信息全與信息加密

1、7.1信息安全含義 7.2信息加密概述 7.3 對稱密鑰密碼算法 7.3.1 流密碼（序列密碼） 7.3.2 分組密碼 7.3.3 des算法 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計的基本原理 7.4.2 rsa加密系統(tǒng)7.5 數(shù)字簽名技術(shù) 第7章 信息安全與信息加密7.6 識別協(xié)議 7.6.1 識別協(xié)議概述 7.6.2 feige-fiat-shamir識別協(xié)議 7.6.3 改進(jìn)的feige-fiat-shamir識別協(xié)議7.7 密鑰管理 7.7.1 密鑰管理的意義 7.7.2 密鑰分類與產(chǎn)生 7.7.3 密鑰分配 7.7.4 密鑰保護(hù)和秘密共享7.8 pgp密鑰管理技術(shù)第7

2、章 信息安全與信息加密（1）掌握信息安全及信息加密的含義；（2）理解對稱密鑰密碼算法和公鑰密碼算法的基本 特點和基本原理；（3）理解和掌握dse和rsa加密算法；（4）理解和掌握數(shù)字簽名技術(shù)；（5）了解密鑰管理及其技術(shù)；（6）了解和掌握pgp程序的相關(guān)技術(shù)及應(yīng)用。學(xué)習(xí)目標(biāo)信息安全信息安全一般是指信息在通信、存貯或處理過程中是否得到妥善的、完好無損的保護(hù)，表現(xiàn)在信息不能被竊取、丟失、修改、錯誤投遞等，并可以追溯發(fā)信人。信息安全分為“信息體安全信息體安全”和“信息智安全信息智安全”(1) 信息體安全信息體安全是指信息本身在網(wǎng)絡(luò)域及其界面具有完整、真實、不可盜用、不可錯用以及可溯源的屬性。(2) 信

3、息智安全信息智安全是指信息內(nèi)涵，即信息體所攜帶的“智能或知識”與網(wǎng)絡(luò)智安全和社會意識形態(tài)的相容性。7.1 信息安全含義7.2.1 密碼技術(shù)簡史 古希臘 古埃及、巴比倫和美索不達(dá)米亞 羅馬 帝國時代 德國 現(xiàn)在。7.2.2 密碼的基本概念安全問題： 一是數(shù)據(jù)的保密性保密性，即防止非法地獲悉數(shù)據(jù)； 二是數(shù)據(jù)的完整性完整性，即防止非法地修改數(shù)據(jù)?，F(xiàn)代密碼學(xué) 加密、明文、明文空間、密文、密文空間、解密、 密鑰、密碼體制。7.2 信息加密7.2.2 密碼的基本概念密碼系統(tǒng)的兩個基本單元是算法算法和密鑰密鑰。算法算法是相對穩(wěn)定的，視為常量。密鑰密鑰則是不固定的，視為變量。密鑰安全性密鑰安全性是系統(tǒng)安全的關(guān)

4、鍵。 簡單加密和解密過程如下圖： 7.2 信息加密加密加密解密解密原來的明文原來的明文接收方接收方明文明文發(fā)送方發(fā)送方第三方第三方密文密文7.2.2 密碼的基本概念密碼通信通常會受到未授權(quán)者或非法入侵者的攻擊。分為被動攻擊被動攻擊和主動攻擊主動攻擊: :被動攻擊被動攻擊是指未授權(quán)者通過各種可能的手段獲取密文，并通過各種分析手段推斷出明文的過程，稱為破譯。主動攻擊主動攻擊是指非法入侵者通過各種手段進(jìn)入密碼通信系統(tǒng)，并通過可能的方法刪改、偽造信息，達(dá)到破壞密碼通信系統(tǒng)的目的。7.2 信息加密7.2.2 密碼的基本概念破譯或攻擊密碼的方法：窮舉法窮舉法和分析法分析法。窮舉法窮舉法是指用各種可能的密鑰

5、去試譯密文，直到得到有意義的明文的方法分析法分析法是指通過數(shù)學(xué)關(guān)系式或統(tǒng)計規(guī)律找出明文或與明文相關(guān)的有用信息的破譯方法。密碼的可破可破與不可破不可破。如果一個密碼在規(guī)定的時間內(nèi)，通過密文能確定明文或密鑰，或通過一定量的明文與密文的對應(yīng)關(guān)系能確定密鑰，則稱這個密碼是可破可破的；否則，稱密碼是不可破不可破的。7.2 信息加密7.2.2 密碼的基本概念一個密碼通信系統(tǒng)可用下圖表示： 7.2 信息加密圖圖7.2 7.2 密碼通信系統(tǒng)框圖密碼通信系統(tǒng)框圖7.2.3 密碼技術(shù)的分類1按應(yīng)用技術(shù)或歷史發(fā)展階段劃分 （1）手工密碼 （2）機(jī)械密碼 （3）電子機(jī)內(nèi)亂密碼 （4）計算機(jī)密碼 2按保密程度劃分 （1

6、）理論上保密的密碼 （2）實際上保密的密碼 （3）不保密的密碼 3按密鑰方式劃分 （1）對稱式密碼 （2）非對稱式密碼 4按明文形態(tài)分 （1）模擬型密碼 （2）數(shù)字型密碼 7.2 信息加密7.2.3 密碼技術(shù)的分類三種基本原理：移位移位、代替代替和置換置換。 與信息管理密切相關(guān)的安全理論 ：(1)分組密碼算法分組密碼算法 將明文按一定的位長分組，輸出也是固定長度的密文。(2)公開密鑰密碼算法公開密鑰密碼算法 加密密鑰和解密密鑰相分離，將加密密鑰和算法公諸于眾， 只保密解密密鑰。(3)非密碼的安全理論和技術(shù)非密碼的安全理論和技術(shù) 包括信息隱形、量子密碼和基于生物特征的識別理論與技術(shù)。7.2 信息

7、加密7.2.4 密碼系統(tǒng)的設(shè)計原則(1) 易操作原則易操作原則。對合法的通信雙方來說加密和解密變 換是容易的。 (2) 不可破原則不可破原則。指該密碼體制在理論上或?qū)嶋H上是不 可破解的。 (3) 整體安全原則整體安全原則。部分信息丟失不會影響整個系統(tǒng)的 安全性。(4) 柯克霍夫斯原則柯克霍夫斯原則。密碼系統(tǒng)中的算法即使為密碼分 析員所知，也應(yīng)該無助于用來推導(dǎo)明文或密鑰。(5) 與計算機(jī)和通信系統(tǒng)匹配原則與計算機(jī)和通信系統(tǒng)匹配原則。要求密碼系統(tǒng)不是 孤立存在的，可以在計算機(jī)或通信系統(tǒng)中使用。7.2 信息加密7.2.5 傳統(tǒng)的加密技術(shù)(1) 代碼加密代碼加密 使用通信雙方預(yù)先設(shè)定的一組代碼。 (2

8、) 替換加密替換加密 明文中的每個字母或每組字母被替換成另一個或一組字母。(3) 變位加密變位加密 將字符重新排序。(4) 一次一密亂碼本加密一次一密亂碼本加密 使用隨機(jī)密鑰字母集。 特點：一次性；隨機(jī)性；長度相等；同步性； 不可破譯性。7.2 信息加密根據(jù)密鑰的特點，密碼體制分為:（1 1）對稱密鑰密碼體制）對稱密鑰密碼體制 加密密鑰與解密密鑰是相同的或從一個容易推出另一個。（2 2）公鑰密碼體制）公鑰密碼體制 加密密鑰與解密密鑰是不同的或從一個很難推出另一個。根據(jù)加密的不同方式，對稱密鑰密碼可分為：（1 1）流密碼）流密碼 將明文按字符一個一個地加密。（2 2）分組密碼）分組密碼 將明文分

9、成若干個組，每組含多個字符，一組一組地加密。7.3 對稱密鑰密碼算法 7.3.1 流密碼（序列密碼）1 1流密碼簡述流密碼簡述在流密碼中，將明文m寫成連續(xù)的符號，利用密鑰流中的第i個元素 ki 對應(yīng)明文中的第i個元素 mi 進(jìn)行加密，若加密變換為e，則加密后的密文為： 設(shè)與加密變換e對應(yīng)的解密變換為d，其中d滿足： 則通過解密運(yùn)算可譯得明文為:7.3 對稱密鑰密碼算法 )()()()(2121iikkkkkmemememec, 2 , 1,)(immediikkii2121)()()(2211mmmedmedcdmkkkkk7.3.1 流密碼（序列密碼）1 1流密碼簡述流密碼簡述流密碼通信框圖

10、如圖7.3所示。7.3 對稱密鑰密碼算法 加密算法加密算法e密文密文ci=ek(mi)解密算法解密算法d明文明文mi=dk(ci)明文明文mi密鑰密鑰ki密鑰密鑰ki圖圖7.3 7.3 流密碼通信模式框圖流密碼通信模式框圖例例7.1 設(shè)明文、密鑰、密文都是f2上的二元數(shù)字序列，明文 m=m1m2，密鑰為k=k1k2，若加密變換與解密變換都是 f2中的模2加法，試寫出加密過程與解密過程。 解解 經(jīng)加密變換得密文： c = ek (m) = ek1(m1)ek2(m2) = (k1+m1) (k2+m2) 經(jīng)解密變換得： dk (c) = dk (k1+m1)(k2+m2) = (k1+k1+m1

11、)(k2+k2+m2) 由于kif2，則 ki+ki=0，i=1,2,，故 dk (c)= m1m2 = m 。 密文c 可由明文m與密鑰k進(jìn)行模模2 2加加獲得。因此要用該密碼系統(tǒng)通信就要求每發(fā)送一條消息都要產(chǎn)生一個新的密鑰并在一個安全的信道上傳送，習(xí)慣上人們稱這種通信系統(tǒng)為“一次一次一密系統(tǒng)一密系統(tǒng)”。7.3 對稱密鑰密碼算法 7.3.1 流密碼（序列密碼）2 2密鑰流生成器密鑰流生成器構(gòu)造密鑰流生成器是流密碼最核心的內(nèi)容。由于大部分密碼是基于世界上公開的數(shù)學(xué)難題，所以造成大多數(shù)密鑰流生成器的不安全性。在流密碼中，如果密鑰流經(jīng)過d個符號之后重復(fù)，則稱該流密碼是周期周期的，否則稱之為非周期非

12、周期的。密鑰流元素kj 的產(chǎn)生由第 j 時刻流密碼的內(nèi)部狀態(tài)sj 和實際密鑰 k 所決定，記為kj = f (k, sj)。加密變換ekj與解密變換dkj都是時變的，其時變性由加密器或解密器中的記憶文件來保證。7.3 對稱密鑰密碼算法 7.3.1 流密碼（序列密碼）2 2密鑰流生成器密鑰流生成器加密器中存儲器的狀態(tài)s 隨時間變化而變化，這種變化可用狀態(tài)轉(zhuǎn)移函數(shù) fs 表示。如果 fs 與輸入的明文無關(guān)，則密鑰流 kj = f (k，sj) 與明文無關(guān)， j=1，2，從而 j 時刻輸出的密文 cj = ekj(mj) 與 j 時刻之前的明文也無關(guān)，稱此種流密碼為同步流密碼同步流密碼。在同步流密碼

13、中，只要發(fā)送端和接收端有相同的實際密鑰和內(nèi)部狀態(tài)，就能產(chǎn)生相同的密鑰流，此時稱發(fā)送端和接收端的密鑰生成器是同步的。一旦不同步，解密工作立即失敗。如果狀態(tài)轉(zhuǎn)移函數(shù) fs 與輸入的明文符號有關(guān)，則稱該流密碼為自同步流密碼自同步流密碼。7.3 對稱密鑰密碼算法 7.3.1 流密碼（序列密碼）2 2密鑰流生成器密鑰流生成器目前應(yīng)用最廣泛最廣泛的流密碼是同步流密碼同步流密碼。一個同步流密碼是否具有很高的密碼強(qiáng)度密碼強(qiáng)度主要取決于密鑰流取決于密鑰流生成器的設(shè)計生成器的設(shè)計。 密鑰流生成器的目的目的是由一個短的隨機(jī)密鑰(也稱實際密鑰或種子密鑰) k 生成一個長的密鑰流，用這個長的密鑰流對明文加密或?qū)γ芪慕饷?/p>

14、，從而使一個短的密鑰可用來加密更長的明文或解密更長的密文的目的。 7.3 對稱密鑰密碼算法 7.3.1 流密碼（序列密碼）3收縮密鑰流生成器收縮密鑰流生成器n 級移位寄存器級移位寄存器 （見下圖）（見下圖）開始時，設(shè)第開始時，設(shè)第1級內(nèi)容是級內(nèi)容是 an-1，第，第2級內(nèi)容是級內(nèi)容是 an-2 , , 第第n 級內(nèi)容是級內(nèi)容是 a0，則稱這個寄存器的初始狀態(tài)是則稱這個寄存器的初始狀態(tài)是 (a0, a1, , an-1)。當(dāng)加上一個脈沖時，每個寄存器的內(nèi)容移給下一級，第當(dāng)加上一個脈沖時，每個寄存器的內(nèi)容移給下一級，第 n 級內(nèi)容輸出，級內(nèi)容輸出，同時將各級內(nèi)容送給運(yùn)算器同時將各級內(nèi)容送給運(yùn)算器

15、f (x0, x1, , xn-1) ，并將運(yùn)算器的結(jié)果，并將運(yùn)算器的結(jié)果 an= f (a0 , a1 , , an-1) 反饋到第一級去。這樣這個移位寄存器的狀態(tài)就是反饋到第一級去。這樣這個移位寄存器的狀態(tài)就是 (a1 , a2 , , an)，而輸出是，而輸出是a0 。不斷地加脈沖，上述不斷地加脈沖，上述 n 級移位寄存器的輸出就是一個二元級移位寄存器的輸出就是一個二元(或或q元元)序列：序列： a0 , a1, a2 , 7.3 對稱密鑰密碼算法 寄存器寄存器 1寄存器寄存器 2寄存器寄存器 3寄存器寄存器 nf (x0, x1, , xn-1)7.3.1 流密碼（序列密碼）3收縮密鑰

16、流生成器收縮密鑰流生成器移位寄存器產(chǎn)生的序列都是周期序列，周期都不大于2n。例例7.2 右圖是一個4級線性移位寄存器。給定初狀態(tài) (0001) ， 求該移位寄存器產(chǎn)生的周期序列。 解解 易見 f (x0，x1，x2，x3) = x0 + x1， 因此對 k4 有 ak = ak-3+ ak-4 從而該4級移位寄存器產(chǎn)生的序列是周期15的序列： 000100110101111 由例7.2知，移位寄存器(簡記sr，shifted register)可由短的序列生成具有一定規(guī)律的長序列。這種序列便可以作為密鑰流序列，但抗攻擊能力較差。7.3 對稱密鑰密碼算法 +7.3.1 流密碼（序列密碼）3收縮密

17、鑰流生成器收縮密鑰流生成器收縮密鑰流生成器（見右圖）收縮密鑰流生成器（見右圖）通常的密鑰流生成器都是由若干個移位寄存器并聯(lián)，并且與特殊的電子電路組合而成。上圖為由兩個移位寄存器構(gòu)成的收縮密鑰流生成器收縮密鑰流生成器，通過 sr1 的輸出選擇 sr2 的輸出來生成密鑰流，其工作模式如下：l輸入?yún)?shù)：兩個移位寄存器的級數(shù)及反饋函數(shù)l密鑰：兩個移位寄存器的初始狀態(tài) (1) 移位sr1 并產(chǎn)生 yi(1) ；同時移位sr2 并產(chǎn)生 yi(2) ； (2) 如果 yi(1) =1，則輸出密鑰元素ki = yi(2) ； 如果 yi(1) =0，則刪去 yi(2)，i =1, 2, ，不輸出。l由此收縮生

18、成器產(chǎn)生的密鑰流為ki | i1。7.3 對稱密鑰密碼算法 sr 1sr 2yi (1)輸出輸出k kiyi (2)7.3.2 分組密碼1. 1. 分組密碼體系的概念分組密碼體系的概念分組密碼將明文按一定的位長分組，輸出是固定長度的密文。 分組密碼的優(yōu)點是：密鑰可以在一定時間內(nèi)固定，不必每次變換，因此給密鑰配發(fā)帶來了方便。2. 2. 分組密碼通信模式（見圖分組密碼通信模式（見圖7.77.7）7.3 對稱密鑰密碼算法 加密算法加密算法解密算法解密算法明文明文x=(x1, x2, )密文密文y=(y1, y2, , yn )明文明文x=(x1, x2, )密鑰密鑰k=(k1, k2, )密鑰密鑰k

19、=(k1, k2, )圖圖7.7 分組密碼通信模式圖分組密碼通信模式圖7.3.2 分組密碼2. 2. 分組密碼通信模式分組密碼通信模式u分組密碼與流密碼的不同之處在于輸出的每一位數(shù)字不是只與相應(yīng)時刻輸入的明文數(shù)字有關(guān)，而是與一組長為m的明文數(shù)字有關(guān)。u在分組密碼通信中，通常明文與密文長度相等，稱該長度為分組長度。7.3 對稱密鑰密碼算法 7.3.3 des算法des (data encryption standard) 是由ibm公司在20世紀(jì)70年代研制的，經(jīng)過政府的加密標(biāo)準(zhǔn)篩選后，于1976年11月被美國政府采用，隨后被美國國家標(biāo)準(zhǔn)局和美國國家標(biāo)準(zhǔn)協(xié)會(ansi)所認(rèn)可。 des算法具有以

20、下特點： （1）des算法是分組加密算法：以64位為分組。 （2）des算法是對稱算法：加密和解密用同一密鑰。 （3）des算法的有效密鑰長度為56位。 （4）換位和置換。 （5）易于實現(xiàn)。7.3 對稱密鑰密碼算法 7.3.3 des算法1. 1. des的基本原理的基本原理des采用傳統(tǒng)的換位換位和置換置換的方法進(jìn)行加密，在56bit密鑰的控制下，將64bit明文塊變換為64bit密文塊，加密過程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位).總體過程總體過程如下：在初始置換ip后，明文組被分為左右兩部分，每部分32位，以 l0 , r0 表示；經(jīng)過16輪運(yùn)算，將數(shù)據(jù)和密鑰結(jié)

21、合；16輪后，左、右兩部分連接在一起；經(jīng)過末置換(初始置換的逆置換)，算法完成。(見圖7.8)des加密算法又可以簡單地用下式表示： ek (m) = ip -1t16t15 t1ip (m)7.3 對稱密鑰密碼算法 7.3.3 des算法2. 2. 初始變換和逆初始變換初始變換和逆初始變換初始變換是一個位變換，是將順序排列的64bit根據(jù)表7.1進(jìn)行處理，即將順序排列的64bit序列 t1t2t3t64 變換成 t58t50t15t7 。逆初始變換用表7.2進(jìn)行，它是表7.1的逆過程。7.3 對稱密鑰密碼算法 7.3.3 des算法3 3. . g 函數(shù)的設(shè)計函數(shù)函數(shù)的設(shè)計函數(shù)g(ri-1，

22、ki) 的結(jié)構(gòu)如圖7.9所示。首先用位選擇表7.3中的e表將ri-1擴(kuò)展成48位二進(jìn)制塊e(ri-1)，即 ri-1 = r1 r2r31 r32 ， e(ri) = r32 r1r31 r32 r1然后與ki進(jìn)行異或運(yùn)算，接著將所得的48位數(shù)分成8個6位數(shù)，記為bi (i=1, 2, 8)，此處，每個6位子塊都是選擇函數(shù)s的輸入（即后面介紹的s盒），其輸出是一個4位二進(jìn)制塊s(b)。 e(ri-1) ki =b1 b2b8把這些子塊合成32 位二進(jìn)制塊之后，用換位表p (表7.4) 將它變換成 p(s1(b1)s8(b8) ，這就是函數(shù) g(ri-1, ki) 的輸出。 7.3 對稱密鑰密碼

23、算法 7.3.3 des算法4. 4. 選擇函數(shù)選擇函數(shù)s盒的算法盒的算法每個sj 將一個6位塊 bj =b1b2b3b4b5b6 轉(zhuǎn)換為一個4位塊，根據(jù)表7.5選擇函數(shù)組 s1, s8。與b1b6相對應(yīng)的整數(shù)確定表中的列號，用與b2b3b4b5相對應(yīng)的整數(shù)確定表中的行號，則sj(bj)的值就是位于該行和該列的數(shù)的4位二進(jìn)制表示形式。 7.3 對稱密鑰密碼算法 s1s2s3s4s5s6s7s8d 0 123012301230123012301 23012301230 14 04 15 15 13 0 13 10 13 13 17 13 10 32 14 4 11 12 10 944 13 16

24、 13 17214 15 1 12 1 13 14 8076 10 13 86 15 12 11 281 15 13 3 11 04 11 2 15 11 12 13 7 14 8847 10 904 13 14 11 90421 12 10 4 15 22 11 11 13 8 13 4 1431 482 14 7 11 1 14 99035061 12 11 7 15 2 5 12 14 7 13 8481742 14 13 46 15 10 3638606 12 10 74 10 197 29 15 4 12 16 10 945 15 269 11 24 15 34 15 96 15 1

25、1 1 10 7 13 14 2 12 850934 15 3 12 106 11 13 2138 13 4 15 638907 13 11 13 7269 12 15 817 10 11 7 14 878 1 11 74 14 125 10 07 10 3 13 8618 13 85 3 10 13 10 14 7142 1383 10 15 59 12 5 11 12 11 414 15 985 15 606 7 11 3 14 10 9 10 12 0 159 10 6 12 11 7086 13 81 15 2714509 15 13 1 0 14 12 3 15 5956210 6

26、12 9321 12 7 12 52 14 82353 15 12 03 13 41956036 10 911 12 11 7 14 13 10 6 12 7 14 12 35 12 14 11 15 10 594 14 10 77 12 8 15 14 11 13 012 5 93 10 12 690 11 12 5 11 11 15 12 13 36 10 14 0 16520 14 50 15 313 9 5 10 009354 11 10 5 12 10 2709347 11 13 0 10 15 520 14 3514 0 3565 11 2 14 2 15 14 24 14 82

27、14 80553 11 86893 12 95615 7 80 13 10 5 15 9817 12 15 94 14 96 14 3 11 86 13 162 12 728 11表表7.5 選擇函數(shù)選擇函數(shù)s盒表盒表例例7.3 s盒應(yīng)用實例：設(shè)b1=101100， 則s1(b1)的值位于列號為2的列和行號為6的行，即等于2， 因此s1(b1)的輸出是0010。7.3.3 des算法5. 5. 子密鑰子密鑰 ki 的產(chǎn)生的產(chǎn)生是由初始密鑰推導(dǎo)出子密鑰 ki 的過程。初始密鑰k是一個64位二進(jìn)制塊，其中 8位是奇偶校驗位，分別位于第8,16, 32,40,48,64位。置換選擇函數(shù)pc-1將這些

28、奇偶校驗位去掉，并把剩下的 56位進(jìn)行換7.3 對稱密鑰密碼算法 密鑰(64位)57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 2719 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 2214 6 61 53 45 37 29 21 13 5 28 20 12 4c0(28位)d0(28位)位，換位后的結(jié)果被分成兩半，如圖7.10 所示。7.3.3 des算法5. 5. 子密鑰子密鑰 ki 的產(chǎn)生的產(chǎn)生令ci 和di 分別表示推導(dǎo)ki 時所用的c和d的值，有如下的變

29、換公式： ci =lsi (ci-1) ， di =lsi (di-1)此處是lsi 循環(huán)左移位變換，其中 ls1、ls2、ls9 和ls16 是循環(huán)左移1位變換，其余的lsi 是循環(huán)左移2位變換。圖7.10的c0和d0是c和d的初始值，顯然， c0 =k57 k49k44 k36 ， d0 =k63 k55 k12 k47.3 對稱密鑰密碼算法 7.3.3 des算法5. 5. 子密鑰子密鑰 ki 的產(chǎn)生的產(chǎn)生按圖7.11置換選擇函數(shù)pc-2，最后通過置換選擇函數(shù)pc-2，得出： ki =pc-2(ci，di)7.3 對稱密鑰密碼算法 圖圖7.11 置換選擇函數(shù)置換選擇函數(shù)pc-2ci(28

30、位)di(28位)14 17 11 24 1 5 3 28 15 6 21 1023 19 12 4 26 816 7 27 20 13 241 52 31 37 47 5530 40 51 45 33 4844 49 39 56 34 5346 42 50 36 29 32ki(48位)7.3.3 des算法6. 6. des 解密算法解密算法算法：n(ek) = ip -1t1t2 t16ip ek (m)des的缺點主要有： des的56位的密鑰長度可能太??； des的迭代次數(shù)太大； s盒(即代替函數(shù)s)中可能有不安全因素； des的一些關(guān)鍵部分應(yīng)保密(如s盒設(shè)計)。des的安全性完全依

31、賴于所用的密鑰。 7.3 對稱密鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計的基本原理1. 1. 設(shè)計公鑰密碼體制的基本原理設(shè)計公鑰密碼體制的基本原理 在公鑰密碼中，解密密鑰和加密密鑰不同，從一個難于推出另一個，解密和加密是可分離的，加密密鑰是可以公開的。 核心問題是找一個陷門單向函數(shù)。 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計的基本原理1. 1. 設(shè)計公鑰密碼體制的基本原理設(shè)計公鑰密碼體制的基本原理 如果函數(shù) f(x) 滿足以下條件： (1) 對 f(x) 的定義域中的任意 x，都容易計算函數(shù)值 f(x); (2) 對于 f(x) 的值域中的幾乎所有的 y，即使已知 f 要計算

32、 f -1(y)也是不可行的； 則稱 f(x)是單向函數(shù)(one-way function)。若給定某些輔助信息時又容易計算單向函數(shù) f 的逆 f -1 ，則稱 f(x)是一個陷門單向函數(shù)陷門單向函數(shù)。這一輔助信息就是秘密的解密密鑰。這就是設(shè)計公鑰密碼體制的基本原理基本原理。 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計的基本原理2. 2. 公鑰密碼體制公鑰密碼體制公鑰密碼體制稱為雙密鑰密碼體制雙密鑰密碼體制或非對稱密碼體制非對稱密碼體制.將序列密碼和分組密碼等稱為單密鑰密碼體制單密鑰密碼體制或?qū)ΨQ對稱密鑰密碼體制密鑰密碼體制。單鑰加密單鑰加密中使用的密鑰稱為秘密密鑰秘密密鑰(sec

33、ret key)。公開密鑰加密公開密鑰加密中使用的兩個密鑰分別稱為公開密鑰公開密鑰(public key) 和私有密鑰私有密鑰(private key)。 公開密鑰的應(yīng)用 ： (1)加密和解密；(2)數(shù)字簽名；(3)密鑰交換。 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計的基本原理3. 3. 公開密鑰密碼系統(tǒng)原理公開密鑰密碼系統(tǒng)原理 公開密鑰算法用一個密鑰進(jìn)行加密，而用另一個不同但是相關(guān)的密鑰進(jìn)行解密： 僅僅知道密碼算法和加密密鑰而要確定解密密 鑰，在計算上是不可能的； 兩個相關(guān)密鑰中任何一個都可以用作加密而讓另 外一個解密。4.4.公鑰密碼體制的安全性公鑰密碼體制的安全性（計算安全

34、性） 是由公鑰密碼算法中求陷門單向函數(shù)的逆的復(fù)雜性 決定的。 7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)1. 1. rsa算法簡單描述算法簡單描述實現(xiàn)步驟實現(xiàn)步驟： b尋找出兩個大素數(shù) p 和 q。 b計算出 n = pq 和 (n) = (p-1)(q-1)。 b選擇一個隨機(jī)數(shù) b (0b(n)，滿足 (b, (n) =1 (即 b 和 (n) 互素)。 b使用euclidean (歐幾里得)算法計算 a = b-1(mod (n)。 b在目錄中公開n和b作為他的公開密鑰，保密保密 p、q 和和 a。 加密時，對每一明文m 計算密文：c = mb (mod n) 解密時，對每一密文c

35、計算明文： m = c a (mod n) 7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)rsa算法主要用于數(shù)據(jù)加密數(shù)據(jù)加密和數(shù)字簽名數(shù)字簽名。rsa算法用于數(shù)字簽名時，公鑰和私鑰的角色可變換，即將消息用 a 加密加密簽名，用 b 驗證驗證簽名。2 2rsarsa算法實例算法實例（見例7.4）7.4 公鑰密碼算法 u例例7. 4 假定用戶b選擇兩個素數(shù) p =3，q =11，則 n=pq=33， (n) =(3-1)(11-1) =20。取 b =3，顯然 (b, (n) = (3, 20) =1， 再由euclidean算法，對 az33=0,1,32，a =b-1(mod20), 在本例

36、中求出 a =7 或 a =27。一般地，a的值不是唯一的，這里選 a =7，即b公開 n =33 和 b =3，保密 p =3，q=11 和 a =7。 現(xiàn)在用戶a想把明文 m =19 發(fā)送給b。 a加密明文 m =19，得密文： c =ek (m) m b (mod n) 193(mod 33) =28 a在公開信道上將加密后的密文c =28發(fā)送給b，當(dāng)b收到密文 c =28時，解密可得： m=c a (mod n) = 287 (mod 33) = 19 從而b得到a發(fā)送的明文 m =19。 7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)rsa算法的基本原理基本原理可歸納如下： 設(shè) p

37、,q 是兩個不同的奇素數(shù),n= pq,則 (n)=(p-1)(q-1), 密鑰 k =(n, p, q, a, b) | ab1(mod (n)，a, bzn , (b, (n)=1，0b(n)， 對每一個 k = (n, p, q, a, b)， 定義加密變換為：ek (x) x b (mod n)，xzn 定義解密變換為：dk (y) y a (mod n)，yznrsa密碼體制是公開加密密鑰 n 與 b，保密解密密鑰 a以及輔助信息 p 與 q。7.4 公鑰密碼算法 7.4.2 rsa加密系統(tǒng)3 3rsa的安全性的安全性rsa算法的理論基礎(chǔ)理論基礎(chǔ)是一種特殊的可逆模指數(shù)運(yùn)算，它的安全性是

38、基于分解大整數(shù) n的困難性。 三種可能攻擊rsa算法的方法是： 強(qiáng)行攻擊：這包含對所有的私有密鑰都進(jìn)行嘗試; 數(shù)學(xué)攻擊：因子分解； 定時攻擊：這依賴于解密算法的運(yùn)行時間。要求：不要隨便提交；不要隨便共享 n； 利用隨機(jī)信息。7.4 公鑰密碼算法 7.5.1 數(shù)字簽名概述數(shù)字簽名就是防止他人對傳輸?shù)奈募M(jìn)行破壞以及如何確定發(fā)信人的身份的手段。數(shù)字簽名主要利用公鑰密碼公鑰密碼技術(shù)。數(shù)字簽名經(jīng)過長時間的研究，已經(jīng)有了自己的研究體系，形成了自己的理論框架。 目前已有 rsa、橢圓曲線等經(jīng)典簽名，也有盲簽名、代理簽名、群簽名、不可否認(rèn)簽名、公平盲簽名、門限簽名、具有消息恢復(fù)功能的簽名等與具體應(yīng)用環(huán)境密切

39、相關(guān)的特殊簽名。 7.5 數(shù)字簽名技術(shù) 7.5.2 數(shù)字簽名的概念和特點1. 1. 數(shù)字簽名的特點數(shù)字簽名的特點作用： 第一，信息是由簽名者發(fā)送的； 第二，信息自簽發(fā)后到收到為止未曾做過任何修改; 第三，如果 a 否認(rèn)對信息的簽名，可以通過仲裁解 決 a 和 b 之間的爭議。數(shù)字簽名特殊性：隨文本的變化而變化；與文本信息是不可分割的。 完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰Α?7.5 數(shù)字簽名技術(shù) 7.5.2 數(shù)字簽名的概念和特點2.2. 數(shù)字簽名的形式化定義數(shù)字簽名的形式化定義個簽名方案由簽署算法與驗證算法兩部分構(gòu)成，可用五元關(guān)系組（p，a，k，s，

40、v）進(jìn)行形式化表示。簽名者收到(x, s)后，計算verk(x, y)，若 y=sigk(x)，則verk(x, y) =真；若 ysigk(x)，則verk(x, y)=假。 3. 3. 數(shù)字簽名的功能數(shù)字簽名的功能 (1)身份認(rèn)證 (2)保密 (3)完整性 (4)不可抵賴 4 4電子簽名的法律地位電子簽名的法律地位7.5 數(shù)字簽名技術(shù) 7.5.3 數(shù)字簽名方案的分類1 1基于數(shù)學(xué)難題的分類基于數(shù)學(xué)難題的分類 （1）基于離散對數(shù)問題的簽名方案 （2）基于素因子分解問題的簽名方案（3）上述兩種的結(jié)合簽名方案 2 2基于簽名用戶的分類基于簽名用戶的分類（1）單個用戶簽名的數(shù)字簽名方案（2）多個用

41、戶的數(shù)字簽名方案。7.5 數(shù)字簽名技術(shù) 7.5.3 數(shù)字簽名方案的分類3 3基于數(shù)字簽名所具有特性的分類基于數(shù)字簽名所具有特性的分類 （1）不具有自動恢復(fù)特性的數(shù)字簽名方案 （2）具有消息自動恢復(fù)特性的數(shù)字簽名方案4 4基于數(shù)字簽名所涉及的通信角色分類基于數(shù)字簽名所涉及的通信角色分類（1）直接數(shù)字簽名（2）需仲裁的數(shù)字簽名7.5 數(shù)字簽名技術(shù) 7.5.4 數(shù)字簽名的使用模式目前使用的電子簽名主要有三種模式： (1) 智慧卡式 (2) 密碼式 (3) 生物測定式實際應(yīng)用過程中，大都是將以上兩種或三種數(shù)字簽名技術(shù)結(jié)合在一起，這樣可提高電子簽名的安全和可靠性。7.5 數(shù)字簽名技術(shù) 7.5.5 數(shù)字簽

42、名使用原理7.5 數(shù)字簽名技術(shù) 數(shù)字簽名和驗證的步驟：數(shù)字簽名和驗證的步驟：明文數(shù)字摘要1加密后的數(shù)字簽名加密后的數(shù)字簽名hash函數(shù)發(fā)送方私鑰加密明文密文會話密鑰加密（對稱加密）會話密鑰加密后的會話密鑰接收方公鑰加密數(shù)字摘要1發(fā)送方公鑰解密明文數(shù)字摘要2hash函數(shù)會話密鑰原文接收方私鑰解密是否相同？相同不相同文件內(nèi)容完整文件內(nèi)容被篡改解密比較發(fā)送方發(fā)送方接收方接收方7.5.6 常規(guī)數(shù)字簽名方法1rsa簽名方案rsa簽名方案是利用rsa公鑰密碼體制建立的一種實用的數(shù)字簽名方案。簽名算法 驗證算法 2oss簽名方案 oss簽名方案也是一種公鑰體制的簽名方案，這種方案是由ong，schnorr和

43、shamir三人在1985年提出的。簽名算法 驗證算法7.5 數(shù)字簽名技術(shù) 7.5.7 數(shù)字簽名的發(fā)展與挑戰(zhàn)目前幾乎所有的公鑰密碼體制都是基于以下三種數(shù)學(xué)疑難問題之一：(1) 背包問題(2) 離散對數(shù)問題 (3) 因子分解問題數(shù)字簽名方案基于如此狹窄的數(shù)學(xué)基礎(chǔ)令人擔(dān)憂，以上數(shù)學(xué)難題取得突破性進(jìn)展，所有公開密鑰體制以及以公開密鑰體制為基礎(chǔ)的數(shù)字簽名方案將不再安全。目前只有使用充分大的數(shù)來保證其安全性。 7.5 數(shù)字簽名技術(shù) 7.6.1 識別協(xié)議概述 識別協(xié)議所要解決的問題：使用戶a既能進(jìn)入計算機(jī)又不泄露用戶a的任何識別信息？一個安全的識別協(xié)議至少應(yīng)滿足以下兩個條件：(1) 用戶a能向驗證者b證明

44、他的確是a；(2) 用戶a向驗證者b證明自己的身份時，沒有讓驗證 者b獲得任何有用的信息，b不能模仿a向其他人證明他 是用戶a。從實用角度講，一個安全識別協(xié)議的設(shè)計應(yīng)該越簡 單越好，而且需要的計算量和儲存量都要盡可能小，最好能在一個智能卡上實現(xiàn)。 7.6 識別協(xié)議 7.6.2 feige-fiat-shamir 識別協(xié)議識別協(xié)議一般是由數(shù)字簽名方案改進(jìn)而成的，相 反，每一個識別協(xié)議都可派生一個數(shù)字簽名方案。 feige-fiat-shamir識別協(xié)議是由一個屬于仲裁數(shù)字簽名方案改進(jìn)而成的。具體識別協(xié)議 以及過程見課本p224。7.6.3 改進(jìn)的feige-fiat-shamir 識別協(xié)議為了減少數(shù)據(jù)交換次數(shù)，增加每輪簽字的數(shù)量， feige，fiat和shamir三位設(shè)計者在1988年給出了改進(jìn)后的識別協(xié)議。 具體見課本p225 226 7.6 識別協(xié)議 7.7.1 密鑰管理的意義密碼體制、數(shù)字簽名以及識別協(xié)議的安全性算法的 安全性的前提是秘密密鑰是安全的，其他人是不知道的。一旦秘密密鑰丟失或出錯，密碼體制、數(shù)字簽名和識別協(xié)議就不安全了。因此密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是極為重要。密鑰管理包括密鑰的產(chǎn)生、存儲、分配、保護(hù)、保密等內(nèi)容。 7.7 密鑰管理 7.7.2 密鑰分類與產(chǎn)生密鑰的主要種類：用戶密鑰、會話密鑰、密鑰加密密鑰和