第6章 公钥密码体系
合集下载
信息安全概论 ppt 公钥密码体制
Plain Text
Alice
Secret Key
Bob
公钥密码体制 6
公钥体制的主要特点:
加密和解密能力分开
多个用户加密的消息只能由一个用户解读,(用亍公共网络中实现 保密通信)
只能由一个用户加密消息而使多个用户可以解读(可用亍认证系统
中对消息进行数字签字)。 无需事先分配密钥 密钥持有量大大减少 提供了对称密码技术无法戒很难提供的服务:如不哈希凼数联合运
基本思想和要求
用户拥有自己的密钥对(KU,KR),即(公开密钥,私有密钥)
公钥KU公开,私钥KR保密 AB:Y=EKUb(X) B:DKRb(Y)= DKRb(EKUb(X))=X
公钥密码体制 5
Bob:
Plain Text E
Cipher Text Network
Cipher Text D
mk(n) + 1=mk(p-1)(q-1)+1 m mod n, 对仸意0mn
公钥密码体制
20
4.1 一些数学基础
原根(Primitive root)
Euler定理表明:对两个互素的整数a,n
a(n) 1 mod n
定义:存在最小正整数m(n) (m|(n)),使得am 1 mod n,若
3)数字签名的问题:传统加密算法无法实现抗抵赖的需求。
公钥密码体制
3
公钥密码体制的起源
公钥密码体制的起源
1976年,Standford Uni. Diffie博士和其导师Hellman 在IEEE Trans. on IT 上収表划时代的文献:
第6章-公钥基础设施--PKI
2020/7/15
15
9、CRL(证书作废列表)的获取
❖每一CA均可以产生CRL。CRL可以定期产生, 或在每次由证书作废请求后产生。CA应将它 产生的CRL发布到目录服务器上
❖自动发送到下属各实体
❖各PKI实体从目录服务器获得相应的CRL
2020/7/15
16
10、密钥更新 ❖ 在密钥泄漏的情况下,将产生新的密钥和新的证书。 ❖ 在并未泄漏的情况下,密钥也应该定时更换。
2020/7/15
26
PKI提供的附加服务
❖ 4 不可否认性服务
❖ 不可否认性服务提供一种防止实体对其行为进行抵 赖的机制,它从技术上保证实体对其行为的认可。 实体的行为多种多样,抵赖问题随时都可能发生, 在各种实体行为中,人们更关注发送数据、收到数 据、传输数据、创建数据、修改数据、以及认同实 体行为等的不可否认性。在PKI中,由于实体的各 种行为只能发生在它被信任之后,所以可通过时间 戳标记和数字签名来审计实体的各种行为。通过这 种审计将实体的各种行为与时间和数字签名绑定在 一起使实体无法抵赖其行为。
❖ 在VPN中使用PKI技术能增强VPN的身份认证 能力,确保数据的完整性和不可否认性。使用 PKI技术能够有效建立和管理信任关系,利用 数字证书既能阻止非法用户访问VPN,又能够 限制合法用户对VPN的访问,同时还能对用户 的各种活动进行严格审计。
2020/7/15
14
8、密钥的恢复
❖在密钥泄漏/证书作废后,为了恢复PKI中实体的业务 处理,泄密实体将获得一对新的密钥,并要求CA产生 新的证书。
❖在泄密实体是CA的情况下,它需要重新签发以前用泄 密密钥签发的证书,每一个下属实体将产生新的密钥 对,获得用CA新私钥签发的新的证书。而用泄密密钥 签发的旧证书将作废,并被放置入CRL。
公钥密码体制
{1,3,6,13,27,52, …} 而 {1,3,4,9,15,25} 不是。
如果序列为超递增序列,则背包问题则是P类问题。
14
MH背包密码的基本思想
利用实际上存在两类不同的背包问题,一类在线性时间 内可解(超递增背包问题),而另一类不能(普通背包问题)。 易解的背包问题可以转化成难解的背包问题。公钥使用难解 的背包问题,它可很容易地被用来加密明文但不能用来解密 密文。私钥使用易解的背包问题,它给出一个解密的简单方 法。不知道私钥的人要破解密文就不得不解一个难解的背包 问题。
i=1
利用已知u并根据uv=1 (mod p) ,可求得v。
下面作变换称为墨科-赫尔曼(Merkle-Hellman)变换:
ak≡ubk(mod p),k=1,2,…,n 非超递增序列{ai}和p作为公钥; 超递增序列{bi}和v作为私钥;
12
背包问题
已知一长度 b 的背包及长度分别为 a1,a2,… ,an 的 n 个物品。假定这些物品的半径和背包相同,若从这 n 个物品 中选出若干物品使得恰好装满这个背包。
公式化的描述为:给定一个正整数集A={a1,a2,…,an},已 知b是A的某子集中元素的和。问题是,找到一个n元的0 、1
向量X=(x1,x2,…,xn)使得:
n
∑ aixi = b
i =1
这是一个NP问题。
其中a1, a2, … , an 和 b 都是正整数。
13
超递增序列
如果序列 a1, a2, … , an 满足条件:
i −1
∑ ai > a j (i = 2,3,..., n) j =1
则称该序列为超递增序列。 例如: {1,2,4,8, … ,2n }
如果序列为超递增序列,则背包问题则是P类问题。
14
MH背包密码的基本思想
利用实际上存在两类不同的背包问题,一类在线性时间 内可解(超递增背包问题),而另一类不能(普通背包问题)。 易解的背包问题可以转化成难解的背包问题。公钥使用难解 的背包问题,它可很容易地被用来加密明文但不能用来解密 密文。私钥使用易解的背包问题,它给出一个解密的简单方 法。不知道私钥的人要破解密文就不得不解一个难解的背包 问题。
i=1
利用已知u并根据uv=1 (mod p) ,可求得v。
下面作变换称为墨科-赫尔曼(Merkle-Hellman)变换:
ak≡ubk(mod p),k=1,2,…,n 非超递增序列{ai}和p作为公钥; 超递增序列{bi}和v作为私钥;
12
背包问题
已知一长度 b 的背包及长度分别为 a1,a2,… ,an 的 n 个物品。假定这些物品的半径和背包相同,若从这 n 个物品 中选出若干物品使得恰好装满这个背包。
公式化的描述为:给定一个正整数集A={a1,a2,…,an},已 知b是A的某子集中元素的和。问题是,找到一个n元的0 、1
向量X=(x1,x2,…,xn)使得:
n
∑ aixi = b
i =1
这是一个NP问题。
其中a1, a2, … , an 和 b 都是正整数。
13
超递增序列
如果序列 a1, a2, … , an 满足条件:
i −1
∑ ai > a j (i = 2,3,..., n) j =1
则称该序列为超递增序列。 例如: {1,2,4,8, … ,2n }
IPv6技术第6章ppt课件
精选课件ppt
2
6.1 IPv6安全问题
❖ 6.1.1 IPv6安全问题概述
IPv6的安全脆弱性可以分为四类:
❖ ⑴实现和部署上的漏洞和不足,与IPv6协议有关的设计、算法和 软硬件的实现离不开人的工作
❖ ⑵非IP层攻击,IPv6的安全仅作用在IP层,其它层出现对IPv6网 络的攻击仍然存在。
❖ ⑶IPv4向IPv6过渡时期的安全脆弱性,IPv4网络和IPv6网络并存 的环境以及过渡技术存在安全隐患。
精选课件ppt
4
网络安全的特征
❖ 身份可认证性;机密性;完整性;可控性;可审查 性。
❖ 网络安全需要考虑到三个方面:
⑴安全攻击,是任何危及网络系统信息安全的活动; ⑵安全机制,用来保护网络系统不受截听,阻止安全攻
击,恢复受到攻击的系统; ⑶安全服务,提供加强网络信息传输安全的服务,利用
一种或多种安全机制阻止对网络的攻击。
明文M H
密钥K
明文M 发送 明文M
MD 得出报文摘要
加密的报文摘 要
图6.4 用报文摘要实现报文鉴别
精选课件ppt
收方算出的
报文摘要
H
MD
密钥K 比较
MD 得 出 解 密 的 报文摘要
13
6.2 Internet的安全技术
❖ 6.2.1 数据包过滤和防火墙
防火墙所起的作用是:
❖①限制访问者进入一个被严格控制的点; ❖②防止进攻者接近受到保护的设备; ❖③限制人们离开一个严格控制的点。
与操作系统OS集成实施
❖ ⑵将IPsec作为协议栈中的一块(BITS)来实现
这种方法将特殊的IPsec代码插入到网络协议栈中,在网 络协议栈的网络层和数据链路层之间实施
第六章电子商务安全保障体系总结
第六章电子商务安全保障系统本章概要电子商务的安全控制安全电子交易的数据加密安全电子交易的认证技术与数字证书安全电子交易(SET )标准安全电子交易的操作技术和网络建设的安全性学习目标掌握电子商务的安全控制的要乞降安全交易标准和实行方法认识安全电子交易的数据加密,理解一般的数据加密模型掌握认证技术与数字证书和安全电子交易的有关知识掌握网络建设的安全性中的网络安全面对的威迫和网络安全体制的实现知识构造图6、 1 电子商务的安全控制1、电子商务的安全控制电子商务顺利展开的中心和重点问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户关于安全的需要主要包含以下五个方面,(见下列图)所示。
交易的不能否定性主要包含1、源点不能否定性,即信息发送者过后没法否定其发送的信息;2、接受不能否定性,即信息接收方没法否定其遇到信息;3、回执不能否定性,即发送责任回执的各个环节均没法推辞其应负的责任。
2、电子商务安全交易标准与实行方法最近几年来,信息技术业界与金融行业为适应电子商务需要,共同研究公布了一些 Internet 标准,以保障交易的安全性,(见下列图)所示。
安全电子交易协议涵盖了信誉卡在电子商务交易中的交易协议、信息保密、资料完好及数字认证、数字署名等。
这一标准被公以为全世界网际网络的标准,其交易形态成为将来“电子商务”的规范。
安全超文本传输协议依赖密钥加密,保障Web 站点间的交易信息传输的安全性。
安全交易技术协议由 Microsoft 公司提出的安全交易协议, STT 将认证和解密在阅读器中分别开,用以提升安全控制能力。
安全套接层协议由 Netscape 公司提出的安全交易协议,供给加密、认证服务和报文完好性。
6、 2 安全电子交易的数据加密1、数据加密技术综述加密技术与密码学密切相连,利用密码技术能够把某些重要信息或数据从一个可理解的明文形式变换成为一种错杂的、不行理解的密文形式,称为加密过程;密文经过线路传递到达目的端后,用户按特定的解密方法将密文复原为明文,称为解密的过程。
第6章--IPv6安全机制
3. SA用到的主要参数
SA用到的主要参数: ⑥隧道目的地; ⑦路径MTU; ⑧AH信息(包括认证算法、密钥、密钥生存期,以及与 AH一起使用的其他参数); ⑨ESP信息(包括加密和认证算法、密钥、密钥生存期 、初始值,以及与ESP一起使用的其他参数)
6.2.4 IPSec操作模式
传输模式保护IP协议包(分组)的有效荷载(数据 部分)
6.2.1 IPSec协议概述
IPSec提供的安全服务是基于IP层的 IPSec是一种基于一组独立的共享密钥机制, 来 实现认证、完整性验证和加密服务的网络安全 协议
6.2.1 IPSec协议概述
IPSec通过设计安全传输协议身份认证首部( AH)、封装安全荷载(ESP), 以及密钥交换 协议(Internet Key Exchange, IKE)来实现网 络安全功能和目标 IPSec提供的网络安全功能
6.6.1 邻居缓存欺骗攻击
6.6.2 邻居不可达检测攻击
但检测主机开始进行邻居不可达检测的时候, 攻击主机可以发送虚假的邻居通告报文, 详细 的邻居通告报文信息
6.6.2 邻居不可达检测攻击
重复地址检测的过程
攻击主机可以通过伪造一个NA告诉受攻击主机申请的IPv6地 址已被占用, 使得受攻击主机不得使用该IPv6地址进行网络通 信, 从而达到欺骗请求主机
6. 过渡机制带来的安全问题 隧道帮助了入侵者避开进入过滤检测 特别是自动隧道机制,容易引入DoS、地址盗用 和服务欺骗
6.2 IPSec协议
6.2.1 IPSec协议概述 6.2.2 IPSec体系结构 6.2.3 IPsec安全关联 6.2.4 IPSec操作模式 6.2.5 IPSec模块对IP分组的处理 6.2.6 IPSec部署 6.2.7 IPSec存在问题分析
公钥密码系统
导读
❖本章我们将讨论解密密钥与加密密钥不同 的情况。非对称密码系统的解密密钥与加 密密钥是不同的,一个称为公开密钥,另 一个称为私人密钥(或秘密密钥),因此 这种密码体系也称为公钥密码体系。公钥 密码除可用于加密外,还可用于数字签名。 《 中 华 人 民 共 和 国 电 子 签 名 法 》 已 于 2005 年4月1日实行。
k1
k2
28
Company Logo
中间人攻击
❖ Alice用密钥k1给Bob发送消息;Carol截获消 息后用k1解密就可读取消息;然后将获得的明文 消息用k2加密(加密前可能会对消息作某些修改) 后发送给Bob。
❖ 对Bob发送给Alice的消息,Carol同样可以读 取和修改。造成中间人攻击的原因是DiffieHellman密钥交换不认证对方。利用数字签名 可以挫败中间人攻击。
(2) Bob发送公开值给Alice,Carol截获它然后把 自己的公开值(a’和p’)发送给Alice。
(3) Alice和Carol计算出二人之间的共享密钥k1。 (4) Bob和Carol计算出另外一对共享密钥k2。
27
Company Logo
中间人攻击
a,p
a',p'
Alice
Carol
Bob
Bob
X
产生随机数y
计算X=ax mod p
计算Y=ay mod p
计算k=Yx mod p
Y
计算k'=Xy mod p
26
Company Logo
中间人攻击
❖ Diffie-Hellman密钥交换容易遭受中间人攻击:
(1) Alice发送公开值(a和p)给Bob,攻击者Carol 截获这些值并把自己产生的公开值发送给Bob。
❖本章我们将讨论解密密钥与加密密钥不同 的情况。非对称密码系统的解密密钥与加 密密钥是不同的,一个称为公开密钥,另 一个称为私人密钥(或秘密密钥),因此 这种密码体系也称为公钥密码体系。公钥 密码除可用于加密外,还可用于数字签名。 《 中 华 人 民 共 和 国 电 子 签 名 法 》 已 于 2005 年4月1日实行。
k1
k2
28
Company Logo
中间人攻击
❖ Alice用密钥k1给Bob发送消息;Carol截获消 息后用k1解密就可读取消息;然后将获得的明文 消息用k2加密(加密前可能会对消息作某些修改) 后发送给Bob。
❖ 对Bob发送给Alice的消息,Carol同样可以读 取和修改。造成中间人攻击的原因是DiffieHellman密钥交换不认证对方。利用数字签名 可以挫败中间人攻击。
(2) Bob发送公开值给Alice,Carol截获它然后把 自己的公开值(a’和p’)发送给Alice。
(3) Alice和Carol计算出二人之间的共享密钥k1。 (4) Bob和Carol计算出另外一对共享密钥k2。
27
Company Logo
中间人攻击
a,p
a',p'
Alice
Carol
Bob
Bob
X
产生随机数y
计算X=ax mod p
计算Y=ay mod p
计算k=Yx mod p
Y
计算k'=Xy mod p
26
Company Logo
中间人攻击
❖ Diffie-Hellman密钥交换容易遭受中间人攻击:
(1) Alice发送公开值(a和p)给Bob,攻击者Carol 截获这些值并把自己产生的公开值发送给Bob。
《公钥密码体系》课件
03
保障国家安全
公钥密码体系在国家安全领域 中也有广泛应用,如军事通信
、政府机密保护等。
公钥密码体系的历史与发展
03
起源
公钥密码体系起源于20世纪70年代,最 早的公钥密码体系是RSA算法。
发展历程
未来展望
随着计算机科学和数学的发展,公钥密码 体系不断得到改进和完善,出现了多种新 的算法和应用。
随着互联网和物联网的普及,公钥密码体 系将面临更多的挑战和机遇,需要不断探 索和创新。
性能问题
1 2 3
加密和解密速度
公钥密码体系的加密和解密速度通常较慢,需要 优化算法和提高计算能力,以提高加密和解密的 速度。
资源消耗
公钥密码体系通常需要较大的计算资源和存储空 间,需要优化算法和资源利用方式,以降低资源 消耗。
适应性
公钥密码体系需要适应不同的应用场景和需求, 需要开发适用于不同场景的公钥密码算法和解决 方案。
人工智能与机器学习
人工智能和机器学习技术在公钥密码体系中也有着广阔的应用前景。这些技术可以帮助自动识别和防御 网络攻击,提高公钥密码体系的安全性和可靠性。
应用领域拓展
物联网安全
随着物联网技术的普及,公钥密 码体系在物联网安全领域的应用 将越来越广泛。物联网设备需要 使用公钥密码算法进行身份认证 和数据加密,以确保设备之间的 通信安全。
非对称加密算法可以支持多种加密模式,如对称加密算法中的块加 密和流加密模式。
数字签名
验证数据完整性和身份
数字签名使用私钥对数据进行加密,生成一个数字签名。 接收者使用公钥解密数字签名,验证数据的完整性和发送 者的身份。
防止数据被篡改
数字签名可以防止数据在传输过程中被篡改,因为任何对 数据的修改都会导致数字签名无效。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
猜想:攻破RSA与分解n是多项式等价 的。然而,这个猜想至今没有给出可信的 证明!!!
(1)素因子p,q应当是强素数, p是强素数:存在大素数p1,p1|p-1,同时r1 , r2是 大素数, r1 | p1 -1 ,r2| p1 -1. 选择强素数的目的是因为选择的p,q如果p-1,q-1 的素因子都很小,则n=pq存在p-1或p+1分 解法
公钥密码体制的要求:
1. 产生一对密钥是计算可行的
2.
3. 4. 5. 6.
已知公钥和明文,产生密文是计算可行的
接收方利用私钥来解密密文是计算可行的 对于攻击者,利用公钥来推断私钥是计算不可行的 已知公钥和密文,恢复明文是计算不可行的 (可选)加密和解密的顺序可交换
公钥密码的安全性依赖于从已知的公钥, 加密算法和密文中无法求出明文或秘钥。 Diffie和Hellman提出了一种陷门单向函 数概念,为建立公钥密码体制找到了一 种途径。
e2 2
p
em m
em em e2 pm ) ( p1e1 ) ( p2 ) ( pm ) e2 1 2
p
e1 1 1
( p1 1) p
( p2 1)
p
em 1 m
( pm 1)
欧拉函数
练习: (300) ?
(300) (22 52 3) (22 ) (52 ) (3)
欧拉函数 (n)
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
计数: [1, pk ]中与pk 互素的数的个数
除去[1, p k ]中p的倍数,剩下的都与p k 互素 p,2p, , p k 1 p是[1, p k ]中所有p的倍数,共有 p k 1个。 所以与p k 互素的数的个数有p k-p k 1个
模幂运算-平方和乘算法
m mod N , c (ck 2 ci 2i
i 0
k 1
z 1 for i=k-1 downto 0 { z=z2 mod N if ci 1 then z=z*m mod N } return (z)
平方和乘算法的复杂度:执行次数至少要k次模乘,最多 需要2k次模乘
单向函数
函数f 若满足下列条件 1)对任意给定的x,容易计算f(X)=y 2)对任意给定的y,求出x使得f(x)=y是 困难的。
求离散对数问题 y=gx mod p 若给出p,g,y求x称为求离散对数问题 因子分解问题 n=pq 若给定n,求p,q称为因子分解问题 背包问题 给定一个有限个自然数序列集合B=(b1,b2,……,bn)及二进制数序列 x=(x1,x2,……,xn),S= x1 b1 + x2 b2 +…… + xn bn 给定B,S,求x序列,称为求背包问题
(2)因子p,q的差必须足够大。 如果p,q比较接近,则由p,q的平均值可得
Q pq 2
2
pq n
再利用
pq pq 2 n Q n 2 2
2
可得
pq Q 2 p q Q2 n 2
进而求出p,q
例如p 101, q 103, n 10403 则 n 101.995 取Q 102, 而102 10403 1 ,因此
2
pq 102 2 p q 1 2
(3)RSA的加解密密钥不能太小,存在低指数 攻击
已经证明了当d的二进制长度小于模数n长度的1/4时, 可以利用连分数法在多项式时间内求解n。
解密:为从c中恢复明文m,A利用解密密钥d,计算
m=cd mod n
例如在上面的例子中,假设m=19,则 c=195 =19 ×(192)2=19 × 3612=19 × 42 mod 119 =304=66 mod 119 因此密文为c=66
对于密文c=66,其解密过程如下 m=6677=(662)38 × 66 mod 119 =7238 × 66 mod 119 =4738 × 66 mod 119 =6719 × 66 mod 119 =(672)9 × 67 × 66 mod 119 =869 × 19 mod 119 =(862)4 × 86 × 19 mod 119 =184 × 87 mod 119 =18 × 87 mod 119 =19 mod 119
模幂运算
1513 mod 53, c (c3c2 c1c0 ) (1101) 2 23 2 2 1 Step1 z 1 Step 2 z z 2 m c3 mod N z 12 151 mod 53 15 Step3 z z 2 m c2 mod N z 152 151 mod 53 36 Step 4 z z 2 m c1 mod N z 36 2 150 mod 53 24 Step5 z z 2 m c0 mod N z 242 151 mod 53 1 1513 mod 53 1
RSA公钥密码体制
1 、1977年由Rivest、Shamir和 Adleman发明 并于1978年公布。 2 、明文和密文在0~n-1之间,n是一个正整数 3 、应用最广泛的公钥密码算法 4 、只在美国申请专利,且已于2000年9月到期
欧拉函数 (n)
在[1, n]中,不大于n而且与n互素的正整数 的个数,记作(n)
单向陷门函数:
单向陷门函数是满足下列条件的函数f: 1. 给定x,计算y=f(x)是容易的; 2. 给定y, 计算x使x=f-1(y)是不可行的; 3. 存在陷门t,已知t时,对给定的任何y,若相应 的原象x存在,则计算x是容易的。
通过陷门单向函数建立公钥密码
f(x)是单向陷门函数,陷门为t。 那 么设计公钥密码系统时f(x)作为公钥,陷 门t作为私钥,任何人都可将明文m利用 公钥f(x)加密得到密文y=f(m),而任何人 不知道私钥即陷门,由密文y都无法求出 m,因为f(x)是单向的,但拥有私钥,便 可容易求出m
如果解密指数d被泄露,则就可以分解出n, 因此就必须重新选取n,而不能只是重新 选取e,d.
RSA的实现
可供选择的大素数是否多 随机选择大素数是否容易 模幂运算能否快速实现
模幂运算
m c mod N , c (c3c2 c1c0 ) 2 c3 23 c2 2 2 c1 2 c0 m m
n 1, (n) ?
欧拉函数
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
3、若(m1, m2 ) 1 ,则 (m1m2 ) (m1 ) (m2 )
n 1, (n) ? n p p
e1 1 e2 (n) ( p1e1 p2
计算机安全与保密
公钥密码体系
杭州电子科技大学
对称算法的不足
密钥必须通过某一信道协商,对这个信 道的安全性的要求比正常的传送消息的 信道的安全性要高
1. 公钥密码背景
密码分析 用户A 明文M 加密
k1
密文C E (M , k1 )
解密
k2
M D(C , k2 )
用户B
公钥空间
私钥空间
公钥密码体制的特点: 1. 加密密钥与解密密钥在本质上是不同的,即已知一个密钥并不 能轻易地求出另一个密钥。 2. 不需要增加分发密钥的额外信道。
256 255
由此可见,大素数的分布是相当多的
素数判定
确定性素数判定:判定结果一定正确
概率性素数判定:判定结果在某个概率 上是正确的。 概率性素数判定算法内部使用了一个随 机数,在复杂度理论中也称此类算法为 随机算法
Miller-Rabin素数判定算法
定义 设n 2是一个奇数,设n 1 2 s m,其中s是非负整数, m 0是奇数,设0 b n, 如果 b m 1mod n 或者存在一个r , 0 r s,使得b 2 则称n是以b为基的强伪素数 例:n 91,91 1 2 45 945 1mod 91 91是以9为基的强伪素数
r
m
1mod n
c c3 23 c2 22 c1 2 c0
m
c3 23
m
c2 22
m c1 2 m c0 mod N
(m
c3 22
m
c2 21
m c1 ) 2 m c0 mod N
((m c3 2 m c2 ) 2 m c1 ) 2 m c0 mod N (((12 m c3 ) 2 m c2 ) 2 m c1 ) 2 m c0 mod N Step1 z 1 Step 2 z z 2 m c3 mod N Step3 z z 2 m c2 mod N Step 4 z z 2 m c1 mod N Step5 z z 2 m c0 mod N
解密的正确性:
费马小定理: 若(a,n)=1,则a(n)=1 mod n 2. 推论1:若n=pq,p≠q都是素数,k是任意整数,则 m(n)+1=m(p-1)(q-1)+1=m mod n 3. 推论2: mk(p-1)(q-1)+1=m mod n 由于ed=1 mod(n),则存在整数k,满足 ed=1+k(n)=1+k(p-1)(q-1) 因此 cd=med=mk(p-1)(q-1)+1=m mod n 所以解密成功。
①
例如取p=7,q=17,则
n=pq=7×17=119 (n)=(7-1)(17-1)=6 × 16=96
任取e=5,则d=77.注意5 × 77=385=1 mod96
2.
(1)素因子p,q应当是强素数, p是强素数:存在大素数p1,p1|p-1,同时r1 , r2是 大素数, r1 | p1 -1 ,r2| p1 -1. 选择强素数的目的是因为选择的p,q如果p-1,q-1 的素因子都很小,则n=pq存在p-1或p+1分 解法
公钥密码体制的要求:
1. 产生一对密钥是计算可行的
2.
3. 4. 5. 6.
已知公钥和明文,产生密文是计算可行的
接收方利用私钥来解密密文是计算可行的 对于攻击者,利用公钥来推断私钥是计算不可行的 已知公钥和密文,恢复明文是计算不可行的 (可选)加密和解密的顺序可交换
公钥密码的安全性依赖于从已知的公钥, 加密算法和密文中无法求出明文或秘钥。 Diffie和Hellman提出了一种陷门单向函 数概念,为建立公钥密码体制找到了一 种途径。
e2 2
p
em m
em em e2 pm ) ( p1e1 ) ( p2 ) ( pm ) e2 1 2
p
e1 1 1
( p1 1) p
( p2 1)
p
em 1 m
( pm 1)
欧拉函数
练习: (300) ?
(300) (22 52 3) (22 ) (52 ) (3)
欧拉函数 (n)
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
计数: [1, pk ]中与pk 互素的数的个数
除去[1, p k ]中p的倍数,剩下的都与p k 互素 p,2p, , p k 1 p是[1, p k ]中所有p的倍数,共有 p k 1个。 所以与p k 互素的数的个数有p k-p k 1个
模幂运算-平方和乘算法
m mod N , c (ck 2 ci 2i
i 0
k 1
z 1 for i=k-1 downto 0 { z=z2 mod N if ci 1 then z=z*m mod N } return (z)
平方和乘算法的复杂度:执行次数至少要k次模乘,最多 需要2k次模乘
单向函数
函数f 若满足下列条件 1)对任意给定的x,容易计算f(X)=y 2)对任意给定的y,求出x使得f(x)=y是 困难的。
求离散对数问题 y=gx mod p 若给出p,g,y求x称为求离散对数问题 因子分解问题 n=pq 若给定n,求p,q称为因子分解问题 背包问题 给定一个有限个自然数序列集合B=(b1,b2,……,bn)及二进制数序列 x=(x1,x2,……,xn),S= x1 b1 + x2 b2 +…… + xn bn 给定B,S,求x序列,称为求背包问题
(2)因子p,q的差必须足够大。 如果p,q比较接近,则由p,q的平均值可得
Q pq 2
2
pq n
再利用
pq pq 2 n Q n 2 2
2
可得
pq Q 2 p q Q2 n 2
进而求出p,q
例如p 101, q 103, n 10403 则 n 101.995 取Q 102, 而102 10403 1 ,因此
2
pq 102 2 p q 1 2
(3)RSA的加解密密钥不能太小,存在低指数 攻击
已经证明了当d的二进制长度小于模数n长度的1/4时, 可以利用连分数法在多项式时间内求解n。
解密:为从c中恢复明文m,A利用解密密钥d,计算
m=cd mod n
例如在上面的例子中,假设m=19,则 c=195 =19 ×(192)2=19 × 3612=19 × 42 mod 119 =304=66 mod 119 因此密文为c=66
对于密文c=66,其解密过程如下 m=6677=(662)38 × 66 mod 119 =7238 × 66 mod 119 =4738 × 66 mod 119 =6719 × 66 mod 119 =(672)9 × 67 × 66 mod 119 =869 × 19 mod 119 =(862)4 × 86 × 19 mod 119 =184 × 87 mod 119 =18 × 87 mod 119 =19 mod 119
模幂运算
1513 mod 53, c (c3c2 c1c0 ) (1101) 2 23 2 2 1 Step1 z 1 Step 2 z z 2 m c3 mod N z 12 151 mod 53 15 Step3 z z 2 m c2 mod N z 152 151 mod 53 36 Step 4 z z 2 m c1 mod N z 36 2 150 mod 53 24 Step5 z z 2 m c0 mod N z 242 151 mod 53 1 1513 mod 53 1
RSA公钥密码体制
1 、1977年由Rivest、Shamir和 Adleman发明 并于1978年公布。 2 、明文和密文在0~n-1之间,n是一个正整数 3 、应用最广泛的公钥密码算法 4 、只在美国申请专利,且已于2000年9月到期
欧拉函数 (n)
在[1, n]中,不大于n而且与n互素的正整数 的个数,记作(n)
单向陷门函数:
单向陷门函数是满足下列条件的函数f: 1. 给定x,计算y=f(x)是容易的; 2. 给定y, 计算x使x=f-1(y)是不可行的; 3. 存在陷门t,已知t时,对给定的任何y,若相应 的原象x存在,则计算x是容易的。
通过陷门单向函数建立公钥密码
f(x)是单向陷门函数,陷门为t。 那 么设计公钥密码系统时f(x)作为公钥,陷 门t作为私钥,任何人都可将明文m利用 公钥f(x)加密得到密文y=f(m),而任何人 不知道私钥即陷门,由密文y都无法求出 m,因为f(x)是单向的,但拥有私钥,便 可容易求出m
如果解密指数d被泄露,则就可以分解出n, 因此就必须重新选取n,而不能只是重新 选取e,d.
RSA的实现
可供选择的大素数是否多 随机选择大素数是否容易 模幂运算能否快速实现
模幂运算
m c mod N , c (c3c2 c1c0 ) 2 c3 23 c2 2 2 c1 2 c0 m m
n 1, (n) ?
欧拉函数
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
3、若(m1, m2 ) 1 ,则 (m1m2 ) (m1 ) (m2 )
n 1, (n) ? n p p
e1 1 e2 (n) ( p1e1 p2
计算机安全与保密
公钥密码体系
杭州电子科技大学
对称算法的不足
密钥必须通过某一信道协商,对这个信 道的安全性的要求比正常的传送消息的 信道的安全性要高
1. 公钥密码背景
密码分析 用户A 明文M 加密
k1
密文C E (M , k1 )
解密
k2
M D(C , k2 )
用户B
公钥空间
私钥空间
公钥密码体制的特点: 1. 加密密钥与解密密钥在本质上是不同的,即已知一个密钥并不 能轻易地求出另一个密钥。 2. 不需要增加分发密钥的额外信道。
256 255
由此可见,大素数的分布是相当多的
素数判定
确定性素数判定:判定结果一定正确
概率性素数判定:判定结果在某个概率 上是正确的。 概率性素数判定算法内部使用了一个随 机数,在复杂度理论中也称此类算法为 随机算法
Miller-Rabin素数判定算法
定义 设n 2是一个奇数,设n 1 2 s m,其中s是非负整数, m 0是奇数,设0 b n, 如果 b m 1mod n 或者存在一个r , 0 r s,使得b 2 则称n是以b为基的强伪素数 例:n 91,91 1 2 45 945 1mod 91 91是以9为基的强伪素数
r
m
1mod n
c c3 23 c2 22 c1 2 c0
m
c3 23
m
c2 22
m c1 2 m c0 mod N
(m
c3 22
m
c2 21
m c1 ) 2 m c0 mod N
((m c3 2 m c2 ) 2 m c1 ) 2 m c0 mod N (((12 m c3 ) 2 m c2 ) 2 m c1 ) 2 m c0 mod N Step1 z 1 Step 2 z z 2 m c3 mod N Step3 z z 2 m c2 mod N Step 4 z z 2 m c1 mod N Step5 z z 2 m c0 mod N
解密的正确性:
费马小定理: 若(a,n)=1,则a(n)=1 mod n 2. 推论1:若n=pq,p≠q都是素数,k是任意整数,则 m(n)+1=m(p-1)(q-1)+1=m mod n 3. 推论2: mk(p-1)(q-1)+1=m mod n 由于ed=1 mod(n),则存在整数k,满足 ed=1+k(n)=1+k(p-1)(q-1) 因此 cd=med=mk(p-1)(q-1)+1=m mod n 所以解密成功。
①
例如取p=7,q=17,则
n=pq=7×17=119 (n)=(7-1)(17-1)=6 × 16=96
任取e=5,则d=77.注意5 × 77=385=1 mod96
2.