现代密码学第三讲(一)：密码学的信息论基础

熵和无条件保密
定义 完善保密的（无条件保密的）wenku.baidu.com码 系统（P,C,K,E,D）系统满足 H (P | C) H (P) 或 .
艺术 科学
假设攻击者有无限计算资源，仍然不能从密 文得到明文任何信息.
一次一密算法由Gilbert Vernam于1917年用于报文 消息的自动加密和解密，30年后由Shannon证明它 不可攻破.
WHY？ 设算法为凯撒密码（即密文和密钥及明文成 线性关系）： Ek(m)= m+k (mod 26) ， mM ；
则已知一对明密文字符，密钥信息即得
Ek(m)= (m+k)*k (mod 26) ， mM ；
19
分组密码设计思想
三 扩散：明文/密钥的每一个比特都影响密文 的每一个比特
WHY？
22
分组密码设计思想
“中途岛很可能缺少淡水” “AF很可能缺少淡水” 若其他字符影响密文的每一字符，则“中途 岛”不再被加密为“AF”，上述危险不出现 。
主要知识点小结

Shannon的通信保密系统 熵和无条件保密 分组密码的设计思想
作业
1 设明文空间共含有5个信息mi，1 i 5
《现代密码学》第三讲
密码学的信息论基础
1
上讲内容回顾



代换密码 置换密码 Hill密码 转轮密码 古典密码的惟密文攻击方法
本章主要内容

Shannon的通信保密系统 熵和无条件保密 分组密码设计思想
Shannon通信保密系统
C.E. Shannon（香农）----信息论之父 1948, A mathematical theory of communication, 奠定了现代信息论的基础. 1949, Communication theory of secrecy systems, 定义了保密系统的数学 模型, 将密码学由艺术转化为一门科学.
THE END！
27
1 H ( X ) p( xi ) loga 0 p( xi ) i .
熵H(X)表示集X中出现一个事件平均所需的信息量 (观察前)；或集X中每出现一个事件平均所给出的 信息量(观测后).
10
熵和无条件保密
从编码的角度来考虑，熵可以理解成用最优的二 进制编码形式表示X所需的比特数 规定log2 0=0，采用以2为底的对数时，相应的信 息单位称作比特
分组密码设计思想
P= p1 p2 p3 p4 p5
E: pi^ki = ci D: ci^ki = pi 已知明密文比特：pi^ci = ki
K=
k1 k2 k3 k4 k5
C=
c1 c2 c3 c4 c5
密钥不可重复使用
分组密码设计思想
事例：珍珠港事件
日本人偷袭珍珠港得手以后，山本五十六又制订了中途岛作战计划。 美军太平洋舰队新任司令尼米兹的手里有一个密码破译小组，虽然有 些情报还不能够完全破译，但是这个小组发现当日军开始向中途岛进 发的时候，在日军来往的电报中，经常出现的“AF”这两个字母，究竟 指什么？一时难以敲定。初步的判断，这可能是日军下一步要进攻的 目标，但是究竟是哪呢？也有人猜出来是中途岛，但是不能确定。 美军情报官让中途岛的美军，给太平洋舰队的总部发一份电报，内容 是 “本岛淡水设备发生故障。” 日军截获并破译了这封电报，同时向 它的司令部大本营报告。美军截获日军法网大本营的电报 “AF很可能 缺少淡水。” 于是确认了美军的判断——AF就是中途岛。 推论得到证实以后，太平洋舰队司令官尼米兹将军命令整个舰队严阵 以待，6月4日中途岛大战爆发，美军以损失一艘航空母舰的代价，一 举击沉了日本四艘航空母舰，而且都全是它的重型航空母舰，使日本 的联合舰队，遭受了空前的灭顶之灾。
H (X | Y) p( yi ) H (X | y j ) p( yi ) p( xi | y j ) log2 p( xi | y j )
j 1 j 1 i 1
12
m
m
n
熵和无条件保密
若将X视为一个系统的输入空间，Y视为系统 的输出空间，在通信中，通常将条件熵 H(X|Y)称作含糊度，X和Y之间的平均互信 息定义为： I(X,Y)=H(X)-H(X|Y) 它表示X熵减少量。
8
Shannon通信保密系统
重要原则：
对任一k∈K1,都能找到k’ ∈K2，使得 D k’ (E k (m))=m，mM.
9
熵和无条件保密
定义 设随机变量X={xi | i=1,2,…,n}, xi出现 n 的概率为Pr(xi) ≧0, 且 i1 Pr( xi ) 1, 则X的 不确定性或熵定义为
已知密钥的概率分布 Pr(k1 ) Pr(k2 ) 1/ 4, Pr(k3 ) 1/ 2, 明文的概率分布 Pr(a) 1/ 3, Pr(b) 8 /15, Pr(c) 2 /15, 计算 H (M ), H ( K ), H (C ), H (M | C ), H ( K | C ).
一个密码体制是一个六元组： （P, C, K1, K2, E, D ) 其中， P --明文空间 C --密文空间 K1 --加密密钥空间 K2 --解密密钥空间 E --加密变换 D --解密变换
7
Shannon通信保密系统
一个加密变换是一个下列形式的映射： E: M×K1 → C 一般对于给定的k∈K1,把E(*,k)记为Ek; 一个解密变换是一个与加密E变换相对 应的映射： D: C×K2 → M 对于给定的k’∈K2,也把D(*,k’)记为Dk’.
15
分组密码设计思想
P= p1 p2 p3 p4 p5
分组
E: pi^ki = ci
Ci与pj和kj （j=1,…,5,i≠j） 无关
K=
k1 k2 k3 k4 k5
C=
c1 c2 c3 c4 c5
分组密码：密文的每一比特与明文每一比特和密钥 每一比特相关
分组密码设计思想
一 迭代结构（乘积密码）
若集X为均匀分布时，即p(xi)=1/n, n≧i ≧1, 则 H(X)=log2n, 且若 H(X) ≧ 0, 当X为确定性的事件 时, 即X概率分布为Pr(X=a)=1, 则H(X) =0.
熵和无条件保密
定义：设 X={xi|i=1,2,…,n}, xi出现的概率为 p(xi) ≥0，且∑i=1,„,n p(xi)=1; Y={yi|i=1,2,…,m}, yi出现的概率为 p(yi) ≥0，且∑i=1,„,m p(yi)=1; 则集X相对于集Y的条件熵定义为
密钥K
密钥编排 生成子密钥算法
K1
K2
。。。
Kn
明 文 M
F
F
。。。
F
密 文 C
17
分组密码设计思想

如果密码体制不是幂等的(F2≠F), 那么多 次迭代有可能提高密码体制的安全性.

采用迭代结构的优点：软、硬件实现节省 了代码（硬件）资源.
18
分组密码设计思想
二 混淆：明文/密钥和密文之间的关系复杂
4
Shannon通信保密系统
Shannon的保密通信系统模型
分析者
发送者 M 信源
M
加密
C 无噪信道
解密 K 安全信道
M
接收者
K 安全信道 密钥源
5
Shannon通信保密系统

非对称密码体制
分析者
发送者 M 信源
M
加密
C 无噪信道
解密 K’ 安全信道
M
接收者
无噪信道
K
密钥源
Shannon通信保密系统
Pr(m1 ) Pr(m2 ) 1/ 4, Pr(m3 ) 1/ 8, Pr(m4 ) Pr(m5 ) 3/16,
求H(M).
作业
2 考虑一个密码体制 M {a, b, c}, K {k1 , k2 , k3}, C {1, 2,3, 4}. 加密矩阵为 a b c k1 2 3 4 k2 3 4 1 k3 1 2 3
14
熵和无条件保密
一次一密系统：设n是大于等于1的正整数， P=C=K={0,1}n,对于密钥K∈K,, K={k1,k2,…,kn}. 设明文P={p1, p2,…, pn},密文C={c1,c2,…,cn}. 加密: EK(P)=(p1⊕k1, p2⊕k2,…,pn⊕kn), 解密: DK(C)=(c1⊕k1, c2⊕k2,…, cn⊕kn).