第2章密码学知识

2 5
8 2 2 1 1 9
2 2
1 3 6 1 2 6 9 7 5
6 2 9 2 2 2 2 7 2 1 2 3 1 2 6 1 5 8 6 4 2
3 1 7 2
z
i c v t
w q n g r z g v t
w a v z h c q y g l m

维吉尼亚密码示例 明文为polyalphabetic cipher,（多字母替换密码） 密钥K=RADIO， 用维吉尼亚密码加密。 方法：将明文串转化为对应的数字(a-0,…,z-25)，每5个 一组，进行模26运算。

法国密码分析人员断定这种密码是不可破译的。他们甚至根 本就懒得根据搞到的情报去复制一台ENIGMA。
在十年前法国和波兰签订过一个军事合作协议。波兰方面一 直坚持要取得所有关于ENIGMA的情报。既然看来自己拿着 也没什么用，法国人就把从施密特那里买来的情报交给了波 兰人。和法国人不同，破译ENIGMA对波兰来说至关重要， 就算死马也要当作活马医。后来英国应情报部门在波兰人的 帮助下于1940年破译了德国直至1944年还自认安全可靠的 ENIGMA的密码系统。
v
e
y
o u r
s
e
2 4 0 1 4 3 8 1 2 1 2 4 1 4 2 1 0 2 4 2 1 2 1 1 4 2 7 8 4 1 7 8 1 4 4 0 7 8
d
e c
e p t
i
v
e
d e
c
e
p t
i
v
e
d e
c
e
p
t
i
3
4 2 4 1 1 8 2 4 3 4 2 4 1 1 8 2 4 3 4 2 4 1 1 8 5 9 1 5 9 1 5 9

证明： 在等式 an+1=c1an c2an-1 … cna1 an+2=c1an+1 c2an … cna2 … 两边分别乘以xn,xn+1,…，再求和，可得 A(x)-(a1+a2x+…+anxn-1) =c1x[A(x)-(a1+a2x+…+an-1xn-2)] +c2x2[A(x)-(a1+a2x+…+an-2xn-3)]+…+cnxnA(x)
1 0 1 1 1 0
即输出序列为101110111011…，周期为4。 如果f(a1,a2,…,an)是a1,a2,…,an的线性函数，则称之 为线性反馈移位寄存器LFSR（linear feedback shift register）。此时f可写为 f(a1,a2,…,an) =cna1 cn-1a2 … c1an 其中常数ci=0或1， 是模2加法。ci=0或1可用开关 的断开和闭合来实现，如图2.10所示。
k
安全信道
k

滚动密钥生成器 zi xi
Ez xi
i

滚动密钥生成器
zi
yi
yi
D z yi
i
xi
图2.2 同步流密码体制模型
二元加法流密码是目前最为常用的流密码体制，其 加密变换可表示为yi=zi xi。
图2.3 加法流密码体制模型
一次一密密码是加法流密码的原型。事 实上，如果（即密钥用作滚动密钥流），则 加法流密码就退化成一次一密密码。 实际使用中，密码设计者的最大愿望是 设计出一个滚动密钥生成器，使得密钥经其 扩展成的密钥流序列具有如下性质：极大的 周期、良好的统计特性、抗线性分析、抗统 计分析。

26
主要内容
• • • • • • • 恺撒加密法 传统密码学基本原理 数据加密标准DES算法 三重DES算法 高级加密标准AES算法 RC4算法 加密操作模式
27
传统密码学历史
• 传统密码学起源于古代的密码术。早在古罗马 时代恺撒大帝就采用“替代”方法加密自己发 布的命令，这种“替代”加密方法被称为“恺 撒加密法”。传统密码学的基本原理可以归结 为两条对数据处理的方法：替代和换位。 • 美国国家标准局(NBS)于1977年颁布的数据加 密标准(DES)是目前广泛应用的传统加密方法。 • 美国国家标准与技术学会(NIST)在2001年颁布 的高级加密标准(AES)将是未来取代DES的一 种加密方法。
15
加密系统的安全性(续3)
• 表2.1 典型常数和参数数量级别一览表
典型常数和参数 一年的秒钟数 数量级别 3.15×107
主频为3.0GHz的CPU的一年运转的时钟循环次数
56个比特长度的二进制数个数 64个比特长度的二进制数个数 80个比特长度的二进制数个数 128个比特长度的二进制数个数
9.46×1016
传统密码学概述
沈苏彬 南京邮电大学 信息网络技术研究所
25
关键知识点
• • • • 传统密码学的基本原理是“替代”和“换位” 传统密码学的加密和解密采用同一个密钥 传统密码学的安全性很大程度上决定密钥长度 目前常用的传统密码学算法是DES算法，56比 特的DES算法并不安全。 • 未来拟采用的传统密码学算法是AES算法
30
通用凯撒密码算法
• W. Stallings将凯撒密码算法中的字母表移位数 从3扩展到任意数k < 26, 这样, 就可以得到通用 凯撒密码加密算法: C = E(p) = (p + k) mode 26 • 这样, 通用凯撒密码解密算法就可以表示为: p = D(C) = (C - k) mod 26 • 这里k就是通用凯撒密码的密钥. 由于k只有25 个可能取值, 所以, 在已知加密/解密算法下, 只 要尝试25种密钥, 就可以破译通用凯撒密码.

明文是原始的信息（Plain text，记为P） 密文是明文经过变换加密后信息（Cipher（塞佛） text，记为C） 加密是从明文变成密文的过程（Enciphering，记为E） 解密是密文还原成明文的过程（Deciphering，记为D） 密钥是控制加密和解密算法操作的数据（Key，记为K）
非对称密钥体制
在非对称加密中，加密密钥与解密密钥不同，此时不需要通 过安全通道来传输密钥，只需要利用本地密钥发生器产生解密密 钥，并以此进行解密操作。由于非对称加密的加密和解密不同， 且能够公开加密密钥，仅需要保密解密密钥，所以不存在密钥管 理问题。非对称加密的另一个优点是可以用于数字签名。但非对 称加密的缺点是算法一般比较复杂，加密和解密的速度较慢。在 实际应用中，一般将对称加密和非对称加密两种方式混合在一起 来使用。即在加密和解密时采用对称加密方式，密钥传送则采用 非对称加密方式。这样既解决了密钥管理的困难，又解决了加密 和解密速度慢的问题。
2.2
密码破译
密码破译是在不知道密钥的情况下，恢复出密文中隐藏 的明文信息。密码破译也是对密码体制的攻击。 密码破译方法
1. 穷举攻击 破译密文最简单的方法，就是尝试所有可能的密码组合。经 过多次密钥尝试，最终会有一个钥匙让破译者得到原文，这个过 程就称为穷举攻击。
逐一尝试解密 密 文
解 密
错误报文
对称密钥体制
对称加密的缺点是密钥需要通过直接复制或网络传输的方式 由发送方传给接收方，同时无论加密还是解密都使用同一个密钥 ，所以密钥的管理和使用很不安全。如果密钥泄露，则此密码系 统便被攻破。另外，通过对称加密方式无法解决消息的确认问题 ，并缺乏自动检测密钥泄露的能力。对称加密的优点是加密和解 密的速度快。
2.3.1 对称加密技术

恺撒密码
破译以下密文：
wuhdwb lpsrvvleoh TREATY IMPOSSIBLE
加密算法： Ci=E(Pi)=Pi+3
字母表：(密码本）
ABCDEFGHIJKLMNOPQRSTUVWXYZ defghijklmnopqrstuvwxyzabc
明文（Plaintext）：消息的初始形式； 密文（CypherText）：加密后的形式 记：
Cryptography” 提出了不对称密钥密
1977年Rivest,Shamir & Adleman 提出了RSA公钥算法 90年代逐步出现椭圆曲线等其他公钥算法 主要特点：公钥密码使得发送端和接收端无密钥传输
的保密通信成为可能
第3阶段 1976~
1977年DES正式成为标准 80年代出现“过渡性”的“Post DES”算法,如
密码学的起源和发展
三个阶段： • 1949年之前 密码学是一门艺术 • 1949～1975年 密码学成为科学 • 1976年以后 密码学的新方向——公钥密码学
• 1949年之前: 古典密码（classical cryptography) 密码学还不是科学,而是艺术 出现一些密码算法和加密设备 密码算法的基本手段(substitution & permutation)出现，针对的是字符 ������ 简单的密码分析手段出现
术报告 ������ Smith,J.L.,The Design of Lucifer, A Cryptographic Device for
Data Communication, 1971 1. ������ Smith,J.L.,…,An ExprementalApplication of Cryptogrphyto a

4 hill密码(一种多表代换密码)
原理：矩阵中线性变换原理。优点完全隐藏了单字母频 率特性，采用矩阵形式，还隐藏了双字母的频率特性。 a，b，…z -0,1,…25。m个一组连续明文字母看成 是m维向量，跟一个m*m密钥矩阵相乘，结果模26. 密钥必须可逆。 c1 k11 k12 k13 k14 p1 m=4 c2 k 21 k 22 k 23 k 24 p 2 例题 p25 c3 k 31 k 32 k 33 k 34 p3 c 4 k 41 k 42 k 43 k 44 p 4
M
加密算法 K
密钥源


安全通道
明文M 加密算法 密钥 密文 解密算法
密文C: 完全随机杂乱的数据，意义不可理解。 密钥 K：密钥独立于明文。私密，保密。密钥越长，强度越高 解密算法是加密算法逆运算，需要足够强度。实际中加解密算 法是公开的。
2.3.1 对称密码体制概念

为保证通信安全，对称密码体制要满足：（2） 加密算法有足够强度，即破解难度足够高。 算法强度除了依赖本身外，主要密钥长度。 密钥越长强度越高。 发送者和接收者必须能够通过安全方法获得 密钥，并且密钥是安全的。一般加密算法和 解密算法都是公开的。只有密钥是私密的。


2.1.2 –密码系统安全性

无条件安全（理论） 计算上安全（实际应用）：理论上可破译，但 是需要付出十分巨大的计算，不能在希望的时 间或可行的经济条件下求出准确的答案。满足 以下标准： 破译密码的代价超出密文信息价值 破译密码的时间超出密文信息的有效生命期
2.1.2 –密码攻击两种方法

密码分析（密码攻击）：

qiix qi ejxiv xli xske tevxc
14
第二章 密码学概论
2.2 经典密码体制
1、移位密码 ： 下面是用移位法加密的一个英文句子，请大家破解： TIF JT B TUVEFOU
15
第二章 密码学概论
2.2 经典密码体制
2、替换密码 ：
对字母进行无规则替换，密钥空间K由26个符号0,1,…25的所有 可能置换构成。每一个置换π都是一个密钥
第二章 密码学概论
上述密码是对所有的明文字母都用一个固定的代换进行 加密，因而称作单表（简单）代替密码，即明文的一个字符 单表（简单）代替密码 单表 用相应的一个密文字符代替。加密过程中是从明文字母表到 密文字母表的一一映射。 单表密码的弱点：明文和密文字母之间的一一代替关系。 单表密码的弱点 这使得明文中的一些固有特性和规律（比如语言的各种统计 特性）必然反映到密文中去。
24
第二章 密码学概论
2.2 经典密码体制
优点： 优点：
密钥空间26d>1.1*107 能抵抗简单的字母频率分析攻击。 多表密码加密算法结果将使得对单表置换用的简单频率分析方法失 效。 借助于计算机程序和足够数量的密文，经验丰富的密码分析员能在 一小时内攻破这样的密码。 –重合指数方法：用于预测是否为多表替换密码 –Kasiski方法：利用字母串重复情况确定周期
3
第二章 密码学概论 给密码系统（体制）下一个形式化的定义： 定义: (密码体制）它是一个五元组（P,C,K,E,D)满足条件： （1）P是可能明文的有限集；（明文空间） （2）C是可能密文的有限集；（密文空间） （3）K是一切可能密钥构成的有限集；（密钥空间） ek ∈E *（4）任意k∈ K,有一个加密算法 dk : C → P 和相应的解 密算法 ，使得 和 分别为加密解密函数，满足dk(ek(x))=x, 这里 x ∈P。 加密函数e 必须是单射函数， 加密函数 k必须是单射函数，就是一对一的函数 密码系统的两个基本元素是算法和 密码系统的两个基本元素是算法和密钥 算法 好的算法是唯密钥而保密的 柯克霍夫斯原则 已知算法，无助于推导出明文或密

他能选择明文串x并构造出相应的密文串y。 ④ 选择密文攻击：O可暂时接近密码机，可选择密文串y，
并构造出相应的明文x。
这一切的目的在于破译出密钥或密文
15
电子工业出版社，《信息安全原理与应用》
内容提要
• 基本概念和术语 • 密码学的历史 • 古典密码
16
电子工业出版社，《信息安全原理与应用》
密码学的起源和发展-i
模运算-ii
• 类似普通的加法，在模运算中的每个数也存在加法逆 元，或者称为相反数。
• 一个数x的加法逆元y是满足x+y 0 mod q的数。 • 对每一个 wZq ，存在z，使得w+z 0 mod q。 • 在通常的乘法中，每个数存在乘法逆元，或称为倒数。
在模q的运算中，一个数x的乘法逆元y是满足x y 1 mod q 的数。但是并不是所有的数在模q下都存在乘法 逆元。 • 如果(ab)mod q=(ac) mod q， b c mod q， 如果a与q 互素。 • 如果q是一个素数，对每一个 wZq ,都存在z，使得w z 1 mod q，z称作w的乘法逆元w-1。
密码学的目的：A和B两个人在不安全的信道上进行 通信，而攻击者O不能理解他们通信的内容。
7
电子工业出版社，《信息安全原理与应用》
密码体制
• 密码体制：它是一个五元组（P,C,K,E,D)满足条件：
（1）P是可能明文的有限集；（明文空间）
（2）C是可能密文的有限集；（密文空间）
（3）K是一切可能密钥构成的有限集；（密钥空间）
Twofish, Serpent等出现 2019年Rijndael成为DES的替代者
21
电子工业出版社，《信息安全原理与应用》
内容提要