第二章-密碼學基礎(NEW)

1、2021/8/21第二章第二章 密碼學基礎密碼學基礎2021/8/22目標要求目標要求 基本要求基本要求 理解密碼系統(tǒng)的理解密碼系統(tǒng)的模型模型 理解對稱密碼體制和非對稱密碼體制的原理理解對稱密碼體制和非對稱密碼體制的原理 掌握掌握IDEA算法、算法、ECC等公開密碼算法的原理與應用等公開密碼算法的原理與應用 了解常見的了解常見的加密方式和各自的特點加密方式和各自的特點2021/8/23目標要求目標要求 重點重點 掌握對稱密碼體制和非對稱密碼體制的原理掌握對稱密碼體制和非對稱密碼體制的原理 熟悉熟悉IDEA算法、算法、ECC公開密碼算法的原理與應用公開密碼算法的原理與應用 熟悉各種熟悉各種加密方

2、式和各自的特點加密方式和各自的特點 難點難點 非對稱密碼體制的原理非對稱密碼體制的原理2021/8/24本章內(nèi)容本章內(nèi)容2.1 密碼技術概述密碼技術概述2.2 密碼算法密碼算法2.3 對稱密鑰密碼加密模式對稱密鑰密碼加密模式2.4 網(wǎng)絡加密方式網(wǎng)絡加密方式2021/8/252.1 密碼技術概述密碼技術概述2.1.1 密碼學歷史密碼學歷史 1000 BC:姜子牙陰陽符姜子牙陰陽符 500-600 BC: 天書天書 100-44 BC: Caesar cipherthe romans arecoming today2021/8/26Caesar cipher：移位密碼：移位密碼密文表：密文表：ab

3、cdefghijklmnopqrstuvwxyz密文表：密文表：defghijklmnopqrstuvwxyzabcAn example: 明文明文-Plaintext: How are you 密文密文-Ciphertext ? 2021/8/27 1790: 轉輪密碼，轉輪密碼，Thomas Jefferson2021/8/28 二戰(zhàn)二戰(zhàn): German Enigma machine2021/8/29 二戰(zhàn)二戰(zhàn): Japanese Purple machine2021/8/210 Born: 30 April 1916 in Gaylord, Michigan, USADied: 24 F

4、eb 2001 in Medford, Massachusetts, USA2021/8/2112.1.2 密碼系統(tǒng)密碼系統(tǒng)加密變換加密變換不安全信道不安全信道Plain TextCipher TextCipher Text解密變換解密變換Plain Text發(fā)送者：發(fā)送者：AliceDecryption KeyEncryption Key接受者：接受者：AliceCipher Text密碼分析密碼分析？竊密者：竊密者：Eve密鑰信道密鑰信道2021/8/212（1）密碼學基本概念）密碼學基本概念 密碼學密碼學(Cryptology)：研究信息系統(tǒng)安全保密：研究信息系統(tǒng)安全保密 的科學。它包含

5、兩個分支：的科學。它包含兩個分支： 密碼編碼學密碼編碼學(Cryptography)，對信息進行編對信息進行編 碼實現(xiàn)隱蔽信息的一門學問；碼實現(xiàn)隱蔽信息的一門學問； 密碼分析學密碼分析學(Cryptanalysis)，研究分析破譯研究分析破譯 密碼的學問。密碼的學問。2021/8/213 明文明文(消息消息)(Plaintext) ：被隱蔽消息，常用被隱蔽消息，常用M表示表示 密文密文(Ciphertext)或密報或密報(Cryptogram)：明文經(jīng)明文經(jīng) 密碼變換成的一種隱蔽形式，常用密碼變換成的一種隱蔽形式，常用C表示表示 加密加密(Encryption)：將明文變換為密文的過程將明文變

6、換為密文的過程 解密解密(Decryption)：加密的逆過程，即由密文恢加密的逆過程，即由密文恢 復出原明文的過程復出原明文的過程 加密員或密碼員加密員或密碼員(Cryptographer)：對明文進行對明文進行 加密操作的人員。加密操作的人員。2021/8/214 常用常用E（）（） 表示表示 控制加密和解密算法操作的數(shù)據(jù)處控制加密和解密算法操作的數(shù)據(jù)處 理，分別稱作加密密鑰和解密密鑰，常用理，分別稱作加密密鑰和解密密鑰，常用k表示表示 在信息傳輸和處理系統(tǒng)在信息傳輸和處理系統(tǒng) 中的非受權者，通過搭線竊聽、電磁竊聽、聲音中的非受權者，通過搭線竊聽、電磁竊聽、聲音 竊聽等來竊取機密信息。竊聽

7、等來竊取機密信息。2021/8/215 2021/8/216（2）密碼系統(tǒng)組成）密碼系統(tǒng)組成 明文空間：明文空間：信息本來的原始空間信息本來的原始空間 密文空間：密文空間：明文經(jīng)過加密后得到難以理解和辨明文經(jīng)過加密后得到難以理解和辨 認的信息空間認的信息空間 密鑰空間：密鑰空間：控制算法的實現(xiàn)，由信息通信雙方控制算法的實現(xiàn)，由信息通信雙方 所掌握的專門信息空間所掌握的專門信息空間 密碼算法：密碼算法：規(guī)定了明文和密文之間的一個復雜規(guī)定了明文和密文之間的一個復雜 的函數(shù)變換方式，包括的函數(shù)變換方式，包括加密函數(shù)加密函數(shù)與與解密函數(shù)解密函數(shù)2021/8/217 加密過程：加密過程：EK(M)=C

8、加密過程：加密過程：DK(C)=M 密碼系統(tǒng)應滿足：密碼系統(tǒng)應滿足：DK(EK(M)=)=M2021/8/218 密碼學的密碼學的Kerchoff準則準則“一切秘密寓于密鑰之中一切秘密寓于密鑰之中”1883年荷蘭密碼學家年荷蘭密碼學家A.Kerchoff(18351903)就就給出了密碼學的一個基本原則給出了密碼學的一個基本原則:密碼的安全必須完全寓密碼的安全必須完全寓于密鑰之中。盡管密碼學家們大都同意這一看法于密鑰之中。盡管密碼學家們大都同意這一看法,但直但直到制定到制定DES時才首次認真地遵循這一原則。時才首次認真地遵循這一原則。 2021/8/2192.1.3 密碼體制密碼體制密碼體制：

9、一個密碼系統(tǒng)采用的基本工作方式密碼體制：一個密碼系統(tǒng)采用的基本工作方式密碼體制從原理上可以分為兩大類：密碼體制從原理上可以分為兩大類： 對稱密鑰密碼體制（或單鑰密碼體制）對稱密鑰密碼體制（或單鑰密碼體制） 非對稱密鑰密碼體制（或雙鑰密碼體制）非對稱密鑰密碼體制（或雙鑰密碼體制）2021/8/2202.1.3.1 對稱密鑰密碼體制對稱密鑰密碼體制加密：加密：E不安全信道不安全信道Plain TextCipher TextCipher Text解密解密:DPlain Text發(fā)送者：發(fā)送者：AliceKK接受者：接受者：Alice密鑰信道密鑰信道密鑰生成器密鑰生成器2021/8/221 加密過程：

10、加密過程：EK(M)=C 加密過程：加密過程：DK(C)=M 對稱密鑰密碼根據(jù)對明文加密方式的不同分為：對稱密鑰密碼根據(jù)對明文加密方式的不同分為： 序列密碼（序列密碼（Stream Cipher）或流密碼）或流密碼 分組密碼（分組密碼（Block Cipher）或塊密碼）或塊密碼2021/8/222（1） 序列密碼序列密碼對明文的單個位（有時對字節(jié)）運算的算法。對明文的單個位（有時對字節(jié)）運算的算法。 軍事和外交場合使用的主要密碼技術軍事和外交場合使用的主要密碼技術 工作原理：工作原理：明文序列：明文序列：m=m0m1m2密文序列：密文序列：c=ccc1c2密鑰序列：密鑰序列：k=k0k1k2

11、序列密碼的加密過程序列密碼的加密過程2021/8/223明文序列：明文序列：m=m0m1m2密文序列：密文序列：c=ccc1c2密鑰序列：密鑰序列：k=k0k1k2序列密碼的解密過程序列密碼的解密過程 加密過程：加密過程：ci=(ki+mi)(mod 2) 加密過程：加密過程：mi=(ki+ci)(mod 2)2021/8/224（2） 分組密碼分組密碼 對明文信息分割成塊結構，逐塊進行加密和解密。對明文信息分割成塊結構，逐塊進行加密和解密。 工作原理：首先將明文分成相同長度的數(shù)據(jù)塊，工作原理：首先將明文分成相同長度的數(shù)據(jù)塊， 然后分別對每個數(shù)據(jù)塊加密產(chǎn)生一串滅為你數(shù)據(jù)然后分別對每個數(shù)據(jù)塊加密

12、產(chǎn)生一串滅為你數(shù)據(jù) 塊；解密時，第每個密文數(shù)據(jù)塊進行解密后得到相塊；解密時，第每個密文數(shù)據(jù)塊進行解密后得到相 應的明文數(shù)據(jù)塊，將所有的明文數(shù)據(jù)塊合并起來即應的明文數(shù)據(jù)塊，將所有的明文數(shù)據(jù)塊合并起來即 得到明文。得到明文。2021/8/225明文序列：明文序列：m=m0m1m2密文序列：密文序列：c=ccc1c2密鑰序列：密鑰序列：k=k0k1k2分組密碼的加密過程分組密碼的加密過程Ek明文序列：明文序列：m=m0m1m2密文序列：密文序列：c=ccc1c2密鑰序列：密鑰序列：k=k0k1k2分組密碼的加密過程分組密碼的加密過程Dk2021/8/226（1）對稱密鑰密碼體制的問題）對稱密鑰密碼體

13、制的問題2.1.3.2 非稱密鑰密碼體制非稱密鑰密碼體制ENetwork or Storage明文明文Plain Text密文密文Cipher TextD原明文原明文OriginalPlain TextBob私鑰私鑰Secret KeyAlice私鑰私鑰Secret Key密文密文Cipher Text2021/8/227 若若N個人相互保密通信，每人必須擁有（個人相互保密通信，每人必須擁有（N-1）個）個 私鑰，私鑰，N很大時，需要保存的私鑰很多。如何解很大時，需要保存的私鑰很多。如何解 決？決？ 可信中心分發(fā)：共需要發(fā)可信中心分發(fā)：共需要發(fā)N*(N-1)/2個私鑰個私鑰 N =1000時時

14、, 999 *1000/2 = 499500 雙方事先約定：用戶之間自己秘密會面雙方事先約定：用戶之間自己秘密會面 （第一次遠距離通信如何辦？）（第一次遠距離通信如何辦？） 2021/8/228加密：加密：E不安全信道不安全信道Plain TextCipher TextCipher Text解密解密:DPlain Text發(fā)送者：發(fā)送者：AliceK2K1接受者：接受者：Alice2021/8/229 1976，由，由Diffie和和Hellman提出，提出，被公認為現(xiàn)代被公認為現(xiàn)代 密碼學誕生的標志。密碼學誕生的標志。 工作原理：工作原理：每個用戶都有一對選定的密鑰（公鑰：每個用戶都有一對選

15、定的密鑰（公鑰： K1，私鑰，私鑰K2） K1是可以公開的，可以像電話號是可以公開的，可以像電話號 碼一樣進行注冊公布；碼一樣進行注冊公布； K2則是秘密的。則是秘密的。 特點：特點：（1）將加密和解密能力分開；（將加密和解密能力分開；（2）多個）多個 用戶加密的消息只能由一個用戶解讀（秘密通用戶加密的消息只能由一個用戶解讀（秘密通 信）；（信）；（3）一個用戶加密的消息而使多個用戶可）一個用戶加密的消息而使多個用戶可 以解讀（認證）；（以解讀（認證）；（4）不用事先分配秘鑰。）不用事先分配秘鑰。（2）非對稱密鑰密碼體制）非對稱密鑰密碼體制2021/8/2302.1.4 密碼分析密碼分析 密碼

16、分析：密碼分析：試圖獲得加密體制細節(jié)、解密密鑰和試圖獲得加密體制細節(jié)、解密密鑰和 明文等機密信息的過程，通常包括：分析統(tǒng)計截明文等機密信息的過程，通常包括：分析統(tǒng)計截 獲的密文材料、假設、推斷和證實等步驟。獲的密文材料、假設、推斷和證實等步驟。 密碼分析方法有密碼分析方法有傳統(tǒng)破譯方法傳統(tǒng)破譯方法和和物理破譯方法物理破譯方法兩兩 大類。大類。（1） 基本概念基本概念2021/8/231 傳統(tǒng)破譯方法傳統(tǒng)破譯方法包括包括窮舉破譯法窮舉破譯法和和數(shù)學分析法數(shù)學分析法兩類。兩類。 數(shù)學分析法數(shù)學分析法又分為又分為確定性分析法確定性分析法的和的和統(tǒng)計分析法統(tǒng)計分析法。 四種破譯類型：四種破譯類型： 唯

17、密文破譯唯密文破譯（ciphertext only attacks），）， 分析者僅知道有限數(shù)量的密文。分析者僅知道有限數(shù)量的密文。 已知明文破譯已知明文破譯（known plaintext attacks），）， 分析者除了擁有有限數(shù)量的密文外，還有數(shù)量限分析者除了擁有有限數(shù)量的密文外，還有數(shù)量限 定的一些已知定的一些已知“明文明文密文密文”對。對。2021/8/232 四種破譯類型（續(xù)）：四種破譯類型（續(xù)）： 選擇明文破譯選擇明文破譯（chosen plaintext attacks），）， 分析者除了擁有有限數(shù)量的密文外，還有機會使分析者除了擁有有限數(shù)量的密文外，還有機會使 用注入了未知

18、密鑰的加密機，通過自由選擇明文用注入了未知密鑰的加密機，通過自由選擇明文 來獲取所希望的來獲取所希望的“明文明文密文密文”對（集合）。對（集合）。 選擇密文破譯選擇密文破譯（chosen ciphertext attacks），）， 分析者除了擁有有限數(shù)量的密文外，還有機會使分析者除了擁有有限數(shù)量的密文外，還有機會使 用注入了未知密鑰的解密機，通過自由選擇密文用注入了未知密鑰的解密機，通過自由選擇密文 來獲取所希望的來獲取所希望的“密文密文明文明文”對（集合）。對（集合）。2021/8/233（2）防止密碼破譯的措施）防止密碼破譯的措施為防止密碼被破譯，可以采取以下措施：為防止密碼被破譯，可以

19、采取以下措施： 強壯的加密算法；強壯的加密算法； 動態(tài)會話密鑰動態(tài)會話密鑰 保護關鍵密鑰保護關鍵密鑰2021/8/2342.2 密碼算法密碼算法（1）IDEA的歷史的歷史 1990年，年，瑞士的來學嘉（瑞士的來學嘉（Xuejia Lai）和和 James Massey于于1990年公布了年公布了IDEA密碼算法第密碼算法第 一版，稱為一版，稱為PES (Proposed Encryption Standard)； 1991年，為抗擊差分密碼攻擊，他們增強了算法的強年，為抗擊差分密碼攻擊，他們增強了算法的強 度，稱度，稱IPES（Improved PES)； 1992年，改名為年，改名為IDEA

20、（International Data Encryption Algorithm）。）。2.2.1 IDEA算法算法2021/8/235（2）IDEA加密過程加密過程 IDEA是一個分組長度為是一個分組長度為 64bit的分組密碼算法，密的分組密碼算法，密 鑰長度為鑰長度為128bit（抗強力攻（抗強力攻 擊能力比擊能力比DES強），同一強），同一 算法既可加密也可解密。算法既可加密也可解密。 IDEA的的“混淆混淆”和和“擴散擴散” 設計原則來自三種運算，設計原則來自三種運算， 它們易于軟、硬件實現(xiàn)它們易于軟、硬件實現(xiàn) （加密速度快）：（加密速度快）：Z6F2F1Z5G1G22021/8/2

21、36在在IDEA的模乘運的模乘運算中，為什么將模數(shù)算中，為什么將模數(shù)取為取為216+1，而不是，而不是 216 ？ 2. 在其模加運算中，為什么模數(shù)取為在其模加運算中，為什么模數(shù)取為216而不是而不是 216+1 ？2021/8/237 IDEA加密的總體方案圖加密的總體方案圖循環(huán)循環(huán)2循環(huán)循環(huán)8循環(huán)循環(huán)1輸出變換輸出變換64位密文位密文64位明文位明文Z1Z6Z7Z12Z43Z48Z49Z52子密鑰生成器子密鑰生成器128bit密鑰密鑰Z1Z52162021/8/238IDEA加密的單個循環(huán)圖加密的單個循環(huán)圖X1X2X3X4Z1Z2Z3Z4Z5Z6W11W12W13W142021/8/239

22、IDEA的密鑰生成的密鑰生成 56個個16bit的子密鑰從的子密鑰從128bit的密鑰中生成前的密鑰中生成前8 個子密鑰直接從密鑰中取出；個子密鑰直接從密鑰中取出； 對密鑰進行對密鑰進行25bit的循環(huán)左移，接下來的密鑰的循環(huán)左移，接下來的密鑰 就從中取出；就從中取出； 重復進行直到重復進行直到52個子密鑰都產(chǎn)生出來。個子密鑰都產(chǎn)生出來。2021/8/240（3）IDEA的解密的解密 加密解密實質相同，但使用不同的密鑰；加密解密實質相同，但使用不同的密鑰； 解密密鑰以如下方法從加密子密鑰中導出：解密密鑰以如下方法從加密子密鑰中導出： 解密循環(huán)解密循環(huán)I的頭的頭4個子密鑰從加密循環(huán)個子密鑰從加密

23、循環(huán)10I 的頭的頭4個子密鑰中導出；解密密鑰第個子密鑰中導出；解密密鑰第1、4個個 子密鑰對應于子密鑰對應于1、4加密子密鑰的乘法逆元；加密子密鑰的乘法逆元； 2、3對應對應2、3的加法逆元；的加法逆元； 對前對前8個循環(huán)來說，循環(huán)個循環(huán)來說，循環(huán)I的最后兩個子密鑰的最后兩個子密鑰 等于加密循環(huán)等于加密循環(huán)9I的最后兩個子密鑰；的最后兩個子密鑰；2021/8/241 使用子分組：使用子分組：16bit的子分組；的子分組； 使用簡單操作（易于加法、移位等操作實現(xiàn)）使用簡單操作（易于加法、移位等操作實現(xiàn)） ； 加密解密過程類似；加密解密過程類似； 規(guī)則的結構（便于規(guī)則的結構（便于VLSI實現(xiàn)）。

24、實現(xiàn)）。（4）實現(xiàn)上的考慮）實現(xiàn)上的考慮2021/8/242（5）IDEA的安全性的安全性 IDEA能抗差分分析和相關分析；能抗差分分析和相關分析； IDEA似乎沒有似乎沒有DES意義下的弱密鑰；意義下的弱密鑰； IDEA是是PGP的一部分；的一部分； Bruce Schneier 認為認為IDEA是是DES的最好替代，但的最好替代，但 問題是問題是IDEA太新，許多問題沒解決。太新，許多問題沒解決。2021/8/2432.2.2 ECC公鑰密碼公鑰密碼（1）簡要歷史）簡要歷史 橢圓曲線橢圓曲線(Elliptic curve)作為代數(shù)幾何中的重要問題作為代數(shù)幾何中的重要問題 已有已有100多年

25、的研究歷史多年的研究歷史 1985年，年，N. Koblitz和和V. Miller獨立將其引入密碼學獨立將其引入密碼學 中，成為構造公鑰密碼體制的一個有力工具中，成為構造公鑰密碼體制的一個有力工具。 利用有限域利用有限域GF(2n )上的橢圓曲線上點集所構成的群上上的橢圓曲線上點集所構成的群上 定義的離散對數(shù)系統(tǒng)，可以構造出基于有限域上離散定義的離散對數(shù)系統(tǒng)，可以構造出基于有限域上離散 對數(shù)的一些公鑰體制對數(shù)的一些公鑰體制-橢圓曲線離散對數(shù)密碼體制橢圓曲線離散對數(shù)密碼體制 (ECDLC )，如，如Diffie-Hellman，ElGamal， Schnorr，DSA等等 2021/8/244

26、 實數(shù)上的橢圓曲線：實數(shù)上的橢圓曲線： 其中的其中的 是滿足簡單條件的實數(shù)是滿足簡單條件的實數(shù) 一些曲線上的點連同無窮遠點一些曲線上的點連同無窮遠點O的集合。的集合。232yaxybyxcxdxe,abcde2021/8/245 實數(shù)上的橢圓曲線例子：實數(shù)上的橢圓曲線例子： 231yxx2021/8/246（2） 運算定義：運算定義： 12121211;,22,OOOO pOpXp pppOOppQRXpQRpOQSQQS 若曲線三點在一條直線上，則其和為 ，用作加法的單位：，一條豎直線交 軸兩點則于是，如果兩個點 和 的 軸不同，則畫一連線，得到第三個點 ，則，倍，一個點 的 倍是，找到它的

27、切線與曲線的另一交點于是2021/8/247l有限域上的橢圓曲線：有限域上的橢圓曲線：l模模P橢圓群記為橢圓群記為 群中的元素（群中的元素（x, y)是滿足是滿足 以上方程的小于以上方程的小于P的非負整數(shù)另外加上無窮遠點的非負整數(shù)另外加上無窮遠點Ol計算計算2332mod4270modyxaxbppabp是奇素數(shù)，且,:pEa b30,mod,pxpxaxbpyx yx ypEa b針對所有的計算確定是否可以求出有效的得到曲線上的點其中，記為。,:pEa b2021/8/248 的加法規(guī)則：的加法規(guī)則： ,pEa b 112233231231312121211,modmod,/,3/ 2pPO

28、PPx yPxyOxyPPxyEa bPx yQxyPQxyxxxpyxxypPQyyxxPQxay如果則點是 的負點，記為。而且也在中如果則為其中，如果則 如果則 2021/8/249 ECC的加解密：的加解密：NoImage, , ,:,:ppmmmmmmmEa bGGnGnGOnrPrGp a b G PPrMMEa bPkCkG PkPkkGkPOkCPkPr kGPkrGrkGP選擇的元素使得 的階 是一個大素數(shù)的階是指滿足的最小 值秘密選擇整數(shù) 計算然后公開為公鑰保密加密先把消息變換成為中的一個點然后選擇隨機數(shù)計算密文如果 使得或者為則重新選擇解密加密消息有擴張2021/8/250

29、 ECC加解密例子加解密例子 23751,1,188 ,188,0,376,562,201 ,386201,5386 0,376676,558562,201386 201,5385,328676 558385 328pmBmBpEyxxGABPAkBPkGPkPA取這等價于曲線假設 希望發(fā)送一個報文給這個報文被編碼為橢圓曲線上的點而 選擇隨機數(shù)的公鑰是我們有因此 發(fā)送密文，2021/8/251 ECC特別適用：特別適用： 無線無線Modem的實現(xiàn)：對分組交換數(shù)據(jù)網(wǎng)提供加密，在的實現(xiàn)：對分組交換數(shù)據(jù)網(wǎng)提供加密，在 移動通信器件上運行移動通信器件上運行4 MHz的的68330 CPU，ECC可實現(xiàn)

30、可實現(xiàn) 快速快速Diffie-Hellman密鑰交換，并極小化密鑰交換占用密鑰交換，并極小化密鑰交換占用 的帶寬，將計算時間從大于的帶寬，將計算時間從大于60秒降到秒降到2秒以下。秒以下。 Web服務器的實現(xiàn)：在服務器的實現(xiàn)：在Web服務器上集中進行密碼計算會形成服務器上集中進行密碼計算會形成 瓶頸，瓶頸，Web服務器上的帶寬有限使帶寬費用高，采用服務器上的帶寬有限使帶寬費用高，采用ECC可節(jié)可節(jié) 省計算時間和帶寬，且通過算法的協(xié)商較易于處理兼容性。省計算時間和帶寬，且通過算法的協(xié)商較易于處理兼容性。 集成電路卡的實現(xiàn)：集成電路卡的實現(xiàn)：ECC無需協(xié)處理器就可以在標準卡上實現(xiàn)無需協(xié)處理器就可以

31、在標準卡上實現(xiàn) 快速、安全的數(shù)字簽名，這是快速、安全的數(shù)字簽名，這是RSA體制難以做到。體制難以做到。ECC可使程可使程 序代碼、密鑰、證書的存儲空間極小化，數(shù)據(jù)幀最短，便于實序代碼、密鑰、證書的存儲空間極小化，數(shù)據(jù)幀最短，便于實 現(xiàn)，大大降低了現(xiàn)，大大降低了IC卡的成本。卡的成本。 2021/8/252 Menezes，Okamoto和和Vanstone 指出應避免選指出應避免選 用超奇異曲線，否則橢圓曲線群上的離散對數(shù)問用超奇異曲線，否則橢圓曲線群上的離散對數(shù)問 題退化為有限域低次擴域上的離散對數(shù)問題，從題退化為有限域低次擴域上的離散對數(shù)問題，從 而能在多項式時間上可解。他們還指出，若所用

32、而能在多項式時間上可解。他們還指出，若所用 循環(huán)子群的階數(shù)達循環(huán)子群的階數(shù)達2160，則可提供足夠的安全性。，則可提供足夠的安全性。 （3）ECC的安全性的安全性2021/8/253 ECC和和RSA對比：在實現(xiàn)相同的安全性下，對比：在實現(xiàn)相同的安全性下，ECC 所需的密所需的密 鑰量比鑰量比RSA少得多，如下表所示。其中少得多，如下表所示。其中MIPS年表示用每秒年表示用每秒 完成完成100萬條指令的計算機所需工作的年數(shù)，萬條指令的計算機所需工作的年數(shù)，m表示表示ECC 的密鑰由的密鑰由2 m點構成。以點構成。以40 MHz的鐘頻實現(xiàn)的鐘頻實現(xiàn)155 bits的的 ECC，每秒可完成，每秒可

33、完成40,000次橢園曲線運算，其速度比次橢園曲線運算，其速度比1024 bits的的DSA和和RSA快快10倍。倍。 ECC的密鑰長度的密鑰長度m RSA的密鑰長度的密鑰長度 MIPS-年年 160 1024 1012 320 5120 1036 600 21000 1078 1200 120000 101682021/8/2542.3.1 分組密碼的工作模式分組密碼的工作模式2.3 網(wǎng)絡加密方法網(wǎng)絡加密方法 分組密碼可以按不同的模式工作，實際應用的環(huán)分組密碼可以按不同的模式工作，實際應用的環(huán)境不同應采用不同的工作模式境不同應采用不同的工作模式 電碼本電碼本(ECB)模式模式 密碼分組鏈接密

34、碼分組鏈接(CBC)模式模式 密碼反饋密碼反饋(CFB)模式模式 輸出反饋輸出反饋(OFB)模式模式 計數(shù)器計數(shù)器(CTR)模式模式2021/8/255 2.3.2 電碼本（電碼本（ECB）模式）模式 最簡單的運行模式，一次對一個最簡單的運行模式，一次對一個64bit長的明長的明文文 分組加密，且每次加密密鑰都相同。分組加密，且每次加密密鑰都相同。2021/8/256 在用于短數(shù)據(jù)（如加密密鑰）時非常理想，是安在用于短數(shù)據(jù)（如加密密鑰）時非常理想，是安 全傳遞全傳遞DES密鑰的最合適的模式密鑰的最合適的模式 在給定的密鑰下同一明文組總產(chǎn)生同樣的密文組。在給定的密鑰下同一明文組總產(chǎn)生同樣的密文組

35、。 這會暴露明文數(shù)據(jù)的格式和統(tǒng)計特征。這會暴露明文數(shù)據(jù)的格式和統(tǒng)計特征。 明文數(shù)據(jù)都有固定的格式，需要以協(xié)議的形式定明文數(shù)據(jù)都有固定的格式，需要以協(xié)議的形式定 義，重要的數(shù)據(jù)常常在同一位置上出現(xiàn)，使密碼義，重要的數(shù)據(jù)常常在同一位置上出現(xiàn)，使密碼 分析者可以對其進行統(tǒng)計分析、重傳和代換攻擊分析者可以對其進行統(tǒng)計分析、重傳和代換攻擊2021/8/2572.3.3 密碼分組鏈接（密碼分組鏈接（CBC）模式）模式 一次對一個明文分組加密，每次加密使用同一密一次對一個明文分組加密，每次加密使用同一密 鑰，加密算法的輸入是當前明文分組和前一次密鑰，加密算法的輸入是當前明文分組和前一次密 文分組的異或（在產(chǎn)

36、生第文分組的異或（在產(chǎn)生第1個密文分組時，需要個密文分組時，需要 有一個初始向量有一個初始向量IV與第一個明文分組異或）；與第一個明文分組異或）；2021/8/258 解密時，每一個密文分組被解密后，再與前一個解密時，每一個密文分組被解密后，再與前一個 密文分組異或（第一個密文分組解密后和初始向密文分組異或（第一個密文分組解密后和初始向 量量IV異或恢復出第一個明文分組）。異或恢復出第一個明文分組）。 2021/8/259 為使安全性最高，為使安全性最高，IV應像密鑰一樣被保護?？墒褂脩衩荑€一樣被保護。可使用ECB 加密模式來發(fā)送加密模式來發(fā)送IV； 保護保護IV原因是：如果敵手能欺騙接受方

37、使用不同的原因是：如果敵手能欺騙接受方使用不同的IV， 敵手就能夠在明文的第一個分組中插入自己選擇的比特值；敵手就能夠在明文的第一個分組中插入自己選擇的比特值； IV的完整性要比其保密性更為重要。在的完整性要比其保密性更為重要。在CBC模式下，最好模式下，最好 是每發(fā)一個消息，都改變是每發(fā)一個消息，都改變IV，比如將其值加一；，比如將其值加一； 由于由于CBC模式的鏈接機制，該模式對于加密長于模式的鏈接機制，該模式對于加密長于64bit的消的消 息非常合適；息非常合適； CBC模式除能獲得保密性外，還能用于認證。模式除能獲得保密性外，還能用于認證。2021/8/2602.3.4 密碼反饋（密碼

38、反饋（CFB）模式）模式 加密算法的輸入是加密算法的輸入是64bit移位寄存器，其初始值為某個初始向量移位寄存器，其初始值為某個初始向量IV，加密算法輸出的最左（最高有效位），加密算法輸出的最左（最高有效位）j bit與明文的第一個單與明文的第一個單元進行異或，產(chǎn)生第一個密文單元元進行異或，產(chǎn)生第一個密文單元 并傳送該單元。然后將移位并傳送該單元。然后將移位寄存器的內(nèi)容左移寄存器的內(nèi)容左移j位并將位并將 送入移位寄存器最右邊（最低有效位）送入移位寄存器最右邊（最低有效位）j位。這一過程持續(xù)到明文的所有單元都被加密為止位。這一過程持續(xù)到明文的所有單元都被加密為止1C1C2021/8/261 解密

39、時，將解密時，將 收到的密文收到的密文 單元與加密單元與加密 函數(shù)的輸出函數(shù)的輸出 進行異或進行異或l為什么此時仍然使用加密算法為什么此時仍然使用加密算法而不是解密算法？而不是解密算法？2021/8/262 利用利用CFB模式或者模式或者OFB模式可將模式可將DES轉換為流轉換為流 密碼；密碼； 流密碼不需要對消息進行填充，而且運行是實時流密碼不需要對消息進行填充，而且運行是實時 的，因此如果傳送字母流，可使用流密碼對每個的，因此如果傳送字母流，可使用流密碼對每個 字母直接加密進行傳送；字母直接加密進行傳送； CFB模式除了獲得保密性外，還能用于認證。模式除了獲得保密性外，還能用于認證。2021/8/2632.3.5 輸出反饋輸出反饋(OFB)模式模式 OFB模式的結構類似于模式的結構類似于CFB，不同之處在于：，不同之處在于： OFB模式將加密算法的輸出反饋到移位寄存器，模式將加密算法的輸出反饋到移位寄存器， 而而CFB模式中是將密文單元反饋到移位