第2章-密码学基础总结.ppt

1、密码学基础，主讲人：王毅E-mail:本章主要内容，密码学的基本概念，对称密码体制，公钥密码体制，哈希函数，数字签名，信息隐藏和数字水印在无线网络中的应用，密码学与信息安全的关系，密码学的研究内容，现状和功能，密码学概述，密码学简史，密码学简史图，密码学的基本概念，现代密码系统的组成(通常称为密码系统)一般由五部分组成：明文空间m密文空间c密钥空间k加密算法e解密算法d五元组(m，c，k，e，d)称为密码系统。对称密钥系统：非对称密钥系统。根据加密算法对明文信息的加密方法，对称密钥系统通常分为两类：分组密码(也称分组密码)、IDEA和BLOWFISH序列密码(也称流密码)。A5，FISH，PI

2、KE，密码学的基本概念，密码算法设计的两个重要原则1混沌当明文中的字符改变时，拦截器无法预测密文将如何改变。我们称这种特征为混乱。混沌算法在明文、密钥对和密文之间有着复杂的函数关系。这样，拦截器需要很长时间来确定明文、密钥和密文之间的关系，因此解密密码需要很长时间。扩散密码还应该将明文的信息扩展到整个密文，这样明文的变化可以影响密文的许多部分。这个原理叫做扩散。这是将文本中单个字母中包含的信息传播到整个输出的一个特征。良好的可扩散性意味着拦截器在猜测算法之前需要获得大量的密文。密码分析，穷举攻击：也称为蛮力攻击，它意味着密码学家尝试所有的密钥来破译可能的密钥或明文的穷举列表。统计分析攻击：密码

3、学家通过分析密文和明文的统计规律来破译密码。数学分析攻击：指密码学家通过求解加密算法的数学基础来破译密码。破译密码的类型可分为：1 .纯密码攻击：仅基于密文的密码攻击。2.已知明文攻击：一种基于相应明文和密文对的加密攻击。3.选择明文攻击：你可以选择一些明文并得到相应的密文，这是密码学家最理想的情况。例如，在公钥系统中。选择密文攻击：密码学家可以选择不同的加密密文，得到相应的解密明文，密码学家的任务是推导密钥。5.密钥选择攻击：这种攻击并不意味着密码学家可以选择密钥，而仅仅意味着密码学家拥有不同密钥之间关系的相关知识。6.软磨攻击：密码学家威胁、勒索或折磨某人，直到他给出钥匙。理论上，除了一篇

4、文章和一个秘密，没有绝对安全的密码系统。一般来说，说密码系统是安全的意味着它在计算上是安全的，也就是说，为了破译密码，密码学家耗尽了他的时间，存储资源仍然不可用，或者破译的成本超过了通过破译获得的好处。对称密码系统，在经典密码系统中，加密密钥和解密密钥是相同的，或者它们可以简单地相互推导出来，也就是说，如果你知道加密密钥，你就会知道解密密钥；知道解密密钥意味着知道加密密钥。因此，加密和解密密钥必须同时保密。这种密码系统被称为对称(也称为单密钥)密码系统。最典型的数据加密标准是DES。应该说，DES是单键系统最成功的例子。1973年5月15日：美国国家标准局(NSA)公开请求加密系统的联邦注册；

5、1975年3月17日：DES首次发表在联邦纪事报上。它是由IBM开发的，是路西法的改进；1977.2.15年2月15日：DES被采纳为非国家机关使用的数据加密标准。自那时起，药物洗脱支架每五年进行一次审查，1992年是最后一次审查。美国政府表示，1998年后将不会对DES进行审查；1977年2月15日：联邦信息处理标准第46版(FIPS PUB46)给出了DES的完整描述。DES分组密码系统DES密码系统：它是一种分组密钥密码系统DES加密算法，使用56位密钥加密64位明文包：(1)初始排列：x0=l0r 0=IP(x)；16次迭代：-1=Li-1Ri-1，Li=Ri，ri=Li f (ri-

6、1，ki) I=1，2，16；(3)反向替换：x16=L16R16，y=IP-1(x16)。密钥生成器：密钥ki是由56位系统密钥k生成的32位子密钥。函数f和S盒：f(Ri-1，ki)=P(S(E(Ri-1)ki)，其中E和P是两个排列，代表位的异或，S是一组八个变换S1，S2，S3，S8，称为S盒，每个盒有6位输入和4位输出，s DES算法流程图，关于DES讨论，S盒是唯一的非线性组件：有人认为它DES的关键数量太小：关键数量是256。1977年，迪菲。赫尔曼建议制造一个每秒106次测试的超大规模集成电路芯片，然后在一天内就可以搜索到整个关键空间。当时，成本是2000万美元。维纳提出了一种

7、并行密钥搜索芯片，它每秒测试5x107个密钥，5760个这样的芯片花费10万美元，平均一天就能找到密钥。1997年1月28日，美国RSA数据安全公司在互联网上发起了一场“密钥挑战”竞赛，悬赏1万美元破解DES密文。该计划公布后，得到了许多网络用户的强烈响应。科罗拉多州的一位程序员设计了一个可以通过互联网分段运行的关键搜索程序，并组织了一个名为DESCHALL的搜索操作。成千上万的志愿者加入了这个项目。1997年6月17日晚10时39分，在比赛宣布后的第96天，也就是第140天，美国盐湖城Inetz公司的员工M.Sanders成功地找到了密钥，并对明文进行了解密：未知的信息是：“强密码使世界变得

8、更安全。”互联网只利用空闲资源免费破解DES密码，这是对密码方法的挑战，也是互联网超级计算能力的展示。差分分析方法：除了穷举搜索关键字，还有其他攻击方法，其中最著名的是比汉姆和沙米尔的差分分析方法。这是一种选择性明文攻击方法。尽管16回合的DES没有被突破，但是如果迭代次数减少，它可以被成功突破。例如，个人电脑上的8轮DES只能在2分钟内被破解。高级加密标准AES，面对攻击，虽然多个DES表现良好。然而，考虑到计算机能力的不断增长，人们需要一种新的更强大的加密算法。1995年，NIST国家标准与技术研究所开始寻找这种算法。最后，美国政府采用了由密码学家里曼和代蒙发明的里金达尔算法，使之成为高级

9、加密标准。Rijindael算法最终被选中，因为它集安全性、高效性、可实现性和灵活性于一身。AES算法是一种分组长度和密钥长度可变的多轮迭代加密算法。数据包长度通常为128位，密钥长度可以是128/192/256位。实际上，AES算法的密钥长度可以扩展到64的任意整数倍，尽管在AES标准中只识别了128、192和256。AES的128位块可以方便地被认为是一个44矩阵，它被称为“状态”。例如，假设输入是16字节B0、B1、B15，这些字节在状态中的位置及其矩阵表示如表2-8所示。请注意，这些状态是用输入数据逐列填充的。公钥密码系统是一种安全的对称密钥密码系统，可以实现以下功能：保护信息保密认证

10、发送者的身份，保证信息的完整性。对称密钥密码系统有以下缺点：发送者和接收者如何获得他们的加密密钥和解密密钥？密钥数量太大，无法实现不可否认的服务。传统密码学的缺陷和公钥密码的出现纠正了密钥的对称性。1976年，Diffie和Hellmann提出了公钥密码系统(简称公钥密码系统)，其加密和解密密钥是不同的，并且不能在有效时间内相互推导出来。因此，它可以称为双密钥密码系统。这是密码学的革命性发展。一方面，它为数据的保密性、完整性和真实性提供了一种有效、便捷的技术。另一方面，它科学地解决了作为密码学瓶颈的密钥分配问题。第一个公钥系统是由Rivest、Shamir和Adleman在1977年提出的，称

11、为RSA公钥系统。它的安全性是基于整数分解的难度。RSA公钥系统已经得到了广泛的应用。此后，基于背包问题的Merkle-Hellman背包公钥系统、基于有限域上离散对数问题的EIGamal公钥系统、椭圆曲线密码系统等公钥系统不断出现，使得密码学蓬勃发展。公钥密码系统的加解密过程主要包括以下几个步骤：(1)简化密钥分配和管理问题当公钥系统用于数据加密时，用户在公钥库中注册他们的公钥(加密密钥)或实时公开它们，而密钥是严格保密的。为了向接收器发送信息，信源在公共密钥库中搜索另一方的公共密钥，或者临时请求另一方的公共密钥，用该公共密钥加密要发送的信息，并通过开放信道将其发送给另一方。收到信息(密文)

12、后，另一方用自己的秘密(解密)密钥解密密文，从而读取信息。可以看出，这里省略了从秘密信道传输密钥的过程。这是公钥系统的一大优势。一个安全的公钥密码可以实现以下功能：(2)保护信息的机密性任何人都可以将明文加密成秘密文本，然后只有拥有解密密钥的人才能解密它。安全公钥密码可以实现以下功能：(3)实现不可否认性当公钥系统用于数字签名时，信源将公布他的秘密(解密)密钥，并对公开(加密)密钥严格保密，以便他人验证他发送的消息确实来自他自己。当与他人通信时，用自己的加密密钥加密消息称为签名，并将原始消息与签名的消息一起发送。在另一方收到消息后，为了确定消息来源的真实性，用另一方的解密密钥解密签名的消息被称

13、为(签名)验证。如果解密后的消息与原始消息一致，则意味着消息来源是真实的且可接受的；否则，它将被拒绝。RSA算法，1976: Diffie Hellman在密码学的新方向一文中首次提出了公钥密码系统的思想。1977年，Rivest、Shamir、Adleman Adleman首次实现了公钥密码系统，现称RSA公钥系统。哈希函数没有键，是一个将可变输入长度字符串(称为预映像)转换为固定长度输出字符串(称为哈希值)的函数。哈希函数也可以称为压缩函数、哈希函数、消息摘要、指纹、密码校验和、DIC和MAC。哈希函数有四个主要特征：(1)它可以处理任何大小的信息，并将其抽象成固定大小的数据块(例如，12

14、8位，即16字节)。对相同的源数据重复执行散列函数将总是得到相同的结果。(2)不可预测。生成数据块的大小与原始信息的大小没有关系，源数据与生成数据块的数据也没有明显的关系，但是源信息的微小变化会对数据块产生很大的影响。(3)它是完全不可逆的，即哈希函数是单向的，因此很容易从预映射值中计算哈希值，并且没有办法从生成的哈希值中恢复源数据。(4)它是防碰撞的，即在计算中找两个输入得到相同的输出值是不可行的。假设单向散列函数H(M)作用于任意长度的消息M，并返回固定长度的散列值H，其中H的长度是固定数M，该函数必须满足以下特征：给定M，很容易计算H；给定h，很难计算m；给定M，很难找到另一个消息M并满

15、足H(M)=H(M)。常用的消息摘要算法有(1)MD2算法(2)MD4算法和MD5算法(3)SHA算法(4)RIPEMD算法，SHA(安全散列算法)，由美国国家标准技术局NIST设计，1993年作为联邦信息处理标准(FIPS PUB 180)出版，1995年作为FIP修订版出版。输入消息的最大长度是264-1位，输出是160位的消息摘要。输入在512位组中处理。数字签名，数字签名首先被提出来验证禁止核试验的法律。为了检测对方的核试验，禁止核试验法的缔约国需要将地震测试仪放在对方的地下，并将测试数据发回。自然，这里有一个矛盾：主机需要检查发送的数据是否只是测试所需的数据；测试人员需要发回的数据是

16、真实的测试数据，并且主机没有篡改它。数字签名的概念、2.6数字签名、数字签名技术是实现交易安全的核心技术之一，其实现基础是加密技术。一般来说，信件或文件的真实性是通过签名或盖章来证明的，而在计算机网络中传输的信息的真实性是通过数字签名来证明的。数字签名可以保证以下几点：发送者不能否认发送消息的签名。接收者可以验证发送者发送的消息的签名。接收者或其他人不能伪造发送者的消息签名。接收者不能部分篡改发送者的信息。2.6.1数字签名的概念、基本要求：签名不能伪造：签名是签名人对文件内容合法性的认可、证明和标志，其他人的签名无效；签名的不可否认性：这是对签名者的一种约束，签名者的身份、证明和标记是不可否认的；签名不可更改：文件签名后不可更改，保证了签名的真实性和可靠性；签名不能被重用：签名需要时间戳，时间戳可以确保签名不能被重用。签名易于验证：一旦出现争议，任何第三方都可以准确有效地验证签名的文件。2.6数字签名，使用对称和非