第7章 密码体制的安全性测度.ppt

1,第7章密码体制的安全性测度,7.1密码基本知识7.2古典密码体制7.3现代密码体制7.4密码体制的安全性测度,2,7.1密码基本知识,1949年，香农发表了论文“密码体制的通信理论”利用数学方法对信息源、密钥源、接收和截获的密文进行了数学描述和定量分析，提出了通用的密钥密码体制模型，奠定了现代密码学的基础。,3,密码技术的发展史,1.隐写术和手工密码变换：代替和换位2.1920年，弗纳姆密码：自动加解密的诞生3.二战时0075密码本：非对称密码的萌芽4.1975年，DES诞生：现代分组码形成5.1976年，RSA密码诞生：公钥密码概念被提出,4,密码体制,1.密码学：密码编码学和密码分析学。2.密码体制：它是一组规则、算法、函数或程序，使保密通信双方能够正确的、容易的进行加密和解密，包括密码算法、明文、密文和密钥。3.保密通信系统：由密码体制、信源、信宿和攻击者构成,5,加解密在信息传输系统模型中,6,保密通信系统模型,7,密码体制的组成,1.明文空间P2.密文空间C3.密钥空间K：包括加密密钥ke和解密密钥kd4.加密算法E：加密变换的集合5.解密算法D：解密变换的集合,8,密码体制,什么是好的密码体制？1.已知密文和加密密钥时，计算密文很容易；2.在不知道解密密钥时，由密文推知明文相当困难；密码算法的安全等级1.无条件安全：也叫理论安全2.计算安全：也叫实际安全,9,密码分析攻击（六种）,密码分析攻击是指在不知道密钥的情况下，利用密码体制的弱点，恢复出明文或密钥：1.唯密文攻击；2.已知明文攻击；3.选择明文攻击；4.自适应选择明文攻击；5.选择密文攻击；6.选择密钥攻击；,10,第7章密码体制的安全性测度,7.1密码基本知识7.2古典密码体制7.3现代密码体制7.4密码体制的安全性测度,11,古典密码体制,作为密码学发展的初级阶段，古典密码简单、安全性，一般都采用替代和置换的方法替代：将明文中的字母用其它字母、数字或符号进行取代；替代算法就是密钥。置换：也叫换位，明文的字母保持不变，但是顺序被打乱了。古典密码分为三类：单表密码、多表密码和多字母代换密码（即换位密码）,12,古典密码的分类,1.单表密码单表密码对明文中所有的字母都使用同一个映射，并且映射是一一对应的。1.凯撒（Caesar）密码：将明文中每个字母用字母后面的第三个字母进行代替。2.使用密码词（组）的单表代替密码：使用一个单词或词组，去掉重复字母作为密钥，再将字母表中其它字母置于密钥之后，构造出字母替代表。,13,古典密码的分类,2.多表密码单表密码的缺陷是明文中单个字母的概率分布与密文的相同。多表密码使用多个映射来隐藏单字母的出现频率，但是每个映射仍然是一对一映射。多表密码将明文字符划分为长度相同的消息单元，即明文组，对同一明文分组中不同位置的字母进行不同的代替，即相当于使用了多张字母代替表，当然它也可以对不同明文组进行不同的代替，从而使同一个字符对应不同的密文，改变了单表密码中密文与明文字母的唯一对应性。,14,7.2.2多表密码普莱费尔密码,15,普莱费尔密码例,16,7.2.3换位密码,换位密码换位就是重新排列明文消息中字母，以打破密文的结构特性，它交换的不是字符本书，而是字符被书写的位置一种换位的处理方法是：将明文按行写在格纸上，然后按列的方式读出结果，即为密文，为了增加变化的复杂性，可以设定读出列的不同次序（该次序即为密钥）例7.2.8换位密码中，虽然字母顺序被打乱了，但是密文和明文中字母出现的频率相同，密码分析者可以很容易辨别，但如果将换位密码和其它密码技术相结合，则可以得到十分有效的密码编码方案。,17,第7章密码体制的安全性测度,7.1密码基本知识7.2古典密码体制7.3现代密码体制7.4密码体制的安全性测度,18,现代密码体制,古典密码体制：代替和换位；实际应用中是两种方法的组合运用，但密码的安全强度不够高。为了适应现代信息安全的需要，现代密码技术得到了快速发展：对称加密：如DES、AES等非对称加密（也称公钥加密）：如RSA消息摘要：如MD-1、MD-5等,19,现代密码体制,1.对称加密加密和解密使用相同的密钥，用户必须让使用者知道密钥，密钥由双方共同保密。2.非对称加密（公钥体制）它使用一对关联密码：公开密钥和所有密钥，公钥任何人都知道，私钥只有主人知道，因此加密由一个密钥完成，解密由另一个密钥完成。公钥体制可实现加密、会话密钥分配和数字签名。3.消息摘要消息摘要用于防止信息被改动，使用摘要函数，函数的输入可以是任意大小的消息，输出是固定长度的摘要，即数字指纹，对数字指纹用私钥加密，就成为数字签名（利用公钥可对数字签名解密，因为私钥只有签名的人才有，所以解密后即可证明加密人的身份问题）,20,7.3.1对称密码,对称密码的特点是加密和解密使用同一个密钥，按加密模式分为：分组密码：将原文按固定大小进行分组，然后加密，典型算法有DES、3DES、IDEA、AES、RC2和RC5等等序列密码（流密码）：对流式数据进行加密，如实时的语音和视频流数据的加密传输，典型算法有RC4、SEAL和A5等。对称密钥体制的基本要素：明文、加密算法、密钥、解密算法、明文和攻击者,21,7.3.1对称密码,对称密钥体制安全性的要求：1.加密算法必须足够安全，可以公开。对算法的唯密文破译计算上不可行2.密钥的安全性：密钥必须保密并有足够大的密钥空间对称密码算法的优点：加解密速度快、实用性强；缺点是密钥分发困难；多用户通信时，密钥总数增长太快，导致密钥分发更加复杂；通信双方无法在线建立信任关系；数字签名困难（发送方可以否认发送，接收方可伪造签名）,22,1.数据加密算法DES,DES(DataEncryptionStandard)是最著名的对称算法，也是美国国家标准局曾采用的数据加密标准，虽然已经破译，但是其简单扩展的3-DES仍然是目前广泛使用的分组密码算法之一。DES算法公开，分组长度为64位，密钥长度56位，算法分为3部分：初始置换和末置换、子密钥产生、乘积变换。,23,3.国际数据加密算法（IDEA）,IDEA(InternationalDataEncryptionAlgorithm)与DES一样，也是一种迭代分组加密算法。分组长度为64位，8轮迭代，还有一轮输出变换。它的加、解密密钥不完全相同，但由加密密钥可以推出解密密钥，因此它仍然属于常规的对称密码体制。IDEA的密钥长度在目前技术条件下具有足够的安全长度。,24,7.3.2非对称密码,1.公钥密码体制的提出1976年Diffie和Hellman提出公钥密码体制概念，有效克服了对称密码体制中密钥管理和分配的缺陷，并提出了数字签名的创新概念。由于具有两个密钥：公钥，用于加密或签名验证，可以公开；私钥，用于解密或数字签名，需要保密。非对称密码不再基于简单的代替和换位操作，而是建立在难解的数学问题上将信息通过编码加密在一个NP-完全问题中，破译等价于解这个NP-完全问题，同时需要一个陷门单向函数f。所谓陷门单向函数是只一单向函数f，它的逆函数在计算上通常是不可行的，但如果有辅助信息（即私钥）的帮助，其逆函数的计算又很容易，辅助信息就是秘密的“陷门”。公钥算法基于的常见数学难题有:大整数分解问题、背包问题、有限域的乘法群上的离散对数问题和椭圆曲线上的离散对数问题。,25,1.公钥密码体制的提出,公钥密码体制的优点1.用户只需保管自己的私钥，管理方便；2.密钥分配简单，无需秘密通道或复杂协议来传送密钥。公钥可通过公开渠道获得。3.可实现数字签名。公钥密码体制的缺点1.加、解密速度较慢；2.同等安全强度下，公钥密码体制下的密钥长度要长一些。,26,2.公钥密码体制的基本原理,公钥密码体制加密的算法基于单向陷门函数,27,2.公钥密码体制的基本原理,公钥密码算法的条件：1.产生一对密钥是容易的；2.已知公钥和明文。产生密文在计算上是可行的；3.接受方利用私钥来解密在计算上是可行的；4.对于攻击者，利用公钥来推断私钥在计算上是不可行的；5.已知公钥和密文，恢复明文在计算上是不可行的；6.加密和解密的顺序可交换（可选条件）。,28,2.公钥密码体制的基本原理,公钥密码体制下的保密通信和数字签名,29,RSA算法,30,RSA算法（例）,31,RSA算法,4.RSA算法的安全性RSA算法的安全性取决于从公钥(e，n)中计算出私钥(d，p，q)的困难程度：即依赖于分解大合数n的难度，只要能够将已知的n分解为p和q的乘积，即可破解RSA。因此为了保证RSA算法的安全，n必须足够大，一般认为长1024位二进制。5.RSA的速度与不足由于大数运算，RSA的速度最多是DES的1/1000。因此RSA只用于少量数据的加密，比如通信双方交换的对称密钥。RSA缺点：产生密钥受到素数产生技术的限制，算法有可能产生的不是素数；分组长度太长，即n太大，使运算速度降低随大数分解技术的发展，n需要不断增加，不利于数据格式的标准化。,32,第7章密码体制的安全性测度,7.1密码基本知识7.2古典密码体制7.3现代密码体制7.4密码体制的安全性测度,33,7.4密码体制的安全性测度,评价密码体制的安全有多种标准，通常可分为两类：理论安全和实际安全理论安全指密码攻击者无论拥有多少金钱、资源和工具都无法破译密码，如香农证明过的一次一密的密码体制是完全保密的密码体制。和实际安全指攻击者破译代价超过了信息本身的价值或在现有条件下破译所花费时间超过了信息的有效期本节所讲述的是狭义的信息安全，主要指保密性，即信息内容不会被泄漏。其实除了保密性外，安全性还有完整性、抗否认性和可用性。,34,7.4.1完善保密性,从信息论的角度来证明密码体制的保密性对于一般保密通信系统，用P，C，K分别表示明文、密文和密钥空间，H(P)，H(C)，H(K)分别代表明文、密文和密钥空间的熵，H(P/C)和H(K/C)分别代表已知密文的条件下对明文和密钥的疑义度，从唯密文攻击角度来看，密码分析的任务是从截获的密文中提取有关明文或密钥的信息：I(P；C)=H(P)H(P/C)I(K；C)=H(K)H(K/C)显然，H(P/C)和H(K/C)越大，攻击者从密文中获得的明文和密钥信息就越少。,35,7.4.1完善保密性,合法用户掌握解密的密钥，收到密文后，通过解密运算可以恢复出明文，则必有H(P/CK)0，因此I(P；CK)=H(P)H(P/CK)H(P)说明用户在掌握密钥并已知密文的情况下，可以提取全部明文信息。定理：对任意密码系统，有I(P；C)=H(P)H(K)定理说明。密码体制的密钥