一次一密与Diffie-Hellman20

1、2022-2-13南京邮电大学信息安全系1第第 章章 一次一密和一次一密和Diffie-Hellman南京邮电大学信息安全系南京邮电大学信息安全系网络信息安全网络信息安全教研组教研组2022-2-13南京邮电大学信息安全系2一次一密密码系统一次一密密码系统 属于流密码体系属于流密码体系 由美国由美国AT&T的的G. W. Vernam发明发明 唯一理论上不可攻破的密码系统唯一理论上不可攻破的密码系统 计算简单，效率高，但密钥管理困难计算简单，效率高，但密钥管理困难 2022-2-13南京邮电大学信息安全系3密码系统的基本要求和设计原则密码系统的基本要求和设计原则基本要求基本要求（1）知

2、道）知道K时，时，C=E（M，K）要容易计算；）要容易计算；（2）知道）知道K时，时，M=D（C，K）要容易计算；）要容易计算；（3）不知道）不知道K时，由时，由C不容易推导出不容易推导出M。设计原则设计原则1）对合法的通信双方来说，加密和解密容易；）对合法的通信双方来说，加密和解密容易；2）对密码分析员来说由密文推导出明文困难；）对密码分析员来说由密文推导出明文困难；3）衡量密码系统的好坏，应以能否被攻破和易于被）衡量密码系统的好坏，应以能否被攻破和易于被攻破为基本标准。攻破为基本标准。2022-2-13南京邮电大学信息安全系4一次一密密码系统的算法一次一密密码系统的算法假定明文是假定明文是

3、 M=（m0，m1，mn-1）用下述算法用下述算法 Ci=EKi（mi）=（mi+Ki）（）（mod 26）0in（1）可以得出密文可以得出密文 C=（C0，C1，Cn-1） 1）密钥）密钥K=（K0，K1，Kn-1）是一个随机序列，是一个随机序列，2）密钥只能使用一次，）密钥只能使用一次，3）密钥长度要等于明文长度，即）密钥长度要等于明文长度，即|K|=|M|。 2022-2-13南京邮电大学信息安全系5一次一密密码系统举例一次一密密码系统举例明文明文 send help即即 M=（18，4，13，3，7，4，11，15），），n=8随机密钥随机密钥 K=（5，13，1，0，7，2，20，1

4、6）由由(1)可得密文可得密文 C=（23，17，14，3，14，6，5，5）即即 C=（X，R，O，D，O，G，F，F）知道知道K，很容易将，很容易将C还原成还原成 M =（s，e，n，d，h，e，l，p）。）。2022-2-13南京邮电大学信息安全系6无法破解出明文的原因分析无法破解出明文的原因分析 不知道不知道K无法破解出明文无法破解出明文M：1）密钥序列）密钥序列26n可能是个天文数字，用穷尽搜索方可能是个天文数字，用穷尽搜索方法工作量大。法工作量大。2）上述例子中）上述例子中K=（4，3，2，21，22，24，20，20）时，由同一个密文时，由同一个密文C，可生成另一个有意义明文，可

5、生成另一个有意义明文M =（t，o，m，i，s，i，l，l）。）。 “send help”和和“tom is ill” 作为明文的可能性相作为明文的可能性相同，获悉密文丝毫不能增加破译的可能性。同，获悉密文丝毫不能增加破译的可能性。 2022-2-13南京邮电大学信息安全系7一次一密密码系统不实用的原因一次一密密码系统不实用的原因1）很难生成真正随机的密钥序列。）很难生成真正随机的密钥序列。2）即使已经生成，很难分发）即使已经生成，很难分发/存储和明文等长的随存储和明文等长的随机密钥序列。机密钥序列。3）若有安全信道可传递每次不同、任意长的密钥序）若有安全信道可传递每次不同、任意长的密钥序列，

6、为何不直接用来传递明文呢？列，为何不直接用来传递明文呢？实际不可攻破的密码系统，是指它们在理论上是可实际不可攻破的密码系统，是指它们在理论上是可以攻破的，但所需计算资源超出实际的可能性。以攻破的，但所需计算资源超出实际的可能性。2022-2-13南京邮电大学信息安全系8Diffie-Hellman密钥交换算法密钥交换算法 公开加密算法原理公开加密算法原理 Whitfield Diffie和和Martin Hellman提出提出D-H密钥交密钥交换算法换算法公钥密码体制出现公钥密码体制出现 D-H算法的重大意义算法的重大意义第一次提出不需要保密信第一次提出不需要保密信道来安全分发对称密钥道来安全

7、分发对称密钥 公钥加密是重大创新（公钥加密是重大创新（每人一对密钥每人一对密钥）根本根本上改变加上改变加/解密过程解密过程 2022-2-13南京邮电大学信息安全系9公开加密系统的密钥对公开加密系统的密钥对每个用户两个密钥：每个用户两个密钥： 一个密钥（一个密钥（“私钥私钥”）保密，只能在一方保存。）保密，只能在一方保存。 另一个密钥（另一个密钥（“公钥公钥”）不保密，可广泛共享。）不保密，可广泛共享。 “密钥对密钥对”具有数学上特殊的互补关系，每个密钥具有数学上特殊的互补关系，每个密钥只能与密钥对中的另一个密钥配合进行加只能与密钥对中的另一个密钥配合进行加/解密。解密。2022-2-13南京

8、邮电大学信息安全系10公开加密算法的设计考虑公开加密算法的设计考虑 特意设计成两个密钥之间无法简单推导。特意设计成两个密钥之间无法简单推导。 因此不能根据公钥得到私钥，且从公钥和密文得因此不能根据公钥得到私钥，且从公钥和密文得到明文或私钥计算上不可行。到明文或私钥计算上不可行。 但是要求但是要求公钥算法必须足够强大，密钥对必须足公钥算法必须足够强大，密钥对必须足够长（因此造成加够长（因此造成加/解密速度慢），才能使人们无解密速度慢），才能使人们无法使用穷举攻击来破解密文。法使用穷举攻击来破解密文。 2022-2-13南京邮电大学信息安全系11公开加密算法的用途公开加密算法的用途 A和和B都有密

9、钥对，并已分别获得对方真正的公钥。都有密钥对，并已分别获得对方真正的公钥。 A要发送消息给要发送消息给B，使用，使用公开加密算法的两种用法公开加密算法的两种用法：1）A用用B的公钥加密的公钥加密 B用自己私钥解密用自己私钥解密 非非B不能得到不能得到A发送的消息（保证机密性）发送的消息（保证机密性）2）A用自己私钥加密用自己私钥加密 B用用A的公钥解密的公钥解密 别人不能假冒别人不能假冒A发送消息发送消息 A也不能否认发送过该消息（数字签名不可否认）也不能否认发送过该消息（数字签名不可否认）2022-2-13南京邮电大学信息安全系12D-H算法的用途和特点算法的用途和特点算法本身局限于密钥交换

10、用途，而不能实现加密和算法本身局限于密钥交换用途，而不能实现加密和数字签名。数字签名。安全性依赖于计算离散对数的困难性。安全性依赖于计算离散对数的困难性。特点特点1）只在需要时才计算出对称密钥，对称密钥不需保）只在需要时才计算出对称密钥，对称密钥不需保存，也不会泄密。存，也不会泄密。2）密钥交换只需要约定全局参数。）密钥交换只需要约定全局参数。3）不需要）不需要PKI的支持，目前的支持，目前SSL、IPSec等都使用等都使用D-H密钥交换算法。密钥交换算法。 2022-2-13南京邮电大学信息安全系13D-H密钥交换算法密钥交换算法的原理的原理2022-2-13南京邮电大学信息安全系14D-H

11、算法的功能和证明算法的功能和证明D-H算法的功能算法的功能 A想要与想要与B建立连接，并安全地在双方之间生成一建立连接，并安全地在双方之间生成一个共享的对称密钥，用来加密要传递的消息本身。个共享的对称密钥，用来加密要传递的消息本身。2022-2-13南京邮电大学信息安全系15D-H算法举例算法举例素数素数q=97，原根，原根a=5，私钥，私钥XA=36，私钥，私钥XB=582022-2-13南京邮电大学信息安全系16D-H算法的安全性算法的安全性 D-H算法中的计算公式都是算法中的计算公式都是单向函数单向函数，其，其逆运算逆运算就就是是求解离散对数问题求解离散对数问题，所以具有难解性。，所以具

12、有难解性。 当当q、a、YA、YB和和K都足够大时：都足够大时： 黑客由黑客由q、a和截获的公钥和截获的公钥YA/YB并不能得到并不能得到A/B的的私钥私钥XA/XB。 即使截获大量密文破解了本次即使截获大量密文破解了本次K，由，由K、q和截获和截获的公钥的公钥YA/YB ，也不能得到，也不能得到A/B的私钥的私钥XA/XB。 2022-2-13南京邮电大学信息安全系17D-H算法的不足算法的不足1）没有提供）没有提供通信通信双方的身份信息，所以双方的身份信息，所以不能鉴别双不能鉴别双方身份，方身份，容易遭受中间人攻击。容易遭受中间人攻击。 2）是密集型计算，容易遭受拒绝服务攻击，即攻击）是密

13、集型计算，容易遭受拒绝服务攻击，即攻击者请求大量密钥，被攻击者花费大量计算资源求者请求大量密钥，被攻击者花费大量计算资源求解无用的幂系数。解无用的幂系数。3）无法防止重放攻击。）无法防止重放攻击。2022-2-13南京邮电大学信息安全系18D-H算法中间人攻击示意图算法中间人攻击示意图 2022-2-13南京邮电大学信息安全系19D-H算法的改进算法的改进OAKLEY算法改进了算法改进了D-H算法，具有五个重要特征：算法，具有五个重要特征：1）采用）采用64位随机位随机cookie对抗拒绝服务攻击。对抗拒绝服务攻击。cookie为双方提供一种较弱的源地址认证，如果伪造了为双方提供一种较弱的源地址认证，如果伪造了源地址，则攻击者不能得到该源地址，则攻击者不能得到该cookie并攻击成功。并攻击成功。2）使得双方能够协商全局参数。）使得双方能够协商全局参数。3）增加了）增加了“现时现时”机制来抗重放攻击。机制来抗重放攻击。4）能够交换）能够交换D-H的公开密钥。的公开密钥。5）对）对D-H中公钥值的交换进行身份鉴别。中公钥值的交换进行身份鉴别。2022-2-13南京邮电大学信息安全系20好的加密算法的特点好的加密算法的特点 1）算法要足够强大：从截获的密文或某些已知明）算法要足够强大：从截获的密文或某些已知明文密文对，计算出密钥或明文是不可行