用穷举攻击是通过计算p 的倍数来寻求q 。p ：( 1 6 ， 5 ) ：2 p = ( 2 0 ，2 0 ) ；3 p = ( 1 4 ，1 4 ) ；4 p = ( 1 9 ，2 0 ) ；5 p = ( 1 3 ，1 0 ) ；6 p = ( 7 ，3 ) ： 8 p = ( 1 2 ，1 7 ) ；9 p = ( 4 ，5 ) 。因为9 p = ( 4 ，5 ) = q ，所以，以p = ( 1 6 ，5 ) 为底的q = ( 4 ，5 ) 的离散对数k ：9 。在实际密码系统中，k 值达数百位，使穷举方法不可行囝3 。 2 。2 。5 坐标系统 椭圆曲线可以用多种坐标系统来表示。对每种坐标系统，加法运算与倍点运算 的速度是不一样的。选择适当的坐标系对椭圆曲线数乘运算的速度有重要的影响。 常用的两种坐标系统是仿射坐标系( a f f i n ec o o r d i n a t s ) 和投影坐标系 r o j e c t i v e c o o r a d i n a t e s ) a 前面介绍加法规则时，所给出的各类公式所使用的坐标系均为仿射坐标系。 在仿射坐标系下，每一次点加倍乘运算，都需要求逆。然而有限域上的求逆运 算所用的时间相当多，求逆运算时间超过乘法运算时间的倍以上，求逆运算是运算 速度的主要瓶颈。因此一般采用投影坐标来表示椭圆曲线，以提高密码系统的运行 性能。在实际应用中，为了传输和存储方便，输入输出时采用仿射坐标系。在计算 时采用投影坐标。 1 9 9