第2章 密码学概论

2018/10/4
计算机系统安全原理与技术（第3版）
5
2.1 概述

发展


第二阶段是计算机密码学阶段，包括： ①传统方法的计算机密码学阶段。解密是加密的简 单逆过程，两者所用的密钥是可以简单地互相推导 的，因此无论加密密钥还是解密密钥都必须严格保 密。这种方案用于集中式系统是行之有效的。 ②包括两个方向：一个方向是公钥密码（RSA）， 另一个方向是传统方法的计算机密码体制——数据 加密标准（DES、AES）。
计算机系统安全原理与技术（第3版）
25
2018/10/4
2.3 对称密码体制

2.3.1 常见的对称密码算法
1 数据加密标准DES

由于DES设计时间较早，且采用的56位密钥较短， 因此目前已经发掘出一系列用于破解DES加密的软 件和硬件系统。DES不应再被视为一种安全的加密 措施。现代的计算机系统可以在少于1天的时间内 通过暴力破解56位的DES密钥。如果采用其他密码 分析手段可能时间会进一步缩短。而且，由于美国 国家安全局在设计算法时有行政介入的问题发生， 很多人怀疑DES算法中存在后门。
计算机系统安全原理与技术（第3版）
22
2018/10/4
2.3 对称密码体制

Байду номын сангаас

根据密码算法对明文信息的加密方式，对称密 码体制常分为两类： 另一类为序列密码(Stream cipher，也叫流密 码)

序列密码一次加密一个字符或一个位。 序列密码将M划分为一系列的字符或位m1, m2, …, mn，并且对于这每一个mi用密钥序列Ke=(Ke1, Ke2, …, Ken)的第i个分量Kei来加密，即C=(C1, C2, …, Cn)，其中Ci=E(mi，Kei)，i=1,2,…, n。

19
RSA算法的密钥选择(续)
（2）选择一个很大的随机整数d，使得该整数与 (p – 1) * (q – 1)的最大公因子为1 （3）从p，q和d中计算出e，e是以(p – 1) * (q – 1) 为模的d的倒数，即 e * d = 1 (mod (p – 1) * (q – 1)) • 从以上算法过程可以看出，私钥是根据一定规 则选择的，而公钥是计算得出的。
9
公钥密码学原理
• W. Diffie和M. Hellman于1976年首先给出了公 钥密码系统的定义： • 一个公钥密码系统由一对加密算法E和解密算 法D构成，该公钥密码系统采用一个密钥对集 合KS = {(PK, VK)}，对于任何一个KS集合中 的密钥对(PK, VK)与任何一个明文P，存在以 下特性： • （1）采用密钥对(PK, VK)中任何一个密钥对 明文P执行加密算法E，都可以采用另外一个密 钥对密文进行解密。
第2章 密码学导论(3)
公钥密码学概述
关键知识点
• 公钥密码学是为了解决电信网环境下的安全数 据传递而提出的密码方法。 • 公钥密码学可以公开部分密钥。 • 公钥加密算法目前采用计算不可逆原理 • 目前广泛应用的公钥加密算法是RSA算法 • Diffie-Hellman密钥生成算法可以解决在公共电 信网环境下数据加密传递的问题
10
公钥密码学原理(续1)
（2）对于掌握了密钥对(PK, VK)，则加密算法E 和解密算法D都是容易计算的。 （3）如果公开密钥对中的一个密钥，例如PK， 则无法通过计算推导出另外一个密钥，例如 VK。 （4）如果只掌握了密钥对中的一个密钥PK，并 且利用该密钥将明文P加密得到密文C，则无法 再利用该密钥将C进行解密得到明文P。 • 这4个特性较为完整地刻画了公钥密码系统的 特征。

26
主要内容
• • • • • • • 恺撒加密法 传统密码学基本原理 数据加密标准DES算法 三重DES算法 高级加密标准AES算法 RC4算法 加密操作模式
27
传统密码学历史
• 传统密码学起源于古代的密码术。早在古罗马 时代恺撒大帝就采用“替代”方法加密自己发 布的命令，这种“替代”加密方法被称为“恺 撒加密法”。传统密码学的基本原理可以归结 为两条对数据处理的方法：替代和换位。 • 美国国家标准局(NBS)于1977年颁布的数据加 密标准(DES)是目前广泛应用的传统加密方法。 • 美国国家标准与技术学会(NIST)在2001年颁布 的高级加密标准(AES)将是未来取代DES的一 种加密方法。
15
加密系统的安全性(续3)
• 表2.1 典型常数和参数数量级别一览表
典型常数和参数 一年的秒钟数 数量级别 3.15×107
主频为3.0GHz的CPU的一年运转的时钟循环次数
56个比特长度的二进制数个数 64个比特长度的二进制数个数 80个比特长度的二进制数个数 128个比特长度的二进制数个数
9.46×1016
传统密码学概述
沈苏彬 南京邮电大学 信息网络技术研究所
25
关键知识点
• • • • 传统密码学的基本原理是“替代”和“换位” 传统密码学的加密和解密采用同一个密钥 传统密码学的安全性很大程度上决定密钥长度 目前常用的传统密码学算法是DES算法，56比 特的DES算法并不安全。 • 未来拟采用的传统密码学算法是AES算法
30
通用凯撒密码算法
• W. Stallings将凯撒密码算法中的字母表移位数 从3扩展到任意数k < 26, 这样, 就可以得到通用 凯撒密码加密算法: C = E(p) = (p + k) mode 26 • 这样, 通用凯撒密码解密算法就可以表示为: p = D(C) = (C - k) mod 26 • 这里k就是通用凯撒密码的密钥. 由于k只有25 个可能取值, 所以, 在已知加密/解密算法下, 只 要尝试25种密钥, 就可以破译通用凯撒密码.

– K＝k1k2…kd – 第i位密钥ki表示采用k=ki的凯撒替换表 – 密钥重复使用
• 加密算法：Ci = E(pi) = (pi+ki) mod 26
• 解密算法：pi = D(Ci) = (Ci-ki) mod 26
中国科学技术大学 · 密码学导论
29
• 例如： 密钥deceptive
密钥：deceptivedeceptivedeceptive 明文：wearediscoveredsaveyourself 密文：ZICVTWQNGRZGVTWAVZHCQYGLMGJ
– 常见置换技术
– 转轮机 – Enigma
• 穷举攻击、字频统计攻击、Kasiski分析、重合指数、重合互指数
• 第五节 其它相关技术
中国科学技术大学 · 密码学导论
1
第一节 对称密码系统的模型
中国科学技术大学 · 密码学导论
2
经典对称密码体制
密码分析员 信源 明文P 加密器E 密钥K 密钥源
• 解密过程： – 加密过程的逆
E L U
中国科学技术大学 · 密码学导论
F P V
G Q W
A B I/J S X
R D K T Z
25
安全性
• 有26×26＝676个字母对，单个字母的统计规律有改善 • 频率统计表需676个表项，需要更多密文才能有效统计 • 该密码曾在二战期间广泛被美英军方使用
C KP mod 26
中国科学技术大学 · 密码学导论
27
• 解密过程： • 安全性：
P K
1
C mod 26
– 对单字母的频率特性掩盖得很好 – m越大，掩盖的频率信息越多 – 可以抗唯密文攻击 – 易受已知明文攻击！

0 9 3 4
14 9 8 6 0 14 5 3
S5
2 6 8 0 13 3 4 14 7 5 11 12 9 5 6 1 13 14 0 11 3 8 8 12 3 7 0 4 10 1 13 11 6 5 15 10 11 14 1 7 6 0 8 13 0 9 3 4 8 13 3 12 1 10 14 3 7 14 10 15 10 7 9 5 9 5 6 0 7 5 10 12 2 15 8 0 5 15 14 2 6 8 9 3 1 6 2 12
密码编码学
密码编码学是使消息保密的技术和科学。
密码分析学 密码分析学是破译密文的技术和科学。
12/18/2013 11:32:26 PM
5/145
目录>>密码学的内容
密码编码学
密码编码系统通常根据以下三个独立的
方面进行分类：
加密算法的类型
所使用的密钥数量 明文处理的方式
12/18/2013 11:32:26 PM
5 10 11 5 2 15 14 9
S2
3 15 5 1 13 12 7 11 4 2 8 4 6 10 2 8 5 14 12 11 15 1 15 3 0 11 1 2 12 5 10 14 7 9 8 7 4 15 14 3 11 5 2 12 2 7 1 4 8 2 3 5 5 11 12 4 15 12 1 10 14 9 14 5 2 8 4 11 12 7 2 14
33 42 51 60 39 46 53 28 1 23 27 47 44 50
25 34 43 52 31 38 45 20 5 19 20 55 49 36
17 26 35 44 23 30 37 12 3 12 13 30 39 29

明文是原始的信息（Plain text，记为P） 密文是明文经过变换加密后信息（Cipher（塞佛） text，记为C） 加密是从明文变成密文的过程（Enciphering，记为E） 解密是密文还原成明文的过程（Deciphering，记为D） 密钥是控制加密和解密算法操作的数据（Key，记为K）
非对称密钥体制
在非对称加密中，加密密钥与解密密钥不同，此时不需要通 过安全通道来传输密钥，只需要利用本地密钥发生器产生解密密 钥，并以此进行解密操作。由于非对称加密的加密和解密不同， 且能够公开加密密钥，仅需要保密解密密钥，所以不存在密钥管 理问题。非对称加密的另一个优点是可以用于数字签名。但非对 称加密的缺点是算法一般比较复杂，加密和解密的速度较慢。在 实际应用中，一般将对称加密和非对称加密两种方式混合在一起 来使用。即在加密和解密时采用对称加密方式，密钥传送则采用 非对称加密方式。这样既解决了密钥管理的困难，又解决了加密 和解密速度慢的问题。
2.2
密码破译
密码破译是在不知道密钥的情况下，恢复出密文中隐藏 的明文信息。密码破译也是对密码体制的攻击。 密码破译方法
1. 穷举攻击 破译密文最简单的方法，就是尝试所有可能的密码组合。经 过多次密钥尝试，最终会有一个钥匙让破译者得到原文，这个过 程就称为穷举攻击。
逐一尝试解密 密 文
解 密
错误报文
对称密钥体制
对称加密的缺点是密钥需要通过直接复制或网络传输的方式 由发送方传给接收方，同时无论加密还是解密都使用同一个密钥 ，所以密钥的管理和使用很不安全。如果密钥泄露，则此密码系 统便被攻破。另外，通过对称加密方式无法解决消息的确认问题 ，并缺乏自动检测密钥泄露的能力。对称加密的优点是加密和解 密的速度快。
2.3.1 对称加密技术

17
代替密码（1）
• 代替密码（substitution cipher）：明文中的每 个字符被替换成密文中的另一个字符。 – 简单代替，即单字母密码; • 明文中字母的出现频度、重复字母的模式 和字母相互之间的结合模式等统计特性不 变，安全性差。如Caesar密码； – 多码代替密码； • 没有隐藏明文中不同字母的统计特性 ， 安全性有所提高。
15
2.2 经典密码及其破译
• 2.2.1 代替密码 • 2.2.2 置换密码
16
• 【例2．1】简单的加密形式，基于块加密和异或 运算。 • 消息： 00110101010001010011010100101011 10010101 • 消息块：00110101 01000101 00110101 00101011 10010101 • 密钥：01010101 01010101 01010101 01010101 01010101 • 密文：01100000 00010000 01100000 01111110 11000000
• 假定：密码分析者知道对方所使用的密码系统 – 包括明文的统计特性、加密体制（操作方式、 处理方法和加/解密算法 ）、密钥空间及其统 计特性。 – 不知道密钥。 • 在设计一个密码系统时，目标是在Kerckhoffs 假 设的前提下实现安全 。
10
2.1.5 密码分析
• 密码分析 ：从密文推导出明文或密钥 。 • 密码分析常用的方法有以下4类： – 惟密文攻击（cybertext only attack）； – 已知明文攻击（known plaintext attack）； – 选择明文攻击（chosen plaintext attack）； – 选择密文攻击（chosen ciphertext attack）。

码 技
Attack）。
术
选择密文攻击（Chosen-Cipher Text Attack）。
选择密钥攻击（Chosen-Key Attack）。
软磨硬泡攻击（Rubber-Hose Cryptanalysis）。
3．算法的安全性
不同的密码算法具有不同的安全等级。如果破译
算法的代价大于加密数据的价值，破译算法所需的时
第
难，又解决了加解密速度的问题。如图2-3所示。
2
章
密 码 技 术
2.2 网络加密方式
2.2.1 链路加密
第 2
2.2.2 节点加密
章
2.2.3 端－端加密
密 码 技 术
2.2.1 链路加密
链路加密是目前最常用的一种加密方法，通常用 硬件在网络层以下（1、2层）的物理层和数据链路层 中实现，它用于保护通信节点间传输的数据。图2-4表 示了这种加密方式的原理。
钥密码体制或非对称密码体制）。
第
2
所谓单钥密码体制，指的是在加密和解密时，使
章
用的是同一个密钥，或者虽然使用不同的密钥，但是
密 码
能通过加密密钥方便地导出解密密钥。
技
术
单钥密码体制在应用中暴露出越来越多的缺陷。
1．密钥管理的麻烦
2．不能提供法律证据
3．缺乏自动检测保密密钥泄密的能力
为了解决单钥密码体制码体制便应运而生。不
同于以前采用相同加密和解密密钥的对称密码体制，双
钥体制的每个用户都有一对选定的密钥：一个是可以公
开的，以K1表示；另一个则是秘密的，以K2表示。公开
第
的密钥可以像电话号码一样公布，因此称为公钥密码体
2 章
制（Public Key Cryptosystem，PKC）或双钥体制