b第二周對(duì)稱密碼學(xué)(第2、3、6章)

1華南理工大學(xué)經(jīng)貿(mào)學(xué)院

本科課程－－電子商務(wù)安全與保密第2章對(duì)稱密碼學(xué)2信息論的概念公式：H(x)=含義：不確定性，即一條信息當(dāng)中的信息量。//越大越好一個(gè)只有一個(gè)字符的語(yǔ)言（熵＝-(1)*log2

(1)

=0）完全隨機(jī)語(yǔ)言:Σ-(1/26)*log2

(1/26)

≈-log2

(1/26)

≈4.xx//一個(gè)字母對(duì)任意字母的映射直觀來(lái)說(shuō):從一個(gè)信息元推斷其它信息元的可能性,熵越小,可能性越大例：如果信息不是男就是女，那么H(m)＝-1/2log2(1/2)+(-1/2)log2(1/2)=1聯(lián)合熵條件熵3信息率：r=H(M)/N，N是消息的長(zhǎng)度，H(M)是信息熵絕對(duì)信息率R=log2L語(yǔ)言的多余度D=R-r//越少越好，減少被推測(cè)可能例：英語(yǔ)的信息率估計(jì)是1.2，絕對(duì)信息率是4.7(L=26)，則冗余度估計(jì)是3.5唯一解距離：進(jìn)行強(qiáng)力攻擊時(shí)，可能解出唯一有意義的明文所需要的最少密文量，定義為U=H(M)/D，H(M)是信息熵，D是多余度//越長(zhǎng)越好，與冗余度成反比問(wèn)：為什么密鑰要定期更換？信息論的概念4密碼學(xué)的Shannon模型Z′Z,Z′5密碼學(xué)的Shannon模型X,明文（plain-text）：作為加密輸入的原始信息。Y,密文（cipher-text）：對(duì)明文變換的結(jié)果。E,加密（encrypt）：是一組含有參數(shù)的變換，將可識(shí)別的明文變?yōu)槊芪?。密文可識(shí)別→閾下信道。D,解密（decrypt）：加密的逆變換。Z,密鑰（key）：是參與加密解密變換的參數(shù)。一密碼系統(tǒng)＝算法＋明文空間＋密文空間＋密鑰空間系統(tǒng)分析者＝試圖從密文破解出明文者上述過(guò)程的數(shù)字表示：Y=E(X,Z),X=D(Y,Z′)6密碼分析理論Kerckhoffs假設(shè)假定：密碼分析者知道對(duì)方所使用的密碼系統(tǒng)包括明文的統(tǒng)計(jì)特性、加密體制（操作方式、處理方法和加/解密算法）、密鑰空間及其統(tǒng)計(jì)特性。不知道（解密）密鑰。在設(shè)計(jì)一個(gè)密碼系統(tǒng)時(shí)，目標(biāo)是在Kerckhoffs假設(shè)的前提下實(shí)現(xiàn)安全。//產(chǎn)業(yè)化至關(guān)重要雪崩效應(yīng)明文或密鑰的微小改變將對(duì)密文產(chǎn)生很大的影響是任何加密算法需要的一個(gè)號(hào)性質(zhì)。特別地，明文或密鑰的某一位變化會(huì)導(dǎo)致密文的很多位發(fā)生變化，這被稱為雪崩效應(yīng)。越大越好7（1）唯密文攻擊（CipherText-OnlyAttack）密碼分析者有一些消息的密文，這些消息都用同一加密算法加密。密碼分析者的任務(wù)是恢復(fù)盡可能多的明文，或者最好是能推算出加密消息的密鑰，以便可采用相同的密鑰解出其他被加密的消息。（2）已知明文攻擊（Known-PlaintextAttack）密碼分析者不僅可得到一些消息的密文，而且也知道這些消息的明文。分析者的任務(wù)就是用加密信息推出用來(lái)加密的密鑰或推導(dǎo)出一個(gè)算法，此算法可以對(duì)用同一密鑰加密的任何新的消息進(jìn)行解密。密碼分析8（3）選擇明文攻擊（Chosen-PlaintextAttack）分析者不僅可得到一些消息的密文和相應(yīng)的明文，而且也可選擇被加密的明文。這比已知明文攻擊更有效。因?yàn)槊艽a分析者能選擇特定的明文塊去加密，那些塊可能產(chǎn)生更多關(guān)于密鑰的信息，分析者的任務(wù)是推出用來(lái)加密消息的密鑰或?qū)С鲆粋€(gè)算法，此算法可以對(duì)用同一密鑰加密的任何新的消息進(jìn)行解密。（4）選擇密文攻擊（Chosen-CipherTextAttack）密碼分析者能選擇不同的被加密的密文，并可得到對(duì)應(yīng)的解密的明文，密碼分析者的任務(wù)是推出密鑰。

密碼學(xué)的Shannon模型9攻擊類型攻擊者掌握的內(nèi)容唯密文攻擊加密算法、截獲的部分密文已知明文攻擊加密算法、部分密文、多個(gè)明文-密文對(duì)選擇明文攻擊加密算法、部分密文、選擇的明文消息及加密得到的密文選擇密文攻擊加密算法、部分密文、選擇的密文消息及相應(yīng)解密明文（5）適用性選擇密文攻擊（AdaptiveChosen-CipherTextAttack,CCA2）在CCA的基礎(chǔ)上，密碼分析者除了對(duì)“目標(biāo)密文”解密以外，永遠(yuǎn)能夠得到解密服務(wù)。能在使用解密機(jī)的過(guò)程中,根據(jù)解密機(jī)的反饋適應(yīng)性地構(gòu)造密文再進(jìn)行解密。與CCA2不同，CCA要求在得到目標(biāo)密文以后，解密服務(wù)立即停止。密碼學(xué)的Shannon模型10密碼體制的安全性無(wú)條件安全或完善保密性（unconditionallysecurity）：不論提供的密文有多少，密文中所包含的信息都不足以惟一地確定其對(duì)應(yīng)的明文；具有無(wú)限計(jì)算資源（諸如時(shí)間、空間、資金和設(shè)備等）的密碼分析者也無(wú)法破譯某個(gè)密碼系統(tǒng)。要構(gòu)造一個(gè)完善保密系統(tǒng)，其密鑰量的對(duì)數(shù)（密鑰空間為均勻分布的條件下）必須不小于明文集的熵。//不確定性不能減少?gòu)撵氐幕拘再|(zhì)可推知，保密系統(tǒng)的密鑰量越小，其密文中含有的關(guān)于明文的信息量就越大。//容易從密文猜出明文存在完善保密系統(tǒng) 如：一次一密（one-timepad）方案；//量子密碼。實(shí)際上安全或計(jì)算安全性（computationalsecurity）計(jì)算上是安全：即使算出和估計(jì)出破譯它的計(jì)算量下限，利用已有的最好的方法破譯該密碼系統(tǒng)所需要的努力超出了破譯者的破譯能力（諸如時(shí)間、空間、資金等資源）。從理論上證明破譯它的計(jì)算量不低于解已知難題的計(jì)算量，因此（在現(xiàn)階段）是安全的11書本：混淆(confusion)和擴(kuò)散(diffusion)的不同翻譯

擴(kuò)散和混淆是C.E.Shannon提出的設(shè)計(jì)密碼體制的兩種基本方法，其目的是為了抵抗對(duì)手對(duì)密碼體制的統(tǒng)計(jì)分析，可抵抗對(duì)手從密文的統(tǒng)計(jì)特性推測(cè)明文和密鑰。常用的方法對(duì)應(yīng)是替代（如凱撒密碼）和置換（如DES）//Thebasictechniquesforthisarecalledconfusion(混淆)anddiffusion(擴(kuò)散).Theseroughlycorrespondtosubstitution(替代)andpermutation(置換)

擴(kuò)散對(duì)應(yīng)的方法是置換；混淆對(duì)應(yīng)的方法是替代。

擴(kuò)散和混淆12代替：每個(gè)明文元素或者元素組倍唯一地替換為相應(yīng)的密文元素或者元素組置換：明文元素的序列被替換為該序列的一個(gè)置換。也就是說(shuō)，序列里沒(méi)有元素被增刪改，但序列里元素出現(xiàn)的順序被改變了擴(kuò)散：為避免密碼分析者對(duì)密鑰逐段破譯，密碼的設(shè)計(jì)應(yīng)該保證密鑰的每位數(shù)字能夠影響密文中的多位數(shù)字；同時(shí)，為了避免避免密碼分析者利用明文的統(tǒng)計(jì)特性，密碼的設(shè)計(jì)應(yīng)該使明文中的每1個(gè)bit影響密文的多個(gè)bit，或說(shuō)密文中每1個(gè)bit受明文中多個(gè)bit影響，從而隱藏明文的統(tǒng)計(jì)特性。

混淆：為了避免密碼分析者利用明文與密文之間的依賴關(guān)系進(jìn)行破譯，將密文和密鑰之間的統(tǒng)計(jì)關(guān)系變得盡可能復(fù)雜。擴(kuò)散和混淆13DES的安全性基于1997年的技術(shù)統(tǒng)計(jì)分析的攻擊結(jié)果數(shù)據(jù)加密標(biāo)準(zhǔn)64位分組和56位密鑰1977年倍NBS采納為標(biāo)準(zhǔn)1999年規(guī)定只用于遺留系統(tǒng)和3DES14多重DES

多重DES就是使用多個(gè)密鑰利用DES對(duì)明文進(jìn)行多次加密,多重DES可以增加密鑰量。

1、雙重DESK1，K2是兩個(gè)長(zhǎng)度為56bit的密鑰。明文X，密文Y

加密變換：Y=DESK2（DESK1（X））解密變換：X=DESK1-1（DESK2-1（Y））雙重DES所用密鑰長(zhǎng)度為112bit，強(qiáng)度極大增加。152、三重DES

K1，K2，K3是兩個(gè)長(zhǎng)度為56bit的密鑰。明文X，密文Y

加密變換：Y=DESK3（DESK2-1（DESK1（X）））解密變換：X=DESK1-1（DESK2（DESK3-1（Y）））三重DES所用密鑰長(zhǎng)度為168bit。如果K1=K2或K2=K3，則三重DES退化為使用一個(gè)56bit密鑰的單重DES。這個(gè)過(guò)程稱為EDE，即加密——解密——加密（EncryptDecryptEncrypt）。所以，可以使K1=K3來(lái)用三重DES方法執(zhí)行常規(guī)的DES加密。三重DES目前還被當(dāng)作一個(gè)安全有效的加密算法使用。三重DES已在因特網(wǎng)的許多應(yīng)用（PGP、S/MIME）中被采用。16IDEA算法IDEA國(guó)際數(shù)據(jù)加密算法（InternationalDataEncryptionAlgorithm）瑞士聯(lián)邦理工學(xué)院：XuejiaLai&JamesMassey,1990；1991改進(jìn)，加強(qiáng)了對(duì)差分密碼分析的抗擊能力；明文分組與密文分組的長(zhǎng)度均為64位，密鑰長(zhǎng)度為128位。在目前常用的安全電子郵件加密方案PGP中使用17Rijndael算法由Square算法發(fā)展演變而來(lái)。已被美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所選定作為高級(jí)加密算法AES,AdvancedEncryptionStandard取代DES迭代分組密碼算法(類似流密碼:每一輪有內(nèi)部狀態(tài))密鑰128/192/256，分組128/192/256，循環(huán)次數(shù)10/12/14。速度快、對(duì)內(nèi)存要求小，操作簡(jiǎn)單。算法的抗攻擊能力強(qiáng)?！陡呒?jí)加密標(biāo)準(zhǔn)（AES）算法—Rijndael的設(shè)計(jì)》.清華大學(xué)出版社.18其他算法BLOWFISHBruceSchneier1995發(fā)表,64位分組,最大到448位可變長(zhǎng)密鑰。Fast,compact,simple,variablysecure.RC2、RC4、RC5、RC6算法由Rivest發(fā)明19分組密碼的工作模式已經(jīng)提出的分組密碼工作模式有：電碼本（ECB）模式//原始模式密碼分組鏈接（CBC）模式；密碼反饋（CFB）模式；輸出反饋（OFB）模式；這是最簡(jiǎn)單的方式：以分組64bit為例:明文接受64bit的分組，每個(gè)明文分組都用同一個(gè)密鑰加密，每個(gè)64bit的明文分組就有一個(gè)唯一的密文.特點(diǎn)：同一個(gè)64bit明文分組多次出現(xiàn)，產(chǎn)生的密文就總是一樣的，它可用于少量的數(shù)據(jù)加密，比如加密一個(gè)密鑰，對(duì)于大報(bào)文用ECB方式就不安全.ECB模式（電子密碼本）ECB模式ECB模式ECB模式的優(yōu)缺點(diǎn)模式操作簡(jiǎn)單明文中的重復(fù)內(nèi)容將在密文中表現(xiàn)出來(lái)，特別對(duì)于圖像數(shù)據(jù)和明文變化較少的數(shù)據(jù)適于短報(bào)文的加密傳遞ECB模式目的：同一個(gè)明文分組重復(fù)出現(xiàn)時(shí)產(chǎn)生不同的密文分組原理：Pn加密算法的輸入是當(dāng)前的明文分組

Cn-1和前一密文分組的異或

K第一個(gè)明文分

組和一個(gè)初始向量Cn進(jìn)行異或XORDES加密CBC模式（密碼分組鏈接）初始向量時(shí)刻t1t2tn

IVP1P2PnKKK

C1C2Cn-1CnＸORDESXORXORDESDESCBC模式CBC模式CBC模式CBC模式的特點(diǎn)同一個(gè)明文分組重復(fù)出現(xiàn)時(shí)產(chǎn)生不同的密文分組加密函數(shù)的輸入是當(dāng)前的明文分組和前一個(gè)密文分組的異或；對(duì)每個(gè)分組使用相同的密鑰。將明文分組序列的處理連接起來(lái)了。每個(gè)明文分組的加密函數(shù)的輸入與明文分組之間不再有固定的關(guān)系有助于將CBC模式用于加密長(zhǎng)消息CBC模式OFB模式（輸出反饋）CFB模式（密碼反饋）CTR模式（計(jì)數(shù)器）CTR模式的特點(diǎn)使用與明文分組規(guī)模相同的計(jì)數(shù)器長(zhǎng)度處理效率高（并行處理）預(yù)處理可以極大地提高吞吐量可以隨機(jī)地對(duì)任意一個(gè)密文分組進(jìn)行解密處理，對(duì)該密文分組的處理與其它密文無(wú)關(guān)實(shí)現(xiàn)的簡(jiǎn)單性適于對(duì)實(shí)時(shí)性和速度要求較高的場(chǎng)合CTR模式33鏈到鏈加密方式在物理層或數(shù)據(jù)鏈路層實(shí)施加密機(jī)