Rijndael数据加密算法.ppt

1、03:47:07,杨小梅 三峡大学 计算机与信息学院,计算机安全与密码学,第1章 密码学概述 第2章 古典密码技术 第3章 分组密码技术 第4章 公钥密码体制 第5章 散列函数与消息鉴别 第6章 数字签名技术 第7章 密钥管理技术 第8章 身份鉴别技术 第9章 密码技术应用,课程主要内容,03:47:07,第1章 密码学概述,本章主要内容 信息安全与密码技术 密码技术发展简介 密码学基本概念 密码学的主要任务 密码系统的概念 对密码系统的攻击 密码系统的安全性 密码体制的分类 对称与非对称密码体制的主要特点,03:47:07,计算机网络为什么不安全？,网络的开放性+自身缺陷+黑客攻击,03:4

2、7:07,安全威胁,03:47:07,2011安全事件薄（1）,1. 安全机构也中枪RSA遭入侵2011年3月17日，美国RSA的执行总裁在其官网上发表一封公开信称，有人以APT（Advance Persistent Threat,先进持续性威胁）的攻击方式对RSA发起了相当复杂的网络攻击，并入侵窃取了RSA系统中的重要数据，而这些数据中有些是专门用于RSA的SecurID双因素认证的产品。事件发生后，RSA为部分用户更换了Secure ID，并建议用户注意异常情况，同时加强令牌管理及注意社交工程攻击。随后的5月份，美国军火商洛克希德马丁公司传言遭受网络攻击，导致部分机密武器资料等泄漏。有传言

3、称，此次攻击，黑客正是利用了早前失窃的RSA SecureID数据，复制了洛克希德马丁公司使用的SecureID令牌，并最终实施了入侵。,03:47:07,2011安全事件薄（2）,2. 争议的正义LulzSec、Anonymous等黑客机构发起大规模网络攻击事件（4月5日起）较为知名的几起黑客攻击事件：2011年6月13日，美国参议院网站遭受攻击； 6月16日，CIA网站遭到DDoS攻击沦陷，美国政府部门网络安全受到普遍质疑；LulzSec 还声称对索尼音乐日本网站、Sony Pictures、Sony BMG比利时和荷兰网站、索尼计算机娱乐开发者网络及Sony BMG网站被黑负责。Anon

4、ymous则曾经以政治原因攻击伊朗、埃及、土耳其等政府网站，因PS3黑客被捕而攻击索尼；因维基泄密事件攻击相关的Master、Visa等金融机构。,03:47:07,2011安全事件薄（3）,3. 老大哥在看着你运营商Carrier IQ跟踪用户手机使用信息事件 2011年12月，一位 25 岁的黑客 Trevor Eckhart，发现 Android、Nokia、HTC 等手机内置的 Carrier IQ 服务会不断上传用户的操作数据，并发布了一段视频作为佐证。此后，涉及此次事件的几大手机厂商与运营商大部分都出面承认了事件的真实性，其中包括三星、诺基亚、HTC等手机厂商，以及AT&T、Spr

5、int、T-Mobile等运营商。此次CIQ事件一时间引起轩然大波。这是继之前苹果与Android跟踪用户地理位置之后爆出的又一牵涉用户隐私信息保护的重大安全事件 。,03:47:07,2011安全事件薄（4）,4. 当密码不再是秘密CSDN、天涯等遭遇最大用户密码泄漏事件（ 12月21日 ） 2011年12月21日，中国互联网突然传出重磅消息：知名程序员网站CSDN被曝600万用户帐户密码泄漏。黑客在网上公布了用户数据库，此数据库在网络上广泛传播，并被制作成网页供网友查询。更为惊人的是，此次泄漏的用户数据库中，密码竟然是明文存储的。CSDN随后承认用户密码失窃，但强调这些密码都是在2009年

6、之前注册用户的，现在已经不再明文存储密码。 令人始料未及的是，此后又有多家知名网站爆出了用户密码数据库泄漏，当中包括天涯、人人网、开心网甚至新浪微博等知名站点，更有疯传部分银行的网银数据库也被泄密，一时间人人自危，改密码成了热词。有传言称，此次泄密事件暗含反对微博实名制的声音。,03:47:07,2011安全事件薄（5）,6. 当银行失去可靠性韩国农商行遭黑客入侵删除交易记录宕机三天（ 4月19日） 7. 社交网络的逆袭新浪微博病毒首次大肆传播 （6月28日） 8. 当病毒成为武器Duqu病毒爆发，伊朗核项目及三菱重工中招 。病毒10月份出现，微软11月发布公告称，Windows系统中一项此前

7、未知的漏洞，被黑客利用来传播Duqu病毒 。,03:47:07,信息安全的目标,进不来,拿不走,看不懂,改不了,跑不掉,03:47:07,信息安全的主要任务,机密性：指保证信息不被非授权访问。 完整性：指信息在生成、传输、存储和使用过程中不应被第三方篡改。 不可否认性：数据的合法拥有者无法向任何人抵赖自己的该数据的拥有者 可用性 ：指授权用户可以根据需要随时访问所需信息。,03:47:07,第1章 密码学概述,1.1 信息安全与密码技术 密码技术是一门古老的技术； 信息安全服务要依赖各种安全机制来实现，而许多安全机制则需要依赖于密码技术 ； 密码学贯穿于网络信息安全的整个过程，在解决信息的机密

8、性保护、可鉴别性、完整性保护和信息抗抵赖性等方面发挥着极其重要的作用。 密码学是信息安全学科建设和信息系统安全工程实践的基础理论之一。 对密码学或密码技术一无所知的人不可能从技术层面上完全理解信息安全。,03:47:07,第1章 密码学概述,1.2 密码技术发展简介 根据不同时期密码技术采用的加密和解密实现手段的不同特点，密码技术的发展历史大致可以划分为三个时期，即古典密码、近代密码和现代密码时期。 古典密码时期 这一时期为从古代到到十九世纪末，长达数千年。由于这个时期社会生产力低下，产生的许多密码体制都是以“手工作业”的方式进行，用纸笔或简单的器械来实现加密/解密的，一般称这个阶段产生的密码

9、体制为“古典密码体制”，这是密码学发展的手工阶段。 这一时期的密码技术仅是一门文字变换艺术，其研究与应用远没有形成一门科学，最多只能称其为密码术。,03:47:07,古典密码技术,公元前2000年，埃及石刻符号 公元前5世纪，希腊人蜡封情报，击败波斯 公元前，波斯大臣信息隐藏，密谋造反 3000多年前斯巴达人“天书读法” 公元前 恺撒字母替代密码 1466年，意大利阿尔伯发明旋转密码索引盘 1586年，法国改进发明格形编解码系统 19世纪，美百万富翁的三份密码遗嘱,03:47:07,古典密码技术,我国古代密码轶事 1000多年前，蜀国主考国密码作弊 唐朝武则天智破裴炎造反密文 公元11世纪北宋

10、发明军事通信密码表,03:47:07,Phaistos圆盘，一种直径约为160mm的Cretan-Mnoan粘土圆盘，始于公元前17世纪。表面有明显字间空格的字母，至今还没有破解。,03:47:07,二战中,美国陆军和海军使用的条形密码设备M-138-T4。根据1914年Parker Hitt的提议而设计。25个可选取的纸条按照预先编排的顺序编号和使用，主要用于低级的军事通信。,03:47:07,Kryha密码机大约在1926年由Alexander vo Kryha发明。这是一个多表加密设备，密钥长度为442，周期固定。一个由数量不等的齿的轮子引导密文轮不规则运动。,03:47:07,哈格林（

11、Hagelin）密码机C-36，由Aktiebolaget Cryptoeknid Stockholm于1936年制造密钥周期长度为3,900,255。,03:47:07,M-209是哈格林对C-36改进后的产品，由Smith-Corna负责为美国陆军生产。它的密码周期达到了101,105,950。,03:47:07,转轮密码机ENIGMA，由Arthur Scherbius于1919年发明，面板前有灯泡和插接板；4轮ENIGMA在1944年装备德国海军，据说英国从1942年2月到12月都没能解读德国潜艇的信号。,03:47:07,英国的TYPEX打字密码机，是德国3轮ENIGMA的改进型密码

12、机。它在英国通信中使用广泛，且在破译密钥后帮助破解德国信号。,03:47:07,在线密码电传机Lorenz SZ 42，大约在1943年由Lorenz A.G制造。英国人称其为“tunny”，用于德国战略级陆军司令部。SZ 40/SZ 42加密因为德国人的加密错误而被英国人破解，此后英国人一直使用电子COLOSSUS机器解读德国信号。,03:47:07,第1章 密码学概述,现代密码时期 1949年香农（Claude Shannon）的奠基性论文“保密系统的通信理论”（Communication Theory of Secrecy System）在贝尔系统技术杂志上发表，首次将信息论引入密码技术

13、的研究，用统计的观点对信源、密码源、密文进行数学描述和定量分析，引入了不确定性、多余度、唯一解距离等安全性测度概念和计算方法，为现代密码学研究与发展奠定了坚实的理论基础，把已有数千年历史的密码技术推向了科学的轨道，使密码学（Cryptology）成为一门真正的科学。 从1949年到1967年，密码学文献近乎空白。 1967年，戴维卡恩（David Kahn）出版了一本专著破译者（The CodeBreaker） 1977年，美国国家标准局NBS（现NIST）正式公布实施美国的数据加密标准DES 1976年11月，美国斯坦福大学的著名密码学家迪菲（W.Diffie）和赫尔曼(M.Hellman)

14、 发表了“密码学新方向”（New Direction in Cryptography）一文，首次提出了公钥密码体制的概念和设计思想，开辟了公开密钥密码学的新领域，掀起了公钥密码研究的序幕。,03:47:07,第1章 密码学概述,现代密码时期（续） 1997年4月美国国家标准和技术研究所（NIST）发起征集高级数据加密标准（AES，Advanced Encryption Standard）算法的活动。 2000年10月，比利时密码学家Joan Daemen 和 Vincent Rijmen 提出的“ Rijndael 数据加密算法”被确定为AES算法，作为新一代数据加密标准。 二十世纪末的AES

15、算法征集活动使密码学界又掀起了一次分组密码研究的高潮。同时，在公钥密码领域，椭圆曲线密码体制由于其安全性高、计算速度快等优点引起了人们的普遍关注和研究，并在公钥密码技术中取得重大进展。 在密码应用方面，各种有实用价值的密码体制的快速实现受到高度重视，许多密码标准、应用软件和产品被开发和应用，美国、德国、日本和我国等许多国家已经颁布了数字签名法，使数字签名在电子商务和电子政务等领域得到了法律的认可，推动了密码学研究和应用的发展。 新的密码技术不断涌现。 例如，混沌密码、量子密码、DNA密码等等。这些新的密码技术正在逐步地走向实用化。 人们甚至预测，当量子计算机成为现实时，经典密码体制将无安全可言

16、，而量子密码可能是未来光通信时代保障网络通信安全的可靠技术。,03:47:07,第1章 密码学概述,1.3 密码学基本概念 1.3.1密码学的主要任务 在信息安全的诸多涉及面中，密码学主要为存储和传输中的数字信息提供如下几个方面的安全保护： 机密性 是一种允许特定用户访问和阅读信息，而非授权用户对信息内容不可理解的安全属性。在密码学中，信息的机密性通过加密技术实现。 完整性 数据完整性即用以确保数据在存储和传输过程中不被非授权修改的的安全属性。 密码学可通过采用数据加密、报文鉴别或数字签名等技术来实现数据的完整性保护。,03:47:07,第1章 密码学概述,1.3.1密码学的主要任务（续） 鉴

17、别 这是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份的鉴别和对数据源的鉴别。对于一次通信，必须确信通信的对端是预期的实体，这就涉及到身份的鉴别。 对于数据，仍然希望每一个数据单元发送到或来源于预期的实体，这就是数据源鉴别。数据源鉴别隐含地提供数据完整性服务。密码学可通过数据加密、数字签名或鉴别协议等技术来提供这种真实性服务。 抗抵赖性 是一种用于阻止通信实体抵赖先前的通信行为及相关内容的安全特性。密码学通过对称加密或非对称加密，以及数字签名等技术，并借助可信机构或证书机构的辅助来提供这种服务。 密码学的主要任务是从理论上和实践上阐述和解决这四个问题。它是研究信息的机密性、完整性、

18、真实性和抗抵赖性等信息安全问题的一门学科。,03:47:07,第1章 密码学概述,1.3.1 密码学的主要任务（续） 密码学研究领域的两个分支： 密码编码学（Cryptography） 密码分析学（Cryptanalytics） 密码编码学的主要任务是寻求有效密码算法和协议，以保证信息的机密性或认证性的方法。它主要研究密码算法的构造与设计，也就是密码体制的构造。它是密码理论的基础，也是保密系统设计的基础。 密码分析学的主要任务是研究加密信息的破译或认证信息的伪造。它主要是对密码信息的解析方法进行研究。 只有密码分析者才能评判密码体制的安全性。 密码编码学和密码分析学是密码学的两个方面，两者既相

19、互对立，又互相促进和发展。,03:47:07,第1章 密码学概述,1.3.2 密码系统的概念 密码技术的一个基本功能是实现保密通信，经典的保密通信模型如图1.1所示。,注意：仅用一个保密通信模型来完整描述密码系统，可能是并不全面和准确的，因为现在的密码系统不单单只提供信息的机密性服务。 保密通信是密码技术的一个基本功能。,03:47:07,第1章 密码学概述,几个基本概念与符号。,明文（Plaintext） 待伪装或加密的消息（Message）。在通信系统中它可能是比特流，如文本、位图、数字化的语音流或数字化的视频图像等 。一般可以简单的认为明文是有意义的字符或比特集，或通过某种公开的编码标准

20、就能获得的消息。明文常用m或p表示。 密文(Ciphertext) 对明文施加某种伪装或变换后的输出，也可认为是不可直接理解的字符或比特集，密文常用c表示。 加密（Encrypt ） 把原始的信息（明文）转换为密文的信息变换过程。 解密（Decrypt） 把己加密的信息（密文）恢复成原始信息明文的过程，也称为脱密。,03:47:07,第1章 密码学概述,密码算法(Cryptography Algorithm) 也简称密码（Cipher），通常是指加、解密过程所使用的信息变换规则，是用于信息加密和解密的数学函数。 对明文进行加密时所采用的规则称作加密算法，而对密文进行解密时所采用的规则称作解密算

21、法。加密算法和解密算法的操作通常都是在一组密钥的控制下进行的。 密钥（Secret Key ） 密码算法中的一个可变参数，通常是一组满足一定条件的随机序列。 用于加密算法的叫做加密密钥，用于解密算法的叫做解密密钥，加密密钥和解密密钥可能相同，也可能不相同。 密钥常用k表示。在密钥k的作用下，加密变换通常记为Ek()，解密变换记为Dk()或Ek1()。,03:47:07,通常一个密码体制可以有如下几个部分： 消息空间M（又称明文空间）：所有可能明文m的集合； 密文空间C：所有可能密文c的集合； 密钥空间K：所有可能密钥k的集合，其中每一密钥k由加密密钥ke和解密密钥kd组成，即k（ke，kd）；

22、 加密算法E：一簇由加密密钥控制的、从M到C的加密变换； 解密算法D: 一簇由解密密钥控制的、从C到M的解密变换。 五元组 M，C，K，E，D 就称为一个密码系统。 对于明文空间M中的每一个明文m，加密算法E在加密密钥ke的控制下将明文m加密成密文c；而解密算法D则在密钥kd的控制下将密文c解密成同一明文m，即： 对mM，(ke，kd)K，有：,第1章 密码学概述,从数学的角度来讲，一个密码系统就是一族映射，它在密钥的控制下将明文空间中的每一个元素映射到密文空间上的某个元素。这族映射由密码方案确定，具体使用哪一个映射由密钥决定。,03:47:07,第1章 密码学概述,在上面通信模型中，还存在一

23、个密码攻击者或破译者可从普通信道上拦截到的密文c，其工作目标就是要在不知道密钥k的情况下，试图从密文c恢复出明文m或密钥k。 如果密码分析者可以仅由密文推出明文或密钥，或者可以由明文和密文推出密钥，那么就称该密码系统是可破译的。相反地，则称该密码系统不可破译。,1.3.3 对密码系统的攻击,密码分析者破译或攻击密码的方法主要有穷举攻击法、统计分析法和数学分析攻击法。 （1）穷举攻击法 穷举攻击法又称为强力或蛮力（Brute force）攻击。这种攻击方法是对截获到的密文尝试遍历所有可能的密钥，直到获得了一种从密文到明文的可理解的转换；或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一

24、致为止。,03:47:07,第1章 密码学概述,1.3.3 对密码系统的攻击（续）,（2）统计分析法 统计分析攻击就是指密码分析者根据明文、密文和密钥的统计规律来破译密码的方法。 （3）数学分析法 数学分析攻击是指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码。数学分析攻击是对基于数学难题的各种密码算法的主要威胁。,03:47:07,在假设密码分析者已知所用加密算法全部知识的情况下，根据密码分析者对明文、密文等数据资源的掌握程度，可以将针对加密系统的密码分析攻击类型分为以下四种： 惟密文攻击（Ciphtext-only attack） 在惟密文攻击中，密码分析

25、者知道密码算法，但仅能根据截获的密文进行分析，以得出明文或密钥。由于密码分析者所能利用的数据资源仅为密文，这是对密码分析者最不利的情况。 已知明文攻击（Plaintext-known attack） 已知明文攻击是指密码分析者除了有截获的密文外，还有一些已知的“明文密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或某种算法，这种算法可以对用该密钥加密的任何新的消息进行解密。,03:47:07,第1章 密码学概述,1.3.3 对密码系统的攻击（续）, 选择明文攻击（Chosen-plaintext attack） 选择明文攻击是指密码分析者不仅可得到一些“明文密文对”，还可以选择被加

26、密的明文，并获得相应的密文。这时密码分析者能够选择特定的明文数据块去加密，并比较明文和对应的密文，已分析和发现更多的与密钥相关的信息。 选择密文攻击(Chosenciphenext attack) 选择密文攻击是指密码分析者可以选择一些密文，并得到相应的明文。密码分析者的任务目标是推出密钥。这种密码分析多用于攻击公钥密码体制。,03:47:07,第1章 密码学概述,1.3.4 密码系统的安全性,一个密码系统的安全性主要与两个方面的因素有关。 （1）一个是所使用密码算法本身的保密强度。密码算法的保密强度取决于密码设计水平、破译技术等。可以说一个密码系统所使用密码算法的保密强度是该系统安全性的技术

27、保证。 （2）另外一个方面就是密码算法之外的不安全因素。 因此，密码算法的保密强度并不等价于密码系统整体的安全性。个密码系统必须同时完善技术与管理要求，才能保证整个密码系统的安全。本教材仅讨论影响一个密码系统安全性的技术因素，即密码算法本身。,03:47:07,第1章 密码学概述,1.3.4 密码系统的安全性（续）,评估密码系统安全性主要有三种方法： （1）无条件安全性 这种评价方法考虑的是假定攻击者拥有无限的计算资源，但仍然无法破译该密码系统。 （2）计算安全性 这种方法是指使用目前最好的方法攻破它所需要的计算远远超出攻击者的计算资源水平，则可以定义这个密码体制是安全的。 （3）可证明安全性

28、 这种方法是将密码系统的安全性归结为某个经过深入研究的数学难题（如大整数素因子分解、计算离散对数等），数学难题被证明求解困难。这种评估方法存在的问题是它只说明了这个密码方法的安全性与某个困难问题相关，没有完全证明问题本身的安全性，并给出它们的等价性证明。,03:47:07,第1章 密码学概述,1.3.4 密码系统的安全性（续）,对于实际应用中的密码系统而言，由于至少存在一种破译方法，即强力攻击法，因此都不能满足无条件安全性，只提供计算安全性。密码系统要达到实际安全性，就要满足以下准则： （1）破译该密码系统的实际计算量（包括计算时间或费用）十分巨大，以致于在实际上是无法实现的。 （2）破译该密

29、码系统所需要的计算时间超过被加密信息有用的生命周期。例如，战争中发起战斗攻击的作战命令只需要在战斗打响前需要保密；重要新闻消息在公开报道前需要保密的时间往往也只有几个小时。 （3）破译该密码系统的费用超过被加密信息本身的价值。 如果一个密码系统能够满足以上准则之一，就可以认为是满足实际安全性的。,03:47:07,第1章 密码学概述,1.3.4 密码系统的安全性（续）,密码系统的柯克霍夫斯（Kerckhoffs）原则： 即使密码系统中的算法为密码分析者所知，也难以从截获的密文推导出明文或密钥。 也就是说，密码体制的安全性仅应依赖于对密钥的保密，而不应依赖于对算法的保密。 只有在假设攻击者对密码

30、算法有充分的研究，并且拥有足够的计算资源的情况下仍然安全的密码才是安全的密码系统。 一句话： “一切秘密寓于密钥之中”,03:47:07,第1章 密码学概述,1.3.4 密码系统的安全性（续）,对于商用密码系统而言，公开密码算法的优点包括： 有利于对密码算法的安全性进行公开测试评估； 防止密码算法设计者在算法中隐藏后门； 易于实现密码算法的标准化； 有利于使用密码算法产品的规模化生产，实现低成本和高性能。 但是必须要指出的是，密码设计的公开原则并不等于所有的密码在应用时都一定要公开密码算法。例如世界各国的军政核心密码就都不公开其加密算法。,03:47:07,第1章 密码学概述,1.3.4 密码

31、系统的安全性（续）,综上，一个提供机密性服务的密码系统是实际可用的，必须满足的基本要求： 系统的保密性不依赖于对加密体制或算法的保密，而仅依赖于密钥的安全性。 “一切秘密寓于密钥之中”是密码系统设计的一个重要原则。 满足实际安全性，使破译者取得密文后在有效时间和成本范围内，确定密钥或相应明文在计算上是不可行的。 加密和解密算法应适用于明文空间、密钥空间中的所有元素。 加密和解密算法能有效地计算，密码系统易于实现和使用。,03:47:07,第1章 密码学概述,1.3.5 密码体制的分类,对密码体制的分类方法有多种，常用的分类方法有以下三种。 （1）根据密码算法所用的密钥数量 根据加密算法与解密算

32、法所使用的密钥是否相同，可以将密码体制分为： 对称密码体制（Symmetric cipher，也称为单钥密码体制、秘密密钥密码体制、对称密钥密码体制或常规密码体制） 非对称密码体制（Asymmetric cipher，也称为双钥密码体制、公开密钥密码体制、非对称密钥密码体制）,03:47:07,如果一个提供保密服务的密码系统，它的加密密钥和解密密钥相同，或者虽然不相同，但由其中的任意个可以很容易地导出另外一个，那么该系统所采用的就是对称密码体制。 如果一个提供保密服务的密码系统，其加密算法和解密算法分别用两个不同的密钥实现，并且由加密密钥不能推导出解密密钥，则该系统所采用的就是非对称密码体制。 采用非对称密钥密码体制的每个用户都有一对选定的密钥。其中一个是可以公开的，称为公开密钥（Public key），简称公钥；另一个由用户自己秘密保存，称为私有密钥（Private