現(xiàn)代密碼學(xué)考試總結(jié)

現(xiàn)代密碼學(xué)考試總結(jié)現(xiàn)代密碼學(xué)考試總結(jié)現(xiàn)代密碼學(xué)考試總結(jié)xxx公司現(xiàn)代密碼學(xué)考試總結(jié)文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度密碼主要功能：機(jī)密性：指保證信息不泄露給非授權(quán)的用戶或?qū)嶓w，確保存儲(chǔ)的信息和傳輸?shù)男畔H能被授權(quán)的各方得到，而非授權(quán)用戶即使得到信息也無法知曉信息內(nèi)容，不能使用。完整性：是指信息未經(jīng)授權(quán)不能進(jìn)行改變的特征，維護(hù)信息的一致性，即信息在生成、傳輸、存儲(chǔ)和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改(插入、替換、刪除、重排序等)，如果發(fā)生，能夠及時(shí)發(fā)現(xiàn)。認(rèn)證性：是指確保一個(gè)信息的來源或源本身被正確地標(biāo)識(shí)，同時(shí)確保該標(biāo)識(shí)的真實(shí)性，分為實(shí)體認(rèn)證和消息認(rèn)證。消息認(rèn)證：向接收方保證消息確實(shí)來自于它所宣稱的源；實(shí)體認(rèn)證：參與信息處理的實(shí)體是可信的，即每個(gè)實(shí)體的確是它所宣稱的那個(gè)實(shí)體，使得任何其它實(shí)體不能假冒這個(gè)實(shí)體。不可否認(rèn)性：是防止發(fā)送方或接收方抵賴所傳輸?shù)男畔?，要求無論發(fā)送方還是接收方都不能抵賴所進(jìn)行的行為。因此，當(dāng)發(fā)送一個(gè)信息時(shí)，接收方能證實(shí)該信息的確是由所宣稱的發(fā)送方發(fā)來的；當(dāng)接收方收到一個(gè)信息時(shí)，發(fā)送方能夠證實(shí)該信息的確送到了指定的接收方。信息安全：指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露、否認(rèn)等，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全的理論基礎(chǔ)是密碼學(xué)，根本解決，密碼學(xué)理論對(duì)稱密碼技術(shù)——分組密碼和序列密碼——機(jī)密性；消息認(rèn)證碼——完整性，認(rèn)證性；數(shù)字簽名技術(shù)——完整性，認(rèn)證性，不可否認(rèn)性；1949年Shannon發(fā)表題為《保密系統(tǒng)的通信理論》1976年后，美國數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）的公布使密碼學(xué)的研究公開，密碼學(xué)得到了迅速發(fā)展。1976年，Diffe和Hellman發(fā)表了《密碼學(xué)的新方向》，提出了一種新的密碼設(shè)計(jì)思想，從而開創(chuàng)了公鑰密碼學(xué)的新紀(jì)元。置換密碼置換密碼的特點(diǎn)是保持明文的所有字符不變，只是利用置換打亂了明文字符的位置和次序。列置換密碼和周期置換密碼使用密碼設(shè)備必備四要素：安全、性能、成本、方便。密碼體制的基本要求：密碼體制既易于實(shí)現(xiàn)又便于使用，主要是指加密函數(shù)和解密函數(shù)都可以高效地計(jì)算。密碼體制的安全性是依賴密鑰的安全性，密碼算法是公開的。密碼算法安全強(qiáng)度高，也就是說，密碼分析者除了窮舉搜索攻擊外再找不到更好的攻擊方法。密鑰空間應(yīng)足夠大，使得試圖通過窮舉密鑰空間進(jìn)行搜索的方式在計(jì)算上不可行。密碼算法公開的意義：有利于增強(qiáng)密碼算法的安全性；有利于密碼技術(shù)的推廣應(yīng)用；有利于增加用戶使用的信心；有利于密碼技術(shù)的發(fā)展。熵的性質(zhì)：H(X,Y)=H(Y)+H(X|Y)=H(X)+H(Y|X)H(K|C)=H(K)+H(P)-H(C)密碼攻擊類型惟密文攻擊(CiphertextOnlyAttack)(僅僅搭線竊聽)密碼分析者除了擁有截獲的密文外（密碼算法是公開的，以下同），沒有其它可以利用的信息。已知明文攻擊(KnownPlaintextAttack)(有內(nèi)奸)密碼分析者不僅掌握了相當(dāng)數(shù)量的密文，還有一些已知的明-密文對(duì)可供利用。選擇明文攻擊(ChosenPlaintextAttack)(暫時(shí)控制加密機(jī))密碼分析者不僅能夠獲得一定數(shù)量的明-密文對(duì)，還可以選擇任何明文并在使用同一未知密鑰的情況下能得到相應(yīng)的密文。選擇密文攻擊(ChosenCiphertextAttack)(暫時(shí)控制解密機(jī))密碼分析者能選擇不同被加密的密文，并還可得到對(duì)應(yīng)的明文，密碼分析者的任務(wù)是推出密鑰及其它密文對(duì)應(yīng)的明文。選擇文本攻擊(ChosenTextAttack)(暫時(shí)控制加密機(jī)和解密機(jī))它是選擇明文攻擊和選擇密文攻擊的組合，即密碼分析者在掌握密碼算法的前提下，不僅能夠選擇明文并得到對(duì)應(yīng)的密文，而且還能選擇密文得到對(duì)應(yīng)的明文。攻擊密碼體制的常用方法窮舉攻擊統(tǒng)計(jì)分析攻擊數(shù)學(xué)分析攻擊密碼體制安全性：無條件安全性，計(jì)算安全性，可證明安全性分組密碼的要求：分組長(zhǎng)度要足夠大密鑰量要足夠大密碼變換足夠復(fù)雜加密和解密運(yùn)算簡(jiǎn)單無數(shù)據(jù)擴(kuò)展或壓縮分組密碼的設(shè)計(jì)思想（擴(kuò)散和混亂）擴(kuò)散：是指要將算法設(shè)計(jì)成明文每一比特的變化盡可能多地影響到輸出密文序列的變化，以便隱蔽明文的統(tǒng)計(jì)特性。形象地稱為雪崩效應(yīng)。擴(kuò)散的另一層意思是密鑰每一位的影響盡可能迅速地?cái)U(kuò)展到較多的密文比特中去?；靵y：指在加解密變換過程中明文、密鑰以及密文之間的關(guān)系盡可能地復(fù)雜化，以防密碼破譯者采用解析法(即通過建立并求解一些方程)進(jìn)行破譯攻擊。分組密碼算法應(yīng)有復(fù)雜的非線性因素。輪函數(shù)基本準(zhǔn)則：非線性，可逆性，雪崩效應(yīng)DES分組加密算法：明文和密文為64位分組長(zhǎng)度。密鑰長(zhǎng)度：56位采用混亂和擴(kuò)散的組合，每個(gè)組合先代換后置換，共16輪。互補(bǔ)性會(huì)使DES在選擇明文攻擊下所需的工作量減半。如果給定初始密鑰k，經(jīng)子密鑰產(chǎn)生器產(chǎn)生的各個(gè)子密鑰都相同，即有k1=k2=…=k16，則稱給定的初始密鑰k為弱密鑰。若k為弱密鑰，則對(duì)任意的64bit信息有：Ek(Ek(m))=m和Dk(Dk(m))=m。若給定初始密鑰k，產(chǎn)生的16個(gè)子密鑰只有兩種，且每種都出現(xiàn)8次，則稱k為半弱密鑰。半弱密鑰的特點(diǎn)是成對(duì)出現(xiàn)，且具有下述性質(zhì)：若k1和k2為一對(duì)半弱密鑰，m為明文組，則有：Ek2(Ek1(m))=Ek1(Ek2(m))=m。差分分析：是分析一對(duì)給定明文的異或（對(duì)應(yīng)位不同的個(gè)數(shù)稱為差分）與對(duì)應(yīng)密文對(duì)的異或之間的統(tǒng)計(jì)相關(guān)性。3DES特點(diǎn)：優(yōu)點(diǎn)：1.密鑰長(zhǎng)度增加到112位或168位，克服了DES面臨的窮舉攻擊。2.相對(duì)于DES，增強(qiáng)了抗差分分析和線性分析等的能力。3.由于DES已經(jīng)大規(guī)模使用，升級(jí)到3DES比更新新算法成本小得多。4.DES比其它任何加密算法受到的分析時(shí)間都長(zhǎng)的多，相應(yīng)地，3DES抗分析能力更強(qiáng)。不足：1.3DES處理速度較慢。2.雖然密鑰長(zhǎng)度增加了，但明文分組長(zhǎng)度沒變，與密鑰長(zhǎng)度的增長(zhǎng)不匹配。AES分組長(zhǎng)度、密鑰長(zhǎng)度、輪數(shù)的關(guān)系：分組長(zhǎng)度：128位密鑰長(zhǎng)度，輪數(shù)：128，10；192,12；256,14每輪由四個(gè)階段組成：字節(jié)代換、行位移、列混淆、輪密鑰加。DES是面向比特的運(yùn)算，AES是面向字節(jié)的運(yùn)算。二重DES并不像人們相像那樣可提高密鑰長(zhǎng)度到112比特，而相當(dāng)57比特。分組密碼的操作模式ECB：模式操作簡(jiǎn)單，主要用于內(nèi)容較短且隨機(jī)的報(bào)文的加密傳遞；相同明文（在相同密鑰下）得出相同的密文，即明文中的重復(fù)內(nèi)容可能將在密文中表現(xiàn)出來，易實(shí)現(xiàn)統(tǒng)計(jì)分析攻擊、分組重放攻擊和代換攻擊；鏈接依賴性：各組的加密都獨(dú)立于其它分組，可實(shí)現(xiàn)并行處理；錯(cuò)誤傳播：?jiǎn)蝹€(gè)密文分組中有一個(gè)或多個(gè)比特錯(cuò)誤只會(huì)影響該分組的解密結(jié)果。CBC(密文分組和明文分組異或得到下一個(gè)密文分組)一種反饋機(jī)制在分組密碼中的應(yīng)用，每個(gè)密文分組不僅依賴于產(chǎn)生它的明文分組，還依賴于它前面的所有分組；相同的明文，即使相同的密鑰下也會(huì)得到不同的密文分組，隱藏了明文的統(tǒng)計(jì)特性；鏈接依賴性：對(duì)于一個(gè)正確密文分組的正確解密要求它之前的那個(gè)密文分組也正確，不能實(shí)現(xiàn)并行處理；錯(cuò)誤傳播：密文分組中的一個(gè)單比特錯(cuò)誤會(huì)影響到本組和其后分組的解密，錯(cuò)誤傳播為兩組；初始化向量IV不需要保密，它可以明文形式與密文一起傳送。CTR:效率高：能夠并行處理多塊明(密)文，可用來提供像流水線、每個(gè)時(shí)鐘周期的多指令分派等并行特征；預(yù)處理：基本加密算法的執(zhí)行并不依靠明文或密文的輸入，可預(yù)先處理，當(dāng)給出明文或密文時(shí)，所需的計(jì)算僅是進(jìn)行一系列的異或運(yùn)算；隨機(jī)訪問：密文的第i個(gè)明文組能夠用一種隨機(jī)訪問的方式處理；簡(jiǎn)單性：只要求實(shí)現(xiàn)加密算法而不要求實(shí)現(xiàn)解密算法，像AES這類加解密算法不同就更能體現(xiàn)CTR的簡(jiǎn)單性。CFB:消息被看作bit流，不需要整個(gè)數(shù)據(jù)分組在接受完后才能進(jìn)行加解密；可用于自同步序列密碼；具有CBC模式的優(yōu)點(diǎn)；對(duì)信道錯(cuò)誤較敏感且會(huì)造成錯(cuò)誤傳播；數(shù)據(jù)加解密的速率降低，其數(shù)據(jù)率不會(huì)太高。OFB:OFB模式是CFB模式的一種改進(jìn)，克服由錯(cuò)誤傳播帶來的問題，但對(duì)密文被篡改難于進(jìn)行檢測(cè)；OFB模式不具有自同步能力，要求系統(tǒng)保持嚴(yán)格的同步，否則難于解密；初始向量IV無需保密，但各條消息必須選用不同的IV?？偨Y(jié)：ECB是最快、最簡(jiǎn)單的分組密碼模式，但它的安全性最弱，一般不推薦使用ECB加密消息，但如果是加密隨機(jī)數(shù)據(jù)，如密鑰，ECB則是最好的選擇。CBC適合文件加密，而且有少量錯(cuò)誤時(shí)不會(huì)造成同步失敗，是軟件加密的最好選擇。CTR結(jié)合ECB和CBC的優(yōu)點(diǎn)，最近為人們所重視，在ATM網(wǎng)絡(luò)和IPSec中起了重要作用。CFB通常是加密字符序列所選擇的模式，它也能容忍少量錯(cuò)誤擴(kuò)展，且具有同步恢復(fù)功能。OFB是在極易出錯(cuò)的環(huán)境中選用的模式，但需有高速同步機(jī)制。序列密碼屬于對(duì)稱密碼體制，又稱為流密碼。特點(diǎn)：加解密運(yùn)算只是簡(jiǎn)單的模二加(異或)運(yùn)算。密碼安全強(qiáng)度主要依賴密鑰序列的安全性。密鑰序列產(chǎn)生器(KG)基本要求：種子密鑰K的長(zhǎng)度足夠長(zhǎng)，一般應(yīng)在128位以上(抵御窮舉攻擊)；密鑰序列產(chǎn)生器KG生成的密鑰序列{ki}具極大周期；密鑰序列{ki}具有均勻的n-元分布，即在一個(gè)周期內(nèi)，某特定形式的n-長(zhǎng)bit串與其求反，兩者出現(xiàn)的頻數(shù)大抵相當(dāng)；由密鑰序列{ki}提取關(guān)于種子密鑰K的信息在計(jì)算上不可行；雪崩效應(yīng)。即種子密鑰K任一位的改變要引起密鑰序列{ki}在全貌上的變化；密鑰序列{ki}不可預(yù)測(cè)的。密文及相應(yīng)的明文的部分信息，不能確定整個(gè)密鑰序列{ki}。只要選擇合適的反饋函數(shù)才可使序列的周期達(dá)到最大值2n-1，周期達(dá)到最大值的序列稱為m序列。m-序列特性：0,1平衡性：在一個(gè)周期內(nèi)，0、1出現(xiàn)的次數(shù)分別為2n-1-1和2n-1。游程特性：在一個(gè)周期內(nèi)，總游程數(shù)為2n-1；對(duì)1≤i≤n-2，長(zhǎng)為i的游程有2n-i-1個(gè)，且0、1游程各半；長(zhǎng)為n-1的0游程一個(gè)，長(zhǎng)為n的1游程一個(gè)。非線性序列：為了使密鑰流生成器輸出的二元序列盡可能隨機(jī)，應(yīng)保證其周期盡可能大、線性復(fù)雜度和不可預(yù)測(cè)性盡可能高。RC4是RSA數(shù)據(jù)安全公司開發(fā)的可變密鑰長(zhǎng)度的序列密碼，是世界上使用最廣泛的序列密碼之一.為了保證安全強(qiáng)度，目前的RC4至少使用128位種子密鑰。序列密碼特點(diǎn)：安全強(qiáng)度取決于密鑰序列的隨機(jī)性；線性反饋移位寄存器理論上能夠產(chǎn)生周期為2n-1的偽隨機(jī)序列，有較理想的數(shù)學(xué)分析；為了使密鑰流盡可能復(fù)雜，其周期盡可能長(zhǎng)，復(fù)雜度和不可預(yù)測(cè)盡可能高，常使用多個(gè)LFSR構(gòu)造非線性組合系統(tǒng)；在某些情況下，譬如緩沖不足或必須對(duì)收到字符進(jìn)行逐一處理時(shí)，序列密碼就顯得更加必要和恰當(dāng)。在硬件實(shí)施上，不需要有很復(fù)雜的硬件電路，實(shí)時(shí)性好，加解密速度快，序列密碼比分組密碼更有優(yōu)勢(shì)。公鑰密碼之前：都是基于代換和換位這兩個(gè)基本方法，建立在字符或位方式的操作上。公鑰密碼算法是建立在數(shù)學(xué)函數(shù)基礎(chǔ)上的，而不是建立在字符或位方式的操作上的，是以非對(duì)稱的形式使用加密密鑰和解密密鑰，這兩個(gè)密鑰的使用對(duì)密鑰管理、認(rèn)證等都有著深刻的實(shí)際意義。對(duì)稱密碼缺陷：秘鑰分配問題，秘鑰管理問題，數(shù)字簽名問題；背包算法是第一個(gè)公開秘鑰算法。RSA:RSA雖稍后于MH背包公鑰系統(tǒng)，但它是到目前為止應(yīng)用最廣的一種公鑰密碼。RSA的理論基礎(chǔ)是數(shù)論的歐拉定理，它的安全性依賴于大整數(shù)的素因子分解的困難性。歐拉定理：若整數(shù)a和n互素，則a≡1(modn) RSA秘鑰長(zhǎng)度1024位。ElGamal公鑰密碼基于有限域上離散對(duì)數(shù)問題的公鑰密碼體制?；谟邢抻虻碾x散對(duì)數(shù)公鑰密碼又稱ElGamal(厄格瑪爾)算法。ElGamal算法的安全性依賴于計(jì)算有限域上的離散對(duì)數(shù)。ElGamal算法的離散對(duì)數(shù)問題等同RSA的大數(shù)分解問題。ElGamal算法既可用于數(shù)字簽名又可用于加密，但更多地應(yīng)用在數(shù)字簽名中。目前密鑰長(zhǎng)度1024位是安全的。ECC安全性能更高（160位等同RSA的1024位）公鑰密碼學(xué)解決了秘鑰分發(fā)和不可否認(rèn)問題。公鑰證書較好地解決了公鑰的真實(shí)性問題。IBE(基于身份加密) 基于身份的密碼系統(tǒng)中，用戶的公鑰是一些公開的可以唯一確定用戶身份的信息，一般這些信息稱為用戶的身份(ID)。在實(shí)際應(yīng)用中，用戶的身份可以是姓名、電話號(hào)碼、身份證號(hào)碼、IP地址、電子郵件地址等作為公鑰。用戶的私鑰通過一個(gè)被稱作私鑰生成器PKG(PrivateKeyGenerator)的可信任第三方進(jìn)行計(jì)算得到。 在這個(gè)系統(tǒng)中，用戶的公鑰是一些公開的身份信息，其他用戶不需要在數(shù)據(jù)庫中查找用戶的公鑰，也不需要對(duì)公鑰的真實(shí)性進(jìn)行檢驗(yàn)。優(yōu)點(diǎn)： 公鑰的真實(shí)性容易實(shí)現(xiàn)，大大簡(jiǎn)化了公鑰的管理。不足： 身份確認(rèn)本來就是一件復(fù)雜的事情，尤其用戶數(shù)量很大時(shí)難以保證。也就是說，IBE適合應(yīng)用于用戶群小的場(chǎng)合。 可信第三方如何安全地將用戶的私鑰送到用戶的手中。用戶私鑰由可信第三方生成和掌握，不具備唯一性，實(shí)現(xiàn)不可否認(rèn)性時(shí)易引發(fā)爭(zhēng)議。 公鑰密碼的優(yōu)點(diǎn)(與對(duì)稱密碼相比)密鑰分發(fā)簡(jiǎn)單；需秘密保存的密鑰量減少；可以實(shí)現(xiàn)數(shù)字簽名和認(rèn)證的功能。公鑰密碼的不足(與對(duì)稱密碼相比) 公鑰密碼算法比對(duì)稱密碼算法慢；公鑰密碼算法提供更多的信息對(duì)算法進(jìn)行攻擊，如公鑰密碼算法對(duì)選擇明文攻擊是脆弱的，尤其明文集比較小時(shí)； 有數(shù)據(jù)擴(kuò)展；公鑰密碼算法一般是建立在對(duì)一個(gè)特定的數(shù)學(xué)難題求解上，往往這種困難性只是一種設(shè)想。哈希函數(shù)：?jiǎn)蜗蛐?，輸出長(zhǎng)度固定，：數(shù)據(jù)指紋，實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)字簽名。性質(zhì)：輸入：消息是任意有限長(zhǎng)度。輸出：哈希值是固定長(zhǎng)度。容易計(jì)算：對(duì)于任意給定的消息，容易計(jì)算其哈希值。（正向容易）單向性：對(duì)于給定的哈希值h，要找到M使得H(M)＝h在計(jì)算上是不可行的。（逆向不可行）安全性：抗弱碰撞性：對(duì)于給定的消息M1，要發(fā)現(xiàn)另一個(gè)消息M2，滿足H(M1)＝H(M2)在計(jì)算上是不可行的?？箯?qiáng)碰撞性：找任意一對(duì)不同的消息M1，M2，使H(M1)＝H(M2)在計(jì)算上是不可行的。隨機(jī)性：當(dāng)一個(gè)輸入位發(fā)生變化時(shí)，輸出位將發(fā)生很大變化。(雪崩效應(yīng))。MD:MD2(1989)、MD4(1990)和MD5(1991)都產(chǎn)生一個(gè)128位的信息摘要。SHA-1接受任何有限長(zhǎng)度的輸入消息，并產(chǎn)生長(zhǎng)度為160比特的Hash值。消息驗(yàn)證的目的：驗(yàn)證信息的來源是真實(shí)的，而不是冒充的，此為消息源認(rèn)證。驗(yàn)證消息的完整性，即驗(yàn)證信息在傳送或存儲(chǔ)過程中是否被修改。哈希函數(shù)分類：改動(dòng)檢測(cè)碼MDC：不帶密鑰的哈希函數(shù)，主要用于消息完整性。消息認(rèn)證碼MAC：帶密鑰的哈希函數(shù)，主要用于消息源認(rèn)證和消息完整性。HMAC:算法公式：HMAC（K，M）=H（K⊕opad∣H（K⊕ipad∣M））K—代表認(rèn)證密碼HMAC主要應(yīng)用在身份驗(yàn)證中，它的使用方法是這樣的：(1)客戶端發(fā)出登錄請(qǐng)求（假設(shè)是瀏覽器的GET請(qǐng)求）(2)服務(wù)器返回一個(gè)隨機(jī)值，并在會(huì)話中記錄這個(gè)隨機(jī)值(3)客戶端將該隨機(jī)值作為密鑰，用戶密碼進(jìn)行HMAC運(yùn)算，然后提交給服務(wù)器(4)服務(wù)器讀取用戶數(shù)據(jù)庫中的用戶密碼和步驟2中發(fā)送的隨機(jī)值做與客戶端一樣的HMAC運(yùn)算，然后與用戶發(fā)送的結(jié)果比較，如果結(jié)果一致則驗(yàn)證用戶合法在這個(gè)過程中，可能遭到安全攻擊的是服務(wù)器發(fā)送的隨機(jī)值和用戶發(fā)送的HMAC結(jié)果，而對(duì)于截獲了這兩個(gè)值的黑客而言這兩個(gè)值是沒有意義的，絕無獲取用戶密碼的可能性，隨機(jī)值的引入使HMAC只在當(dāng)前會(huì)話中有效，大大增強(qiáng)了安全性和實(shí)用性。數(shù)字簽名與消息認(rèn)證不同：數(shù)字簽名也是一種消息認(rèn)證技術(shù)，它屬于非對(duì)稱密碼體制，消息認(rèn)證碼屬于對(duì)稱密碼體制，所以消息認(rèn)證碼的處理速度比數(shù)字簽名快得多。但是，消息認(rèn)證碼無法實(shí)現(xiàn)不可否認(rèn)性。數(shù)字簽名的安全要求簽名是可以被驗(yàn)證的接受者能夠核實(shí)簽名者對(duì)消息的簽名。簽名是不可偽造的 除了簽名者，任何人(包括接受者)不能偽造消息的簽名。簽名是不可重用的 同一消息不同時(shí)刻其簽名是有區(qū)別的。簽名是不可抵賴的 簽名者事后不能抵賴對(duì)消息的簽名，出現(xiàn)爭(zhēng)議時(shí)，第三方可解決爭(zhēng)端。數(shù)字簽名的組成：明文空間，密文空間，秘鑰空間，簽名算法，驗(yàn)證算法數(shù)字簽名常見的實(shí)現(xiàn)算法 基于RSA的簽名算法基于離散對(duì)數(shù)的簽名算法基于ECC的簽名算法RSA數(shù)字簽名算法(初始化)1.選取兩個(gè)大(滿足安全要求)素?cái)?shù)p和q，兩個(gè)數(shù)長(zhǎng)度接近且相差很大，強(qiáng)素?cái)?shù)。2.計(jì)算n=p*q,φ(n)=(p-1)(q-1)3.隨機(jī)選取整數(shù)e(1<e<φ(n))，滿足gcd(e,φ(n))=14.計(jì)算d，滿足d*e≡1（modφ(n)）注：n公開，p和q保密。e為公鑰，d為私鑰。簽名算法1.利用一個(gè)安全的Hash函數(shù)h來產(chǎn)生消息摘要h(m)。2.用簽名算法計(jì)算簽名s=Signk(m)≡h(m)dmodn。驗(yàn)證算法1.首先利用一個(gè)安全的Hash函數(shù)h計(jì)算消息摘要h(m)。2.用檢驗(yàn)等式h(m)modn≡semodn是否成立，若相等簽名有效，否則，簽名無效。假如直接對(duì)消息進(jìn)行私鑰加密，攻擊者獲得兩個(gè)簽名后可以偽造m1*m2的有效簽名s1*s2（同態(tài)性）Elgamal簽名算法(舉例)初始化：假設(shè)A選取素?cái)?shù)p=19，Zp*的生成元g=2。選取私鑰x=15，計(jì)算y≡gxmodp≡215mod19=12，則A的公鑰是(p=19,g=2,y=12)。簽名過程：設(shè)消息m的Hash值h(m)=16，則A選取隨機(jī)數(shù)k=11，計(jì)算r≡gkmodp≡211mod19≡15，k-1mod(p-1)=5。最后計(jì)算簽名s≡[h(m)-xr]k-1mod(p-1)≡5(16-15×15)mod18=17。得到A對(duì)m的簽名為(15,17)。驗(yàn)證過程：接受者B得到簽名(15,17)后計(jì)算yrrsmodp≡12151517mod19=5，gh(m)modp≡216mod19=5。驗(yàn)證等式y(tǒng)rrs≡gh(m)(modp)相等，因此B接受簽名。Elgamal簽名算法(安全性)不能泄露隨機(jī)數(shù)k。不能使用相同的k對(duì)兩個(gè)不同消息進(jìn)行簽名。簽名者多次簽名時(shí)所選取多個(gè)k之間無關(guān)聯(lián)。整個(gè)密碼系統(tǒng)的安全性并不取決對(duì)密碼算法的保密，而是由密鑰的保密性決定的。解決的核心問題是密鑰管理問題，而不是密碼算法問題。密鑰的管理水平直接決定了密碼的應(yīng)用水平。密鑰管理就是在授權(quán)各方之間實(shí)現(xiàn)密鑰關(guān)系的建立和維護(hù)的一整套技術(shù)和程序。密鑰管理括密鑰的生成、存儲(chǔ)、建立(分配和協(xié)商)、使用、備份/恢復(fù)、更新、撤銷/存檔/銷毀等。典型的密鑰層次結(jié)構(gòu)主密鑰：對(duì)應(yīng)于層次化密鑰結(jié)構(gòu)中的最高層次，它是對(duì)密鑰加密密鑰進(jìn)行加密的密鑰，主密鑰應(yīng)受到嚴(yán)格的保護(hù)。密鑰加密密鑰：一般是用來對(duì)傳輸?shù)臅?huì)話密鑰進(jìn)行加密時(shí)采用的密鑰。密鑰加密密鑰所保護(hù)的對(duì)象是實(shí)際用來保護(hù)通信或文件數(shù)據(jù)的會(huì)話密鑰。會(huì)話密鑰：在一次通信或數(shù)據(jù)交換的任務(wù)中，用戶之間所使用的密鑰，是由通信用戶之間進(jìn)行協(xié)商得到的。它一般是動(dòng)態(tài)地、僅在需要進(jìn)行數(shù)據(jù)加密時(shí)產(chǎn)生，并在任務(wù)完成后立即進(jìn)行銷毀，也稱為數(shù)據(jù)加密密鑰。密鑰的生成一般首先通過密鑰生成器借助于某種隨機(jī)源產(chǎn)生具有較好統(tǒng)計(jì)分析特性的序列，以保障生成密鑰的隨機(jī)性和不可預(yù)測(cè)性.密鑰存儲(chǔ)目的是確保密鑰的秘密性、真實(shí)性以及完整性。密鑰更新情況：密鑰有效期結(jié)束；密鑰的安全受到威脅；通信成員中提出更新密鑰。對(duì)稱密碼其實(shí)就一個(gè)密鑰(即已知一個(gè)密鑰可推出另一個(gè)密鑰)，因此，密鑰的秘密性、真實(shí)性、完整性都必須保護(hù)。公鑰的秘密性不用確保，但其真實(shí)性、完整性都必須嚴(yán)格保護(hù)。公鑰密碼體制的私鑰的秘密性、真實(shí)性、完整性都必須保護(hù)。中間人攻擊：1.C將公共目錄中B的公鑰替換成自己的公鑰。2.A將他認(rèn)為的B的公鑰提取出來，而實(shí)際上那是C的公鑰。3.C現(xiàn)在可以讀取A送給B的加密信息。4.C將A的信息解密并閱讀，然后他又用真實(shí)的B的公鑰加密該信息并將加密結(jié)果發(fā)送給B。數(shù)字證書實(shí)現(xiàn)公鑰的真實(shí)性。數(shù)字證書也稱為公鑰證書，是將證書持有者的身份信息和其所擁有的公鑰進(jìn)行綁定的文件。證書用途：簽名證書：簽名證書主要用于對(duì)用戶信息進(jìn)行簽名，以保證信息的不可否認(rèn)性。（私鑰不需備份）加密證書：加密證書主要用于對(duì)用戶傳送信息的密鑰進(jìn)行加密，以保證信息的保密性。（私鑰需要備份）CRL：證書撤銷列表在線證書狀態(tài)協(xié)議OCSP：其目的為了克服基于CRL的撤銷方案的局限性，為證書狀態(tài)查詢提供即時(shí)的最新響應(yīng)。OCSP使用證書序列號(hào)、CA名稱和公開密鑰的散列值作為關(guān)鍵字查詢目標(biāo)的證書。為防止攻擊者得到密鑰，必須時(shí)常更新密鑰，密碼系統(tǒng)的強(qiáng)度依賴于密鑰分配技術(shù)。密鑰分配中心模式（KDC生成回話密鑰）：前提條件：密鑰分配中心與每個(gè)用戶之間有共享密鑰。A向密鑰分配中心KDC(KeyDistributeCenter)發(fā)出會(huì)話密鑰請(qǐng)求。請(qǐng)求內(nèi)容包括A與B的身份以及一次性隨機(jī)數(shù)N1。KDC為A的請(qǐng)求發(fā)出應(yīng)答。應(yīng)答內(nèi)容包括：一次性會(huì)話密鑰Ks、A的請(qǐng)求、用B與KDC的共享密鑰加密一次性會(huì)話密鑰Ks和A的身份，其中應(yīng)答信息是用A與KDC的共享密鑰加密。A存儲(chǔ)會(huì)話密鑰Ks，并向B轉(zhuǎn)發(fā)用B與KDC的共享密鑰加密的一次性會(huì)話密鑰Ks和A的身份。B使用會(huì)話密鑰Ks加密另一個(gè)一次性隨機(jī)數(shù)N2,并將加密結(jié)果發(fā)送給A.A使用會(huì)話密鑰Ks加密f(N2),并將加密結(jié)果發(fā)送給B.基于公鑰密鑰分配（會(huì)話密鑰）：前提條件：通信雙方在CA中擁有自己的證書。A向B發(fā)出會(huì)話密鑰請(qǐng)求，請(qǐng)求內(nèi)容包括A的身份、一次性隨機(jī)數(shù)N1以及利用B的公鑰加密一次性會(huì)話密鑰Ks。B使用會(huì)話密鑰Ks加密一次性隨機(jī)數(shù)N1,并將加密結(jié)果發(fā)送給A。A使用會(huì)話密鑰Ks加密f(N1)