密码学课件：三、密码学基本概念

1、密码学中的基本概念主要内容密码学的发展网络时代的密码学术语加密算法的分类现代密码学解决的基本安全问题密码学的发展密码学(Cryptology): 是研究信息系统安全保密的科学。密码编码学(Cryptography)：主要研究对信息进行编码，实现对信息的隐蔽。密码分析学(Cryptanalytics)：主要研究加密消息的破译或消息的伪造。密码学的发展三个阶段：1949年之前的密码学19491975年密码学成为科学1976年以后密码学的新方向公钥密码学第1阶段古典密码密码学还不是科学,而是艺术出现一些密码算法和加密设备密码算法的基本手段出现，针对的是字符简单的密码分析手段出现主要特点：数据的安全基

2、于算法的保密Phaistos(斐斯托斯)圆盘，一种直径约为160mm的粘土圆盘，始于公元前17世纪。表面有明显字间空格的字母，至今还没有破解。第1阶段古典密码20世纪早期密码机1883年Kerchoffs（19世纪荷兰密码学家）第一次明确提出了编码的原则：加密算法应建立在算法的公开不影响明文和密钥的安全。这一原则已得到普遍承认，成为判定密码强度的衡量标准，实际上也成为传统密码和现代密码的分界线。第1阶段古典密码第2阶段 19491975 计算机使得基于复杂计算的密码成为可能 相关技术的发展1949年Shannon的“The Communication Theory of Secret Syst

3、ems” 1967年David Kahn的The Codebreakers1971-1973年IBM Watson实验室的Horst Feistel等几篇技术报告主要特点：数据的安全基于密钥而不是算法的保密 第3阶段 19761976年：Diffie & Hellman 的 “New Directions in Cryptography” 提出了不对称密钥；1977年Rivest,Shamir & Adleman提出了RSA公钥算法90年代逐步出现椭圆曲线等其他公钥算法主要特点：公钥密码使得发送端和接收端无密钥传输的保密通信成为可能网络时代的密码学1.随着信息技术的发展和信息社会的来临，信息安

4、全越来越重要。2.密码技术在网络信息安全中发挥重要作用，保证信息的机密性、完整性和真实性，防止信息被篡改、伪造和假冒等。3.密码算法是密码技术的核心4.密码技术已渗透到信息系统安全工程的多个领域和大部分安全技术或机制中5.对密码学和密码技术一无所知的人，不可能从技术层面上完全理解信息安全。现代密码学解决的基本安全问题（1）机密问题除了信息的授权人可以拥有信息以外，其他人都不可获得信息内容。在密码学中，主要是通过加密和解密算法来完成这项任务。现代密码学解决的基本安全问题（2）数据真实完整问题数据的真实完整性是针对数据的非法变更。为了做到这一点，必须提供发现非授权人对数据变动的机制。许多密码工具可

5、以提供这一机制，如Hash函数等。现代密码学解决的基本安全问题（3）认证问题是与身份识别相关的问题。双方在进行通信之前，需要识别对方的身份；另外，在信道上传输的一条信息也需要识别何时、何地、何内容由何人发出。因此，认证在密码学中常常被分成两类：实体认证和数据源认证。数据源认证实际上包含了数据真实性认证，因为如果数据被修改，数据源也就发生了变更。现代密码学解决的基本安全问题（4）不可否认问题防止实体否认从前行为。例如，一个实体与另一个实体签署购买合同，但事后其中一方否认签署过，这时需要一个可信第三方来解决争议。第三方在解决争议时，需要使用必要的技术手段。在密码学中，解决这一问题的手段常用数字签名

6、。术语Shannon保密通信模型发送者Alice密钥源分析者Eve接收者Bob安全信道公共信道加密器Ek解密器Dk明文m密文c明文m密钥k密钥k（1）通信中的参与者发送者(Alice，艾丽斯)： 在双方交互中合法的信息发送实体。接收者(Bob，鲍勃)： 在双方交互中合法的信息接收实体。分析者(Eve，伊夫)： 破坏通信接收和发送双方正常安全通信的其它实体。发送者和接受者被称为用户。术语（2）明文和密文明文或消息(plaintext，message)： 尚未隐藏或未被加密的信息，用P或M表示。明文的集合称为明文信息空间，用SP表示。密文(ciphertext)： 被加密（encryption）后

7、的消息称为密文，用C表示。所有的密文构成密文信息空间，用SC表示。术语（3）密钥明文到密文的转换由一些特殊的函数完成，控制这些函数的参数称为密钥（key），用K表示。所谓密钥，是指由用户事先选定的较短的字符或数字序列，起作用近似于打开保险箱的钥匙。所有的密钥集合构成密钥空间，用SK表示。密钥空间中不相同密钥的个数称为密钥体制的密钥量，它是衡量密码体制安全性的一个重要指标。在公开密钥加密方法中，密钥长度越大，密文越安全，但是加密速度越慢。术语（4）加密与解密加密：在密钥K的作用下，把明文P从SP对应到SC的一种变换，记为： EK:SPSC则明文和密文的关系可表示为： C=EK(P)术语（4）加密

8、与解密解密（Decryption）：密文传送到接收者，合法用户利用密钥对密文C进行与加密变换相反的逆变换，称为解密变换。把密文C从SC对应到SP的变换： DK:SCSP P=DK(C)=DK(EK(P)DK和EK可逆变换对。K不同DK和EK也不同，因此，信息的保密性依赖于密钥K的保密性。术语（5）密码体制一个完整的密码体制（cryptosystem）由5部分组成：明文信息空间SP密文信息空间SC密钥空间SK加密变换族EK解密变换族DK术语（5）密码体制密码体制满足4个要求：加、解密变换对所有密钥都一致有效。体制必须简单易行，易于找到密钥用于逆变换体制的安全性仅依赖于密钥的保密性，而不能依赖于加

9、、解密算法的强度。加密变换EK必须避免当P1P2，而对应的密文EK(P1)= EK(P2)=C的情况。术语（6）信道信道：从一个实体向另一个实体传递信息的通路。安全信道：分析者没有能力对其上的信息进行阅读、删除、修改、添加的信道。公共信道：分析者可以任意对其上的信息进行阅读、删除、修改、添加的信道。术语（7）分析者的目的解读公共信道上的密文消息。 (被动)确定密钥以解读所有用该密钥加密的密文消息。 (被动)变更密文消息已使接受者(Bob)认为变更消息来自发送者(Alice)。 (主动)冒充密文消息发送者(Alice)与接收者(Bob)通信，以使接受者(Bob)相信消息来自真实的发送者(Alic

10、e)。(主动)术语（8）常见的攻击形式唯密文攻击：ciphertext-only attack分析者仅知道密码算法E以及截获的密文，由此要得到明文或密钥。表述如下：已知：C1=Ek(P1)，C2=Ek(P2)，Ci=Ek(Pi)任务目标：推导出P1,P2,Pi或密钥k由于分析者所能利用的数据资源仅为密文，这对密码分析是最不利的情况。术语（8）常见的攻击形式已知明文攻击：plaintext-known attack分析者根据已知的某些“明文-密文”对来破译密码。任务是推出密钥或某种算法，这种算法可以对用该密钥加密的任何新的消息进行解密。表述为：已知：P1和 C1=Ek(P1)，P2和C2=Ek(

11、P2)，Pi和Ci=Ek(Pi)任务目标：推导出密钥k，或找到从截获的密文Ci+1推出明文的Pi+1算法。术语（8）常见的攻击形式选择明文攻击：chosen-plaintext attack相对于已知明文攻击，分析者可选择特定的明文，并得到对应的密文。并比较明文对应的密文，以分析和发现更多的与密钥相关的信息。表述为：已知：P1和 C1=Ek(P1)，P2和C2=Ek(P2)，Pi和Ci=Ek(Pi)，其中P1，P2，Pi由分析者选定。任务目标：推导出密钥k，或找到从截获的密文Ci+1推出明文的Pi+1算法。术语（8）常见的攻击形式选择密文攻击：chosen-ciphertext attack分

12、析者可以选择一些密文，得到相应的明文。任务目标是推出密钥。这种密码分析主要用于攻击公钥密码体制。表述为已知：C1和 P1=Dk(C1)，C2和P2=Dk(C2)，Ci和Pi=Dk(Ci)，其中C1，C2，Ci由分析者选定。任务目标：推导出密钥k。唯密文攻击最困难，强度最弱，其他攻击强度依次增加。对分析者选择明文攻击最有利。术语（8）常见的攻击形式穷举攻击法：穷举攻击法又称为强力或者蛮力（brute force）攻击。 对截获的密文尝试所有可能的密钥，直到获得一种从密文到明文的可理解的转换。 或使用不变的密钥对所有可能的明文加密直到得到与截获的密文一致为止。显然，对于任何已知密码算法的密码系统，

13、只要攻击者有足够多的计算资源，该方法是可能成功。 术语（8）常见的攻击形式穷举攻击法：事例：1997年6月18日，美国科罗拉多州以Rocke Verser为首的一个工作小组宣布，通过互联网利用数万台计算机，历时四个多月，采用穷举攻击破译了DES-64密码算法，这是穷举攻击的一个很好的例证。对抗穷举攻击的主要方法有：增加密钥长度，在明文、密文中增加随机冗余信息等。 术语（9）密码系统的安全性评估密码系统安全性主要有三种方法： 1. 无条件安全性 假定攻击者拥有无限的计算资源，但仍然无法破译该密码系统。 1918年，AT&T工程师Gilbert Vernam发明一次一密密码方案，是最早被认为是无条

14、件安全。 使用与消息一样长的随机密钥； 密钥的使用永不重复；产生不带有与明文有任何统计关系的随机输出，理论上不可破译。但不实用，密钥生成和管理困难。完全的一次一密密码体制只有理论上的意义。术语（9）密码系统的安全性评估密码系统安全性主要有三种方法： 2. 计算安全性 使用目前最好的方法攻破它所需要的计算远远超出攻击者的计算资源水平。 理论上只有一次一密的系统才能真正实现无条件安全，除此之外的系统都至少可以使用一种只有密文的攻击方法来破译，就是穷举攻击法。当密钥空间足够大，在希望的时间内或实际的资源条件下不能成功。计算安全性又称为实际安全性。术语（9）密码系统的安全性评估密码系统安全性主要有三种

15、方法： 3. 可证明安全性 将密码系统的安全性归结为某个经过深入研究的数学难题（如大整数素因子分解、计算离散对数等），数学难题被证明求解困难。 问题在于：该密码方法的安全性与某个困难问题相关，但没有完全证明问题本身的安全性。术语（9）密码系统的安全性密码系统要达到实际安全性，满足以下准则：破译所需的实际计算量（包括计算时间或费用）十分巨大，以至于在实际上无法实现。破译所需的计算实际超过被加密信息有用的生命周期。如战斗打响的命令只需保密到战斗打响前等。破译所需的费用超过被加密信息本身的价值。如果一个密码系统满足以上准则之一，认为满足实际安全性。术语（10） Kerckhoffs准则 荷兰人Aug

16、uste Kerckhoff（柯克霍夫）在1883年，军事密码学中提出的基本假设：即使密码系统中的算法为密码分析者所知，也难以从截获的密文推导出明文或密钥。 也就是说：密码体制的安全性仅依赖于对密钥的保密，不依赖于对算法的保密。 意味着密码算法可以公开，也可以被分析，即使攻击者知道密码算法也没有关系。术语（10） Kerckhoffs准则 对商用密码系统，公开的优点有：可对安全性进行公开测试评估防止设计者在算法中隐藏后门易于密码算法的标准化利于相关产品的规模化生产，低成本高性能世界各主要国家都有强大的专业密码设计与分析团队，但军政核心密码都不公开加密算法。术语（11）单向函数定义：设定义域为X

17、，值域为Y，函数y=f(x)称为单向函数：如果对于所有xX计算f(x)都是“容易的”，而对于“基本上所有yY”发现任意一个xX满足f(x)=y都是“计算不可能的”。实例：大整数分解问题离散对数问题背包问题术语xf(x)HardEasy（12）陷门单向函数定义：陷门单向函数是单向函y=f(x)再附加如下特性：如果给定一些附加信息，就对任意yY求解xX满足fK(x)=y都变得“容易了”。这些附加信息称之为陷门信息K。术语密码体制的分类1.分组密码和流密码根据明文的处理方法分为两类：分组密码(block cipher)：将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。流

18、密码(stream cipher)：又称序列密码。序列密码每次加密一位或一字节的明文，也可以称为流密码。密码体制的分类2. 对称密码体制和非对称密码体制根据加密和解密过程所采用密钥的特点可以将密码体制分为两类：对称密码体制和非对称密码体制（公开密码体制）。对称密码体制# 加密密钥与解密密钥同：K1=K2在通信前，由发送方生成密钥，通过安全信道送到接收方。对称密码体制优点：加、解密处理速度快，效率高，算法安全性高。局限性或不足：（1）密钥分发过程复杂，代价高。安全信道的建立是突出问题。（2）密钥管理量的困难。用户增多，密钥量增加，密钥管理复杂化。 如n个用户两两保密通信，则每个用户需要获取并保管

19、(n-1)个密钥，总密钥量为n(n-1)/2，当n=100时，密钥量是4995个；当n=5000时，密钥量是12497500个。对称密码体制优点：加、解密处理速度快，效率高，算法安全性高。局限性或不足：（3）保密通信系统的开放性差。如果收发双方素不相识，或没有可靠的密钥传递渠道，则无法通信。（4）存在数字签名的困难性。当用对称密码算法实现数字签名时，由于通信双方拥有相同的密钥，使得接收方可以伪造数字签名，发送方可以抵赖发送过的消息。对称密码体制对称密钥密码体制可分为： 分组密码每次对一块数据加密。如，多数网络加密应用：DES、IDEA、RC6、Rijndael等 流密码每次对一位或一字节加密。如，手机、One-time padding、Vigenre、Vernam等非对称密码体制# 加密密钥与解密密钥不同：K1K2在通信前，每个用户都有一对用于加密和解密的密钥对，公钥可以发布，私钥自己保管。非对称密码体制优点：（1）密钥分配简单。不需要安全方式传送密钥。公钥可以由密钥分发中心分发，私钥由用户秘密保管。（2）系统密钥量少，便于管理。n个用户仅需要产生n对密钥。（3）系统开放性好（4）可以实现数字签名局限性：与对称密码体制相比，加、解密运算复杂，处理速度较慢，同等安全强度下，非