密碼學(xué)課件 分組密碼的使用

密碼學(xué)導(dǎo)論IntroductiontoCryptology主講教師：李衛(wèi)海第5章分組密碼的使用分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)NIST800-38A為將分組密碼應(yīng)用于各種實際場合，NIST在800-38A中推薦5種工作模式模式描述典型應(yīng)用電碼本(ECB)用相同的密鑰分別對明文組加密單個數(shù)據(jù)的安全傳輸密文分組鏈接(CBC)加密算法的輸入是上一個密文組和本次明文組的異或普通目的的面向分組的傳輸認(rèn)證密文反饋(CFB)上一塊密文作為加密算法的輸入，產(chǎn)生j位偽隨機(jī)數(shù)與明文異或普通目的的面向分組的傳輸認(rèn)證輸出反饋(OFB)與CFB基本相同，只是加密算法的輸入是上一次DES的輸出噪聲頻道上的數(shù)據(jù)流的傳輸（如衛(wèi)星通信）計數(shù)器(CTR)每個明文分組都與一個加密計數(shù)器相異或。對每個后續(xù)分組計數(shù)器遞增普通目的的面向分組的傳輸用于高速需求電碼本模式(ECB)Electronic

Codebook

Book消息分組，各組獨自加密就像一個巨大的密碼本，對每個分組進(jìn)行代換Count=1Count=2Count=N加密P1KC1加密P2KC2加密PNKCN解密C1KP1解密C2KP2解密CNKPN加密解密……

電碼本模式(ECB)Electronic

Codebook

Book優(yōu)點：可以并行運算適用于隨機(jī)存儲的數(shù)據(jù)傳輸錯誤不擴(kuò)散，只影響所在塊的正確解密缺點：當(dāng)明文分組重復(fù)時，密文也重復(fù)格式化數(shù)據(jù)，將產(chǎn)生大量重復(fù)的密文若明文分組差別很小，對其破譯就變?yōu)榫幋a本的破譯問題主要用于發(fā)送很少明文分組時例如，用主密鑰加密會話密鑰EPiKDCiKPi分組重放攻擊ECB模式最嚴(yán)重的問題是允許對手選取部分分組進(jìn)行重放攻擊特別是針對按分組格式化的數(shù)據(jù)例如：Email中，若發(fā)件人和收件人姓名、郵箱各自獨占一個或幾個分組時，你的情書會發(fā)生什么？若銀行帳號和用戶名占用單獨一個或幾個分組時，你的錢會去到哪里？即使在消息中插入時間戳，只要時間戳獨占分組，就可以進(jìn)行交織攻擊必須輔助以消息認(rèn)證來保證完整性收件人A地址主題內(nèi)容內(nèi)容收件人B地址主題內(nèi)容內(nèi)容密文分組鏈接模式(CBC) Cipher

Block

Chaining上一次密文分組與本次明文分組異或，再加密IV是一個初始向量Count=1Count=2Count=N加密加密P1KC1加密P2KC2加密PNKCN…IVCN-1解密C1KP1解密C2KP2解密CNKPN解密…IVcN-1

密文分組鏈接模式(CBC) Cipher

Block

Chaining關(guān)于初始向量IVIV是公開的，等同于前面有一個虛擬分組若IV是固定的，則對相同的消息，將得到相同的密文對于字典攻擊，攻擊者需要對每個可能的密鑰和IV對都建立一本字典字典只需建立在一個分組之上原則上要求用同一個密鑰加密的消息所使用的IV不重復(fù)攻擊者可以通過篡改接收方的IV，來任意改變接收方的第一分組明文，而不被發(fā)覺建議IV用ECB加密傳輸，或附加其他認(rèn)證技術(shù)密文分組鏈接模式(CBC) Cipher

Block

Chaining前面的明文通過鏈接影響后面所有的密文擴(kuò)散，密文分組依賴于它之前的所有明文分組可用于大量數(shù)據(jù)加密傳輸、認(rèn)證注意：第一分組密文不受擴(kuò)散影響錯誤傳播：密文錯誤將導(dǎo)致的明文錯誤范圍如某密文分組在傳輸中出錯，錯誤將影響本分組和下一分組解密的明文，之后自動恢復(fù)正確解密（錯誤恢復(fù)）Ci-1EPiKCi-1DCiKPi密文分組鏈接模式(CBC) Cipher

Block

Chaining多重加密時的CBC單循環(huán)CBC三循環(huán)CBCEDEPnCnK1,K2Cn-1EPnCnK1An-1DK2EK1AnBn-1Cn-1Bn密文反饋模式(CFB)Cipher

FeedBack用加密算法產(chǎn)生偽隨機(jī)序列，每次加密s位明文密文反饋s位進(jìn)入b位移位寄存器值，做為輸入CM-1加密P1KC1…IV選取s位b位加密P2K選取s位b位加密C2PMK選取s位b位加密CMs位s位s位s位s位s位s位s位解密C1KP1…IV選取s位b位加密C2K選取s位b位加密P2K選取s位b位加密PMCMCM-1

密文反饋模式(CFB)Cipher

FeedBack標(biāo)準(zhǔn)中，反饋位數(shù)取1、8、64、128記為CFB-1，CFB-8，CFB-64，CFB-128優(yōu)缺點：不使用解密算法可以使用計算量不對稱的密碼算法適用于數(shù)據(jù)以比特/字節(jié)為單位準(zhǔn)備好的場合數(shù)據(jù)流需要暫停以等待加密過程完成，速度受限傳輸誤碼將影響本分組及之后的若干分組，直至誤碼移出

移位寄存器，之后自同步適用于低誤碼率網(wǎng)絡(luò)中流數(shù)據(jù)加密、認(rèn)證PiK選s位b位ECi-1CiK選s位b位EPiCi-1Cis位s位s位s位輸出反饋模式(OFB)Output

FeedBack與CFB類似，但反饋數(shù)據(jù)是偽隨機(jī)序列OM-1加密P1KC1…IV選取s位b位加密P2K選取s位b位加密C2PMK選取s位b位加密CMs位s位s位s位s位s位s位s位解密C1KP1…IV選取s位b位加密C2K選取s位b位加密P2K選取s位b位加密PMCMOM-1

輸出反饋模式(OFB)Output

FeedBack優(yōu)缺點：反饋與明文無關(guān)，傳輸誤碼僅影響本比特位，不影響其它

比特，不傳遞收發(fā)雙方需要同步研究表明，應(yīng)當(dāng)只使用全分組反饋，例如

OFB-64/128當(dāng)反饋量與分組大小m相同時，產(chǎn)生密鑰流平均周期為2m-1當(dāng)反饋量小于分組大小m時，產(chǎn)生密鑰流平均周期僅為2m/2是一種Vernam密碼的變形同一密鑰下，IV不應(yīng)當(dāng)重復(fù)使用可以通過修改密文直接篡改明文適用于噪聲環(huán)境下流數(shù)據(jù)加密PiK選s位b位EOi-1CiK選s位b位EPiOi-1Cis位s位s位s位

插入攻擊針對OFB、流密碼等采用偽隨機(jī)密鑰流與明文異或的加密方式假設(shè)攻擊者可以在明文中插入一個已知位，并用同一密鑰流再次加密則攻擊者可以依次恢復(fù)k2,p2,k3,p3,…甚至無需預(yù)先知道插入位的確切位置，只需從密文相異處開始即可永遠(yuǎn)不要用同一個密鑰流加密兩條消息，IV不可重復(fù)密鑰流k1k2k3…原始明文p1p2p3…密文c1c2c3…插入明文p1p1'p2…密文c1c2'c3'…計數(shù)器模式(CTR)Counter與OFB類似，但無反饋，也無移位寄存器，加密算法的輸入是計數(shù)器CounterCounter+1Counter+N-1加密加密P1KC1加密P2KC2加密PNKCN…CounterCounter+1Counter+N-1解密加密C1KP1加密C2KP2加密CNKPN…

計數(shù)器模式(CTR)Counter優(yōu)缺點：高效可并行進(jìn)行各加密單元可預(yù)先處理可應(yīng)對突發(fā)高速鏈接可隨機(jī)解密任何密文分組無需順序解密可證明與其他模式同樣安全結(jié)構(gòu)簡單，不需要解密算法同一密鑰下，計數(shù)器值不應(yīng)重復(fù)使用可用于高速網(wǎng)絡(luò)數(shù)據(jù)加密其他分組密碼工作模式分組鏈接模式BC明文與前面所有的密文分組進(jìn)行異或擴(kuò)散密碼分組鏈接模式明文分組與前一個明文分組及其密文分組相異或帶校驗和的密碼分組鏈接最后一個明文分組與前面的所有明文分組相異或帶非線性函數(shù)的輸出反饋每個分組使用一個子密鑰，子密鑰由原始密鑰反復(fù)加密得到明文分組鏈接明文反饋鏈接等等交錯技術(shù)在多數(shù)分組鏈接模式中，某一分組的加密/解密依賴于前一分組運算的結(jié)果，不利于并行處理交錯技術(shù)是將明文分組劃分為多個交錯的序列，分別進(jìn)行分組鏈接，從而實現(xiàn)并行處理例：當(dāng)加密器包含四個加密芯片時，可以將明文分組劃分為p1,p5,p9,…;p2,p6,p10,…;p3,p7,p11,…;p4,p8,p12,…四個序列，使用四個不同的IV進(jìn)行并行處理，每個芯片負(fù)責(zé)一個序列的加密P1P5P9P13P2P3P4P6P10P14P7P11P15P8P12P16……………………核1核2核3核4明文填充明文末尾可能有不足一個分組的數(shù)據(jù)，需要填充在消息開頭標(biāo)明消息實際長度，末尾隨機(jī)填充約定消息結(jié)束標(biāo)志：文中不能出現(xiàn)該標(biāo)志，操作較麻煩，一般不同末尾填充固定格式數(shù)字例如：[b1b2b300005]表示末尾填充了5個字節(jié)這可能導(dǎo)致需要一個新的分組：當(dāng)恰好不需要填充時，仍需補(bǔ)充一個完成分組，以避免歧義其他填充方式PaddingOracle攻擊

解密C1P1解密C2P2IVX明文填充密文挪用模式CBC-CTSX不傳輸加密加密PN0...0KCN-1加密PN-1KCNXCN-2解密解密PNKCN-1解密PN-1K

XCNXCN-2明文填充另一種處理末尾不完整分組的方案加密加密PNKCN加密PN-1KCN-1選左側(cè)j位CN-2解密加密PNKCN解密PN-1KCN-1選左側(cè)j位CN-2這種模式下，攻擊者可以通過篡改CN中特定位來改變明文特定位，而不引起大范圍的錯誤。可變分組密碼通過可變反饋，構(gòu)造概率型密碼加密加密PjKCjNoncej哈希解密解密CjKPjNoncej哈希可變分組密碼加密AES加密PjK1CjNonceiAES加密K2αj解密AES解密CjK1PjNonceiAES加密K2αj面向分組存儲設(shè)備的XTS-AES模式不同位置j的相同明文，加密得到不同密文分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)密鑰管理概念密鑰管理原則：密鑰難以竊取在一定條件下即使竊得密鑰也無用超過使用時間和范圍限制密鑰分配和更新對用戶透明密鑰管理內(nèi)容：產(chǎn)生密鑰、分配密鑰、驗證密鑰、使用密鑰、更新密鑰、銷毀密鑰、存儲密鑰、備份密鑰、密鑰有效期、泄漏密鑰處理、密鑰證書、……密鑰管理：產(chǎn)生密鑰密碼系統(tǒng)的安全性在算法層面取決于算法強(qiáng)度和密鑰長度算法強(qiáng)度更重要，但很難評估選擇那些久經(jīng)考驗的算法正確的使用這些算法密鑰長度容易描述，給出安全性的上限僅從密鑰長度考慮，多長的密鑰可以提供足夠的安全？假設(shè)密碼算法足夠好，僅可進(jìn)行窮舉法攻擊密鑰的長度L，窮舉攻擊所需時間至多2L對稱密碼密鑰長度的選擇密鑰長度越大越好？加密更安全密鑰管理更加困難生成密鑰的成本增加密鑰分配管理更困難分配、更新、存儲等等密碼算法的計算成本增加運算量增加硬件成本增加消息傳輸?shù)难舆t增加在保證安全的前提下，傾向于選擇較短的密鑰專用硬件窮舉攻擊硬件攻擊的花費需要專用硬件設(shè)備和大規(guī)模并行運算摩爾定律：大約每18個月計算機(jī)的計算能力就翻一番推論：每5年同等性能計算機(jī)的價格會下降到原來的10%是否進(jìn)行硬件攻擊，取決于消息的價值DES的例子我們很難評估敵人投入的硬件成本網(wǎng)絡(luò)協(xié)作窮舉攻擊大規(guī)模網(wǎng)絡(luò)合作結(jié)點數(shù)量：數(shù)百？數(shù)萬？數(shù)百萬？1997年對DES的攻擊，78000個IP地址參與，96天搜索了1/4的密鑰空間運氣，是破譯者的天使我們不講運氣，算概率假設(shè)一臺機(jī)器一天內(nèi)破譯的概率是p，那么M臺機(jī)器合作在一天內(nèi)破譯的概率是Mp對DES，假設(shè)一臺設(shè)備每秒嘗試100個密鑰，一天嘗試8.64×106，破譯概率p≈2.4×10-10。中國10億臺PC或智能手機(jī)合作，一天破譯的概率是24%若M個用戶獨立隨機(jī)測試密鑰，則攻擊減慢，一天內(nèi)破譯的概率降為1-(1-p)M上述概率變?yōu)?1%，仍很可觀有人提意制作無惡意的病毒，利用機(jī)器空閑時間完成協(xié)作破譯，并通過網(wǎng)絡(luò)擴(kuò)散破譯結(jié)果新興技術(shù)窮舉攻擊神經(jīng)網(wǎng)絡(luò)/遺傳技術(shù)/機(jī)器學(xué)習(xí)/AI/大數(shù)據(jù)：作用不大它們擅于處理那些解會逐漸變好的問題密碼問題通常沒有提供太多“學(xué)習(xí)”的機(jī)會生物工程技術(shù)生物芯片：讓單個生物細(xì)胞具有窮舉和檢驗密鑰的能力科幻？規(guī)模仍然很小恐龍，約1014個細(xì)胞——246個海藻，體積約10-15m3，制備1m3的海藻大約將覆蓋深1m、518平方公里的海洋——234個新興技術(shù)窮舉攻擊量子計算技術(shù)可以同時測試2N個密鑰量子計算機(jī)的難點量子位數(shù)的物理控制量子位的初值設(shè)定，與結(jié)果的讀取通用量子門電路的設(shè)計量子門的運算速度必須比“退相干”快得多。量子的“退相干”會使得量子計算機(jī)極不穩(wěn)定設(shè)每個量子門存在很小的錯誤概率p，整個系統(tǒng)由N個量子門組成，則成功運行一次所需實驗次數(shù)為(1/(1-p))N若p=0.01，N=10000，則成功運行一次需要實驗1043次短期內(nèi)似乎還難以真正威脅到現(xiàn)代密碼系統(tǒng)熱力學(xué)的局限性熱力學(xué)第二定律：封閉系統(tǒng)的熱力學(xué)變化趨勢是熵增加熵增加，即所有粒子狀態(tài)的隨機(jī)性更均勻信息的表達(dá)是隨機(jī)性的減少，需要提供額外的能量蘭道爾原理Landauer'sprinciple：通過改變系統(tǒng)的狀態(tài)，記錄或消除1位信息所需的能量不少于kTln2≈kTT是系統(tǒng)的絕對溫度k是Boltzman常數(shù)，k=1.38×10-16erg/K布雷莫曼極限Bremermann‘sLimit：單位質(zhì)量物質(zhì)在單位時間內(nèi)釋放能量可記錄或消除的比特數(shù)為1.36×1050bits/second/kilogram熱力學(xué)的局限性用理想計算機(jī)進(jìn)行窮舉在宇宙環(huán)境溫度(3.2K)下設(shè)置或清除1位將消耗4.4×10-16erg能量若工作于更低的環(huán)境下，則必須有額外的能量來運行熱泵太陽每年輻射1.21×1041erg，可改變2.7×1056

位，即窮舉187位若考慮到宇宙中所有的輻射能量，則可以窮舉219位可以斷言：對256位密鑰進(jìn)行窮舉是絕對行不通的此結(jié)論是針對傳統(tǒng)計算機(jī)得出的密鑰管理：密鑰生成生成密鑰時，還必須考慮：密鑰生成算法要足夠安全，其安全性不應(yīng)低于密碼算法的安全性避免選擇弱密鑰——字典攻擊便于記憶的，往往是便于攻擊的使用通行短語增加難度ppnn13%dkstFeb.1st 娉娉裊裊十三余，豆蔻梢頭二月初RMdkwtg.TH19XCF 人面不知何處去，桃花依舊笑春風(fēng)hold?fish:palm 魚與熊掌不可兼得使用長密鑰——HASH——實際密鑰密鑰管理：密鑰生成ManuelBlum（1995年圖靈獎獲得者）提出一種方案，為將要登錄的網(wǎng)站設(shè)置一種“人類可計算”的密碼設(shè)置一個固定的6×6的個人私鑰矩陣，將26個字母、10個數(shù)字填充進(jìn)去（像是hill密碼的矩陣初始化）設(shè)置一個固定算法，例如：假定要登錄的網(wǎng)站是amazon在矩陣中先找到第一個字母‘a(chǎn)’，用它北面的字母進(jìn)行替代；再在矩陣中找到第二個字母‘m’，用東面的字母進(jìn)行替代；接下來第三個字母用南面的字母進(jìn)行替代；第四個字母用西面的字母進(jìn)行替代；以此類推直至將整個網(wǎng)站名編碼。編碼結(jié)果就是密鑰。例如：amazon可能被替換為5FHX7E更進(jìn)一步：當(dāng)用‘a(chǎn)’北面的字母替換a時，也將矩陣中這兩個字母對調(diào)，那么....復(fù)雜到什么程度是人可以勝任的？人方便勝任的？密鑰管理：分配密鑰密鑰分發(fā)可以采用的多種方法A產(chǎn)生密鑰，并由人員送給B由一個可信第三方產(chǎn)生密鑰，并由人員分發(fā)給A和B若A和B都與可信第三方C有一個秘密信道，則可由C中轉(zhuǎn)、或分發(fā)來完成密鑰分配分散式密鑰管理的困難目標(biāo)是每個成員都能夠與其他成員以安全方式通信預(yù)先給每兩個成員間都分配一對密鑰是不可取的數(shù)量龐大：N個成員需要的密鑰數(shù)量是[N(N-1)]/2維護(hù)困難：存儲、更新不支持成員的變動動態(tài)密鑰分配機(jī)制需要考慮如何安全地分配密鑰密鑰需要經(jīng)常更換密碼系統(tǒng)的安全漏洞往往出在密鑰分配方案上集中式密鑰分配中心(KDC)密鑰分配中心KDC是可信的KDC負(fù)責(zé)給需要的用戶分發(fā)臨時會話密鑰每個用戶與KDC共享一個密鑰（主密鑰），用于加密密鑰（會話密鑰）密鑰的層次式化管理主密鑰用于用戶與KDC之間聯(lián)絡(luò)，傳遞會話密鑰KDC負(fù)責(zé)完成密鑰的中繼或分發(fā)用戶之間用會話密鑰加密需要傳輸?shù)臄?shù)據(jù)每次通信都產(chǎn)生一個新的會話密鑰，過后作廢主密鑰一般利用非對稱密碼途徑分發(fā)，采用非密碼

手段保存……KDC用戶主密鑰會話密鑰KDC的層次化KDC的問題：KDC的工作量與用戶數(shù)量有關(guān)KDC可能受到攻擊KDC的層次化控制建立一系列KDC，各個KDC之間存在層次關(guān)系使得主密鑰分配所涉及的工作量減至最小將出錯或受到破壞的KDC的危害限制在它的本地區(qū)域………………………KDC用戶一個簡單的密鑰分配方案A和B各自擁有與KDC共享的主密鑰KA和KB：A向KDC發(fā)出請求，要求得到與B通信的會話密鑰KDC用KA加密傳送給A如下內(nèi)容：一次性會話密鑰KS原始請求報文用KB加密的要發(fā)給B的會話密鑰KS和A的標(biāo)識符IDAA得到會話密鑰KS并將有關(guān)信息發(fā)給BA和B之間進(jìn)行認(rèn)證，并正式秘密通信一種對用戶透明的密鑰管理方案密鑰管理：驗證密鑰Bob收到Alice的密鑰時，如何確認(rèn)它來自Alice？Alice親自送來，沒有問題Alice通過可靠信使送來，Bob必須相信該信使由Alice主密鑰加密，Bob必須相信主密鑰沒有外泄由Alice數(shù)字簽名，Bob必須相信Alice的公鑰數(shù)據(jù)真實由可信第三方數(shù)字簽名，Bob必須相信可信第三方的公鑰數(shù)據(jù)真實Bob需要驗證收到的密鑰是正確的附帶一個用該密鑰加密的密文來驗證密鑰的正確性對比密鑰的哈希值結(jié)合身份認(rèn)證密鑰管理：使用密鑰重復(fù)使用同一密鑰是不安全的給攻擊這提供大量密文素材容易導(dǎo)致泄漏可能存在重播攻擊密鑰的層次化管理會話密鑰(工作密鑰sessionkey)用于加密本次會話的明文密鑰丟失，僅影響本次會話；更換密鑰，防止對方以后竊取信息。主密鑰構(gòu)成密鑰管理系統(tǒng)之核心，用來分配會話密鑰會話密鑰按照某種密鑰協(xié)議來生成，受主密鑰保護(hù)密鑰的連通與分割所有應(yīng)用都使用同一個密鑰是不安全的應(yīng)根據(jù)用途不同而定義不同類型密鑰數(shù)據(jù)加密密鑰個人標(biāo)識號PIN加密密鑰文件加密密鑰等等密鑰的連通：密鑰共享的范圍密鑰的分割：適用范圍和時間限制按范圍分割按時間分割分割實現(xiàn)：靜態(tài)/動態(tài)密鑰的連通與分割在密鑰中嵌入標(biāo)記，限制密鑰的使用方式如DES的8位非密鑰比特1比特指示此密鑰是主密鑰還是會話密鑰1比特指示此密鑰是否可以用于加密1比特指示此密鑰是否可以用于解密其余比特用作其它用途控制向量的方案控制向量長度沒有限制，可實現(xiàn)任意復(fù)雜的控制控制向量始終是明文，可多次運用或疊加非線性密鑰空間如何防止敵方繳獲我方密鑰設(shè)備后，實施黑盒分析？方法：讓敵人使用這些設(shè)備時得不到“好”的加密算法中要求使用有特殊形式的密鑰，否則用弱算法執(zhí)行加密即不同密鑰的安全強(qiáng)度不同！一種實現(xiàn)方法：密鑰分為兩部分，前一部分是密鑰本身，后一部分是用密鑰本身加密某個固定字符串得到的密文設(shè)備執(zhí)行時，先用前面的密鑰本身解密后面的字符串，若解密結(jié)果與固定字符串相同，則正常工作；否則就用一個弱加密算法若前部分密鑰128位，字符串64位，則密鑰總長度192位有效好密鑰共2128個，敵方從2192個密鑰中隨機(jī)選擇一個，選中好密鑰的機(jī)會為2-64密鑰本身識別串密鑰管理：更新密鑰從舊密鑰出發(fā)獲得新密鑰用舊密鑰計算用舊密鑰協(xié)商注意舊密鑰的泄露會危及新密鑰重新認(rèn)證雙方身份并分配密鑰舊密鑰必須妥善銷毀密鑰管理：銷毀密鑰舊密鑰必須安全地銷毀記憶在腦中：必須忘記寫在紙上：必須燒毀或粉碎（用優(yōu)質(zhì)粉碎機(jī)），必要時粉碎后燒毀存儲在EEPROM中：多次擦寫存儲在EPROM或PROM中：粉碎存儲在硬盤中：多次擦寫密鑰存儲位置，或粉碎密鑰管理：存儲密鑰用戶記憶，需要時輸入系統(tǒng)難記，輸入慢，可能出錯密鑰加密存儲在硬盤上加密密鑰一部分存在硬盤上，一部分以口令輸入基于口令的密碼PBE：將h(口令)視為密鑰加密密鑰（KEK），用于加密會話密鑰，將密文存儲在表中，丟棄h(口令)。解密時重建h(口令)，解密獲得會話密鑰保存在即插即用物理設(shè)備中要確保不會丟失要確保只能被特定設(shè)備/軟件讀出目前最好的辦法：將密鑰和密碼算法集成在即插即用設(shè)備上，輸入明文，輸出密文密鑰管理：備份密鑰密鑰的保存集中保存分散保存密碼丟失了，怎么辦？密碼保管人可能出意外，保存密碼的設(shè)備可能出意外密鑰托管，由特定安全官掌管備份的密鑰安全官可靠么？安全官也可能出意外密鑰備份數(shù)量與保密性是相互矛盾的備份越多越可靠，但泄露的風(fēng)險也越大密鑰分片/分享是一種解決方案密鑰托管——美國Clipper計劃法院授權(quán)的搭線竊聽是防止犯罪的有效方法之一公民使用弱的密碼系統(tǒng)？公民事先把私鑰交給政府？Clipper計劃中的密鑰托管所有數(shù)字通信(包括音、視頻)的加密都必須使用經(jīng)政府批準(zhǔn)、統(tǒng)一生產(chǎn)的防篡改的加密芯片實現(xiàn)每個加密芯片有唯一ID號和設(shè)備唯一密鑰KUKU分兩個部分，與ID號一起由兩個托管機(jī)構(gòu)存儲芯片加密數(shù)據(jù)時，先用KU加密會話密鑰，并發(fā)布當(dāng)法院授權(quán)竊聽時，從托管機(jī)構(gòu)收集并重建KU，解密會話密鑰，進(jìn)而解密消息密鑰管理：密鑰有效期為什么要有效期？密鑰使用時間過長，計算能力的提升，可能使得“不會被破譯的密鑰”被破譯密鑰使用時間過長，攻擊者可能找到破解的方法密鑰使用時間越長，泄漏的機(jī)會越大同一密鑰加密的消息越多，破譯越容易若密鑰已泄漏，則用得時間越長，損失越大密鑰使用越久，破譯它的誘惑就越大例外：加密密鑰的密鑰無需頻繁更換加密文件的密鑰不能經(jīng)常更換這些密鑰必須妥善保管密鑰管理：密鑰有效期、密碼生命期密碼生命期包括加密方使用期限（OUP）和解密方使用期限（RUP）加密方使用期限是指可用于數(shù)據(jù)加密的時間段解密方使用期限是指數(shù)據(jù)保持被該密鑰加密的密文形式直到解密的時間段若考慮到網(wǎng)絡(luò)傳輸延遲，RUP可能比OUP晚開始一段時間一般RUP的結(jié)束時間遠(yuǎn)遠(yuǎn)超出OUP的結(jié)束時間密碼生命期從OUP的開始一直延伸到RUP的結(jié)束OUPRUP密碼生命期會話密鑰的使用壽命會話密鑰更換越頻繁就越安全但頻繁更換密鑰會影響網(wǎng)絡(luò)性能：通信時間，網(wǎng)路容量對于面向連接的協(xié)議每次會話使用新的密鑰若會話時間很長，或通信量很大，需要周期性的改變會話密鑰對于無連接的協(xié)議每次交互使用新的密鑰或者每隔固定時間更新會話密鑰或者對于一定數(shù)量的交互使用一個會話密鑰分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)密碼系統(tǒng)的選擇加密算法的選擇公開發(fā)表的加密算法政府指定的加密算法著名廠家產(chǎn)品？專家推薦的加密算法？密碼算法的實現(xiàn)方式軟件加密是可怕的在內(nèi)存中有密鑰的副本；多線程操作系統(tǒng)，進(jìn)程被掛起；內(nèi)存被存在硬盤頁面文件上硬件加密相對更安全存儲數(shù)據(jù)的加密硬盤級加密：密鑰管理簡單，不支持隨機(jī)文件解密，加解密工作量大文件級加密：靈活，單一密鑰則給攻擊者的素材太多，多密鑰則管理麻煩安全隱患從同一局域網(wǎng)上其他工作站發(fā)起的竊聽使用撥號或外部路由進(jìn)入局域網(wǎng)進(jìn)行竊聽潛入配線室竊聽在外部鏈路上對通信業(yè)務(wù)的監(jiān)聽和修改密碼技術(shù)對通信網(wǎng)絡(luò)的保護(hù)基本方法：鏈路加密、端到端加密鏈路加密每個鏈接獨立加密結(jié)點需要解密、加密操作，結(jié)點處消息為明文需要更多加/解密設(shè)備及成對的密鑰端到端加密在初始源與最終目的之間加密每個終端需要加/解密設(shè)備和共享密鑰存儲轉(zhuǎn)發(fā)通信網(wǎng)絡(luò)中的加密覆蓋范圍OSI框架七層協(xié)議TCP/IP協(xié)議鏈路加密端到端加密圖解七層協(xié)議圖解七層協(xié)議圖解七層協(xié)議存儲轉(zhuǎn)發(fā)通信網(wǎng)絡(luò)中的加密覆蓋范圍將加密設(shè)備用于端到端協(xié)議例如：網(wǎng)絡(luò)層，TCP層可以提供整個網(wǎng)絡(luò)的端對端的安全性不能用于網(wǎng)絡(luò)之間的服務(wù)將加密設(shè)備用于應(yīng)用層越高的層次，所需加密的信息越少，而安全性越高但涉及的實體太多，所需的密鑰也太多流量分析攻擊使用端到端加密時，必須保留數(shù)據(jù)包頭不加密，保證網(wǎng)絡(luò)能夠獲得正確的路由信息通信內(nèi)容可以保護(hù)，通信流量模式無法保護(hù)，可以獲得哪些通信實體參與了通信過程，甚至他們的身份、關(guān)系等通信雙方的通信頻率消息格式、長度、數(shù)量，并可由此推斷是否有重要消息被傳輸特定通信雙方特定會話內(nèi)容所涉及的事件曙光網(wǎng)絡(luò)流量識別分析系統(tǒng)SUNA流量分析攻擊的防御一種辦法是在傳輸層或應(yīng)用層把所有數(shù)據(jù)單元都填充到一個統(tǒng)一的長度，以防止攻擊者獲得端用戶之間交換的數(shù)據(jù)量信息流量填充（trafficpadding）可以保護(hù)數(shù)據(jù)流量信息代價是持續(xù)的通信另一種方案：端到端加密全程保護(hù)數(shù)據(jù)內(nèi)容，并提供認(rèn)證鏈路加密保護(hù)數(shù)據(jù)包頭信息，但網(wǎng)絡(luò)全局流量仍可被監(jiān)聽分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)秘密分享的作用為防止密鑰丟失（或被毀），應(yīng)建立副本備份備份越多，越容易泄露備份越少，越容易丟失（或被毀）重要機(jī)構(gòu)必須由數(shù)個人共同合作才能完成某件工作例如：打開銀行金庫的大門，啟動核導(dǎo)彈發(fā)射程序秘密分享：不增加備份數(shù)量的情況下，增加可靠性由n個用戶中的t個用戶相互協(xié)作，完成某些重要任務(wù)（t，n）門限方案Shamir于1979年提出將一個秘密K分解成n個影子（shadow,或稱為分享）k1,k2,…,kn設(shè)計一個算法，使得只要有t個ki，計算K是容易的；從任何少于t個ki，計算K是不可能的。當(dāng)t=n時，有時又稱作秘密分割此時，算法可以簡單的用異或?qū)崿F(xiàn)引入n-1個隨機(jī)數(shù)，將它們、以及它們與秘密的總的異或值作為影子拉格朗日插值多項式法

(LagrangeInterpolatingPolynomialScheme)選擇一個域GF(p)，素數(shù)p>K,p>n每個影子由t-1次的隨機(jī)多項式導(dǎo)出：h(x)=(at-1xt-1+…+a1x1+a0)modp常數(shù)項a0即為秘密K，即a0=K其他系數(shù)為隨機(jī)數(shù)給定h(x)，則秘密K=h(0)，分享ki=h(xi)，i=1,…,nx1,x2,…,xw無需保密，常取1,2,3,…拉格朗日插值多項式的重建只需要t個點就可以唯一地重組t-1次的多項式，恢復(fù)秘密t-1次多項式必須要t個點才可以唯一確定任意給定t個影子，k1,k2,…,kt，多項式h(x)可以由拉格朗日插值多項式給出：所有運算在GF(p)里進(jìn)行，除是由乘模p的逆實現(xiàn)的拉格朗日插值多項式的證明假設(shè)已有t個影子k1,k2,…,kt設(shè)多項式為h(x)，則采用基分解的處理方法，先求解如下方程組拉格朗日插值多項式的證明考慮第一個方程組有類似地可以解出所有方程組代回原同余方程組，即得證拉格朗日插值多項式例

高級門限方案可以構(gòu)造復(fù)雜的共享方案若某人比其他人重要，可以分配給他更多的影子可以按各人的重要程度分配不同數(shù)量的影子設(shè)想需要在兩個敵對代表團(tuán)之間共享秘密設(shè)A代表團(tuán)7人，B代表團(tuán)12人，需要由來自A團(tuán)的2人和來自B團(tuán)的3人一起才能恢復(fù)秘密多項式構(gòu)造為一個三次多項式，它是一個一次多項式（給A團(tuán)分配影子）和一個二次多項式（給B團(tuán)分配影子）的乘積其它門限方案實現(xiàn)方法矢量方案將秘密映射為t維空間中的一個點每個影子是包含這個點的(t-1)維超平面方程任意t個超平面的交點即是秘密Karnin-Greene-Hellman矩陣方案選擇n+1個t維向量V0,V1,V2,…,Vn（公開），使得任意t個向量所構(gòu)成的矩陣的秩為t。向量U是t維行向量。秘密為U·V0，影子是乘積U·Vi(1<i<n)任意t個影子能夠用來解t元線性方程組，確定U。特定情景中的秘密分享有騙子的秘密共享情景1：重構(gòu)秘密時，合法用戶故意輸入錯誤影子某個拒絕總統(tǒng)命令不愿意發(fā)射導(dǎo)彈的將領(lǐng)，在輸入影子時故意輸入錯誤數(shù)字，使得秘密不能恢復(fù)。普通方案無法發(fā)現(xiàn)究竟是誰在破壞情景2：重構(gòu)秘密時，非法用戶在參與過程中竊取他人影子非法用戶可以偷看別人的影子，可以在算法中設(shè)法推演出他人影子的信息，可以當(dāng)t個合法用戶恢復(fù)秘密后構(gòu)建自己的合法影子不暴露影子的秘密共享重建秘密時不直接展示各人的影子例如，當(dāng)秘密是所有人共同數(shù)字簽名的私鑰時，每個人獨立簽名后，文件就已經(jīng)用共同的私鑰簽名了特定情景中的秘密分享沒有仲裁者的秘密共享在某種場合下，沒有可信的仲裁者來制造影子如果有人知道核彈發(fā)射的最終密碼，并由他來為其他將領(lǐng)分配影子，則這個人有機(jī)會獨自發(fā)射核彈需要一種算法，由合法參與者來共同生成影子，但沒有人知道秘密設(shè)想秘密是在某個設(shè)備中秘密生成，參與者可以用它來計算，但不能讀取秘密可驗證的秘密共享影子持有人如何知道自己的影子是正確的？合法參與者如何驗證某個可疑對象的影子正確與否？通過重建秘密可以驗證，但那樣秘密就泄露了特定情景中的秘密分享帶預(yù)防的秘密共享對于已構(gòu)建的(t,n)方案，如果想提高為(t',n)方案，如何做？帶除名的秘密共享對于已構(gòu)建的(t,n)方案，如果想除名一個參與者，如何做？完作業(yè)1. 填滿下表中的剩余位置：2. 在DES的ECB模式中，若在密文的傳輸過程中，某一塊發(fā)生了錯誤，則只有相應(yīng)的明文組會有影響。然而，在CBC模式中，這種錯誤具有擴(kuò)散性。比如，密文分組C1發(fā)生的錯誤將會影響明文分組P1和P2。a. P2以后的哪些分組會受到影響？b. 假設(shè)P1在加密前就有一位發(fā)生了錯誤，則這個錯誤要影響多少個密文分組？對接收者解密后的結(jié)果有什么影響？操作模式加密解密ECBCj=E(K,Pj)j=1,…,NPj=D(K,Cj)j=1,…,NCBCC1=E(K,[P1⊕IV])Cj=E(K,[P