互联网计算机安全保密200804密码学基础

9/8/202219/8/20222第四章

密码学根底4.1密码学概述4.2传统密码学4.3分组密码4.4公钥密码4.5密钥管理9/8/202234.1密码学概述

1.加密和解密密码学是一门古老而又年轻的科学。4000年前的埃及遗迹上发现密写文字。两千多年前恺撒就开始使用目前称为“恺撒密码〞的密码系统。现代密码学涉及数论、有限域、复杂性理论、组合数学、概率论、量子力学、现代光学、混沌理论、信息论、计算机科学等学科。9/8/20224蝴蝶效应气象学家洛伦兹在1963年讲述了一种“蝴蝶效应〞：南美洲亚马逊河流域热带雨林中一只蝴蝶偶尔扇动了几次翅膀，所引起的微弱气流对地球大气的影响可能随时间增长而不是减弱，甚至可能在两周后在美国得克萨斯州引起一场龙卷风。9/8/20225蝴蝶效应“蝴蝶效应〞由气象研究引出，但是社会、经济生活的方方面面都表现出很强的“蝴蝶效应〞，特别是在世界经济一体化加速、互相依赖性加强、虚拟特征日益明显的情况下，一点很小的初始扰动，都有可能被放大后变成一场巨大的经济危机。9/8/20226蝴蝶效应蝴蝶效应产生一般要有三个根本条件：1、初始条件的误差。2、事物间存在相互依赖性。3、非线性因素的介入。9/8/20227蝴蝶效应“蝴蝶效应〞表述了一种混沌状态的不确定性，面对这种现象人类也不是无所作为的。(1)引起“蝴蝶效应〞的主要原因不是蝴蝶，蝴蝶只是一个触发因素。这样的系统，即使没有蝴蝶引起的扰动，也会有其他因素来触发。要防止“蝴蝶效应〞，重要的在于系统设计中在保持系统流畅性、关联性的同时，要给各个局部之间设置适当的“控制阀〞，使得微小扰动产生的扩展不至于在没有控制的情况下无限制的传递下去，从而带来灾难性的后果。9/8/20228蝴蝶效应(2)偏差捕获的时机。在扰动产生的初期，扰动带来的偏差解决容易，但越是往扰动的源头寻找，发现偏差要求的能力就越高，投入就越大。(3)蝴蝶效应带来的不一定都是负面的。9/8/202291.加密和解密一战前重要的密码学进展很少出现在公开文献中，但该领域却和其它专业学科一样向前开展。1918年，二十世纪最有影响的密码分析文章之一WilliamF.Friedman的专题论文?重合指数及其在密码学中的应用?作为私立的“河岸(Riverbank)实验室〞的一份研究报告问世了，这篇著作涉及的工作是在战时完成的。9/8/202210加密和解密

(Encrypt&Decrypt)同年，加州奥克兰的EdwardH.Hebern申请了第一个转轮机专利，这种装置在差不多50年里被指定为美军的主要密码设备。一战后，密码完全处于秘密工作状态的美国陆军和海军的机要部门开始在密码学方面取得根本性的进展。9/8/2022111.加密和解密30年代和40年代，有几篇根底性的文章出现在公开的文献中，有关该领域的几篇论文也发表了，只不过这些论文的内容离当时真正的技术水平相去甚远，战争结束时，公开的文献几乎殆尽。9/8/2022121.加密和解密只有一个突出的例外，那就是仙农(ClaudeShannon)的文章?保密系统的通信理论?出现在1949年?贝尔系统技术杂志?上，文章也是战时工作的产物。这篇文章在第二次世界大战结束后即被解密，可能是由于失误。1949年到1967年，密码学文献近乎空白。9/8/2022131.加密和解密1967年，DavidKahn的?破译者?出现了，它没有任何新的技术思想，但却对以往的密码学历史作了相当完整的记述，包括提及政府仍然认为是秘密的一些事情。?破译者?的意义在于它涉及到的相当广泛的领域，使成千上万原本不知道密码学的人了解密码学。新的密码学文章慢慢地开始源源不断地被编写出来了。9/8/2022141.加密和解密约1967年，早期为空军研制敌我识别装置的HorstFeistel在位于纽约约克镇高地的IBMWatson实验室里花费了毕生精力致力于密码学的研究。在那里他开始着手美国数据加密标准(DES)的研究，到70年代初期，IBM发表了Feistel和他的同事在这个课题方面的几篇技术报告。9/8/2022151.加密和解密需要密码学和密码分析学紧密结合互为促进。分析密码设计中的漏洞远比原先设计它们更难。9/8/2022161.加密和解密1949年，ClaudeElwoodShannon香农信息论之父。1949年仙农的文章?保密系统的通信理论?出现在?贝尔系统技术杂志?上，引起了密码学的一场革命。他提出了保密系统的Shannon模型。9/8/2022179/8/2022181.加密和解密香农1916年生于美国，1940年获得麻省理工学院数学博士学位和电子工程硕士学位。1941年他参加了贝尔实验室数学部，在此工作了15年。2001年2月24日，84岁的香农博士去世。9/8/2022191.加密和解密1948年6月和10月，由贝尔实验室出版的?贝尔系统技术?杂志连载了香农博士的文章?通讯的数学原理?，该文奠定了香农信息根本理论的根底。文中用非常简洁的数学公式定义了信息时代的根本概念：熵。在此根底上，他又定义了信道容量的概念，指出了用降低传输速率来换取高保真通讯的可能性。这些奉献对今天的通信工业具有革命性的影响。9/8/2022201.加密和解密“熵〞的概念起源于热力学，是度量分子不规那么热运动的单位。香农利用概率分布的理论给出“熵〞的严格定义。由于熵表达了事物所含的信息量，我们不可能用少于熵的比特数来确切表达这一事物。这一概念是所有无损压缩的标准和极限。熵也是导出无损压缩算法做到达或接近“熵〞的编码的源泉。9/8/2022211.加密和解密狭义信息论是关于通讯技术的理论，它是以数学方法研究通讯技术中关于信息的传输和变换规律的一门科学。广义信息论，那么超出了通讯技术的范围来研究信息问题，它以各种系统、各门科学中的信息为对象，广泛地研究信息的本质和特点，以及信息的取得、计量、传输、储存、处理、控制和利用的一般规律。9/8/2022221.加密和解密广义信息论包括了狭义信息论的内容，但其研究范围却比通讯领域广泛得多，是狭义信息论在各个领域的应用和推广，它的规律也更一般化，适用于各个领域，所以它是一门横断学科。广义信息论也称为信息科学。9/8/2022231.加密和解密信息理论可分为三个方面：(1)以编码为中心的信息论，是引发信息论的核心问题。(2)以信息作为主要研究对象，包括信号噪声的统计分析。(3)以计算机为中心的信息处理的根本理论。9/8/2022241.加密和解密编码技术密码技术信息压缩技术人类对信息的认识9/8/2022251.加密和解密近年来还产生了一些全新的密码技术：量子密码(QuantumCryptography)热流密码〔HeatFlowCryptography〕混沌密码〔ChaosCryptography〕图视密码(VisualCryptography)这些都还处于预研阶段，特别是其平安性和可靠性需要研究，离实用尚有距离。9/8/2022261.加密和解密量子密码装置一般采用单个光子实现，根据海森堡的测不准原理，测量这一量子系统会对该系统产生干扰并且会产生出关于该系统测量前状态的不完整信息。窃听一量子通信信道就会产生不可防止的干扰，合法的通信双方那么可由此而觉察到有人在窃听。9/8/2022271.加密和解密量子密码术利用这一效应，使从未见过面且事先没有共享秘密信息的通信双方建立通信密钥，然后再采用shannon已证明的是完善保密的一次一密钥密码通信，即可确保双方的秘密不泄漏。9/8/2022281.加密和解密量子密码学到达了经典密码学所无法到达的两个最终目的:(1)合法的通信双方可觉察潜在的窃听者并采取相应的措施；(2)使窃听者无法破解量子密码，无论企图破译者有多么强大的计算能力。量子密码术已被引入了计算机科学和物理学的最新前沿，量子密码学正在以很快的速度走向实际应用。9/8/2022291.加密和解密量子密码学主要应用在下述几方面：公共决定。量子密码除了可用于保密通信外，还可在保护专用信息的同时将这些信息用于作出公共决定。在约会问题中，如果并且仅仅两个人互相喜欢时，他们才寻找一种决定约会时间的方式，而用不着泄漏任何详细的信息；如果两个人中的a喜欢b而b不喜欢a，那么b就用不着去弄清楚a是否喜欢自己而放弃约会，另一方面，a那么不可防止地会了解到b不喜欢自己。9/8/2022301.加密和解密量子密码学主要应用在下述几方面：量子密钥的分配和存储。消息认证。量子密码术也可用于证明一条消息确是出自某人且在传送过程中未被改动过。比特承诺(bitcommitment)。量子密码术还可用于比特承诺，可用来得到零知识证明。9/8/2022311.加密和解密阿兰·图灵图灵1912年6月23日在伦敦出生，父亲是英国殖民地印度南部的行政官员。图灵出生后不久他父亲重新回到印度，十五个月后他的母亲也离开英国返回印度，把图灵一个人留在伦敦，由保姆和朋友抚养长大，一直到了图灵上寄宿学校的年纪。9/8/2022321.加密和解密14岁的图灵进入了雪伯恩(Sherborne)学校就读。在学校里他给人的印象是个爱害羞，做事笨手笨脚的男孩，但是在自然科学方面充满才华。1931年图灵进入剑桥大学国王学院。当时在剑桥的贝特朗·罗素等著名的逻辑学家。在这种环境下，图灵作出了他一生中最重要的科学奉献，在他著名的论文?论可计算数?中，他提出了日后以他名字命名的虚拟计算机器——图灵机。9/8/2022331.加密和解密1933年他受代码及加密学校的邀请成为一个密码分析专家。在分析了以前大量德国电文后，图灵发现许多电报有相当固定的格式，他可以根据电文中无关的内容信息来推断出一局部电文的内容。比方说，德国人每天的天气预报总在早上六点左右发出，要是在六点零五分截获了一份德国电报，它里面八成有Wetter这个词，也就是德文中的“天气〞。9/8/2022341.加密和解密图灵甚至能相当准确地知道这个词具体在密文的哪个位置。这就使得图灵想到了用“候选单词〞这一方法来破译ENIGMA电文。9/8/202235

阿兰·图灵9/8/2022369/8/2022379/8/2022389/8/2022399/8/202240Phaistos圆盘，直径约为160mm的Cretan-Mnoan粘土圆盘，始于公元前17世纪。外表有明显字间空格的字母，至今还没有破解。9/8/202241二战中美国陆军和海军使用的条形密码设备M-138-T4。根据1914年ParkerHitt的提议而设计。25个可选取的纸条按照预先编排的顺序编号和使用，主要用于低级的军事通信。9/8/202242Kryha密码机大约在1926年由AlexandervoKryha创造。这是一个多表加密设备，密钥长度为442，周期固定。一个由数量不等的齿的轮子引导密文轮不规那么运动。9/8/202243哈格林(Hagelin)密码机C-36由AktiebolagetCryptoeknidStockholm于1936年制造，密钥周期长度为3,900,255。9/8/202244M-209是哈格林对C-36改进后的产品，由SmithCorna负责为美国陆军生产。它的密码周期到达了101,105,950。9/8/202245转轮密码机ENIGMA，由ArthurScherbius于1919年创造，面板前有灯泡和插接板；4轮ENIGMA在1944年装备德国海军，据说英国从1942年2月到12月都没能解读德国潜艇的信号。9/8/202246英国的TYPEX打字密码机，是德国3轮ENIGMA的改进型密码机。它在英国通信中使用广泛，且在破译密钥后帮助破解德国信号。9/8/202247在线密码电传机LorenzSZ42，大约在1943年由LorenzA.G制造。英国人称其为“tunny〞，用于德国战略级陆军司令部。SZ40/SZ42加密因为德国人的加密错误而被英国人破解，此后英国人一直使用电子COLOSSUS机器解读德国信号。9/8/2022489/8/202249日本制造的转动式密码机。9/8/2022501.加密和解密与加密有关的法规?中华人民共和国保守国家秘密法??计算机信息系统国际联网保密管理规定?〔国家保密局发布〕?商用密码管理条例?中华人民共和国国务院令第273号,自1999年10月7日起实行。9/8/2022511.加密和解密我国商用密码管理的原那么:密码机进、出口要报经国家密码管理委员会审批。中共中央办公厅在1996年27号文中，明确了我国开展和管理商用密码实行“统一领导、集中管理、定点研制、专控经营、满足使用〞的20字方针。9/8/2022521.加密和解密密码学(Cryptography)一词来源于古希腊的Crypto和Graphein，意思是“密写〞。密码学是以认识密码变换的本质、研究密码保密与破译的根本规律为对象的学科。现代密码学的学科体系主要包括：密码编码学和密码分析学。9/8/2022531.加密和解密密码编码学：研究密码变化的规律并用于编制密码以保护秘密信息的科学。密码分析学：研究密码变化的规律并用于密码以获取信息情报的科学也叫密码破译学。9/8/2022541.加密和解密现代密码学除了包括以上两个主要学科外，还包括近几年才形成的新分支密码密钥学。密钥管理是一种规程，它包括密钥的产生、分配、存贮、保护、销毁等环节，在保密系统中至关重要。9/8/202255加密器E解密器D接收者发送者明文m明文m’密文cc=E(m)m’=D(c)m’=D(c)=D(E(m))m=m’1.加密和解密9/8/2022561.加密和解密加密器和解密器的特点：(1)可以采用硬件或软件构成。(2)加密器和解密器有一组数学算法构成。(3)在一个加密、解密过程中，加密器和解密器的构成可以相同，也可不同。(4)加密器和解密器需要保密。(不利!〕9/8/2022571.加密和解密加密器和解密器的特点：(4)加密器和解密器数学算法复杂，无法经常变更。(5)每次加密产生的密码相同。(不利!〕(6)长期使用，加密器和解密器的数学算法可能被猜破。(不利!〕9/8/2022581.加密和解密1.如何使用相同的加密系统生成不同的密码？2.加密器和解密器的结构和算法是否可以公开？请考虑一下问题：9/8/202259c=Ek1(m)m’=Dk2(c)m’=Dk2(c)=Dk2(Ek1(m))m=m’加密器Ek1解密器Dk2接收者发送者明文m明文m’密文ck1k2引入密钥1.加密和解密9/8/2022601.加密和解密引入密钥：▲密钥是一个控制参数；密钥k1、k2可相同或不同；每次加密可使用不同的密钥；密钥空间很大，难以猜中；9/8/2022611.加密和解密密码分析者：正常解密的必要条件：掌握解密器和密钥；密码可能被猜中；9/8/2022621.加密和解密1.加密方如何得到密钥？2.解密方如何得到密钥？9/8/2022631.加密和解密9/8/2022641.加密和解密密码体系的评价：保密强度密钥的长度算法的复杂度过失的传播性加密后信息长度的增加程度9/8/2022651.加密和解密在不同的层次上对网络数据加密对网络数据加密不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。一般的数据加密可以在通信的三个层次来实现:链路加密节点加密端到端加密9/8/2022661.加密和解密应用层传输层网络层链路层物理层链路加密节点加密端到端加密9/8/2022671.加密和解密1.链路加密(又称在线加密)对于在两个网络节点间的某一通信链路,链路加密能为网上传输的数据提供平安保证。链路加密是使所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密。然后先使用下一个链路的密钥对消息进行加密,再进行传输。9/8/2022681.加密和解密由于在每一个中间传输节点消息均被解密后重新进行加密，因此包括路由信息在内的链路上的所有数据均以密文形式出现。这样，链路加密就掩盖了被传输消息的源点与终点。链路加密通常用在点对点的同步或异步线路上，它要求先对在链路两端的加密设备进行同步，然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。9/8/2022691.加密和解密在一个网络节点,链路加密仅在通信链路上提供平安性,消息以明文形式存在,因此所有节点在物理上必须是平安的,否那么就会泄漏明文内容。保证每一个节点的平安性需要较高的费用。9/8/2022701.加密和解密2.节点加密节点加密能给网络数据提供较高的平安性。通信链路上为传输的消息在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。9/8/2022711.加密和解密节点加密不允许消息在网络节点以明文形式存在,这一过程是在节点上的一个平安模块中进行。节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。9/8/2022721.加密和解密3.端到端加密数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密时消息在被传输时到达终点之前不进行解密，因为消息在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。9/8/2022731.加密和解密端到端加密系统的价格廉价些,可靠性高,更容易设计、实现和维护。端到端加密防止了加密系统所固有的同步问题,因为每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。从用户对平安需求的直觉上讲,端到端加密更自然些。9/8/2022741.加密和解密单个用户可能会选用这种加密方法,以便不影响网络上的其他用户,此方法只需要源和目的节点是保密的即可。这种加密方法不能掩盖被传输消息的源点与终点,因此它对于防止攻击者分析通信业务是脆弱的。9/8/2022751.加密和解密9/8/2022762.对称算法和公开密钥算法1对称算法加密密钥可以从解密密钥中推算出来，或加密密钥与解密密钥相同。加密、解密双方在使用加密通信之前商定密钥。称为秘密密钥算法或单密钥算法。两类：序列密码(流密码)，分组密码。9/8/2022772.对称算法和公开密钥算法序列密码〔简单异或〕m=01010110(明文〕k=10101011(密钥〕c=11111101(密文)k=10101011(密钥〕m=01010110(明文〕9/8/2022782.对称算法和公开密钥算法密钥流发生器：周期应足够长，250。基于反响移位存放器。运算速度快，适合干线信息加密。9/8/2022792.对称算法和公开密钥算法分组密码体制：分组密码是将明文分成固定长度的组(块)，用同一密钥对每一块加密，输出也是固定长度的密文。易于解决密码同步问题，适合数据库加密和分组交换网的数据包加密。DES,IDEA,AES9/8/2022802.对称算法和公开密钥算法公钥密码算法(非对称算法)如将一个加密系统的加密密钥和解密密钥分开，加密和解密分别由两个密钥来实现，并且由加密密钥推导出解密密钥(或由解密密钥推导出加密密钥)在计算上是不可行的，一般系统是采用公钥密码体制。公钥密码体制的每一个用户都有一对选定的密钥，一个可以公开，一个由用户秘密保存。公钥密码体制的出现是对现代密码学的一个重大突破，它给计算机网络的平安带来了新的活力。9/8/2022812.对称算法和公开密钥算法20世纪70年代，斯坦福大学提出通过交换公开信息建立一个共享的秘密的方案，即Diffie-Hellmem方案。DH解决了一个密钥共享问题。RSA密码系统是较早提出的一种公开钥密码系统。1978年，美国麻省理工学院的Rivest,Shamir和Adleman在题为?获得数字签名和公开钥密码系统的方法?的论文中提出了基于数论的非对称密码体制，称为RSA密码体制。9/8/2022829/8/2022839/8/2022849/8/2022852.对称算法和公开密钥算法1978年RSA算法发表，RSA是三位创造者的名字的首字母。RSA是建立在“大整数的素因子分解是困难问题〞根底上的，是一种分组密码体制。1985年，Washington大学和IBMWatson研究中心提出“椭圆曲线〞算法。9/8/2022862.对称算法和公开密钥算法数字签名技术与数字化签名技术是两种截然不同的平安技术。数字签名使用了信息发送者的私有密钥变换所需传输的信息。对于不同的文档信息，发送者的数字签名并不相同。没有私有密钥,任何人都无法完成非法复制。数字签名是通过一个单向函数对要传送的报文进行处理得到的，用以认证报文来源并核实报文是否发生变化的一个字母数字串。9/8/2022872.对称算法和公开密钥算法数字签名可以解决否认、伪造、篡改及冒充等问题。发送者事后不能否认发送的报文签名,接收者能够核实发送者发送的报文签名,接收者不能伪造发送者的报文签名,接收者不能对发送者的报文进行局部篡改,网络中的某一用户不能冒充另一用户作为发送者或接收者。数字签名的应用范围十分广泛，但凡需要对用户的身份进行判断的情况都可以使用数字签名。9/8/2022882.对称算法和公开密钥算法解密者密钥源加密者1一对密钥,但彼此不同,不能相互代替.加密者2加密者3加密过程一把钥匙公开,称为“公钥〞.另一把钥匙保密,称为“私钥〞.PKSK9/8/2022892.对称算法和公开密钥算法加密者密钥源解密者1一对密钥,但彼此不同,不能相互代替.解密者2解密者3数字签名一把钥匙公开,称为“公钥〞.另一把钥匙保密,称为“私钥〞.PKSK9/8/2022903.随机序列与随机数密码学者定义“随机〞的含义是：随机值仅是通过了随机性统计检查的数集，并且是不可重复的。随机数的重要性真随机数序列和伪随机数序列随机数发生器9/8/2022913.随机序列与随机数伪随机数发生器：可以使用算法生成伪随机。可以使用种子(seed)的输入来改变输出。可以用时间、移动鼠标等来产生种子。9/8/2022923.随机序列与随机数伪随机数序列要满足以下特征：不可预测性随机性9/8/2022934.密码分析攻击密文的方法：(1)惟密文分析：只有一些密文(2)明文攻击：有一些密文和对应的明文(3)选择明文攻击：可选择被加密的明文，便于发现规律。(4)选择密文攻击：有时机接触密码机(5)蛮力攻击，穷举密钥。9/8/2022944.密码分析攻击密钥强力攻击：测试每一个密钥，直到找到正确的密钥。重构种子重构密钥。密钥长度：密钥长度每增加一位，密钥数量增加一倍。9/8/2022954.密码分析9/8/2022964.密码分析攻击算法(1)找到算法的弱点(2)重构算法度量攻破消息所花费的时间(1)选择一个不弱的算法；(2)加长密钥。(3)增加攻破消息所花费的时间。9/8/2022974.密码分析度量攻击的复杂性：(1)数据复杂性；(2)处理复杂性；(3)存储需求。攻击的复杂性取这三个因数的最小化，有些攻击包括这三种复杂性的折中,存储需求越大，攻击可能越快。9/8/2022984.密码分析密码体系性质(1)从密文恢复明文应是难事(2)从密文计算出局部信息应是难事(3)从密文探测出简单却有用的事实应是难事9/8/2022994.密码分析攻击效果完全攻破局部攻破密文识别实例推导信息推导9/8/20221004.密码分析评价密码体系平安性(1)无条件平安，具有完善保密性。如不管密码分析者有多少密文，都没有足够的信息恢复出明文，那么这个算法就是无条件保密的，一次一密密码本是无条件平安的，所有其它的密码系统在唯密文攻击中都是可破的(蛮力攻击)。9/8/20221014.密码分析(2)计算平安性。密码学更关心在计算上不可破译的密码系统。(3)可证明平安性。把密码体制平安性归约为某个数学难题，如大素数分解。9/8/20221024.密码分析(4)算法的平安性密码算法具有不同的平安等级：破译算法的代价大于加密数据的价值；破译算法所需的时间大于加密数据保密的时间；用单密钥加密的数据量小于破译算法需要的数据量。9/8/20221034.密码分析仅当密钥至少和明文一样长时才无条件平安(Shannon理论)。密码学更关心在计算上不可破译的密码系统。如果一个算法用现在或将来使用可得到的资源都不能破译，这个算法那么被认为在计算上是平安的。9/8/20221045.密码协议密码协议，又称平安协议。特点：密码协议是一个有序的过程；密码协议至少有两个参与者；密码协议需要某项任务。用于消息认证，数字签名等。9/8/20221055.密码协议(1)密钥建立协议：建立密码协议的目的在两个或多个实体之间建立会话密钥，可通过一个可信效劳器向用户分发密钥(密钥分发协议)，也可由两用户协商产生密钥。(2)认证协议认证协议防止假冒攻击可以对密码算法、协议中的密码技术、协议本身进行攻击。Kerberos协议,SSL协议，SET协议。9/8/20221064.2传统密码学

1.置换密码置换密码，换位密码换位密码是采用移位法进行加密。它把明文重新排列，本身不变，但位置变了。(1)列换位法(2)矩阵换位法9/8/20221071.置换密码(1)列换位法例：P=WHATYOUCANLEARNFROMTHISBOOK分组WHATYOUCANLEARNFROMTHISBOOK***EK(P)=WOLFHOHUERIKACAOS*TARMB*YNNTO*K=59/8/20221081.置换密码2)矩阵换位法例P=ENGINGEERING3*4矩阵:1234ENGINGEERING9/8/20221091.置换密码(2)矩阵换位法例P=ENGINGEERING给定置换矩阵:f=123424139/8/20221101.置换密码(2)矩阵换位法结果：1234NIEGERNENIGP=NIEGERNENIG9/8/20221112.代换密码代换密码，替代密码：将明文中的每一个字符用密文中的另一个字符代换，代换后各字符位置不变。(1)简单代替密码(2)多字母替代密码(3)多表替代密码(4)多名码替代密码(5)多字母组代替密码9/8/20221122.置换密码(1)简表代替密码(恺撒密码)明文中的一个字母用相应的一个密文字母代替。是一种典型的凯萨密码，也叫循环移位密码。F(a)=(a+k)modnA表示明文字母，n为字符集中字母的个数，K为密钥。9/8/20221132.置换密码例:字母表A1B2C3D4E5F6………….9/8/20221142.置换密码设:K=3明文P=computersystem那么F(c)=(3+3)mod26=6=fF(o)=(15+3)mod26=18=rF(m)=(13+3)mod26=16=p密文:C=Ek(P)=frpsxr…….特点:简单,平安性差。9/8/20221152.置换密码(2)多表替代密码又叫维吉尼亚密码。这种替代是循环的使用有限个字母来实现替代的一种方法。例：P=HOWAREYOUK=YOURYOURYC=FCQRPSSFS9/8/20221162.置换密码维吉尼亚体制是最古老而且最著名的多表密码体制之一，它以法国密码学家BlaisedeVigenere(1523--1596)命名。与CAESAR密码体制相似，其密钥是逐步变化的。一般是用维吉尼亚方阵来进行加密和解密的。每列都可以看成是一个CAESAR体制。加密方阵作为多表体制的根底，它具有多样性，即可选择其它容易记忆的方阵。这里值得一提的就是Beaufort方阵，它的行是维吉尼亚方阵行的逆序。9/8/20221172.置换密码最著名的转轮密码机是德国人舍尔比乌斯设计的恩尼格马机和瑞典人哈格林设计的哈格林密码机(美国军方称为M-209)。德国人使用的恩尼格马机共有5个转轮，可选择3个使用。波兰的密码研究人员最早破译了德国的恩尼格马，并将方法提供给了英国人。M-209是二战中美军的主要加密设备，它是一种齿数可变的齿轮装置。该设备的各个部件互相作用，产生一串互不相关的长周期密钥。9/8/20221182.置换密码1854年查尔斯.惠斯通(CharlesWheatstone)创造了一种特殊的双叶双码代替密码，他的朋友莱昂.普莱弗尔(LyonPlayfair)将其推荐给政府和军界的高层人士。这种体制的首次使用是在克里米亚战争期间，正式报道的使用是在Boer战争中，其名称也就以Playfair命名。军队很看重它的一点就是此方法既不需要表也不需要器械，易作为战地密码。英国军队差不多用了一个世纪，而且保证它一直是保密的。然而在一次世界大战中的1915年，德国人将其破译了。9/8/20221192.置换密码Hill密码体制中明文空间和密文空间是相同的。首先对字母集中的字母进行编号，后面所有的运算都要模26。然后选择一个可逆的d维方阵M，其元素是介于0和25之间的整数。加密过程为MP=C，当然这里的P和C都是d维列向量。更确切地说，每个d元明文字符定义了列向量P，分量是d元明文字符的编号。计算得到的列向量C再被译为d元密文字符。9/8/20221202.置换密码Vigenere是典型的多表密码。9/8/20221213.一次一密密码一次密码本(1917年)，AT&T创造。一次密码本是一个大的不重复的真随机密钥字母集，它写在几张纸上，被粘成一个密码本。每个密钥仅对一个信息使用一次。解密者使用完全一样的密码本解密。9/8/20221223.一次一密密码例明文P=ONETIMEPAD密码本中选择一页作为密钥：k=TBFRGFARFM那么：O+Tmod(26)=IN+Bmod(26)=PE+Fmod(26)=K密文:IPKLPSFHGQ9/8/20221234.3分组密码

1.代替-置换网络现代与古典密码学采用的根本思想相同：替换与变位。古典：算法简单，长密钥。现代：算法复杂。Shannon提出通过“乘积〞来组合密码体制的思想。采用m个函数f1,f2,…fm的复合，每个fi可能是一个代换或置换，破坏对密码的各种统计分析。对DES、AES有深刻影响。9/8/20221241.代替-置换网络混乱和扩散扩散：将明文的统计特征扩散到密文中去，使明文的每一位影响密文中多位的值。混乱：使明文、密文之间的统计关系变得尽可能复杂。混乱和扩散是分组密码的本质特征和设计根底。9/8/20221251.代替-置换网络其它原那么：分组长度应足够大，防止穷举搜索。但分组越大，加密速度越慢。密钥应足够长。常见的乘积密码是迭代密码，典型的迭代密码定义了一个论函数和一个密钥编排方案，对明文进行屡次迭代。9/8/20221261.代替-置换网络设K是定长主密钥，可生成Nr轮个轮密钥(子密钥)Ki。轮函数g以轮密钥Ki和当前状态wi-1为输入。初始状态w0被定义为明文x，密文y定义为经过Nr轮后的状态wNr。加密过程：w0=xwi=g(wi-1,Ki)，i=1,2,…,Nr9/8/20221271.代替-置换网络加密过程：w0=xwi=g(wi-1,Ki)，i=1,2,…,Nr解密过程：wNr=ywi-1=g-1(wi,Ki)，i=Nr,Nr-1,

…,19/8/20221281.代替-置换网络代替-置换网络(SPN)的轮函数包括三个变换：置换(换位)代换(代替)密钥混合S盒(代替)，根本性质是一个非线性映射。为使解密网络与加密网络相同，最后一轮没有置换操作。9/8/20221291.代替-置换网络9/8/20221301.代替-置换网络译码器编码器P盒用P盒构成的S盒P盒：实质上是置换(换位)。S盒：实质上是假设干比特的替换(代替)。9/8/20221319/8/20221322.数据加密标准DESIBM公司W.Tuchman和C.Meyer1971-72年研制LUCIFER方案。美国商业部的国家标准局NBS1973年5月到1974年8月两次发布通告，公开征求用于电子计算机的加密算法。经评选从一大批算法中选定了IBM的LUCIFER方案。1976年11月美国政府采用DES，随后美国国家标准局和美国国家标准协会ANSI成认。9/8/20221332.数据加密标准DES1977年1月以数据加密标准DES(DataEncryptionStandard)的名称正式向社会公布，1977年7月15日生效。DES衍生出可抗差分分析攻击的变形DES以及密钥长度为128比特的三重DES等。9/8/20221342.数据加密标准DES1977年人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。1997年起RSA公司发起了一个称作“向DES挑战〞的竞技赛。1997年1月，用了96天时间成功地破解了用DES加密的一段信息；一年后，这一记录41天；1998年7月，DES挑战赛把破解DES的时间缩短到了只需56个小时；后又把破解DES的时间缩短到了只需22.5小时。9/8/20221352.数据加密标准DESDES使用56位密钥，对64位数据块进行16轮加密。加密后的密文是64位数据块。每轮编码时，一个48位的轮密钥由56位密钥完整密要得出。早期是硬件实现的。DES是分组密码，也基于Feistel网络结构。9/8/20221362.数据加密标准DES取长度为n(64位)的分组，分为长度为n/2的两局部：L和R(左右，各32位)。定义一个迭代的分组密码算法，其第i轮的输入取决于前一轮的输出：L(i)=R(i-1)R(i)=L(i-1)⊕f(R(i-1),K(i))K(i)是第i轮子密钥，f是轮函数。9/8/20221372.数据加密标准DES加密：L(i)=R(i-1)

R(i)=L(i-1)⊕

f(R(i-1),K(i))逆过程：R(i-1)=L(i)L(i-1)=R(i)⊕

f(R(i-1),K(i))=R(i)⊕

f(L(i),K(i))9/8/20221382.数据加密标准DES设：m表示信息块，k表示密钥：m=m1,m2,…,m64i=1,2,…,64k=k1,k2,…,k64i=1,2,…,64其中k8,k16,k24,k32,k40,k48,k56,k64,是奇偶校验位。56位密钥+8位校验位=64位。9/8/20221392.数据加密标准DES加密算法c=Ek(m)=IP-1·T16·T15……T1·IP(m)其中IP为初始置换，IP-1是IP的逆，i=1,2,…16是一系列的变换。解密算法m=Ek-1(c)=Ek-1(Ek(m))=IP-1·T1·T2……T16·IP(c)9/8/20221402.数据加密标准DESDES的每一密文比特是所有明文比特和所有密钥比特的复合函数。使明文与密文之间，密钥与密文之间不存在相关性，提高了抗攻击能力。9/8/20221412.数据加密标准DES64位码64位码初始变换逆初始变换乘积变换16次迭代明文密文输入输出IPIP-19/8/20221422.数据加密标准DES扩展置换48P-Box置换S-Box代换32移位移位48压缩置换FeistelNetwork563232密钥i-1Ri-1Li-1密钥iRiLi3232569/8/20221432.数据加密标准DES(1)初始变换这是移位操作，用IP表示。移位时不用密钥，仅对64位明文操作。输入64个二进制位明码文数据区组：输入64位明文分组：m=m1m2…m64按初始换位表IP进行换位，得到区组B〔0〕：B〔0〕=b1(0)b2(0)…b64(0)=m58m50…m7记成L0、R0左右两局部。9/8/20221442.数据加密标准DES输入〔64位〕58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157输出〔64位〕L0〔32位〕R0〔32位〕初始变换IP9/8/20221452.数据加密标准DES(2)选择运算(扩展置换)E选择运算E，输入32位数据，产生48位输出。设：B(i)=b1(i)b2(i)…b64(i)是第i+1次迭代的64位输入区组，将其分为左右两局部，每局部32位：L(i)=l1(i)l2(i)…l32(i)=b1(i)b2(i)…b32(i)R(i)=r1(i)r2(i)…r32(i)=b33(i)b34(i)…b64(i)9/8/20221462.数据加密标准DES把32位数R〔i〕视为由8个4位二进制的块组成:r1(i)r2(i)r3(i)r4(i)

r5(i)r6(i)r7(i)r8(i)…r29(i)r30(i)r31(i)r32(i)9/8/20221472.数据加密标准DES把它们再扩充为8个6位二进制的块(左右各增加一列);用E(R〔i〕)表示这个变换，称为选择函数E。r32(i)r1(i)r2(i)r3(i)r4(i)r5(i)r4(i)r5(i)r6(i)r7(i)r8(i)r9(i)…r28(i)r29(i)r30(i)r31(i)r32(i)r1(i)9/8/20221482.数据加密标准DESL/R32位3212345456789891011121312131415161716171819202120212223242524252627282928293031321选择运算E选择运算E的结果48位9/8/20221492.数据加密标准DES(3)使用密钥在第i+1次迭代中，由56位密钥生成的48位密钥:K〔i+1〕=k1(i+1)k2(i+1)…k48(i+1)与E(R〔i〕)按位异或；输出仍是48位，共8行、每行6位。9/8/20221502.数据加密标准DESZ1：r32(i)⊕k1(i+1)r1(i)⊕k2(i+1)…r5(i)⊕k6(i+1)Z2：r4(i)⊕k7(i+1)r5(i)⊕k8(i+1)…r9(i)⊕k12(i+1)Z3：Z4：Z5：Z6：Z7：Z8：r28(i)⊕k43(i+1)r29(i)⊕k44(i+1)…r1(i)⊕k48(i+1)9/8/20221512.数据加密标准DES(4)选择函数(S-盒)(代替)S1,S2...S8选择函数，其功能是把6bit数据变为4bit数据。Si(i=1,2......8)的功能表:9/8/20221522.数据加密标准DES9/8/20221532.数据加密标准DESS1:14,4,13,1,2,15,11,8,3,10,6,12,5,9,0,7,0,15,7,4,14,2,13,1,10,6,12,11,9,5,3,8,4,1,14,8,13,6,2,11,15,12,9,7,3,10,5,0,15,12,8,2,4,9,1,7,5,11,3,14,10,0,6,13,S2:15,1,8,14,6,11,3,4,9,7,2,13,12,0,5,10,3,13,4,7,15,2,8,14,12,0,1,10,6,9,11,5,0,14,7,11,10,4,13,1,5,8,12,6,9,3,2,15,13,8,10,1,3,15,4,2,11,6,7,12,0,5,14,9,9/8/20221542.数据加密标准DESS3:10,0,9,14,6,3,15,5,1,13,12,7,11,4,2,8,13,7,0,9,3,4,6,10,2,8,5,14,12,11,15,1,13,6,4,9,8,15,3,0,11,1,2,12,5,10,14,7,1,10,13,0,6,9,8,7,4,15,14,3,11,5,2,12,S4:7,13,14,3,0,6,9,10,1,2,8,5,11,12,4,15,13,8,11,5,6,15,0,3,4,7,2,12,1,10,14,9,10,6,9,0,12,11,7,13,15,1,3,14,5,2,8,4,3,15,0,6,10,1,13,8,9,4,5,11,12,7,2,14,9/8/20221552.数据加密标准DESS5:2,12,4,1,7,10,11,6,8,5,3,15,13,0,14,9,14,11,2,12,4,7,13,1,5,0,15,10,3,9,8,6,4,2,1,11,10,13,7,8,15,9,12,5,6,3,0,14,11,8,12,7,1,14,2,13,6,15,0,9,10,4,5,3,S6:12,1,10,15,9,2,6,8,0,13,3,4,14,7,5,11,10,15,4,2,7,12,9,5,6,1,13,14,0,11,3,8,9,14,15,5,2,8,12,3,7,0,4,10,1,13,11,6,4,3,2,12,9,5,15,10,11,14,1,7,6,0,8,13,9/8/20221562.数据加密标准DESS7:4,11,2,14,15,0,8,13,3,12,9,7,5,10,6,1,13,0,11,7,4,9,1,10,14,3,5,12,2,15,8,6,1,4,11,13,12,3,7,14,10,15,6,8,0,5,9,2,6,11,13,8,1,4,10,7,9,5,0,15,14,2,3,12,S8:13,2,8,4,6,15,11,1,10,9,3,14,5,0,12,7,1,15,13,8,10,3,7,4,12,5,6,11,0,14,9,2,7,11,4,1,9,12,14,2,0,6,10,13,15,3,5,8,2,1,14,7,4,10,8,13,15,12,9,0,3,5,6,11,9/8/20221572.数据加密标准DES使用选择函数S将以上第j个(1≤j≤8)6位二进制的块(记为zj=zj1zj2zj3zj4zj5zj6)输入第j个选择函数Sj。zj1zj6为行号；zj2zj3zj4zj5为列号；查找Sj，行列交叉处即是要输出的4位数。9/8/20221582.数据加密标准DES以S1为例。在S1中，共有0，1、2、3共4行数据，每行16列。现设输入为D＝101100令：列＝0110，行＝10查S1，得坐标〔2，6〕处S1表中对应的数为2，以4位二进制表示为0010，此即选择函数S1的输出。9/8/20221592.数据加密标准DES012345678910111213141501441312151183106125907101574142131106121195382411481362111512973105031512824917511314100613S11011001020010输入6位输出4位9/8/20221602.数据加密标准DESS盒是DES的最敏感局部，其原理至今未公开。人们担忧S盒隐藏陷门，使得只有他们才可以破译算法，但研究中并没有找到弱点。美国国家平安局透露了S盒的几条设计准那么：9/8/20221612.数据加密标准DES①所有的S盒都不是它输入的线性仿射函数。就是没有一个线性方程能将四个输出比特表示成六个比特输入的函数。②改变S盒的1位输入，输出至少改变2位。这意味着S盒是经过精心设计的，它最大程度上增大了扩散量。③S盒的任意一位输出保持不变时，0和1个数之差极小。即如果保持一位不变而改变其它五位，那么其输出0和1的个数不应相差太多。9/8/20221622.数据加密标准DES(5)选择函数输出的拼接和换位8个选择函数Sj(1≤j≤8)的输出拼接为8X4=32位数据区组y1(i)y2(i)…y32(i)把它们作为换位函数P的输入，得到：X(i)=

x1(i)x2(i)…x32(i)

=

y16(i)y7(i)…y25(i)记为X(i)=f(R(i),K(i+1))9/8/20221632.数据加密标准DES8个选择函数的输出〔32位〕1672021291228171152326518311028241432273919133062211425置换P(换位)加密函数的结果X〔32位〕9/8/20221642.数据加密标准DES(6)每轮输出把L〔i〕与X〔i〕按位、相加，形成R〔i+1〕，且令R〔i〕为L〔i+1〕，即得到经第i+1次迭代加密后的输出L〔i+1〕R〔i+1〕，其中：L〔i+1〕=R〔i〕R〔i+1〕=L〔i〕⊕f(R〔i〕,K〔i+1〕)(i=0,1,2,…,15)9/8/20221652.数据加密标准DES(7)逆初始置换用IP-1表示，它和IP互逆。例如，第58位经过初始置换后，处于第1位，而通过逆置换，又将第1位换回到第58位。9/8/20221662.数据加密标准DES置换码组输入（64位）40848165624643239747155523633138646145422623037545135321612936444125220602835343115119592734242105018582633141949175725输出（64位）逆初始变换IP-19/8/20221672.数据加密标准DES(8)子密钥K〔i〕(48位)的生成密钥计算的目的在于产生加密和解密时所需要的16个子密钥，记作K(i)。初始密钥Key值为64位(实为56位)。故Key实际可用位数只有56位。经过子密钥换位表PC-1的变换后，Key的位数由64位变成了56位，此56位分为C0、D0两局部，各28位。9/8/20221682.数据加密标准DES57494133251791585042342618102595143352719113605244366355473931331576254463830221466153453729211352820124密钥〔64位〕C0(28位)D0(28位)9/8/20221692.数据加密标准DES56位分为C0、D0两局部，然后分别进行第1次循环左移，得到C1、D1；将C1(28位)、D1(28位)合并得到56位，再经过子密钥换位表PC-2，便得到子密钥K1(48位)。换位表PC-2给出了选择及选择后的次序，可以看出去掉了第9、18、22、25、35、38、43、54位。9/8/20221702.数据加密标准DESCi(28位)Di(28位)1417112415328156211023191242681672720132415231374755304051453348444939563453464250362932Ki(48位)子密钥换位表PC-29/8/20221712.数据加密标准DES循环移位规那么：轮数：12345678位数：11222222(前8轮)轮数：910111213141516位数：12222221(后8轮)9/8/20221722.数据加密标准DES9/8/20221732.数据加密标准DES9/8/20221742.数据加密标准DESDES重复交替使用选择函数S和置换运算P两种变换;DES的半公开性：S盒的原理至今保密，所以不能算作真正的公开加密算法。使用Feistel密码结构(1967年〕;9/8/20221752.数据加密标准DES混淆：使密文与明文的统计独立性关系复杂化。使得输出是输入的非线性函数；用于掩盖明文和密文间的关系。通过代替法实现，如S盒。散布：使每位明文尽可能影响多位密文。扩展输出对输入的相关性，尽量使密文的每一位受明文中多位影响。通过置换法实现，如P盒。9/8/20221762.数据加密标准DES(1)函数构造与作用域中存在的问题：加密强度取决于函数f的复杂度(S、P)和f的执行次数。64位固定的短分组模式，易造成密文重复组块。子密钥只参与异或简单的运算。9/8/20221772.数据加密标准DES(2)迭代问题无法证明迭代16次最好；迭代在有限的作用域中存在封闭性；迭代次数多不仅费时，还可能被一次简单的变换所代替。(3)S盒中的重复因子及密钥多值问题S盒设计中利用重复因子，导致S盒对不同输入可能产生相同输出，使加密、解密变换的密钥具有多值性。9/8/20221782.数据加密标准DES子密钥长度48位，只影响32位输出，因此加密强度达不到256，实际只有232x16=236S盒是精心设计的，它有利于设计者破译密码。提高加密强度(如增加密钥长度)，系统开销呈指数增长，除提高硬件、并行处理外，算法本身和软件技术无法提高加密强度。9/8/20221792.数据加密标准DES强力攻击：穷尽搜索，蛮力攻击。差分密码分析法：247次尝试。1991年提出选择明文攻击。分析明文对的差值对密文对差值的影响，很有效。线性密码分析法：243次尝试。1992年提出明文攻击。寻找一个近似的线性表达式，通过选择充分多的明文—密文对来破解密钥，对DES更有效。9/8/20221802.数据加密标准DES二重DES(二个密钥，长度112位)加密：C=Ek2[Ek1(P)]解密：P=Dk1[Dk2(C)]三重DES〔二个密钥，TriplepDES〕加密：C=Ek1[Dk2[Ek1(P)]]解密：P=Dk1[Ek2[Dk1(C)]]9/8/20221819/8/20221822.数据加密标准DES三重DES的缺点是要花费原来三倍时间；三重DES的密钥长度是56X2=112位。三重DES可视为加密、解密、加密(EDE)。K1=K2时，三重DES=常规DES。9/8/20221832.数据加密标准DES三重DES方式、独立子密钥方法、可变的S盒及其使用次序等变化增强了密码算法的平安性。自从DES算法公布以来，由于政治原因和技术原因，世界各地相继出现了多种密码算法，各国在商用方面都需要自己设计的密码算法。又因为DES算法的弱点和软件实现中面临的位操作及大量的置换，设计寿命仅有5年，所以必须设计出更高强度的密码算法以代替DES，这些算法有：9/8/20221842.数据加密标准DESLUCIFER算法，Madryga算法，NewDES算法，FEAL-N算法，REDOC算法，LOKI算法，KHUFU算法，KHAFRE算法，RC2及RC4算法，IDEA算法，MMB算法，CA-1.1算法，SKIPJACK算法，Karn算法以及MDC算法等。其中多数算法为专利算法。以上这些算法有些已经遭到了破译，有些平安强度不如DES，有些强度高于DES，有些强度不明，还有待于进一步分析。平安强度高于DES算法的如RC2及RC4算法，IDEA算法，SKIPJACK算法等。9/8/20221853.高级加密标准AES美国国家标准技术研究所(NIST)1997年9月12日发出征集高级加密标准的通知。1998年8月首次选出15个候选者，1999年3月遴选出5个，包括：E2、MARS、RC6、Rijndael、Twofish。2000年10月2日，美国商务部部长宣布比利时的Rijndael算法成为新的AES。9/8/20221863.高级加密标准AES选择的根本条件：公开；分组单钥，分组长度128；密钥可为128，192，256；可软硬件实现。优劣标准：平安性、计算效率、内存要求、简便灵活，以及适应性、减少专利纠纷、分散目标减少攻击。9/8/20221873.高级加密标准AESAES被开发用于替代DES，但NIST预测TripleDES仍将在近期作为一种实用的算法，单DES将逐步退出。9/8/2022188RC2,RC4,RC5,RC6RC2,RC4,RC5,RC6是RSA设计的算法。在商业应用中RC2、RC4是最常用的对称密钥算法。它们使用可变长度的密钥，最多支持到128位。RC2利RC4从美国出口密钥限制到40位。9/8/2022189RC2,RC4,RC5,RC6RC2是由RonRivest开发的64位分组密码。使用不同长度的密钥，它的密钥长度可以从零到无限大，且加密的速度依靠密钥的大小。RC5类似于RC2，但算法采用不同的block大小和密钥大小。一般建议使用128位密钥的RC5算法并有12到16个rounds。RC4是由Rivest在1987年开发的，是一种流式的密文，就是实时的把信息加密成一个整体。密钥的长度可变，受到美国出口法的限制。9/8/2022190RC2,RC4,RC5,RC6RC6系列在1998年被提出。设计弥补了平安漏洞。9/8/20221914.工作模式密码的工作模式是一个算法，描述了如何用分组密码提供信息的平安效劳。5种模式：电子密码本模式ECB密码分组链模式CBC密码反响模式CFB输出反响模式OFB计数模式CTR9/8/20221924.工作模式(1)电子密码本模式ECB各明文组独立地以同一密钥加密。可以使用很多“明密文对〞进行破解；可以通过重放进行攻击。9/8/20221934.工作模式(2)密码分组链模式CBC明文与前面的密文异或运算后被加密，从而形成密文链。第一个分组与初始向量IV异或运算，IV不保密，因为接密过程从后向前进行，IV只涉及第一组密文。IV使完全相同的明文被加密成不同的密文，敌手无法进行重放攻击。9/8/20221944.工作模式(2)密码分组链模式CBC加密：

Ci=Ek(Pi

⊕Ci-1)解密：

Pi=Ci-1⊕Dk(Ci)9/8/20221954.工作模式9/8/20221964.工作模式(3)密码反响模式CFB分组长度为n加密“小分组〞长度为k，1≤k≤n开始时使用长度为n的初始向量IV，IV不保密，但需要其唯一。9/8/20221974.工作模式9/8/20221984.工作模式(4)输出反响模式OFB用分组密码产生一个随机密钥流，将此密钥流和明文流进行异或可得密文流。仍然需要一个初始向量〔IV〕。Ci=Pi⊕Si;Si=Ek(Si-1)Pi=Ci⊕Si;Si=Ek(Si-1)9/8/20221994.工作模式9/8/20222004.工作模式(5)计数模式CTR使用一个计数ctr(初始向量)：Ci=Ek(ctr+i)

⊕PiPi=Ek(ctr+i)

⊕Ci9/8/20222014.工作模式9/8/20222024.4公钥密码1RSA方案2EIGamal方案3数字签名标准DSS9/8/20222034.4公钥密码为了防止某一个数学难题被攻破后而没有可用的密码算法，人们一直努力在其它困难的数学问题根底上建立新的公开密钥密码体制。出现了一些新的公开密钥密码算法：背包体制，POHLIG-Hellman算法，Rabin算法，ElGamal算法，SCHNORR算法，ESIGN算法，McEliece算法，OKAMOTO算法，在有限域上的椭圆曲线上建立RSA，ElGamal算法等。9/8/20222044.4公钥密码人们认为RSA算法是目前最好的密码算法，它不仅可以作为加密算法使用，而且可以用作数字签名和密钥分配与管理。椭圆曲线上的公开密钥密码系统平安强度依赖于曲线的选择和体制，相信它会有更高的平安强度。在几乎所有的实用公开密钥密码系统中，都涉及到大数运算和素数选择，模幂运算采用反复平方取模算法。9/8/20222054.4公钥密码RSA公开密钥密码算法取两个随机大素数p和q，保密；计算r=p*q，不保密；计算欧拉函数：=(p-1)(q-1)，保密；随机取整数e，满足最大公约数gcd(e,)=1,e是