密码学基础-清华大学讲稿
合集下载
第3章_密码学基础1
30
密码算法的分类
对称密钥密码可以分为: 1. 分组密码 每次对一块数据加密 多数网络加密应用 DES, AES, IDEA, RC6等。 2. 流密码 每次对一位或一个字节加密 手机 One-time padding, Vigenére, Vernam
31
密码算法分类
12
密码学简史
11世纪 兵书《武经总要》 中国历史上第一部有关密码的记述 介绍了一个小型却名副其实的密码本。
13
密码学简史
劉邦打下天下之後,害怕韓信造反,所以打算把他殺了。 又怕他帶的士兵太多,所以問了一下韓信目前帶了多少兵? 韓信感覺氣氛詭異,因此回答: 兵不知數,三三數之剩二,五五數之剩三,七七數之剩二」 這個回答讓劉邦不知所措,連軍師張良一下子也算不出, 想到一个数136,0128 (一百多万),不敢輕舉妄動。
传统密码体制主要功能是信息的保密, 双钥(公钥)密码体制不但赋予了通信的保密性,
而且还提供了消息的认证性
新的双钥密码体制无需事先交换秘密钥就 可通过不安全信道安全地传递信息, 大大简化了密钥分配的工作量。 双钥密码体制适应了通信网的需要, 为保密学技术应用于商业领域开辟了广阔的天地。
21
密码学简史
27
密码算法的分类
1.
按照保密的内容分:
受限制的(restricted)算法:算法的保密
性基于保持算法的秘密
2.
基于密钥的(key-based)算法:算法的保 密性基于对密钥的保密。
28
密码算法分类
1.
2.
基于密钥的算法,按照密钥的特点分: 对称密码算法(symmetric cipher):加密和解 密的密钥相同,或者说实质上等同的,即从一 个易于推出另一个。又称为秘密密钥算法或单 密钥算法。 非对称密钥算法(asymmetric cipher):加密密 钥和解密密钥不同,从一个很难推出另一个。 又称为公开密钥算法(public-key cipher)。
密码学基础课件北大
现代密码算法
➢ DES ➢ 其他密码算法
AES密码算法
➢ Rijndael
经典密码算法
替换技术
➢ Caesar加密制 ➢ 单表替换加密制 ➢ Playfair加密制 ➢ Hill加密制 ➢ 多表加密制
置换技术
➢ 改变字母的排列顺序,比如
➢ 用对角线方式写明文,然后按行重新排序 ➢ 写成一个矩阵,然后按照新的列序重新排列
加密算法的有效性
Unconditionally secure,绝对安全?
➢ 永不可破,是理想情况,理论上不可破,密 钥空间无限,在已知密文条件下,方程无解 。但是我们可以考虑:
➢ 破解的代价超过了加密信息本身的价值 ➢ 破解的时间超过了加密信息本身的有效期
Computationally secure,
电子簿模式ECB
相同明文相同密文 同样信息多次出现造
成泄漏 信息块可被替换 信息块可被重排 密文块损坏仅对应
明文块损坏 适合于传输短信息
密码块链接CBC
需要共同的初始化 向量IV
相同明文不同密 文
初始化向量IV可以 用来改变第一块
密文块损坏两明 文块损坏
安全性好于ECB
密码反馈方式CFB
➢ RC5版本:RC5-w/r/b ➢ 算法作者建议标定版本为RC5-32/12/16
RC5加密算法
三个基本运算
➢ 字的加法,模2w +
➢ 按位异或
⊕
➢ 左循环移位
<<<
算法:
LE0 = A + S[0] RE0 = B + S[1] for i = 1 to r do
LEi = ((LEi-1⊕REi-1) <<< REi-1 + S[2*i] REi = ((REi-1⊕LEi) <<< LEi + S[2*i+1]
➢ DES ➢ 其他密码算法
AES密码算法
➢ Rijndael
经典密码算法
替换技术
➢ Caesar加密制 ➢ 单表替换加密制 ➢ Playfair加密制 ➢ Hill加密制 ➢ 多表加密制
置换技术
➢ 改变字母的排列顺序,比如
➢ 用对角线方式写明文,然后按行重新排序 ➢ 写成一个矩阵,然后按照新的列序重新排列
加密算法的有效性
Unconditionally secure,绝对安全?
➢ 永不可破,是理想情况,理论上不可破,密 钥空间无限,在已知密文条件下,方程无解 。但是我们可以考虑:
➢ 破解的代价超过了加密信息本身的价值 ➢ 破解的时间超过了加密信息本身的有效期
Computationally secure,
电子簿模式ECB
相同明文相同密文 同样信息多次出现造
成泄漏 信息块可被替换 信息块可被重排 密文块损坏仅对应
明文块损坏 适合于传输短信息
密码块链接CBC
需要共同的初始化 向量IV
相同明文不同密 文
初始化向量IV可以 用来改变第一块
密文块损坏两明 文块损坏
安全性好于ECB
密码反馈方式CFB
➢ RC5版本:RC5-w/r/b ➢ 算法作者建议标定版本为RC5-32/12/16
RC5加密算法
三个基本运算
➢ 字的加法,模2w +
➢ 按位异或
⊕
➢ 左循环移位
<<<
算法:
LE0 = A + S[0] RE0 = B + S[1] for i = 1 to r do
LEi = ((LEi-1⊕REi-1) <<< REi-1 + S[2*i] REi = ((REi-1⊕LEi) <<< LEi + S[2*i+1]
清华大学出版社 密码学PPT课件
✓ 二十世纪末的AES算法征集活动使密码学界又掀起了一次分组密码研究的 高潮。同时,在公钥密码领域,椭圆曲线密码体制由于其安全性高、计算 速度快等优点引起了人们的普遍关注和研究,并在公钥密码技术中取得重 大进展。
✓ 在密码应用方面,各种有实用价值的密码体制的快速实现受到高度重视, 许多密码标准、应用软件和产品被开发和应用,美国、德国、日本和我国 等许多国家已经颁布了数字签名法,使数字签名在电子商务和电子政务等
同时在公钥密码领域椭囿曲线密码体制由于其安全性高计算速度快等优点引起了人们的普遍关注和研究幵在公钥密码技术中叏得重在密码应用斱面各种有实用价值的密码体制的快速实现叐到高度重视许多密码标准应用软件和产品被开収和应用美国德国日本和我国等许多国家巫经颁布了数字签名法使数字签名在电子商务和电子政务等领域得到了法律的认可推劢了密码学研究和应用的収展
可以对用该密钥加密的任何新的消息进行解密。
④ 选择密文攻击(Chosen—ciphenext attack)
选择密文攻击是指密码分析者可以选择一些密文,并得到相应的明文
1.3.3 对密码系统的攻击
密码分析者破译或攻击密码的方法主要有穷举攻击法、统计分析法和数学分 析攻击法。
(1)穷举攻击法
穷举攻击法又称为强力或蛮力(Brute force)攻击。这种攻击方法是 对截获到的密文尝试遍历所有可能的密钥,直到获得了一种从密文到明文的 可理解的转换;或使用不变的密钥对所有可能的明文加密直到得到与截获到 的密文一致为止。
1.3.1密码学的主要任务(续)
③ 鉴别
这是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份 的鉴别和对数据源的鉴别。对于一次通信,必须确信通信的对端是预期的实 体,这就涉及到身份的鉴别。
✓ 在密码应用方面,各种有实用价值的密码体制的快速实现受到高度重视, 许多密码标准、应用软件和产品被开发和应用,美国、德国、日本和我国 等许多国家已经颁布了数字签名法,使数字签名在电子商务和电子政务等
同时在公钥密码领域椭囿曲线密码体制由于其安全性高计算速度快等优点引起了人们的普遍关注和研究幵在公钥密码技术中叏得重在密码应用斱面各种有实用价值的密码体制的快速实现叐到高度重视许多密码标准应用软件和产品被开収和应用美国德国日本和我国等许多国家巫经颁布了数字签名法使数字签名在电子商务和电子政务等领域得到了法律的认可推劢了密码学研究和应用的収展
可以对用该密钥加密的任何新的消息进行解密。
④ 选择密文攻击(Chosen—ciphenext attack)
选择密文攻击是指密码分析者可以选择一些密文,并得到相应的明文
1.3.3 对密码系统的攻击
密码分析者破译或攻击密码的方法主要有穷举攻击法、统计分析法和数学分 析攻击法。
(1)穷举攻击法
穷举攻击法又称为强力或蛮力(Brute force)攻击。这种攻击方法是 对截获到的密文尝试遍历所有可能的密钥,直到获得了一种从密文到明文的 可理解的转换;或使用不变的密钥对所有可能的明文加密直到得到与截获到 的密文一致为止。
1.3.1密码学的主要任务(续)
③ 鉴别
这是一种与数据来源和身份鉴别有关的安全服务。鉴别服务包括对身份 的鉴别和对数据源的鉴别。对于一次通信,必须确信通信的对端是预期的实 体,这就涉及到身份的鉴别。
《密码学基础》课件第3章
(2) 无错误传播性。密文字符在传输过程中被修改(未被删 除)并不影响其他密文字符的解密。
(3) 主动攻击。一个主动攻击者对密文字符进行的插入、 删除或重放操作都会立即破坏系统的同步性,从而可能被解密 器检测出来。同时,主动攻击者可能会有选择地对密文字符进 行改动,并准确地知道这些改动对明文的影响。所以必须采用 其他的附加技术保证被加密数据的完整性。
3.1 序列密码的基本原理 3.2 反馈移位寄存器 3.3 基于LFSR的密钥流生成器 3.4 非线性反馈移位寄存器 习题
3.1 序列密码的基本原理
3.1.1 序列密码的设计思想 序列密码每次只对明文中的单个位(有时对字节)进行运算
(加密变换),加密过程所需的密钥流由种子密钥通过密钥流生 成器产生。随着数字电子技术的发展,密钥流可以方便地利用 以移位寄存器为基础的电路来产生,这促使线性和非线性移位 寄存器理论迅速发展,加上有效的数学工具,从而使得序列密 码理论迅速发展。序列密码的主要原理是通过随机数发生器产 生性能优良的伪随机序列(密钥流),使用该序列加密信息流(逐 比特加密),得到密文序列。由于每一个明文都对应一个随机的 加密密钥,因此序列密码在理论上属于无条件安全的密码体制。 序列密码的基本加密过程如图3-1所示。
n121 )
2 n
(n02
n12 ) 1
当n≥21时,该统计量近似服从自由度为2的χ2分布。
(3-6)
(3) 扑克测试。令m是一个满足[n/m]≥5×2m的正整数, 且令k=[n/m]。将序列s分成k个互不相交的部分,每个部分 的长度为m,令ni为第i种长度为m的序列出现的次数,1≤i≤2m。 该测试的目的是确定每个长度为m的序列在s中出现的次数是否
图3-3
i1 F ( i , ci , ci1 ,, cin1, k)
《网络安全课件-密码学基础》
如何实现
数字签名实现的关键在于公钥加 密和散列函数。数字签名的验证 过程可以用来验证数字文档的完 整性和身份,确1 密码学的应用广泛
密码学技术应用广泛,可 以保证数字文档在传输过 程中的安全性。
2 加密方法多样
对称加密、公钥加密、散 列函数等密码学技术可以 根据实际需要进行选择。
对称加密实现简单,在计算机网 络传输大量信息时,非常常用。
公钥加密
1
定义
公钥加密是一种加密方式,它使用一对
历史
2
密钥进行加密和解密。其中一个是公钥, 公开给任何人,另一个是私钥,只有持
公钥加密技术的发明者为Rivest,Shamir
有者知道。
和Adleman,因此这种技术也被称为RSA
加密。
3
应用场景
历史
最早的散列函数是由Ralph Merkle设计的。随着时间的 推移,越来越多的加密哈希 函数问世,例如MD5和SHA1。
大数分解
1
定义
大数分解是一种数学问题,它要求从两
应用场景
2
个非常大的质数中推导出一个合数。在 密码学中,大数分解是一种重要的求解
大数分解在信息安全领域中非常常见。
问题,通常使用公钥密码中的RSA算法。
应用
密码学广泛应用于互联网、 电子商务、智能卡和传统金 融等领域中,以保护重要数 据的安全,确保信息传输的 可靠性和保密性。
对称加密
定义
对称加密是一种加密方式,使用 相同的密钥进行加密和解密。
历史
对称加密技术的历史可以追溯到 二战时期,当时纳粹党用「恩尼 格玛」密码机对敏感信息进行加 密。
应用场景
《网络安全课件——密码 学基础》
在今天的数字时代,随着网络的普及和信息的共享,安全问题逐渐显露出来, 密码学日益受到重视。
第三章密码学基础 tostudent课件
有限状态自动机可用有向图表
示,称为转移图。
转移图的顶点对应于自动机的
状态,若状态si在输入A(1)i时转为状态sj, 且输出一字符A(2)j,则在转移图中,从 状态si到状态sj有一条标有(A(1)i, A(2)j)的 弧线
图 有限状态自动机的转移图
若输入序列为A(1)1 A(1)2 A(1)1 A(1)3 A(1)3 A(1)1, 初始状态为s1, 则得到状态序列
s1s2s2s3s2s1s2 输出字符序列
A(2)1 A(2)1 A(2)2 A(2)1 A(2)3 A(2)1
密钥流产生器
密钥流产生器: 参数为k的有限状态自动机,
一个输出符号集Z、一个状态集∑、两个函 数φ和ψ以及一个初始状态σ0组成。
状态转移函数φ:σi→σi+1,将当前状态σi变为 一个新状态σi+1,
有时直接可破! (如密文字母全相同) 目前也有现成的破译方法. 换位密码优缺点总结: 位置变但形态不变. 代替密码优缺点总结: 形态变但位置不变.
3.5 序列密码和分组密码
3.5.1 序列密码
序列密码是一种专业的密码,又称密码(也称为一次性密码 本)。序列密码作用在明文和密文数据流的1bit或1byte上, 有时甚至是一个32bit的字。序列密码的主要原理是,通 过有限状态机产生性能优良的伪随机序列,使用该序列加 密信息流,(逐比特加密)得到密文序列,所以,序列密 码算法的安全强度完全取决于它所产生的伪随机序列的好 坏。
密钥流),则加法流密码就退化成一次
一密密码。
实际使用中,密码设计者的最
大愿望是设计出一个滚动密钥生成器,
使得密钥经其扩展成的密钥流序列具有
如下性质:极大的周期、良好的统计特
《密码学基础》课件第2章
密。64位的分组明文序列作为加密算法的输入,经过16轮加密 得到64位的密文序列。加密密钥的长度为56位(注:密钥通常 表示为64位的数,但每个第8位都用作奇偶校验位,可以忽略), 密钥可以是任意的56位的数,其中极少量的56位数被认为是弱 密钥。为了保证加密的安全性,在加密过程中应该尽量避开使 用这些弱密钥。
分组密码的加密过程是对一个分组长度为n位的明文分组 进行加密操作,相应地产生一个n位的密文分组,由此可见, 不同的n位明文分组共有2n个。考虑到加密算法的可逆性(即保 证解密过程的可行性),每一个不同的n位明文分组都应该产生 一个惟一的密文分组,加密过程对应的变换被称为可逆变换或 非奇异变换。所以,分组密码算法从本质上来说是定义了一种 从分组的明文到相应的密文的可逆变换。
图2-2 DES加密流程图
在每一轮加密过程中,函数f的运算包括以下四个部分: 首先进行密钥序列移位,从移位后的56位密钥序列中选出48位 (该部分采用一个压缩置换实现);其次通过一个扩展置换将输 入序列32位的右半部分扩展成48位后与48位的轮密钥进行异或 运算;第三部分通过8个S-盒将异或运算后获得的48位序列替 代成一个32位的序列;最后对32位的序列应用P—盒进行置换 变换得到f的32位输出序列。
1977年1月15日,正式批准DES为无密级应用的加密标准 (FIPS—46)。
以后每隔5年美国国家安全局对其安全性进行一次评估, 以便确定是否继续使用它作为加密标准。在1994年1月的评估 后决定1998年12月以后不再将DES作为加密标准。
2.2.1 DES的描述 DES是一个分组加密算法,它以64位为分组对数据进行加
(3) 循环次数:循环越多安全性越高,相应的加密效率也 就越低。
(4) 子密钥产生算法:在初始密钥给定的情况下,产生子 密钥的算法越复杂,加密算法的安全性越高。
分组密码的加密过程是对一个分组长度为n位的明文分组 进行加密操作,相应地产生一个n位的密文分组,由此可见, 不同的n位明文分组共有2n个。考虑到加密算法的可逆性(即保 证解密过程的可行性),每一个不同的n位明文分组都应该产生 一个惟一的密文分组,加密过程对应的变换被称为可逆变换或 非奇异变换。所以,分组密码算法从本质上来说是定义了一种 从分组的明文到相应的密文的可逆变换。
图2-2 DES加密流程图
在每一轮加密过程中,函数f的运算包括以下四个部分: 首先进行密钥序列移位,从移位后的56位密钥序列中选出48位 (该部分采用一个压缩置换实现);其次通过一个扩展置换将输 入序列32位的右半部分扩展成48位后与48位的轮密钥进行异或 运算;第三部分通过8个S-盒将异或运算后获得的48位序列替 代成一个32位的序列;最后对32位的序列应用P—盒进行置换 变换得到f的32位输出序列。
1977年1月15日,正式批准DES为无密级应用的加密标准 (FIPS—46)。
以后每隔5年美国国家安全局对其安全性进行一次评估, 以便确定是否继续使用它作为加密标准。在1994年1月的评估 后决定1998年12月以后不再将DES作为加密标准。
2.2.1 DES的描述 DES是一个分组加密算法,它以64位为分组对数据进行加
(3) 循环次数:循环越多安全性越高,相应的加密效率也 就越低。
(4) 子密钥产生算法:在初始密钥给定的情况下,产生子 密钥的算法越复杂,加密算法的安全性越高。
第2章 密码学基础(信息安全)
2011-5-4
第2Байду номын сангаас 密码学基础
5
2.4.1 概述
量子密码利用信息载体的物理属性实现。 量子密码利用信息载体的物理属性实现。 利用信息载体的物理属性实现 用于承载信息的载体包括光子 、 用于承载信息的载体包括 光子、 压缩态光信号 光子 相干态光信号等 、相干态光信号等。 当前量子密码实验中, 当前量子密码实验中,大多采用光子作为信息的 载体。 载体。利用光子的偏振进行编码
2011-5-4
第2章 密码学基础
23
2. BB84协议具体工作过程 协议具体工作过程
第一阶段: 量子信道上的通信, 第一阶段 : 量子信道上的通信 , Alice在量子信道 在量子信道 上发送信息给Bob,量子信道一般是光纤 , 也可 上发送信息给 , 量子信道一般是光纤, 以是自由空间,比如利用空气传输, 以是自由空间,比如利用空气传输,具体操作步 骤如下: 骤如下: ⑴ 在发送端放置偏振方向分别为水平方向、 与水 发送端放置偏振方向分别为水平方向 放置偏振方向分别为水平方向、 平成45°度夹角、与水平成90 夹角、 90° 平成 °度夹角、与水平成90°夹角、与水平成 135°夹角的四个偏振仪 四个偏振仪。 135°夹角的四个偏振仪。
2011-5-4
第2章 密码学基础
16
2.4.4 量子密钥分配协议BB84 量子密钥分配协议
1. 物理学原理 2. BB84协议具体工作过程 协议具体工作过程 3. BB84协议举例 BB84协议举例
2011-5-4
第2章 密码学基础
17
1. 物理学原理
根据物理学现象,光子有四个不同的偏振方向, 根据物理学现象, 光子有四个不同的偏振方向, 分别是: 分别是: 水平方向 垂直方向 与水平成45° 与水平成 °夹角 < 与水平成135°夹角 与水平成135°夹角 135 , >构成一组基,称为线偏振 构成一组基, 构成一组基 称为线偏振
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18
古典密码
仿射密码 加密函数取形式为 y=e(x)=ax+b (mod 26), a,b,x,y∈Z/(26), 要求唯一解的充要条件是gcd( a,26)=1 加密函数取形式为: x =dk(y)=a-1(y-b)(mod 26)
可能的密钥是26*12=311个
19
二、分组密码
20
密码的设计原则
•信息需要共享... •信息需要使用... •信息需要交换... •信息需要传输...
4
为什么需要密码
信息的存储: 在公开的地方 信息的交换: 使用非隐秘介质 信息的传输: 通过不安全信道
5
基本概念
密码学(Cryptology): 是研究信息系统 安全保密的科学. 密码编码学(Cryptography): 主要研究 对信息进行编码,实现对信息的隐蔽. 密码分析学(Cryptanalytics):主要研究 加密消的特点分类: 对称密码算法(symmetric cipher):又称传统密 码算法(conventional cipher),就是加密密钥和 解密密钥相同,或实质上等同,即从一个易于 推出另一个。又称秘密密钥算法或单密钥算 法。 非对称密钥算法(asymmetric cipher): 加密密钥 和解密密钥不相同。如果从一个很难推出另一 个。又称公开密钥算法(public-key cipher) 。 公开密钥算法用一个密钥进行加密, 而用另一 个进行解密.其中的加密密钥可以公开,又称公 开密钥(public key),简称公钥.解密密钥必须
明文和密文在0~n-1之间,n是一个正整数
应用最广泛的公钥密码算法 只在美国申请专利,且已于2000年9月到期
43
RSA算法描述
分组大小为k, 2k < n ≤ 2k+1 加密: C = Me mod n 解密: M = Cd mod n = Med mod n 公钥: KP={e,n}, 私钥: KS={d,n} 上述算法需要满足以下条件:
30
分组密码的分析方法
根据攻击者所掌握的信息,可将分组密码的攻击分为以 下几类: – 唯密文攻击 – 已知明文攻击 – 选择明文攻击 • 攻击的复杂度 – 数据复杂度:实施该攻击所需输入的数据量 – 处理复杂度:处理这些数据所需要的计算量
31
三、公钥密码
32
基本思想
加密与解密由不同的密钥完成 (KP,KS) 加密: X Y: Y = EKP(X) 解密: Y X: X = DKS(Y) = DKS(EKP(X)) 从解密密钥得到加密密钥在计算上是不可行的
23
分组密码的操作模式
电子密码本ECB (electronic codebook mode) 密码分组链接CBC (cipher block chaining) 密码反馈CFB (cipher feedback) 输出反馈OFB (output feedback)
24
电子密码本(ECB)
Ci = EK(Pi) ⇔ Pi = DK(Ci)
能够找到e,d,n,使得Med mod n = M, 对所有M<n 计算Me和Cd相对容易 从e和n得到d是在计算上不可行的
44
公钥密码与私钥密码
公钥密码由于速度慢,直接用于加密效率低 当单向通信的时候,可以采用公钥和私钥结合 的办法。如设B的公开密钥为Pb,A要向B发送 消息m。则A可以用私钥k加密m,再用Pb加密 k,同时把E(k,m)和E(Pb,k)发给B. 当双向通信时,A、B可以利用公钥协商一个 私钥密码的密钥。
密码学基础
李德全
Dequanli@, Lidequan@
中科院, 软件所 信息安全国家重点实验室
(2005.08.19于清华大学信息楼FIT1-101会议室)
1
主要内容
一、密码简介 二、分组密码 三、公钥密码 四、消息认证
2
一、密码简介
3
信息为什么不安全
35
如何设计一个公钥算法
公钥和私钥必须相关,而且从公钥到私钥 不可推断
必须要找到一个难题,从一个方向走是容易 的,从另一个方向走是困难的 如何把这个难题跟加解密结合起来
计算可行和不可行的界
36
公钥密码学的研究情况
与计算复杂性理论密切相关 计算复杂性理论可以提供指导
但是需求不尽相同
• 计算复杂性通常针对一个孤立的问题进行研究 • 而公钥密码学往往需要考虑一些相关的问题 比如,密码分析还需要考虑已知明文、选择明文等相关 的情形
33
公钥密码学的历史
76年Diffie和Hellman发表了“密码学的新方 向”,奠定了公钥密码学的基础 公钥技术是二十世纪最伟大的思想之一
改变了密钥分发的方式 可以广泛用于数字签名和身份认证服务
78年,RSA算法 PKI
34
公钥算法的条件
公钥算法的条件:
产生一对密钥是计算可行的 已知公钥和明文,产生密文是计算可行的 接收方利用私钥来解密密文是计算可行的 对于攻击者,利用公钥来推断私钥是计算不可行的 已知公钥和密文,恢复明文是计算不可行的 (可选)加密和解密的顺序可交换
6
基本术语
消息被称为明文(Plaintext)。用某种方法伪装消息 以隐藏它的内容的过程称为加密(Encrtption),被 加密的消息称为密文(Ciphertext),而把密文转变 为明文的过程称为解密(Decryption)。 密码算法(Cryptography Algorithm):是用于加密和 解密的数学函数。 密钥(key),加密或解密所需要的除密码算法之外 的关键信息. 密码员对明文进行加密操作时所采用的一组规则称 作加密算法(Encryption Algorithm). 所传送消息的预定对象称为接收者(Receiver). 接收者对密文解密所采用的一组规则称为解密算法 (Decryption Algorithm).
15
古典密码
•
单表替换密码的破译
•
通过字母的使用频率破译
16
古典密码
移位密码 移12位:
移3位,即Caesar密码
17
古典密码
移位密码分析 给定加密的消息: PHHW PH DIWHU WKH WRJD SDUWB 如果移1位得:QIIX QI…. 如果移2位得:RJJY RJ…. … 如果移23位得: meet me after the toga party 可能尝试的密钥只有26个, 而事实上,还有一个 是不变,因此,最多尝试25次即可得到明文!
信息的保密取决于密钥的保密,加密算法 可以公开——
一切秘密寓于密钥之中
(Kerckhoff假设)
21
分组密码设计要求
Diffusion(扩散) 密文没有统计特征,明文一位影响密文 的多位,密钥的一位也影响密文的多位 Confusion(混淆) 明文与密文、密钥与密文的依赖关系充 分复杂 结构简单、易于分析
7
加密与解密
密钥 密文 明文 加密算法 明文 解密算法 密钥
加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称 为加密密钥(Encryption Key) 和解密密钥(Decryption Key).
8
加密通信模型
攻击者 x y x
发方 k 密钥源
加密机
解密机
收方
安全信道
密码学的目的:发方和收方两个人在不安全的 信道上进行通信,而敌方(攻击者)不能理解 他们通信的内容。
• •
27
密文反馈CFB模式
• CFB:分组密码 流密码 Si 为移位寄存器,j为流单元宽度 加密: Ci =Pi⊕(EK(Si)的高j位) Si+1=(Si<<j)|Ci 解密: Pi=Ci⊕(EK(Si)的高j位) Si+1=(Si<<j)|Ci
28
密文反馈CFB
29
输出反馈模式(OFB)
做法:
选择一个整数 m > ∑ai (i = 1,…,n) 然后选择一个与m互素的整数w,然后 ai’ = wai (mod m) (i = 1,…,n) 这里的ai’是伪随机分布的 这样得到的背包是非超递增背包
40
基于背包问题的公钥密码系统 ——MH公钥算法
加密
将明文分为长度为n的块X=(x1,…,xn) 然后用公钥A’ = (a1’, …, an’),将明文变为密文 S S = E(X) = ∑ai’xi
解密
先计算S’ = w-1S mod m 再求解简单背包问题
S’ = ∑aixi
41
背包密码系统的意义
是第一个公钥密码系统 有较好的理论价值 在实践过程中,大多数的背包方案都已 被破解,或者证明存在缺陷
42
RSA算法
1977年由Ron Rivest、Adi Shamir和Len Adleman发明,1978年公布 是一种分组加密算法。
9
密码体制
密码体制:它是一个五元组(P,C,K,E,D)满足条 件: (1)P是可能明文的有限集;(明文空间) (2)C是可能密文的有限集;(密文空间) (3)K是一切可能密钥构成的有限集;(密钥空 间) ek : P → C dk ∈D ek ∈E dk : C K,有一个加密算法 *(4)任意k∈→P 和相应的 解密算法 ,使得 和 分别为加密解密函数,满足dk(ek(x))=x, 这里 x ∈P。 10
11
对称密钥密码又可分为
分组密码(也称块密码) 每次对一块数据加密 多数网络加密应用 DES,IDEA,RC6,Rijndael 流密码(序列密码) 每次对一位或一字节加密
12
密码学的起源和发展
三个阶段: • 1949年之前 密码学是一门艺术 • 1949~1975年 密码学成为科学 • 1976年以后 密码学的新方向——公钥密码学
讨论的情形不同
• 计算复杂性考虑最坏的情形 • 而对于公钥密码学则是不够的
古典密码
仿射密码 加密函数取形式为 y=e(x)=ax+b (mod 26), a,b,x,y∈Z/(26), 要求唯一解的充要条件是gcd( a,26)=1 加密函数取形式为: x =dk(y)=a-1(y-b)(mod 26)
可能的密钥是26*12=311个
19
二、分组密码
20
密码的设计原则
•信息需要共享... •信息需要使用... •信息需要交换... •信息需要传输...
4
为什么需要密码
信息的存储: 在公开的地方 信息的交换: 使用非隐秘介质 信息的传输: 通过不安全信道
5
基本概念
密码学(Cryptology): 是研究信息系统 安全保密的科学. 密码编码学(Cryptography): 主要研究 对信息进行编码,实现对信息的隐蔽. 密码分析学(Cryptanalytics):主要研究 加密消的特点分类: 对称密码算法(symmetric cipher):又称传统密 码算法(conventional cipher),就是加密密钥和 解密密钥相同,或实质上等同,即从一个易于 推出另一个。又称秘密密钥算法或单密钥算 法。 非对称密钥算法(asymmetric cipher): 加密密钥 和解密密钥不相同。如果从一个很难推出另一 个。又称公开密钥算法(public-key cipher) 。 公开密钥算法用一个密钥进行加密, 而用另一 个进行解密.其中的加密密钥可以公开,又称公 开密钥(public key),简称公钥.解密密钥必须
明文和密文在0~n-1之间,n是一个正整数
应用最广泛的公钥密码算法 只在美国申请专利,且已于2000年9月到期
43
RSA算法描述
分组大小为k, 2k < n ≤ 2k+1 加密: C = Me mod n 解密: M = Cd mod n = Med mod n 公钥: KP={e,n}, 私钥: KS={d,n} 上述算法需要满足以下条件:
30
分组密码的分析方法
根据攻击者所掌握的信息,可将分组密码的攻击分为以 下几类: – 唯密文攻击 – 已知明文攻击 – 选择明文攻击 • 攻击的复杂度 – 数据复杂度:实施该攻击所需输入的数据量 – 处理复杂度:处理这些数据所需要的计算量
31
三、公钥密码
32
基本思想
加密与解密由不同的密钥完成 (KP,KS) 加密: X Y: Y = EKP(X) 解密: Y X: X = DKS(Y) = DKS(EKP(X)) 从解密密钥得到加密密钥在计算上是不可行的
23
分组密码的操作模式
电子密码本ECB (electronic codebook mode) 密码分组链接CBC (cipher block chaining) 密码反馈CFB (cipher feedback) 输出反馈OFB (output feedback)
24
电子密码本(ECB)
Ci = EK(Pi) ⇔ Pi = DK(Ci)
能够找到e,d,n,使得Med mod n = M, 对所有M<n 计算Me和Cd相对容易 从e和n得到d是在计算上不可行的
44
公钥密码与私钥密码
公钥密码由于速度慢,直接用于加密效率低 当单向通信的时候,可以采用公钥和私钥结合 的办法。如设B的公开密钥为Pb,A要向B发送 消息m。则A可以用私钥k加密m,再用Pb加密 k,同时把E(k,m)和E(Pb,k)发给B. 当双向通信时,A、B可以利用公钥协商一个 私钥密码的密钥。
密码学基础
李德全
Dequanli@, Lidequan@
中科院, 软件所 信息安全国家重点实验室
(2005.08.19于清华大学信息楼FIT1-101会议室)
1
主要内容
一、密码简介 二、分组密码 三、公钥密码 四、消息认证
2
一、密码简介
3
信息为什么不安全
35
如何设计一个公钥算法
公钥和私钥必须相关,而且从公钥到私钥 不可推断
必须要找到一个难题,从一个方向走是容易 的,从另一个方向走是困难的 如何把这个难题跟加解密结合起来
计算可行和不可行的界
36
公钥密码学的研究情况
与计算复杂性理论密切相关 计算复杂性理论可以提供指导
但是需求不尽相同
• 计算复杂性通常针对一个孤立的问题进行研究 • 而公钥密码学往往需要考虑一些相关的问题 比如,密码分析还需要考虑已知明文、选择明文等相关 的情形
33
公钥密码学的历史
76年Diffie和Hellman发表了“密码学的新方 向”,奠定了公钥密码学的基础 公钥技术是二十世纪最伟大的思想之一
改变了密钥分发的方式 可以广泛用于数字签名和身份认证服务
78年,RSA算法 PKI
34
公钥算法的条件
公钥算法的条件:
产生一对密钥是计算可行的 已知公钥和明文,产生密文是计算可行的 接收方利用私钥来解密密文是计算可行的 对于攻击者,利用公钥来推断私钥是计算不可行的 已知公钥和密文,恢复明文是计算不可行的 (可选)加密和解密的顺序可交换
6
基本术语
消息被称为明文(Plaintext)。用某种方法伪装消息 以隐藏它的内容的过程称为加密(Encrtption),被 加密的消息称为密文(Ciphertext),而把密文转变 为明文的过程称为解密(Decryption)。 密码算法(Cryptography Algorithm):是用于加密和 解密的数学函数。 密钥(key),加密或解密所需要的除密码算法之外 的关键信息. 密码员对明文进行加密操作时所采用的一组规则称 作加密算法(Encryption Algorithm). 所传送消息的预定对象称为接收者(Receiver). 接收者对密文解密所采用的一组规则称为解密算法 (Decryption Algorithm).
15
古典密码
•
单表替换密码的破译
•
通过字母的使用频率破译
16
古典密码
移位密码 移12位:
移3位,即Caesar密码
17
古典密码
移位密码分析 给定加密的消息: PHHW PH DIWHU WKH WRJD SDUWB 如果移1位得:QIIX QI…. 如果移2位得:RJJY RJ…. … 如果移23位得: meet me after the toga party 可能尝试的密钥只有26个, 而事实上,还有一个 是不变,因此,最多尝试25次即可得到明文!
信息的保密取决于密钥的保密,加密算法 可以公开——
一切秘密寓于密钥之中
(Kerckhoff假设)
21
分组密码设计要求
Diffusion(扩散) 密文没有统计特征,明文一位影响密文 的多位,密钥的一位也影响密文的多位 Confusion(混淆) 明文与密文、密钥与密文的依赖关系充 分复杂 结构简单、易于分析
7
加密与解密
密钥 密文 明文 加密算法 明文 解密算法 密钥
加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称 为加密密钥(Encryption Key) 和解密密钥(Decryption Key).
8
加密通信模型
攻击者 x y x
发方 k 密钥源
加密机
解密机
收方
安全信道
密码学的目的:发方和收方两个人在不安全的 信道上进行通信,而敌方(攻击者)不能理解 他们通信的内容。
• •
27
密文反馈CFB模式
• CFB:分组密码 流密码 Si 为移位寄存器,j为流单元宽度 加密: Ci =Pi⊕(EK(Si)的高j位) Si+1=(Si<<j)|Ci 解密: Pi=Ci⊕(EK(Si)的高j位) Si+1=(Si<<j)|Ci
28
密文反馈CFB
29
输出反馈模式(OFB)
做法:
选择一个整数 m > ∑ai (i = 1,…,n) 然后选择一个与m互素的整数w,然后 ai’ = wai (mod m) (i = 1,…,n) 这里的ai’是伪随机分布的 这样得到的背包是非超递增背包
40
基于背包问题的公钥密码系统 ——MH公钥算法
加密
将明文分为长度为n的块X=(x1,…,xn) 然后用公钥A’ = (a1’, …, an’),将明文变为密文 S S = E(X) = ∑ai’xi
解密
先计算S’ = w-1S mod m 再求解简单背包问题
S’ = ∑aixi
41
背包密码系统的意义
是第一个公钥密码系统 有较好的理论价值 在实践过程中,大多数的背包方案都已 被破解,或者证明存在缺陷
42
RSA算法
1977年由Ron Rivest、Adi Shamir和Len Adleman发明,1978年公布 是一种分组加密算法。
9
密码体制
密码体制:它是一个五元组(P,C,K,E,D)满足条 件: (1)P是可能明文的有限集;(明文空间) (2)C是可能密文的有限集;(密文空间) (3)K是一切可能密钥构成的有限集;(密钥空 间) ek : P → C dk ∈D ek ∈E dk : C K,有一个加密算法 *(4)任意k∈→P 和相应的 解密算法 ,使得 和 分别为加密解密函数,满足dk(ek(x))=x, 这里 x ∈P。 10
11
对称密钥密码又可分为
分组密码(也称块密码) 每次对一块数据加密 多数网络加密应用 DES,IDEA,RC6,Rijndael 流密码(序列密码) 每次对一位或一字节加密
12
密码学的起源和发展
三个阶段: • 1949年之前 密码学是一门艺术 • 1949~1975年 密码学成为科学 • 1976年以后 密码学的新方向——公钥密码学
讨论的情形不同
• 计算复杂性考虑最坏的情形 • 而对于公钥密码学则是不够的