信息安全导论ppt 第4章 信息加密技术

第4章信息加密技术4.1

网络通信中的加密方式4.2

密码学原理4.3

复合型加密体制PGP4.4微软的CryptoAPI4.5对加密系统的计时入侵4.6加密产品与系统简介第4章信息加密技术加密技术与密码学紧密联系。E加密算法明文M加密密钥KeD解密算法明文M加密密钥Kd截取者C数据加密的一般模型4.1网络通信中的加密方式

4.1.1链路-链路加密4.1.2节点加密4.1.3端-端加密4.1.4ATM网络加密4.1.5卫星通信加密4.1.6加密方式的选择返回本章首页4.1.1链路-链路加密用户在网络上相互通信，其安全危险来自于非法窃听。有的黑客入侵者通过搭线窃听，截收线路上传输的信息。因此，对网络传输的信息进行数据加密，然后在网络信道上传输密文，这样既使中途被截获，也无法理解信息内容。返回本节

1.面向链路的加密方法（1）将网络看作链路连接的结点集合。（2）每一个链路被独立地加密。（3）链路-链路加密方式为两个结点之间通信链路中的信息提供安全性，它与这个信息的起始或终结无关。

2.链路-链路加密示意图

结点1结点2结点3

Eki为加密变换，Dki为解密变换Dk1Ek2

Ek1Dk2

3.链路-链路加密的优缺点(1)加密对用户是透明的，通过链路发送的任何信息在发送前都先被加密。(2)每个链路只需要一对密钥。(3)提供了信号流安全机制。(4)缺点是数据在中间结点以明文形式出现，维护结点安全性的代价较高。返回本节4.1.2节点加密1.加密方法节点加密指每对节点共用一个密钥，对相邻两节点间（包括节点本身）传送的数据进行加密保护。节点加密方法与链路加密类似，是在节点处采用一个与节点机相连的密码装置（被保护的外围设备）,密文在该装置中被解密并被重新加密，明文不通过节点机，避免了链路加密关节点处易受攻击的缺点。

2.操作方式(与链路加密类似)（1）两者均在通信链路上为消息提供安全性；都在中间节点先对消息进行解密，然后进行加密。（2）链路上每个节点必须检查路由选择信息，因此只能对报文正文进行加密而不能对报头加密。（3）报头和路由信息以明文形式传输，以便中间节点能得到如何处理报文正文的信息，但是也给了攻击者可乘之机。4.1.3端-端加密1.加密方法端-端加密方法建立在OSI参考模型的网络层和传输层。这种方法要求传送的数据从源端到目的端一直保护密文状态，任何通信链路的错误都不会影响整体数据的安全性。

端--端加密是为数据从一端传送到另一端提供的加密方式。数据在发送端被加密，在最终目的地（接收端）解密，中间节点处不以明文的形式出现。

2.端-端加密示意图结点1结点2结点3Ek为加密变换，Dk为解密变换EkDk

3.端-端加密的特点（1）端-端加密在源端进行数据加密，在目的端进行解密，不加密路径控制信息。（2）在中间结点及其线路上将一直以密文形式出现。（3）缺点是允许进行通信量分析，而且密钥管理机制较复杂。返回本节4.1.4ATM网络（异步传输模式）加密ATM采用面向连接的传输方式，将数据分割成固定长度的信元，通过虚连接进行交换。ATM集交换、复用、传输为一体，在复用上采用的是异步时分复用方式，通过信息的首部或标头来区分不同信道。

ATM网络环境中使用的加密方法一般有：

1.链路加密根据网络结构特性，在物理协议层进行加密的同时，还需在物理层上方实施加密功能，以进一步提高加密程度。

2.ATM信元加密（CellEncryption）为了防止在交换节点上泄露机密信息，可给用户数据（有效载荷）部分实施加密，而各个信元标头使用明码。

在ATM信元级加密，最简单的方法是对所有信元都使用同一密钥。

3.密钥灵活的信元加密密钥灵活是指加密单元拥有动态变换密钥的能力，密钥灵活的理想状态是能够迅速地变换各个密钥。例如，能在通信流的每个虚拟分支上使用不同的密钥，或者是在包交换网的每个目的地上使用专用的密钥。返回本节4.1.5卫星通信加密

1.终端加密地面站计算机发送信息时，先将信息送加密机进行加密得到密文，密文送给地面站控制器，控制器进行处理后送发射器发向卫星。空中的通信卫星将接到的密文按协议发向指定的收方地面站，收方地面站控制器先把密文送计算机处理，然后送加密机解密后送计算机按明文方式处理、输出等。返回本节2.信道加密地面站的用户终端与站控制器之间安装有加密机，该加密机负责信道信息的加解密。计算机将传送的信息送信道加密机加密变成密文，密文被送往地面站控制器，由地面站控制器把密文发向相应的地面站，该站控制器进行处理后送信道加密机解密成明文送用户的计算机输出。

3.群路加密各种业务性质的信息都先送群路加密机进行加密，群路加密机将加密后的密文送地面站控制器，由控制器发向通信卫星。通信卫星发向相应地面站控制器，然后由该控制器将处理过的密文送群路加密机，解密成为明文后再分送各用户使用。返回本节4.1.6加密方式的选择目前网络加密主要采用二种方式1.链路加密方式要保护的链路数不多，要求实时通信，不支持端到端加密的远程调用通信等场合宜采用链路加密方式，这样仅需少量的加密设备即可，从而可保证不降低太多的系统性能，不需要太高的加密成本。返回本节

2.端到端加密方式（全程密文）在需要保护的链路数较多的场合以及在文件保护、邮件保护、支持端到端加密的远程调用、实时性要求不高的通信等场合，宜采用端到端加密方式，这样可以使网络具有更高的保密性、灵活性、加密成本也较低。3.加密方式的比较

方式

优点

缺点

链路加密1．包含报头和路由信息在内的所有信息均加密2．单个密钥损坏时整个网络不会损坏，每对网络节点可使用不同的密钥3．加密对用户透明1．消息以明文形式通过每一个节点2．因为所有节点都必须有密钥，密钥分发和管理变得困难3．由于每个安全通信链路需要两个密码设备，因此费用较高节点加密1．消息的加、解密在安全模块中进行，这使消息内容不会被泄露2．加密对用户透明1．某些信息（如报头和路由信息）必须以明文形式传输2．因为所有节点都必须有密钥，密钥分发和管理变得困难端到端加密1．使用方便，采用用户自己的协议进行加密，并非所有数据加密2．网络中数据从源点到终点均受保护3．加密对网络节点透明，在网络重构期间可使用加密技术1．每一个系统都需要完成相同类型的加密2．某些信息（如报头和路由信息）必须以明文形式传输3．需采用安全、先进的密钥颁发和管理技术返回本节

加密方式比较链路加密方式

采用链路加密方式，从起点到终点，要经过许多中间节点，在每个节点地均要暴露明文（节点加密方法除外），如果链路上的某一节点安全防护比较薄弱，那么按照木桶原理（木桶水量是由最低一块木板决定），虽然采取了加密措施，但整个链路的安全只相当于最薄弱的节点处的安全状况。用量很大。链路加密，每条物理链路上，不管用户多少，可使用一种密钥。在极限情况下，每个节点都与另外一个单独的节点相连，密钥的数目也只是n*(n-1)/2种。这里n是节点数而非用户数，一个节点一般有多个用户。

端--端加密方式

采用端--端加密方式，只是发送方加密报文，接收方解密报文，中间节点不必加、解密，也就不需要密码装置。此外，加密可采用软件实现，使用起来很方便。在端--端加密方式下，每对用户之间都存在一条虚拟的保密信道，每对用户应共享密钥（传统密码保密体制，非公钥体制下），所需的密钥总数等于用户对的数目。对于几个用户，若两两通信，共需密钥n*(n-1)/2种，每个用户需(n-1)种。这个数目将随网上通信用户的增加而增加。为安全起见，每隔一段时间还要更换密钥，有时甚至只能使用一次密钥，密钥的用量很大。

从身份认证的角度看，链路加密只能认证节点，而不是用户。使用节点A密钥的报文仅保证它来自节点A。报文可能来自A的任何用户，也可能来自另一个路过节点A的用户。因此链路加密不能提供用户鉴别。端--端加密对用户是可见的，可以看到加密后的结果，起点、终点很明确，可以进行用户认证。总之，链路加密对用户来说比较容易，使用的密钥较少，而端--端加密比较灵活，用户可见。对链路加密中各节点安全状况不放心的用户也可使用端--端加密方式。4.2密码学原理

4.2.1古典密码系统4.2.2对称密码系统4.2.3公钥密码系统返回本章首页

数据加密的一般模型如图所示。明文M用加密算法E和加密密钥Ke得到密文C=Eke(M)。传递过程中可能出现加密密文截取者。到了接收端，利用解密算法D和解密密钥Kd，解出明文M=DKe(C)。4.2.1古典密码系统1.仿射密码系统仿射密码系统是一种典型的单表变换密码系统，根据凯撒密码产生。

所谓单表变换密码是指明文的所有字母和密文的所有字母之间存在一个固定的映射关系f：Zn→Zn。返回本节

表4-2是从明文字母映射到密文字母的一个实例。

【例4-1】根据表4-2对明文affinecipher进行加密。根据表4-2的映射关系，存在以下的加密变换：

a→y，f→d，i→g，n→l，e→c，c→a，p→n，h→f，r→p

于是可以得到密文：“yddglcagnfcp”接收方收到密文后，也可以通过表4-2进行还原：

y→a，d→f，g→i，l→n，c→e，a→c，n→p，

f→h，p→r得到明文：“affinecipher”在仿射密码系统(AffineCipher)中，明文空间和密文空间均为Zn。密钥空间：K={K=（k0，k1）|gcd（k1，n）=1，k0，k1∈Zn}

加密算法：Ek（i）=（ik1+k0

）modn

解密算法：Dk（j）=（j-k0）／k1modn

当k1=1时，仿射退化为简单的加减，相应的密码系统成为移位密码系统

当k0=0时，仿射退化成乘法，相应的密码系统称为乘法密码系统（采样密码系统）【例4-2】在仿射密码系统中，明文空间和密文空间均为Z26,k0=3,k1=5：英文明文：unconditionalsecurity相应的数字明文：20,13,2,14,13,3,8,19,8,14,13,0,11,18,4,2,20,17,8,19,24实施加密算法：Ek（i）=（5i+3）mod26数字密文：25,16,13,21,16,18,17,20,17,21,16,3,6,15,23,13,25,10,17,20,19相应的密文：zqnvqsrurvqdgpxnzkrut实施解密算法：Dk（j）=（j-3）/5mod26还原出的数字明文：20,13,2,14,13,3,8,19,8,14,13,0,11,18,4,2,20,17,8,19,24相应的明文：unconditionalsecurity32字符的加密、解密加密的思想是：将每个字母C加（或减）一序数k，即用它后的第k个字母代替，变换式公式：c=c+k

例如序数k为5，这时“A”

“F”，“a”

“f”，“B”

“G”…

当加序数后的字母超过“Z”或“z”则c=c+k-26

例如：YouaregoodDtzfwjltti

解密为加密的逆过程将每个字母C减（或加）一序数k，即c=c-k,

例如序数k为5，这时“Z”

“U”，“z”

“u”，“Y”

“T”…

当加序数后的字母小于“A”或“a”则c=c-k+2633voidmain(){charc;while((c=getchar())!='\n'){if((c>='a'&&c<='z')||(c>='A'&&c<='Z')){c=c+4;

if(c>'Z'&&c<='Z'+4||c>'z')c=c-26;}printf("%c",c);}}加密程序：34voidmain(){charc;while((c=getchar())!='\n'){if((c>='a'&&c<='z')||(c>='A'&&c<='Z')){c=c-4;

if(c<'A'||c<'a'&&c>='a'-4)c=c+26;}printf("%c",c);}}解密程序：

2.Vigenère密码系统多表变换密码系统是单表变换密码系统的扩展。在单表变换中，加密和解密由一个映射来完成，而多表变换中存在多个映射。

在Vigenère密码系统中，明文空间和密文空间均为Zn。密钥：k=（k0，k1，…，kd），ki∈Zn

加密算法：mi+tdci+td

ci+td=（mi+td+ki

）（modn）解密算法：ci+td

mi+td

mi+td=（ci+td-ki）（modn）

【例4-3】在Vigenère密码系统中，明文和密文都是英文字母串，n=26，密钥k={19，7，8，13，10}，明文的英文形式是：“thealgebraicformofanellipticcurve”相应的数字形式是：“19,7,4,0,11

6,4,1,17,0，8,2,5,14,17，12,14,5,0,13，

4,11,11,8,15，19,8,2,2,2017,21,4”（忽略空格）

实施加密算法：

19（+19）→127（+7）→144（+8）→120（+13）→1311（+10）→216（+19）→254（+7）→111（+8）→917（+13）→40（+10）→108（+19）→12（+7）→95（+8）→1314（+13）→117（+10）→112（+19）→514（+7）→215（+8）→130（+13）→1313（+10）→234（+19）→2311（+7）→1811（+8）→198（+13）→2115（+10）→2519（+19）→128（+7）→152（+8）→102（+13）→1520（+10）→417（+19）→102l（+7）→24（+8）→12

得到数字密文：

“12,14,12,13,21，25,11,9,4,10，1,9,13,1,1，5,21,13,13,23，

23,18,19,21,25，12,15,10,15,4，10,2,12”

相应的英文密文：“momnvzljekbjnbbfvnnxxstvzmpkpekcm”

实施解密算法：

12（-19）→1914（-7）→712（-8）→413（-13）→021（-10）→1125（-19）→611（-7）→49（-8）→l4（-13）→1710（-10）→0l（-19）→89（-7）→213（-8）→5l（-13）→141（-10）→175（-19）→1221（-7）→1413（-8）→51（-13）→023（-10）→1323（-19）→418（-7）→1119（-8）→112l（-13）→825（-l0）→1512（-19）→1915（-7）→810（-8）→215（-13）→24（-10）→2010（-19）→172（-7）→2l12（-8）→4

还原出数字明文：“19,7,4,0,11，6,4,1,17,0，8,2,5,14,17，12,14,5,0,13，4,11,11,8,15，19,8,2,2,20，17,21,4”还原出英文明文：“thealgebraicformofanellipticcurve”

3.Hill密码系统在Hill密码系统中，明文空间和密文空间都是Zmn，明文用(xl，x2，…，xm)表示，密文用（y1，y2，…，ym）表示。

密钥：

k=

加密算法：（y1，y2，…，ym）=（xl，x2，…，xm）

相应的解密算法是：

书P70例4-44.2.2对称密码系统(加解密采用同一个密钥)1.DES算法DES算法具有对称性，既可用于加密又可用于解密。对称性带来的一个很大的好处在于硬件容易实现，DES的加密和解密可以用完全相同的器件来实现。DES算法的明文分组是64位，输出密文也是64位。所用密钥的有效位数是56位，加上校验位共64位。（1）DES加密算法的数据流程图

64比特的明文初始换位加密变换逆初始换位64比特的密文子密钥的生成（k1，k2，…，k16）64比特的密钥

（2）原理①该算法输入的是64比特的明文，在64比特的密钥控制下，通过初始换位IP变成T0=IP(T)。②再对T0经过16层的加密变换。

③最后通过逆初始变换得到64比特的密文。它反复使用替换和变位，以便彻底地打乱明文的信息，使得密文的每一位都依赖于明文的每一位和密钥的每一位。DES的加密过程可分为加密处理、加密变换及子密钥的生成几个部分。输入64位初始变换L0R0fL1=R0R1=L0

F(R0,K1)输出64位逆初始变换L2=R1L15=R14L16=R15R2=L1F(R1,K2)R15=L44F(R14,K15)R16=L15F(R15,K16)ffK16fKnK2K1线性变换，主要是位置上的变化K为48位子密钥(3)算法流程图16次迭代运算迭代算法流程图密钥数据R(32)扩展型换位R′(48)K(48)S1S2S3S4S5S6S7S8换位(32)F(R,k)(32)经过扩展函数扩充为48位的串分解为8个长度为6的串S盒处理6位串经过S盒后变为4位串，最后组成32位串，再经过一次换位变换

（4）关于DES的评价

DES具有良好的保密性能和抗分析破译性能，并已广泛地应用于金融业，美国、日本和西欧一些国家都使用DES。

目前，DES在各种算法的加密软、硬件产品中占有很大的比重，最具有代表性，影响最大，应用最广。返回本节

（5）DES的质疑①DES加密单位仅有64位，对于数据传输来说太小，每个分组仅包含8个字符，而且还有些位要用奇偶校验。②密钥只有56位，未免太短，各次迭代过程中的密钥是递推产生的，这种相关性降低密码体制安全。③S盒的设计原理未公开，可能留有后门，知道的人可以轻易破解。

返回本节

（6）增强的DES①三重DES算法，用三个不同的密钥的三重（三次des计算）加密，没有任何攻击方式能破解三重des加密技术。②具有独立子密钥的DES算法，每一轮迭代都使用不同的子密钥，降低子密钥的相关性。③使用交换S盒的DES算法，通过优化S盒的设计，或者变换S盒本身的顺序，可以增强DES算法的加密强度。

返回本节

2.其他对称密码系统（1）LOKI算法

LOKI算法于1990年在密码学界首次亮相。同DES一样，LOKI算法以64位二进制分组加密数据，也使用64位密钥，不同的是在密钥中无奇偶校验位。

小于14轮的LOKI算法易受差分密码分析攻击，但是该算法仍然优于56位密钥的DES算法。

（2）Khufu和Khafre算法

1990年，由Merhie设计的Khufu和Khafre算法也是一个很有特点的算法。

该算法具有较长的密钥（512位），适合于软件实现，能有效的应对差分密码分析的攻击。

（3）FEAL-8密码

FEAL密码算法是由日本NTT（日本电报电话公司）的Shimizi和Miyaguchi设计的一种算法，其主要思路是增加每一轮迭代的算法强度。

FEAL密码算法是一个算法族，如：FEAL-8表示8轮迭代的FEAL密码算法

（4）IDEA算法

1990年，XueJiaLai和Massey首次提出IDEA密码系统，当时称为建议加密标准（PES）。

该算法于1992年正式更名为IDEA。IDEA的明文和密文分组都是64位，密钥长度为128位，算法具有对称性，同一种算法既可用于加密，又可用于解密。

（5）RC5算法

RC5是由RSA公司的首席科学家RonRivest于1994年设计、1995年正式公开的一个很实用的加密算法。

RC5的特点是分组长度、密钥长度和迭代轮数都可变。自RC5公布以来至今还没有发现攻击它的有效手段，但一些理论文章也分析出了RC5的某些弱点。

（6）高级加密标准AES算法1997年4月15日，NIST（NationalInstituteofStandardTechnology，美国国家标准和技术研究所）发起了征集AES（AdvancedEncryptionStandard，高级加密标准）算法的活动。美国学者约翰逊（DonB.Johnson）首次提出把未来弹性（FutureResilien-cy）引入AES评估标准。返回本节

未来弹性的概念

“未来弹性”作为系统设计的目标，旨在设计出能够应付未来难以预测的变化和不确定性的系统。Internet是具有未来弹性特征的。密码多样性也是具有未来弹性特征的。

未来弹性与AES评估标准将未来弹性引入AES评估标准还有以下优点：增强安全性增强适应性减少专利纠纷分散目标避免攻击

浅析AES算法的遴选

AES算法具有可变的分组长度和密钥长度，分别设计了3个密钥长度128／192／256位，用于加密长度为128／192／256位的分组，相应的轮数为10／12／14。AES算法具有安全、性能好、效率高、易于实现和灵活等优势。4.2.3公钥密码系统(非对称加密)1976年，美国学者Diffie和hellman根据单向函数的概念提出了公开密钥体制（加密和解密由一对密钥来完成），引起了密码学的一场革命。公开密钥密码体制从根本上克服了传统密码体制的困难，解决了密钥分配和消息认证等问题，特别适合于计算机网络系统的应用。返回本节4.2.3公钥密码系统RSA（以三位开发者姓名首字母命名）是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。返回本节

1.RSA公钥系统（1）原理在公开密钥密码体制中，加密密钥和解密密钥互异分离。

加密密钥可以通过非保密信道向他人公开，使任何得到该加密密钥的用户据此将明文信息加密后予以发送；而按特定要求选择的解密密钥则需保持秘密。

（2）基础

RSA算法运用了数论中的Euler(欧拉)定理，即a、r是两个互素的正整数。则az≡1(modr)，其中z为与r互素且不大于r的正整数的个数（即Euler函数）。

该算法取用一个合数（该合数为两个大素数的乘积），而不是取用一个大素数作为其模数r

。

（3）RSA的实施实施RSA公开密钥密码体制的步骤为：

设计密钥先仔细选取两个互异的大素数P和Q，令:N=P

Q，z=(P-1)

(Q-1)接着寻求两个正整数e,d，使其满足:

这里的就是公开的加密密钥。这里的就是私密的加密密钥。

加密密文把要发送的明文信息M数字化和分块，其加密过程是：

恢复明文：对C解密，即得到明文：

离散对数问题

例4-7p=499,q=929则，n=499*929=463571Z=（499-1）*（929-1）=462144取a=255157,b=9949则对明文x=200412实施RSA加密y=2004129949mod463571=418883解密x=418883255157mod463571=200412a*bmodz=1且a,b与z互质

（4）RSA算法的安全性

大整数分解情况年度被分解因子十进位长度机器形式时间198347HP迷你计算机3天198369Cray超级计算机32小时19889025个SUN工作站几星期1989961MIPS处理器1个月198910680个工作站以上几星期1993110128×128处理器（0.2MIPS）1个月19941291600台计算机

8个月

RSA与DES加密速度的比较

密码体制硬件速度（bit／s）软件速度（bit／s或MIPS）RSA加密220k0.5k解密-------32kDES1.2G400k

（5）举例取两个质数p=11，q=13，p和q的乘积为n=p×q=143，算出另一个数z=(p-1)×(q-1)=120；再选取一个与z=120互质的数，例如e=7，则公开密钥=（n，e）=（143，7）。对于这个e值，可以算出其逆：d=103。因为e×d=7×103=721，满足e×dmodz=1；即721mod120=1成立。则秘密密钥=（n，d）=（143，103）。

设张小姐需要发送机密信息（明文）m=85给李先生，她已经从公开媒体得到了李先生的公开密钥(n，e)=(143，7)，于是她算出加密值：c=memodn=857mod143=123并发送给李先生。李先生在收到密文c=123后，利用只有他自己知道的秘密密钥计算：m=cdmodn=123103mod143=85，所以，李先生可以得到张小姐发给他的真正的信息m=85，实现了解密。

（6）RSA的安全性RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价。即RSA的重大缺陷是无法从理论上把握它的保密性能如何，而且密码学界多数人士倾向于因子分解不是NPC问题。

就目前计算机水平用1024位的密钥是安全的，2048位是绝对安全的。RSA实验室认为，512位的n已不够安全，应停止使用，现在的个人需要用668位的n，公司要用1024位的n，极其重要的场合应该用2048位的n。

RSA的缺点

A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。B)分组长度太大，为保证安全性，n至少也要600bits以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。

直接攻击RSA的可能A)通过若干次连续加密后，明文有可能被恢复出来，这种攻击方式成为循环攻击。（例4-8）B)公共模数攻击（例4-9）。若系统中共有一个模数，只是不同的人拥有不同的e和d，系统将是危险的。最普遍情况是同一信息用不同公钥加密，这些公钥共模而且互质，那么该信息无需私钥就可得到恢复。设P为信息明文，两个加密密钥为e1和e2，公共模数是n，则：

C1=P^e1

modn

C2=P^e2modn密码分析者知道n、e1、e2、C1和C2，就能得到P。

（7）密钥分配公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。KDC的公开密钥和秘密密钥分别为PKAS、SKAS。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。

课后第三题：1）设p=17,q=11,公钥e=7，试将信息m=123连续加密四次，为m1和m4有什么关系？n=p*q=187m1=1237mod187=183m2=1837mod187=72m3=727mod187=30m4=307mod187=123循环攻击

课后第三题：2）设p=43,q=59,公钥e=13，求私钥d，并求信息m=1520对应的密文？z=(p-1)*(q-1)=2436n=p*q=2537要使e*dmodz=1，即e*d=k*z+1，使得存在某个整数k使该式成立，得当k=5时，d=937密文y=memodn=152013mod2537=95解密x=mdmodn=95937mod2537=1520

2.Rabin公钥系统

设n=pq是p和q两个互不相同的大素数的乘积，且p，q≡3（mod4）明文空间和密文空间：P=C=Zn

密钥：K={（n，p，q，B）}

其中，0≤B≤n-1

加密算法：

解密算法：在Rabin公钥密码系统中，加密算法非常简单，而解密算法却要复杂得多，而且解密算法中出现了一个有限域内求“平方根”的问题。

3.ELgama公钥系统ELGamal加密体制是基于离散对数问题的难解性，离散对数问题是属于NP-完全问题。ELGamal体制是随机选取一个大素数p（200位十进制数），选一个数g（模的本原根）把p、g对用户公开。

（1）密钥生成

随机选取一整数x作为用户秘密密钥，记为D=（x）。

计算。

将E=（y）公开，作为用户的公开密钥。

（2）加密过程

在公开密钥数据库中查得用户的公开密钥E=（y）：。

随机地在0~p-1之间取一