b第二周对称密码学(第2、3、6章)剖析.ppt

1 华南理工大学经贸学院本科课程 电子商务安全与保密 第2章对称密码学 2 信息论的概念 公式 H x 含义 不确定性 即一条信息当中的信息量 越大越好一个只有一个字符的语言 熵 1 log2 1 0 完全随机语言 1 26 log2 1 26 log2 1 26 4 xx 一个字母对任意字母的映射直观来说 从一个信息元推断其它信息元的可能性 熵越小 可能性越大例 如果信息不是男就是女 那么H m 1 2log2 1 2 1 2 log2 1 2 1联合熵条件熵 3 信息率 r H M N N是消息的长度 H M 是信息熵绝对信息率R log2L语言的多余度D R r 越少越好 减少被推测可能例 英语的信息率估计是1 2 绝对信息率是4 7 L 26 则冗余度估计是3 5唯一解距离 进行强力攻击时 可能解出唯一有意义的明文所需要的最少密文量 定义为U H M D H M 是信息熵 D是多余度 越长越好 与冗余度成反比问 为什么密钥要定期更换 信息论的概念 4 密码学的Shannon模型 Z Z Z 5 密码学的Shannon模型 X 明文 plain text 作为加密输入的原始信息 Y 密文 cipher text 对明文变换的结果 E 加密 encrypt 是一组含有参数的变换 将可识别的明文变为密文 密文可识别 阈下信道 D 解密 decrypt 加密的逆变换 Z 密钥 key 是参与加密解密变换的参数 一密码系统 算法 明文空间 密文空间 密钥空间系统分析者 试图从密文破解出明文者上述过程的数字表示 Y E X Z X D Y Z 6 密码分析理论 Kerckhoffs假设假定 密码分析者知道对方所使用的密码系统包括明文的统计特性 加密体制 操作方式 处理方法和加 解密算法 密钥空间及其统计特性 不知道 解密 密钥 在设计一个密码系统时 目标是在Kerckhoffs假设的前提下实现安全 产业化至关重要雪崩效应明文或密钥的微小改变将对密文产生很大的影响是任何加密算法需要的一个号性质 特别地 明文或密钥的某一位变化会导致密文的很多位发生变化 这被称为雪崩效应 越大越好 7 1 唯密文攻击 CipherText OnlyAttack 密码分析者有一些消息的密文 这些消息都用同一加密算法加密 密码分析者的任务是恢复尽可能多的明文 或者最好是能推算出加密消息的密钥 以便可采用相同的密钥解出其他被加密的消息 2 已知明文攻击 Known PlaintextAttack 密码分析者不仅可得到一些消息的密文 而且也知道这些消息的明文 分析者的任务就是用加密信息推出用来加密的密钥或推导出一个算法 此算法可以对用同一密钥加密的任何新的消息进行解密 密码分析 8 3 选择明文攻击 Chosen PlaintextAttack 分析者不仅可得到一些消息的密文和相应的明文 而且也可选择被加密的明文 这比已知明文攻击更有效 因为密码分析者能选择特定的明文块去加密 那些块可能产生更多关于密钥的信息 分析者的任务是推出用来加密消息的密钥或导出一个算法 此算法可以对用同一密钥加密的任何新的消息进行解密 4 选择密文攻击 Chosen CipherTextAttack 密码分析者能选择不同的被加密的密文 并可得到对应的解密的明文 密码分析者的任务是推出密钥 密码学的Shannon模型 9 5 适用性选择密文攻击 AdaptiveChosen CipherTextAttack CCA2 在CCA的基础上 密码分析者除了对 目标密文 解密以外 永远能够得到解密服务 能在使用解密机的过程中 根据解密机的反馈适应性地构造密文再进行解密 与CCA2不同 CCA要求在得到目标密文以后 解密服务立即停止 密码学的Shannon模型 10 密码体制的安全性 无条件安全或完善保密性 unconditionallysecurity 不论提供的密文有多少 密文中所包含的信息都不足以惟一地确定其对应的明文 具有无限计算资源 诸如时间 空间 资金和设备等 的密码分析者也无法破译某个密码系统 要构造一个完善保密系统 其密钥量的对数 密钥空间为均匀分布的条件下 必须不小于明文集的熵 不确定性不能减少从熵的基本性质可推知 保密系统的密钥量越小 其密文中含有的关于明文的信息量就越大 容易从密文猜出明文存在完善保密系统如 一次一密 one timepad 方案 量子密码 实际上安全或计算安全性 computationalsecurity 计算上是安全 即使算出和估计出破译它的计算量下限 利用已有的最好的方法破译该密码系统所需要的努力超出了破译者的破译能力 诸如时间 空间 资金等资源 从理论上证明破译它的计算量不低于解已知难题的计算量 因此 在现阶段 是安全的 11 书本 混淆 confusion 和扩散 diffusion 的不同翻译扩散和混淆是C E Shannon提出的设计密码体制的两种基本方法 其目的是为了抵抗对手对密码体制的统计分析 可抵抗对手从密文的统计特性推测明文和密钥 常用的方法对应是替代 如凯撒密码 和置换 如DES Thebasictechniquesforthisarecalledconfusion 混淆 anddiffusion 扩散 Theseroughlycorrespondtosubstitution 替代 andpermutation 置换 扩散对应的方法是置换 混淆对应的方法是替代 扩散和混淆 12 代替 每个明文元素或者元素组倍唯一地替换为相应的密文元素或者元素组置换 明文元素的序列被替换为该序列的一个置换 也就是说 序列里没有元素被增删改 但序列里元素出现的顺序被改变了扩散 为避免密码分析者对密钥逐段破译 密码的设计应该保证密钥的每位数字能够影响密文中的多位数字 同时 为了避免避免密码分析者利用明文的统计特性 密码的设计应该使明文中的每1个bit影响密文的多个bit 或说密文中每1个bit受明文中多个bit影响 从而隐藏明文的统计特性 混淆 为了避免密码分析者利用明文与密文之间的依赖关系进行破译 将密文和密钥之间的统计关系变得尽可能复杂 扩散和混淆 13 DES的安全性 基于1997年的技术统计分析的攻击结果 数据加密标准64位分组和56位密钥1977年倍NBS采纳为标准1999年规定只用于遗留系统和3DES 14 多重DES多重DES就是使用多个密钥利用DES对明文进行多次加密 多重DES可以增加密钥量 1 双重DESK1 K2是两个长度为56bit的密钥 明文X 密文Y加密变换 Y DESK2 DESK1 X 解密变换 X DESK1 1 DESK2 1 Y 双重DES所用密钥长度为112bit 强度极大增加 15 2 三重DESK1 K2 K3是两个长度为56bit的密钥 明文X 密文Y加密变换 Y DESK3 DESK2 1 DESK1 X 解密变换 X DESK1 1 DESK2 DESK3 1 Y 三重DES所用密钥长度为168bit 如果K1 K2或K2 K3 则三重DES退化为使用一个56bit密钥的单重DES 这个过程称为EDE 即加密 解密 加密 EncryptDecryptEncrypt 所以 可以使K1 K3来用三重DES方法执行常规的DES加密 三重DES目前还被当作一个安全有效的加密算法使用 三重DES已在因特网的许多应用 PGP S MIME 中被采用 16 IDEA算法 IDEA国际数据加密算法 InternationalDataEncryptionAlgorithm 瑞士联邦理工学院 XuejiaLai JamesMassey 1990 1991改进 加强了对差分密码分析的抗击能力 明文分组与密文分组的长度均为64位 密钥长度为128位 在目前常用的安全电子邮件加密方案PGP中使用 17 Rijndael算法 由Square算法发展演变而来 已被美国国家标准技术研究所选定作为高级加密算法AES AdvancedEncryptionStandard取代DES迭代分组密码算法 类似流密码 每一轮有内部状态 密钥128 192 256 分组128 192 256 循环次数10 12 14 速度快 对内存要求小 操作简单 算法的抗攻击能力强 高级加密标准 AES 算法 Rijndael的设计 清华大学出版社 18 其他算法 BLOWFISHBruceSchneier1995发表 64位分组 最大到448位可变长密钥 Fast compact simple variablysecure RC2 RC4 RC5 RC6算法由Rivest发明 19 分组密码的工作模式 已经提出的分组密码工作模式有 电码本 ECB 模式 原始模式密码分组链接 CBC 模式 密码反馈 CFB 模式 输出反馈 OFB 模式 这是最简单的方式 以分组64bit为例 明文接受64bit的分组 每个明文分组都用同一个密钥加密 每个64bit的明文分组就有一个唯一的密文 特点 同一个64bit明文分组多次出现 产生的密文就总是一样的 它可用于少量的数据加密 比如加密一个密钥 对于大报文用ECB方式就不安全 ECB模式 电子密码本 ECB模式 ECB模式 ECB模式的优缺点 模式操作简单明文中的重复内容将在密文中表现出来 特别对于图像数据和明文变化较少的数据适于短报文的加密传递 ECB模式 目的 同一个明文分组重复出现时产生不同的密文分组原理 Pn加密算法的输入是当前的明文分组Cn 1和前一密文分组的异或K第一个明文分组和一个初始向量Cn进行异或 XOR DES加密 CBC模式 密码分组链接 初始向量时刻t1t2tnIVP1P2PnKKKC1C2Cn 1Cn OR DES XOR XOR DES DES CBC模式 CBC模式 CBC模式 CBC模式的特点 同一个明文分组重复出现时产生不同的密文分组加密函数的输入是当前的明文分组和前一个密文分组的异或 对每个分组使用相同的密钥 将明文分组序列的处理连接起来了 每个明文分组的加密函数的输入与明文分组之间不再有固定的关系有助于将CBC模式用于加密长消息 CBC模式 OFB模式 输出反馈 CFB模式 密码反馈 CTR模式 计数器 CTR模式的特点 使用与明文分组规模相同的计数器长度处