电子商务安全和保密要求第3章信息加密技术

1、1电子商务安全和保密要求第3章 信息加密技术2本章要点：密码学基本模型对称密码基于大数分解的密码体制(RSA)基于离散对数的密码体制(Elgamal)基于椭圆曲线的密码体制3密码学的Shannon模型 Z Z,Z 4密码学的Shannon模型-组成部分X,明文（plain-text）： 作为加密输入的原始信息。Y,密文（cipher-text）：对明文变换的结果。E,加密（encrypt）：是一组含有参数的变换，将可识别的明文变为密文。密文可识别阈下信道。D,解密（decrypt）：加密的逆变换。Z,密钥（key）：是参与加密解密变换的参数。一密码系统算法明文空间密文空间密钥空间系统分析者试图

2、从密文破解出明文者上述过程的数字表示：Y=E(X,Z), X=D(Y,Z)5密码分析理论Kerckhoffs假设假定：密码分析者知道对方所使用的密码系统包括明文的统计特性、加密体制（操作方式、处理方法和加/解密算法 ）、密钥空间及其统计特性。不知道（解密）密钥。在设计一个密码系统时，目标是在Kerckhoffs 假设的前提下实现安全 。6密码分析（1）唯密文攻击（Cipher Text-Only Attack） 密码分析者有一些消息的密文，这些消息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密消息的密钥，以便可采用相同的密钥解出其他被加密的消息。（2）已知明

3、文攻击（Known-Plaintext Attack） 密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥或推导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。7（3）选择明文攻击（Chosen-Plaintext Attack） 分析者不仅可得到一些消息的密文和相应的明文，而且也可选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那 些块可能产生更多关于密钥的信息，分析者的任务是推出用来加密消息的密钥或导出一个算法，此算法可 以对用同一密钥加密的任何新的消息进行解密。（4）选择密文攻击（Ch

4、osen-Cipher Text Attack） 密码分析者能选择不同的被加密的密文，并可得到对应的解密的明文，密码分析者的任务是推出密钥。 8攻击类型攻击者掌握的内容唯密文攻击加密算法、截获的部分密文已知明文攻击加密算法、部分密文、多个明文-密文对选择明文攻击加密算法、部分密文、选择的明文消息及加密得到的密文选择密文攻击加密算法、部分密文、选择的密文消息及相应解密明文（5）适用性选择密文攻击（Adaptive Chosen-Cipher Text Attack,CCA2） 在CCA的基础上，密码分析者除了对“目标密文”解密以外，永远能够得到解密服务。能在使用解密机的过程中,根据解密机的反馈适

5、应性地构造密文再进行解密。与CCA2不同，CCA要求在得到目标密文以后，解密服务立即停止。9链到链加密方式在物理层或数据链路层实施加密机制。 10节点加密与链路加密不同，节嗲加密不允许消息在网络节点以明文形式存在这一过程在节点的一个安全模块中进行节点加密要求包头和路由信息与明文形式传输，因而收到业务分析攻击 11端到端加密方式12DES的安全性基于1997年的技术统计分析的攻击结果， Talal Feghhi等人98年9月给出DES加密抗攻击的情况如下表所述：(摘自由Talal Feghhi, Jalil Feghhi, Peter Willians Digital Certificates一

6、书中的第51页，该书于1998/9由加拿大出版) 13多重DES 多重DES就是使用多个密钥利用DES对明文进行多次加密,多重DES可以增加密钥量。 1、双重DES K1，K2是两个长度为56bit的密钥。明文X，密文Y 加密变换：Y=DES K2（DES K1（X） 解密变换：X=DESK1-1（DESK2-1（Y） 双重DES所用密钥长度为112bit，强度极大增加。142、三重DES K1，K2，K3是两个长度为56bit的密钥。明文X，密文Y 加密变换：Y=DESK3（DES K2-1（DES K1（X） 解密变换：X=DESK1-1（DESK2（DESK3-1（Y） 三重DES所用密

7、钥长度为168bit。如果K1=K2或K2=K3，则三重DES退化为使用一个56bit密钥的单重DES。这个过程称为 EDE，即加密解密加密（Encrypt Decrypt Encrypt）。所以，可以使K1=K2来用三重DES方法执行常规的 DES加密。三重DES目前还被当作一个安全有效的加密算法使用。 三重DES已在因特网的许多应用（PGP、S/MIME）中被采用。15IDEA 算法IDEA 国际数据加密算法（International Data Encryption Algorithm）瑞士联邦理工学院：Xuejia Lai & James Massey , 1990；1991 改进，加

8、强了对差分密码分析的抗击能力；明文分组与密文分组的长度均为64位，密钥长度为128位。 在目前常用的安全电子邮件加密方案PGP中使用16Rijndael算法由Square算法发展演变而来。已被美国国家标准技术研究所选定作为高级加密算法AES,Advanced Encryption Standard取代DES迭代分组密码算法(类似流密码:每一轮有内部状态)密钥128/192/256，分组128/192/256，循环次数10/12/14。速度快、对内存要求小，操作简单。算法的抗攻击能力强。高级加密标准（AES）算法Rijndael的设计.清华大学出版社.17其他算法BLOWFISHBruce Sc

9、hneier 1995发表, 64位分组, 最大到448位可变长密钥。Fast, compact, simple, variably secure.RC2 、RC4、RC5、RC6算法 由Rivest发明18分组密码的工作模式 已经提出的分组密码工作模式有：电码本（ECB）模式 /原始模式密码分组链接（CBC）模式；密码反馈（CFB）模式；输出反馈（OFB）模式；电子密码本ECB密码分组链接CBC21公钥密码算法基础 可以提供单向函数的三大数学难题大整数分解问题（简称IFP）：知道一个大整数(几百位/上千位),求其因子分解式离散对数问题（简称DLP）：知道axy mod n, 求x, 其中a,

10、n是很大的整数椭圆曲线离散对数问题（简称ECDLP）。 其它单向函数：哈希函数（数字摘要算法）：来自信息熵上的不可逆。等等22RSA算法描述选取足够大的两个素数 p 和 q, 令 n = pq , 则(n) = (p-1)(q-1)。选取适当的加密密钥 e 和解密密钥 d ，使之满足 。 则有 med mk(n)+1 m mod n, 即满足m med mod n公开 n 和 e (e为公钥 )，保密 p, q 和 d(d为私钥)。 加密运算： 解密运算： 23 例子： 选p=7，q=17 （保密） n=pq=717=119 （公开） (n)=（p-1）（q-1）=96（保密） 选取e=5，满

11、足1e(n)，满足gcd（e,(n)）=1 确定满足de 1 mod 96且小于96的d 因为775=385=496+1 所以d=77 d=e(n)-1) mod (n) = 5(32-1) mod 96=77 公开钥5，119 秘密钥77，119 设明文m=19 加密运算：c=195 mod 119=66 解密运算：m=6677mod 119=19CRT 对RSA解密算法生成两个解密方程 （利用M = Cd mod R ）即: M1 = (C mod p)d mod (p-1) = M mod p M2 = (C mod q)d mod (q-1) = M mod q 解方程 M = M1

12、mod p M = M2 mod q 具有唯一解（利用CRT ）中国剩余定理优化计算25离散对数： 设P是素数，a是p的本原根，a 1,2,p-1， 即a1，a2，ap-1在mod p下产生1到p-1的所有值， 对于b 1,2,p-1，有唯一的 i 1,2,p-1，使得 b a i mod p，称 i为模p下以a为底，b的离散对数 记为 i log ab mod p 当a，p，i已知时，求b容易 当a，b，p已知，求i非常困难，当p很大时，求i计算上不可行。 基于离散对数的密码系统26ElGamal加密系统 ElGamal的安全性依赖于计算有限域上离散对数这一难题。密钥对产生办法如下：选择一个

13、素数p，两个随机数g和x，要求g, x p计算 y=gx(mod p)，则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。27假定被加密信息为M，首先选择一个随机数k，k与p-1互质，计算a=gk(mod p)b=yk M(mod p)(a,b)为密文，是明文的两倍长。解密时计算M=b/ax(mod p)ElGamal加密系统 28RSA算法 DES和RSA标准的比较加密机制DESRSA原理加密钥=解密钥加密钥解密钥算法公开公开密钥配送必要不必要密钥数必须为通信对象数自己用的一个即可安全确认比较困难容易加密速度可达100MB/S可达10KB/S29混合密码体制钥数字信封技术30椭圆

14、曲线的定义 一条椭圆曲线是在射影平面上满足Weierstrass方程 ： y2+a1xy+a3y=x3+a2x2+a4x+a6 的所有点的集合，且曲线上的每个点都是非奇异（或光滑）的。 所谓“非奇异”或“光滑”的，在数学中是指曲线上任意一点的偏导数Fx(x,y,z)，Fy(x,y,z)，Fz(x,y,z)不能同时为0。即满足方程的任意一点都存在切线。 31椭圆曲线上的加法 运算法则：任意取椭圆曲线上两点P、Q （若P、Q两点重合，则做P点的切线）做直线交于椭圆曲线的另一点R，过R做y轴的平行线交于R。我们规定P+Q=R。32椭圆曲线上的零元负元根据运算法则，椭圆曲线无穷远点O与椭圆曲线上一点P

15、的连线交于P，过P作y轴的平行线交于P所以有：无穷远点 O+ P = P 。无穷远点 O的作用与普通加法中零的作用相当。我们把无穷远点 O 称为 零元。同时我们把P称为P的负元（记作-P）。（参见右图） 33Ep(a,b)并不是所有的椭圆曲线都适合加密。y2=x3+ax+b是一类可以用来加密的椭圆曲线，也是最为简单的一类。下面我们就把y2=x3+ax+b 这条曲线定义在Fp上： 选择两个满足下列条件的小于p(p为素数)的非负整数ap、b p且 4a3+27b20(mod p) 则满足方程 y2=x3+ax+b (mod p)的所有点(x,y)，再加上无穷远点O ，构成一条椭圆曲线。 其中 x,

16、y属于0到p-1间的整数，并将这条椭圆曲线记为Ep(a,b)。 我们看一下y2=x3+x+1 (mod 23)的图像 3435椭圆曲线难题对n个P连续进行操作，记为nP= P P也可写作Pn=Q，或n=logPQ因此这也称为椭圆曲线上的离散对数问题，同样是难解问题36DH实现对比实现Diffie-Hellman的DLP模型全局公开量:大素数 qg ，q且是q的本原根用户密钥的产生（步骤1.）选择随机数: xA q 计算公开量: yA = gxA mod q产生密钥（步骤4）KAB = yAxB mod q = yBxA mod q = gxA.xB mod q同理，可以产生KBA（步骤2、3）37实现Diffie-H