教育硕士密码学讲座

1、密码学科若干前沿领域数学：? ? 13?831 “军行无通法，则分者不能合，远者不能应。彼此莫相喻，败道也。然通而不密，反为敌算。故自金、炮、马、令箭、起火、烽烟，报警急外；两军相遇，当诘暗号；千里而遥，宜用素书，为不成字、无形文、非纸简。传者不知，获者无迹，神乎神乎！或其隔敌绝行，远而莫及，则又相机以为之也。” 兵经百言、衍部传 2 二十世纪六十年代，英国反间谋人员从一名被抓获的克格勃情报人员身上搜出的一次一密密码本;密码本的体积非常的小，可以夹藏在领带中随身携带，密码本每用掉一页就撕掉一页. 3近代密码学导引传统密码学DNA密码密码学的发展前沿内容介绍量子密码4近代密码学导引传统密码学DN

2、A密码密码学的发展前沿内容介绍量子密码5密码体系是一个五元组（P,C,K,E,D)满足条件： （1）P是可能明文的有限集（明文空间） （2）C是可能密文的有限集（密文空间） （3）K是一切可能密钥构成的有限集（密钥空间） （4）任意k K，有一个加密算法 和相应的解密算法 ，使得 和 分别为加密解密函数， 满足dk(ek(x)=x ，这里 x P.密码体系形式化描述6 常规加密系统的模型7 密码学的基本思想密码学（Cryptology）是研究信息系统安全的一门科学.密码学的基本思想： 将一种形式的消息变换成另外一种形式的 消息. 密码学中用到的各种变换称为密码算法.8密码学的五大基本属性机密性

3、（Confidentiality）完整性（ Integrity ）可用性（ Availability ）可控性 （ Controllability ）可认证性（Authenticity）9常见的密码分析（攻击）唯密文分析（攻击），密码分析者取得一个或多个用同一密钥加密的密文； 已知明文分析（攻击），除要破译的密文外，密码分析者还取得一些用同一密钥加密的明密文对；选择明文分析（攻击），密码分析者可取得他所选择的任何明文所对应的密文（当然不包括他要恢复的明文），这些明密文对和要破译的密文是用同一密钥加密的； 选择密文分析（攻击），密码分析者可取得他所选择的任何密文所对应的明文（要破 译的密文除外）

4、，这些密文和明文和要破译的密文是用同一解密密钥解密的，它主要应用于公钥密码体制。 10 密码学密码编码学密码分析学 近代密码学的两个分支11近代密码学导引传统密码学DNA密码密码学的发展前沿内容介绍量子密码12近代密码学导引传统密码学DNA密码密码学的发展前沿内容介绍量子密码对称密码体制非对称密码体制13 传统密码学介绍对称密码体制14一对加密和解密算法使用的密钥相同，或实质上等同；即从一个密钥可以很容易的得到另一个密钥！ 传统密码学介绍对称密码体制15对称密码体制_DES算法16对称密码体制_Hash函数Hash函数H是一公开函数，用于将任意长的消息M映射为较短的、固定长度的一个值H(M)，

5、作为认证符，称函数值H(M)为杂凑值、杂凑码或消息摘要。杂凑码是消息中所有比特的函数，因此提供了一种错误检测能力，即改变消息中任何一个比特或几个比特都会使杂凑码发生改变。17Hash函数应满足的条件函数的目的是为需认证的数据产生一个“指纹”。为了能够实现对数据的认证，杂凑函数应满足以下条件： 函数的输入可以是任意长。 函数的输出是固定长。 已知x，求H(x)较为容易，可用硬件或软件实现。 已知h，求使得H(x)=h的x在计算上是不可行的，这一性质称为函数的单向性，称H(x)为单向杂凑函数。 已知x，找出y(yx)使得H(y)=H(x)在计算上是不可行的。如果单向杂凑函数满足这一性质，则称其为弱

6、单向杂凑函数。 找出任意两个不同的输入x、y，使得H(y)=H(x)在计算上是不可行的。18 传统密码学介绍对称密码体制密码界的女杀手！ 19 传统密码学介绍对称密码体制作为密码协议设计“万灵药”Hash函数中最重要的两种：MD5出自图灵奖获得者、公钥加密算法RSA创始人Rivest教授之手；SHA-1则由美国专门制定密码算法的标准机构美国国家标准与技术研究院和美国国家安全局操刀设计；两大算法被普遍应用于数字安全的各个方面：保护邮箱密码、认证客户信息、确保重要文件的数据不被篡改在金融、证券等电子商务领域处处可见它们的踪影. 其中，SHA-1尤其被视为计算安全系统的基石，从20世纪90年代中期起

7、即开始为美国政府和商界最新、最安全的系统服务，被称为“白宫密码” . 20 传统密码学介绍对称密码体制2004年8月的世界密码学大会和2005年2月的RSA年会，王小云宣布了两大算法在不到半年的时间里相继告破！MD5(M, Ni) = MD5(M, Ni)：在 IBM P690 上，用将近一个小时的时间找到 M 和 M；之后，只需要 15 秒到 5 分钟的时间就可以找到 Ni 和 Ni，此时的 (M, Ni) 和 (M, Ni) 将产生相同的散列值.下面是会产生碰撞的一对 1024 位消息：21 传统密码学介绍对称密码体制M 2dd31d1 c4eee6c5 69a3d69 5cf9af98

8、87b5ca2f ab7e4612 3e580440 897ffbb8 634ad55 2b3f409 8388e483 5a417125 e8255108 9fc9cdf7 f2bd1dd9 5b3c3780N1 d11d0b96 9c7b41dc f497d8e4 d555655a c79a7335 cfdebf0 66f12930 8fb109d1797f2775 eb5cd530 baade822 5c15cc79 ddcb74ed 6dd3c55f d80a9bb1 e3a7cc35M 2dd31d1 c4eee6c5 69a3d69 5cf9af98 7b5ca2f ab7e461

9、2 3e580440 897ffbb8634ad55 2b3f409 8388e483 5a41f125 e8255108 9fc9cdf7 72bd1dd9 5b3c3780N1 d11d0b96 9c7b41dc f497d8e4 d555655a 479a7335 cfdebf0 66f12930 8fb109d1797f2775 eb5cd530 baade822 5c154c79 ddcb74ed 6dd3c55f 580a9bb1 e3a7cc35 MD5 9603161f f41fc7ef 9f65ffbc a30f9dbf22 传统密码学介绍对称密码体制意义：密码学家一度认为，

10、即使使用目前世界上最强大的计算机也需要数百万年时间才能找到一组“碰撞” .在最快速度下，普通PC机只需几分钟时间就能找到MD5的“碰撞信息对”。这不仅意味着数字签名安全性的降低，也意味着其它一些基于Hash函数的密码应用安全性降低的可能.因此，美国国家标准与技术研究院宣布，美国政府5年内将不再使用SHA-1，取而代之的是更为先进的新算法，微软、Sun和Atmel等知名公司的专家也发表了他们的应对之策. 23 传统密码学介绍对称密码体制从2005年到2012年，国际密码界的核心是围绕新的Hash函数标准设计展开.IBM Watson研究院的密码学家Charanjit Jutla感慨说：“破解Ha

11、sh函数非常艰难，就好比一个太复杂的谜，大多数人弄累了就放弃了。但是她没有！” 24近代密码学导引传统密码学DNA密码密码学的发展前沿内容介绍量子密码对称密码体制非对称密码体制25 传统密码学介绍非对称密码体制261976年，Diffie和Hellman首次提出公开密钥密码体制的概念! 传统密码学介绍非对称密码体制271977年,Rivest、Shamir、Adleman 提出第一个比较完善的公开密钥密码体制，即著名的RSA体制. 传统密码学介绍非对称密码体制28安全性依赖于各种数学困难问题(如大整数分解问题、离散对数问题等) ；密码学家Rivest等用已知的最好算法估计了分解n(n=pq)的

12、时间与位数的关系：用运算速度100万次/秒的计算机分解500bit的n，计算机分解操作数是1.3 1039 ，分解时间是4.2 1025 .目前往往选择10242048bit的密钥！ 传统密码学介绍非对称密码体制29DS的基本方式M|HESKAMHDPKA比较M|HSKAMsHPKG比较VerPKGK随机数rPKASigRSA签名DSS签名全局公开钥30Elgamal签名体制参数选取 p：一个大素数； g：是Zp中乘群Zp*的一个生成元或本原元素； M：消息空间，为Zp*； S：签名空间，为Zp*Zp1； x：用户秘密钥xZp*； y：用户公钥，ygx mod p p，g，y为公钥，x为秘密钥

13、。31签名过程 给定消息M，进行下述工作。 (a) 选择秘密随机数kZp*； (b) 计算 H(M)； (c) 计算 r=gk mod ps=(H(M)xr)k-1 mod (p1) (r,s)作为签名.Elgamal签名体制32验证过程 收信人收到M，(r,s)，先计算H(M)，并按下式验证 Verk(H(M),r,s)=真 yrrsgH(M) mod p 因为yrrsgrxgskg(rx+sk) mod p， (rx+sk) H(M) mod(p1) 故有y rr sgH(M) modpElgamal签名体制33近几年，众多的数学家、密码家、计算机科学家致力于设计基于椭圆曲线的公钥密码体制

14、（ ECC ），并在理论和技术上已获得大量成果；同时,国际上各种标准化也相继出台了关于ECC的标准.因为，无论是从安全性、密钥长度还是计算开销,ECC比其它的公钥密码体制有很大的优势. 传统密码学介绍非对称密码体制34 传统密码学介绍非对称密码体制35ECC算法签名以其密钥长度小、安全性能高、整个数字签名耗时小，导致其在智能终端应用中有很大的发展潜力，比如掌上电脑、移动手机等中能有更好的表现！遗憾的是，二十多年来对椭圆曲线的研究并没有发明新的使用椭圆曲线的公开密码体制,实际上只是将熟知的加密运算移植到椭圆曲线上. 传统密码学介绍非对称密码体制36近代密码学导引传统密码学DNA密码密码学的发展前

15、沿内容介绍量子密码37消息：国际上首个量子密码通信网络日前由我国科学家在北京测试运行成功.这是迄今为止国际公开报道的唯一无中转并可同时、任意互通的量子密码通信网络，标志着量子保密通信技术从点对点方式向网络化迈出了关键一步.主持人是中国科学院院士、中国科技大学教授郭光灿. 量子密码介绍38有关专家表示，这次实验的成功，为量子因特网的发展奠定了基础，使量子因特网的问世露出了“一线曙光”.根据量子力学的基本原理，量子信息无法复制，任何截获或测量操作都会改变量子的状态，都会被通信者发现；因此，量子密码在原理上是“无法破译”和“绝对安全”的. 量子密码介绍39量子密码学最基本的原理是量子纠缠，即利用一个

16、特殊的晶体将一个光子割裂成一对纠缠的光子，其粒子间即使相距遥远也是相互联结的，而此对纠缠光子都有着各自不同的偏振方向，是无法确定的，只有当光子被测量或受到干扰，它才有明确的偏振方向，一但其中一个光子的方向被确定，那么另一个光子就被确定为与之相关的偏振方向.“就像一个母亲和她的女儿，分别居住在中国和美国. 在美国的女儿怀孕了，当她生孩子的一瞬间，哪怕远隔千山万水，不用电话通知，远在中国的母亲就顺理成章地变成了外婆” 量子纠缠不会因为距离远近而消失，这是一种先天的关联！ 量子密码介绍40 量子密码介绍偏振态从水平偏振、垂直偏振、左旋圆偏振和右旋圆偏振四个态中随机选取.在通讯过程中只公布了测量基！这

17、样一组随机并且私有的比特正好可以用做保密通讯中的密钥.41目前量子密码学基本上处于实验阶段，虽然能在光纤中进行量子密码传送，但由于光子密钥在光纤中传输时消耗快，使得长距离间的通信成为要被攻克的难点，如今在实验中的量子密码最大传输距离不足100公里. 如果在此过种中利用光子的相位特性进行编码，那么对光的偏振态要求不那么严谨，而一但使用偏振编码，那么将会使得光子的偏振性退化；另外，目前由于接受加密量子流的单量子装置必须在低温冷却的状态下，才能保证传递加密量子的速度，这也是需要解决的问题. 量子密码介绍42如果在未来时代将量子密码引进互联网，那么网民将会在网络通道中捕捉到属于自身的独立光子密码，而不

18、在安装独立通道. 量子密码介绍43近代密码学导引传统密码学DNA密码密码学的发展前沿内容介绍量子密码44DNA 密码是在 1994 年 Adleman 提出 DNA计算之后才开始得到关注的, 目前已成为国际密码学研究的前沿领域. 其特点是以 DNA 为信息载体, 以现代生物技术为实现工具, 挖掘 DNA 固有的高存储密度和高并行性等优点, 实现加密、认证及签名等密码学功能. DNA密码介绍45Adleman 这样评价 DNA 计算: “几千年以来,人类社会一直使用各种人造的设备提高自己的计算能力. 但是只有在 60 年前电子计算机出现以后, 人类社会的计算能力才有了质的飞跃. 现在, 分子设备的使用使得人类的计算能力能够获得第二次飞跃”.寡核苷酸片段通过互补原理,将两条有向边连接起来. DNA密码介绍46 DNA密码介绍47DNA 密码在国际上刚刚起步,有效的 DNA 密码方法较少.Reif 等利用 DNA 实现了一次一密的加密方式. 他认为, 一次一密的使用之所以受限制, 是因为保存一个巨大的一次一密乱码本非常困难. DNA 具有体积小, 存储量大的优点：几克DNA 就能够储存世界上现有