密码学拓展报告

1、申旳夫罟CENTRAL SOUTH UNIVERSITY密码学课外拓展报告课题:密码学算法最新进老师：学号：班级：201720序言信息安全服务依靠安全机制来完成，而安全机制主要依赖于 密码技术，因此，密码技术是信息安全的核心。而密码算法 （Cryptography Algorithm，用于加密和解密的数学函数）又是 密码的核心，所以，密码算法是保障信息安全的核心之核心，其重 要性不言而喻。为此，世界各国对密码算法的研制都高度重 视,1977年美国NIST提出数据加密标准（DES），岀于政治原因和 技术原因，多种密码算法在世界各国相继岀现，这些算法有:RIJ INDAEL、MARS、 RC6、T

2、wofish、Serpent、IDEA、 CS2Cipher 、MMB、CA21. 1 、SKIPJACK、Karn 等对称密 码算法以及背包公钥密码算法、RSA、EIGamal .椭圆曲线密 码算法（ECC）、NTRU等非对称密码算法。此次拓展主要对RSA 算法和DES、AES算法发展现状进行。RSA算法RSA算法简述：RSA算法是由三位数学家Rivestx Shamir和Adlemon在 1978年根据Whitfield和Martin Hellman的理论框架设计出的 种非对称加密算法。RSA是被研究得最广泛的公钥算法，是第 一个能同时用于加密和数字签名的算法，也易于理解和操作。它 的理论

3、基础为大数分解、素数检测和Euler定理。从提出到现在 已三十年，经历了各种攻击的考验，逐渐为人们接受，普遍认为 是目前最优秀的公钥方案之一RSA算法利用了陷门单向函数的 种可逆模指数运算。RSA算法应用现状：1用于文件加密RSA表达方式简单、性强、没有密钥管理的麻烦，并且具有 数字签名、认证和鉴别等功能，特别适合于现代通信的需要。 用RSA可以加密一些重要文件，如在一台物理存为512MB的 PC上测试实现的系统，以560bit的n逐字节加密一个1KB大 小的文件需要55秒。通常记录如银行密码等重要数据的文本文 件大小不足百字节，加密只需要数秒钟。所以对于小型文件，进 行较长密钥的RSA加密是

4、完全可行的。其实从一个简单的角度 来说，既然RSA用于数字签名可行，那就完全可以用于同样大 小的普通文件。对于较大的文件，如果分成与数字签名同样大小 的段（这里假设数字签名较短，不分段一次计算加密完成），分开 的各段逐一进行加密运算，那所需要的时间也只是按文件大小线 性的增长。通常数字签名为几十字节，加密运算并不需要很长的 等待，这就说明对于几百字节或一两K字节大小的文件来说，如 果进行RSA加密，并不会是非常漫长的工作。当然，如果文件 更大，加密就显得十分漫长了。比如按前面叙述的45毫秒大数 运算程序推理，加密1M字节大小的文件需要约1天的时间。所 以，要在普通PC用几百位以上的长密钥RSA

5、加密文件，文件 不能过大，一般可以接受的上限是几KBo如果要在较短时间加 密大文件，需要缩短密钥长度以减小运算量，但是这将带来安全 性隐患。2 用于数字签名算法3.2 RSA数字签名算法实现步骤3.2.1签名算法包括两步：消息損要计算，RSAUJ密）1）消息摘雯MD的讣算：消息在签名前首先通过MD5计列，牛成128位的消息摘要；MD5函数是一种单向散列函数. 它将住总长度的消息丘缩成128乜的消息摘要，应用MD5的单向性（即给定歆列值，计算消息很难）和抗饨用性（即给定 消息M,耍找到另消息M并满足两者的般列值很难）,町以实现信思的完整性检验。另外该函数的i殳计不基于任何假设 和密码体制而直接构

6、造，执行的速度快，是一种被广泛认可的单向妆列算法。2）对MDfRSA加密算法：采用签名者的私钥加密消息摘要，得到加密后的字符串即数字签名；3.2.2验证箜名算法（RSA解密、对消息摘婆计算利比较） 验证签名算法包括两步：RSA解喀得签名者的消息摘 耍，验证者对原消息计算摘要,比较两个消息捕要。验证签名的过程输入为消息,签名者的公钥，签名:输岀为验证的结 果，即是否是正确的签名。1）RSA解密：签名实际是加密的消息摘要.用以上所述的RSA解密方法采用签名者的公钥对这个加密的消息摘要解 密，解密的结果应为128位的消息摘要；2）消息摘耍il僚和比较:验证者对消息片MD5算法重新计算.得到验证者自（

7、2的消息摘耍。验证者比较解密得到的 消息摘要和自己的消息摘要,如果两者相同,则验证成功,可以确认消息的完整性及签名确实为签名者的;否则，验证失 败，确认签名被冒充或是被篡改。基于RSA算法的数字签名在2000年的第六届国际密码学会议上被推荐为公钥密码系统的加密算法中的一种，则RSA数字 签名有较好的发展空间。对于未来的加密、生成和验证数字签名 的工具还需完善，只有用SSL (安全套接层)建立安全连接的 Web浏览器，才会频繁使用数字签名，公司要对其员工在网络 上的行为进行规，就要建立广泛协作机制来支持数字签名，支持 数字签名是Web发展的目标，确保数据性、数据完整性和不可 否认性才能保证在线商

8、业的安全交易。和数字签名有关的复杂 认证能力就像现在操作、应用环境中的口令保护一样直接做进操 作系统环境、应用、远程访问产品、信息系统等中，像Microsoft 支持X.509的Internet Explorer4.0客户机软件及支持对象签名 检查的JAVA虚拟机等。RSA算法存在的缺点：(1) 产生密钥很麻烦，受到素数产生技术的限制，因而难 以做到一次一密。(2) RSA的安全性依赖于大数的因子分解，无法从理论上 把握它的性能如何并没有从理论上证明破译RSA的难度与大数 分解难度等价。(3) 速度太慢，由于RSA的分组长度太大，为保证安全性, n至少也要600bits以上，使运算代价很高，尤

9、其是速度较慢， 较对称密码算法慢几个数量级；且随着大数分解技术的发展，这 个长度还在增加，不利于数据格式的标准化。目前， SET(SecureElectronicTransaction)协议中要求 CA 采用 2048 比特长的密钥，其它实体使用1024比特的密钥。为了速度问题, 目前人们广泛使用私、公钥密码结合使用的方法，优缺点互补: 私钥密码加密速度快，人们用它来加密较长的文件，然后用RSA 来给文件密钥加密，极好地解决了私钥密码的密钥分发问题。不 过个人认为如今计算机的性能水平，加密RSA消耗的时间应该 是可以接受的。个人理解（RSA算法的耐用性）在查阅RSA算法相关资料的过程中，发现有

10、2013年报道称 4096位的RSA算法被侧信道攻击破解。Daniel Genkin, Adi Shamir, Eran Tromer在2013年十二月份的一篇报告中详细解 说了他们是如何通过计算机在执行RSA加密过程过噪声来破解 4096位的RSA算法。然而，时至今日，RSA算法的使用并没有受到太大的影响， 采用指数计算方法虽然能破解RSA算法，目前1024位的RSA 已经被认为不安全了，但是以现在的计算机运算能力，还不足以 破解4096位的RSA算法。素数的排布越大越稀疏，所以在以后 若计算机运算能力大幅增长，增加RSA算法的位数又可保证可 用性。DES和AES算法DES和AES算法对称密

11、码算法最著名的是美国数据加密标准DES、高级加密标准AES和欧洲数据加密标准IDEAoDESDES算法由IBM公司开发,并被美国国家标准局(NIST)于 1977年2月采纳作为“非密级”应用的一个标准,此后,DES成为 全世界使用最广泛的加密标准。它曾经成为世界上最广泛使用的 密码算法。DES算法加密时把明文以64bit为单位分成块，采用 美国国家安全局精心设计的8个S2盒Substitution)和P2置 换(P:Permutation)zgH 16轮迭代，最终产生64比特密文，每 轮迭代使用的48比特子密钥由原始的56比特产生。DES的加 密与解密的密钥和流程完全相同，区别仅仅是加密与解密

12、使用的 子密钥序列的施加顺序正好相反。DES算法在历史上曾发挥重 要作用，但也存在以下问题：(1) DES密钥空间的规模256对实际安全而言太小。(2) DES的密钥存在弱密钥、半弱密钥和互补密钥。(3) DES里的所有计算，除去S盒,全是线性的。S盒的设计对 密码算法的安全性至关重要。然而,美国国家安全局并没有公布S盒的设计原则，因此，有人 怀疑S盒里隐藏了 “陷门(tropdoors)”，如果是这样，美国国家安 全局就能轻易地解密消息。由于DES的密钥空间小，针对DES算 法进行穷举攻击就可以取得成功。在1998年7月,电子前沿基金 会(EFF)使用一台25万美元的电脑在56小时破译了 D

13、ES密钥。 1999年1月RSA数据安全会议期间,EFF通过遍布全世界的10 万台计算机的协同工作，用22小时15分钟就宣告破解了一个DES的密钥。此外，关于DES的攻击还有差分密码分析方法和线 性密码分析方法。为了增强DES算法的安全性，密码设计者又提 出了基于DES的Triple2DESs独立子密钥方法、推广的GDES 算法等。这些改变有些作用不大,有些还削弱了 DES的安全性。 总之QES需要新的有效的加密标准来代替AESNIST于1997年1月开始了遴选DES替代者高级加密标准(AES)的工作。其目的是为了确定一个非的、全球免费使 用的分组密码算法,用于保护下一世纪政府的敏感信息，并希

14、望成 为秘密和公开部门的数据加密标准。AES的确立过程简介如下：(1) 1997年9月12日,NIST在联邦登记处公布了征集AES 候选算法的通告。并对候选者提出以下基本要求：(a) 比Triple2DES快，且至少和Triple2DES 样安全；(b) 应当具有128比特分组长度和128/192/256比特密 钥长度；(c) 具有较大的灵活性。(2) 1998年8月20日,NIST召开了第一次候选大会并公布了 12个国家的15个候选算法。(3) 1999年3月22日,NIST召开了第二次AES候选会议，从 中选出 5 个候选算法:MARS(IBM)、RC6(MIT)、Serpent(英、以、

15、 美)、Twofish(美)和 Rijndael(比利时)。(4)2000 年 10 月 2 日,NIST宣布比利时的密码学家JoQndoemenVincentRijmen 设计的Rijndael算法”最终获胜。Rijndael之所为能当选AES, 主要是因为：(1) 运算速度快。在无论有无反馈模式的计算环境下的软硬 件.Rijndael都表现出非常好的性能。(2) 对存的需求非常低，使它很适合用于受限制的环境。(3) 算法可靠。使用非线性结构的S2盒,表现岀有足够的安全 余地。Rijndael算法的设计策略是宽轨迹策略 (WideTrailStrategy),这种策略能有效抵抗差分分析和线性

16、分析 攻击。(5) Rijndael是一个分组迭代密码，被设计成128/192/256比 特三种密钥长度，可用于加密长度为128/192/256比特的分组, 相应的轮数为10/12/14分组长度和密钥长度设计灵活。(6) 密钥安装的时间很好，也具有很高的灵活性。(7) 操作简单，并可抵御时间和能量攻击，此外，它还有许多未 被特别强调的防御性能。由上可见Rijndael汇聚了安全性能、 效率、可实现性和灵活性等优点,Rijndael的当选是众望所归。 密码学发展预测随着破译方法、硬件技术的发展，导致AES、ECC岀现。技 术和方法总是不停向前推进，因此，密码算法、应用及标准化工作 也应不断地发展。下面从密码算法本身、基于密码算法的应用技 术和密码算法的标准化工作三个方面进行分析和预测。(1) 密码算法本身量子密码、神经网络密码、混沌密码、基因密码等新型密码的研究和应用，表明了密码学具有强劲的生命力和广阔的应用前o(2) 应用角度密码学不仅仅是编码与破译的学问，而且包括安全管理、安 全协议设计、秘密共享、散列函数等容。到目前为止，密码学中 出现了大量的新技术和新概念，例如门限密码技术、零知识证明技术、盲签