2-1密码技术基础分析

第2章密码技术

加密是计算机安全的重要部分。口令加密是防止文件中的密码被窃取。文件加密主要应用于因特网上的文件传输，防止文件被窃取。

计算机网络安全基础第2章密码技术本章主要内容：对称密码技术非对称密码技术密钥分配与管理技术数字签名信息隐藏技术计算机网络安全基础2.1密码技术概述

2.1.1密码学的起源、发展与应用 1．加密的历史 作为保障数据安全的一种方式，现代加密技术起源于公元前2000年。埃及人是最先使用特别的象形文字作为信息编码的人。随着时间推移，巴比伦、美索不达米亚和希腊都开始使用一些方法来保护他们的书面信息。 2．密码学的发展 密码学的发展可以分为两个阶段。第一个阶段是计算机出现之前的四千年（早在四千年前，古埃及就开始使用密码传递消息），这是古典加密学阶段，基本上靠人工对消息加密、传输和防破译。第二阶段是计算机密码学阶段.计算机网络安全基础2.1密码技术概述2.1.2密码技术基础密码技术(密码学)是研究通信安全保密的一门学科。密码技术包含两个分支：密码编码学：把信息变换成没有密钥就不能解读或很难解读的密文。密码分析学：研究分析破译密码的方法。

计算机网络安全基础2.1密码技术的基本概念 数据加密 数据加密的基本过程包括对称为明文的可读信息进行处理，形成称为密文或密码的代码形式。该过程的逆过程称为解密，即将该编码信息转化为其原来的形式的过程。 1．为什么需要进行加密 因特网是危险的，而且这种危险是TCP／IP协议所固有的，一些基于TCP／IP的服务也是极不安全的，另一方面，因特网把全世界连在了一起，走向因特网就意味着走向了世界。为了使因特网变得安全和充分利用其商业价值，人们选择了现代加密技术和基于加密技术的身份认证。计算机网络安全基础2.1密码技术的基本概念 2．鉴别、完整性和抗抵赖 除了提供机密性外，密码学通常还有其它的作用。（1）鉴别。消息的接收者应该能够确认消息的来源，入侵者不可能伪装成他人。（2）完整性。消息的接收者应该能够验证在传送过程中消息没有被修改，入侵者不可能用假消息代替合法消息。（3）抗抵赖。发送者事后不可能虚假地否认他发送的消息。计算机网络安全基础2.1密码技术概述保密通信系统模型密钥源K1密钥源K2加密c=E1(m)解密m=D1(c)k1k2mm非法入侵者搭线信道(主动攻击)密码分析员(窃听者)搭线信道(被动攻击)信源信宿c计算机网络安全基础2.1密码技术概述一个密码体制的构成：全体明文的集合M，称为明文空间全体密文的集合C，称为密文空间全体密钥的集合K，称为密钥空间加密算法E，由加密密钥控制的加密变换的集合，即：K×M→C,(m,k)|→Ek(m)加密算法D，由解密密钥控制的解密变换的集合，即：K×C→M,(c,k)|→Dk(c)对于∨m∈M,k∈K，有Dk(Ek(m))=m。以上描述的五元组(M,C,K,E,D)就称为一个密码体制。计算机网络安全基础2.1密码技术概述Kerckhoff假设：密码体制的安全性不依赖于算法的保密，而是依赖于密钥的保密。等价描述：通常假定密码分析者知道所使用的密码系统。计算机网络安全基础2.1密码技术概述算法的安全性：原则上讲，只要有足够多的计算时间、存储容量和密文数据，或有足够多的明文、密文对，穷搜索法总是可以成功的。但实际中任何一种能保障安全要求的实用密码体制，都会设计得使这种穷搜索法在实际上是不可行的。在理论上，这种方法也往往作为与其他攻击方法相比较的基础，以此作为标准，判断其他各种攻击方法的有效程度。计算机网络安全基础2.1密码技术的基本概念密钥体制： 加密算法通常是公开的。尽管大家都知道使用加密方法，但对密文进行解码必须要有正确的密钥，而密钥是保密的。（1）单钥/对称密码体制 在单钥中，加密者和解密者使用相同的密钥，也被称为对称密钥加密。这种加密算法的问题是，用户必须让接收人知道自己所使用的密钥，这个密钥需要双方共同保密，任何一方的失误都会导致机密的泄露，而且在告诉收件人密钥过程中，还需要防止任何人发现或偷听密钥，这个过程被称为密钥发布。计算机网络安全基础2.1密码技术的基本概念（2）双钥/非对称密码体制使用相互关联的一对密钥，一个是公用密钥，任何人都可以知道，另一个是私有密钥，只有拥有该对密钥的人知道。如果有人发信给这个人，他就用收信人的公用密钥对信件进行过加密，当收件人收到信后，他就可以用他的私有密钥进行解密，而且只有他持有的私有密钥可以解密。

计算机网络安全基础2.1密码技术的基本概念

计算机网络安全基础2.1密码技术的基本概念 3．密码分析

密码分析的主要方法：(1)穷举法(2)统计分析法(3)密码技术分析法法计算机网络安全基础2.1密码技术的基本概念

密码分析的形式： 密码分析学是在不知道密钥的情况下，恢复出明文的科学。成功的密码分析能恢复出消息的明文或密钥。密码分析也可以发现密码体制的弱点，最终得到上述结果。常用的密码分析攻击：（1）唯密文攻击（CipherText-OnlyAttack）。密码分析者有一些消息的密文，这些消息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密消息的密钥来，以便可采用相同的密钥解出其他被加密的消息。计算机网络安全基础2.1密码技术的基本概念（2）已知明文攻击（Known-PlaintextAttack）。密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥或推导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。（3）选择明文攻击（Chosen-PlaintextAttack）。分析者不仅可得到一些消息的密文和相应的明文，而且他们也可选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那些块可能产生更多关于密钥的信息，分析者的任务是推出用来加密消息的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。计算机网络安全基础2.1密码技术的基本概念（4）选择密文攻击（Chosen-CipherTextAttack）分析者可以选择不同的密文，并能得到相应的明文，并试图推导出密钥。（5）软磨硬泡攻击（Rubber-HoseCryptanalysis）。这种攻击是对密码分析者威胁、勒索，或者折磨某人，直到他给出密钥为止。行贿有时称为购买密钥攻击（purchase-keyattack）。这些是非常有效的攻击，并且经常是破译算法的最好途径。计算机网络安全基础2.2对称密码技术●加密者和解密者使用相同的密钥，称为对称密码技术。对称密码技术的安全性依赖于：加密算法必须足够强，仅从密文本身去解密信息在实践上是不可能的。加密方法的安全性依赖于密钥的秘密性，而不是算法的秘密性。对称密码技术的最大问题是密钥的分发和管理非常复杂，代价高昂。计算机网络安全基础2.2对称密码技术对称密码技术的典型代表：古典密码技术序列密码技术分组密码技术计算机网络安全基础2.2.2古典加密技术

1．替换密码技术●基于符号替换的密码技术，以符号的置换来掩盖明文信息。(1)替换密码技术基本算法：设A={a0，a1，…，an-1}为明文字母表，B={b0，b1，…，bn-1}为密文字母表，使用如下映射：

f:A→B，f(ai)=bj计算机网络安全基础2.2.2古典加密技术①移位代换密码 把明文中所有字母都用它右边的第k个字母替代，并认为Z后边又是A。这种映射关系表示为如下函数： f(a)=(a+k)modn 其中：a表示明文字母；n为字符集中字母个数；k为密钥。则：加密变换为：Ek(ai)=aj，j=(i+k)(modn)，0<k<n解密变换为：Dk(aj)=ai，i=(j-k)(modn)=(j+n-k)(modn),0<k<n计算机网络安全基础[例]凯撒密码表(k=3)

明文字母abcdefghijklmnopqrstuvwxyz密文字母DEFGHIJKLMNOPQRSTUVWXYZABC•有一个拉丁文句子OmniaGalliaestdivisainPartestres(高卢全境分为三个部分）RPQLDJDOOLDHVWGLYLVDLQSDUWHVWUHV2.2古典加密技术计算机网络安全基础2.2古典加密技术 ②乘法密码技术加密变换为：Ek(ai)=aj，j=i·k(modn)，gcd(k,n)=1解密变换为：Dk(aj)=ai，i=j·k-1(modn)[例]

k=9

ABCDEFGHIJKLMNOPQRSTUVWXYZ

AJSBKTCLUDMVENWFOXGPYHQZIR

明文CIPHER=>密文SUFLKX计算机网络安全基础2.2古典加密技术

③仿射密码技术加密变换为：

Ek0,k1(ai)=aj，j=(i·k1+k0)(modn)其中：k0,k1为密钥计算机网络安全基础2.2古典加密技术 ④密钥字密码技术规则：选择一个序列作为密码字，将密码字写在明文字母表下，再将未在字母表中出现过的字母依次写在密钥字后，从而构造出一个字母替换表。[例]k=cipher，则替换表为：abcdefghijklmnopqrstuvwxyzcipherabdfgjklmnoqstuvwxyz计算机网络安全基础2.2古典加密技术 (2)单字符多表替代密码①维吉尼亚(Vigenere)密码 周期替代密码是一种常用的多表替代密码，典型代表为维吉尼亚（Vigenere）密码。这种替代法是循环的使用有限个字母来实现替代的一种方法。若明文信息mlm2m3…mn，采用n个字母（n个字母为B1，B2，…Bn）替代法，那么，ml将根据字母Bn的特征来替代，mn+l又将根据B1的特征来替代，mn+2又将根据B2的特征来替代……，如此循环。可见B1，B2，…Bn就是加密的密钥。 这种加密的加密表是以字母表移位为基础把26个英文字母进行循环移位，排列在一起，形成26×26的方阵。该方阵被称为维吉尼亚表。采用的算法为 f（a）=（a+Bi）modn（i=（1，2，…，n））计算机网络安全基础维吉尼亚表:abcdefg…aABCDEFG…bBCDEFGH…cCDEFGHI…dDEFGHIJ…eEFGHIJK…fFGHIJKL…gGHIJKLM…………………………m=abcdefgkey=bagE(m)=BBIEELHkey=eggE(m)=?E(m)=DCIkey=bagm=?计算机网络安全基础2.2古典加密技术②弗纳姆(Vernam)密码 将明文和密钥分别表示成二进制序列，再把它们按位进行模2加法。

设明文m=m1m2…，密钥k=k1k2…，其中mi,ki∈GF(2)，i≧1，则密文c=c1c2…，其中ci=mi＋ki，为模2加法。计算机网络安全基础2.2古典加密技术③希尔(Hill)密码 以变换矩阵为密钥，将n个明文字母通过线形变换转换为n个密文字母。解密时只需作以次逆变换即可。[例(密码分析)]：

明文:Friday,编码为5,17,8,3,0,24密文:pacfku,编码为15,16,2,5,10,20已知明文分组长度为2，密钥为2阶可逆方阵，求密钥K。计算机网络安全基础2.2古典加密技术设k=k11k12k21k22M=517C=151683250241020有C=M·k11k12mod26k21k22解得K=71983计算机网络安全基础2.2对称密码技术2.换位密码术 置换密码是采用移位法进行加密的。它把明文中的字母重新排列，本身不变，但位置变了。如：把明文中的字母的顺序倒过来写，然后以固定长度的字母组发送或记录。 明文：computersystems 密文：smetsysretupmoc （l）列换位法将明文字符分割成为五个一列的分组并按一组后面跟着另一组的形式排好。如明文是： WHATYOUCANLEARNFROMTHISBOOK分组排列为：计算机网络安全基础2.2古典加密技术 密文则以下面的形式读出： WOFHOHURIKACOSXTAMBXYNTOX 这里的密钥是数字5。WHATYOUCANFROMTHISBOOKXXX计算机网络安全基础2.2古典加密技术（2）矩阵换位法这种加密是把明文中的字母按给定的顺序安排在一个矩阵中，然后用另一种顺序选出矩阵的字母来产生密文。如将明文ENGINEERING按行排在3*4矩阵中，如下所示：1234ENGINEERING给定一个置换：计算机网络安全基础2.2古典加密技术

现在根据给定的置换，按第2列，第4列，第1列，第3列的次序排列，就得得到密文： NIEGERNENIG 在这个加密方案中，密钥就是矩阵的行数m和列数n，即m*n＝3*4，以及给定的置换矩阵。1234GEINENREGIN计算机网络安全基础2.2古典加密技术 其解密过程是将密文根据3*4矩阵，按行、列的顺序写出，再根据给定置换产生新的矩阵，恢复明文为： ENGINEERING1234ENGINEERING1234GEINENREGIN计算机网络安全基础2.3现代加密技术 对加密算法要求要达到以下几点：（1）必须提供高度的安全性；（2）具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又便于理解和掌握；（3）安全性应不依赖于算法的保密，其加密的安全性仅以加密密钥的保密为基础；（4）必须适用于不同的用户和不同的场合；（5）实现算法的电子器件必须很经济、运行有效；（6）必须能够验证。计算机网络安全基础2.3现代加密技术 1.对称加密技术(1)DES 数据加密标准（DataEncryptionStandard，DES）是美国国家标准局开始研究除国防部以外的其它部门的计算机系统的现代加密技术标准。

DES是一个分组加密算法，它以64位为分组对现代加密技术。64位一组的明文从算法的一端输入，64位的密文从另一端输出。DES是一个对称算法：加密和解密用的是同一算法。密钥的长度为56位。（密钥通常表示为64位的数，但每个第8位都用作奇偶校验，可以忽略。）密钥可以是任意的56位的数，且可在任意的时候改变。其中极少量的数被认为是弱密钥，但能容易地避开它们。所有的保密性依赖于密钥。计算机网络安全基础2.3现代加密技术

DES有16轮，这意味着要在明文分组上16次实施相同的组合技术。 1．加密过程 DES使用56位密钥对64位数据块进行加密，需要进行16轮编码。计算机网络安全基础2.3现代加密技术 在每轮编码时，一个48位的“每轮”密钥值由56位的完整密钥得出来。在每轮编码过程中，64位数据和每轮密钥值被输入到一个称为“S”的盒中，由一个压码函数对数位进行编码。另外，在每轮编码开始、过后以及每轮之间，64位数码被以一种特别的方式置换（数位顺序被打乱）。在每一步处理中都要从56位的主密钥中得出一个唯一的轮次密钥。最后，输入的64位原始数据被转换成64位看起来被完全打乱了的输出数据，但可以用解密算法（实际上是加密过程的逆过程）将其转换成输入时的状态。当然，这个解密过程要使用加密数据时所使用的同样的密钥。计算机网络安全基础2.3现代加密技术

由于每轮之前、之间和之后的变换，DES用软件执行起来比硬件慢得多，用软件执行一轮变换时，必须做一个64次的循环，每次将64位数的一位放到正确的位置。使用硬件进行变换时，只需用64个输入“管脚”到64个输出“管脚”的模块，输入“管脚”和输出“管脚”之间按定义的变换进行连接。这样，结果就可以直接从输出“管脚”得到。 2．算法概要 DES对64位的明文分组进行操作。通过一个初始置换，将明文分组分成左半部分和右半部分，各32位长。计算机网络安全基础2.3现代加密技术 然后进行16轮完全相同的运算，这些运算被称为函数f，在运算过程中数据与密钥结合。经过16轮后，左、右半部分合在一起，经过一个末置换（初始置换的逆置换），这样该算法就完成了。 在每一轮中，密钥位移位，然后再从密钥的56位中选出48位。通过一个扩展置换将数据的右半部分扩展成48位，并通过一个异或操作与48位密钥结合，通过8个S盒将这48位替代成新的32位数据，再将其置换一次。这四步运算构成了函数f。然后，通过另一个异或运算，函数f的输出与左半部分结合，其结果即成为新的右半部分，原来的右半部分成为新的左半部分。将该操作重复16次，便实现了DES的16轮运算。计算机网络安全基础一轮DES计算机网络安全基础2.3现代加密技术 假设Bi是第i次迭代的结果，Li和Ri是Bi的左半部分和右半部分，Ki是第i轮的48位密钥，且f是实现代替、置换及密钥异或等运算的函数，那么每一轮就是： Li=Ri-1

Ri=Li-1⊕f(Ri-1,Ki)计算机网络安全基础2.3现代加密技术 3．初始置换 初始置换在第一轮运算之前执行，对输入分组实施如下表所示的变换。此表应从左向右、从上向下读。例如，初始置换把明文的第58位换到第1位的位置，把第50位换到第2位的位置，把第42位换到第3位的位置，等等。58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157计算机网络安全基础2.3现代加密技术 4．密钥置换 一开始，由于不考虑每个字节的第8位，DES的密钥由64位减至56位，如下表所示。每个字节第8位可作为奇偶校验位以确保密钥不发生错误。在DES的每一轮中，从56位密钥产生出不同的48位子密钥（SubKey），这些子密钥Ki由下面的方式确定。57494133251791585042342618102595143352719113605244366355473931231576254463830221466153453729211352820124计算机网络安全基础2.3现代加密技术 首先，56位密钥被分成两部分，每部分28位。然后，根据轮数，这两部分分别循环左移l位或2位。下表给出了每轮移动的位数。轮12345678910111213141516位数1122222212222221计算机网络安全基础2.3现代加密技术 移动后，就从56位中选出48位。因为这个运算不仅置换了每位的顺序，同时也选择子密钥，因而被称作压缩置换。这个运算提供了一组48位的集。下表定义了压缩置换（也称为置换选择）。例如，处在第33位位置的那一位在输出时移到了第35位的位置，而处在第18位位置的那一位被略去了。1417112415328156211023191242681672720132415231374755304051453348444939563453464250362932计算机网络安全基础2.3现代加密技术 因为有移动运算，在每一个子密钥中使用了不同的密钥子集的位。虽然不是所有的位在子密钥中使用的次数均相同，但在16个子密钥中，每一位大约使用了其中14个子密钥。 5．扩展置换 这个运算将数据的右半部分Ri从32位扩展到了48位。由于这个运算改变了位的次序，重复了某些位，故被称为扩展置换。 这个操作有两个方面的目的：它产生了与密钥同长度的数据以进行异或运算，它提供了更长的结果，使得在替代运算时能进行压缩。计算机网络安全基础2.3现代加密技术

下图显示了扩展置换，有时它也叫做E盒。对每个4位输入分组，第1和第4位分别表示输出分组中的两位，而第2和第3位分别表示输出分组中的一位。计算机网络安全基础2.3现代加密技术 下表给出了哪一输出位对应于哪一输入位。例如，处于输入分组中第3位的位置的位移到了输出分组中第4位的位置，而输入分组中第21位的位置的位移到了输出分组中第30和第32位的位置。 尽管输出分组大于输入分组，但每一个输入分组产生唯一的输出分组。3212345456789891011121312131415161716171819202120212223242524252627282928293031321计算机网络安全基础2.3现代加密技术 6．S盒代替 压缩后的密钥与扩展分组异或以后，将48位的结果送入，进行代替运算。替代由8个代替盒，或S盒完成。每一个S盒都有6位输入，4位输出，且这8个S盒是不同的。（DES的这8个S盒占的存储空间为256字节。）48位的输入被分为8个6位的分组，每一分组对应一个S盒代替操作：分组1由S-盒1操作，分组2由S-盒2操作，依次类推。计算机网络安全基础2.3现代加密技术 每个S盒是一个4行、16列的表。盒中的每一项都是一个4位的数。S盒的6个位输入确定了其对应的输出在哪一行哪一列。下面列出所有的8个S盒。

14413121511831061259070157414213110612119538411481362111512973105015128249175113141006131518146113497213120510313471528141201106911501471110413158126932151381013154211671205149计算机网络安全基础2.3现代加密技术7131430691012851112415138115650347212110149106901217131513145284315061013894511127214100914631551131271142813709346102851412115113649815301112125101471101306987415143115212S盒3：S盒4：计算机网络安全基础2.3现代加密技术1211015926801334147511101542712956113140113891415528123704101131164321295151011141760813212417101168531513014914112124713150151039864211110137815912563014181271142136150910453S盒5：S盒6：计算机网络安全基础2.3现代加密技术4112141508133129751061130117491101435122158614111312371410156805926111381410795015142312S盒7：S盒8：1328461511110931450127115138103741256110149271141912142061013153582114741081315129035611计算机网络安全基础2.3现代加密技术 输入位以一种非常特殊的方式确定了S盒中的项。假定将S盒的6位的输入标记为b1、b2、b3、b4、b5、b6。则b1和b6组合构成了一个2位的数，从0到3，它对应着表中的一行。从b2到b5构成了一个4位的数，从0到15，对应着表中的一列。 例如，假设第6个S盒的输入（即异或函数的第31位到36位）为110011。第1位和最后一位组合形成了11，它对应着第6个S盒的第三行。中间的4位组合在一起形成了1001，它对应着同一个S盒的第9列。S盒6的第三行第9列处的数是14（记住，行、列的记数均从0开始而不是从1开始），则值1110就代替了110011。计算机网络安全基础2.3现代加密技术 2.P盒置换 S盒代替运算后的32位输出依照P盒进行置换。该置换把每输入位映射到输出位，任意一位不能被映射两次，也不能被略去，这个置换叫做直接置换。下表给出了每位移到的位置。例如，第21位移到了第4位处，同时第4位移到了第31位处。最后，将P盒置换的结果与最初的64位分组的左半部分异或，然后左、右半部分交换，接着开始另一轮。1672021291228171152326518311028241432273919133062211425计算机网络安全基础2.3现代加密技术 8．末置换 末置换是初始置换的逆过程，下表列出了该置换。应注意DES在最后一轮后，左半部分和右半部分并未交换，而是将R16与L16并在一起形成一个分组作为末置换的输入。40848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725计算机网络安全基础2.3现代加密技术 9．DES解密 在经过所有的代替、置换、异或和循环移动之后，获得了这样一个非常有用的性质：加密和解密可使用相同的算法。 DES使得用相同的函数来加密或解密每个分组成为可能，二者的唯一不同之处是密钥的次序相反。这就是说，如果各轮的加密密钥分别是K1，K2，K3…，K16那么解密密钥就是K16，K15，K14……，K1。为各轮产生密钥的算法也是循环的。密钥向右移动，每次移动个数为0，1，2，2，2，2，2，2，1，2，2，2，2，2，2，1。计算机网络安全基础2.3现代加密技术 10．三重DES DES的唯一密码学缺点就是密钥长度较短。解决密钥长度的问题的办法之一是采用三重DES。三重DES方法需要执行三次常规的DES加密步骤，但最常用的三重DES算法中仅仅用两个56位DES密钥。设这两个密钥为K1和K2，其算法的步骤是：（1）用密钥K1进行DES加密；（2）用步骤（1）的结果使用密钥K2进行DES解密；（3）用步骤（2）的结果使用密钥K1进行DES加密。计算机网络安全基础2.3现代加密技术

这个过程称为EDE，因为它是由加密——解密——加密（EncryptDecryptEncrypt）步骤组成的。在EDE中，中间步骤是解密，所以，可以使K1=K2来用三重DES方法执行常规的DES加密。计算机网络安全基础2.3现代加密技术 2.3.2国际现代加密技术算法 国际现代加密技术算法（InternationalDataEncryptionAlgorithm）IDEA与DES一样，也是一种使用一个密钥对64位数据块进行加密的常规共享密钥加密算法。同样的密钥用于将64位的密文数据块恢复成原始的64位明文数据块。IDEA使用128位（16字节）密钥进行操作，这么长的密钥被认为即使在多年后仍是有效的。 IDEA算法通过一系列的加密轮次进行操作，每轮都使用从完整的加密密钥中生成的一个子密钥，使用一个称为“压码”的函数在每轮中对数据位进行编码。与DES不同的是IDEA不使用置换。

计算机网络安全基础2.3现代加密技术 2.3.3共享密钥技术的应用 1．整条消息加密 使用共享密钥技术对整条消息进行加密，一个显然的办法是将消息分成64位一块的数据块，然后用同样的密钥对每一个数据块加密。但这种做法的最大弊端是会使消息的内容泄漏。因为，同样的64位输入数据块总是与同样的64位密文块相对应，虽然，对于偷窃者来说可能无法破译密文，但人们明显可以发现某些特定的块的重复，使消息泄漏。计算机网络安全基础2.3现代加密技术 2．Kerberos Kerberos是由麻省理工学院开发的网络访问控制系统，它是一种完全依赖于密钥加密的系统范例，其主要的功能用于解决保密密钥管理与分发的问题。

Kerberos建立在一个安全的、可信任的密钥分发中心（KeyDistributionCenter，KDC）的概念上。与每个用户都要知道几百个密码不同，使用KDC时用户只需知道一个保密密钥——用于与KDC通信的密钥。

Kerberos的工作过程如下： 假设用户A想要与用户B秘密通信。首先，由A呼叫KDC，请求与B联系。KDC为A与B之间的对话选择一条随机的对话密钥，设为XXXXX。计算机网络安全基础2.3现代加密技术 同时生成一个“标签”，由KDC将拥有这“标签”的人A告诉B，并请B使用对话密钥XXXXX与A交谈。与此同时，KDC发给A的消息则用只有A与KDC知道的A的共享密钥加密，告诉A用对话密钥XXXXX与B交谈。此时，A对KDC的回答进行解密，恢复对话密钥XXXXX和给B的标签。在这过程中，A无法修改标签的头部与细节，因为该标签用只有B和KDC知道共享密钥加密了。 之后，A呼叫B，告诉对方标签是由KDC给的。接着，B对标签的内容进行解密，知道只有KDC和他自己能用知道的口令对该消息进