密码学复习全解市公开课金奖市赛课一等奖课件

1、当代密码学（复习）聂旭云第1页目 录概述流密码分组密码公钥密码杂凑算法数字署名密码协议第2页第一章 引言第3页复习关键点密码学基本概念密码学分类密码体制攻击四种类型仿射密码体制加密、解密原理，计算最少一个实例第4页密码算法基本概念明文要处理数据密文处理后数据密钥秘密参数加密函数解密函数第5页密码算法密码算法怎样结构？需求1：可逆算法使用者能够求得逆函数需求2：不可逆敌手无法将密文恢复成明文秘密参数密钥密码算法实际上是一个带有秘密参数函数。知道秘密参数，求逆非常轻易不知道秘密参数，求逆在计算上是不可行第6页密码学概述密码学是研究密码系统或通信安全一门科学，它包含两个分支：密码编码学和密码分析学。

2、密码编码学主要目标是寻求确保消息机密性或认证方法，密码分析学主要研究加密消息破译和消息伪造。密码学目标：机密性、数据完整性、认证和不可否定性。第7页加密和解密函数表示式为：EK1（M）=CDK2（C）=M函数必须含有特征是，DK2（EK1（M）=M，以下列图所表示。加密解密明文密文原始明文加密密钥解密密钥第8页对称算法 早期密钥算法是对称算法（Symmetric Algorithm），就是加密密钥能够从解密密钥中推算出来，反之亦然。多数对称算法中，加密和解密由同一个密钥来控制，也叫“单钥算法”，如图所表示。第9页非对称算法用作加密密钥不一样于用作解密密钥，而且解密密钥不能依据加密密钥计算出来，

3、就是非对称算法（Asymmetric Algorithm），也叫公钥算法（Public-key Algorithm）或双钥算法，如图所表示。 第10页1.3.3 密码攻击概述第11页依据密码分析者可能取得分析资料不一样，可将密码分析（或攻击）分为：唯密文攻击、已知明文攻击、选择明文攻击和选择密文攻击。唯密文攻击是指密码分析者取得一个或多个用同一密钥加密密文，当然分析者也知道加密算法。已知明文攻击是指除要破译密文外，密码分析者还取得一些用同一密钥加密密文/明文对。选择明文攻击是指密码分析者可取得他所选择任何明文所对应密文（不包含他要恢复明文），这些密文对和要破译密文是用同一密钥加密。选择密文攻击

4、是指密码分析者可取得他所选择任何密文所对应明文（要破译密文除外），这些密文和明文和要破译密文是用同一解密密钥解密。第12页第13页第14页第15页第16页第17页第18页第19页Vigenre密码第20页第21页第二章 流密码第22页复习关键点流密码基本思想线性反馈移位存放器序列基本概念特征多项式序列周期m序列定义m序列伪随机性m序列破译第23页 流密码基本概念流密码是将明文划分成字符(如单个字母)，或其编码基本单元(如0, 1数字)，字符分别与密钥流作用进行加密，解密时以同时产生一样密钥流实现。流密码强度完全依赖于密钥序列随机性(Randomness)和不可预测性(Unpredictabil

5、ity)。关键问题是密钥流生成器设计。保持收发两端密钥流准确同时是实现可靠解密关键技术。第24页流密码框图kI 安 全 信 道 kI KG KG ki ki mi ci ci mi Eki(mi) Eki(mi)第25页 线性反馈移位存放器 f(x)为线性函数，输出序列满足下式 第26页n级线性移位存放器输出序列ai满足递推关系an+k=c1an+k-1 c2an+k-2 cnak (*)LFSR特征多项式p(x)=1+c1x+cn-1xn-1cnxn线性移位存放器一元多项式表示第27页n级LFSR输出序列周期r不依赖于初始条件，而依赖于特征多项式p(x)。序列周期到达最大2n-1，这种序列就

6、是m序列。显然对于特征多项式一样，而仅初始条件不一样两个输出序列，一个记为a(1)i，另一个记为a(2)i，其中一个必是另一个移位，即存在一个常数k，使得a(1)i=a(2)k+i, i=1, 2,4、 n级LFSR输出序列为m序列，当且仅当其反馈多项式是本原多项式第28页第29页第30页若敌手得到一段长为2n密钥序列由此可推出线性反馈移位存放器连续n+1个状态：第31页做矩阵而若X可逆，则第32页第三章 分组密码第33页复习关键点分组密码设计准则分组密码分类分组密码四种工作模式DES算法主要原理及参数AES算法主要原理及参数有限域上元素乘法运算GF（256）域中模多项式运算第34页分组密码概

7、述 明文序列 x1, x2, xi, 加密函数E: VnKVn 这种密码实质上是字长为m数字序列代换密码。 解密算法加密算法密钥k=(k0, k1, kt-1 )密钥k=(k0, k1, kt-1 )明文x=(x0, x1, xm-1)明文x=(x0, x1, xm-1)密文x=(y0, y1, ym-1)第35页分组密码设计准则混同：人们所设计密码应使用使得密钥和明文以及密文之间依赖关系相当复杂以至于这种依赖性对密码分析者来说是无法利用。扩散：人们所设计密码应使得密钥每一位数字影响密文许多位数字以预防对密钥进行逐段破译，而且明文每一位数字也应影响密文许多位数字方便隐藏明文数字统计特征。第36

8、页分组密码主要总体结构类型分组密码算法普通采取迭代方式来使用乘积密码，其主要总体结构类型有两种：Feistel密码和SP网络。DES 是Feistel密码代表。AES是SP结构代表。 第37页乘积密码指次序地执行两个或多个基本密码系统，使得最终结果密码强度高于每个基本密码系统产生结果.Feistel还提出了实当代换和置换方法。其思想实际上是Shannon提出利用乘积密码实现混同和扩散思想详细应用。Feistel密码结构第38页图3.3 Feistel网络示意图第39页Feistel加密结构输入是分组长为2w明文和一个密钥K。将每组明文分成左右两半L0和R0，在进行完n轮迭代后，左右两半再合并到

9、一起以产生密文分组。其第i轮迭代输入为前一轮输出函数：其中Ki是第i轮用子密钥，由加密密钥K得到。普通地，各轮子密钥彼此不一样而且与K也不一样。第40页图3.4 Feistel加解密过程第41页 主要工作模式 即使有了安全分组密码算法，也需要采取适当工作模式来隐蔽明文统计特征、数据格式等，以提升整体安全性，降低删除、重放、插入和伪造成功机会。电子码本(ECB)密码反馈链接(CBC) 密码反馈(CFB)输出反馈(OFB) 。 第42页 电码本ECB模式直接利用加密算法分别对分组数据组加密。在给定密钥下同一明文组总产生一样密文组。这会暴露明文数据格式和统计特征。 明文数据都有固定格式，需要以协议形

10、式定义，主要数据经常在同一位置上出现，使密码分析者能够对其进行统计分析、重传和代换攻击。第43页 电码本ECB模式 xykDESyxkDES-1第44页密码分组链接CBC模式每个明文组xi加密之前，先与反馈至输入端前一组密文yi-1按位模2求和后，再送至加密算法加密各密文组yi不但与当前明文组xi相关，而且经过反馈作用还与以前明文组x1, x2, xi-1，相关加密：yi=DESK(xi yi-1)，y0=IV 解密：xi=DESK-1(yi) yi-1第45页密码分组链接CBC模式 初始矢量IV(Initial Vector)：第一组明文xi加密时尚无反馈密文，为此需要在存放器中预先置入一个

11、。收发双方必须选取同一IV。实际上，IV完整性要比其保密性更为主要。在CBC模式下，最好是每发一个消息，都改变IV，比如将其值加一。第46页密码分组链接CBC模式 CBC模式xiyikDESyixkDES-1+64 bit存放64 bit存放y i-1第47页CBC优缺点优点：能隐蔽明文数据模式，在某种程度上能预防数据纂改，诸如重放、嵌入和删除等。缺点：会出现传输错误，对同时差错敏感（增加或丢失一个或多个比特）。第48页CBC错误传输1. 明文有一组中有错，会使以后密文组都受影响，但经解密后恢复结果，除原有误一组外，其后各组明文都正确地恢复。2.若在传送过程中，某组密文组yi犯错时，则该组恢复

12、明文xi和下一组恢复数据xi+1犯错。再后面组将不会受yi中错误比特影响。第49页k-比特密码反馈CFB模式若待加密消息必须按字符(如电传电报)或按比特处理时，可采取CFB模式。CFB实际上是将加密算法DES作为一个密钥流产生器，当k1时就退化为前面讨论流密码了。CFB与CBC区分是反馈密文长度为k，且不是直接与明文相加，而是反馈至密钥产生器。第50页k-比特密码反馈CFB模式 CFB模式 + +xixiyiyikkXi 64bitXi 64bitYi 64bitYi 64bitDES DES-1 选最左边 k 位 选最左边 k 位k bitk bityi-Lyi-2yi-1第51页k-比特密

13、码反馈CFB模式CFB优点它尤其适于用户数据格式需要。能隐蔽明文数据图样，也能检测出对手对于密文篡改。CFB缺点对信道错误较敏感，且会造成错误传输。CFB也需要一个初始矢量，并要和密钥同时进行更换。第52页输出反馈OFB模式将分组密码算法作为一个密钥流产生器，其输出k-bit密钥直接反馈至分组密码输入端，同时这k-bit密钥和输入k-bit明文段进行对应位模2相加。克服了CBC和CFB错误传输所带来问题。 对于密文被篡改难以进行检测不含有自同时能力，要求系统要保持严格同时第53页输出反馈OFB模式 OFB模式 +xiyik64bit64bitDES 选最左边 k 位ki64 bit 存放器k

14、bitk bit +xiyik64bit64bit DES-1 选最左边 k 位k bit64 bit 存放器k bitki第54页DES 算法分组长度为64 bits (8 bytes)密文分组长度也是64 bits。密钥长度为64 bits，有8 bits奇偶校验，有效密钥长度为56 bits。算法主要包含：初始置换IP、16轮迭代乘积变换、逆初始置换IP-1以及16个子密钥产生器。 第55页DES算法框图 输入 64 bit明文数据 初始置换IP 乘积变换 （16轮迭代） 逆初始置换IP-1 64 bit密文数据 输出 标准数据加密算法第56页DESS1-盒输入和输出关系x5 x0 x5

15、 x4 x3 x2 x1 x0 1 0 1 0 1 1 0 0 列号 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 行号 0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 1 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 2 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 3 15 12 8 2 4 9 1 7 5 11 2 14 10 0 6 13 (y3 , y2, y1 , y0)=(0,0,1,0)第57页 AES提出1997年1月，美国NIST向全世界密码学界发出征集

16、二十一世纪高级加密标准（AESAdvanced Encryption Standard）算法公告，并成立了AES标准工作研究室，1997年4月15日例会制定了对AES评定标准。 第58页算法说明分组和密钥长度可变，各自可独立指定为128、192、256比特。状态算法中间结果也需要分组，称之为状态，状态能够用以字节为元素矩阵阵列表示，该阵列有4行，列数Nb为分组长度除32种子密钥以字节为元素矩阵阵列描述，阵列为4行，列数Nk为密钥长度除32第59页第60页字节代换非线性代换，独立地对状态每个字节进行，而且代换表(S盒)可逆，记为ByteSub(State),分两步将字节作为GF(28)上元素映射

17、到自己逆元将字节做以下GF(2)上变换第61页字节代换第62页AESS盒y0123456789abcdefx0637c777bf26b6fc53001672bfed7ab761ca82c97dfa5947f0add4a2af9ca472c02b7fd9326363ff7cc34a5e5f171d83115304c723c31896059a071280e2eb27b275409832c1a1b6e5aa0523bd6b329e32f84553d100ed20fcb15b6acbbe394a4c58cf6d0efaafb434d338545f9027f503c9fa8751a3408f929d38

18、f5bcb6da2110fff3d28cd0c13ec5f974417c4a77e3d645d1973960814fdc222a908846eeb814de5e0bdbae0323a0a4906245cc2d3ac629195e479be7c8376d8dd54ea96c56f4ea657aae08cba78252e1ca6b4c6e8dd741f4bbd8b8ad703eB5664803f60e613557b986c11d9eee1f8981169d98e949b1e87e9ce5528dff8ca1890dbfe6426841992d0fB054bb16第63页定理3.1 系数在GF(28

19、)上多项式a3x3+a2x2+a1x+a0是模x4+1可逆，当且仅当矩阵在GF(28)上可逆。第64页证实：a3x3+a2x2+a1x+a0是模x4+1可逆，当且仅当存在多项式h3x3+h2x2+h1x+h0(a3x3+a2x2+a1x+a0)(h3x3+h2x2+h1x+h0)=1 mod(x4+1)所以有(a3x3+a2x2+a1x+a0)(h2x3+h1x2+h0 x+h3)=x mod (x4+1)(a3x3+a2x2+a1x+a0)(h1x3+h0 x2+h3x+h2)=x2 mod (x4+1)(a3x3+a2x2+a1x+a0)(h0 x3+h3x2+h2x+h1)=x3 mod

20、(x4+1)第65页将以上关系写成矩阵形式即得（证毕）第66页SMS4概况SMS4分组密码算法是国家密码管理局于1月6日公布无线局域网产品使用密码算法，是国内官方公布第一个商用密码算法。SMS4是一个分组密码算法，分组长度和密钥长度均为128比特。加密算法与密钥扩展算法都采取32轮非线性迭代结构。非线性变换中所使用S盒是一个含有很好密码学特征、由8比特输入产生8比特输出置换，在设计原理上，SMS4比AESS盒设计多了一个仿射变换。SMS4有很高灵活性，所采取S盒能够灵活地被替换，以应对突发性安全威胁。算法32轮迭代采取串行处理，这与AES中每轮使用代换和混同并行地处理整个分组有很大不一样。它解

21、密算法与加密算法结构相同，只是轮密钥使用次序相反，解密轮密钥是加密轮密钥逆序。 第67页SMS4算法术语说明在SMS4算法中，用 表示比特向量集， 中元素称为字节， 中元素称为字。SMS4算法中结构了一个与AES类似S盒，该S盒是一个固定8比特输入8比特输出置换，记为SMS4中采取了两个基本运算： ，32比特异或； ，32比特循环左移 i 位。第68页SMS4算法术语说明（续）SMS4算法加密密钥长度为128比特，表示为， 其中， 为字。轮密钥为， ， 为字。轮密钥由加密密钥经过密钥扩展算法生成。 为系统参数， 为固定参数，用于密钥扩展算法。第69页SMS4 轮函数设输入为 ，轮密钥为 ，则轮

22、函数为：其中 称为合成置换，是一个由非线性变换和线性变换复合而成可逆变换，即 第70页XiXi+1Xi+2Xi+3rkia0a1a2a3b0b1b2b3ssssB2B10B18B1，假如gcd(a, n) = 1,则:a(n) 1mod n. eg: 求3801后两位数字 解： 3801（mod 100）结果 (100) = 100(1-1/2)(1-1/5) = 40， 有3801 (340)2031 3 (mod 100)第78页RSA加密算法描述密钥产生独立地选取两大素数p和q(各100200位十进制数字)计算 n=pq，其欧拉函数值(n)=(p1)(q1) 随机选一整数e，1eq，由(

23、n)=(p-1)(q-1)，则有 p+q=n-(n)+1以及由此可见，由p、q确定(n)和由(n)确定p、q是等价。第85页第86页(1) ElGamal密码体制原理 密钥产生过程： 首先选择一素数p以及两个小于p随机数g和x，计算ygx mod p。公钥：(y, g, p)私钥：xElGamal密码体制第87页ElGamal 加密加密过程： 设欲加密明文消息M，随机选一与p-1互素整数k，0=k=p-1 计算密文对: C = C1,C2 C1gk mod p,C2ykM mod p，发送到接收者k 需要永久保密 第88页解密过程：计算明文: 这是因为ElGamal 解密第89页第90页第91

24、页第92页第93页第94页ECC实现Elgamal密码体制选取一条椭圆曲线，得到Ep(a,b)。将明文消息经过编码嵌入曲线上得到点pm取Ep(a,b)生成元G， Ep(a,b)和G为公开参数用户选取nA为秘密钥，PA=nAG为公开钥。加密：选随机正整数k，密文为 Cm=(C1 ,C2)= (kG,Pm+kPA)解密： C2 +nA C1 =Pm+kPA-nAkG=Pm第95页椭圆曲线密码体制优点安全性高攻击有限域上离散对数可用指数积分法，运算复杂度为 。 对ECC上离散对数攻击并不有效。攻击ECC上离散对数问题方法只有大步小步法，复杂度为 。pmax是ECC形成交换群阶最大素因子，所以ECC上

25、密码体制比基于有限域上离散对数问题公钥体制更安全第96页第五章 Hash函数第97页复习关键点杂凑函数定义及性质杂凑函数设计普通模式MD5分组长度、填充、摘要长度、迭代轮数SHA1分组长度、填充、摘要长度、迭代轮数第98页杂凑函数应满足条件函数输入能够是任意长函数输出是固定长已知x,求H(x)较为轻易已知h，求H(x)h在计算上不可行，即单向杂凑函数，对于任意x,找不一样y，使H(x)=H(y)在计算上不可行，假如满足这一性质，称为弱单向杂凑函数（抗弱碰撞）找出任意两个不一样x,y，是H(x)=H(y)在计算上不可行，满足这一性质，称为强单向杂凑函数（抗强碰撞）第99页迭代型杂凑函数普通结构f

26、ffY0Y1YL-1bbbnnnnnIV=CV0CV1CVL-1CVL明文M被分为L个分组Y0,Y1,YL-1b:明文分组长度n:输出hash长度CV：各级输出，最终一个输出值是hash值无碰撞压缩函数f是设计关键第100页MD5杂凑算法MD4是MD5杂凑算法前身，由Ron Rivest于1990年10月作为RFC提出，1992年4月公布MD4改进（RFC 1320，1321）称为MD5。第101页6.3.1 算法描述MD5算法采取图6.4描述迭代型杂凑函数普通结构，算法框图如图6.5所表示。算法输入为任意长消息（图中为K比特），分为512比专长分组，输出为128比特消息摘要。第102页图6.

27、5 MD5算法框图第103页MD5安全性第104页安全杂凑算法安全杂凑算法SHA(Secure Hash Algorithm)由美国NIST设计，于1993年作为联邦信息处理标准（FIPS PUB 180）公布。SHA-0是SHA早期版本，SHA-0被公布后，NIST很快就发觉了它缺点，修改后版本称为SHA-1，简称为SHA。SHA是基于MD4算法，其结构与MD4非常类似。 第105页算法描述算法输入为小于264比专长任意消息，分为512比专长分组，输出为160比专长消息摘要。算法框图与图6.5一样，但杂凑值长度和链接变量长度为160比特。第106页算法处理过程有以下几步： 对消息填充与MD5

28、步骤完全相同。 附加消息长度与MD5步骤类似，不一样之处于于以big-endian方式表示填充前消息长度。即步骤留出64比特看成64比专长无符号整数。 对MD缓冲区初始化算法使用160比专长缓冲区存放中间结果和最终杂凑值，缓冲区可表示为5个32比专长存放器(A, B, C, D, E)，每个存放器都以big-endian方式存放数据，其初始值分别为A=67452301，B=EFCDAB89，C=98BADCFB，D=10325476，E=C3D2E1F0。第107页 以分组为单位对消息进行处理每一分组Yq都经一压缩函数处理，压缩函数由4轮处理过程（如图6.8所表示）组成，每一轮又由20步迭代组

29、成。4轮处理过程结构一样，但所用基本逻辑函数不一样，分别表示为f1,f2,f3,f4。每轮输入为当前处理消息分组Yq和缓冲区当前值A,B,C,D,E，输出仍放在缓冲区以替换A,B,C,D,E旧值，每轮处理过程还需加上一个加法常量Kt，其中0t79表示迭代步数。80个常量中实际上只有4个不一样取值，如表6.5所表示，其中 为x整数部分。（见178页表6.5）第108页SHA与MD5比较抗穷搜索能力寻找指定hash值， SHA：O(2160)，MD5：O(2128)生日攻击： SHA：O(280)，MD5：O(264)抗密码分析攻击强度SHA高于MD5速度SHA较MD5慢简捷与紧致性描述都比较简单

30、，都不需要大程序和代换表第109页第六章 数字署名第110页复习关键点数字署名和手写署名区分与联络RSA数字署名体制原理、弱点及改进ElGamal数字署名体制DSS数字署名体制基于求解离散对数困难问题数字署名各种变体第111页数字署名传统署名基本特点:能与被签文件在物理上不可分割署名者不能否定自己署名署名不能被伪造轻易被验证数字署名是传统署名数字化,基本要求:能与所签文件“绑定”署名者不能否定自己署名署名不能被伪造轻易被自动验证 第112页数字署名应含有性质必须能够验证作者及其署名日期时间；必须能够认证署名时刻内容；署名必须能够由第三方验证，以处理争议；所以，数字署名功效包含了认证功效第113

31、页数字署名设计要求署名必须是依赖于被署名信息一个比特串；署名必须使用一些对发送者是唯一信息，以预防双方伪造是否定；必须相对轻易生成该数字署名；必须相对轻易识别和验证该数字署名；伪造该数字署名在计算上不可行，既包含对一个已经有数字署名结构新消息，也包含对一个给定消息伪造一个数字署名；在存放器中保留一个数字署名副本是现实可行。第114页由加密算法产生数字署名RSA署名体制体制参数大素数p,q，n=pq, y(n)=(p-1)(q-1)。选整数1e y(n),且gcd(e, y(n)=1;计算d满足de1 mod y(n). e,n为公开密钥，d,n为秘密密钥。署名过程S=Md mod n，署名S与

32、消息M一起发送给验证者验证过程是否有M=Se mod n，若等式成立，则署名为真，反之为假第115页RSA数字署名方案弱点任何人能经过对某一S计算M=Se mod n，伪造一个随机消息M署名S。假如M1和M2署名分别为S1和S2，则任何拥有M1、M2 、S1和S2敌手都能够伪造 M1M2 署名。署名者每次仅能签log2n比专长消息。处理方法：引入hash函数。第116页ElGamal数字署名体制 ElGamal数字署名体制是T.ElGamal在1985年发表关于ElGamal公开密钥密码时给出两个体制之一，该体制中主要有NIST于1991年公布数字署名标准中所使用数字署名算法（DSA），专门用

33、于数字署名，它安全性主要基于求解离散对数问题困难性。第117页ElGamal数字署名1参数与密钥生成 选取大素数p, 是一个本原元。p和g公开。 随机选取整数x,1xp2，计算 。 公钥为y，私钥为x。2署名 对于消息m，首先随机选取一个整数k, 1kp2 ，然后计算： , 则m署名为(r, s)，其中h为Hash函数。3验证 对于消息署名对(m, (r, s)，假如： 则(r, s)是m有效署名。第118页因为s = (h (m) xr) k1 mod (p1)我们有sk+xr =h(m)mod(p1)所以署名合理性证实第119页2. ElGamal署名安全性分析 ElGamal数字署名可能

34、存在以下三种攻击方式。第一个攻击方法：因为私钥 是保密，所以，攻击者要得到这个密钥，必须求解离散对数问题 ，这是一个困难问题。不过，秘密随机数 一旦暴露，则解： ，即可求得密钥 ，方案被攻破。第120页第二种攻击方法：关于秘密随机数K另一个问题是：不可用同一个K作两次署名。但若A利用相同K署名两次，即 署名为 及 ，则攻击者能够由联立方程式 可得： ，同时能够求得K。所以，同一个K不可重复使用。第121页5.4 DSS数字署名标准1参数与密钥生成 选取大素数p，满足 p ，其中512L1024且L是64倍数。显然，p是L位长素数，L从512到1024且是64倍数。 选取大素数q，q是p1一个素

35、因子且 ，即q是160位素数且是p1素因子。 选取一个生成元 ，其中h是一个整数，满足1hp1而且 。 随机选取整数x，0 xq，计算 。 p、q和g是公开参数，y为公钥，x为私钥。第122页2署名 对于消息m，首先随机选取一个整数k , 0kq，然后计算： , 则m署名为(r, s)，其中h为Hash函数，DSS要求Hash函数为SHA-1。3验证 对于消息署名对(m, (r, s)，首先计算： 然后验证： 假如等式成立，则(r, s)是m有效署名；不然署名无效。第123页算法合理性证实因为： s=k1 (h (m)+ xr)mod q所以： ks = (h (m)+ xr)mod q于是我

36、们有：第124页第七章 密码协议第125页复习关键点Diffie-Hellman密钥交换原理及安全性Shamir门限方案Kerberos认证协议第126页用户B用户ADiffie-Hellman密钥交换W.Diffie和M.Hellman1976年提出算法安全性基于求离散对数困难性选择随机数xp计算YA= gx mod p选择随机数yp计算YB= gy mod pYAYB计算K=YA y = gxy mod p计算K=YB x = gxy mod p第127页中间人攻击用户B选择随机数yp计算YB= gy mod p计算KBC =YCy = gyz mod p用户A选择随机数xp计算YA= gx mod p计算KAC=YC x = gxz mod p敌手C选择随机数zp计算YC= gz mod p计算KBC =YB z = gyz mod pYAYCYC计算KAC =YA z = gxz mod pYB第128页端到端协议1992年，Diffie、Oorschot和Wiener提出了一个端到端协议（station-to-station protocol） 第129页隐式密钥认证Matsumoto-Takashima-Imai密钥协商可抵抗中间人攻击第130页门限方案普通概念秘密s被分为n个部分,每个部分称为shadow,由一个参加者持有，使得由k个或多于k个参加者所持有部分信