信息安全與信息加密

1、7.1信息安全含義 7.2信息加密概述 7.3 對(duì)稱密鑰密碼算法 7.3.1 流密碼（序列密碼） 7.3.2 分組密碼 7.3.3 DES算法 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理 7.4.2 RSA加密系統(tǒng)7.5 數(shù)字簽名技術(shù) 第7章 信息安全與信息加密17.6 識(shí)別協(xié)議 7.6.1 識(shí)別協(xié)議概述 7.6.2 Feige-Fiat-Shamir識(shí)別協(xié)議 7.6.3 改進(jìn)的Feige-Fiat-Shamir識(shí)別協(xié)議7.7 密鑰管理 7.7.1 密鑰管理的意義 7.7.2 密鑰分類與產(chǎn)生 7.7.3 密鑰分配 7.7.4 密鑰保護(hù)和秘密共享7.8 PGP密鑰管理技術(shù)第

2、7章 信息安全與信息加密2（1）掌握信息安全及信息加密的含義；（2）理解對(duì)稱密鑰密碼算法和公鑰密碼算法的基本 特點(diǎn)和基本原理；（3）理解和掌握DSE和RSA加密算法；（4）理解和掌握數(shù)字簽名技術(shù)；（5）了解密鑰管理及其技術(shù)；（6）了解和掌握PGP程序的相關(guān)技術(shù)及應(yīng)用。學(xué)習(xí)目標(biāo)3信息安全一般是指信息在通信、存貯或處理過(guò)程中是否得到妥善的、完好無(wú)損的保護(hù)，表現(xiàn)在信息不能被竊取、丟失、修改、錯(cuò)誤投遞等，并可以追溯發(fā)信人。信息安全分為“信息體安全”和“信息智安全”(1) 信息體安全是指信息本身在網(wǎng)絡(luò)域及其界面具有完整、真實(shí)、不可盜用、不可錯(cuò)用以及可溯源的屬性。(2) 信息智安全是指信息內(nèi)涵，即信息體所

3、攜帶的“智能或知識(shí)”與網(wǎng)絡(luò)智安全和社會(huì)意識(shí)形態(tài)的相容性。7.1 信息安全含義47.2.1 密碼技術(shù)簡(jiǎn)史 古希臘 古埃及、巴比倫和美索不達(dá)米亞 羅馬 帝國(guó)時(shí)代 德國(guó) 現(xiàn)在。7.2.2 密碼的基本概念安全問(wèn)題： 一是數(shù)據(jù)的保密性，即防止非法地獲悉數(shù)據(jù)； 二是數(shù)據(jù)的完整性，即防止非法地修改數(shù)據(jù)?，F(xiàn)代密碼學(xué) 加密、明文、明文空間、密文、密文空間、解密、 密鑰、密碼體制。7.2 信息加密57.2.2 密碼的基本概念密碼系統(tǒng)的兩個(gè)基本單元是算法和密鑰。算法是相對(duì)穩(wěn)定的，視為常量。密鑰則是不固定的，視為變量。密鑰安全性是系統(tǒng)安全的關(guān)鍵。 簡(jiǎn)單加密和解密過(guò)程如下圖： 7.2 信息加密加密解密原來(lái)的明文接收方明

4、文發(fā)送方第三方密文67.2.2 密碼的基本概念密碼通信通常會(huì)受到未授權(quán)者或非法入侵者的攻擊。分為被動(dòng)攻擊和主動(dòng)攻擊:被動(dòng)攻擊是指未授權(quán)者通過(guò)各種可能的手段獲取密文，并通過(guò)各種分析手段推斷出明文的過(guò)程，稱為破譯。主動(dòng)攻擊是指非法入侵者通過(guò)各種手段進(jìn)入密碼通信系統(tǒng)，并通過(guò)可能的方法刪改、偽造信息，達(dá)到破壞密碼通信系統(tǒng)的目的。7.2 信息加密77.2.2 密碼的基本概念破譯或攻擊密碼的方法：窮舉法和分析法。窮舉法是指用各種可能的密鑰去試譯密文，直到得到有意義的明文的方法分析法是指通過(guò)數(shù)學(xué)關(guān)系式或統(tǒng)計(jì)規(guī)律找出明文或與明文相關(guān)的有用信息的破譯方法。密碼的可破與不可破。如果一個(gè)密碼在規(guī)定的時(shí)間內(nèi)，通過(guò)密文

5、能確定明文或密鑰，或通過(guò)一定量的明文與密文的對(duì)應(yīng)關(guān)系能確定密鑰，則稱這個(gè)密碼是可破的；否則，稱密碼是不可破的。7.2 信息加密87.2.2 密碼的基本概念一個(gè)密碼通信系統(tǒng)可用下圖表示： 7.2 信息加密圖7.2 密碼通信系統(tǒng)框圖97.2.3 密碼技術(shù)的分類1按應(yīng)用技術(shù)或歷史發(fā)展階段劃分 （1）手工密碼 （2）機(jī)械密碼 （3）電子機(jī)內(nèi)亂密碼 （4）計(jì)算機(jī)密碼 2按保密程度劃分 （1）理論上保密的密碼 （2）實(shí)際上保密的密碼 （3）不保密的密碼 3按密鑰方式劃分 （1）對(duì)稱式密碼 （2）非對(duì)稱式密碼 4按明文形態(tài)分 （1）模擬型密碼 （2）數(shù)字型密碼 7.2 信息加密107.2.3 密碼技術(shù)的分類

6、三種基本原理：移位、代替和置換。 與信息管理密切相關(guān)的安全理論 ：(1)分組密碼算法 將明文按一定的位長(zhǎng)分組，輸出也是固定長(zhǎng)度的密文。(2)公開密鑰密碼算法 加密密鑰和解密密鑰相分離，將加密密鑰和算法公諸于眾， 只保密解密密鑰。(3)非密碼的安全理論和技術(shù) 包括信息隱形、量子密碼和基于生物特征的識(shí)別理論與技術(shù)。7.2 信息加密117.2.4 密碼系統(tǒng)的設(shè)計(jì)原則(1) 易操作原則。對(duì)合法的通信雙方來(lái)說(shuō)加密和解密變 換是容易的。 (2) 不可破原則。指該密碼體制在理論上或?qū)嶋H上是不 可破解的。 (3) 整體安全原則。部分信息丟失不會(huì)影響整個(gè)系統(tǒng)的 安全性。(4) 柯克霍夫斯原則。密碼系統(tǒng)中的算法即

7、使為密碼分 析員所知，也應(yīng)該無(wú)助于用來(lái)推導(dǎo)明文或密鑰。(5) 與計(jì)算機(jī)和通信系統(tǒng)匹配原則。要求密碼系統(tǒng)不是 孤立存在的，可以在計(jì)算機(jī)或通信系統(tǒng)中使用。7.2 信息加密127.2.5 傳統(tǒng)的加密技術(shù)(1) 代碼加密 使用通信雙方預(yù)先設(shè)定的一組代碼。 (2) 替換加密 明文中的每個(gè)字母或每組字母被替換成另一個(gè)或一組字母。(3) 變位加密 將字符重新排序。(4) 一次一密亂碼本加密 使用隨機(jī)密鑰字母集。 特點(diǎn)：一次性；隨機(jī)性；長(zhǎng)度相等；同步性； 不可破譯性。7.2 信息加密13根據(jù)密鑰的特點(diǎn)，密碼體制分為:（1）對(duì)稱密鑰密碼體制 加密密鑰與解密密鑰是相同的或從一個(gè)容易推出另一個(gè)。（2）公鑰密碼體制

8、加密密鑰與解密密鑰是不同的或從一個(gè)很難推出另一個(gè)。根據(jù)加密的不同方式，對(duì)稱密鑰密碼可分為：（1）流密碼 將明文按字符一個(gè)一個(gè)地加密。（2）分組密碼 將明文分成若干個(gè)組，每組含多個(gè)字符，一組一組地加密。7.3 對(duì)稱密鑰密碼算法 147.3.1 流密碼（序列密碼）1流密碼簡(jiǎn)述在流密碼中，將明文m寫成連續(xù)的符號(hào)，利用密鑰流中的第i個(gè)元素 ki 對(duì)應(yīng)明文中的第i個(gè)元素 mi 進(jìn)行加密，若加密變換為E，則加密后的密文為： 設(shè)與加密變換E對(duì)應(yīng)的解密變換為D，其中D滿足： 則通過(guò)解密運(yùn)算可譯得明文為:7.3 對(duì)稱密鑰密碼算法 157.3.1 流密碼（序列密碼）1流密碼簡(jiǎn)述流密碼通信框圖如圖7.3所示。7.3

9、 對(duì)稱密鑰密碼算法 加密算法E密文ci=Ek(mi)解密算法D明文mi=Dk(ci)明文mi密鑰ki密鑰ki圖7.3 流密碼通信模式框圖16例7.1 設(shè)明文、密鑰、密文都是F2上的二元數(shù)字序列，明文 m=m1m2，密鑰為k=k1k2，若加密變換與解密變換都是 F2中的模2加法，試寫出加密過(guò)程與解密過(guò)程。 解 經(jīng)加密變換得密文： C = Ek (m) = Ek1(m1)Ek2(m2) = (k1+m1) (k2+m2) 經(jīng)解密變換得： Dk (C) = Dk (k1+m1)(k2+m2) = (k1+k1+m1)(k2+k2+m2) 由于kiF2，則 ki+ki=0，i=1,2,，故 Dk (C

10、)= m1m2 = m 。 密文C 可由明文m與密鑰k進(jìn)行模2加獲得。因此要用該密碼系統(tǒng)通信就要求每發(fā)送一條消息都要產(chǎn)生一個(gè)新的密鑰并在一個(gè)安全的信道上傳送，習(xí)慣上人們稱這種通信系統(tǒng)為“一次一密系統(tǒng)”。7.3 對(duì)稱密鑰密碼算法 177.3.1 流密碼（序列密碼）2密鑰流生成器構(gòu)造密鑰流生成器是流密碼最核心的內(nèi)容。由于大部分密碼是基于世界上公開的數(shù)學(xué)難題，所以造成大多數(shù)密鑰流生成器的不安全性。在流密碼中，如果密鑰流經(jīng)過(guò)d個(gè)符號(hào)之后重復(fù)，則稱該流密碼是周期的，否則稱之為非周期的。密鑰流元素kj 的產(chǎn)生由第 j 時(shí)刻流密碼的內(nèi)部狀態(tài)sj 和實(shí)際密鑰 k 所決定，記為kj = f (k, sj)。加密

11、變換Ekj與解密變換Dkj都是時(shí)變的，其時(shí)變性由加密器或解密器中的記憶文件來(lái)保證。7.3 對(duì)稱密鑰密碼算法 187.3.1 流密碼（序列密碼）2密鑰流生成器加密器中存儲(chǔ)器的狀態(tài)s 隨時(shí)間變化而變化，這種變化可用狀態(tài)轉(zhuǎn)移函數(shù) fs 表示。如果 fs 與輸入的明文無(wú)關(guān)，則密鑰流 kj = f (k，sj) 與明文無(wú)關(guān)， j=1，2，從而 j 時(shí)刻輸出的密文 cj = Ekj(mj) 與 j 時(shí)刻之前的明文也無(wú)關(guān)，稱此種流密碼為同步流密碼。在同步流密碼中，只要發(fā)送端和接收端有相同的實(shí)際密鑰和內(nèi)部狀態(tài)，就能產(chǎn)生相同的密鑰流，此時(shí)稱發(fā)送端和接收端的密鑰生成器是同步的。一旦不同步，解密工作立即失敗。如果狀

12、態(tài)轉(zhuǎn)移函數(shù) fs 與輸入的明文符號(hào)有關(guān)，則稱該流密碼為自同步流密碼。7.3 對(duì)稱密鑰密碼算法 197.3.1 流密碼（序列密碼）2密鑰流生成器目前應(yīng)用最廣泛的流密碼是同步流密碼。一個(gè)同步流密碼是否具有很高的密碼強(qiáng)度主要取決于密鑰流生成器的設(shè)計(jì)。 密鑰流生成器的目的是由一個(gè)短的隨機(jī)密鑰(也稱實(shí)際密鑰或種子密鑰) k 生成一個(gè)長(zhǎng)的密鑰流，用這個(gè)長(zhǎng)的密鑰流對(duì)明文加密或?qū)γ芪慕饷?，從而使一個(gè)短的密鑰可用來(lái)加密更長(zhǎng)的明文或解密更長(zhǎng)的密文的目的。 7.3 對(duì)稱密鑰密碼算法 207.3.1 流密碼（序列密碼）3收縮密鑰流生成器n 級(jí)移位寄存器 （見下圖）開始時(shí)，設(shè)第1級(jí)內(nèi)容是 an-1，第2級(jí)內(nèi)容是 an-

13、2 , , 第n 級(jí)內(nèi)容是 a0，則稱這個(gè)寄存器的初始狀態(tài)是 (a0, a1, , an-1)。當(dāng)加上一個(gè)脈沖時(shí)，每個(gè)寄存器的內(nèi)容移給下一級(jí)，第 n 級(jí)內(nèi)容輸出，同時(shí)將各級(jí)內(nèi)容送給運(yùn)算器 f (x0, x1, , xn-1) ，并將運(yùn)算器的結(jié)果 an= f (a0 , a1 , , an-1) 反饋到第一級(jí)去。這樣這個(gè)移位寄存器的狀態(tài)就是 (a1 , a2 , , an)，而輸出是a0 。不斷地加脈沖，上述 n 級(jí)移位寄存器的輸出就是一個(gè)二元(或q元)序列： a0 , a1, a2 , 7.3 對(duì)稱密鑰密碼算法 寄存器 1寄存器 2寄存器 3寄存器 nf (x0, x1, , xn-1)217

14、.3.1 流密碼（序列密碼）3收縮密鑰流生成器移位寄存器產(chǎn)生的序列都是周期序列，周期都不大于2n。例7.2 右圖是一個(gè)4級(jí)線性移位寄存器。給定初狀態(tài) (0001) ， 求該移位寄存器產(chǎn)生的周期序列。 解 易見 f (x0，x1，x2，x3) = x0 + x1， 因此對(duì) k4 有 ak = ak-3+ ak-4 從而該4級(jí)移位寄存器產(chǎn)生的序列是周期15的序列： 1111 由例7.2知，移位寄存器(簡(jiǎn)記SR，Shifted Register)可由短的序列生成具有一定規(guī)律的長(zhǎng)序列。這種序列便可以作為密鑰流序列，但抗攻擊能力較差。7.3 對(duì)稱密鑰密碼算法 +227.3.1 流密碼（序列密碼）3收縮密

15、鑰流生成器收縮密鑰流生成器（見右圖）通常的密鑰流生成器都是由若干個(gè)移位寄存器并聯(lián)，并且與特殊的電子電路組合而成。上圖為由兩個(gè)移位寄存器構(gòu)成的收縮密鑰流生成器，通過(guò) SR1 的輸出選擇 SR2 的輸出來(lái)生成密鑰流，其工作模式如下：輸入?yún)?shù)：兩個(gè)移位寄存器的級(jí)數(shù)及反饋函數(shù)密鑰：兩個(gè)移位寄存器的初始狀態(tài) (1) 移位SR1 并產(chǎn)生 yi(1) ；同時(shí)移位SR2 并產(chǎn)生 yi(2) ； (2) 如果 yi(1) =1，則輸出密鑰元素ki = yi(2) ； 如果 yi(1) =0，則刪去 yi(2)，i =1, 2, ，不輸出。由此收縮生成器產(chǎn)生的密鑰流為ki | i1。7.3 對(duì)稱密鑰密碼算法 SR

16、 1SR 2yi (1)輸出kiyi (2)237.3.2 分組密碼1. 分組密碼體系的概念分組密碼將明文按一定的位長(zhǎng)分組，輸出是固定長(zhǎng)度的密文。 分組密碼的優(yōu)點(diǎn)是：密鑰可以在一定時(shí)間內(nèi)固定，不必每次變換，因此給密鑰配發(fā)帶來(lái)了方便。2. 分組密碼通信模式（見圖7.7）7.3 對(duì)稱密鑰密碼算法 加密算法解密算法明文x=(x1, x2, )密文y=(y1, y2, , yn )明文x=(x1, x2, )密鑰k=(k1, k2, )密鑰k=(k1, k2, )圖7.7 分組密碼通信模式圖247.3.2 分組密碼2. 分組密碼通信模式分組密碼與流密碼的不同之處在于輸出的每一位數(shù)字不是只與相應(yīng)時(shí)刻輸入

17、的明文數(shù)字有關(guān)，而是與一組長(zhǎng)為m的明文數(shù)字有關(guān)。在分組密碼通信中，通常明文與密文長(zhǎng)度相等，稱該長(zhǎng)度為分組長(zhǎng)度。7.3 對(duì)稱密鑰密碼算法 257.3.3 DES算法DES (Data Encryption Standard) 是由IBM公司在20世紀(jì)70年代研制的，經(jīng)過(guò)政府的加密標(biāo)準(zhǔn)篩選后，于1976年11月被美國(guó)政府采用，隨后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)(ANSI)所認(rèn)可。 DES算法具有以下特點(diǎn)： （1）DES算法是分組加密算法：以64位為分組。 （2）DES算法是對(duì)稱算法：加密和解密用同一密鑰。 （3）DES算法的有效密鑰長(zhǎng)度為56位。 （4）換位和置換。 （5）易于實(shí)現(xiàn)。7.3 對(duì)

18、稱密鑰密碼算法 267.3.3 DES算法1. DES的基本原理DES采用傳統(tǒng)的換位和置換的方法進(jìn)行加密，在56bit密鑰的控制下，將64bit明文塊變換為64bit密文塊，加密過(guò)程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位).總體過(guò)程如下：在初始置換IP后，明文組被分為左右兩部分，每部分32位，以 L0 , R0 表示；經(jīng)過(guò)16輪運(yùn)算，將數(shù)據(jù)和密鑰結(jié)合；16輪后，左、右兩部分連接在一起；經(jīng)過(guò)末置換(初始置換的逆置換)，算法完成。(見圖7.8)DES加密算法又可以簡(jiǎn)單地用下式表示： Ek (m) = IP -1T16T15 T1IP (m)7.3 對(duì)稱密鑰密碼算法 27圖7.

19、8 DES加密算法原理287.3.3 DES算法2. 初始變換和逆初始變換初始變換是一個(gè)位變換，是將順序排列的64bit根據(jù)表7.1進(jìn)行處理，即將順序排列的64bit序列 t1t2t3t64 變換成 t58t50t15t7 。逆初始變換用表7.2進(jìn)行，它是表7.1的逆過(guò)程。5850423426181026052443628201246254463830221466456484032241685749413325179159514335271911361534537292113563554739312315740848165624643239747155523633138646145422623

20、0375451353216129364441252206028353431151195927342421050185826331419491757257.3 對(duì)稱密鑰密碼算法 表7.1 初始變換表表7.2 逆初始變換表 297.3.3 DES算法3. g 函數(shù)的設(shè)計(jì)函數(shù)g(Ri-1，Ki) 的結(jié)構(gòu)如圖7.9所示。首先用位選擇表7.3中的E表將Ri-1擴(kuò)展成48位二進(jìn)制塊E(Ri-1)，即 Ri-1 = r1 r2r31 r32 ， E(Ri) = r32 r1r31 r32 r1然后與Ki進(jìn)行異或運(yùn)算，接著將所得的48位數(shù)分成8個(gè)6位數(shù)，記為Bi (i=1, 2, 8)，此處，每個(gè)6位子塊都是

21、選擇函數(shù)S的輸入（即后面介紹的S盒），其輸出是一個(gè)4位二進(jìn)制塊S(B)。 E(Ri-1) Ki =B1 B2B8把這些子塊合成32 位二進(jìn)制塊之后，用換位表P (表7.4) 將它變換成 P(S1(B1)S8(B8) ，這就是函數(shù) g(Ri-1, Ki) 的輸出。 7.3 對(duì)稱密鑰密碼算法 303212345456789891011121312131415161716171819202120212223242524252627282928293031321表7.3 位選擇表 E 表 表7.4 換位表 P 表 16720212912281711523265183110282414322739191

22、33062211425圖7.9 函數(shù)g(Ri, Ki) 的結(jié)構(gòu)A(32位) 加密時(shí)A=Ri-1解密時(shí)A=Li選擇運(yùn)算E48位結(jié)果Ki選擇函數(shù) (S1S8 )32位結(jié)果置換運(yùn)算Pg(A, Ki )32位317.3.3 DES算法4. 選擇函數(shù)S盒的算法每個(gè)Sj 將一個(gè)6位塊 Bj =b1b2b3b4b5b6 轉(zhuǎn)換為一個(gè)4位塊，根據(jù)表7.5選擇函數(shù)組 S1, S8。與b1b6相對(duì)應(yīng)的整數(shù)確定表中的列號(hào)，用與b2b3b4b5相對(duì)應(yīng)的整數(shù)確定表中的行號(hào)，則Sj(Bj)的值就是位于該行和該列的數(shù)的4位二進(jìn)制表示形式。 7.3 對(duì)稱密鑰密碼算法 32S1S2S3S4S5S6S7S8D01230123012

23、301230123012301230123014041515130131013131713103214411121094413161317214151121131480761013861512112811513311041121511121371488471090413141190421121041522111113813414314821471111499035061121171525121471384817421413461510363860612107410197291541216109451526911241534159615111107131421285093415312106111

24、321381341563890713111372691215817101171487811174141251007103138618138531013101471421383101559125111211414159851560671131410910120159106121170861381152714509151310141231559562106129321127125214823531512031341956036109111211714131061271412351214111510594141077128151411130125931012690111251111151213361

25、014016520145015313951000935411105121027093471113010155201435140356511214215142414821480553118689312956157801310515981712159414961431186131621272811表7.5 選擇函數(shù)S盒表例7.3 S盒應(yīng)用實(shí)例：設(shè)B1=101100， 則S1(B1)的值位于列號(hào)為2的列和行號(hào)為6的行，即等于2， 因此S1(B1)的輸出是0010。337.3.3 DES算法5. 子密鑰 Ki 的產(chǎn)生是由初始密鑰推導(dǎo)出子密鑰 Ki 的過(guò)程。初始密鑰K是一個(gè)64位二進(jìn)制塊，其中 8位是奇

26、偶校驗(yàn)位，分別位于第8,16, 32,40,48,64位。置換選擇函數(shù)PC-1將這些奇偶校驗(yàn)位去掉，并把剩下的 56位進(jìn)行換7.3 對(duì)稱密鑰密碼算法 密鑰(64位)57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 2719 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 2214 6 61 53 45 37 29 21 13 5 28 20 12 4C0(28位)D0(28位)位，換位后的結(jié)果被分成兩半，如圖7.10 所示。347.3.3 DES算法5. 子密鑰 Ki

27、的產(chǎn)生令Ci 和Di 分別表示推導(dǎo)Ki 時(shí)所用的C和D的值，有如下的變換公式： Ci =LSi (Ci-1) ， Di =LSi (Di-1)此處是LSi 循環(huán)左移位變換，其中 LS1、LS2、LS9 和LS16 是循環(huán)左移1位變換，其余的LSi 是循環(huán)左移2位變換。圖7.10的C0和D0是C和D的初始值，顯然， C0 =K57 K49K44 K36 ， D0 =K63 K55 K12 K47.3 對(duì)稱密鑰密碼算法 357.3.3 DES算法5. 子密鑰 Ki 的產(chǎn)生按圖7.11置換選擇函數(shù)PC-2，最后通過(guò)置換選擇函數(shù)PC-2，得出： Ki =PC-2(Ci，Di)7.3 對(duì)稱密鑰密碼算法

28、圖7.11 置換選擇函數(shù)PC-2Ci(28位)Di(28位)14 17 11 24 1 5 3 28 15 6 21 1023 19 12 4 26 816 7 27 20 13 241 52 31 37 47 5530 40 51 45 33 4844 49 39 56 34 5346 42 50 36 29 32Ki(48位)367.3.3 DES算法6. DES 解密算法算法：N(Ek) = IP -1T1T2 T16IP Ek (m)DES的缺點(diǎn)主要有： DES的56位的密鑰長(zhǎng)度可能太??； DES的迭代次數(shù)太大； S盒(即代替函數(shù)S)中可能有不安全因素； DES的一些關(guān)鍵部分應(yīng)保密(如

29、S盒設(shè)計(jì))。DES的安全性完全依賴于所用的密鑰。 7.3 對(duì)稱密鑰密碼算法 377.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理1. 設(shè)計(jì)公鑰密碼體制的基本原理 在公鑰密碼中，解密密鑰和加密密鑰不同，從一個(gè)難于推出另一個(gè)，解密和加密是可分離的，加密密鑰是可以公開的。 核心問(wèn)題是找一個(gè)陷門單向函數(shù)。 7.4 公鑰密碼算法 387.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理1. 設(shè)計(jì)公鑰密碼體制的基本原理 如果函數(shù) f(x) 滿足以下條件： (1) 對(duì) f(x) 的定義域中的任意 x，都容易計(jì)算函數(shù)值 f(x); (2) 對(duì)于 f(x) 的值域中的幾乎所有的 y，即使已知 f 要計(jì)算 f -1(y)也是不可

30、行的； 則稱 f(x)是單向函數(shù)(One-way Function)。若給定某些輔助信息時(shí)又容易計(jì)算單向函數(shù) f 的逆 f -1 ，則稱 f(x)是一個(gè)陷門單向函數(shù)。這一輔助信息就是秘密的解密密鑰。這就是設(shè)計(jì)公鑰密碼體制的基本原理。 7.4 公鑰密碼算法 397.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理2. 公鑰密碼體制公鑰密碼體制稱為雙密鑰密碼體制或非對(duì)稱密碼體制.將序列密碼和分組密碼等稱為單密鑰密碼體制或?qū)ΨQ密鑰密碼體制。單鑰加密中使用的密鑰稱為秘密密鑰(Secret Key)。公開密鑰加密中使用的兩個(gè)密鑰分別稱為公開密鑰(Public Key) 和私有密鑰(Private Key)。 公開

31、密鑰的應(yīng)用 ： (1)加密和解密；(2)數(shù)字簽名；(3)密鑰交換。 7.4 公鑰密碼算法 407.4.1 公鑰密碼體制及其設(shè)計(jì)的基本原理3. 公開密鑰密碼系統(tǒng)原理 公開密鑰算法用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)不同但是相關(guān)的密鑰進(jìn)行解密： 僅僅知道密碼算法和加密密鑰而要確定解密密 鑰，在計(jì)算上是不可能的； 兩個(gè)相關(guān)密鑰中任何一個(gè)都可以用作加密而讓另 外一個(gè)解密。4.公鑰密碼體制的安全性（計(jì)算安全性） 是由公鑰密碼算法中求陷門單向函數(shù)的逆的復(fù)雜性 決定的。 7.4 公鑰密碼算法 417.4.2 RSA加密系統(tǒng)1. RSA算法簡(jiǎn)單描述實(shí)現(xiàn)步驟： B尋找出兩個(gè)大素?cái)?shù) p 和 q。 B計(jì)算出 n = pq

32、 和 (n) = (p-1)(q-1)。 B選擇一個(gè)隨機(jī)數(shù) b (0b(n)，滿足 (b, (n) =1 (即 b 和 (n) 互素)。 B使用Euclidean (歐幾里得)算法計(jì)算 a = b-1(mod (n)。 B在目錄中公開n和b作為他的公開密鑰，保密 p、q 和 a。 加密時(shí)，對(duì)每一明文m 計(jì)算密文：c = mb (mod n) 解密時(shí)，對(duì)每一密文c 計(jì)算明文： m = c a (mod n) 7.4 公鑰密碼算法 427.4.2 RSA加密系統(tǒng)RSA算法主要用于數(shù)據(jù)加密和數(shù)字簽名。RSA算法用于數(shù)字簽名時(shí)，公鑰和私鑰的角色可變換，即將消息用 a 加密簽名，用 b 驗(yàn)證簽名。2RS

33、A算法實(shí)例（見例7.4）7.4 公鑰密碼算法 43例7. 4 假定用戶B選擇兩個(gè)素?cái)?shù) p =3，q =11，則 n=pq=33， (n) =(3-1)(11-1) =20。取 b =3，顯然 (b, (n) = (3, 20) =1， 再由Euclidean算法，對(duì) aZ33=0,1,32，a =b-1(mod20), 在本例中求出 a =7 或 a =27。一般地，a的值不是唯一的，這里選 a =7，即B公開 n =33 和 b =3，保密 p =3，q=11 和 a =7。 現(xiàn)在用戶A想把明文 m =19 發(fā)送給B。 A加密明文 m =19，得密文： c =Ek (m) m b (mod

34、n) 193(mod 33) =28 A在公開信道上將加密后的密文c =28發(fā)送給B，當(dāng)B收到密文 c =28時(shí)，解密可得： m=c a (mod n) = 287 (mod 33) = 19 從而B得到A發(fā)送的明文 m =19。 7.4 公鑰密碼算法 447.4.2 RSA加密系統(tǒng)RSA算法的基本原理可歸納如下： 設(shè) p,q 是兩個(gè)不同的奇素?cái)?shù),n= pq,則 (n)=(p-1)(q-1), 密鑰 k =(n, p, q, a, b) | ab1(mod (n)，a, bZn , (b, (n)=1，0b(n)， 對(duì)每一個(gè) k = (n, p, q, a, b)， 定義加密變換為：Ek (x

35、) x b (mod n)，xZn 定義解密變換為：Dk (y) y a (mod n)，yZnRSA密碼體制是公開加密密鑰 n 與 b，保密解密密鑰 a以及輔助信息 p 與 q。7.4 公鑰密碼算法 457.4.2 RSA加密系統(tǒng)3RSA的安全性RSA算法的理論基礎(chǔ)是一種特殊的可逆模指數(shù)運(yùn)算，它的安全性是基于分解大整數(shù) n的困難性。 三種可能攻擊RSA算法的方法是： 強(qiáng)行攻擊：這包含對(duì)所有的私有密鑰都進(jìn)行嘗試; 數(shù)學(xué)攻擊：因子分解； 定時(shí)攻擊：這依賴于解密算法的運(yùn)行時(shí)間。要求：不要隨便提交；不要隨便共享 n； 利用隨機(jī)信息。7.4 公鑰密碼算法 467.5.1 數(shù)字簽名概述數(shù)字簽名就是防止他

36、人對(duì)傳輸?shù)奈募M(jìn)行破壞以及如何確定發(fā)信人的身份的手段。數(shù)字簽名主要利用公鑰密碼技術(shù)。數(shù)字簽名經(jīng)過(guò)長(zhǎng)時(shí)間的研究，已經(jīng)有了自己的研究體系，形成了自己的理論框架。 目前已有 RSA、橢圓曲線等經(jīng)典簽名，也有盲簽名、代理簽名、群簽名、不可否認(rèn)簽名、公平盲簽名、門限簽名、具有消息恢復(fù)功能的簽名等與具體應(yīng)用環(huán)境密切相關(guān)的特殊簽名。 7.5 數(shù)字簽名技術(shù) 477.5.2 數(shù)字簽名的概念和特點(diǎn)1. 數(shù)字簽名的特點(diǎn)作用： 第一，信息是由簽名者發(fā)送的； 第二，信息自簽發(fā)后到收到為止未曾做過(guò)任何修改; 第三，如果 A 否認(rèn)對(duì)信息的簽名，可以通過(guò)仲裁解 決 A 和 B 之間的爭(zhēng)議。數(shù)字簽名特殊性：隨文本的變化而變化；

37、與文本信息是不可分割的。 完善的數(shù)字簽名應(yīng)具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗(yàn)證真?zhèn)蔚哪芰Α?7.5 數(shù)字簽名技術(shù) 487.5.2 數(shù)字簽名的概念和特點(diǎn)2. 數(shù)字簽名的形式化定義個(gè)簽名方案由簽署算法與驗(yàn)證算法兩部分構(gòu)成，可用五元關(guān)系組（P，A，K，S，V）進(jìn)行形式化表示。簽名者收到(x, s)后，計(jì)算Verk(x, y)，若 y=Sigk(x)，則Verk(x, y) =真；若 ySigk(x)，則Verk(x, y)=假。 3. 數(shù)字簽名的功能 (1)身份認(rèn)證 (2)保密 (3)完整性 (4)不可抵賴 4電子簽名的法律地位7.5 數(shù)字簽名技術(shù) 497.5.3 數(shù)字簽名方案的分

38、類1基于數(shù)學(xué)難題的分類 （1）基于離散對(duì)數(shù)問(wèn)題的簽名方案 （2）基于素因子分解問(wèn)題的簽名方案（3）上述兩種的結(jié)合簽名方案 2基于簽名用戶的分類（1）單個(gè)用戶簽名的數(shù)字簽名方案（2）多個(gè)用戶的數(shù)字簽名方案。7.5 數(shù)字簽名技術(shù) 507.5.3 數(shù)字簽名方案的分類3基于數(shù)字簽名所具有特性的分類 （1）不具有自動(dòng)恢復(fù)特性的數(shù)字簽名方案 （2）具有消息自動(dòng)恢復(fù)特性的數(shù)字簽名方案4基于數(shù)字簽名所涉及的通信角色分類（1）直接數(shù)字簽名（2）需仲裁的數(shù)字簽名7.5 數(shù)字簽名技術(shù) 517.5.4 數(shù)字簽名的使用模式目前使用的電子簽名主要有三種模式： (1) 智慧卡式 (2) 密碼式 (3) 生物測(cè)定式實(shí)際應(yīng)用過(guò)

39、程中，大都是將以上兩種或三種數(shù)字簽名技術(shù)結(jié)合在一起，這樣可提高電子簽名的安全和可靠性。7.5 數(shù)字簽名技術(shù) 527.5.5 數(shù)字簽名使用原理7.5 數(shù)字簽名技術(shù) 53數(shù)字簽名和驗(yàn)證的步驟：明文數(shù)字摘要1加密后的數(shù)字簽名Hash函數(shù)發(fā)送方私鑰加密明文密文會(huì)話密鑰加密（對(duì)稱加密）會(huì)話密鑰加密后的會(huì)話密鑰接收方公鑰加密數(shù)字摘要1發(fā)送方公鑰解密明文數(shù)字摘要2Hash函數(shù)會(huì)話密鑰原文接收方私鑰解密是否相同？相同不相同文件內(nèi)容完整文件內(nèi)容被篡改解密比較發(fā)送方接收方547.5.6 常規(guī)數(shù)字簽名方法1RSA簽名方案RSA簽名方案是利用RSA公鑰密碼體制建立的一種實(shí)用的數(shù)字簽名方案。簽名算法 驗(yàn)證算法 2OSS

40、簽名方案 OSS簽名方案也是一種公鑰體制的簽名方案，這種方案是由Ong，Schnorr和Shamir三人在1985年提出的。簽名算法 驗(yàn)證算法7.5 數(shù)字簽名技術(shù) 557.5.7 數(shù)字簽名的發(fā)展與挑戰(zhàn)目前幾乎所有的公鑰密碼體制都是基于以下三種數(shù)學(xué)疑難問(wèn)題之一：(1) 背包問(wèn)題(2) 離散對(duì)數(shù)問(wèn)題 (3) 因子分解問(wèn)題數(shù)字簽名方案基于如此狹窄的數(shù)學(xué)基礎(chǔ)令人擔(dān)憂，以上數(shù)學(xué)難題取得突破性進(jìn)展，所有公開密鑰體制以及以公開密鑰體制為基礎(chǔ)的數(shù)字簽名方案將不再安全。目前只有使用充分大的數(shù)來(lái)保證其安全性。 7.5 數(shù)字簽名技術(shù) 567.6.1 識(shí)別協(xié)議概述 識(shí)別協(xié)議所要解決的問(wèn)題：使用戶A既能進(jìn)入計(jì)算機(jī)又不泄

41、露用戶A的任何識(shí)別信息？一個(gè)安全的識(shí)別協(xié)議至少應(yīng)滿足以下兩個(gè)條件：(1) 用戶A能向驗(yàn)證者B證明他的確是A；(2) 用戶A向驗(yàn)證者B證明自己的身份時(shí)，沒(méi)有讓驗(yàn)證 者B獲得任何有用的信息，B不能模仿A向其他人證明他 是用戶A。從實(shí)用角度講，一個(gè)安全識(shí)別協(xié)議的設(shè)計(jì)應(yīng)該越簡(jiǎn) 單越好，而且需要的計(jì)算量和儲(chǔ)存量都要盡可能小，最好能在一個(gè)智能卡上實(shí)現(xiàn)。 7.6 識(shí)別協(xié)議 577.6.2 Feige-Fiat-Shamir 識(shí)別協(xié)議識(shí)別協(xié)議一般是由數(shù)字簽名方案改進(jìn)而成的，相 反，每一個(gè)識(shí)別協(xié)議都可派生一個(gè)數(shù)字簽名方案。 Feige-Fiat-Shamir識(shí)別協(xié)議是由一個(gè)屬于仲裁數(shù)字簽名方案改進(jìn)而成的。具體識(shí)

42、別協(xié)議 以及過(guò)程見課本p224。7.6.3 改進(jìn)的Feige-Fiat-Shamir 識(shí)別協(xié)議為了減少數(shù)據(jù)交換次數(shù)，增加每輪簽字的數(shù)量， Feige，F(xiàn)iat和Shamir三位設(shè)計(jì)者在1988年給出了改進(jìn)后的識(shí)別協(xié)議。 具體見課本p225 226 7.6 識(shí)別協(xié)議 587.7.1 密鑰管理的意義密碼體制、數(shù)字簽名以及識(shí)別協(xié)議的安全性算法的 安全性的前提是秘密密鑰是安全的，其他人是不知道的。一旦秘密密鑰丟失或出錯(cuò)，密碼體制、數(shù)字簽名和識(shí)別協(xié)議就不安全了。因此密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是極為重要。密鑰管理包括密鑰的產(chǎn)生、存儲(chǔ)、分配、保護(hù)、保密等內(nèi)容。 7.7 密鑰管理 597.7.2 密鑰分類與產(chǎn)生密鑰的主要種類：用戶密鑰、會(huì)話密鑰、密鑰加密密鑰和主機(jī)主密鑰。各類密鑰可由密鑰生成器產(chǎn)生。密鑰生成器 的算法安全性要求：（1）具有隨機(jī)性，避免可預(yù)測(cè)性；（2）即使有一個(gè)或數(shù)個(gè)泄露，還能有足夠的安全性；（3）動(dòng)態(tài)性。 7.7 密鑰管理 607