信息安全問(wèn)題的思考與對(duì)策

1、信息安全問(wèn)題的思考與對(duì)策第1頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一目 錄1、密碼學(xué)的基本概念2、古典密碼3、數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）4、高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)（AES）5、中國(guó)商用密碼（SMS4）6、分組密碼的應(yīng)用技術(shù)7、序列密碼8、習(xí)題課：復(fù)習(xí)對(duì)稱(chēng)密碼9、公開(kāi)密鑰密碼（1）第2頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一目 錄10、公開(kāi)密鑰密碼（2）11、數(shù)字簽名（1）12、數(shù)字簽名（2）13、HASH函數(shù)14、認(rèn)證15、密鑰管理16、PKI技術(shù)17、習(xí)題課：復(fù)習(xí)公鑰密碼18、總復(fù)習(xí)/檢查：綜合實(shí)驗(yàn)第3頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一一、ELGa

2、mal公鑰密碼的基本情況1、基本情況：ELGamal密碼是除了RSA密碼之外最有代表性的公開(kāi)密鑰密碼。RSA密碼建立在大合數(shù)分解的困難性之上。ELGamal密碼建立在離散對(duì)數(shù)的困難性之上。第4頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一一、ELGamal公鑰密碼的基本情況2、離散對(duì)數(shù)問(wèn)題：設(shè)p為素?cái)?shù)，則模p的剩余構(gòu)成有限域： Fp=0,1,2, ,p-1Fp 的非零元構(gòu)成循環(huán)群Fp* Fp* =1,2, ,p-1 =，2，3，p-1，則稱(chēng)為Fp*的生成元或模 p 的本原元。求的摸冪運(yùn)算為:y =x mod p，1xp-1, 第5頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期

3、一一、ELGamal公鑰密碼的基本情況2、離散對(duì)數(shù)問(wèn)題：求對(duì)數(shù) X 的運(yùn)算為 x=logy，1xp-1由于上述運(yùn)算是定義在模p有限域上的，所以稱(chēng)為離散對(duì)數(shù)運(yùn)算。從x計(jì)算y是容易的?？墒菑膟計(jì)算x就困難得多，利用目前最好的算法，對(duì)于小心選擇的p將至少需用O(p )次以上的運(yùn)算，只要p足夠大，求解離散對(duì)數(shù)問(wèn)題是相當(dāng)困難的。第6頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼準(zhǔn)備：隨機(jī)地選擇一個(gè)大素?cái)?shù)p，且要求p-1有大素?cái)?shù)因子。再選擇一個(gè)模p的本原元。將p和公開(kāi)。 密鑰生成用戶(hù)隨機(jī)地選擇一個(gè)整數(shù)d作為自己的秘密的解密鑰，2dp-2 。計(jì)算y=d mod p，取y

4、為自己的公開(kāi)的加密鑰。由公開(kāi)鑰y 計(jì)算秘密鑰d，必須求解離散對(duì)數(shù)，而這是極困難的。 第7頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼 加密將明文消息M（0Mp-1)加密成密文的過(guò)程如下：隨機(jī)地選取一個(gè)整數(shù)k，2kp-2。計(jì)算： U y k mod p； C1k mod p； C2UM mod p；取 C（C1 ，C2）作為的密文。 第8頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼 解密將密文（C1 ，C2）解密的過(guò)程如下：計(jì)算VC1 d mod p；計(jì)算MC2 V -1 mod p。第9頁(yè)，共48頁(yè)，2022年，5

5、月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼解密的可還原性可證明如下： C2 V-1 mod p (UM)V-1 mod p UM（C1 d）-1 mod p UM（k）d）-1 mod p UM（d）k）-1 mod p UM（y）k）-1 mod p UM（U）-1 mod p M mod p 第10頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼 安全性由于ELGamal密碼的安全性建立在GF（p）離散對(duì)數(shù)的困難性之上，而目前尚無(wú)求解GF（p）離散對(duì)數(shù)的有效算法，所以在p足夠大時(shí)ELGamal密碼是安全的。為了安全p應(yīng)為150位以上的十進(jìn)制

6、數(shù)，而且p-1應(yīng)有大素因子。為了安全加密和簽名所使用的k必須是一次性的。d和k都不能太小。第11頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼 安全性如果 k不是一次性的，時(shí)間長(zhǎng)了就可能被攻擊著獲得。又因y是公開(kāi)密鑰，攻擊者自然知道。于是攻擊者就可以根據(jù)Uy k mod p計(jì)算出U，進(jìn)而利用Euclid算法求出U1。又因?yàn)楣粽呖梢垣@得密文C2，于是可根據(jù)式C2UM mod p通過(guò)計(jì)算U1C2得到明文M。設(shè)用同一個(gè)k加密兩個(gè)不同的明文M和M，相應(yīng)的密文為（C1 ，C2）和（C1，C2）。因?yàn)镃2C2 MM，如果攻擊者知道M，則很容易求出M。 第12頁(yè)，共4

7、8頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼 ELGamal密碼的應(yīng)用 由于ELGamal密碼的安全性得到世界公認(rèn)，所以得到廣泛的應(yīng)用。著名的美國(guó)數(shù)字簽名標(biāo)準(zhǔn)DSS，采用了ELGamal密碼的一種變形。為了適應(yīng)不同的應(yīng)用，人們?cè)趹?yīng)用中總結(jié)出18種不同的ELGamal密碼的變形。第13頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一二、 ELGamal公鑰密碼 ELGamal密碼的應(yīng)用 加解密速度快由于實(shí)際應(yīng)用時(shí)ELGamal密碼運(yùn)算的素?cái)?shù)p比RSA要小，所以ELGamal密碼的加解密速度比RSA稍快。隨機(jī)數(shù)源由ELGamal密碼的解密鑰d和隨機(jī)數(shù)k都應(yīng)是

8、高質(zhì)量的隨機(jī)數(shù)。因此，應(yīng)用ELGamal密碼需要一個(gè)好的隨機(jī)數(shù)源，也就是說(shuō)能夠快速地產(chǎn)生高質(zhì)量的隨機(jī)數(shù)。大素?cái)?shù)的選擇為了ELGamal密碼的安全，p應(yīng)為150位（十進(jìn)制數(shù)）以上的大素?cái)?shù)，而且p-1應(yīng)有大素因子。 第14頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼1、橢圓曲線密碼的一般情況受ELGamal密碼啟發(fā)，在其它離散對(duì)數(shù)問(wèn)題難解的群中，同樣可以構(gòu)成ELGamal密碼。于是人們開(kāi)始尋找其它離散問(wèn)題難解的群。研究發(fā)現(xiàn)，有限域GF（p）上的橢圓曲線的解點(diǎn)構(gòu)成交換群，而且離散對(duì)數(shù)問(wèn)題是難解的。于是可在此群上建立ELGamal密碼，并稱(chēng)為橢圓曲線密碼。第15頁(yè)，共48頁(yè)

9、，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼1、橢圓曲線密碼的一般情況橢圓曲線密碼已成為除RSA密碼之外呼聲最高的公鑰密碼之一。它密鑰短、簽名短，軟件實(shí)現(xiàn)規(guī)模小、硬件實(shí)現(xiàn)電路省電。普遍認(rèn)為，160位長(zhǎng)的橢圓曲線密碼的安全性相當(dāng)于1024位的RSA密碼，而且運(yùn)算速度也較快。第16頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼1、橢圓曲線密碼的一般情況一些國(guó)際標(biāo)準(zhǔn)化組織已把橢圓曲線密碼作為新的信息安全標(biāo)準(zhǔn)。如，IEEE P1363/D4，ANSI F9.62，ANSI F9.63等標(biāo)準(zhǔn)，分別規(guī)范了橢圓曲線密碼在Internet協(xié)議安全、電子商務(wù)、Web服務(wù)

10、器、空間通信、移動(dòng)通信、智能卡等方面的應(yīng)用。第17頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼2、橢圓曲線設(shè)p是大于3的素?cái)?shù)，且4a3+27b2 0 mod p ，稱(chēng) y2 =x3 +ax+b ，a,bGF(p) 為GF（p）上的橢圓曲線。由橢圓曲線可得到一個(gè)同余方程： y2 =x3 +ax+b mod p其解為一個(gè)二元組，x,yGF(p)，將此二元組描畫(huà)到橢圓曲線上便為一個(gè)點(diǎn)，于是又稱(chēng)其為解點(diǎn)。第18頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼2、橢圓曲線 為了利用解點(diǎn)構(gòu)成交換群，需要引進(jìn)一個(gè)O元素，并定義如下的加法運(yùn)算：定義單位元 引

11、進(jìn)一個(gè)無(wú)窮點(diǎn)O（，），簡(jiǎn)記為0，作為0元素。 O（，）O（，）000 。并定義對(duì)于所有的解點(diǎn)P（x ，y）， P（x ，y）+OO+ P（x ，y）P（x ，y）。 第19頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼2、橢圓曲線定義逆元素 設(shè)P（x1 ，y1）和Q（x2 ，y2）是解點(diǎn)，如果x1=x2 且y1=-y2 ，則 P（x1 ，y1）Q（x2 ，y2）0 。這說(shuō)明任何解點(diǎn)R（x ，y）的逆就是 R（x ，-y）。注意：規(guī)定無(wú)窮遠(yuǎn)點(diǎn)的逆就是其自己。 O（，）-O（，）第20頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼2、橢圓曲線定義

12、加法設(shè)P(x1，y1)Q(x2，y2)，且P和Q不互逆 ，則 P（x1 ，y1）Q（x2 ，y2）R（x3 ，y3） 。其中 x3 = 2 - x1 -x2 ， y3 = (x1 x3)- y1 ， =（y2 -y1 ）/(x2 - x1 ）。第21頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼2、橢圓曲線定義加法當(dāng)P （x1 ，y1） = Q(x2，y2)時(shí) P（x1 ，y1） Q(x2，y2) 2 P（x1 ，y1） R（x3 ，y3）。 其中 x3 = 2 - 2x1 ， y3 =(x1 x3)- y1 ， =（3x12 + a）/（2 y1）。 第22頁(yè)，共4

13、8頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼2、橢圓曲線作集合E=全體解點(diǎn)，無(wú)窮點(diǎn)O 。可以驗(yàn)證，如上定義的集合E和加法運(yùn)算構(gòu)成加法交換群。復(fù)習(xí)：群的定義 G是一個(gè)非空集，定義了一種運(yùn)算，且運(yùn)算是自封閉的； 運(yùn)算滿足結(jié)合律； G中有單位元； G中的元素都有逆元；第23頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼3、橢圓曲線解點(diǎn)加法運(yùn)算的幾何意義： 設(shè)P（x1 ，y1）和Q（x2 ，y2）是橢圓曲線的兩個(gè)點(diǎn)，則連接P（x1 ，y1）和Q（x2 ，y2）的直線與橢圓曲線的另一交點(diǎn)關(guān)于橫軸的對(duì)稱(chēng)點(diǎn)即為P（x1 ，y1）+Q（x2 ，y2）點(diǎn)。第24頁(yè)，

14、共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼3、橢圓曲線解點(diǎn)加法運(yùn)算的幾何意義： xy0PQP+Q第25頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼4、舉例：取p=11，橢圓曲線y2=x3 +x+6 。由于p較小，使GF(p)也較小，故可以利用窮舉的方法根據(jù)y2=x3 +x+6 mod 11求出所有解點(diǎn)。 復(fù)習(xí)：平方剩余 設(shè)p為素?cái)?shù)，如果存在一個(gè)正整數(shù)x，使得 x2=a mod p,則稱(chēng) a是模p的平方剩余。第26頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼 x x3+x+6 mod 11 是否模11平方剩余 y

15、0 6 No 1 8 No 2 5 Yes 4,7 3 3 Yes 5,6 4 8 No 5 4 Yes 2,9 6 8 No 7 4 Yes 2,9 8 9 Yes 3,8 9 7 No 10 4 Yes 2,9第27頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼根據(jù)表可知全部解點(diǎn)集為：(2，4),(2，7),(3，5),(3，6),(5，2),(5，9),(7，2),(7，9),(8，3),(8，8),(10，2),(10，9)。再加上無(wú)窮遠(yuǎn)點(diǎn)O，共13的點(diǎn)構(gòu)成一個(gè)加法交換群。由于群的元素個(gè)數(shù)為13，而13為素?cái)?shù)，所以此群是循環(huán)群，而且任何一個(gè)非O元素都是生成元。

16、第28頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼由于是加法群，n個(gè)元素G相加，G+G+.+G nG 。我們?nèi) （2，7）為生成元，具體計(jì)算加法表如下： 2G=（2，7）+（2，7）=（5，2）因?yàn)?（322+1）（27）-1 mod 11 =23-1 mod 11=24 mod 11=8 。于是，x3 =82-22 mod 11=5 ，y3 =8（2-5）-7 mod 11=2。第29頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼 G （2，7）， 2G （5，2）， 3G （8，3）， 4G （10，2）， 5G （3，6）， 6G

17、（7，9）， 7G （7，2）， 8G （3，5）， 9G （10，9），10G （8，8）， 11G （5，9）， 12G （2，4）， 13G O（ ， ）。第30頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼除了GF(p)上的橢圓曲線，外還有定義在GF(2m)上的橢圓曲線。這兩種橢圓曲線都可以構(gòu)成安全的橢圓曲線密碼。在上例中，由于p較小，使GF(p)也較小，故可以利用窮舉的方法求出所有解點(diǎn)。但是，對(duì)于一般情況要確切計(jì)算橢圓曲線解點(diǎn)數(shù)N的準(zhǔn)確值比較困難。N滿足以下不等式 P+1-2P 1/2NP+1+2P 1/2 。第31頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)

18、41分，星期一三、橢圓曲線密碼5、橢圓曲線密碼 ELGamal密碼建立在有限域GF（p）的乘法群的離散對(duì)數(shù)問(wèn)題的困難性之上。而橢圓曲線密碼建立在橢圓曲線群的離散對(duì)數(shù)問(wèn)題的困難性之上。兩者的主要區(qū)別是其離散對(duì)數(shù)問(wèn)題所依賴(lài)的群不同。因此兩者有許多相似之處。第32頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼5、橢圓曲線密碼 橢圓曲線群上的離散對(duì)數(shù)問(wèn)題 在上例中橢圓曲線上的解點(diǎn)所構(gòu)成的交換群恰好是循環(huán)群，但是一般并不一定。于是我們希望從中找出一個(gè)循環(huán)子群E1 ?？梢宰C明當(dāng)循環(huán)子群E1 的階n是足夠大的素?cái)?shù)時(shí)，這個(gè)循環(huán)子群中的離散對(duì)數(shù)問(wèn)題是困難的。第33頁(yè)，共48頁(yè)，2022

19、年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼5、橢圓曲線密碼 橢圓曲線群上的離散對(duì)數(shù)問(wèn)題 設(shè)P和Q是橢圓曲線上的兩個(gè)解點(diǎn)，t 為一正整數(shù)，且1tn。對(duì)于給定的P和t，計(jì)算tPQ是容易的。但若已知P和Q點(diǎn)，要計(jì)算出t則是極困難的。這便是橢圓曲線群上的離散對(duì)數(shù)問(wèn)題，簡(jiǎn)記為ECDLP(Elliptic Curve Discrete Logarithm Problem)。第34頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼5、橢圓曲線密碼 橢圓曲線群上的離散對(duì)數(shù)問(wèn)題 除了幾類(lèi)特殊的橢圓曲線外，對(duì)于一般ECDLP目前尚沒(méi)有找到有效的求解方法。于是可以在這個(gè)循環(huán)子群E1中建

20、立任何基于離散對(duì)數(shù)困難性的密碼，并稱(chēng)這個(gè)密碼為橢圓曲線密碼。第35頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼橢圓曲線密碼 T=p為大于3素?cái)?shù)，p確定了有限域GF（p）；元素a,bGF(p),a和b確定了橢圓曲線；G為循環(huán)子群E1的生成元點(diǎn)，n為素?cái)?shù)且為生成元G的階，G和n確定了循環(huán)子群E1；h=|E|/n，并稱(chēng)為余因子，h將交換群E和循環(huán)子群聯(lián)系起來(lái)。第36頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼橢圓曲線密碼 密鑰：用戶(hù)的私鑰定義為一個(gè)隨機(jī)數(shù)d， d1,2,n-1。用戶(hù)的公開(kāi)鑰定義為Q點(diǎn)， Q=dG 。第37頁(yè)，共48頁(yè)，2022年

21、，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼橢圓曲線密碼設(shè)d為用戶(hù)私鑰，Q為公鑰，將Q存入PKDB。設(shè)要加密的明文數(shù)據(jù)為M，將M劃分為一些較小的數(shù)據(jù)塊，M=m1 ，m2 ， ，mt，其中0mi n 。第38頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼橢圓曲線密碼 加密過(guò)程：A把M加密發(fā)給BA查PKDB，查到B的公開(kāi)密鑰QB 。A選擇一個(gè)隨機(jī)數(shù)k，且k1,2,n-1。A計(jì)算點(diǎn)X1（x1 ，y1）=kG 。A計(jì)算點(diǎn)X2（x2 ，y2）=kQB ，如果分量x2=O，則轉(zhuǎn)。A計(jì)算密文 C = mi x2 mod n 。A發(fā)送加密數(shù)據(jù)（X1，C）給B。第39頁(yè)，共48頁(yè)，

22、2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼橢圓曲線密碼解密過(guò)程：用戶(hù)B用自己的私鑰dB 求出點(diǎn)X2 ： dBX1 = dB（kG） = k(dB G) = k QB = X2（x2 ，y2）對(duì)C解密，得到明文mi =C x2 1 mod n 。第40頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一三、橢圓曲線密碼橢圓曲線密碼橢圓曲線密碼的實(shí)現(xiàn)由于橢圓曲線密碼所依據(jù)的數(shù)學(xué)基礎(chǔ)比較復(fù)雜，從而使得其具體實(shí)現(xiàn)也比較困難。難點(diǎn)：安全橢圓曲線的產(chǎn)生；倍點(diǎn)運(yùn)算。第41頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一四、公鑰密碼的理論模型1、單向函數(shù) 設(shè)函數(shù) y=f(x)，如果滿足以下兩個(gè)條件，則稱(chēng)為單向函數(shù)：如果對(duì)于給定的 x，要計(jì)算出 y很容易；而對(duì)于給定的 y，要計(jì)算出 x很難。2、單向函數(shù)的應(yīng)用安全HASH函數(shù)操作系統(tǒng)口令第42頁(yè)，共48頁(yè)，2022年，5月20日，0點(diǎn)41分，星期一四、公鑰密碼的