一次一密與Diffie-Hellman20

1、2022-2-13南京郵電大學(xué)信息安全系1第第 章章 一次一密和一次一密和Diffie-Hellman南京郵電大學(xué)信息安全系南京郵電大學(xué)信息安全系網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)信息安全教研組教研組2022-2-13南京郵電大學(xué)信息安全系2一次一密密碼系統(tǒng)一次一密密碼系統(tǒng) 屬于流密碼體系屬于流密碼體系 由美國由美國AT&T的的G. W. Vernam發(fā)明發(fā)明 唯一理論上不可攻破的密碼系統(tǒng)唯一理論上不可攻破的密碼系統(tǒng) 計(jì)算簡單，效率高，但密鑰管理困難計(jì)算簡單，效率高，但密鑰管理困難 2022-2-13南京郵電大學(xué)信息安全系3密碼系統(tǒng)的基本要求和設(shè)計(jì)原則密碼系統(tǒng)的基本要求和設(shè)計(jì)原則基本要求基本要求（1）知

2、道）知道K時(shí)，時(shí)，C=E（M，K）要容易計(jì)算；）要容易計(jì)算；（2）知道）知道K時(shí)，時(shí)，M=D（C，K）要容易計(jì)算；）要容易計(jì)算；（3）不知道）不知道K時(shí)，由時(shí)，由C不容易推導(dǎo)出不容易推導(dǎo)出M。設(shè)計(jì)原則設(shè)計(jì)原則1）對(duì)合法的通信雙方來說，加密和解密容易；）對(duì)合法的通信雙方來說，加密和解密容易；2）對(duì)密碼分析員來說由密文推導(dǎo)出明文困難；）對(duì)密碼分析員來說由密文推導(dǎo)出明文困難；3）衡量密碼系統(tǒng)的好壞，應(yīng)以能否被攻破和易于被）衡量密碼系統(tǒng)的好壞，應(yīng)以能否被攻破和易于被攻破為基本標(biāo)準(zhǔn)。攻破為基本標(biāo)準(zhǔn)。2022-2-13南京郵電大學(xué)信息安全系4一次一密密碼系統(tǒng)的算法一次一密密碼系統(tǒng)的算法假定明文是假定明文是

3、 M=（m0，m1，mn-1）用下述算法用下述算法 Ci=EKi（mi）=（mi+Ki）（）（mod 26）0in（1）可以得出密文可以得出密文 C=（C0，C1，Cn-1） 1）密鑰）密鑰K=（K0，K1，Kn-1）是一個(gè)隨機(jī)序列，是一個(gè)隨機(jī)序列，2）密鑰只能使用一次，）密鑰只能使用一次，3）密鑰長度要等于明文長度，即）密鑰長度要等于明文長度，即|K|=|M|。 2022-2-13南京郵電大學(xué)信息安全系5一次一密密碼系統(tǒng)舉例一次一密密碼系統(tǒng)舉例明文明文 send help即即 M=（18，4，13，3，7，4，11，15），），n=8隨機(jī)密鑰隨機(jī)密鑰 K=（5，13，1，0，7，2，20，1

4、6）由由(1)可得密文可得密文 C=（23，17，14，3，14，6，5，5）即即 C=（X，R，O，D，O，G，F(xiàn)，F(xiàn)）知道知道K，很容易將，很容易將C還原成還原成 M =（s，e，n，d，h，e，l，p）。）。2022-2-13南京郵電大學(xué)信息安全系6無法破解出明文的原因分析無法破解出明文的原因分析 不知道不知道K無法破解出明文無法破解出明文M：1）密鑰序列）密鑰序列26n可能是個(gè)天文數(shù)字，用窮盡搜索方可能是個(gè)天文數(shù)字，用窮盡搜索方法工作量大。法工作量大。2）上述例子中）上述例子中K=（4，3，2，21，22，24，20，20）時(shí)，由同一個(gè)密文時(shí)，由同一個(gè)密文C，可生成另一個(gè)有意義明文，可

5、生成另一個(gè)有意義明文M =（t，o，m，i，s，i，l，l）。）。 “send help”和和“tom is ill” 作為明文的可能性相作為明文的可能性相同，獲悉密文絲毫不能增加破譯的可能性。同，獲悉密文絲毫不能增加破譯的可能性。 2022-2-13南京郵電大學(xué)信息安全系7一次一密密碼系統(tǒng)不實(shí)用的原因一次一密密碼系統(tǒng)不實(shí)用的原因1）很難生成真正隨機(jī)的密鑰序列。）很難生成真正隨機(jī)的密鑰序列。2）即使已經(jīng)生成，很難分發(fā)）即使已經(jīng)生成，很難分發(fā)/存儲(chǔ)和明文等長的隨存儲(chǔ)和明文等長的隨機(jī)密鑰序列。機(jī)密鑰序列。3）若有安全信道可傳遞每次不同、任意長的密鑰序）若有安全信道可傳遞每次不同、任意長的密鑰序列，

6、為何不直接用來傳遞明文呢？列，為何不直接用來傳遞明文呢？實(shí)際不可攻破的密碼系統(tǒng)，是指它們?cè)诶碚撋鲜强蓪?shí)際不可攻破的密碼系統(tǒng)，是指它們?cè)诶碚撋鲜强梢怨テ频?，但所需?jì)算資源超出實(shí)際的可能性。以攻破的，但所需計(jì)算資源超出實(shí)際的可能性。2022-2-13南京郵電大學(xué)信息安全系8Diffie-Hellman密鑰交換算法密鑰交換算法 公開加密算法原理公開加密算法原理 Whitfield Diffie和和Martin Hellman提出提出D-H密鑰交密鑰交換算法換算法公鑰密碼體制出現(xiàn)公鑰密碼體制出現(xiàn) D-H算法的重大意義算法的重大意義第一次提出不需要保密信第一次提出不需要保密信道來安全分發(fā)對(duì)稱密鑰道來安全

7、分發(fā)對(duì)稱密鑰 公鑰加密是重大創(chuàng)新（公鑰加密是重大創(chuàng)新（每人一對(duì)密鑰每人一對(duì)密鑰）根本根本上改變加上改變加/解密過程解密過程 2022-2-13南京郵電大學(xué)信息安全系9公開加密系統(tǒng)的密鑰對(duì)公開加密系統(tǒng)的密鑰對(duì)每個(gè)用戶兩個(gè)密鑰：每個(gè)用戶兩個(gè)密鑰： 一個(gè)密鑰（一個(gè)密鑰（“私鑰私鑰”）保密，只能在一方保存。）保密，只能在一方保存。 另一個(gè)密鑰（另一個(gè)密鑰（“公鑰公鑰”）不保密，可廣泛共享。）不保密，可廣泛共享。 “密鑰對(duì)密鑰對(duì)”具有數(shù)學(xué)上特殊的互補(bǔ)關(guān)系，每個(gè)密鑰具有數(shù)學(xué)上特殊的互補(bǔ)關(guān)系，每個(gè)密鑰只能與密鑰對(duì)中的另一個(gè)密鑰配合進(jìn)行加只能與密鑰對(duì)中的另一個(gè)密鑰配合進(jìn)行加/解密。解密。2022-2-13南京

8、郵電大學(xué)信息安全系10公開加密算法的設(shè)計(jì)考慮公開加密算法的設(shè)計(jì)考慮 特意設(shè)計(jì)成兩個(gè)密鑰之間無法簡單推導(dǎo)。特意設(shè)計(jì)成兩個(gè)密鑰之間無法簡單推導(dǎo)。 因此不能根據(jù)公鑰得到私鑰，且從公鑰和密文得因此不能根據(jù)公鑰得到私鑰，且從公鑰和密文得到明文或私鑰計(jì)算上不可行。到明文或私鑰計(jì)算上不可行。 但是要求但是要求公鑰算法必須足夠強(qiáng)大，密鑰對(duì)必須足公鑰算法必須足夠強(qiáng)大，密鑰對(duì)必須足夠長（因此造成加夠長（因此造成加/解密速度慢），才能使人們無解密速度慢），才能使人們無法使用窮舉攻擊來破解密文。法使用窮舉攻擊來破解密文。 2022-2-13南京郵電大學(xué)信息安全系11公開加密算法的用途公開加密算法的用途 A和和B都有密

9、鑰對(duì)，并已分別獲得對(duì)方真正的公鑰。都有密鑰對(duì)，并已分別獲得對(duì)方真正的公鑰。 A要發(fā)送消息給要發(fā)送消息給B，使用，使用公開加密算法的兩種用法公開加密算法的兩種用法：1）A用用B的公鑰加密的公鑰加密 B用自己私鑰解密用自己私鑰解密 非非B不能得到不能得到A發(fā)送的消息（保證機(jī)密性）發(fā)送的消息（保證機(jī)密性）2）A用自己私鑰加密用自己私鑰加密 B用用A的公鑰解密的公鑰解密 別人不能假冒別人不能假冒A發(fā)送消息發(fā)送消息 A也不能否認(rèn)發(fā)送過該消息（數(shù)字簽名不可否認(rèn)）也不能否認(rèn)發(fā)送過該消息（數(shù)字簽名不可否認(rèn)）2022-2-13南京郵電大學(xué)信息安全系12D-H算法的用途和特點(diǎn)算法的用途和特點(diǎn)算法本身局限于密鑰交換

10、用途，而不能實(shí)現(xiàn)加密和算法本身局限于密鑰交換用途，而不能實(shí)現(xiàn)加密和數(shù)字簽名。數(shù)字簽名。安全性依賴于計(jì)算離散對(duì)數(shù)的困難性。安全性依賴于計(jì)算離散對(duì)數(shù)的困難性。特點(diǎn)特點(diǎn)1）只在需要時(shí)才計(jì)算出對(duì)稱密鑰，對(duì)稱密鑰不需保）只在需要時(shí)才計(jì)算出對(duì)稱密鑰，對(duì)稱密鑰不需保存，也不會(huì)泄密。存，也不會(huì)泄密。2）密鑰交換只需要約定全局參數(shù)。）密鑰交換只需要約定全局參數(shù)。3）不需要）不需要PKI的支持，目前的支持，目前SSL、IPSec等都使用等都使用D-H密鑰交換算法。密鑰交換算法。 2022-2-13南京郵電大學(xué)信息安全系13D-H密鑰交換算法密鑰交換算法的原理的原理2022-2-13南京郵電大學(xué)信息安全系14D-H

11、算法的功能和證明算法的功能和證明D-H算法的功能算法的功能 A想要與想要與B建立連接，并安全地在雙方之間生成一建立連接，并安全地在雙方之間生成一個(gè)共享的對(duì)稱密鑰，用來加密要傳遞的消息本身。個(gè)共享的對(duì)稱密鑰，用來加密要傳遞的消息本身。2022-2-13南京郵電大學(xué)信息安全系15D-H算法舉例算法舉例素?cái)?shù)素?cái)?shù)q=97，原根，原根a=5，私鑰，私鑰XA=36，私鑰，私鑰XB=582022-2-13南京郵電大學(xué)信息安全系16D-H算法的安全性算法的安全性 D-H算法中的計(jì)算公式都是算法中的計(jì)算公式都是單向函數(shù)單向函數(shù)，其，其逆運(yùn)算逆運(yùn)算就就是是求解離散對(duì)數(shù)問題求解離散對(duì)數(shù)問題，所以具有難解性。，所以具

12、有難解性。 當(dāng)當(dāng)q、a、YA、YB和和K都足夠大時(shí)：都足夠大時(shí)： 黑客由黑客由q、a和截獲的公鑰和截獲的公鑰YA/YB并不能得到并不能得到A/B的的私鑰私鑰XA/XB。 即使截獲大量密文破解了本次即使截獲大量密文破解了本次K，由，由K、q和截獲和截獲的公鑰的公鑰YA/YB ，也不能得到，也不能得到A/B的私鑰的私鑰XA/XB。 2022-2-13南京郵電大學(xué)信息安全系17D-H算法的不足算法的不足1）沒有提供）沒有提供通信通信雙方的身份信息，所以雙方的身份信息，所以不能鑒別雙不能鑒別雙方身份，方身份，容易遭受中間人攻擊。容易遭受中間人攻擊。 2）是密集型計(jì)算，容易遭受拒絕服務(wù)攻擊，即攻擊）是密

13、集型計(jì)算，容易遭受拒絕服務(wù)攻擊，即攻擊者請(qǐng)求大量密鑰，被攻擊者花費(fèi)大量計(jì)算資源求者請(qǐng)求大量密鑰，被攻擊者花費(fèi)大量計(jì)算資源求解無用的冪系數(shù)。解無用的冪系數(shù)。3）無法防止重放攻擊。）無法防止重放攻擊。2022-2-13南京郵電大學(xué)信息安全系18D-H算法中間人攻擊示意圖算法中間人攻擊示意圖 2022-2-13南京郵電大學(xué)信息安全系19D-H算法的改進(jìn)算法的改進(jìn)OAKLEY算法改進(jìn)了算法改進(jìn)了D-H算法，具有五個(gè)重要特征：算法，具有五個(gè)重要特征：1）采用）采用64位隨機(jī)位隨機(jī)cookie對(duì)抗拒絕服務(wù)攻擊。對(duì)抗拒絕服務(wù)攻擊。cookie為雙方提供一種較弱的源地址認(rèn)證，如果偽造了為雙方提供一種較弱的源地址認(rèn)證，如果偽造了源地址，則攻擊者不能得到該源地址，則攻擊者不能得到該cookie并攻擊成功。并攻擊成功。2）使得雙方能夠協(xié)商全局參數(shù)。）使得雙方能夠協(xié)商全局參數(shù)。3）增加了）增加了“現(xiàn)時(shí)現(xiàn)時(shí)”機(jī)制來抗重放攻擊。機(jī)制來抗重放攻擊。4）能夠交換）能夠交換D-H的公開密鑰。的公開密鑰。5）對(duì)）對(duì)D-H中公鑰值的交換進(jìn)行身份鑒別。中公鑰值的交換進(jìn)行身份鑒別。2022-2-13南京郵電大學(xué)信息安全系20好的加密算法的特點(diǎn)好的加密算法的特點(diǎn) 1）算法要足夠強(qiáng)大：從截獲的密文或某些已知明）算法要足夠強(qiáng)大：從截獲的密文或某些已知明文密文對(duì)，計(jì)算出密鑰或明文是不可行