密碼學課件：三、密碼學基本概念

1、密碼學中的基本概念主要內(nèi)容密碼學的發(fā)展網(wǎng)絡時代的密碼學術語加密算法的分類現(xiàn)代密碼學解決的基本安全問題密碼學的發(fā)展密碼學(Cryptology): 是研究信息系統(tǒng)安全保密的科學。密碼編碼學(Cryptography)：主要研究對信息進行編碼，實現(xiàn)對信息的隱蔽。密碼分析學(Cryptanalytics)：主要研究加密消息的破譯或消息的偽造。密碼學的發(fā)展三個階段：1949年之前的密碼學19491975年密碼學成為科學1976年以后密碼學的新方向公鑰密碼學第1階段古典密碼密碼學還不是科學,而是藝術出現(xiàn)一些密碼算法和加密設備密碼算法的基本手段出現(xiàn)，針對的是字符簡單的密碼分析手段出現(xiàn)主要特點：數(shù)據(jù)的安全基

2、于算法的保密Phaistos(斐斯托斯)圓盤，一種直徑約為160mm的粘土圓盤，始于公元前17世紀。表面有明顯字間空格的字母，至今還沒有破解。第1階段古典密碼20世紀早期密碼機1883年Kerchoffs（19世紀荷蘭密碼學家）第一次明確提出了編碼的原則：加密算法應建立在算法的公開不影響明文和密鑰的安全。這一原則已得到普遍承認，成為判定密碼強度的衡量標準，實際上也成為傳統(tǒng)密碼和現(xiàn)代密碼的分界線。第1階段古典密碼第2階段 19491975 計算機使得基于復雜計算的密碼成為可能 相關技術的發(fā)展1949年Shannon的“The Communication Theory of Secret Syst

3、ems” 1967年David Kahn的The Codebreakers1971-1973年IBM Watson實驗室的Horst Feistel等幾篇技術報告主要特點：數(shù)據(jù)的安全基于密鑰而不是算法的保密 第3階段 19761976年：Diffie & Hellman 的 “New Directions in Cryptography” 提出了不對稱密鑰；1977年Rivest,Shamir & Adleman提出了RSA公鑰算法90年代逐步出現(xiàn)橢圓曲線等其他公鑰算法主要特點：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡芫W(wǎng)絡時代的密碼學1.隨著信息技術的發(fā)展和信息社會的來臨，信息安

4、全越來越重要。2.密碼技術在網(wǎng)絡信息安全中發(fā)揮重要作用，保證信息的機密性、完整性和真實性，防止信息被篡改、偽造和假冒等。3.密碼算法是密碼技術的核心4.密碼技術已滲透到信息系統(tǒng)安全工程的多個領域和大部分安全技術或機制中5.對密碼學和密碼技術一無所知的人，不可能從技術層面上完全理解信息安全?，F(xiàn)代密碼學解決的基本安全問題（1）機密問題除了信息的授權人可以擁有信息以外，其他人都不可獲得信息內(nèi)容。在密碼學中，主要是通過加密和解密算法來完成這項任務?，F(xiàn)代密碼學解決的基本安全問題（2）數(shù)據(jù)真實完整問題數(shù)據(jù)的真實完整性是針對數(shù)據(jù)的非法變更。為了做到這一點，必須提供發(fā)現(xiàn)非授權人對數(shù)據(jù)變動的機制。許多密碼工具可

5、以提供這一機制，如Hash函數(shù)等?，F(xiàn)代密碼學解決的基本安全問題（3）認證問題是與身份識別相關的問題。雙方在進行通信之前，需要識別對方的身份；另外，在信道上傳輸?shù)囊粭l信息也需要識別何時、何地、何內(nèi)容由何人發(fā)出。因此，認證在密碼學中常常被分成兩類：實體認證和數(shù)據(jù)源認證。數(shù)據(jù)源認證實際上包含了數(shù)據(jù)真實性認證，因為如果數(shù)據(jù)被修改，數(shù)據(jù)源也就發(fā)生了變更?，F(xiàn)代密碼學解決的基本安全問題（4）不可否認問題防止實體否認從前行為。例如，一個實體與另一個實體簽署購買合同，但事后其中一方否認簽署過，這時需要一個可信第三方來解決爭議。第三方在解決爭議時，需要使用必要的技術手段。在密碼學中，解決這一問題的手段常用數(shù)字簽名

6、。術語Shannon保密通信模型發(fā)送者Alice密鑰源分析者Eve接收者Bob安全信道公共信道加密器Ek解密器Dk明文m密文c明文m密鑰k密鑰k（1）通信中的參與者發(fā)送者(Alice，艾麗斯)： 在雙方交互中合法的信息發(fā)送實體。接收者(Bob，鮑勃)： 在雙方交互中合法的信息接收實體。分析者(Eve，伊夫)： 破壞通信接收和發(fā)送雙方正常安全通信的其它實體。發(fā)送者和接受者被稱為用戶。術語（2）明文和密文明文或消息(plaintext，message)： 尚未隱藏或未被加密的信息，用P或M表示。明文的集合稱為明文信息空間，用SP表示。密文(ciphertext)： 被加密（encryption）后

7、的消息稱為密文，用C表示。所有的密文構成密文信息空間，用SC表示。術語（3）密鑰明文到密文的轉換由一些特殊的函數(shù)完成，控制這些函數(shù)的參數(shù)稱為密鑰（key），用K表示。所謂密鑰，是指由用戶事先選定的較短的字符或數(shù)字序列，起作用近似于打開保險箱的鑰匙。所有的密鑰集合構成密鑰空間，用SK表示。密鑰空間中不相同密鑰的個數(shù)稱為密鑰體制的密鑰量，它是衡量密碼體制安全性的一個重要指標。在公開密鑰加密方法中，密鑰長度越大，密文越安全，但是加密速度越慢。術語（4）加密與解密加密：在密鑰K的作用下，把明文P從SP對應到SC的一種變換，記為： EK:SPSC則明文和密文的關系可表示為： C=EK(P)術語（4）加密

8、與解密解密（Decryption）：密文傳送到接收者，合法用戶利用密鑰對密文C進行與加密變換相反的逆變換，稱為解密變換。把密文C從SC對應到SP的變換： DK:SCSP P=DK(C)=DK(EK(P)DK和EK可逆變換對。K不同DK和EK也不同，因此，信息的保密性依賴于密鑰K的保密性。術語（5）密碼體制一個完整的密碼體制（cryptosystem）由5部分組成：明文信息空間SP密文信息空間SC密鑰空間SK加密變換族EK解密變換族DK術語（5）密碼體制密碼體制滿足4個要求：加、解密變換對所有密鑰都一致有效。體制必須簡單易行，易于找到密鑰用于逆變換體制的安全性僅依賴于密鑰的保密性，而不能依賴于加

9、、解密算法的強度。加密變換EK必須避免當P1P2，而對應的密文EK(P1)= EK(P2)=C的情況。術語（6）信道信道：從一個實體向另一個實體傳遞信息的通路。安全信道：分析者沒有能力對其上的信息進行閱讀、刪除、修改、添加的信道。公共信道：分析者可以任意對其上的信息進行閱讀、刪除、修改、添加的信道。術語（7）分析者的目的解讀公共信道上的密文消息。 (被動)確定密鑰以解讀所有用該密鑰加密的密文消息。 (被動)變更密文消息已使接受者(Bob)認為變更消息來自發(fā)送者(Alice)。 (主動)冒充密文消息發(fā)送者(Alice)與接收者(Bob)通信，以使接受者(Bob)相信消息來自真實的發(fā)送者(Alic

10、e)。(主動)術語（8）常見的攻擊形式唯密文攻擊：ciphertext-only attack分析者僅知道密碼算法E以及截獲的密文，由此要得到明文或密鑰。表述如下：已知：C1=Ek(P1)，C2=Ek(P2)，Ci=Ek(Pi)任務目標：推導出P1,P2,Pi或密鑰k由于分析者所能利用的數(shù)據(jù)資源僅為密文，這對密碼分析是最不利的情況。術語（8）常見的攻擊形式已知明文攻擊：plaintext-known attack分析者根據(jù)已知的某些“明文-密文”對來破譯密碼。任務是推出密鑰或某種算法，這種算法可以對用該密鑰加密的任何新的消息進行解密。表述為：已知：P1和 C1=Ek(P1)，P2和C2=Ek(

11、P2)，Pi和Ci=Ek(Pi)任務目標：推導出密鑰k，或找到從截獲的密文Ci+1推出明文的Pi+1算法。術語（8）常見的攻擊形式選擇明文攻擊：chosen-plaintext attack相對于已知明文攻擊，分析者可選擇特定的明文，并得到對應的密文。并比較明文對應的密文，以分析和發(fā)現(xiàn)更多的與密鑰相關的信息。表述為：已知：P1和 C1=Ek(P1)，P2和C2=Ek(P2)，Pi和Ci=Ek(Pi)，其中P1，P2，Pi由分析者選定。任務目標：推導出密鑰k，或找到從截獲的密文Ci+1推出明文的Pi+1算法。術語（8）常見的攻擊形式選擇密文攻擊：chosen-ciphertext attack分

12、析者可以選擇一些密文，得到相應的明文。任務目標是推出密鑰。這種密碼分析主要用于攻擊公鑰密碼體制。表述為已知：C1和 P1=Dk(C1)，C2和P2=Dk(C2)，Ci和Pi=Dk(Ci)，其中C1，C2，Ci由分析者選定。任務目標：推導出密鑰k。唯密文攻擊最困難，強度最弱，其他攻擊強度依次增加。對分析者選擇明文攻擊最有利。術語（8）常見的攻擊形式窮舉攻擊法：窮舉攻擊法又稱為強力或者蠻力（brute force）攻擊。 對截獲的密文嘗試所有可能的密鑰，直到獲得一種從密文到明文的可理解的轉換。 或使用不變的密鑰對所有可能的明文加密直到得到與截獲的密文一致為止。顯然，對于任何已知密碼算法的密碼系統(tǒng)，

13、只要攻擊者有足夠多的計算資源，該方法是可能成功。 術語（8）常見的攻擊形式窮舉攻擊法：事例：1997年6月18日，美國科羅拉多州以Rocke Verser為首的一個工作小組宣布，通過互聯(lián)網(wǎng)利用數(shù)萬臺計算機，歷時四個多月，采用窮舉攻擊破譯了DES-64密碼算法，這是窮舉攻擊的一個很好的例證。對抗窮舉攻擊的主要方法有：增加密鑰長度，在明文、密文中增加隨機冗余信息等。 術語（9）密碼系統(tǒng)的安全性評估密碼系統(tǒng)安全性主要有三種方法： 1. 無條件安全性 假定攻擊者擁有無限的計算資源，但仍然無法破譯該密碼系統(tǒng)。 1918年，AT&T工程師Gilbert Vernam發(fā)明一次一密密碼方案，是最早被認為是無條

14、件安全。 使用與消息一樣長的隨機密鑰； 密鑰的使用永不重復；產(chǎn)生不帶有與明文有任何統(tǒng)計關系的隨機輸出，理論上不可破譯。但不實用，密鑰生成和管理困難。完全的一次一密密碼體制只有理論上的意義。術語（9）密碼系統(tǒng)的安全性評估密碼系統(tǒng)安全性主要有三種方法： 2. 計算安全性 使用目前最好的方法攻破它所需要的計算遠遠超出攻擊者的計算資源水平。 理論上只有一次一密的系統(tǒng)才能真正實現(xiàn)無條件安全，除此之外的系統(tǒng)都至少可以使用一種只有密文的攻擊方法來破譯，就是窮舉攻擊法。當密鑰空間足夠大，在希望的時間內(nèi)或實際的資源條件下不能成功。計算安全性又稱為實際安全性。術語（9）密碼系統(tǒng)的安全性評估密碼系統(tǒng)安全性主要有三種

15、方法： 3. 可證明安全性 將密碼系統(tǒng)的安全性歸結為某個經(jīng)過深入研究的數(shù)學難題（如大整數(shù)素因子分解、計算離散對數(shù)等），數(shù)學難題被證明求解困難。 問題在于：該密碼方法的安全性與某個困難問題相關，但沒有完全證明問題本身的安全性。術語（9）密碼系統(tǒng)的安全性密碼系統(tǒng)要達到實際安全性，滿足以下準則：破譯所需的實際計算量（包括計算時間或費用）十分巨大，以至于在實際上無法實現(xiàn)。破譯所需的計算實際超過被加密信息有用的生命周期。如戰(zhàn)斗打響的命令只需保密到戰(zhàn)斗打響前等。破譯所需的費用超過被加密信息本身的價值。如果一個密碼系統(tǒng)滿足以上準則之一，認為滿足實際安全性。術語（10） Kerckhoffs準則 荷蘭人Aug

16、uste Kerckhoff（柯克霍夫）在1883年，軍事密碼學中提出的基本假設：即使密碼系統(tǒng)中的算法為密碼分析者所知，也難以從截獲的密文推導出明文或密鑰。 也就是說：密碼體制的安全性僅依賴于對密鑰的保密，不依賴于對算法的保密。 意味著密碼算法可以公開，也可以被分析，即使攻擊者知道密碼算法也沒有關系。術語（10） Kerckhoffs準則 對商用密碼系統(tǒng)，公開的優(yōu)點有：可對安全性進行公開測試評估防止設計者在算法中隱藏后門易于密碼算法的標準化利于相關產(chǎn)品的規(guī)?；a(chǎn)，低成本高性能世界各主要國家都有強大的專業(yè)密碼設計與分析團隊，但軍政核心密碼都不公開加密算法。術語（11）單向函數(shù)定義：設定義域為X

17、，值域為Y，函數(shù)y=f(x)稱為單向函數(shù)：如果對于所有xX計算f(x)都是“容易的”，而對于“基本上所有yY”發(fā)現(xiàn)任意一個xX滿足f(x)=y都是“計算不可能的”。實例：大整數(shù)分解問題離散對數(shù)問題背包問題術語xf(x)HardEasy（12）陷門單向函數(shù)定義：陷門單向函數(shù)是單向函y=f(x)再附加如下特性：如果給定一些附加信息，就對任意yY求解xX滿足fK(x)=y都變得“容易了”。這些附加信息稱之為陷門信息K。術語密碼體制的分類1.分組密碼和流密碼根據(jù)明文的處理方法分為兩類：分組密碼(block cipher)：將明文分成固定長度的組，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。流

18、密碼(stream cipher)：又稱序列密碼。序列密碼每次加密一位或一字節(jié)的明文，也可以稱為流密碼。密碼體制的分類2. 對稱密碼體制和非對稱密碼體制根據(jù)加密和解密過程所采用密鑰的特點可以將密碼體制分為兩類：對稱密碼體制和非對稱密碼體制（公開密碼體制）。對稱密碼體制# 加密密鑰與解密密鑰同：K1=K2在通信前，由發(fā)送方生成密鑰，通過安全信道送到接收方。對稱密碼體制優(yōu)點：加、解密處理速度快，效率高，算法安全性高。局限性或不足：（1）密鑰分發(fā)過程復雜，代價高。安全信道的建立是突出問題。（2）密鑰管理量的困難。用戶增多，密鑰量增加，密鑰管理復雜化。 如n個用戶兩兩保密通信，則每個用戶需要獲取并保管

19、(n-1)個密鑰，總密鑰量為n(n-1)/2，當n=100時，密鑰量是4995個；當n=5000時，密鑰量是12497500個。對稱密碼體制優(yōu)點：加、解密處理速度快，效率高，算法安全性高。局限性或不足：（3）保密通信系統(tǒng)的開放性差。如果收發(fā)雙方素不相識，或沒有可靠的密鑰傳遞渠道，則無法通信。（4）存在數(shù)字簽名的困難性。當用對稱密碼算法實現(xiàn)數(shù)字簽名時，由于通信雙方擁有相同的密鑰，使得接收方可以偽造數(shù)字簽名，發(fā)送方可以抵賴發(fā)送過的消息。對稱密碼體制對稱密鑰密碼體制可分為： 分組密碼每次對一塊數(shù)據(jù)加密。如，多數(shù)網(wǎng)絡加密應用：DES、IDEA、RC6、Rijndael等 流密碼每次對一位或一字節(jié)加密。如，手機、One-time padding、Vigenre、Vernam等非對稱密碼體制# 加密密鑰與解密密鑰不同：K1K2在通信前，每個用戶都有一對用于加密和解密的密鑰對，公鑰可以發(fā)布，私鑰自己保管。非對稱密碼體制優(yōu)點：（1）密鑰分配簡單。不需要安全方式傳送密鑰。公鑰可以由密鑰分發(fā)中心分發(fā)，私鑰由用戶秘密保管。（2）系統(tǒng)密鑰量少，便于管理。n個用戶僅需要產(chǎn)生n對密鑰。（3）系統(tǒng)開放性好（4）可以實現(xiàn)數(shù)字簽名局限性：與對稱密碼體制相比，加、解密運算復雜，處理速度較慢，同等安全強度下，非