《網絡空間安全導論》 課件 11-密碼學基礎04-公鑰密碼學；05-密鑰交換

密碼學基礎04

公鑰密碼學理解公鑰密碼算法工作原理掌握公鑰密碼算法應用場景教學目標公鑰密碼體制的基本概念RSA算法學習其它加密算法簡介目錄在公鑰密碼體制前，所有密碼算法都是基于代換和置換公鑰密碼體制則為密碼學的發(fā)展提供了新的理論和技術基礎公鑰密碼算法的基本工具數學函數公鑰密碼算法是以非對稱的形式使用兩個密鑰公鑰密碼體制1976年以前，所有的加密方法都是同一種模式：加解密雙方使用相同算法，相同密鑰來進行運算得到結果。這種加密模式有一個最大弱點：甲方必須把加密規(guī)則與密鑰告訴乙方，否則無法解密。保存和傳遞密鑰，就成了最頭疼的問題。公鑰密碼體制解決單鑰密碼體制中最難解決的兩個問題：密鑰分配和數字簽名公鑰密碼體制公鑰密碼體制算法條件產生一對密鑰是計算可行的已知公鑰、明文，產生密文是計算可行的利用私鑰、密文，得到明文是計算可行的利用公鑰來推斷私鑰是計算不可行的利用公鑰、密文，得到明文是計算不可行的公鑰密碼體制以上要求的本質之處在于要求一個陷門單向函數總結為——陷門單向函數是一族可逆函數fk，滿足：①Y=fk(X)易于計算（當k和X已知時）。②X=f-1k(Y)易于計算（當k和Y已知時）。③X=f-1k(Y)計算上是不可行的（當Y已知但k未知時）上述表達②③中，k就是所指的陷門，已知K時，可以進行逆計算。公鑰密碼體制加密應用公鑰密碼體制認證應用公鑰密碼體制認證+加密公鑰密碼體制1976年,Diffie和Hellman提出公鑰密碼思想，可以在不直接傳遞密鑰的情況下，完成解密。這被稱為"Diffie-Hellman密鑰交換算法"。公鑰密碼體制RSA算法是1978年由R.Rivest,A.Shamir和L.Adleman提出的一種用數論構造的、也是迄今為止理論上最為成熟完善的公鑰密碼體制，該體制已得到廣泛的應用。RSA算法其他非對稱加密算法Merkel-Hellman背包算法McEliece算法ElGammal算法橢圓曲線密碼算法基于有限自動機的公開密鑰算法(中國)公鑰密碼體制算法描述①選兩個保密的大素數p和q。②計算n=p×q，φ(n)=(p-1)(q-1),其中φ(n)是n的歐拉函數值，

令k=φ(n)。③選一整數e，滿足1<e<k，且gcd(k,e)=1。即e與k互質。④計算d，滿足d·e≡1mod(k),即d是e在模k下的乘法逆元，因e與k互質，由模運算可知，它的乘法逆元一定存在。即d·e=k·t+1，t為正整數⑤以{e,n}為公鑰,{d,n}為私鑰。RSA加密算法

RSA加密算法

RSA算法

RSA算法RSA算法可靠性，若已知公鑰{e,n}，求解d即可破解rsa算法回顧算法中一系列因素p初始大質數q 初始大質數nn=p*qφ(n)ee隨機選取公鑰de在模n下的乘法逆元RSA算法RSA的安全性已知公鑰{e,n}，已知ed≡1(modφ(n))。如何求解d？問題變?yōu)榍蠼猞?n)φ(n)=(p-1)(q-1)-->問題變?yōu)榍蠼鈖q已知n=p*q，所以問題變?yōu)閚的因數分解。對于兩個大質數相乘結果的因式分解，目前只能使用暴力破解。RSA算法密鑰為1024位或2048位。同學可以編程嘗試驗證。RSA算法

其它公鑰加密算法

其它公鑰加密算法

其它公鑰加密算法

其它公鑰加密算法離散對數類，依賴離散對數難題主要有橢圓曲線上的離散對數數域上的離散對數算法EIGamal其它公鑰加密算法離散對數舉例其它公鑰加密算法學習公鑰密碼體制理解公鑰、私鑰的分別作用于加密與認證場景下的應用總結密碼學基礎05

密鑰交換學習密鑰交換算法理解密鑰管理的概念教學目標Diffie-Hellman密鑰交換單密鑰加密體制的密鑰分配公鑰加密體制的密鑰管理目錄公鑰的分配方法：公開發(fā)布、公用目錄表、公鑰管理機構、公鑰證書公鑰分配完成后，用戶就可以使用公鑰體制進行保密通信。但是公鑰加密速度慢，進行通信時不太合適。此時更適合使用對稱加密來通信。由此引申出對稱加密的密鑰分配管理問題。公鑰體制的密鑰管理Diffie-Hellman密鑰交換是W.Diffie和M.Hellman于1976年提出的第一個公鑰密碼算法算法的惟一目的是使得兩個用戶能夠安全地交換密鑰，得到一個共享的會話密鑰，算法本身不能用于加、解密。算法的安全性基于求離散對數的困難性。Diffie-Hellman密鑰交換

Diffie-Hellman密鑰交換

Diffie-Hellman密鑰交換在大量用戶需要互相通信時，單密鑰體制，會使用大量密鑰。如有n個用戶要互相通信，此時需要n(n-1)/2個密鑰此時密鑰管理是一個嚴重的風險問題。引入KDC來解決這個問題密鑰分發(fā)中心KDC和每個終端用戶都共享一對唯一的主密鑰（用物理的方式傳遞，如U盾）。終端用戶之間每次會話，都要向KDC申請唯一的會話密鑰，會話密鑰通過與KDC共享的主密鑰加密來完成傳遞。單密鑰加密體制的密鑰分配建立一個共享的一次性會話密鑰，可通過以下幾步來完成：①A向KDC發(fā)出會話密鑰請求。表示請求的消息由兩個數據項組成，第1項是A和B的身份，第2項是這次業(yè)務的惟一識別符N1。②KDC為A的請求發(fā)出應答。應答是由KA加密的消息，因此只有A才能成功地對這一消息解密，并且A可相信這一消息的確是由KDC發(fā)出的。③A存儲會話密鑰，并向B轉發(fā)EKB[KS‖IDA]。因為轉發(fā)的是由KB加密后的密文，所以轉發(fā)過程不會被竊聽。B收到后，可得會話密鑰KS，并從IDA可知另一方是A，而且還從EKB知道KS的確來自KDC。④B用會話密鑰KS加密另一個一次性隨機數N2，并將加密結果發(fā)送給A。⑤A以f(N2)作為對B的應答，其中f是對N2進行某種變換（例如加1）的函數，并將應答用會話密鑰加密后發(fā)送給B。單密鑰加密體制的密鑰分配密鑰分配實例單密鑰加密體制的密鑰分配

無KDC的密鑰分配兩個用戶A和B建立會話密鑰需經過以下3步（A與B已經有共享主密鑰）①A向B發(fā)出建立會話密鑰的請求和一個一次性隨機數N1。②B用與A共享的主密鑰MKm對應答的消息加密，并發(fā)送給A。應答的消息中有B選取的會話密鑰、B的身份、f(N1)和另一個一次性隨機數N2。③A使用新建立的會話密鑰KS對f(N2)加密后返回給B。單密鑰加密體制的密鑰分配單密鑰加密體制的密鑰分配基于公鑰管理機構的公鑰分配：①用戶A向公鑰管理機構發(fā)送帶時戳的消息，請求獲取用戶B的公鑰。②管理機構作出應答，該消息由管理機構用自己的私鑰SKAU加密，因此A能用管理機構的公開鑰解密，并確認該消息的真實性。③A用B的公鑰對一個消息加密發(fā)往B，這個消息有兩個數據項:一是A的身份IDA，二是一個一次性隨機數N1，用于惟一地標識這次業(yè)務。④⑤B以相同方式從管理機構獲取A的公開鑰（與步驟①、②類似）。這時，A和B都已安全地得到了對方的公鑰，所以可進行保密通信。然而，他們也許還希望有以下兩步，以認證對方。公鑰加密體制的密鑰管理⑥B用PKA對一個消息加密后發(fā)往A，該消息的數據項有A的一次性隨機數N1和B產生的一個一次性隨機數N2。因為只有B能解密③的消息，所以A收到的消息中的N1可使其相信通信的另一方的確是B。⑦

A用B的公開鑰對N2加密后返回給B，可使B相信通信的另一方的確是A。公鑰加密體制的密鑰管理公鑰加密體制的密鑰管理基于公鑰證書管理公鑰用戶通過公鑰證書來互相交換自己的公鑰而無須與公鑰管理機構聯系。公鑰證書由證書管理機構CA(certificateauthority)為用戶建立，其中的數據項有與該用戶的秘密鑰相匹配的公開鑰及用戶的身份和時戳等。所有的數據項經CA用自己的秘密鑰簽字后就形成證書，即證書的形式為：CA=ESKCA[T,IDA,PKA]IDA是用戶A的身份，PKA是A的公鑰，T是當前時戳，SKCA是CA的秘密鑰，CA即是為用戶A產生的證書公鑰加密體制的密鑰管理公鑰加密體制的密鑰管理使用公鑰加密體制分配對稱密鑰如果A希望與B通信，可通過以下幾步建立會話密鑰：①A產生自己的一對密鑰{PKA,SKA}，并向B發(fā)送PKA||IDA，其中IDA表示A的身份。②B產生會話密鑰KS，并用A的公開鑰PKA對KS加密后發(fā)往A。③A由DSKA[EPKA[KS]]恢復會話密鑰。因為只有A能解讀KS，所以僅A、B知道這一共享密鑰。④A銷毀{PKA,SKA}，B銷毀PKA。公鑰加密體制的密鑰管理簡單使用公鑰加密算法建立會話密鑰這種建議容易受到中間人攻擊公鑰加密體制的密鑰管理具有保密性和認證性的密鑰分配假定A、B雙方已完成公鑰交換，可按以下步驟建立共享會話密鑰：①A用B的公開鑰加密A的身份IDA和一個一次性隨機數N1后發(fā)往B②B用A的公開鑰PKA加密A的一次性隨機數N1和B新產生的一次性隨機數N2后發(fā)往A。因為只有B能解讀①中的加密，所以B發(fā)來的消息中N1的存在可使A相信對方的確是B。③A用B的公鑰PKB對N2加密后返回給B，以使