密码技术ppt课件.ppt

第三章密码技术 本章目录 3 1数据加密概述3 2数据加密技术3 3数字签名技术3 4鉴别技术3 5密钥管理技术 密码编码学 cryptography 是密码体制的设计学 密码分析学 cryptanalysis 则是在未知密钥的情况下从密文推演出明文或密钥的技术 密码编码学与密码分析学合起来即为密码学 cryptology 如果不论截取者获得了多少密文 但在密文中都没有足够的信息来唯一地确定出对应的明文 则这一密码体制称为无条件安全的 或称为理论上是不可破的 如果密码体制中的密码不能被可使用的计算资源破译 则这一密码体制称为在计算上是安全的 3 1数据加密概述 理论上不可攻破的系统只有一次一密系统 密钥随机产生 与明文等长 只使用一次 明文 明文序号 随机密钥 密文 密文序号 本处加密算法 明文 密钥 mod26可能的密钥序列有268个 明文长度越大 破译难度越大 穷举破译过程中 可能生成另外的有意义的明文 所以无论截获多少密文 都不能增加破译可能 解密算法 密文 密钥 mod26 3 2数据加密技术 1 加密 解密函数 2 对称密码体制 SymmetricKeyCrytosystem 单钥密码体制 One keyCrytosystem 经典密码体制 ClassicalCrytosystem 3 非对称密码体制 AsymmetricKeyCrytosystem 双钥密码体制 Two keyCrytosystem 公钥密码体制 PublickeyCrytosystem 用户1 保存用户2 3 4密钥 用户4 保存用户1 2 3密钥 用户3 保存用户1 2 4密钥 用户2 保存用户1 3 4密钥 网络中4个用户之间使用对称加密技术 用户1 保存自己的私钥 公钥 用户4 保存自己的私钥 公钥 用户3 保存自己的私钥 公钥 用户2 保存自己的私钥 公钥 网络中4个用户之间使用非对称加密技术 Internet 公开密钥密码体制的优点 1 密钥分配简单 由于加密密钥与解密密钥不同 且不能由加密密钥推导出解密密钥 因此 加密密钥表可以像电话号码本一样 分发给各用户 而解密密钥则由用户自己掌握 2 密钥的保存量少 网络中的每一密码通信成员只需秘密保存自己的解密密钥 N个通信成员只需产生N对密钥 便于密钥管理 3 可以满足互不相识的人之间进行私人谈话时的保密性要求 4 可以完成数字签名和数字鉴别 发信人使用只有自己知道的密钥进行签名 收信人利用公开密钥进行检查 既方便又安全 对称密码体制算法比公钥密码体制算法快 公钥密码体制算法比对称密码体制算法易传递 因而在安全协议中 例如SSL和S MIME 两种体制均得到了应用 这样 既提供保密又提高了通信速度 应用时 发送者先产生一个随机数 即对称密钥 每次加密密钥不同 并用它对信息进行加密 然后用接收者的公共密钥用RSA算法对该随机数加密 接收者接收到信息后 先用自己的私人密钥对随机数进行解密 然后再用随机数对信息进行解密 这样的链式加密就做到了既有RSA体系的保密性 又有DES或IDEA算法的快捷性 3 2 1古典密码体制 明文 HELLO 密文 2315313134 例一希腊密码 二维字母编码查表 公元前2世纪 ABCDEFG XYZDEFGHIJ ABC 明文 HunanUniversity 密文 kxqdqxqlyhuvlwb 公元前50年 古罗马的凯撒大帝在高卢战争中采用的加密方法 凯撒密码算法就是把每个英文字母向前推移K位 k 3 例二凯撒密码 公元前50年 例三多表代换密码经典的维吉尼亚密码仍能够用统计技术进行分析需选择与明文长度相同并与之没有统计关系的密钥 作业1 请用C C 实现vigenere密码 例四多字母替换密码Playfair是以英国科学家L Playfair的名字命名的一种多字母替换密码 英国曾在一战期间使用过二字母替换密码 每一对明文字母m1和m2 替换规则如下 若m1和m2在密钥方阵的同一行 则密文字母C1和C2分别是m1和m2右边的字母 第一列视为最后一列的右边 若m1和m2在密钥方阵的同一列 则C1和C2分别是m1和m2下边的字母 第一行视为最后一行的下边 若m1和m2位于不同的行和列 则C1和C2是以m1和m2为顶点的长方形中的另外两个顶点 其中C1和m1 C2和m2处于同一行 若m1 m2 则在m1和m2之间插入一个无效字母 如 x 再进行以上判断和指定 若明文只有奇数个字母 则在明文末尾加上一个无效字母 表1二字母替换密码方阵 例如 明文为 bookstore 求密文 明文 bookstorex密文 IDDGPUGXGV 分组密码按一定长度对明文分组 然后以组为单位用同一个密钥进行加 解密 著名的分组密码算法有 DES DataEncryptionStandard IDEA InternationalDataEncryptionAlgorithm GOST GosudarstvennyiStandard AES AdvancedEncryptionStandard 流密码利用密钥K产生一个密钥流 按字符逐位进行加 解密 密钥流z z0 z1 其中zi f K i i是加密器中存储器在时刻i的状态 f是K和 i产生的函数 3 2 2对称密码体制 DES加密过程 明文分组 将明文分成64位一组 初始变换IP 对64位码进行移位操作 迭代过程 共16轮运算 这是一个与密钥有关的对分组进行加密的运算 这是DES加密算法的核心部分 逆初始变换 IP 1 是第 步变换的逆变换 这一变换过程也不需要密钥 也是简单的移位操作 输出64位码的密文 逆初始变换IP 1 输入 64位 58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157 输出 64位 L0 32位 R0 32位 初始变换IP t1t2t3 t63t64 t58t50t42 t15t7 t1t2t3 t63t64 t40t8t48 t57t25 DES加密过程图 Li Ri 密钥 选择压缩S 置换运算P Ri 1 Li 1 Ri 移位 移位 压缩置换PC 2 密钥 一轮迭代过程示意图 32位 48位 32位 48位 28位 28位 56位密钥 Ki 扩展运算E 经初始变换后的64位序列右半部分 32位 经选择扩展运算E 将32位扩展成48位二进制块 Ri 1 E r1r2r3 r31r32 r32r1r2r3 r31r32r1 置换选择函数PC 1 密钥K是一个64位二进制块 其中8位是奇偶校验位 分别位于第8 16 24 64位 置换选择函数将这些奇偶校验位去掉 并把剩下的56位进行换位 换位后的结果被分成两半 置换选择函数PC 2 选择压缩的例子 对称密码体制的不足 密钥使用一段时间后就要更换 加密方每次启动新密码时 都要经过某种秘密渠道把密钥传给解密方 而密钥在传递过程中容易泄漏 网络通信时 如果网内的所有用户都使用同样的密钥 那就失去了保密的意义 但如果网内任意两个用户通信时都使用互不相同的密钥 N个人就要使用N N 1 2个密钥 因此 密钥量太大 难以进行管理 无法满足互不相识的人进行私人谈话时的保密性要求 在Internet中 有时素不相识的两方需要传送加密信息 难以解决数字签名验证的问题 解决密钥分发的困难数字签名的需要依据数学问题的不同 可分为三类 基于整数分解问题 RSA基于离散对数问题 DSA DH基于椭圆曲线点群上离散对数问题 ECDSA 3 2 3非对称密码体制 RSA密码体制 密钥产生假设Alice想要通过一个不可靠的媒体接收Bob的一条私人讯息 她可以用以下的方式来产生一个公钥和一个私钥 随意选择两个大的质数p和q p不等于q 计算n p q 根据欧拉函数 不大于N且与N互质的整数个数为 p 1 q 1 选择一个整数e与 p 1 q 1 互质 并且e小于 p 1 q 1 用公式计算d d e 1 mod p 1 q 1 将p和q的记录销毁 e是公钥 d是私钥 d是秘密的 而n是公众都知道的 Alice将她的公钥传给Bob 而将她的私钥藏起来 加密消息假设Bob想给Alice送一个消息M 他知道Alice产生的n和e 他使用起先与Alice约好的格式将M转换为一个小于n的整数m 比如他可以将每一个字转换为这个字的Unicode码 然后将这些数字连在一起组成一个数字 假如他的信息非常长的话 他可以将这个信息分为几段 然后将每一段转换为m 用下面这个公式他可以将m加密为c me c modN 或c me modN 计算c并不复杂 Bob算出c后就可以将它传递给Alice 解密消息Alice得到Bob的消息c后就可以利用她的密钥d来解码 她可以用以下这个公式来将c转换为m cd m modn 或m cd modn 得到m后 她可以将原来的信息m重新复原 RSA示例选择两个素数p 11 q 17 举例方便 实际应该为大素数 n p q 11 17 187 n p 1 q 1 160选择一个随机整数e 13 160 且与160互素 求d d 13 1 mod160 160 12 13 413 3 4 11 13 3 4 13 3 160 12 13 37 13 3 16037 13 1 mod160 设明文M 9 则913 25 mod187 密文C 25接收密文C 2537 9 mod187 明文M 9 3 3数字签名技术 数字签名是通过一个单向哈希函数对要传送的报文进行处理 用以认证报文来源并核实报文是否发生变化的一个字母数字串 MAC或消息摘要 接收者用发送者公钥对摘要解密得到哈希摘要 对原始报文进行同样的哈希处理 比较两者是否相同 保证了完整性和不可否认性 著名的有RSA ElGamal DSS等数字签名体制 1 对数字签名的要求 1 报文鉴别 接收者能够核实发送者对报文的签名 2 报文的完整性 发送者事后不能抵赖对报文的签名 3 不可否认 接收者不能伪造对报文的签名 2 具有保密性的数字签名 许多报文并不需要加密但却需要数字签名 以便让报文的接收者能够鉴别报文的真伪 然而对很长的报文进行数字签名会使计算机增加很大的负担 需要进行很长时间的运算 当我们传送不需要加密的报文时 应当使接收者能用很简单的方法鉴别报文的真伪 1 报文鉴别 3 4鉴别技术 报文摘要的实现 2 实体鉴别 报文鉴别是对每一个收到的报文都要鉴别报文的发送者 实体鉴别在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次 1 简单鉴别最简单的实体鉴别方法是 A使用对称密钥KAB加密发送给B的报文 B收到此报文后 用共享对称密钥KAB进行解密 因而鉴别了实体A的身份 易受到重放攻击 C截获握手报文 发送给B 让B误认为C是A 和IP欺骗 截获A的IP 冒充A A B EKAB 我是A A B 时间 2 使用随机数进行鉴别 A B 中间人C 时间 3 中间人攻击 3 5密钥管理技术 管理密钥从产生到销毁的全过程 包括系统初始化 密钥产生 存储 备份 装入 分配 保护 更新 控制 丢失 吊销 销毁 密钥一般分为 基本密钥 会话密钥 密钥加密密钥 主机密钥 基本密钥 又称初始密钥 由用户选定或系统分配 可在较长时间由一对用户专门使用的秘密密钥 会话密钥 用户在一次通话或交换数据过程中使用的密钥 与基本密钥一起启动和控制密钥生成器 生成用于加密数据的密钥流 密钥加密密钥 用于对传送的会话或文件密钥进行加密是采用的密钥 也称辅助密钥 主机密钥 对密钥加密密钥进行加密的密钥 存放于主机中 目前常用的密钥分配方式是设立密钥分配中心KDC KeyDistributionCenter KDC是大家都信任的机构 其任务就是给需要进行秘密通信的用户临时分配一个会话密钥 仅使用一次 用户A和B都是KDC的登记用户 并已经在KDC的服务器上安装了各自和KDC进行通信的主密钥 masterkey KA和KB 1 对称密钥的分配 A 密钥分配中心KDC 用户专用主密钥 用户主密钥AKABKB 时间 A B Kerberos AS TGS 2 公钥的分配需要有一个值得信赖的机构 即认证中心CA CertificationAuthority 来将公钥与其对应的实体 人或机器 进行绑定 binding 认证中心一般由政府出资建立 每个实体都有CA发来的证书 certificate 里面有公钥及其拥有者的标识信息 此证书被CA进行了数字签名 任何用户都可从可信的地方获得认证中心CA的公钥 此公钥用来验证某个公钥是否为某个实体所拥有 有的大公司也提供认证中心服务 下面给出几个认证机构的网址 1 VeriSignCA 2 BankGateCA 3 ThawteConsulting 4 GlobalSignCA 5 中国金融认证中心 6 广东电子商务认证中心 7 上海认证中心 8 天威诚信认证服务中心 9 北京数字证书认证中心 10 中国数字认证网 3 密钥共享所谓密钥共享方案是指 将一个密钥k分成n个子密钥 并秘密分配给n个参与者 需满足下列两个条件 1 用任意t个子密钥计算密钥k是容易的 2 若子密钥的个数少于t个 要求得密钥k是不可行的 称这样的方案为 t n 门限方案 ThresholdSchemes t为门限值 由于重构密钥至少需要t个子密钥 故暴露r r t 1 个子密钥不会危及密钥 因此少于t个参与者的共谋也不能得到密钥 另外 若一个子密钥或至多n t个子密钥偶然丢失或破坏 仍可