CISP-密码技术基础介绍课件

信息安全技术

密码技术信息安全技术

密码技术1第0章绪论第0章绪论2密码学与信息安全信息的私密性(Privacy)

对称加密信息的完整性(Integrity)

数字签名信息的源发鉴别(Authentication)

数字签名信息的防抵赖性(Non-Reputation)

数字签名＋时间戳密码学与信息安全信息的私密性(Privacy)3互联网困境互联网困境4OverviewofCryptographyInformationsecurityandcryptographyBackgroundonfunctionsBasicterminologyandconceptsSymmetric-keyencryptionDigitalsignaturesAuthenticationandidentificationPublic-keycryptographyHashfunctionsProtocolsandmechanismsKeyestablishment,management,andcertificationPseudorandomnumbersandsequencesClassesofattacksandsecuritymodelsOverviewofCryptographyInform5MathematicalBackgroundProbabilitytheoryInformationtheoryComplexitytheoryNumbertheoryAbstractalgebraFinitefieldsMathematicalBackgroundProbabi6SomeinformationsecurityobjectivesSomeinformationsecurityobje7密码学分类

密码学分类

8第1章密码学基础第1章密码学基础9§1.1密码学的历史与发展密码学的演进 单表代替－>多表代替－>机械密(恩格玛)－>现代密码学(对称与非对称密码体制)－>量子密码学密码编码学和密码分析学应用领域 军事，外交，商业，个人通信，古文化研究等§1.1密码学的历史与发展密码学的演进10§1.2基础术语点对点通信消息与加密鉴别、完整性与抗抵赖算法与密钥对称算法公开密钥算法密码分析与密码攻击§1.2基础术语点对点通信11点对点通信通信由发起方（发送方）与接收方组成通过通信基础设施传送点对点通信通信由发起方（发送方）与接收方组成12消息与加密消息（message）--明文M加密（encryption）--逻辑扰乱E－－目的：对消息进行伪装C，为非授权或非意向接收者制造麻烦。E(M)=C

消息与加密消息（message）--明文M13鉴别、完整性与抗抵赖鉴别（authentication）

消息来源确认、防假冒、证明你是否就是你所声明的你完整性（integrity）

防篡改、证明消息与过程的正确性抗抵赖（nonrepudiation）

你或其他主体对所作所为的可确认性鉴别、完整性与抗抵赖鉴别（authentication）

消14算法与密钥数学理论的应用－算法算法保密算法参数控制－密钥密钥保密－为了消息保密算法与密钥数学理论的应用－算法15对称算法与公开密钥算法锁门的钥匙与开门的钥匙是同一把钥匙－－对称算法锁门的钥匙与开门的钥匙不是同一把钥匙两把或更多－－公开密钥算法对称算法与公开密钥算法锁门的钥匙与开门的钥匙是同一把钥匙－－16密码分析与密码攻击攻击（数学方法与计算支持）

密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、野蛮攻击泄露（非技术方法）密码分析与密码攻击攻击（数学方法与计算支持）

密文攻击、已知17§1.3密码政治国家政策

绝密、普密、商密国际惯例国家安全◎密码技术◎出入控制§1.3密码政治国家政策

绝密、普密、商密18第2章传统密码学CISP--密码技术基础介绍19§2.1传统密码学简介历史悠久，最古老与最现代的密码学基本特点：加密和解密采用同一个密钥

letC=Ciphertext,P=Plaintext,kiskey,E()/D()istheencryption/decryptionfunction,then

C=E(P,k),P=D(C,k)基本技术 替换/置换和移位§2.1传统密码学简介历史悠久，最古老与最现代的密码学20§2.2DESDES是第一个得到广泛应用的密码算法；DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位；DES是一种对称密码算法，源于Lucifer算法，其中采用了Feistel网络(FeistelNetwork)，即

DES已经过时，基本上认为不再安全；

/Computers_and_Internet/Security_and_Encryption/RSA/RSA_Secret_Key_Challenge/

§2.2DESDES是第一个得到广泛应用的密码算法；21§2.3IDEAXuejiaLai和JamesMassey提出；IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位；IDEA是一种相对较新的算法，虽有坚实的理论基础，但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析)；IDEA是一种专利算法(在欧洲和美国)，专利由Ascom-TechAG拥有;PGP中已实现了IDEA；§2.3IDEAXuejiaLai和JamesMass22§2.4RC系列RC系列是RonRivest为RSA公司设计的一系列密码：RC1从未被公开，以致于许多人们称其只出现在Rivest的记事本上；RC2是变长密钥加密密法；(RC3在设计过程中在RSADSI内被攻破);RC4是Rivest在1987年设计的变长密钥的序列密码；RC5是Rivest在1994年设计的分组长、密钥长的迭代轮数都可变的分组迭代密码算法；DES(56),RC5-32/12/5,RC5-32/12/6,RC-32/12/7已分别在1997年被破译；§2.4RC系列RC系列是RonRivest为RSA公司23§2.5AESCandidate和RijndealAES评选过程最后的5个候选算法：Mars,RC6,Rijndael,Serpent,andTwofishRijndael算法的原型是Square算法，其设计策略是宽轨迹策略(WideTrailStrategy)，以针对差分分析和线性分析；Rijndael是迭代分组密码，其分组长度和密钥长度都是可变的；为了满足AES的要求，分组长度为128bit，密码长度为128/192/256bit，相应的轮数r为10/12/14。§2.5AESCandidate和RijndealAES24§2.6分组密码工作模式ECB(TheElectronicCodebook)CBC(CipherBlockChaining)CFB(CipherFeedback)OFB(OutputFeedback)CTR(Counter).§2.6分组密码工作模式ECB(TheElectronic25ElectronicCodebook(ECB)modeTheElectronicCodebook(ECB)modeisaconfidentialitymodethatfeatures,foragivenkey,theassignmentofafixedciphertextblocktoeachplaintextblock,analogoustothessignmentofcodewordsinacodebook.InECBencryption,theforwardcipherfunctionisapplieddirectlyandindependentlytoeachblockoftheplaintext.Theresultingsequenceofoutputblocksistheciphertext.InECBdecryption,theinversecipherfunctionisapplieddirectlyandindependentlytoeachblockoftheciphertext.Theresultingsequenceofoutputblocksistheplaintext.ElectronicCodebook(ECB)mode26ElectronicCodebookModeECBEncryption:Cj=CIPHK(Pj)forj=1…n.ECBDecryption:Pj=CIPH-1K(Cj)forj=1…n.ElectronicCodebookModeECBEn27CipherBlockChainingModeTheCipherBlockChaining(CBC)modeisaconfidentialitymodewhoseencryptionprocessfeaturesthecombining(“chaining”)oftheplaintextblockswiththepreviousciphertextblocks.TheCBCmoderequiresanIVtocombinewiththefirstplaintextblock.TheIVneednotbesecret,butitmustbeunpredictable;CipherBlockChainingModeThe28CipherBlockChainingModeCipherBlockChainingMode29InCBCencryption,thefirstinputblockisformedbyexclusive-ORingthefirstblockoftheplaintextwiththeIV.Theforwardcipherfunctionisappliedtothefirstinputblock,andtheresultingoutputblockisthefirstblockoftheciphertext.Thisoutputblockisalsoexclusive-ORedwiththesecondplaintextdatablocktoproducethesecondinputblock,andtheforwardcipherfunctionisappliedtoproducethesecondoutputblock.Thisoutputblock,whichisthesecondciphertextblock,isexclusive-ORedwiththenextplaintextblocktoformthenextinputblock.Eachsuccessiveplaintextblockisexclusive-ORedwiththepreviousoutput/ciphertextblocktoproducethenewinputblock.Theforwardcipherfunctionisappliedtoeachinputblocktoproducetheciphertextblock.InCBCencryption,thefirsti30CipherFeedback(CFB)modeTheCipherFeedback(CFB)modeisaconfidentialitymodethatfeaturesthefeedbackofsuccessiveciphertextsegmentsintotheinputblocksoftheforwardciphertogenerateoutputblocksthatareexclusive-ORedwiththeplaintexttoproducetheciphertext,andviceversa.TheCFBmoderequiresanIVastheinitialinputblock.TheIVneednotbesecret,butitmustbeunpredictable;CipherFeedback(CFB)modeThe31CipherFeedbackModeCipherFeedbackMode32OutputFeedback(OFB)modeTheisaconfidentialitymodethatfeaturestheiterationoftheforwardcipheronanIVtogenerateasequenceofoutputblocksthatareexclusive-ORedwiththeplaintexttoproducetheciphertext,andviceversa.TheOFBmoderequiresthattheIVisanonce,i.e.,theIVmustbeuniqueforeachexecutionofthemodeunderthegivenkey;OutputFeedback(OFB)modeThe33OutputFeedbackModeOutputFeedbackMode34InOFBencryption,theIVistransformedbytheforwardcipherfunctiontoproducethefirstoutputblock.Thefirstoutputblockisexclusive-ORedwiththefirstplaintextblocktoproducethefirstciphertextblock.Theforwardcipherfunctionistheninvokedonthefirstoutputblocktoproducethesecondoutputblock.Thesecondoutputblockisexclusive-ORedwiththesecondplaintextblocktoproducethesecondciphertextblock,andtheforwardcipherfunctionisinvokedonthesecondoutputblocktoproducethethirdoutputblock.Thus,thesuccessiveoutputblocksareproducedfromapplyingtheforwardcipherfunctiontothepreviousoutputblocks,andtheoutputblocksareexclusive-ORedwiththecorrespondingplaintextblockstoproducetheciphertextblocks.Forthelastblock,whichmaybeapartialblockofubits,themostsignificantubitsofthelastoutputblockareusedfortheexclusive-ORoperation;theremainingb-ubitsofthelastoutputblockarediscarded.InOFBencryption,theIVist35InbothOFBencryptionandOFBdecryption,eachforwardcipherfunction(exceptthefirst)dependsontheresultsofthepreviousforwardcipherfunction;therefore,multipleforwardcipherfunctionscannotbeperformedinparallel.However,iftheIVisknown,theoutputblockscanbegeneratedpriortotheavailabilityoftheplaintextorciphertextdata.InbothOFBencryptionandOFB36Counter(CTR)modeTheisaconfidentialitymodethatfeaturestheapplicationoftheforwardciphertoasetofinputblocks,calledcounters,toproduceasequenceofoutputblocksthatareexclusive-ORedwiththeplaintexttoproducetheciphertext,andviceversa.Thesequenceofcountersmusthavethepropertythateachblockinthesequenceisdifferentfromeveryotherblock.Thisconditionisnotrestrictedtoasinglemessage:acrossallofthemessagesthatareencryptedunderthegivenkey,allofthecountersmustbedistinct.Counter(CTR)modeTheisacon37CISP--密码技术基础介绍38InbothCTRencryptionandCTRdecryption,theforwardcipherfunctionscanbeperformedinparallel;similarly,theplaintextblockthatcorrespondstoanyparticularciphertextblockcanberecoveredindependentlyfromtheotherplaintextblocksifthecorrespondingcounterblockcanbedetermined.Moreover,theforwardcipherfunctionscanbeappliedtothecounterspriortotheavailabilityoftheplaintextorciphertextdata.InbothCTRencryptionandCTR39§2.6流密码工作模式synchronousstreamcipherbinaryadditivestreamcipherself-synchronizingstreamcipher§2.6流密码工作模式synchronousstream40Generalmodelofasynchronousstreamcipher

Generalmodelofasynchronous41Generalmodelofabinaryadditivestreamcipher.

Generalmodelofabinaryaddi42Generalmodelofaself-synchronizingstreamcipher.

Generalmodelofaself-synchr43self-synchronizingstreamcipher

Property1/4self-synchronization.Self-synchronizationispossibleifciphertextdigitsaredeletedorinserted,becausethedecryptionmappingdependsonlyonafixednumberofprecedingciphertextcharacters.Suchciphersarecapableofre-establishingproperdecryptionautomaticallyafterlossofsynchronization,withonlyafixednumberofplaintextcharactersunrecoverable.self-synchronizingstreamciph44self-synchronizingstreamcipher

Property2/4limitederrorpropagation.Supposethatthestateofaself-synchronizationstreamcipherdependsontpreviousciphertextdigits.Ifasingleciphertextdigitismodified(orevendeletedorinserted)duringtransmission,thendecryptionofuptotsubsequentciphertextdigitsmaybeincorrect,afterwhichcorrectdecryptionresumes.self-synchronizingstreamciph45self-synchronizingstreamcipher

Property3/4activeattacks.

Property(ii)impliesthatanymodificationofciphertextdigitsbyanactiveadversarycausesseveralotherciphertextdigitstobedecryptedincorrectly,therebyimproving(comparedtosynchronousstreamciphers)thelikelihoodofbeingdetectedbythedecryptor.Asaconsequenceofproperty(i),itismoredifficult(thanforsynchronousstreamciphers)todetectinsertion,deletion,orreplayofciphertextdigitsbyanactiveadversary.Thisillustratesthatadditionalmechanismsmustbeemployedinordertoprovidedataoriginauthenticationanddataintegrityguaranteesself-synchronizingstreamciph46self-synchronizingstreamcipher

Property4/4diffusionofplaintextstatistics.Sinceeachplaintextdigitinfluencestheentirefollowingciphertext,thestatisticalpropertiesoftheplaintextaredispersedthroughtheciphertext.Hence,self-synchronizingstreamciphersmaybemoreresistantthansynchronousstreamciphersagainstattacksbasedonplaintextredundancy.self-synchronizingstreamciph47小结DES是应用最广泛的对称密码算法(由于计算能力的快速进展，DES已不在被认为是安全的)；IDEA在欧洲应用较多；RC系列密码算法的使用也较广(已随着SSL传遍全球);AES将是未来最主要，最常用的对称密码算法；小结DES是应用最广泛的对称密码算法(由于计算能力的快速进展48第3章现代密码学CISP--密码技术基础介绍49§3.1公钥密码学简介WhitefieldDiffie，MartinHellman，《NewDirectionsinCryptography》,1976公钥密码学的出现使大规模的安全通信得以实现–解决了密钥分发问题；公钥密码学还可用于另外一些应用：数字签名、防抵赖等；公钥密码体制的基本原理–陷门单向函数(troopdoorone-wayfunction)§3.1公钥密码学简介WhitefieldDiffie，M50§3.2RSARonRivest,AdiShamir和LenAdleman于1977年研制并于1978年首次发表；RSA是一种分组密码，其理论基础是一种特殊的可逆模幂运算，其安全性基于分解大整数的困难性；RSA既可用于加密，又可用于数字签名，已得到广泛采用；RSA已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳；RSA-155(512bit),RSA-140于1999年分别被分解；§3.2RSARonRivest,AdiShamir51RSA(cont.)

设n是两个不同素数之积，即n=pq，计算其欧拉函数值Φ(n)=(p-1)(q-1).

随机选一整数e,1≤e<Φ(n),(Φ(n),e)=1.

因而在模Φ(n)下,e有逆元取公钥为n,e,密钥为d.(p,q不再需要，应该被舍弃，但绝不可泄露)

定义加密变换为解密变换为RSA(cont.)设n是两个不同素数之积，即n=52§3.3DH/DSADiffie-Hellman(DH)是第一个公钥算法，其安全性基于在有限域中计算离散对数的难度；DH可用于密钥分发，但不能用于加/解密报文；DH算法已得到广泛应用，并为许多标准化组织(IETF等)接纳；DSA是NIST于1991年提出的数字签名标准(DSS),该标准于1994年5月19日被颁布；DSA是Schnorr和Elgemal签名算法的变型,DSA只能用于数字签名不能用于加密；§3.3DH/DSADiffie-Hellman(DH)是53§3.4ElgemalElgemal于1985年基于离散对数问题提出了一个既可用于数字签名又可用于加密的密码体制；(此数字签名方案的一个修改被NIST采纳为数字签名标准DSS)Elgemal,Schnorr和DSA签名算法都非常类似。事实上，它们仅仅是基于离散对数问题的一般数字签名的三个例子。§3.4ElgemalElgemal于1985年基于离散对54小结RSA是最易于实现的；Elgemal算法更适合于加密；DSA对数字签名是极好的，并且DSA无专利费，可以随意获取；Diffie-Hellman是最容易的密钥交换算法；小结RSA是最易于实现的；55第4章散列函数CISP--密码技术基础介绍56§4.1单向杂凑(Hash)函数杂凑(Hash)函数是将任意长的数字串M映射成一个较短的定长输出数字串H的函数，我们关心的通常是单向杂凑函数；单向杂凑函数的设计理论杂凑函数除了可用于数字签名方案之外，还可用于其它方面，诸如消息的完整性检测、消息的起源认证检测等常见的攻击方法§4.1单向杂凑(Hash)函数杂凑(Hash)函数是将57§4.2MD系列RonRivest设计的系列杂凑函数系列:MD4[Rivest1990,1992,1995;RFC1320]MD5是MD4的改进型[RFC1321]MD2[RFC1319],已被Rogier等于1995年攻破较早被标准化组织IETF接纳，并已获得广泛应用安全性介绍§4.2MD系列RonRivest设计的系列杂凑函数系58§4.3SHA和SHA-1NIST和NSA为配合DSS的使用，设计了安全杂凑标准(SHS)，其算法为SHA[FIPSPUB180]，修改的版本被称为SHA-1[FIPSPUB180-1]SHA/SHA-1采用了与MD4相似的设计准则，其结构也类似于MD4，但其输出为160bit目前还没有针对SHA有效的攻击§4.3SHA和SHA-1NIST和NSA为配合DSS的使59§4.3RIPE-MD欧共体的RIPE[RACE1992]计划下开发的杂凑算法，为MD4的变型，是针对已知的密码攻击而设计的，杂凑值为128bit;RIPE-MD的改进型为RIPEMD-160；§4.3RIPE-MD欧共体的RIPE[RACE199260§4.4HMACHMAC是利用散列函数计算报文鉴别码值

HMAC能够证明嵌入散列函数提供的安全性有某些合理的密码分析强度§4.4HMACHMAC是利用散列函数计算报文鉴别码值61§4.5SHA与MD4和MD5的比较MD4SHAMD5Hash值128bit160bit128bit分组处理长512bit512bit512bit基本字长32bit32bit32bit步数48(3*16)80(4*20)64(4*16)消息长≤2^64bit2^64bit不限基本逻辑函数33(第2,4轮相同)4常数个数3464速度约为MD4的3/4约为MD4的1/7§4.5SHA与MD4和MD5的比较MD4SHAMD5Ha62第5章密码应用CISP--密码技术基础介绍63§5.1机密性保护密码体制类型（对称算法、非对称算法）算法选择（对称算法、非对称算法）工作模式（选择字段与流加密）填充需求初始化要求同步要求密钥管理过程§5.1机密性保护密码体制类型（对称算法、非对称算法）64§5.2完整性保护封装和签名加密序列完整性§5.2完整性保护封装和签名65§5.3抗抵赖服务起源否认传递否认数字签名算法（发起者、可信第三方）安全时戳§5.3抗抵赖服务起源否认66§5.5PKI中的密码应用公钥体制签名算法完整性保护算法§5.5PKI中的密码应用公钥体制67§5.6VPN中密码应用公钥体制传输加密完整性源认证§5.6VPN中密码应用公钥体制68第6章密钥交换与管理CISP--密码技术基础介绍69§6.1密钥产生密钥选择（强、弱）随机密钥产生ANSIX9.17密钥产生RSA密钥产生§6.1密钥产生密钥选择（强、弱）70§6.2密钥传输简单密钥人工传输分布网络密钥分发密钥验证密钥加密密钥与数据密钥§6.2密钥传输简单密钥人工传输71§6.3密钥使用软件加密使用硬件加密使用使用控制§6.3密钥使用软件加密使用72§6.4密钥更新密钥更新（从旧的产生新的）使用单向函数§6.4密钥更新密钥更新（从旧的产生新的）73§6.5密钥存储个人密钥存储管理磁卡ROM生物特征§6.5密钥存储个人密钥存储管理74§6.6密钥备份个人备份组织备份CA§6.6密钥备份个人备份75§6.7泄密、密钥期限和密钥销毁密钥泄露（技术因素和非技术因素）

需要处理程序支持密钥有限期

销毁密钥§6.7泄密、密钥期限和密钥销毁密钥泄露（技术因素和非技术因76§6.8密钥交换Diffie-Hellman算法IKE…§6.8密钥交换Diffie-Hellman算法77CISP--密码技术基础介绍78§7密码分析与密码攻击§7密码分析与密码攻击79唯密文攻击已知明文攻击选择明文攻击自适应选择明文攻击选择密文攻击选择密钥攻击软磨硬泡(Rubber-hose)攻击唯密文攻击80唯密文攻击密码分析者有一些消息的密文，这些消息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密消息的密钥来，以便可采用相同的密钥解出其他被加密的消息。已知：C1=EK（P1），C2=EK（P2），，CI=EK（Pi）推导出：P1，P2，，Pi；K或者找出一个算法从Ci+1=EK（Pi+1）推出Pi+1。唯密文攻击密码分析者有一些消息的密文，这些消息都用同一加密算81已知明文攻击密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。已知：P1，C1=Ek（P1），P2，C2=Ek（P2），，Pi，Ci=Ek（Pi），推导出：密钥k，或从Ci+1=Ek（Pi+1）推出Pi+1的算法。已知明文攻击密码分析者不仅可得到一些消息的密文，而且也知道这82选择明文攻击分析者不仅可得到一些消息的密文和相应的明文，而且他们也可选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那些块可能产生更多关于密钥的信息，分析者的任务是推出用来加密消息的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。已知：P1，C1=Ek（P1），P2，C2=Ek（P2），，Pi，Ci=Ek（Pi）其中P1，P2，，Pi是由密码分析者选择的。推导出：密钥k，或从Ci+1=Ek（Pi+1）推出Pi+1的算法。选择明文攻击分析者不仅可得到一些消息的密文和相应的明文，而且83自适应选择明文攻击这是选择明文攻击的特殊情况。密码分析者不仅能选择被加密的明文，而且也能基于以前加密的结果修正这个选择。在选择明文攻击中，密码分析者还可以选择一大块被加了密的明文。而在自适应选择密文攻击中，他可选取较小的明文块，然后再基于第一块的结果选择另一明文块，以此类推。自适应选择明文攻击这是选择明文攻击的特殊情况。密码分析者不仅84选择密文攻击密码分析者能选择不同的被加密的密文，并可得到对应的解密的明文，例如密码分析者存取一个防窜改的自动解密盒，密码分析者的任务是推出密钥。已知：C1，P1=Dk（C1），C2，P2=Dk（C2），，Ci，Pi=Dk（Ci），推导出：

k。这种攻击主要用于公开密钥体制，选择密文攻击有时也可有效地用于对称算法（有时选择明文攻击和选择密文攻击一起称作选择文本攻击。）选择密文攻击密码分析者能选择不同的被加密的密文，并可得到对应85选择密钥攻击这种攻击并不表示密码分析者能够选择密钥，它只表示密码分析者具有不同密钥之间的关系的有关知识。这种方法有点奇特和晦涩，不是很实际。选择密钥攻击这种攻击并不表示密码分析者能够选择密钥，它只表示86软磨硬泡(Rubber-hose)攻击密码分析者威胁、勒索，或者折磨某人，直到他给出密钥为止。行贿有时称为购买密钥攻击。这些是非常有效的攻击，并且经常是破译算法的最好途径。软磨硬泡(Rubber-hose)攻击密码分析者威胁、勒索，87各种算法的特点对称密码算法 加/解密速度快，但密钥分发问题严重非对称密码算法 加/解密速度较慢，但无密钥分发问题杂凑函数 计算速度快，结果长度统一各种算法的特点对称密码算法88第8章密码系统举例第8章密码系统举例89§8.1雷卡金融系统加密金融数据安全需求国内外金融数据加密系统的现状成熟的金融数据加密体系密码政治与密码市场§8.1雷卡金融系统加密金融数据安全需求90§8.2某卫星电视会议保密系统会议保密系统的需求卫星链路保密的需求密码体系加密系统部署§8.2某卫星电视会议保密系统会议保密系统的需求91§8.4密码算法软件、硬件实现软件实现FPGA、EPLD、专用硬件实现算法的串行处理实现算法的并行处理实现§8.4密码算法软件、硬件实现软件实现92进一步的读物BruceSchneier,《AppliedCryptography:Protocols,algorithmsandsourcecodeinC》,1996SimonSingh,《TheCodeBook》,1999冯登国，裴定一,《密码学导引》,科学出版社,1999王育民，刘建伟,《通信网的安全--理论与技术》,西安电子科技大学出版社,1999梁晋，施仁，王育民等,《电子商务核心技术–安全电子易协议的理论与设计》,2000WilliamStallings著，杨明，胥光辉，齐望东等译,《密码编码学与网络安全：原理与实践(第二版)》,电子工业出版社，2001进一步的读物BruceSchneier,《Applied93CISP--密码技术基础介绍94问题？问题？95信息安全技术

密码技术信息安全技术

密码技术96第0章绪论第0章绪论97密码学与信息安全信息的私密性(Privacy)

对称加密信息的完整性(Integrity)

数字签名信息的源发鉴别(Authentication)

数字签名信息的防抵赖性(Non-Reputation)

数字签名＋时间戳密码学与信息安全信息的私密性(Privacy)98互联网困境互联网困境99OverviewofCryptographyInformationsecurityandcryptographyBackgroundonfunctionsBasicterminologyandconceptsSymmetric-keyencryptionDigitalsignaturesAuthenticationandidentificationPublic-keycryptographyHashfunctionsProtocolsandmechanismsKeyestablishment,management,andcertificationPseudorandomnumbersandsequencesClassesofattacksandsecuritymodelsOverviewofCryptographyInform100MathematicalBackgroundProbabilitytheoryInformationtheoryComplexitytheoryNumbertheoryAbstractalgebraFinitefieldsMathematicalBackgroundProbabi101SomeinformationsecurityobjectivesSomeinformationsecurityobje102密码学分类

密码学分类

103第1章密码学基础第1章密码学基础104§1.1密码学的历史与发展密码学的演进 单表代替－>多表代替－>机械密(恩格玛)－>现代密码学(对称与非对称密码体制)－>量子密码学密码编码学和密码分析学应用领域 军事，外交，商业，个人通信，古文化研究等§1.1密码学的历史与发展密码学的演进105§1.2基础术语点对点通信消息与加密鉴别、完整性与抗抵赖算法与密钥对称算法公开密钥算法密码分析与密码攻击§1.2基础术语点对点通信106点对点通信通信由发起方（发送方）与接收方组成通过通信基础设施传送点对点通信通信由发起方（发送方）与接收方组成107消息与加密消息（message）--明文M加密（encryption）--逻辑扰乱E－－目的：对消息进行伪装C，为非授权或非意向接收者制造麻烦。E(M)=C

消息与加密消息（message）--明文M108鉴别、完整性与抗抵赖鉴别（authentication）

消息来源确认、防假冒、证明你是否就是你所声明的你完整性（integrity）

防篡改、证明消息与过程的正确性抗抵赖（nonrepudiation）

你或其他主体对所作所为的可确认性鉴别、完整性与抗抵赖鉴别（authentication）

消109算法与密钥数学理论的应用－算法算法保密算法参数控制－密钥密钥保密－为了消息保密算法与密钥数学理论的应用－算法110对称算法与公开密钥算法锁门的钥匙与开门的钥匙是同一把钥匙－－对称算法锁门的钥匙与开门的钥匙不是同一把钥匙两把或更多－－公开密钥算法对称算法与公开密钥算法锁门的钥匙与开门的钥匙是同一把钥匙－－111密码分析与密码攻击攻击（数学方法与计算支持）

密文攻击、已知明文攻击、选择明文攻击、选择密文攻击、野蛮攻击泄露（非技术方法）密码分析与密码攻击攻击（数学方法与计算支持）

密文攻击、已知112§1.3密码政治国家政策

绝密、普密、商密国际惯例国家安全◎密码技术◎出入控制§1.3密码政治国家政策

绝密、普密、商密113第2章传统密码学CISP--密码技术基础介绍114§2.1传统密码学简介历史悠久，最古老与最现代的密码学基本特点：加密和解密采用同一个密钥

letC=Ciphertext,P=Plaintext,kiskey,E()/D()istheencryption/decryptionfunction,then

C=E(P,k),P=D(C,k)基本技术 替换/置换和移位§2.1传统密码学简介历史悠久，最古老与最现代的密码学115§2.2DESDES是第一个得到广泛应用的密码算法；DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位；DES是一种对称密码算法，源于Lucifer算法，其中采用了Feistel网络(FeistelNetwork)，即

DES已经过时，基本上认为不再安全；

/Computers_and_Internet/Security_and_Encryption/RSA/RSA_Secret_Key_Challenge/

§2.2DESDES是第一个得到广泛应用的密码算法；116§2.3IDEAXuejiaLai和JamesMassey提出；IDEA是对称、分组密码算法，输入明文为64位，密钥为128位，生成的密文为64位；IDEA是一种相对较新的算法，虽有坚实的理论基础，但仍应谨慎使用(尽管该算法已被证明可对抗差分分析和线性分析)；IDEA是一种专利算法(在欧洲和美国)，专利由Ascom-TechAG拥有;PGP中已实现了IDEA；§2.3IDEAXuejiaLai和JamesMass117§2.4RC系列RC系列是RonRivest为RSA公司设计的一系列密码：RC1从未被公开，以致于许多人们称其只出现在Rivest的记事本上；RC2是变长密钥加密密法；(RC3在设计过程中在RSADSI内被攻破);RC4是Rivest在1987年设计的变长密钥的序列密码；RC5是Rivest在1994年设计的分组长、密钥长的迭代轮数都可变的分组迭代密码算法；DES(56),RC5-32/12/5,RC5-32/12/6,RC-32/12/7已分别在1997年被破译；§2.4RC系列RC系列是RonRivest为RSA公司118§2.5AESCandidate和RijndealAES评选过程最后的5个候选算法：Mars,RC6,Rijndael,Serpent,andTwofishRijndael算法的原型是Square算法，其设计策略是宽轨迹策略(WideTrailStrategy)，以针对差分分析和线性分析；Rijndael是迭代分组密码，其分组长度和密钥长度都是可变的；为了满足AES的要求，分组长度为128bit，密码长度为128/192/256bit，相应的轮数r为10/12/14。§2.5AESCandidate和RijndealAES119§2.6分组密码工作模式ECB(TheElectronicCodebook)CBC(CipherBlockChaining)CFB(CipherFeedback)OFB(OutputFeedback)CTR(Counter).§2.6分组密码工作模式ECB(TheElectronic120ElectronicCodebook(ECB)modeTheElectronicCodebook(ECB)modeisaconfidentialitymodethatfeatures,foragivenkey,theassignmentofafixedciphertextblocktoeachplaintextblock,analogoustothessignmentofcodewordsinacodebook.InECBencryption,theforwardcipherfunctionisapplieddirectlyandindependentlytoeachblockoftheplaintext.Theresultingsequenceofoutputblocksistheciphertext.InECBdecryption,theinversecipherfunctionisapplieddirectlyandindependentlytoeachblockoftheciphertext.Theresultingsequenceofoutputblocksistheplaintext.ElectronicCodebook(ECB)mode121ElectronicCodebookModeECBEncryption:Cj=CIPHK(Pj)forj=1…n.ECBDecryption:Pj=CIPH-1K(Cj)forj=1…n.ElectronicCodebookModeECBEn122CipherBlockChainingModeTheCipherBlockChaining(CBC)modeisaconfidentialitymodewhoseencryptionprocessfeaturesthecombining(“chaining”)oftheplaintextblockswiththepreviousciphertextblocks.TheCBCmoderequiresanIVtocombinewiththefirstplaintextblock.TheIVneednotbesecret,butitmustbeunpredictable;CipherBlockChainingModeThe123CipherBlockChainingModeCipherBlockChainingMode124InCBCencryption,thefirstinputblockisformedbyexclusive-ORingthefirstblockoftheplaintextwiththeIV.Theforwardcipherfunctionisappliedtothefirstinputblock,andtheresultingoutputblockisthefirstblockoftheciphertext.Thisoutputblockisalsoexclusive-ORedwiththesecondplaintextdatablocktoproducethesecondinputblock,andtheforwardcipherfunctionisappliedtoproducethesecondoutputblock.Thisoutputblock,whichisthesecondciphertextblock,isexclusive-ORedwiththenextplaintextblocktoformthenextinputblock.Eachsuccessiveplaintextblockisexclusive-ORedwiththepreviousoutput/ciphertextblocktoproducethenewinputblock.Theforwardcipherfunctionisappliedtoeachinputblocktoproducetheciphertextblock.InCBCencryption,thefirsti125CipherFeedback(CFB)modeTheCipherFeedback(CFB)modeisaconfidentialitymodethatfeaturesthefeedbackofsuccessiveciphertextsegmentsintotheinputblocksoftheforwardciphertogenerateoutputblocksthatareexclusive-ORedwiththeplaintexttoproducetheciphertext,andviceversa.TheCFBmoderequiresanIVastheinitialinputblock.TheIVneednotbesecret,butitmustbeunpredictable;CipherFeedback(CFB)modeThe126CipherFeedbackModeCipherFeedbackMode127OutputFeedback(OFB)modeTheisaconfidentialitymodethatfeaturestheiterationoftheforwardcipheronanIVtogenerateasequenceofoutputblocksthatareexclusive-ORedwiththeplaintexttoproducetheciphertext,andviceversa.TheOFBmoderequiresthattheIVisanonce,i.e.,theIVmustbeuniqueforeachexecutionofthemodeunderthegivenkey;OutputFeedback(OFB)modeThe128OutputFeedbackModeOutputFeedbackMode129InOFBencryption,theIVistransformedbytheforwardcipherfunctiontoproducethefirstoutputblock.Thefirstoutputblockisexclusive-ORedwiththefirstplaintextblocktoproducethefirstciphertextblock.Theforwardcipherfunctionistheninvokedonthefirstoutputblocktoproducethesecondoutputblock.Thesecondoutputblockisexclusive-ORedwiththesecondplaintextblocktoproducethesecondciphertextblock,andtheforwardcipherfunctionisinvokedonthesecondoutputblocktoproducethethirdoutputblock.Thus,thesuccessiveoutputblocksareproducedfromapplyingtheforwardcipherfunctiontothepreviousoutputblocks,andtheoutputblocksareexclusive-ORedwiththecorrespondingplaintextblockstoproducetheciphertextblocks.Forthelastblock,whichmaybeapartialblockofubits,themostsignificantubitsofthelastoutputblockareusedfortheexclusive-ORoperation;theremainingb-ubitsofthelastoutputblockarediscarded.InOFBencryption,theIVist130InbothOFBencryptionandOFBdecryption,eachforwardcipherfunction(exceptthefirst)dependsontheresultsofthepreviousforwardcipherfunction;therefore,multipleforwardcipherfunctionscannotbeperformedinparallel.However,iftheIVisknown,theoutputblockscanbegeneratedpriortotheavailabilityoftheplaintextorciphertextdata.InbothOFBencryptionandOFB131Counter(CTR)modeTheisaconfidentialitymodethatfeaturestheapplicationoftheforwardciphertoasetofinputblocks,calledcounters,toproduceasequenceofoutputblocksthatareexclusive-ORedwiththeplaintexttoproducetheciphertext,andviceversa.Thesequenceofcountersmusthavethepropertythateachblockinthesequenceisdifferentfromeveryotherblock.Thisconditionisnotrestrictedtoasinglemessage:acrossallofthemessagesthatareencryptedunderthegivenkey,allofthecountersmustbedistinct.Counter(CTR)modeTheisacon132CISP--密码技术基础介绍133InbothCTRencryptionandCTRdecryption,theforwardcipherfunctionscanbeperformedinparallel;similarly,theplaintextblockthatcorrespondstoanyparticularciphertextblockcanberecoveredindependentlyfromtheotherplaintextblocksifthecorrespondingcounterblockcanbedetermined.Moreover,theforwardcipherfunctionscanbeappliedtothecounterspriortotheavailabilityoftheplaintextorciphertextdata.InbothCTRencryptionandCTR134§2.6流密码工作模式synchronousstreamcipherbinaryadditivestreamcipherself-synchronizingstreamcipher§2.6流密码工作模式synchronousstream135Generalmodelofasynchronousstreamcipher

Generalmodelofasynchronous136Generalmodelofabinaryadditivestreamcipher.

Generalmodelofabinaryaddi137Generalmodelofaself-synchronizingstreamcipher.

Generalmodelofaself-synchr138self-synchronizingstreamcipher

Property1/4self-synchronization.Self-synchronizationispossibleifciphertextdigitsaredeletedorinserted,becausethedecryptionmappingdependsonlyonafixednumberofprecedingciphertextcharacters.Suchciphersarecapableofre-establishingproperdecryptionautomaticallyafterlossofsynchronization,withonlyafixednumberofplaintextcharactersunrecoverable.self-synchronizingstreamciph139self-synch