信息論與編碼_第7章加密編碼

1、 加密編碼的基礎(chǔ)知識 數(shù)據(jù)加密標(biāo)準(zhǔn)DES 國際數(shù)據(jù)加密算法(IDEA) 公開密鑰加密法 信息安全和確認(rèn)技術(shù) 人們希望把重要信息通過某種變換轉(zhuǎn)換成秘密形式的信息。轉(zhuǎn)換方法可以分為兩大類：隱寫術(shù)隱寫術(shù)，隱蔽信息載體信號的存在，古代常用。編碼術(shù)編碼術(shù)，將載荷信息的信號進(jìn)行各種變換使它們不為非授權(quán)者所理解。 在利用現(xiàn)代通訊工具的條件下，隱寫術(shù)受到很大限制，但編碼術(shù)卻以計算機為工具取得了很大的發(fā)展。 加密前的真實數(shù)據(jù)稱為明文明文M 對真實數(shù)據(jù)施加變化的過程稱為加密加密EK 加密后輸出的數(shù)據(jù)稱為密文密文C 從密文恢復(fù)出明文的過程稱為解密解密DK 完成加密和解密的算法稱為密碼體制密碼體制。 變換過程中使用的

2、參數(shù)叫密鑰密鑰K。 加密時使用的密鑰與解密時使用的密鑰可以相同（單密鑰），也可以不同（雙密鑰） 如果求解一個問題需要一定量的計算，但環(huán)境所能提供的實際資源卻無法實現(xiàn)它，則稱這種問題是計算上不可能的計算上不可能的； 如果一個密碼體制的破譯是計算上不可能的，則稱該密碼體制是計算上安全計算上安全的的。 密碼體制必須滿足三個基本要求：密碼體制必須滿足三個基本要求：n對所有的密鑰，加密和解密都必須迅速有效n體制必須容易使用；n體制的安全性必須只依賴于密鑰的保密性，而不依賴算法E或D的保密性。密碼體制須實現(xiàn)的功能：密碼體制須實現(xiàn)的功能：n 保密性n 真實性 即使截獲了一段密文C，甚至知道了與它對應(yīng)的明文M

3、，破譯者要從中系統(tǒng)地求出解密變換仍然是計算上不可能的。 破譯者要由截獲的密文C系統(tǒng)地求出明文M是計算上不可能的。 保密性只要求對變換DK（解密密鑰）加以保密，只要不影響DK的保密，變換EK可以公布于眾。 EK DKM C M 對于給定的C，即使密碼分析員知道對應(yīng)于它的明文M，要系統(tǒng)地求出加密變換EK仍然是計算上不可能的。 密碼分析員要系統(tǒng)地找到密文C，使DK（C）是明文空間上有意義的明文，這在計算上是不可能的。 EK DK M C M 真實性只要求變換E （加密密鑰）保密，變換可公布于眾。 對稱（單密鑰）體制對稱（單密鑰）體制：加密密鑰和解密密鑰相同或者很容易相互推導(dǎo)出。比如：DES 由于假定

4、加密方法是眾所周知的，所以這就意味著變換EK和DK很容易互相推導(dǎo)。因此，如果對EK和DK都保密，則保密性和真實性就都有了保障。但這種體制中EK和DK只要暴露其中一個，另一個也就暴露了。所以，對稱密碼體制必須同時滿足保密性和真實性的全部要求。用于加密私人文件。 非對稱（雙密鑰）密碼體制非對稱（雙密鑰）密碼體制：加密密鑰和解密密鑰中至少有一個在計算上不可能被另一個導(dǎo)出。因此，在變換EK或DK中有一個可公開而不影響另一個的保密。比如：RSA 通過保護(hù)兩個不同的變換分別獲得保密性和真實性。保護(hù)DK獲得保密性，保護(hù)EK獲得真實性。公開密鑰體制即是這種。接收者通過保密自己的解密密鑰來保障其接收信息的保密性

5、，但不能保證真實性，因為任何知道其加密密鑰的人都可以將虛假消息發(fā)給他。發(fā)送者通過保密自己的解密密鑰來保障其發(fā)送信息的真實性。但任何知道其加密密鑰的人都可以破譯消息，保密性不能保證。用于數(shù)字簽名。EB DB M C M保障保密性保障真實性 M C MDA EADA EBDB EA M C C C M保密性真實性 根據(jù)加密明文數(shù)據(jù)時的加密單位的不同，分為分分組密碼組密碼和序列密碼序列密碼兩大類。 分組密碼分組密碼：設(shè)M為密碼消息，將M分成等長的連續(xù)區(qū)組M1,M2,，分組的長度一般是幾個字符，并且用同一密鑰K為各區(qū)組加密，即 序列密碼序列密碼：若將M分成連續(xù)的字符或位m1,m2,，并用密鑰序列KK1

6、K2的第i個元素給mi加密，即 常用分組密碼：DES、RSA 12 ()()()kkkCE ME M E M1212()()()kkkCEMEm Em 密碼學(xué)和信息論一樣，都是把信源看成是符號（文字、語言等）的集合，并且它按一定的概率產(chǎn)生離散符號序列。在第二章中介紹的多余度的概念也可用在密碼學(xué)中，用來衡量破譯某一種密碼體制的難易程度。多余度越小，破譯的難度就越大?？梢妼γ魑南葔嚎s其多余度，然后再加密，可提高密文的保密度。 在截獲密文后，明文在多大程度上仍然無法確定。即如果無論截獲了多長的密文都得不到任何有關(guān)明文的信息，那么就說這種密碼體制是絕對安全的。 所有實際密碼體制的密文總是會暴露某些有關(guān)

7、明文的信息。被截獲的密文越長，明文的不確定性就越小，最后會變?yōu)榱?。這時，就有了足夠的信息唯一地決定明文，于是這種密碼體制也就在理論上可破譯了。 理論上可破譯，并不能說明這些密碼體制不安全，因為把明文計算出來的時空需求也許會超過實際上可供使用的資源。在計算上是安全的。 密碼系統(tǒng)的安全問題與噪聲信道問題進(jìn)行類比。噪聲相當(dāng)于加密變換，接收的失真消息相當(dāng)于密文，破譯者則可類比于噪聲信道中的計算者。 隨機變量的不確定性可以通過給予附加信息而減少。正如前面介紹過條件熵一定小于無條件熵。例如，令X是32位二進(jìn)制整數(shù)并且所有值的出現(xiàn)概率都相等，則X的熵H(X)32比特。假設(shè)已經(jīng)知道X是偶數(shù)，那么熵就減少了一位

8、，因為X的最低位肯定是零。 對于給定密文，密鑰的疑義度可表示為 對于給定密文，明文的疑義度可表示為 2(/)()(/)log(/)jijijjiH K Cp cp kcp kc 2(/)()(/)log(/)jijijjiH M Cp cp mcp mc 破譯者的任務(wù)是從截獲的密文中提取有關(guān)明文的信息或從密文中提取有關(guān)密鑰的信息 I(M; C)H(M)H(M/C) I(K; C)H(K)H(K/C) H(M/C)和H(K/C)越大，破譯者從密文能夠提取出有關(guān)明文和密鑰的信息就越小。 對于合法的接收者，在已知密鑰和密文條件下提取明文信息：H(M/C,K)0 I(M; C, K)H(M)H(M/C

9、,K)H(M) 因為 H(K/C)H(M/K,C) H(M/C)H(K/M,C)（M和K交換） H(M/C) （熵值H(K/M,C)總是大于等于零）H(M/C,K)0，上式得 H(K/C) H(M/C)即已知密文后，密鑰的疑義度總是大于等于明文的疑義度?？梢赃@樣來理解，由于可能存在多種密鑰把一個明文消息M加密成相同的密文消息C，即滿足的K值不止一個。但用同一個密鑰對不同明文加密而得到相同的密文則較困難。()KCEM又因為 H(K) H(K/C) H(M/C)，則 上式說明，保密系統(tǒng)的密鑰量越少，密鑰熵H(K)就越小，其密文中含有的關(guān)于明文的信息量I(M; C)就越大。至于破譯者能否有效地提取出

10、來，則是另外的問題了。作為系統(tǒng)設(shè)計者，自然要選擇有足夠多的密鑰量才行。 (; )()(/)()()I M CH MH M CH MH K 1977年7月美國國家標(biāo)準(zhǔn)局公布了采納IBM公司設(shè)計的方案作為非機密數(shù)據(jù)的正式數(shù)據(jù)加密標(biāo)準(zhǔn)（DES Data Encryption Standard）。DES密碼是一種采用傳統(tǒng)加密方法的區(qū)組密碼，它的算法是對稱的，既可用于加密又可用于解密。 換位密碼：對數(shù)據(jù)中的字符或更小的單位（如位）重新組織，但并不改變它們本身。 替代密碼：改變數(shù)據(jù)中的字符，但不改變它們之間的相對位置。 P盒 0 15 15 0 0 14 14 0 0 13 13 0 0 12 12 0輸

11、 0 11 11 0 輸 0 10 10 0入 0 9 9 0 出 0 8 8 0數(shù) 0 7 7 0 數(shù) 0 6 6 0據(jù) 0 5 5 1 據(jù) 0 4 4 0 0 3 3 0 0 2 2 0 1 1 1 0輸入第i位輸出第j位151413121110987654321741210152111914638135換位盒(P盒) S盒n=3 2n=8 2n=8 0 00 1 1 1 2 21 3 3 1 4 41 5 5 1 6 6 7 7輸入輸出000001010011100101110111101010100111000110011001替代盒（S盒） 0 P s P s P s P 0 0 1

12、 0 0 0 0輸 0 s s s 0 輸 0 1入 0 1 出 0 s s s 1數(shù) 0 1 數(shù) 0 0據(jù) 0 s s s 0 據(jù) 0 0 0 1 0 s s s 1 1 0 P盒和S盒的結(jié)合使用 DES密碼就是在上述換位和替代密碼的基礎(chǔ)上發(fā)展的。 將輸入明文序列分成區(qū)組，每組64比特。 64比特的密鑰源循環(huán)移位產(chǎn)生16個子密鑰1 264Kk kk 64 64 64 16 次 64 48 64 64 輸入 初始置換 IP 密碼運算 逆置換 輸出 子密鑰 密鑰源 圖 7-6 DES 算法 64 32 32 L0 R0 K1 f L1R0 R1L0 f(R0，K1) K2 f L2R1 R2L1

13、 f(R1，K2) Kn f L15R14 R15L14 f(R14，K15) K16 f L16R15 R16L15 f(R15，K16) 64 圖7-7 密碼運算 Ri-1(32) 密鑰(64) E 密鑰表 48比特 Ki(48) S1 S2 S3 S8 P 32比特 圖7-8 密碼計算函數(shù)f(R，K) 密 鑰 64 置 換 選 擇 1 28 28 C0 D0 左 移 左 移 C1 D1 48 置 換 選 擇 2 K1 左 移 左 移 Cn Dn 48 置 換 選 擇 2 Kn 左 移 左 移 C16 D16 48 置 換 選 擇 2 K16 密鑰表計算 DES的出現(xiàn)在密碼學(xué)史上是一個創(chuàng)舉

14、。以前的任何設(shè)計者對于密碼體制及其設(shè)計細(xì)節(jié)都是嚴(yán)加保密的。而DES算法則公開發(fā)表，任人測試、研究和分析，無須通過許可就可制作DES的芯片和以DES為基礎(chǔ)的保密設(shè)備。DES的安全性完全依賴于所用的密鑰。 DES算法中每次迭代所用的子密鑰都相同，即 K1K2K16 ，如111，此時DESk(DESk(x)x，DESk1(DESk1(x)x即以k對x加密兩次或解密兩次都恢復(fù)出明文。其加密運算和解密運算沒有區(qū)別。 而對一般密鑰只滿足 DESk1(DESk(x)DESk(DESk1(x)x 給定的密鑰k，相應(yīng)的16個子密鑰只有兩種圖樣，且每種都出現(xiàn)8次。如101010 半弱密鑰的特點是成對地出現(xiàn)，且具有

15、下述性質(zhì)：若k1和k2為一對互逆的半弱密鑰，x為明文組，則有 DESk1(DESk2(x)DESk2(DESk1(x)x 稱k1和k2是互為對合的。 DES的密鑰短了些 選擇長的密鑰會使成本提高、運行速度降低。 新算法很可能要采用128比特密鑰。 實現(xiàn)DES算法的產(chǎn)品有： 設(shè)計專用LSI器件或芯片； 用現(xiàn)成的微處理器實現(xiàn)； 只限于實現(xiàn)DES算法； 可運行各種工作模式。 盡管DES算法十分復(fù)雜，但它基本上還是采用64比特字符的單字母表替換密碼。當(dāng)同樣的64比特明文塊進(jìn)入編碼器后，得到的是同樣的64比特的密文塊。破譯者可利用這個性質(zhì)來破譯DES。 DES密碼的缺點：采用64比特字符的單字母表替換密

16、碼。例：工資表有3列，姓名168比特，職稱和工資各88比特，想篡改，只需將兩人的第3、4個64比特密文塊調(diào)換一下。改進(jìn)方法：密碼塊鏈接、密碼反饋方式 M1 M2 M3 M4 C1 C2 C3 C4 V # # # # 密鑰 D D D D 解密箱 加密箱密鑰 E E E E V # # # # 異或 C1 C2 C3 C4 M1 M2 M3 M4 (a) (b) 64位移位寄存器 64位移位寄存器 C2 C3 C4 C5 C6 C7 C8 C9 C2 C3 C4 C5 C6 C7 C8 C9 64 8 密鑰 E 加密箱 C10 密鑰 E 加密箱 C10 選擇最左字節(jié) 選擇最左字節(jié) 8 M10

17、# C10 C10 # M10 8 (a) (b)密碼反饋方式密碼反饋方式 盡管一次加密的DES仍然廣泛應(yīng)用于保密中，但專家們對DES不安全的原因作了大量的分析，認(rèn)為這種方法剛被發(fā)明時是很適用的，而現(xiàn)在已不再能滿足需要。人們開始尋求更安全的塊密碼，曾提出了許多算法，其中最令人感興趣最重要的就是IDEA (International Data Encryption Algorithm)，即國際數(shù)據(jù)加密算法。 IDEA由瑞士的兩名科學(xué)家于1990年提出，最早稱作PES (Proposed Encryption Standard)，后改稱為IDEA。 采用下述幾種基本運算： （1） 逐位mod 2和

18、，記作 ； （2） mod 216（即65536）整數(shù)加，記作 ； （3）mod (2161)（即65537）整數(shù)乘，記作 ； （4）三個運算中任意兩個運算不滿足分配律。例如：a (b c) (a b) (a c) （5）三個運算中任意兩個運算間不滿足結(jié)合律。 例如： a (b c) (a b) c （1）基本構(gòu)件基本構(gòu)件乘乘/加單元加單元：實現(xiàn)16比特為字長的非線性S盒，如圖所示。它是IDEA實現(xiàn)中的關(guān)鍵非線性構(gòu)件。通過8輪迭代，能夠完成更好的擴散和混淆。研究表明，為實現(xiàn)完善混淆至少需要4輪迭代。 （2）硬件硬件：加密、解密運算相似，差別是密鑰時間表，類似于DES，具有對合性，可用同一器件實

19、現(xiàn)。由于采用規(guī)則的模塊結(jié)構(gòu)，易于設(shè)計ASIC實現(xiàn)。 （3）軟件軟件：采用子段結(jié)構(gòu)：以16比特為字長進(jìn)行處理。采用簡單運算，三種運算易于編程實現(xiàn)加、移位等。 F1 16 F2 16 K5 K6 G1 16 G2 16 輸入和輸出字長為64比特，密鑰長128比特，8輪迭代體制。最后經(jīng)過一個輸出變換給出密文。IDEA可用于各種標(biāo)準(zhǔn)工作模式。 它由兩部分組成：一個是對輸入64比特明文組的8輪迭代產(chǎn)生64比特密文輸出；另一個是由輸入的128比特會話密鑰，產(chǎn)生8輪迭代所需的52個子密鑰，共5216比特。 64比特明文xx1 x2 x3 x4 K1 迭代1 K6w11 w12 w13 w14 K7 迭代2

20、K12 w21 w22 w23 w24w71 w72 w73 w74 K43 迭代8 K48 w81 w82 w83 w84 K49 輸出變換 K52 y11 y12 y13 y14 密文IDEA算法框圖算法框圖 128比特密鑰K 子密鑰生成器 16 K1 K52 x1 x2 x3 x4 K1 K3 K2 K4 乘加 單元 K5 K6 w11 w12 w13 w14 圖7-15 w1 w2 w3 w4 K49 K51 K50 K52 圖7-16 IDEA的輸出變換K(128比特) K1 K2 K3 K4 K5 K6 K7 K8 K15K16K9K10K11K12K13K14K15 K22K23

21、K24K17K18K19K20K21K28K29K30K31K32K25K26K27K28K35K36K37K38K39K40K33K34 K41K42K43K44K45K46K47K48 K49K50K51K52 圖7-17 IDEA的子密鑰 如果采用窮搜索破譯，要求進(jìn)行21281038次試探。若每秒可完成100萬次加密，需1013年；若用1024個ASIC芯片陣需要一天。有關(guān)專家研究表明，IDEA算法沒有似DES意義下的弱密鑰，8輪迭代使得沒有任何捷徑破譯，在差分和線性攻擊下是安全的。當(dāng)然若將字長由16比特增加到32比特，密鑰相應(yīng)長256比特，采用232模加，2321模乘，則可進(jìn)一步強化I

22、DEA。 前面介紹的秘密密鑰加密法，算法公開，密鑰是保密的（對稱密鑰）。 如果要進(jìn)行通信，必須在這之前把密鑰通過非?？煽康姆绞椒峙浣o所有接收者，這在某些場合是很難做到的。 因而提出了公開密鑰加密法PKC（Public Key Cryptography） 使用兩個不同密鑰（非對稱密鑰體制）； 一個公開（公鑰），另一個為用戶專用（私鑰）； 通信雙方無需事先交換密鑰就可進(jìn)行保密通信； 要從公鑰或密文分析出明文或私鑰，在計算上是不可能的。 保密通信： 多個用戶將信息傳給某用戶，可用該用戶的公鑰加密，唯有該用戶可用自己的私鑰解讀。 數(shù)字簽名： 用自己的私鑰加密信息，而以公鑰作為解密密鑰，用來確認(rèn)發(fā)送者。

23、 加密計算容易：對任意給定的x值，容易計算yF(x)的值； 破譯難：已知F和y，不可能求出對應(yīng)的x值； 用私鑰容易解密：若知道F的某種特殊性質(zhì)（竅門trapdoor ），就容易計算出x值。 使用者構(gòu)造出單向函數(shù)F（公鑰）和它的逆函數(shù)F1（私鑰）。 破譯者：已知F和密文不能推導(dǎo)出F1或明文； 接收者：用竅門信息（解密密鑰Kd）簡單地求解xF1Kd(y)。 公開加密密鑰 秘密解密密鑰 B(e，n) B(d，n) A(e，n) A(d，n)B發(fā)到A B M fA(e，n) C A A接收B A C fA(d，n) M A發(fā)到B A M fB(e，n) C BB接收A B C fB(d，n) M 公開

24、加密密鑰 秘密解密密鑰 B(e，n) B(d，n) A(e，n) A(d，n)B發(fā)到A B M fB(d，n) S fA(e，n) C AA收到B A C fA(d，n) S fB(e，n) M RSA由來 理論基礎(chǔ) 密鑰設(shè)計 加密解密 實現(xiàn)步驟 RSA由來：RSA體制是根據(jù)PKC算法由美國麻省理工學(xué)院（MIT）的研究小組提出的，該體制的名稱是用了三位作者（Rivest，Shamir和Adleman）英文名字的第一個字母拼合而成。 理論基礎(chǔ)：利用數(shù)論 正：要求得到兩個大素數(shù)（如大到100位）的 乘積在計算機上很容易實現(xiàn)。 逆：但要分解兩個大素數(shù)的乘積在計算上幾乎 不可能實現(xiàn)。 密鑰設(shè)計：兩個密

25、鑰：公鑰（e，n） 私鑰（d，n） 加密解密： 加密時：解密時： (mod )eyxn(mod )dxyn 實現(xiàn)步驟： 選取兩個很大的素數(shù)p和q，令模數(shù) 求n的歐拉函數(shù) 并從2至(n)1中任選一個數(shù)作為加密指數(shù)e； 解同余方程 求得解密指數(shù)d； (e，n)即為公開密鑰，(d，n)即為秘密密鑰。 npq( )(1)(1)npq()(mod ( )1edn例例7-1 在RSA方法中，令p3，q17，取e7，試計算解密密鑰d并加密M2。解：解：npq51 (n)(p1)(q1)32 (7d) mod 321，可解得d23 加密 yxe mod n27 mod 5126 解密 yd mod n2623

26、 mod 512x 若需發(fā)送的報文內(nèi)容是用英文或其他文字表示的，則可先將文字轉(zhuǎn)換成等效的數(shù)字，再進(jìn)行加密運算。 發(fā)送者A用自己的秘密解密密鑰(dA，nA)計算簽名； 用接收者B的公開加密密鑰(eB，nB)再次加密： 接收者B用自己的秘密解密密鑰(dB，nB)解密： 查發(fā)送者A的公開密鑰(eA，nA)計算，恢復(fù)出發(fā)送者的簽名，認(rèn)證密文的來源。 (dA，nA) (eB，nB) (dB，nB) (eA，nA) Mi Si S Si Mi 例例7-2 用戶A發(fā)送給用戶B一份密文，用戶A用首字母B02來簽署密文。用戶A知道下列三個密鑰： A B公開密鑰(e，n) (7，123) (13，51)秘密密鑰(

27、d，n) (23，123)A計算他的簽名：再次加密簽名：23mod(02) (mod123)8388608(mod123)8AdiiASMn13mod8 (mod51)549755813888(mod51)26BeiBSSn 接收者B必須恢復(fù)出02B認(rèn)證他接收的密文。接收者也知道三個密鑰： A B公開密鑰(e，n) (7，123) (13，51)秘密密鑰(d，n) (5，51)B用戶用自己的秘密解密密鑰一次解密：再用A用戶的公開密鑰解密：B用戶可確認(rèn)：該簽名是由A發(fā)出用A公鑰可解讀； 該簽名是發(fā)給自己的用了B的公鑰。5mod26 (mod51)11881376(mod51)8BdiBSSn7m

28、od8 (mod123)2097153(mod123)2AeiiAMSn n要大，破譯512比特（154位） RSA算法體制與破譯64比特的單密鑰體制相當(dāng)； 目前n512比特在短期內(nèi)十分安全，但已有一定威脅，很快可能要采用768比特甚至1024比特； RSA算法的硬件實現(xiàn)速度很慢，最快也只有DES的1/1000，512比特模下的VLSI硬件實現(xiàn)只達(dá)64kb/s；軟件實現(xiàn)的RSA的速度只有DES的軟件實現(xiàn)的1/100。 在速度上RSA無法與對稱密鑰體制相比，因而RSA體制多用于密鑰交換和認(rèn)證。 有時需要確認(rèn)一段報文的出處，而報文本身不需加密。如用公開密鑰算法加密整段報文，則加密時間長，而且報文傳

29、輸和存儲的開銷也大。 采用報文摘要(message digest) ，即從一段報文中計算出較短的報文摘要，然后在報文摘要上簽名，并將簽名的摘要和報文一起發(fā)送。 該方案基于單向散列(Hash)函數(shù)的思想； 給出報文P就易于計算出報文摘要MD(P)； 只給出MD(P)，幾乎無法找出P； 無法生成兩條具有同樣報文摘要的報文； 如果有人替換了報文P，當(dāng)接收者計算MD(P)時就得不到相同的結(jié)果。 添加1512比特 報文長度K mod 264 L512比特N32比特 K比特 報文 1000 512比特 512比特 512比特 512比特 Y0 Y1 Yq YL-1 512 512 512 512ABCD

30、H MD5 H MD5 H MD5 HMD5 128 128 128 128 128比特 報文摘要 采用MD5算法產(chǎn)生報文摘要 MDq 128 Yq 512 A B C D 32 ABCDfF (ABCD，Yq，T1.16) A B C D ABCDfG (ABCD，Yq，T17.32) A B C D ABCDfH (ABCD，Yq，T33.48) A B C D ABCDfI (ABCD，Yq，T49.64) MDq+1 128處理512比特塊的算法HMD5 A B C D g 32 Xk Ti CLSs ABCLSsAg(BCD)XkTi 16次表7-12 基本函數(shù)的邏輯運算關(guān)系()()

31、BCBD()()BDCDBCD()CBD輪輪基本函數(shù)基本函數(shù)gg(B,C,D)fFF(B,C,D)fGG(B,C,D)fHH(B,C,D)fII(B,C,D)表7-13 基本函數(shù)的真值表BCDFGHI00001111001100110101010101010011001001110110100110011100 安全的hash函數(shù)在設(shè)計時必須滿足兩個要求：其一是尋找兩個輸入得到相同的輸出值在計算上是不可行的，這就是通常所說的抗碰撞的；其二是找一個輸入，能得到給定的輸出在計算上是不可行的，即不可從結(jié)果推導(dǎo)出它的初始狀態(tài)。 MD5是在國內(nèi)外有著廣泛應(yīng)用的hash函數(shù)算法，它曾一度被認(rèn)為是非常安全的

32、。然而，2004年山東大學(xué)的王小云教授在國際密碼學(xué)會議（Crypto 2004）上公布了MD系列算法的破解結(jié)果，可以很快找到MD5的“碰撞”，就是兩個文件可以產(chǎn)生相同的報文摘要。 美國國家技術(shù)與標(biāo)準(zhǔn)局（NIST）對此發(fā)表專門評論，安全性暫時沒有問題，但隨著技術(shù)的發(fā)展，需要換用其他更長更安全的算法替代。 減少了密鑰數(shù)量。在n個用戶的密碼系統(tǒng)中，采用對稱密碼體制，需要n(n-1)/2個密鑰。采用公鑰密碼體制，只需要n對密鑰，而真正需要嚴(yán)加保管的只有用戶自己的秘密密鑰； 徹底消除了密鑰在分送過程中被竊的可能性，大大提高了密碼體制的安全性。 便于實現(xiàn)數(shù)字簽名，完滿地解決了對發(fā)方和收方的證實問題，徹底解

33、決了發(fā)、收雙方就傳送內(nèi)容可能發(fā)生的爭端，為在商業(yè)上廣泛應(yīng)用創(chuàng)造了條件。 計算較復(fù)雜，加密和解密的工作速率遠(yuǎn)低于對稱密碼體制。 分類：模擬加密、數(shù)字加密 模擬話音的特性：時間、頻率和幅度 模擬加密方法：時間置亂、頻率置亂、幅度置亂；一維置亂、二維置亂 數(shù)字加密方法：比特置亂、比特掩蓋 模擬加密簡單，但保密度較差； 數(shù)字加密，要求取樣率較高。 可結(jié)合使用。 數(shù)據(jù) 數(shù)據(jù)節(jié)點密鑰1密鑰1密鑰2密鑰2節(jié)點節(jié)點明文7.6 通信網(wǎng)絡(luò)中的加密通信網(wǎng)絡(luò)中的加密節(jié)點加密 節(jié)點 節(jié)點 節(jié)點 加密數(shù)據(jù) 加密數(shù)據(jù) 數(shù)據(jù) （密鑰1） （密鑰2） 數(shù)據(jù) 密鑰1 密鑰1 密鑰2 密鑰2（安全模塊） （安全模塊） （安全模塊）

34、數(shù)據(jù) 數(shù)據(jù)7.6 通信網(wǎng)絡(luò)中的加密通信網(wǎng)絡(luò)中的加密端對端加密 節(jié)點密鑰1 節(jié)點 節(jié)點 密鑰1 數(shù)據(jù)數(shù)據(jù) 信息資源共享的限制 信息資源的保護(hù) 認(rèn)證業(yè)務(wù)：提供某種方法來證實某一聲明是正確的。例如：口令 訪問控制：控制非授權(quán)的訪問。例如：防火墻。 保密業(yè)務(wù)：對未授權(quán)者保護(hù)信息，例如：數(shù)據(jù)加密。 數(shù)據(jù)完整性業(yè)務(wù)：對安全威脅所采取的一類防護(hù)措施， 不可否認(rèn)業(yè)務(wù)：提供無可辯駁的證據(jù)來證明曾經(jīng)發(fā)生過的交換。采用數(shù)字簽名技術(shù)。 偽造：接收方偽造一份來自某一發(fā)送方的文件； 篡改：接收方篡改接收到的文件或其中的數(shù)據(jù)； 冒充：網(wǎng)絡(luò)中任一用戶冒充另一用戶作為接收方或發(fā)送方； 否認(rèn)：發(fā)送/接收方不承認(rèn)曾發(fā)送/接收過某一