b第二周對(duì)稱密碼學(xué)(第2、3、6章)剖析.ppt

1 華南理工大學(xué)經(jīng)貿(mào)學(xué)院本科課程 電子商務(wù)安全與保密 第2章對(duì)稱密碼學(xué) 2 信息論的概念 公式 H x 含義 不確定性 即一條信息當(dāng)中的信息量 越大越好一個(gè)只有一個(gè)字符的語(yǔ)言 熵 1 log2 1 0 完全隨機(jī)語(yǔ)言 1 26 log2 1 26 log2 1 26 4 xx 一個(gè)字母對(duì)任意字母的映射直觀來說 從一個(gè)信息元推斷其它信息元的可能性 熵越小 可能性越大例 如果信息不是男就是女 那么H m 1 2log2 1 2 1 2 log2 1 2 1聯(lián)合熵條件熵 3 信息率 r H M N N是消息的長(zhǎng)度 H M 是信息熵絕對(duì)信息率R log2L語(yǔ)言的多余度D R r 越少越好 減少被推測(cè)可能例 英語(yǔ)的信息率估計(jì)是1 2 絕對(duì)信息率是4 7 L 26 則冗余度估計(jì)是3 5唯一解距離 進(jìn)行強(qiáng)力攻擊時(shí) 可能解出唯一有意義的明文所需要的最少密文量 定義為U H M D H M 是信息熵 D是多余度 越長(zhǎng)越好 與冗余度成反比問 為什么密鑰要定期更換 信息論的概念 4 密碼學(xué)的Shannon模型 Z Z Z 5 密碼學(xué)的Shannon模型 X 明文 plain text 作為加密輸入的原始信息 Y 密文 cipher text 對(duì)明文變換的結(jié)果 E 加密 encrypt 是一組含有參數(shù)的變換 將可識(shí)別的明文變?yōu)槊芪?密文可識(shí)別 閾下信道 D 解密 decrypt 加密的逆變換 Z 密鑰 key 是參與加密解密變換的參數(shù) 一密碼系統(tǒng) 算法 明文空間 密文空間 密鑰空間系統(tǒng)分析者 試圖從密文破解出明文者上述過程的數(shù)字表示 Y E X Z X D Y Z 6 密碼分析理論 Kerckhoffs假設(shè)假定 密碼分析者知道對(duì)方所使用的密碼系統(tǒng)包括明文的統(tǒng)計(jì)特性 加密體制 操作方式 處理方法和加 解密算法 密鑰空間及其統(tǒng)計(jì)特性 不知道 解密 密鑰 在設(shè)計(jì)一個(gè)密碼系統(tǒng)時(shí) 目標(biāo)是在Kerckhoffs假設(shè)的前提下實(shí)現(xiàn)安全 產(chǎn)業(yè)化至關(guān)重要雪崩效應(yīng)明文或密鑰的微小改變將對(duì)密文產(chǎn)生很大的影響是任何加密算法需要的一個(gè)號(hào)性質(zhì) 特別地 明文或密鑰的某一位變化會(huì)導(dǎo)致密文的很多位發(fā)生變化 這被稱為雪崩效應(yīng) 越大越好 7 1 唯密文攻擊 CipherText OnlyAttack 密碼分析者有一些消息的密文 這些消息都用同一加密算法加密 密碼分析者的任務(wù)是恢復(fù)盡可能多的明文 或者最好是能推算出加密消息的密鑰 以便可采用相同的密鑰解出其他被加密的消息 2 已知明文攻擊 Known PlaintextAttack 密碼分析者不僅可得到一些消息的密文 而且也知道這些消息的明文 分析者的任務(wù)就是用加密信息推出用來加密的密鑰或推導(dǎo)出一個(gè)算法 此算法可以對(duì)用同一密鑰加密的任何新的消息進(jìn)行解密 密碼分析 8 3 選擇明文攻擊 Chosen PlaintextAttack 分析者不僅可得到一些消息的密文和相應(yīng)的明文 而且也可選擇被加密的明文 這比已知明文攻擊更有效 因?yàn)槊艽a分析者能選擇特定的明文塊去加密 那些塊可能產(chǎn)生更多關(guān)于密鑰的信息 分析者的任務(wù)是推出用來加密消息的密鑰或?qū)С鲆粋€(gè)算法 此算法可以對(duì)用同一密鑰加密的任何新的消息進(jìn)行解密 4 選擇密文攻擊 Chosen CipherTextAttack 密碼分析者能選擇不同的被加密的密文 并可得到對(duì)應(yīng)的解密的明文 密碼分析者的任務(wù)是推出密鑰 密碼學(xué)的Shannon模型 9 5 適用性選擇密文攻擊 AdaptiveChosen CipherTextAttack CCA2 在CCA的基礎(chǔ)上 密碼分析者除了對(duì) 目標(biāo)密文 解密以外 永遠(yuǎn)能夠得到解密服務(wù) 能在使用解密機(jī)的過程中 根據(jù)解密機(jī)的反饋適應(yīng)性地構(gòu)造密文再進(jìn)行解密 與CCA2不同 CCA要求在得到目標(biāo)密文以后 解密服務(wù)立即停止 密碼學(xué)的Shannon模型 10 密碼體制的安全性 無(wú)條件安全或完善保密性 unconditionallysecurity 不論提供的密文有多少 密文中所包含的信息都不足以惟一地確定其對(duì)應(yīng)的明文 具有無(wú)限計(jì)算資源 諸如時(shí)間 空間 資金和設(shè)備等 的密碼分析者也無(wú)法破譯某個(gè)密碼系統(tǒng) 要構(gòu)造一個(gè)完善保密系統(tǒng) 其密鑰量的對(duì)數(shù) 密鑰空間為均勻分布的條件下 必須不小于明文集的熵 不確定性不能減少?gòu)撵氐幕拘再|(zhì)可推知 保密系統(tǒng)的密鑰量越小 其密文中含有的關(guān)于明文的信息量就越大 容易從密文猜出明文存在完善保密系統(tǒng)如 一次一密 one timepad 方案 量子密碼 實(shí)際上安全或計(jì)算安全性 computationalsecurity 計(jì)算上是安全 即使算出和估計(jì)出破譯它的計(jì)算量下限 利用已有的最好的方法破譯該密碼系統(tǒng)所需要的努力超出了破譯者的破譯能力 諸如時(shí)間 空間 資金等資源 從理論上證明破譯它的計(jì)算量不低于解已知難題的計(jì)算量 因此 在現(xiàn)階段 是安全的 11 書本 混淆 confusion 和擴(kuò)散 diffusion 的不同翻譯擴(kuò)散和混淆是C E Shannon提出的設(shè)計(jì)密碼體制的兩種基本方法 其目的是為了抵抗對(duì)手對(duì)密碼體制的統(tǒng)計(jì)分析 可抵抗對(duì)手從密文的統(tǒng)計(jì)特性推測(cè)明文和密鑰 常用的方法對(duì)應(yīng)是替代 如凱撒密碼 和置換 如DES Thebasictechniquesforthisarecalledconfusion 混淆 anddiffusion 擴(kuò)散 Theseroughlycorrespondtosubstitution 替代 andpermutation 置換 擴(kuò)散對(duì)應(yīng)的方法是置換 混淆對(duì)應(yīng)的方法是替代 擴(kuò)散和混淆 12 代替 每個(gè)明文元素或者元素組倍唯一地替換為相應(yīng)的密文元素或者元素組置換 明文元素的序列被替換為該序列的一個(gè)置換 也就是說 序列里沒有元素被增刪改 但序列里元素出現(xiàn)的順序被改變了擴(kuò)散 為避免密碼分析者對(duì)密鑰逐段破譯 密碼的設(shè)計(jì)應(yīng)該保證密鑰的每位數(shù)字能夠影響密文中的多位數(shù)字 同時(shí) 為了避免避免密碼分析者利用明文的統(tǒng)計(jì)特性 密碼的設(shè)計(jì)應(yīng)該使明文中的每1個(gè)bit影響密文的多個(gè)bit 或說密文中每1個(gè)bit受明文中多個(gè)bit影響 從而隱藏明文的統(tǒng)計(jì)特性 混淆 為了避免密碼分析者利用明文與密文之間的依賴關(guān)系進(jìn)行破譯 將密文和密鑰之間的統(tǒng)計(jì)關(guān)系變得盡可能復(fù)雜 擴(kuò)散和混淆 13 DES的安全性 基于1997年的技術(shù)統(tǒng)計(jì)分析的攻擊結(jié)果 數(shù)據(jù)加密標(biāo)準(zhǔn)64位分組和56位密鑰1977年倍NBS采納為標(biāo)準(zhǔn)1999年規(guī)定只用于遺留系統(tǒng)和3DES 14 多重DES多重DES就是使用多個(gè)密鑰利用DES對(duì)明文進(jìn)行多次加密 多重DES可以增加密鑰量 1 雙重DESK1 K2是兩個(gè)長(zhǎng)度為56bit的密鑰 明文X 密文Y加密變換 Y DESK2 DESK1 X 解密變換 X DESK1 1 DESK2 1 Y 雙重DES所用密鑰長(zhǎng)度為112bit 強(qiáng)度極大增加 15 2 三重DESK1 K2 K3是兩個(gè)長(zhǎng)度為56bit的密鑰 明文X 密文Y加密變換 Y DESK3 DESK2 1 DESK1 X 解密變換 X DESK1 1 DESK2 DESK3 1 Y 三重DES所用密鑰長(zhǎng)度為168bit 如果K1 K2或K2 K3 則三重DES退化為使用一個(gè)56bit密鑰的單重DES 這個(gè)過程稱為EDE 即加密 解密 加密 EncryptDecryptEncrypt 所以 可以使K1 K3來用三重DES方法執(zhí)行常規(guī)的DES加密 三重DES目前還被當(dāng)作一個(gè)安全有效的加密算法使用 三重DES已在因特網(wǎng)的許多應(yīng)用 PGP S MIME 中被采用 16 IDEA算法 IDEA國(guó)際數(shù)據(jù)加密算法 InternationalDataEncryptionAlgorithm 瑞士聯(lián)邦理工學(xué)院 XuejiaLai JamesMassey 1990 1991改進(jìn) 加強(qiáng)了對(duì)差分密碼分析的抗擊能力 明文分組與密文分組的長(zhǎng)度均為64位 密鑰長(zhǎng)度為128位 在目前常用的安全電子郵件加密方案PGP中使用 17 Rijndael算法 由Square算法發(fā)展演變而來 已被美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所選定作為高級(jí)加密算法AES AdvancedEncryptionStandard取代DES迭代分組密碼算法 類似流密碼 每一輪有內(nèi)部狀態(tài) 密鑰128 192 256 分組128 192 256 循環(huán)次數(shù)10 12 14 速度快 對(duì)內(nèi)存要求小 操作簡(jiǎn)單 算法的抗攻擊能力強(qiáng) 高級(jí)加密標(biāo)準(zhǔn) AES 算法 Rijndael的設(shè)計(jì) 清華大學(xué)出版社 18 其他算法 BLOWFISHBruceSchneier1995發(fā)表 64位分組 最大到448位可變長(zhǎng)密鑰 Fast compact simple variablysecure RC2 RC4 RC5 RC6算法由Rivest發(fā)明 19 分組密碼的工作模式 已經(jīng)提出的分組密碼工作模式有 電碼本 ECB 模式 原始模式密碼分組鏈接 CBC 模式 密碼反饋 CFB 模式 輸出反饋 OFB 模式 這是最簡(jiǎn)單的方式 以分組64bit為例 明文接受64bit的分組 每個(gè)明文分組都用同一個(gè)密鑰加密 每個(gè)64bit的明文分組就有一個(gè)唯一的密文 特點(diǎn) 同一個(gè)64bit明文分組多次出現(xiàn) 產(chǎn)生的密文就總是一樣的 它可用于少量的數(shù)據(jù)加密 比如加密一個(gè)密鑰 對(duì)于大報(bào)文用ECB方式就不安全 ECB模式 電子密碼本 ECB模式 ECB模式 ECB模式的優(yōu)缺點(diǎn) 模式操作簡(jiǎn)單明文中的重復(fù)內(nèi)容將在密文中表現(xiàn)出來 特別對(duì)于圖像數(shù)據(jù)和明文變化較少的數(shù)據(jù)適于短報(bào)文的加密傳遞 ECB模式 目的 同一個(gè)明文分組重復(fù)出現(xiàn)時(shí)產(chǎn)生不同的密文分組原理 Pn加密算法的輸入是當(dāng)前的明文分組Cn 1和前一密文分組的異或K第一個(gè)明文分組和一個(gè)初始向量Cn進(jìn)行異或 XOR DES加密 CBC模式 密碼分組鏈接 初始向量時(shí)刻t1t2tnIVP1P2PnKKKC1C2Cn 1Cn OR DES XOR XOR DES DES CBC模式 CBC模式 CBC模式 CBC模式的特點(diǎn) 同一個(gè)明文分組重復(fù)出現(xiàn)時(shí)產(chǎn)生不同的密文分組加密函數(shù)的輸入是當(dāng)前的明文分組和前一個(gè)密文分組的異或 對(duì)每個(gè)分組使用相同的密鑰 將明文分組序列的處理連接起來了 每個(gè)明文分組的加密函數(shù)的輸入與明文分組之間不再有固定的關(guān)系有助于將CBC模式用于加密長(zhǎng)消息 CBC模式 OFB模式 輸出反饋 CFB模式 密碼反饋 CTR模式 計(jì)數(shù)器 CTR模式的特點(diǎn) 使用與明文分組規(guī)模相同的計(jì)數(shù)器長(zhǎng)度處