信息保密技術課件

1、信息安全與技術清華大學出版社第3章 信息保密技術隨著計算機和通信網(wǎng)絡的廣泛應用，特別是電子商務的快速發(fā)展，信息的安全性受到人們的普遍重視，大量的敏感信息（如銀行帳號、商務交易、網(wǎng)上報稅以及個人信息等）需要通過網(wǎng)絡進行傳輸，這些信息對用戶來講需要保密，因此，密碼技術是信息安全的基礎，是保護數(shù)據(jù)不可或缺的重要工具，在信息安全領域占有重要地位。第1節(jié)密碼學的發(fā)展歷程人類早在遠古時期就有了相互隱瞞信息的想法，自從有了文字來表達人們的思想開始，人類就懂得了如何用文字與他人分享信息以及用文字秘密傳遞信息的方法，這就催生了信息保密科學的誕生和發(fā)展。密碼學的發(fā)展可以追溯到四千年前，其發(fā)展歷史比較悠久。密碼學的

2、發(fā)展大致經(jīng)歷了手工加密、機械加密和計算機加密三個階段。1手工加密階段2機械加密階段3計算機加密階段第2節(jié) 密碼學中的基本術語 密碼學的英文為Cryptography，該詞來源于古希臘語的Kryptos和Graphein，希臘語的原意是密寫術，即將易懂的信息（如文字）通過一些變換轉換成難以理解的信息（如令人費解的符號）。密碼學研究進行保密通信和如何實現(xiàn)信息保密的問題，具體指通信保密傳輸和信息存儲加密等。它以認識密碼變換的本質、研究密碼保密與破譯的基本規(guī)律為對象，主要以可靠的數(shù)學方法和理論為基礎，對解決信息安全中的機密性、數(shù)據(jù)完整性、認證和身份識別，對信息的可控性及不可抵賴性等問題提供系統(tǒng)的理論、

3、方法和技術。密碼學包括兩個分支：密碼編碼學和密碼分析學。密碼編碼學研究對信息進行編碼，實現(xiàn)對信息的隱藏；密碼分析學研究加密消息的破譯或消息的偽造。下面是密碼學中一些常用的術語：（1）明文（Plaintext/Message）：指待加密的信息，用P或M表示。明文可以是文本文件、圖形、數(shù)字化存儲的語音流或數(shù)字化的視頻圖像的比特流等。（2）密文（Cipertext）：指明文經(jīng)過加密處理后的形式，用C表示。（3）加密（Encryption）：指用某種方法偽裝消息以隱藏它的內容的過程。（4）加密算法（Encryption Algorithm）：指將明文變換為密文的變換函數(shù)，通常用E表示。（5）解密（De

4、cryption）：指把密文轉換成明文的過程。（6）解密算法（Decryption Algorithm）：指將密文變換為明文的變換函數(shù)，通常用D表示。（7）密鑰（Key）：變換函數(shù)所用的一個控制參數(shù)。加密和解密算法的操作通常是在一組密鑰控制下進行的，分別稱為加密密鑰和解密密鑰，通常用K表示。（8）密碼分析（Cryptanalysis）：指截獲密文者試圖通過分析截獲的密文從而推斷出原來的明文或密鑰的過程。（9）被動攻擊（Passive Attack）：指對一個保密系統(tǒng)采取截獲密文并對其進行分析和攻擊。這種攻擊對密文沒有破壞作用。（10）主動攻擊（Active Attack）：指攻擊者非法侵入一個

5、密碼系統(tǒng)，采用偽造、修改、刪除等手段向系統(tǒng)注入假消息進行欺騙。這種攻擊對密文具有破壞作用。（11）密碼系統(tǒng)（Cryptosystem）：指用于加密和解密的系統(tǒng)。加密時，系統(tǒng)輸入明文和加密密鑰，加密變換后，輸出密文；解密時，系統(tǒng)輸入密文和解密密鑰，解密變換后，輸出明文。（12）密碼體制：密碼系統(tǒng)采用的基本工作方式稱為密碼體制。密碼體制的要素是密碼算法和密鑰。根據(jù)密鑰的使用方式和密碼算法的加密方式可以對密碼系統(tǒng)進行不同的分類。第3節(jié)古典密碼體制 古典密碼時期一般認為是從古代到19世紀末，這個時期生產力水平低，加密、解密方法主要以紙、筆或者簡單的器械來實現(xiàn)，在這個時期提出和使用的密碼稱為古典密碼。古

6、典密碼是密碼學發(fā)展的初級階段。盡管古典密碼大都較簡單，但由于其安全性差，目前應用很少。研究古典密碼的原理，有助于理解、構造和分析近代密碼。替代（Substitution）和置換（Permutation）是古典密碼中用到的兩種基本處理技巧，它們在現(xiàn)代密碼學中也得到了廣泛使用。一、替代密碼 替代密碼（Substitution Cipher）是明文中的每一個字符被替換成密文中的另一個字符。接收者對密文做反向替換就可以恢復出明文。古典密碼學中采用代換運算的典型密碼算法有單表密碼、多表密碼等。1單表密碼單表密碼全稱單表替代密碼。單表替代密碼是對明文中的所有字母都使用同一個映射，即 為了保證加密的可逆性，

7、一般要求映射是一一映射。單表代換最典型的例子就是著名的凱撒密碼，一般意義上的單表替代也稱移位密碼、乘法密碼、仿射密碼、使用密鑰詞（組）的單表替代和隨機替代等。下面通過凱撒密碼和使用密鑰詞組的單表替代為例進行介紹。（1）凱撒密碼凱撒密碼是把字母表中的每個字母用該字母后面第3個字母進行替代，如表3-2所示。為便于區(qū)分，我們用小寫字母表示明文，大寫字母表示密文。例3-1 明文：this is a book。 密文：WKLV LV D ERRN。明文和密文空間是26個字母的循環(huán)，所以z后面的字母是a。如果為每個字母分配一個數(shù)值(a=0，b=l，z=25)，則該算法能夠表示如下：其中代表密文，代表明文。

8、（2）使用密鑰詞（組）的單表替代這種密碼選用一個英文短語或單詞串作為密鑰，去掉其中重復的字母得到一個無重復字母的字母串，然后再將字母表中的其他字母依次寫于此字母串之后，就可構造出一個字母替代表。這種單表替代泄露給破譯者的信息更少，而且密鑰可以隨時更改，增加了靈活性。例3-2 設密鑰為：time。密碼表如表3-3所示。因此，如果明文為“code”，則對應的密文為：“MNEA”。例3-3 設密鑰為：timeiup。密碼表如表3-4所示。因此，如果明文為“code”，則對應的密文為MHEI”。單表替代密碼的密鑰量很小，不能抵抗窮盡搜索攻擊。并且很容易受到統(tǒng)計分析的攻擊。因為如果密碼分析者知道明文的某

9、些性質（如非壓縮的英文），則分析者就能夠利用該語言的規(guī)律性進行分析，從這一點意義上講，漢語在加密方面的特性要優(yōu)于英語，因為漢語常用字有3 000多個，而英語只有26個字母。2多表密碼單表替代密碼的明文中單字母出現(xiàn)頻率分布與密文中的相同，為了克服這個缺點，多表替代密碼使用從明文字母到密文字母的多個映射來隱藏單字母出現(xiàn)的頻率分布，其中每個映射是簡單替代密碼中的一對一映射（即處理明文消息時使用不同的單字母替代）。多表替代密碼將明文字符劃分為長度相同的消息單元，稱之為明文組，對不同明文組進行不同的替代，即使用了多張單字母替代表，從而使同一個字符對應不同的密文，改變了單表代替中密文與明文字母的唯一對應性

10、，使密碼分析更加困難。多字母代替的優(yōu)點是很容易將字母的自然頻度隱蔽或均勻化，從而可以抗擊統(tǒng)計概率分析。Playfair密碼、Vigenere密碼、Hill密碼都是這一類型的密碼。（1）Playfair密碼Playfair密碼出現(xiàn)于1854年，它將明文中的雙字母組合作為一個單元對待，并將這些單元轉換為密文雙字母組合。Playfair密碼基于一個字母矩陣，該矩陣使用一個關鍵詞（密鑰）來構造，其構造方法是：從左至右、從上至下依次填入關鍵詞的字母（去除重復的字母），然后再以字母表順序依次填入其他字母。字母I和J被算為一個字母（即J被當做I處理）。例3-4 密鑰是monarchy。解：構造的字母矩陣如表

11、3-5所示。表3-5 字母矩陣表MONARCHYBDEFGI/JKLPQSTUVWXZ如果明文是：P= armuhsea先將明文分成兩個一組： ar mu hs ea 根據(jù)表3-5的對應密文為： RM CM BP IM(JM)Playfair密碼與簡單的單一字母替代法密碼相比有了很大的進步。首先，雖然僅有26個字母，但有676（）種雙字母組合，因此識別各種雙字母組合要比簡單的單一字母替代法密碼困難得多；其次，各個字母組的頻率要比單字母范圍大，這使得頻率分析更加困難。盡管如此，Playfair密碼還是相對容易攻破的，因為它仍然使許多明文語言的結構保存完好。幾百字的密文通常就足以用統(tǒng)計分析破譯了。

12、區(qū)別Playfair密碼和單表密碼的有效方法是：計算在文本中每個字母出現(xiàn)的數(shù)量，并與字母e（最為常用的字母）出現(xiàn)的數(shù)量相除，設e的相對頻率為1，則其他字母的相對頻率可以得出，如t的相對頻率為0.67，然后畫一個圖線，水平軸上的點對應于以遞減頻率順序排列的字母。為了歸一化該圖線，在密文中出現(xiàn)的每個字母的數(shù)量再次被e在明文中出現(xiàn)的次數(shù)相除。因此結果圖線顯示了由加密屏蔽的字母的頻率分布的程度，這使得分解替代密碼十分容易。如果該頻率分布信息全部隱藏在該加密過程中，頻率的明文圖線將是平坦的，使用單字母統(tǒng)計分析方法將很難破譯該密碼。（2）Vigenere密碼Vigenere密碼是16世紀法國著名密碼學家B

13、laise de Vigenere于1568年發(fā)明的，它是最著名的多表替代密碼的例子。Vigenere密碼使用一個詞組作為密鑰，密鑰中每一個字母用來確定一個替代表，每一個密鑰字母被用來加密一個明文字母，第一個密鑰字母加密明文的第一個字母，第二個密鑰字母加密明文的第二個字母，等所有密鑰字母使用完后，密鑰又再循環(huán)使用。為了幫助理解該算法，需要構造一個表（如圖3-3所示），26個密文都是水平排列的，最左邊一列為密鑰字母，最上面一行為明文字母。 （3）Hill密碼Hill密碼是由數(shù)學家Lester Hill于1929年研制的，它也是一種多表密碼，實際上它是仿射密碼技術的特例。其基本加密思想將個明文字母

14、通過線性變換，將它們轉換為個密文字母。解密只需做一次逆變換即可。Hill密碼特點：可以較好地抑制自然語言的統(tǒng)計特性，不再有單字母替換的一一對應關系，對抗“惟密文攻擊”有較高安全強度。密鑰空間較大，在忽略密鑰矩陣K可逆限制條件下， 。易受已知明文攻擊及選擇明文攻擊。二、置換密碼 置換密碼（Permutation Cipher）加密過程中明文的字母保持相同，但順序被打亂了，又被稱為換位密碼。在這里我們介紹一種較常見的置換處理方法是：將明文按行寫在一張格紙上，然后再按列的方式讀出結果，即為密文；為了增加變換的復雜性，可以設定讀出列的不同次序（該次序即為算法的密鑰）。在置換密碼中，明文的字母相同，但出

15、現(xiàn)的順序被打亂了，經(jīng)過多步置換會進一步打亂字母順序。但由于密文字符與明文字符相同，密文中字母的出現(xiàn)頻率與明文中字母的出現(xiàn)頻率相同，密碼分析者可以很容易地辨別。如果將置換密碼與其他密碼技術結合，則可以得出十分有效的密碼編碼方案第4節(jié) 對稱密碼體制 對稱密碼體制（Symmetric Encryption）也稱為秘密密鑰密碼體制、單密鑰密碼體制或常規(guī)密碼體制，其模型如圖所示。如果一個密碼算法的加密密鑰和解密密鑰相同，或由其中一個很容易推導出另一個，該算法就是對稱密碼算法，滿足關系： M=DK (C)=DK(EK(M) 。圖 對稱密碼模型一個攻擊者（密碼分析者）能基于不安全的公開信道觀察密文，但不能接

16、觸到明文或密鑰，他可以試圖恢復明文或密鑰。假定他知道加密算法和解密算法，只對當前這個特定的消息感興趣，則努力的焦點是通過產生一個明文的估計值來恢復明文。如果他也對讀取未來的消息感興趣，他就需要試圖通過產生一個密鑰的估計值來恢復密鑰，這是一個密碼分析的過程。對稱密碼體制的安全性主要取決于兩個因素：第一，加密算法必須足夠安全，使得不必為算法保密，僅根據(jù)密文就能破譯出消息是計算上不可行的；第二，密鑰的安全性，即密鑰必須保密并保證有足夠大的密鑰空間。對稱密碼體制要求基于密文和加密/解密算法的知識能破譯出消息的做法是計算上不可行的。對稱密碼算法的優(yōu)缺點如下：（1）優(yōu)點：加密、解密處理速度快，保密度高等。

17、（2）缺點：密鑰是保密通信安全的關鍵，發(fā)信方必須安全、妥善地把密鑰護送到收信方，不能泄露其內容。如何才能把密鑰安全地送到收信方，是對稱密碼算法的突出問題。對稱密碼算法的密鑰分發(fā)過程復雜，所花代價高；多人通信時密鑰組合的數(shù)量會出現(xiàn)爆炸性膨脹，使密鑰分發(fā)更加復雜化，若有個用戶進行兩兩通信，總共需要的密鑰數(shù)為個；通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。如果發(fā)信者與收信人素不相識，這就無法向對方發(fā)送秘密信息了。除了密鑰管理與分發(fā)問題，對稱密碼算法還存在數(shù)字簽名困難問題（通信雙方擁有同樣的消息，接收方可以偽造簽名，發(fā)送方也可以否認發(fā)送過某消息）。對稱密碼體制分為兩類：一類是對明文的單個位（或字節(jié)）進行

18、運算的算法，稱為序列密碼算法，也稱為流密碼算法（Stream cipher）；另一類算法是把明文信息劃分成不同的塊（或小組）結構，分別對每個塊（或小組）進行加密和解密，稱為分組密碼算法（Block cipher）。一、序列密碼 序列密碼分為同步序列密碼和自同步序列密碼兩種。同步序列密碼要求發(fā)送方和接收方必須是同步的，在同樣的位置用同樣的密鑰才能保證正確地解密。如果在傳輸過程中密文序列有被篡改、刪除、插入等錯誤導致同步失效，則不可能成功解密，只能通過重新同步來實現(xiàn)解密、恢復密文。在傳輸期間，一個密文位的改變只影響該位的恢復，不會對后繼位產生影響。自同步序列密碼的密鑰的產生與密鑰和已產生的固定數(shù)量

19、的密文位有關，因此，密文中產生的一個錯誤會影響到后面有限位的正確解密。所以，自同步密碼的密碼分析比同步密碼的密碼分析更加困難。序列密碼具有實現(xiàn)簡單、便于硬件計算、加密與解密處理速度快、低錯誤（沒有或只有有限位的錯誤）傳播等優(yōu)點，但同時也暴露出對錯誤的產生不敏感的缺點。序列密碼涉及大量的理論知識，許多研究成果并沒有完全公開，這也許是因為序列密碼目前主要用于軍事和外交等機要部門的緣故。目前，公開的序列密碼主要有RC4、SEAL等。1偽隨機序列在序列密碼中，一個好的密鑰流序列應該滿足：具有良好的偽隨機性，如極大的周期、極大的線性復雜度、序列中0和1的分布均勻；產生的算法簡單；硬件實現(xiàn)方便。2線性反饋

20、移位寄存器通常，產生密鑰流序列的硬件是反饋移位寄存器。一個反饋移位寄存器由兩部分組成：移位寄存器和反饋函數(shù)（如圖所示）。anan-1a2a1反饋函數(shù)移位寄存器輸出位圖3-6 反饋移位寄存器3RC4RC4是由麻省理工學院的Ron Rivest教授在1987年為RSA公司設計的一種可變密鑰長度、面向字節(jié)流的序列密碼。RC4是目前使用最廣泛的序列密碼之一，已應用于Microsoft Windows、Lotus Notes和其他應用軟件中，特別是應用到SSL協(xié)議和無線通信方面。RC4算法很簡單，它以一個數(shù)據(jù)表為基礎，對表進行非線性變換，從而產生密碼流序列。RC4包含兩個主要算法：密鑰調度算法（Key-

21、Scheduling Algorithm，KSA）和偽隨機生成算法（Pseudo Random Generation Algorithm，PRGA）。二、分組密碼 分組密碼的本質就是由密鑰控制的從明文空間（長為的比特串的集合）到密文空間（長為的比特串的集合）的一個一對一映射。為了保證密碼算法的安全強度，加密變換的構造應遵循下列幾個原則：（1）分組長度足夠大。當分組長度較小時，容易受到暴力窮舉攻擊，因此要有足夠大的分組長度來保證足夠大的明文空間，避免給攻擊者提供太多的明文統(tǒng)計特征信息。（2）密鑰量空間足夠大，以抵抗攻擊者通過窮舉密鑰破譯密文或者獲得密鑰信息。（3）加密變換足夠復雜，以加強分組密碼

22、算法自身的安全性，使攻擊者無法利用簡單的數(shù)學關系找到破譯缺口。（4）加密和解密運算簡單，易于實現(xiàn)。分組加密算法將信息分成固定長度的二進制位串進行變換。為便于軟、硬件的實現(xiàn)，一般應選取加法、乘法、異或和移位等簡單的運算，以避免使用逐比特的轉換。（5）加密和解密的邏輯結構最好一致。如果加密、解密過程的算法邏輯部件一致，那么加密、解密可以由同一部件實現(xiàn)，區(qū)別在于所使用的密鑰不同，以簡化密碼系統(tǒng)整體結構的復雜性。三、數(shù)據(jù)加密標準DES 20世紀60年代末，IBM公司開始研制計算機密碼算法，在1971年結束時提出了一種稱為Luciffer的密碼算法，它是當時最好的算法，也是最初的數(shù)據(jù)加密算法。1973年

23、美國國家標準局（NBS，現(xiàn)在的美國國家標準技術研究所，NIST）征求國家密碼標準方案，IBM就提交了這個算法。1977年7月15日，該算法被正式采納作為美國聯(lián)邦信息處理標準生效，成為事實上的國際商用數(shù)據(jù)加密標準被使用，即數(shù)據(jù)加密標準（Data Encryption Standard，DES）。當時規(guī)定其有效期為5年，后經(jīng)幾次授權續(xù)用，真正有效期限長達20年。在這20年中，DES算法在數(shù)據(jù)加密領域發(fā)揮了不可替代的作用。 進入20世紀90年代以后，由于DES密鑰長度偏短等缺陷，不斷受到諸如差分密碼分析（由以色列密碼專家Shamir提出）和線性密碼分析（由日本密碼學家Matsui等人提出）等各種攻擊

24、威脅，使其安全性受到嚴重的挑戰(zhàn)，而且不斷傳出被破解的消息。鑒于此，美國國家保密局經(jīng)多年授權評估后認為，DES算法已沒有安全性可言。于是NIST決定在1998年12月以后不再使用DES來保護官方機密，只推薦作為一般商業(yè)使用。1999年又頒布新標準，并規(guī)定DES只能用于遺留密碼系統(tǒng)，但可以使用加密的3DES加密算法。但不管怎樣，DES的出現(xiàn)推動了分組密碼理論的研究，起到了促進分組密碼發(fā)展的重要作用，而且它的設計思想對掌握分組密碼的基本理論和工程應用有著重要的參考價值。1DES算法加密過程DES對64位的明文分組進行操作。通過一個初始置換，將明文分組分成左半部分和右半部分，各32位長。然后進行16輪

25、完全相同的運算，這些運算被稱為函數(shù)，在運算過程中數(shù)據(jù)與密鑰結合。經(jīng)過16輪后，左、右半部分合在一起，經(jīng)過一個末置換（初始置換的逆置換），這樣該算法就完成了。DES算法的加密過程如圖3-9所示。64位明文初始置換IP乘積變換逆初始置換IP-164位密文圖3-9 DES算法DES算法的特點如下所述：分組加密算法。以64位為分組，64位一組的明文從算法一端輸入，64位密文從另一端輸出；對稱算法。加密和解密用同一密鑰；有效密鑰長度為56位。密鑰通常表示為64位數(shù)，但每個第8位用作奇偶校驗，可以忽略；替代和置換。DES算法是兩種加密技術的組合先替代后置換；易于實現(xiàn)。DES算法只是使用了標準的算術和邏輯運

26、算，其作用的數(shù)最多也只有64位，因此用20世紀70年代末期的硬件技術很容易實現(xiàn)。DES算法的安全隱患：現(xiàn)在來看，DES算法具有以下三點安全隱患：（1）密鑰太短。DES的初始密鑰實際長度只有56位，批評者擔心這個密鑰長度不足以抵抗窮舉搜索攻擊，窮舉搜索攻擊破解密鑰最多嘗試的次數(shù)為次，不太可能提供足夠的安全性。1998年前只有DES破譯機的理論設計，1998年后出現(xiàn)實用化的DES破譯機。（2）DES的半公開性。DES算法中的8個盒替換表的設計標準（指詳細準則）自DES公布以來仍未公開，替換表中的數(shù)據(jù)是否存在某種依存關系，用戶無法確認。（3）DES迭代次數(shù)偏少。DES算法的16輪迭代次數(shù)被認為偏少，

27、在以后的DES改進算法中，都不同程度地進行了提高。第5節(jié) 非對稱密碼體制 1976年Diffie與Hellman在IEEE期刊上提出了劃時代的公開密鑰密碼系統(tǒng)的概念，這個觀念為密碼學的研究開辟了一個新的方向，有效地解決了秘密密鑰密碼系統(tǒng)通訊雙方密鑰共享困難的缺點，并引進了創(chuàng)新的數(shù)字簽名的觀念。非對稱密碼系統(tǒng)（Asymmetric Encryption）可為加解密或數(shù)字簽名系統(tǒng)。由于加密或簽名驗證密鑰是公開的，故稱為公鑰（public key），而解密或簽名產生密鑰是秘密的，故稱為私鑰（private key）。因為公鑰與私鑰不同，且公鑰與私鑰必須存在成對（key pair）與唯一對應的數(shù)學關系

28、，使得由公鑰去推導私鑰在計算上不可行，因此非對稱密碼系統(tǒng)又稱為公開密鑰系統(tǒng)或雙鑰系統(tǒng)，其模型如圖所示。公鑰密碼體制的公鑰密碼算法是基于數(shù)學問題求解的困難性而提出的算法，它不再是基于替代和置換的方法。圖 非對稱密碼模型公鑰密碼體制的產生主要基于以下兩個原因：一是為了解決常規(guī)密鑰密碼體制的密鑰管理與分配的問題；二是為了滿足對數(shù)字簽名的需求。因此，公鑰密碼體制在消息的保密性、密鑰分配和認證領域有著重要的意義。在公鑰密碼體制中，公鑰是可以公開的信息，而私鑰是需要保密的。加密算法和解密算法也都是公開的。用公鑰對明文加密后，僅能用與之對應的私鑰解密，才能恢復出明文，反之亦然。公鑰密碼體制的優(yōu)缺點：優(yōu)點：網(wǎng)

29、絡中的每一個用戶只需要保存自己的私鑰，個用戶僅需產生對密鑰。密鑰少，便于管理；密鑰分配簡單，不需要秘密的通道和復雜的協(xié)議來傳送密鑰。公鑰可基于公開的渠道（如密鑰分發(fā)中心）分發(fā)給其他用戶，而私鑰則由用戶自己保管；可以實現(xiàn)數(shù)字簽名。缺點：與對稱密碼體制相比，公鑰密碼體制的加密、解密處理速度較慢，同等安全強度下公鑰密碼體制的密鑰位數(shù)要求多一些。公鑰密碼體制比較流行的主要有兩類：一類是基于因子分解難題的，其中最典型的是RSA密碼算法；另一類是基于離散對數(shù)難題的，如EIGamal公鑰密碼體制和橢圓曲線公鑰密碼體制。一、RSA密碼算法 RSA密碼算法是美國麻省理工學院的Rivest、Shamir和Adleman三位學者于1978年提出的。RSA密