信息安全概论第6讲.ppt

1、信息安全概论,第6讲 2008年x月y日,第3章 密码基础,突出-概念+算法+作用。 3.1密码学的基本概念 3.2对称密码算法 3.3公钥密码算法 3.4哈希函数 3.5数字签名算法 3.6密码学的新方向,3.1密码学的基本概念,3.1.1密码编码,对称密码系统主要是对信息提供机密性（secrecy）保护，防止敌手在信道上进行窃听后产生的泄密。对称密码系统同时还能保护数据的完整性（integrity），检测或恢复敌手对数据进行的篡改、伪造等破坏。,3.1.1密码编码,定义1 一个对称密码系统（Cryptosystem）CS，是一个五元集合CS=M, C, K, e, d，其中： 明文消息空间

2、 ：表示明文消息的集合； 密文消息空间 ：表示密文消息的集合； 密钥空间 ：表示密钥的集合； 加密变换 ：表示一个确定的映射 脱密变换 ：表示一个确定的映射 它满足下列条件：对于给定的密钥k，均有 对给定的密钥k，由e和d诱导下列两个变换 也称为加密/脱密变换。这时，定义1所满足的条件可以记为 。,3.1.1密码编码,通常实用的密码系统在技术角度上还需要满足下列三个要求： 加、脱密变换e、d对所有密钥k都有效（防止计算中的阻断）。 密码系统应易于实现（对任意给定的密钥k，有高效的加密/脱密计算方法）。 密码系统的安全性仅依赖于密钥的保密，而不依赖于算法e和d的保密。,图3.2 密码系统应用参考

3、模型,3.1.2密码分析,唯密文攻击（ciphertext only attack）： 已知加密方法、明文语言、可能内容，从密文求出密钥或明文。 已知明文攻击（know-plaintext attack）： 已知加密方法、已知部分明密对，求出密钥或对给定的密文 求出明文。 选择明文攻击（chose-plaintext attack）： 已知加密方法，而且破译者可以把任意（或相当数量）的明文加密为密文，求密钥。这对于保护机密性的密码算法来说，是最强有力的分析方法。 选择密文攻击（chose-ciphertext attack）： 已知加密方法，而且破译者可以把任意（或相当数量）的密文脱密为明文，

4、求密钥。这对于保护完整性的密码算法来说，是最强有力的分析方法。,3.1.2密码分析,两个重要概念： 绝对安全的（unconditioned secure）。 计算上安全（computationally secure）。,3.2对称密码算法,本节介绍有代表性的分组算法DES、AES和序列算法A5。对其它相关算法仅做简要的介绍。,3.2.1分组密码DES,DES的明文长度是64 bit， 密钥长度为56 bit， 加密后的密文长度也是64 bit （实际中的明文未必恰好是64 bit，所以要经过分组和填充把它们对齐为若干个64 bit的分组，然后逐组进行加密处理。） 脱密过程则相反，它首先按照分组

5、进行脱密，然后去除填充信息并进行连接。,DES算法总体流程图,1初始置换IP,IP是64个位置的置换，它表示把第58 bit（t58）换到第1个bit位置，把第50 bit（t50）换到第2个bit位置，把第7 bit（t7）换到第64个bit位置。,t1 t2 t64 IP t58 t50 t7 IP-1 t1 t2 t64,2圈函数,圈函数原理图,2圈函数,（1）E变换,由输入32比特按照下图所示方法扩展，其中有16个比特出现两次。具体地说输出的前6比特顺次是输入的第32、1、2、3、4、5比特；输出的第二个6比特顺次是输入的第4、5、6、7、8、9比特；输出的第八个6比特顺次是输入的第2

6、8、29、30、31、32、1比特。,2圈函数,（2） S-盒 把48比特的数分成8个6比特的数，每个6比特查一个S-盒得到4比特的输出。,2圈函数,S-盒相当于一张64个4位数的表，8个S-盒的内容见表3.2。把S-盒看成一个416的矩阵S=(si,j)，其元素取整数值0-15。给定6比特输入x=x1 x2 x3 x4 x5 x6，令i= x1 x6+1，j= x2 x3 x4 x5+1，则y= si,j 即为对应的输出。,例如S1,2圈函数,（3）P-盒： 是32个位置的置换，用法和IP类似。,3密钥扩展,从64 bit 的带校验位的密钥K（本质上是56 bit密钥k）中，生成16个48

7、bit的子密钥Ki，用于16个圈函数中：,3密钥扩展,（1）PC-1 拣选变换PC-1表示从64 bit中选出56 bit的密钥k并适当调整比特次序，拣选方法,3密钥扩展,（2）PC-2 拣选变换PC-1表示从56 bit中选出48 bit的拣选方法,3密钥扩展,（2）循环移位 LSi表示对28bit串的循环左移：当 i=1，2，9，16时，移一位；对其它i，移两位。当1i16时 Ci=LSi (Ci-1)，Di=LSi (Di-1),4脱密,脱密是加密的逆变换。其运算与加密相似，但子密钥的选取次序正好与加密变换相反K1=K16，K16=K1。,5DES的安全性,弱密钥：如果密钥分成的两部分（

8、每部分28 bit），分别都是全0或全1，则任一周期（圈函数）中的子密钥将完全相同，叫做弱密钥。此外，如果使圈密钥只有两种的叫半弱密钥。DES算法存在弱密钥，可能是它的一个弱点。 补密钥：若用X表示X的补，则： 这可能是一个弱点。 密钥长度：太小，IBM建议用112 bit。 差分密码分析：Eli Biham 与Adi Shamir 1990提出差分密码分析方法，比穷举更有效。 线性密码分析：Mitsuru Matsui 于1993年提出线性密码分析方法。,5DES的安全性,1999年使用一百多个CPU，利用并行算法，用23小时左右成功破译。 1999年在互联网上，用分割密钥方法，成功破译。

9、应该注意到的一个事实是，DES经过了可能是当今最多的分析或攻击，但未发现任何结构方面的漏洞。DES算法最终之所以被破译的关键是密钥的长度问题，用当今计算机处理速度看，56 bit的密钥对穷搜攻击已经是太小了一点。 所以，后来人们提出的多数算法把密钥长度选到80、128 bit甚至256 bit以上。高强度的算法还要求，没有比穷搜攻击更加有效的攻击方案。,3.2.2 三重DES,人们认识到DES最大缺陷是使用了短密钥。为了克服这个缺陷，Tuchman于1979年提出了三重DES，使用了168bit的长密钥。1985年成为金融应用标准（见ANSI X9.17），1999年并入美国国家标准与技术研究

10、局NIST的数据加密标准（见FIPS PUB 46-3）。 三重DES，记为TDES使用三倍DES的密钥长度的密钥，执行3次DES算法，如果把密钥记为(k1, k2, k3)，则TDES的加密次序是： 相应地脱密次序为： 这里，m是明文，c是密文，e和d分别为DES的加/脱密算法。所用的加密次序并非是在故弄玄虚，主要是考虑到和已有系统的兼容。巧妙之处在于，当取k1= k2= k3=k时，TDES则退化成普通的DES。 FIPS PUB 46-3规定TDES的另一种使用方式是假定k1 = k3，这时TDES可用于密钥长度是112bit的数据加密。 因为TDES的基础算法是DES，它和DES具有相

11、同的对抗密码分析的能力，同时， 168bit的长密钥又能有效地抵抗穷搜攻击。,3.2.3 AES,尽管TDES在强度上满足了当时商用密码的要求，但随着计算速度的提高和密码分析技术的不断进步，造成了人们对DES的担心。另一方面，DES是针对集成电路实现设计的，对于在计算机系统和智能卡中的实现不大适合，限制着其应用范围。在上世纪90年代NIST通过详细论证最终发起了在全世界范围内征集DES替代算法标准的活动。其几个重要阶段是： 1997.1 发起征集高级加密标准（AES）的活动； 1998.8 接受15个侯选算法； 1999.8 选出5个：MARS、RC6、Rijndael、Serpent、Twofish； 2000.10 评选结束，宣布Rijndael 最终胜出。 按照AES算法的设计要求，它应具有下列基本特点： 可变密钥长为128、192、256三种； 可变分组长为128、192、256三种； 强度高：抗所有已知攻击； 适合在32位机到IC卡上的实现，速度快，编码紧凑； 设计简单。,作