信息全與信息加密

1、7.1信息安全含義 7.2信息加密概述 7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.1 流密碼（序列密碼） 7.3.2 分組密碼 7.3.3 des算法 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理 7.4.2 rsa加密系統(tǒng)7.5 數(shù)字簽名技術(shù) 第7章 信息安全與信息加密7.6 識(shí)別協(xié)議 7.6.1 識(shí)別協(xié)議概述 7.6.2 feige-fiat-shamir識(shí)別協(xié)議 7.6.3 改進(jìn)的feige-fiat-shamir識(shí)別協(xié)議7.7 密鑰管理 7.7.1 密鑰管理的意義 7.7.2 密鑰分類(lèi)與產(chǎn)生 7.7.3 密鑰分配 7.7.4 密鑰保護(hù)和秘密共享7.8 pgp密鑰管理技術(shù)第7

2、章 信息安全與信息加密（1）掌握信息安全及信息加密的含義；（2）理解對(duì)稱(chēng)密鑰密碼算法和公鑰密碼算法的基本 特點(diǎn)和基本原理；（3）理解和掌握dse和rsa加密算法；（4）理解和掌握數(shù)字簽名技術(shù)；（5）了解密鑰管理及其技術(shù)；（6）了解和掌握pgp程序的相關(guān)技術(shù)及應(yīng)用。學(xué)習(xí)目標(biāo)信息安全信息安全一般是指信息在通信、存貯或處理過(guò)程中是否得到妥善的、完好無(wú)損的保護(hù)，表現(xiàn)在信息不能被竊取、丟失、修改、錯(cuò)誤投遞等，并可以追溯發(fā)信人。信息安全分為“信息體安全信息體安全”和“信息智安全信息智安全”(1) 信息體安全信息體安全是指信息本身在網(wǎng)絡(luò)域及其界面具有完整、真實(shí)、不可盜用、不可錯(cuò)用以及可溯源的屬性。(2) 信

3、息智安全信息智安全是指信息內(nèi)涵，即信息體所攜帶的“智能或知識(shí)”與網(wǎng)絡(luò)智安全和社會(huì)意識(shí)形態(tài)的相容性。7.1 信息安全含義7.2.1 密碼技術(shù)簡(jiǎn)史 古希臘 古埃及、巴比倫和美索不達(dá)米亞 羅馬 帝國(guó)時(shí)代 德國(guó) 現(xiàn)在。7.2.2 密碼的基本概念安全問(wèn)題： 一是數(shù)據(jù)的保密性保密性，即防止非法地獲悉數(shù)據(jù)； 二是數(shù)據(jù)的完整性完整性，即防止非法地修改數(shù)據(jù)?，F(xiàn)代密碼學(xué) 加密、明文、明文空間、密文、密文空間、解密、 密鑰、密碼體制。7.2 信息加密7.2.2 密碼的基本概念密碼系統(tǒng)的兩個(gè)基本單元是算法算法和密鑰密鑰。算法算法是相對(duì)穩(wěn)定的，視為常量。密鑰密鑰則是不固定的，視為變量。密鑰安全性密鑰安全性是系統(tǒng)安全的關(guān)

4、鍵。 簡(jiǎn)單加密和解密過(guò)程如下圖： 7.2 信息加密加密加密解密解密原來(lái)的明文原來(lái)的明文接收方接收方明文明文發(fā)送方發(fā)送方第三方第三方密文密文7.2.2 密碼的基本概念密碼通信通常會(huì)受到未授權(quán)者或非法入侵者的攻擊。分為被動(dòng)攻擊被動(dòng)攻擊和主動(dòng)攻擊主動(dòng)攻擊: :被動(dòng)攻擊被動(dòng)攻擊是指未授權(quán)者通過(guò)各種可能的手段獲取密文，并通過(guò)各種分析手段推斷出明文的過(guò)程，稱(chēng)為破譯。主動(dòng)攻擊主動(dòng)攻擊是指非法入侵者通過(guò)各種手段進(jìn)入密碼通信系統(tǒng)，并通過(guò)可能的方法刪改、偽造信息，達(dá)到破壞密碼通信系統(tǒng)的目的。7.2 信息加密7.2.2 密碼的基本概念破譯或攻擊密碼的方法：窮舉法窮舉法和分析法分析法。窮舉法窮舉法是指用各種可能的密鑰

5、去試譯密文，直到得到有意義的明文的方法分析法分析法是指通過(guò)數(shù)學(xué)關(guān)系式或統(tǒng)計(jì)規(guī)律找出明文或與明文相關(guān)的有用信息的破譯方法。密碼的可破可破與不可破不可破。如果一個(gè)密碼在規(guī)定的時(shí)間內(nèi)，通過(guò)密文能確定明文或密鑰，或通過(guò)一定量的明文與密文的對(duì)應(yīng)關(guān)系能確定密鑰，則稱(chēng)這個(gè)密碼是可破可破的；否則，稱(chēng)密碼是不可破不可破的。7.2 信息加密7.2.2 密碼的基本概念一個(gè)密碼通信系統(tǒng)可用下圖表示： 7.2 信息加密圖圖7.2 7.2 密碼通信系統(tǒng)框圖密碼通信系統(tǒng)框圖7.2.3 密碼技術(shù)的分類(lèi)1按應(yīng)用技術(shù)或歷史發(fā)展階段劃分 （1）手工密碼 （2）機(jī)械密碼 （3）電子機(jī)內(nèi)亂密碼 （4）計(jì)算機(jī)密碼 2按保密程度劃分 （1

6、）理論上保密的密碼 （2）實(shí)際上保密的密碼 （3）不保密的密碼 3按密鑰方式劃分 （1）對(duì)稱(chēng)式密碼 （2）非對(duì)稱(chēng)式密碼 4按明文形態(tài)分 （1）模擬型密碼 （2）數(shù)字型密碼 7.2 信息加密7.2.3 密碼技術(shù)的分類(lèi)三種基本原理：移位移位、代替代替和置換置換。 與信息管理密切相關(guān)的安全理論 ：(1)分組密碼算法分組密碼算法 將明文按一定的位長(zhǎng)分組，輸出也是固定長(zhǎng)度的密文。(2)公開(kāi)密鑰密碼算法公開(kāi)密鑰密碼算法 加密密鑰和解密密鑰相分離，將加密密鑰和算法公諸于眾， 只保密解密密鑰。(3)非密碼的安全理論和技術(shù)非密碼的安全理論和技術(shù) 包括信息隱形、量子密碼和基于生物特征的識(shí)別理論與技術(shù)。7.2 信息

7、加密7.2.4 密碼系統(tǒng)的設(shè)計(jì)原則(1) 易操作原則易操作原則。對(duì)合法的通信雙方來(lái)說(shuō)加密和解密變 換是容易的。 (2) 不可破原則不可破原則。指該密碼體制在理論上或?qū)嶋H上是不 可破解的。 (3) 整體安全原則整體安全原則。部分信息丟失不會(huì)影響整個(gè)系統(tǒng)的 安全性。(4) 柯克霍夫斯原則柯克霍夫斯原則。密碼系統(tǒng)中的算法即使為密碼分 析員所知，也應(yīng)該無(wú)助于用來(lái)推導(dǎo)明文或密鑰。(5) 與計(jì)算機(jī)和通信系統(tǒng)匹配原則與計(jì)算機(jī)和通信系統(tǒng)匹配原則。要求密碼系統(tǒng)不是 孤立存在的，可以在計(jì)算機(jī)或通信系統(tǒng)中使用。7.2 信息加密7.2.5 傳統(tǒng)的加密技術(shù)(1) 代碼加密代碼加密 使用通信雙方預(yù)先設(shè)定的一組代碼。 (2

8、) 替換加密替換加密 明文中的每個(gè)字母或每組字母被替換成另一個(gè)或一組字母。(3) 變位加密變位加密 將字符重新排序。(4) 一次一密亂碼本加密一次一密亂碼本加密 使用隨機(jī)密鑰字母集。 特點(diǎn)：一次性；隨機(jī)性；長(zhǎng)度相等；同步性； 不可破譯性。7.2 信息加密根據(jù)密鑰的特點(diǎn)，密碼體制分為:（1 1）對(duì)稱(chēng)密鑰密碼體制）對(duì)稱(chēng)密鑰密碼體制 加密密鑰與解密密鑰是相同的或從一個(gè)容易推出另一個(gè)。（2 2）公鑰密碼體制）公鑰密碼體制 加密密鑰與解密密鑰是不同的或從一個(gè)很難推出另一個(gè)。根據(jù)加密的不同方式，對(duì)稱(chēng)密鑰密碼可分為：（1 1）流密碼）流密碼 將明文按字符一個(gè)一個(gè)地加密。（2 2）分組密碼）分組密碼 將明文分

9、成若干個(gè)組，每組含多個(gè)字符，一組一組地加密。7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.1 流密碼（序列密碼）1 1流密碼簡(jiǎn)述流密碼簡(jiǎn)述在流密碼中，將明文m寫(xiě)成連續(xù)的符號(hào)，利用密鑰流中的第i個(gè)元素 ki 對(duì)應(yīng)明文中的第i個(gè)元素 mi 進(jìn)行加密，若加密變換為e，則加密后的密文為： 設(shè)與加密變換e對(duì)應(yīng)的解密變換為d，其中d滿(mǎn)足： 則通過(guò)解密運(yùn)算可譯得明文為:7.3 對(duì)稱(chēng)密鑰密碼算法 )()()()(2121iikkkkkmemememec, 2 , 1,)(immediikkii2121)()()(2211mmmedmedcdmkkkkk7.3.1 流密碼（序列密碼）1 1流密碼簡(jiǎn)述流密碼簡(jiǎn)述流密碼通信框圖

10、如圖7.3所示。7.3 對(duì)稱(chēng)密鑰密碼算法 加密算法加密算法e密文密文ci=ek(mi)解密算法解密算法d明文明文mi=dk(ci)明文明文mi密鑰密鑰ki密鑰密鑰ki圖圖7.3 7.3 流密碼通信模式框圖流密碼通信模式框圖例例7.1 設(shè)明文、密鑰、密文都是f2上的二元數(shù)字序列，明文 m=m1m2，密鑰為k=k1k2，若加密變換與解密變換都是 f2中的模2加法，試寫(xiě)出加密過(guò)程與解密過(guò)程。 解解 經(jīng)加密變換得密文： c = ek (m) = ek1(m1)ek2(m2) = (k1+m1) (k2+m2) 經(jīng)解密變換得： dk (c) = dk (k1+m1)(k2+m2) = (k1+k1+m1

11、)(k2+k2+m2) 由于kif2，則 ki+ki=0，i=1,2,，故 dk (c)= m1m2 = m 。 密文c 可由明文m與密鑰k進(jìn)行模模2 2加加獲得。因此要用該密碼系統(tǒng)通信就要求每發(fā)送一條消息都要產(chǎn)生一個(gè)新的密鑰并在一個(gè)安全的信道上傳送，習(xí)慣上人們稱(chēng)這種通信系統(tǒng)為“一次一次一密系統(tǒng)一密系統(tǒng)”。7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.1 流密碼（序列密碼）2 2密鑰流生成器密鑰流生成器構(gòu)造密鑰流生成器是流密碼最核心的內(nèi)容。由于大部分密碼是基于世界上公開(kāi)的數(shù)學(xué)難題，所以造成大多數(shù)密鑰流生成器的不安全性。在流密碼中，如果密鑰流經(jīng)過(guò)d個(gè)符號(hào)之后重復(fù)，則稱(chēng)該流密碼是周期周期的，否則稱(chēng)之為非周期非

12、周期的。密鑰流元素kj 的產(chǎn)生由第 j 時(shí)刻流密碼的內(nèi)部狀態(tài)sj 和實(shí)際密鑰 k 所決定，記為kj = f (k, sj)。加密變換ekj與解密變換dkj都是時(shí)變的，其時(shí)變性由加密器或解密器中的記憶文件來(lái)保證。7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.1 流密碼（序列密碼）2 2密鑰流生成器密鑰流生成器加密器中存儲(chǔ)器的狀態(tài)s 隨時(shí)間變化而變化，這種變化可用狀態(tài)轉(zhuǎn)移函數(shù) fs 表示。如果 fs 與輸入的明文無(wú)關(guān)，則密鑰流 kj = f (k，sj) 與明文無(wú)關(guān)， j=1，2，從而 j 時(shí)刻輸出的密文 cj = ekj(mj) 與 j 時(shí)刻之前的明文也無(wú)關(guān)，稱(chēng)此種流密碼為同步流密碼同步流密碼。在同步流密碼

13、中，只要發(fā)送端和接收端有相同的實(shí)際密鑰和內(nèi)部狀態(tài)，就能產(chǎn)生相同的密鑰流，此時(shí)稱(chēng)發(fā)送端和接收端的密鑰生成器是同步的。一旦不同步，解密工作立即失敗。如果狀態(tài)轉(zhuǎn)移函數(shù) fs 與輸入的明文符號(hào)有關(guān)，則稱(chēng)該流密碼為自同步流密碼自同步流密碼。7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.1 流密碼（序列密碼）2 2密鑰流生成器密鑰流生成器目前應(yīng)用最廣泛最廣泛的流密碼是同步流密碼同步流密碼。一個(gè)同步流密碼是否具有很高的密碼強(qiáng)度密碼強(qiáng)度主要取決于密鑰流取決于密鑰流生成器的設(shè)計(jì)生成器的設(shè)計(jì)。 密鑰流生成器的目的目的是由一個(gè)短的隨機(jī)密鑰(也稱(chēng)實(shí)際密鑰或種子密鑰) k 生成一個(gè)長(zhǎng)的密鑰流，用這個(gè)長(zhǎng)的密鑰流對(duì)明文加密或?qū)γ芪慕饷?/p>

14、，從而使一個(gè)短的密鑰可用來(lái)加密更長(zhǎng)的明文或解密更長(zhǎng)的密文的目的。 7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.1 流密碼（序列密碼）3收縮密鑰流生成器收縮密鑰流生成器n 級(jí)移位寄存器級(jí)移位寄存器 （見(jiàn)下圖）（見(jiàn)下圖）開(kāi)始時(shí)，設(shè)第開(kāi)始時(shí)，設(shè)第1級(jí)內(nèi)容是級(jí)內(nèi)容是 an-1，第，第2級(jí)內(nèi)容是級(jí)內(nèi)容是 an-2 , , 第第n 級(jí)內(nèi)容是級(jí)內(nèi)容是 a0，則稱(chēng)這個(gè)寄存器的初始狀態(tài)是則稱(chēng)這個(gè)寄存器的初始狀態(tài)是 (a0, a1, , an-1)。當(dāng)加上一個(gè)脈沖時(shí)，每個(gè)寄存器的內(nèi)容移給下一級(jí)，第當(dāng)加上一個(gè)脈沖時(shí)，每個(gè)寄存器的內(nèi)容移給下一級(jí)，第 n 級(jí)內(nèi)容輸出，級(jí)內(nèi)容輸出，同時(shí)將各級(jí)內(nèi)容送給運(yùn)算器同時(shí)將各級(jí)內(nèi)容送給運(yùn)算器

15、f (x0, x1, , xn-1) ，并將運(yùn)算器的結(jié)果，并將運(yùn)算器的結(jié)果 an= f (a0 , a1 , , an-1) 反饋到第一級(jí)去。這樣這個(gè)移位寄存器的狀態(tài)就是反饋到第一級(jí)去。這樣這個(gè)移位寄存器的狀態(tài)就是 (a1 , a2 , , an)，而輸出是，而輸出是a0 。不斷地加脈沖，上述不斷地加脈沖，上述 n 級(jí)移位寄存器的輸出就是一個(gè)二元級(jí)移位寄存器的輸出就是一個(gè)二元(或或q元元)序列：序列： a0 , a1, a2 , 7.3 對(duì)稱(chēng)密鑰密碼算法 寄存器寄存器 1寄存器寄存器 2寄存器寄存器 3寄存器寄存器 nf (x0, x1, , xn-1)7.3.1 流密碼（序列密碼）3收縮密鑰

16、流生成器收縮密鑰流生成器移位寄存器產(chǎn)生的序列都是周期序列，周期都不大于2n。例例7.2 右圖是一個(gè)4級(jí)線(xiàn)性移位寄存器。給定初狀態(tài) (0001) ， 求該移位寄存器產(chǎn)生的周期序列。 解解 易見(jiàn) f (x0，x1，x2，x3) = x0 + x1， 因此對(duì) k4 有 ak = ak-3+ ak-4 從而該4級(jí)移位寄存器產(chǎn)生的序列是周期15的序列： 000100110101111 由例7.2知，移位寄存器(簡(jiǎn)記sr，shifted register)可由短的序列生成具有一定規(guī)律的長(zhǎng)序列。這種序列便可以作為密鑰流序列，但抗攻擊能力較差。7.3 對(duì)稱(chēng)密鑰密碼算法 +7.3.1 流密碼（序列密碼）3收縮密

17、鑰流生成器收縮密鑰流生成器收縮密鑰流生成器（見(jiàn)右圖）收縮密鑰流生成器（見(jiàn)右圖）通常的密鑰流生成器都是由若干個(gè)移位寄存器并聯(lián)，并且與特殊的電子電路組合而成。上圖為由兩個(gè)移位寄存器構(gòu)成的收縮密鑰流生成器收縮密鑰流生成器，通過(guò) sr1 的輸出選擇 sr2 的輸出來(lái)生成密鑰流，其工作模式如下：l輸入?yún)?shù)：兩個(gè)移位寄存器的級(jí)數(shù)及反饋函數(shù)l密鑰：兩個(gè)移位寄存器的初始狀態(tài) (1) 移位sr1 并產(chǎn)生 yi(1) ；同時(shí)移位sr2 并產(chǎn)生 yi(2) ； (2) 如果 yi(1) =1，則輸出密鑰元素ki = yi(2) ； 如果 yi(1) =0，則刪去 yi(2)，i =1, 2, ，不輸出。l由此收縮生

18、成器產(chǎn)生的密鑰流為ki | i1。7.3 對(duì)稱(chēng)密鑰密碼算法 sr 1sr 2yi (1)輸出輸出k kiyi (2)7.3.2 分組密碼1. 1. 分組密碼體系的概念分組密碼體系的概念分組密碼將明文按一定的位長(zhǎng)分組，輸出是固定長(zhǎng)度的密文。 分組密碼的優(yōu)點(diǎn)是：密鑰可以在一定時(shí)間內(nèi)固定，不必每次變換，因此給密鑰配發(fā)帶來(lái)了方便。2. 2. 分組密碼通信模式（見(jiàn)圖分組密碼通信模式（見(jiàn)圖7.77.7）7.3 對(duì)稱(chēng)密鑰密碼算法 加密算法加密算法解密算法解密算法明文明文x=(x1, x2, )密文密文y=(y1, y2, , yn )明文明文x=(x1, x2, )密鑰密鑰k=(k1, k2, )密鑰密鑰k

19、=(k1, k2, )圖圖7.7 分組密碼通信模式圖分組密碼通信模式圖7.3.2 分組密碼2. 2. 分組密碼通信模式分組密碼通信模式u分組密碼與流密碼的不同之處在于輸出的每一位數(shù)字不是只與相應(yīng)時(shí)刻輸入的明文數(shù)字有關(guān)，而是與一組長(zhǎng)為m的明文數(shù)字有關(guān)。u在分組密碼通信中，通常明文與密文長(zhǎng)度相等，稱(chēng)該長(zhǎng)度為分組長(zhǎng)度。7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.3 des算法des (data encryption standard) 是由ibm公司在20世紀(jì)70年代研制的，經(jīng)過(guò)政府的加密標(biāo)準(zhǔn)篩選后，于1976年11月被美國(guó)政府采用，隨后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ansi)所認(rèn)可。 des算法具有以

20、下特點(diǎn)： （1）des算法是分組加密算法：以64位為分組。 （2）des算法是對(duì)稱(chēng)算法：加密和解密用同一密鑰。 （3）des算法的有效密鑰長(zhǎng)度為56位。 （4）換位和置換。 （5）易于實(shí)現(xiàn)。7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.3 des算法1. 1. des的基本原理的基本原理des采用傳統(tǒng)的換位換位和置換置換的方法進(jìn)行加密，在56bit密鑰的控制下，將64bit明文塊變換為64bit密文塊，加密過(guò)程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位).總體過(guò)程總體過(guò)程如下：在初始置換ip后，明文組被分為左右兩部分，每部分32位，以 l0 , r0 表示；經(jīng)過(guò)16輪運(yùn)算，將數(shù)據(jù)和密鑰結(jié)

21、合；16輪后，左、右兩部分連接在一起；經(jīng)過(guò)末置換(初始置換的逆置換)，算法完成。(見(jiàn)圖7.8)des加密算法又可以簡(jiǎn)單地用下式表示： ek (m) = ip -1t16t15 t1ip (m)7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.3 des算法2. 2. 初始變換和逆初始變換初始變換和逆初始變換初始變換是一個(gè)位變換，是將順序排列的64bit根據(jù)表7.1進(jìn)行處理，即將順序排列的64bit序列 t1t2t3t64 變換成 t58t50t15t7 。逆初始變換用表7.2進(jìn)行，它是表7.1的逆過(guò)程。7.3 對(duì)稱(chēng)密鑰密碼算法 7.3.3 des算法3 3. . g 函數(shù)的設(shè)計(jì)函數(shù)函數(shù)的設(shè)計(jì)函數(shù)g(ri-1，

22、ki) 的結(jié)構(gòu)如圖7.9所示。首先用位選擇表7.3中的e表將ri-1擴(kuò)展成48位二進(jìn)制塊e(ri-1)，即 ri-1 = r1 r2r31 r32 ， e(ri) = r32 r1r31 r32 r1然后與ki進(jìn)行異或運(yùn)算，接著將所得的48位數(shù)分成8個(gè)6位數(shù)，記為bi (i=1, 2, 8)，此處，每個(gè)6位子塊都是選擇函數(shù)s的輸入（即后面介紹的s盒），其輸出是一個(gè)4位二進(jìn)制塊s(b)。 e(ri-1) ki =b1 b2b8把這些子塊合成32 位二進(jìn)制塊之后，用換位表p (表7.4) 將它變換成 p(s1(b1)s8(b8) ，這就是函數(shù) g(ri-1, ki) 的輸出。 7.3 對(duì)稱(chēng)密鑰密碼

23、算法 7.3.3 des算法4. 4. 選擇函數(shù)選擇函數(shù)s盒的算法盒的算法每個(gè)sj 將一個(gè)6位塊 bj =b1b2b3b4b5b6 轉(zhuǎn)換為一個(gè)4位塊，根據(jù)表7.5選擇函數(shù)組 s1, s8。與b1b6相對(duì)應(yīng)的整數(shù)確定表中的列號(hào)，用與b2b3b4b5相對(duì)應(yīng)的整數(shù)確定表中的行號(hào)，則sj(bj)的值就是位于該行和該列的數(shù)的4位二進(jìn)制表示形式。 7.3 對(duì)稱(chēng)密鑰密碼算法 s1s2s3s4s5s6s7s8d 0 123012301230123012301 23012301230 14 04 15 15 13 0 13 10 13 13 17 13 10 32 14 4 11 12 10 944 13 16

24、 13 17214 15 1 12 1 13 14 8076 10 13 86 15 12 11 281 15 13 3 11 04 11 2 15 11 12 13 7 14 8847 10 904 13 14 11 90421 12 10 4 15 22 11 11 13 8 13 4 1431 482 14 7 11 1 14 99035061 12 11 7 15 2 5 12 14 7 13 8481742 14 13 46 15 10 3638606 12 10 74 10 197 29 15 4 12 16 10 945 15 269 11 24 15 34 15 96 15 1

25、1 1 10 7 13 14 2 12 850934 15 3 12 106 11 13 2138 13 4 15 638907 13 11 13 7269 12 15 817 10 11 7 14 878 1 11 74 14 125 10 07 10 3 13 8618 13 85 3 10 13 10 14 7142 1383 10 15 59 12 5 11 12 11 414 15 985 15 606 7 11 3 14 10 9 10 12 0 159 10 6 12 11 7086 13 81 15 2714509 15 13 1 0 14 12 3 15 5956210 6

26、12 9321 12 7 12 52 14 82353 15 12 03 13 41956036 10 911 12 11 7 14 13 10 6 12 7 14 12 35 12 14 11 15 10 594 14 10 77 12 8 15 14 11 13 012 5 93 10 12 690 11 12 5 11 11 15 12 13 36 10 14 0 16520 14 50 15 313 9 5 10 009354 11 10 5 12 10 2709347 11 13 0 10 15 520 14 3514 0 3565 11 2 14 2 15 14 24 14 82

27、14 80553 11 86893 12 95615 7 80 13 10 5 15 9817 12 15 94 14 96 14 3 11 86 13 162 12 728 11表表7.5 選擇函數(shù)選擇函數(shù)s盒表盒表例例7.3 s盒應(yīng)用實(shí)例：設(shè)b1=101100， 則s1(b1)的值位于列號(hào)為2的列和行號(hào)為6的行，即等于2， 因此s1(b1)的輸出是0010。7.3.3 des算法5. 5. 子密鑰子密鑰 ki 的產(chǎn)生的產(chǎn)生是由初始密鑰推導(dǎo)出子密鑰 ki 的過(guò)程。初始密鑰k是一個(gè)64位二進(jìn)制塊，其中 8位是奇偶校驗(yàn)位，分別位于第8,16, 32,40,48,64位。置換選擇函數(shù)pc-1將這些

28、奇偶校驗(yàn)位去掉，并把剩下的 56位進(jìn)行換7.3 對(duì)稱(chēng)密鑰密碼算法 密鑰(64位)57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 2719 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 2214 6 61 53 45 37 29 21 13 5 28 20 12 4c0(28位)d0(28位)位，換位后的結(jié)果被分成兩半，如圖7.10 所示。7.3.3 des算法5. 5. 子密鑰子密鑰 ki 的產(chǎn)生的產(chǎn)生令ci 和di 分別表示推導(dǎo)ki 時(shí)所用的c和d的值，有如下的變

29、換公式： ci =lsi (ci-1) ， di =lsi (di-1)此處是lsi 循環(huán)左移位變換，其中 ls1、ls2、ls9 和ls16 是循環(huán)左移1位變換，其余的lsi 是循環(huán)左移2位變換。圖7.10的c0和d0是c和d的初始值，顯然， c0 =k57 k49k44 k36 ， d0 =k63 k55 k12 k47.3 對(duì)稱(chēng)密鑰密碼算法 7.3.3 des算法5. 5. 子密鑰子密鑰 ki 的產(chǎn)生的產(chǎn)生按圖7.11置換選擇函數(shù)pc-2，最后通過(guò)置換選擇函數(shù)pc-2，得出： ki =pc-2(ci，di)7.3 對(duì)稱(chēng)密鑰密碼算法 圖圖7.11 置換選擇函數(shù)置換選擇函數(shù)pc-2ci(28

30、位)di(28位)14 17 11 24 1 5 3 28 15 6 21 1023 19 12 4 26 816 7 27 20 13 241 52 31 37 47 5530 40 51 45 33 4844 49 39 56 34 5346 42 50 36 29 32ki(48位)7.3.3 des算法6. 6. des 解密算法解密算法算法：n(ek) = ip -1t1t2 t16ip ek (m)des的缺點(diǎn)主要有： des的56位的密鑰長(zhǎng)度可能太小； des的迭代次數(shù)太大； s盒(即代替函數(shù)s)中可能有不安全因素； des的一些關(guān)鍵部分應(yīng)保密(如s盒設(shè)計(jì))。des的安全性完全依

31、賴(lài)于所用的密鑰。 7.3 對(duì)稱(chēng)密鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理1. 1. 設(shè)計(jì)公鑰密碼體制的基本原理設(shè)計(jì)公鑰密碼體制的基本原理 在公鑰密碼中，解密密鑰和加密密鑰不同，從一個(gè)難于推出另一個(gè)，解密和加密是可分離的，加密密鑰是可以公開(kāi)的。 核心問(wèn)題是找一個(gè)陷門(mén)單向函數(shù)。 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理1. 1. 設(shè)計(jì)公鑰密碼體制的基本原理設(shè)計(jì)公鑰密碼體制的基本原理 如果函數(shù) f(x) 滿(mǎn)足以下條件： (1) 對(duì) f(x) 的定義域中的任意 x，都容易計(jì)算函數(shù)值 f(x); (2) 對(duì)于 f(x) 的值域中的幾乎所有的 y，即使已知 f 要計(jì)算

32、 f -1(y)也是不可行的； 則稱(chēng) f(x)是單向函數(shù)(one-way function)。若給定某些輔助信息時(shí)又容易計(jì)算單向函數(shù) f 的逆 f -1 ，則稱(chēng) f(x)是一個(gè)陷門(mén)單向函數(shù)陷門(mén)單向函數(shù)。這一輔助信息就是秘密的解密密鑰。這就是設(shè)計(jì)公鑰密碼體制的基本原理基本原理。 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理2. 2. 公鑰密碼體制公鑰密碼體制公鑰密碼體制稱(chēng)為雙密鑰密碼體制雙密鑰密碼體制或非對(duì)稱(chēng)密碼體制非對(duì)稱(chēng)密碼體制.將序列密碼和分組密碼等稱(chēng)為單密鑰密碼體制單密鑰密碼體制或?qū)ΨQ(chēng)對(duì)稱(chēng)密鑰密碼體制密鑰密碼體制。單鑰加密單鑰加密中使用的密鑰稱(chēng)為秘密密鑰秘密密鑰(sec

33、ret key)。公開(kāi)密鑰加密公開(kāi)密鑰加密中使用的兩個(gè)密鑰分別稱(chēng)為公開(kāi)密鑰公開(kāi)密鑰(public key) 和私有密鑰私有密鑰(private key)。 公開(kāi)密鑰的應(yīng)用 ： (1)加密和解密；(2)數(shù)字簽名；(3)密鑰交換。 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理3. 3. 公開(kāi)密鑰密碼系統(tǒng)原理公開(kāi)密鑰密碼系統(tǒng)原理 公開(kāi)密鑰算法用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)不同但是相關(guān)的密鑰進(jìn)行解密： 僅僅知道密碼算法和加密密鑰而要確定解密密 鑰，在計(jì)算上是不可能的； 兩個(gè)相關(guān)密鑰中任何一個(gè)都可以用作加密而讓另 外一個(gè)解密。4.4.公鑰密碼體制的安全性公鑰密碼體制的安全性（計(jì)算安全

34、性） 是由公鑰密碼算法中求陷門(mén)單向函數(shù)的逆的復(fù)雜性 決定的。 7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)1. 1. rsa算法簡(jiǎn)單描述算法簡(jiǎn)單描述實(shí)現(xiàn)步驟實(shí)現(xiàn)步驟： b尋找出兩個(gè)大素?cái)?shù) p 和 q。 b計(jì)算出 n = pq 和 (n) = (p-1)(q-1)。 b選擇一個(gè)隨機(jī)數(shù) b (0b(n)，滿(mǎn)足 (b, (n) =1 (即 b 和 (n) 互素)。 b使用euclidean (歐幾里得)算法計(jì)算 a = b-1(mod (n)。 b在目錄中公開(kāi)n和b作為他的公開(kāi)密鑰，保密保密 p、q 和和 a。 加密時(shí)，對(duì)每一明文m 計(jì)算密文：c = mb (mod n) 解密時(shí)，對(duì)每一密文c

35、計(jì)算明文： m = c a (mod n) 7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)rsa算法主要用于數(shù)據(jù)加密數(shù)據(jù)加密和數(shù)字簽名數(shù)字簽名。rsa算法用于數(shù)字簽名時(shí)，公鑰和私鑰的角色可變換，即將消息用 a 加密加密簽名，用 b 驗(yàn)證驗(yàn)證簽名。2 2rsarsa算法實(shí)例算法實(shí)例（見(jiàn)例7.4）7.4 公鑰密碼算法 u例例7. 4 假定用戶(hù)b選擇兩個(gè)素?cái)?shù) p =3，q =11，則 n=pq=33， (n) =(3-1)(11-1) =20。取 b =3，顯然 (b, (n) = (3, 20) =1， 再由euclidean算法，對(duì) az33=0,1,32，a =b-1(mod20), 在本例

36、中求出 a =7 或 a =27。一般地，a的值不是唯一的，這里選 a =7，即b公開(kāi) n =33 和 b =3，保密 p =3，q=11 和 a =7。 現(xiàn)在用戶(hù)a想把明文 m =19 發(fā)送給b。 a加密明文 m =19，得密文： c =ek (m) m b (mod n) 193(mod 33) =28 a在公開(kāi)信道上將加密后的密文c =28發(fā)送給b，當(dāng)b收到密文 c =28時(shí)，解密可得： m=c a (mod n) = 287 (mod 33) = 19 從而b得到a發(fā)送的明文 m =19。 7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)rsa算法的基本原理基本原理可歸納如下： 設(shè) p

37、,q 是兩個(gè)不同的奇素?cái)?shù),n= pq,則 (n)=(p-1)(q-1), 密鑰 k =(n, p, q, a, b) | ab1(mod (n)，a, bzn , (b, (n)=1，0b(n)， 對(duì)每一個(gè) k = (n, p, q, a, b)， 定義加密變換為：ek (x) x b (mod n)，xzn 定義解密變換為：dk (y) y a (mod n)，yznrsa密碼體制是公開(kāi)加密密鑰 n 與 b，保密解密密鑰 a以及輔助信息 p 與 q。7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)3 3rsa的安全性的安全性rsa算法的理論基礎(chǔ)理論基礎(chǔ)是一種特殊的可逆模指數(shù)運(yùn)算，它的安全性是

38、基于分解大整數(shù) n的困難性。 三種可能攻擊rsa算法的方法是： 強(qiáng)行攻擊：這包含對(duì)所有的私有密鑰都進(jìn)行嘗試; 數(shù)學(xué)攻擊：因子分解； 定時(shí)攻擊：這依賴(lài)于解密算法的運(yùn)行時(shí)間。要求：不要隨便提交；不要隨便共享 n； 利用隨機(jī)信息。7.4 公鑰密碼算法 7.5.1 數(shù)字簽名概述數(shù)字簽名就是防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞以及如何確定發(fā)信人的身份的手段。數(shù)字簽名主要利用公鑰密碼公鑰密碼技術(shù)。數(shù)字簽名經(jīng)過(guò)長(zhǎng)時(shí)間的研究，已經(jīng)有了自己的研究體系，形成了自己的理論框架。 目前已有 rsa、橢圓曲線(xiàn)等經(jīng)典簽名，也有盲簽名、代理簽名、群簽名、不可否認(rèn)簽名、公平盲簽名、門(mén)限簽名、具有消息恢復(fù)功能的簽名等與具體應(yīng)用環(huán)境密切

39、相關(guān)的特殊簽名。 7.5 數(shù)字簽名技術(shù) 7.5.2 數(shù)字簽名的概念和特點(diǎn)1. 1. 數(shù)字簽名的特點(diǎn)數(shù)字簽名的特點(diǎn)作用： 第一，信息是由簽名者發(fā)送的； 第二，信息自簽發(fā)后到收到為止未曾做過(guò)任何修改; 第三，如果 a 否認(rèn)對(duì)信息的簽名，可以通過(guò)仲裁解 決 a 和 b 之間的爭(zhēng)議。數(shù)字簽名特殊性：隨文本的變化而變化；與文本信息是不可分割的。 完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴(lài)、他人不能偽造、在公證人面前能夠驗(yàn)證真?zhèn)蔚哪芰Α?7.5 數(shù)字簽名技術(shù) 7.5.2 數(shù)字簽名的概念和特點(diǎn)2.2. 數(shù)字簽名的形式化定義數(shù)字簽名的形式化定義個(gè)簽名方案由簽署算法與驗(yàn)證算法兩部分構(gòu)成，可用五元關(guān)系組（p，a，k，s，

40、v）進(jìn)行形式化表示。簽名者收到(x, s)后，計(jì)算verk(x, y)，若 y=sigk(x)，則verk(x, y) =真；若 ysigk(x)，則verk(x, y)=假。 3. 3. 數(shù)字簽名的功能數(shù)字簽名的功能 (1)身份認(rèn)證 (2)保密 (3)完整性 (4)不可抵賴(lài) 4 4電子簽名的法律地位電子簽名的法律地位7.5 數(shù)字簽名技術(shù) 7.5.3 數(shù)字簽名方案的分類(lèi)1 1基于數(shù)學(xué)難題的分類(lèi)基于數(shù)學(xué)難題的分類(lèi) （1）基于離散對(duì)數(shù)問(wèn)題的簽名方案 （2）基于素因子分解問(wèn)題的簽名方案（3）上述兩種的結(jié)合簽名方案 2 2基于簽名用戶(hù)的分類(lèi)基于簽名用戶(hù)的分類(lèi)（1）單個(gè)用戶(hù)簽名的數(shù)字簽名方案（2）多個(gè)用

41、戶(hù)的數(shù)字簽名方案。7.5 數(shù)字簽名技術(shù) 7.5.3 數(shù)字簽名方案的分類(lèi)3 3基于數(shù)字簽名所具有特性的分類(lèi)基于數(shù)字簽名所具有特性的分類(lèi) （1）不具有自動(dòng)恢復(fù)特性的數(shù)字簽名方案 （2）具有消息自動(dòng)恢復(fù)特性的數(shù)字簽名方案4 4基于數(shù)字簽名所涉及的通信角色分類(lèi)基于數(shù)字簽名所涉及的通信角色分類(lèi)（1）直接數(shù)字簽名（2）需仲裁的數(shù)字簽名7.5 數(shù)字簽名技術(shù) 7.5.4 數(shù)字簽名的使用模式目前使用的電子簽名主要有三種模式： (1) 智慧卡式 (2) 密碼式 (3) 生物測(cè)定式實(shí)際應(yīng)用過(guò)程中，大都是將以上兩種或三種數(shù)字簽名技術(shù)結(jié)合在一起，這樣可提高電子簽名的安全和可靠性。7.5 數(shù)字簽名技術(shù) 7.5.5 數(shù)字簽

42、名使用原理7.5 數(shù)字簽名技術(shù) 數(shù)字簽名和驗(yàn)證的步驟：數(shù)字簽名和驗(yàn)證的步驟：明文數(shù)字摘要1加密后的數(shù)字簽名加密后的數(shù)字簽名hash函數(shù)發(fā)送方私鑰加密明文密文會(huì)話(huà)密鑰加密（對(duì)稱(chēng)加密）會(huì)話(huà)密鑰加密后的會(huì)話(huà)密鑰接收方公鑰加密數(shù)字摘要1發(fā)送方公鑰解密明文數(shù)字摘要2hash函數(shù)會(huì)話(huà)密鑰原文接收方私鑰解密是否相同？相同不相同文件內(nèi)容完整文件內(nèi)容被篡改解密比較發(fā)送方發(fā)送方接收方接收方7.5.6 常規(guī)數(shù)字簽名方法1rsa簽名方案rsa簽名方案是利用rsa公鑰密碼體制建立的一種實(shí)用的數(shù)字簽名方案。簽名算法 驗(yàn)證算法 2oss簽名方案 oss簽名方案也是一種公鑰體制的簽名方案，這種方案是由ong，schnorr和

43、shamir三人在1985年提出的。簽名算法 驗(yàn)證算法7.5 數(shù)字簽名技術(shù) 7.5.7 數(shù)字簽名的發(fā)展與挑戰(zhàn)目前幾乎所有的公鑰密碼體制都是基于以下三種數(shù)學(xué)疑難問(wèn)題之一：(1) 背包問(wèn)題(2) 離散對(duì)數(shù)問(wèn)題 (3) 因子分解問(wèn)題數(shù)字簽名方案基于如此狹窄的數(shù)學(xué)基礎(chǔ)令人擔(dān)憂(yōu)，以上數(shù)學(xué)難題取得突破性進(jìn)展，所有公開(kāi)密鑰體制以及以公開(kāi)密鑰體制為基礎(chǔ)的數(shù)字簽名方案將不再安全。目前只有使用充分大的數(shù)來(lái)保證其安全性。 7.5 數(shù)字簽名技術(shù) 7.6.1 識(shí)別協(xié)議概述 識(shí)別協(xié)議所要解決的問(wèn)題：使用戶(hù)a既能進(jìn)入計(jì)算機(jī)又不泄露用戶(hù)a的任何識(shí)別信息？一個(gè)安全的識(shí)別協(xié)議至少應(yīng)滿(mǎn)足以下兩個(gè)條件：(1) 用戶(hù)a能向驗(yàn)證者b證明

44、他的確是a；(2) 用戶(hù)a向驗(yàn)證者b證明自己的身份時(shí)，沒(méi)有讓驗(yàn)證 者b獲得任何有用的信息，b不能模仿a向其他人證明他 是用戶(hù)a。從實(shí)用角度講，一個(gè)安全識(shí)別協(xié)議的設(shè)計(jì)應(yīng)該越簡(jiǎn) 單越好，而且需要的計(jì)算量和儲(chǔ)存量都要盡可能小，最好能在一個(gè)智能卡上實(shí)現(xiàn)。 7.6 識(shí)別協(xié)議 7.6.2 feige-fiat-shamir 識(shí)別協(xié)議識(shí)別協(xié)議一般是由數(shù)字簽名方案改進(jìn)而成的，相 反，每一個(gè)識(shí)別協(xié)議都可派生一個(gè)數(shù)字簽名方案。 feige-fiat-shamir識(shí)別協(xié)議是由一個(gè)屬于仲裁數(shù)字簽名方案改進(jìn)而成的。具體識(shí)別協(xié)議 以及過(guò)程見(jiàn)課本p224。7.6.3 改進(jìn)的feige-fiat-shamir 識(shí)別協(xié)議為了減少數(shù)據(jù)交換次數(shù)，增加每輪簽字的數(shù)量， feige，fiat和shamir三位設(shè)計(jì)者在1988年給出了改進(jìn)后的識(shí)別協(xié)議。 具體見(jiàn)課本p225 226 7.6 識(shí)別協(xié)議 7.7.1 密鑰管理的意義密碼體制、數(shù)字簽名以及識(shí)別協(xié)議的安全性算法的 安全性的前提是秘密密鑰是安全的，其他人是不知道的。一旦秘密密鑰丟失或出錯(cuò)，密碼體制、數(shù)字簽名和識(shí)別協(xié)議就不安全了。因此密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是極為重要。密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、分配、保護(hù)、保密等內(nèi)容。 7.7 密鑰管理 7.7.2 密鑰分類(lèi)與產(chǎn)生密鑰的主要種類(lèi)：用戶(hù)密鑰、會(huì)話(huà)密鑰、密鑰加密密鑰和