密码编码学修正版.doc

注：英文版（5）章节按照英文版 中文（3）第一章：classification of attack 攻击分类 P8、P161、Passive attacks 被动攻击；被动攻击本质上是在传输中的偷听或监视，其目的是从传输中获取信息。两类被动攻击分别是析出消息内容和通信量分析。2、active attacks 主动攻击：这些攻击涉及某些数据流的篡改或一个虚假流的产生。这些攻击还能进一步划分为四类：伪装，重放，篡改消息和拒绝服务。security mechanism and service 安全机制和安全服务 P8A security mechanism 安全机制：用来检测、阻止攻击，或从攻击状态恢复到正常状态的过程，或实现改过程的设备。 P23(英) p7(中) p7(中)表格 安全机制举例子：加密、数字签名、存取控制、公证等Security services 安全服务：加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的是利用一种或多种安全机制进行反击。包括：机密性、鉴别、完整性、不可抵赖、访问控制、可用性。 P19(英) p5(中) P5(中)表格 安全服务举例子：认证、存取控制、数据保密性、数据完整性、不可否认性。 model of network and network access security model 网络安全的模型和网络访问安全性模型。 P8-p11(中)网络访问安全模型第二章：ingredient of symmetric encryption 常规加密的成分 P33(英) p14(中)1 Plaintext 明文 最初的可理解的消息2 Encryption algorithm 加密算法 对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。3 Secret key密钥 密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的数据4 Ciphertext密文 一个可通过算法还原的被打乱的消息，与明文相对。5 Decryption algorithm解密算法:加密算法的逆过程 Cryptography 密码编码学 以及独立特征 P35(英) p16(中) Cryptanalysis 密码分析学 P36(英) p14(中) 1、Cryptanalysis 密码分析学 P35(英) p16(中)2、brute-force attack 穷举攻击（强行攻击） p16(中) 试遍所有的密钥，直到有一个合法的密钥能够把密文还原成可读的有意义的明文-最基本的攻击。Type of Attacks on Encrypted Message 基于加密信息的攻击类型 P33(英) p14(中)CO 惟密文攻击是最容易防范的。unconditionally secure andcomputationally secure 无条件安全和计算上的安全P37(英)1、unconditionally secure 无条件安全： P37(英) p17(中)如果由一个加密方案产生的密文中包含的信息部足以唯一的决定对应的明文，则称此加密方案是无条件安全的。2、computationally secure 计算上的安全： P37(英) p18(中)(1)、破译该密码的成本超过了被加密信息的价值。(2)、破译该密码的时间超过信息有用的生命周期。Average Time Required for Exhaustive Key Serch穷尽密钥空间所需时间表格位置：P38(英) p18(中) 对于高性能计算机，DES算法不再是计算上安全的算法。The Fact 对称加密体制所有分析方法的事实：明文的结构和模式在加密之后仍然保存了下来，并且能够在明文中找到一些蛛丝马迹。classical encryption(substitution、transportation) 经典加密技术 P37(英) p18(中)不同的密码算法是字符之间相互代替或者是相互之间换位，好的密码算法是结合这两种方法，每次进行多次运算。1、substitution 替代技术 P37p52(英) p18p28(中) 字母频率统计特征2、transportation 置换技术 P53p57(英) p2930(中)One-Time Pad 一次一密 P52(英) p28(中)1、一次一密的安全性完全取决于密钥的随机性。2、提供安全性存在的两个基本难点。第三章block cipher分组密码 P68(英) p44(中)分组密码是一个明文分组被当成一个整体来产生一个等长的密文分组的密码，通常使用的是64bit的分组大小。stream cipher and its basic idea 流密码及其基本思想 P68(英) p44(中)流密码就是对于数字数据流一次加密一个比特或一个字节的密码。古典的流密码的例子有自生密钥的Vigenere密码和Vernam密码。 基本思想：分组密码与流密码的区别在于记忆性。流密码的滚动密钥Z0=f（k，0），由函数f、密钥k和指定的初态0完全确定。此后，由于输入加密器的明文可能影响加密器中内部记忆元件的存储状态，因而i（i0）可能依赖于k，0，x0.。等参数。Feistal structure and its parameters Feistal密码结构和参数 P75(英) p47(中)图3.5DES and its parameters、its strength DES的参数、强度 P79(英) p58(中) （分组64bit 密钥长度56bit 轮数16或32轮）安全操作S盒 avalanche effect雪崩效应 P86(英) p57(中) 明文或密钥微小改变将对密文产生很大的影响。第五章origins of AES parameters AES参数的起源P148(英) p104(中) 密码学中的高级加密标准（Advanced Encryption Standard，AES），又称高级加密标准。NIST 在1999年发布了一个新版本DES标准，该标准指出DES仅能用于遗留的系统，同时3DES将取代DES。然而3DES根本性缺点在于用软件实现该算法速度比较慢，另一个缺点是DES和3DES分组长度均为64位。就效率和安全性而言，分组长度应该更长。由于这些缺陷3DES不能成为长期使用的加密算法标准，故NIST就1997年公开征集新的高级加密标准。要求安全性不低于3DES。同时应该具有更好的执行性能。同时特别提出高级加密标准必须是分组长度为128位的对称分组密码，并能支持长度为128、192、256位的密钥，经过评估NIST在2001年发布了高级加密标准(AES），AES是对一个对称分组密码，用来取代DES，从而成为更广泛使用的加密标准。该算法为比利时密码学家Joan Daemen和Vincent Rijmen所设计，结合两位作者的名字，以Rijndael之命名之，投稿高级加密标准的甄选流程。（Rijdael的发音近于 Rhinedoll。）AES加密数据块和密钥长度可以是128比特、192比特、256比特中的任意一个。AES加密有很多轮的重复和变换。大致步骤如下：1、密钥扩展（KeyExpansion），2、初始轮（Initial Round），3、重复轮（Rounds），每一轮又包括：SubBytes、ShiftRows、MixColumns、AddRoundKey，4、最终轮（Final Round），最终轮没有MixColumns。DES 结构的四个阶段 P153(英) p108(中)一个混淆和三个代换：字节代换、行移位、列混淆、轮密钥加main operation difference between DES and AES DES与AES的主要区别：DES是Feistel结构参数：明文64bit 密钥56bit 16 or 32轮未公布S盒设计依据，DES解密和加密算法一致AES非Feistel结构参数：128/128、192、256/10、12、14有严格的数据依据和背景，AES解密算法和加密算法不一样在应用方面，尽管DES在安全上是脆弱的，但由于快速DES芯片的大量生产，使得DES仍能暂时继续使用，为提高安全强度，通常使用独立密钥的三级DES。但是DES迟早要被AES代替。流密码体制较之分组密码在理论上成熟且安全，但未被列入下一代加密标准。第六章origin of 3DES 三重DES起源 p128(中)3DES又称Triple DES，是DES加密算法的一种模式，它使用3条56位的密钥对 数据进行三次加密。数据加密标准（DES）是美国的一种由来已久的加密标准，它使用对称密钥加密法，并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密钥和密码块的方法，而在密码块的方法中，文本被分成64位大小的文本块然后再进行加密。比起最初的DES，3DES更为安全。 3DES（即Triple DES）是DES向AES过渡的加密算法（1999年，NIST将3-DES指定为过渡的加密标准），是DES的一个更安全的变形。它以DES为基本模块，通过组合分组方法设计出分组加密算法，其具体实现如下：设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密文，这样， 设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密表，这样， 3DES加密过程为：C=Ek3(Dk2(Ek1(P) 3DES解密过程为：P=Dk1(EK2(Dk3(C)meet-in-the-middle attack 中间相遇攻击 P305(英) p129(中)block cipher mode of operation分组密码的操作模式 P199(英) p65(中)指以某个分组密码算法为基础，解决对任意长度的明文的加密问题的方法。1电码本模式（ECB）2密码分组链接模式(CBC) 3密码反馈模式（CFB）4输出反馈模式（OFB）5计数器模式（CTR）1、 ECB模式：将明文的各个分组独立的使用同一密钥K加密 优点：1、实现简单 2、不同明文分组的加密可并行实施，尤其是硬件实现时速度很快缺点：不同明文分组之间的加密独立进行，故保留了单表代替缺点，造成相同明文分组对应相同密文分组，因而不能隐蔽明文分组的统计规律和结构规律，不能抵抗替换攻击。2 、CBC模式下，加密算法的输入是当前明文组与前一密文组的异或。CBC模式的特点：1、明文块的统计特性得到隐蔽。2、具有有限的错误传播特性。3、具有自同步功能3、 CFB模式： 若待加密消息需按字符，字节或比特处理时。 优点：1适用于每次处理J比特明文块的特定需求的加密情形。2具有有限步的错误传播，可用于认证3可实现自同步功能。 缺点：加密效率低4、 OFB模式： 结构上类似于CFB模式，但反馈的内容是DES输出的乱数而不是密文。 优点：1、这是将分组密码当做序列密码使用的一种方式，但乱数与明文和密文无关。2、不具有错误传播特性。 缺点：1不能实现报文的完整性认证。2乱数序列的周期可能有短周期现象。5 、CTR模式： 利用固定密钥k对自然数序列1 2 3-加密，将得到的密文分组序列看作乱数序列，按加减密码的方式与明文分组逐位模2加的一种方式。第七章stream cipher RC4 RC4流密码 P234(英) p141(中) 流密码：是一种对称加密算法，通过发生器输出的密钥流与同一时刻一字节一字节的明文流进行异或（XOR）。RC4加密算法是大名鼎鼎的RSA三人组中的头号人物Ron Rivest在1987年设计的密钥长度可变的流加密算法簇。之所以称其为簇，是由于其核心部分的S-box长度可为任意，但一般为256字节。该算法的速度可以达到DES加密的10倍左右，且具有很高级别的非线性。 RC4起初是用于保护商业机密的。但是在1994年9月，它的算法被发布在互联网上，也就不再有什么商业机密了。RC4也被叫做ARC4（Alleged RC4所谓的RC4），因为RSA从来就没有正式发布过这个算法。RC4算法的原理很简单，包括初始化算法（KSA）和伪随机子密码生成算法（PRGA)两大部分。假设S-box的长度为256，密钥长度为Len。先来看看算法的初始化部分（用C代码表示）： 其中，参数1是一个256长度的char型数组，定义为: unsigned char sBox256; 参数2是密钥，其内容可以随便定义：char key256; 参数3是密钥的长度随机性 P223(英)第八章discrete logarithms 离散对数难题 P257(英) p181p185(中)factoring 因式分解 第九章why introduce public-key cryptosystem 为什么引入公钥密码体制？P269(英) p185(中) 为了解决传统密码中最困难的两个问题而提出的，即：密钥分配问题和数字签名问题 第十四章 公开密钥加密 详细basic idea of public-key encryption公钥加密的基本理念 P278(英) p195(中) 基本组成6个；加密、签名；加密签名；基本操作过程；基本参数；应用RSA、CCA how to use P289(英) RSA在选择密文攻击面前很脆弱。一般攻击者是将某一信息作一下伪装( Blind)，让拥有私钥的实体签署。然后，经过计算就可得到它所想要的信息。实际上，攻击利用的都是同一个弱点，即存在这样一个事实：乘幂保留了输入的乘法结构：( XM )d = Xd *Md mod n由于RSA密文是通过公开渠道传播的，攻击者可以获取密文。我们假设攻击者为A，密文收件人为T，A得到了发往T的一份密文c，他想不通过分解质因数的方法得到明文。换句话说，他需要m=cd。为了恢复m，他找一个随机数r，rn，当然他有T的公匙(e,n)。他计算：x=re%n（用T的公匙加密r）y=x*c%n（将临时密文x与c相乘）t=r-1%nA知道RSA具有下面的一个特性：如果x=re%n，那么r=xd%n因此他想办法让T对y用T自己的私匙签名（实际上就是把y解密了），然后将结果u=yd%n寄回给A。A只要简单地计算：m=t*u%n上面结论的推导是这样的：t*u%n=(r-1)*(yd)&n=(r-1)*(xd)(cd)%n=(cd)%n=m要防止这种攻击的办法就是不要对外来的随机信息签名，或者只对信息的MD5特征值签名。在这里就很容易明白为什么要强调MD5的单向性了，因为MD5的结果是不能预定的，就是说A难以凑出一份刚好能产生y这样的MD5特征值的明文来让T签名。计算题1 RSA题目：给出p q e m 信息加密参照书上式子n=p*q 且d和e整数 X取值为1、2、3第十章D-H key exchange protocol d-h密钥交换 P301303(英) p216(中) 计算题2man-in-the-middle attack 重放攻击 P305(英)man in the middle attack：是一个攻击者使用公钥交换来拦截消息并且转发它们，然后取代他自己的公钥发送给被请求的一方，以致于原始的双方表面上看起来仍然还是相互通信，攻击者从球类游戏中得到它的名字，即两个人试图相互直接仍一个球给对方，然而在这两个人中间有一个人试图去抓住这个球。在这个MITMA中入侵者使用一个表面上看起来是从服务器到客户端但看起来又像是从客户端到服务器端的应用程序。这种攻击可能被使用在简单的获得访问消息的权利，或者能使得攻击者在转发消息之前先修改消息。第十一、十二章message authentication消息认证 p232(中)消息认证是指通过对消息或者消息有关的信息进行加密或签名变换进行的认证，目的是为了防止传输和存储的消息被有意无意的篡改，包括消息内容认证（即消息完整性认证）、消息的源和宿认证（即身份认证0)、及消息的序号和操作时间认证等message digest报文摘要 验证所收到的消息确定是来自真正的发送方且未被修改的消息，它也可验证消息的顺序和及时性。hash function哈希函数 p238(中) 将任意长的消息映射为定长的hash值，用来提供消息认证时，hash值通常被称为消息摘要。一般的线性表，树中，记录在结构中的相对位置是随机的，即和记录的关键字之间不存在确定的关系，因此，在结构中查找记录时需进行一系列和关键字的比较。这一类查找方法建立在“比较“的基础上，查找的效率依赖于查找过程中所进行的比较次数。 理想的情况是能直接找到需要的记录，因此必须在记录的存储位置和它的关键字之间建立一个确定的对应关系f，使每个关键字和结构中一个唯一的存储位置相对应。birthday attack生日攻击 P338(英) p246(中)general structure of secure hash散列函数的总体结构 P340(英)SHA-512 算法输入长度小于2128bit的消息，输出512bit消息摘要，输入消息以1024bit的分组为单位进行处理。SHA (Secure Hash Algorithm，译作安全散列算法) 是美国国家安全局 (NSA) 设计，美国国家标准与技术研究院 (NIST) 发布的一系列密码散列函数。MAC P372(英) p241(中)H MAC 以及设计目标 P376(英) p278(中)digital signature数字签名 p284(中)DSA DSA是基于整数有限域离散对数难题的，其安全性与RSA相比差不多。DSA的一个重要特点是两个素数公开，这样，当使用别人的p和q时，即使不知道私钥，你也能确认它们是否是随机产生的，还是作了手脚。RSA算法却作不到。算法中应用了下述参数： p：L bits长的素数。L是64的倍数，范围是512到1024； q：p - 1的160bits的素因子； g：g = h(p-1)/q) mod p，h满足h 1； x：x q，x为私钥 ； y：y = gx mod p ，( p, q, g, y )为公钥； H( x )：One-Way Hash函数。DSS中选用SHA( Secure Hash Algorithm )。 p, q, g可由一组用户共享，但在实际应用中，使用公共模数可能会带来一定的威胁。签名及验证协议如下： 1. P产生随机数k，k q； 2. P计算 r = ( gk mod p ) mod q s = ( k(-1) (H(m) + xr) mod q 签名结果是( m, r, s )。 3. 验证时计算 w = s(-1)mod q u1 = ( H( m ) * w ) mod q u2 = ( r * w ) mod q v = ( gu1 * yu2 ) mod p ) mod q 若v = r，则认为签名有效。DSS 第十四章KDC KDC（Key Distribution Center）密匙分配中心 P412(英)密码学中的密钥分发中心（ KDC ）是密钥体系的一部分，旨在减少密钥体制所固有的交换密钥时所面临的风险。 KDC应用在这样的系统中：系统内一些用户能够使用某些服务，而其他人不能使用那些服务KDC在kerberos中通常提供两种服务： 1.Authentication Service (AS)：认证服务 2.Ticket-Granting Service (TGS)：授予票据服务master key 主密钥 P414(英)用户与密钥分配中心之间长时间使用的密钥，用来在传输会话密钥时进行加密。通常主密钥的分配采用非密码手段，又称为密钥加密密钥。session key 会话密钥 P415(英)会话密钥（session key）是保证用户跟其它计算机或者两台计算机之间安全通信会话而随机产生的加密和解密密钥。public-key certification 公开密钥加密 P430(英)公开密钥加密也称为非对称密钥加密，该加密算法使用两个不同的密钥：加密密钥和解密密钥。前者公开，又称公开密钥，简称公钥。后者保密，又称私有密钥，简称私钥。这两个密钥是数学相关的，用某用户加密密钥加密后所得的信息只能用该用户的解密密钥才能解密。公开密钥加密与对称密钥加密的区别在对称密钥加密中，对一个信息的加密密码和解密密码都是相同的，所以发送者需要发送一条信息之前，必须先发送密钥给接收者，这样接收者才能解密这条信息。对称密钥加密的过程是：假设两个用户A，B进行通信，A先发送信息给B，然后B发送信息给A1.A先用密钥k1加密一条信息，使之变成密文c1；2.A把密钥k1发送给B；(此时如果密钥被截获，截获方就可以解密并读取密文)3.A把密文c1发送给B；4.B用密钥k1解密，并读取解密后的信息5.B用密钥k2加密一条信息，使之变成密文c2；6.B把密钥k2发送给A；7.B把密文c2发送给A；8.A用密钥k2解密，并读取解密后的信息公开密钥加密的过程是：假设两个用户A，B进行通信，A先发送信息给B，然后B发送信息给A1.B先产生一对密钥k1a和k1b，前者用来加密，后者用来解密2.B把密钥k1a发送给A；(因为k1a只能用来加密，截获方无法通过它来解密并读取密文)3.A用密钥k1a加密一条信息，使之变成密文c1；4.A把密文c1发送给B；5.B用密钥k1b解密，并读取解密后的信息;6.A产生一对密钥k2a和k2b，前者用来加密，后者用来解密7.A把密钥k2a发送给B；8.B用密钥k2a加密一条信息，使之变成密文c2；9.B把密文c2发送给A；10.A用密钥k2b解密，并读取解密后的信息;优点：与对称密钥加密相比，优点在于无需共享的通用密钥，解密的私钥不发往任何用户。即使公钥在网上被截获，如果没有与其匹配的私钥，也无法解密，所截获的公钥是没有任何用处的。过程：Asymmetric encryption system假设两个用户A，B进行通信，公钥为c,私钥为d，明文为x. 1:A用公钥对明文进行加密形成密文c(x)，然后传输密文；2:B收到密文，用私钥对密文进行解密d(c(x),得到要通信的明文x。CA CA(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（