第二章密码学基础NEW演示文稿

第二章密码学基础NEW演示文稿当前1页，总共70页。优选第二章密码学基础NEW当前2页，总共70页。目标要求基本要求理解密码系统的模型理解对称密码体制和非对称密码体制的原理掌握IDEA算法、ECC等公开密码算法的原理与应用了解常见的加密方式和各自的特点当前3页，总共70页。目标要求重点

掌握对称密码体制和非对称密码体制的原理熟悉IDEA算法、ECC公开密码算法的原理与应用熟悉各种加密方式和各自的特点难点

非对称密码体制的原理当前4页，总共70页。本章内容2.1密码技术概述2.2密码算法2.3对称密钥密码加密模式2.4网络加密方式当前5页，总共70页。2.1密码技术概述2.1.1密码学历史

1000BC:姜子牙阴阳符

500-600BC:天书

100-44BC:Caesarciphertheromansarecomingtoday当前6页，总共70页。Caesarcipher：移位密码密文表：abcdefghijklmnopqrstuvwxyz密文表：defghijklmnopqrstuvwxyzabcAnexample:明文----Plaintext:Howareyou

密文----Ciphertext?

当前7页，总共70页。

1790:转轮密码，ThomasJefferson当前8页，总共70页。

二战:GermanEnigmamachine当前9页，总共70页。

二战:JapanesePurplemachine当前10页，总共70页。

1948，香农ClaudeShannon与信息论ClaudeShannon与密码学Born:30April1916inGaylord,Michigan,USA

Died:24Feb2001inMedford,Massachusetts,USA当前11页，总共70页。2.1.2密码系统加密变换不安全信道PlainTextCipherTextCipherText解密变换PlainText发送者：AliceDecryptionKeyEncryptionKey接受者：AliceCipherText密码分析？窃密者：Eve密钥信道当前12页，总共70页。（1）密码学基本概念

密码学(Cryptology)：研究信息系统安全保密的科学。它包含两个分支：

密码编码学(Cryptography)，对信息进行编码实现隐蔽信息的一门学问；

密码分析学(Cryptanalysis)，研究分析破译密码的学问。当前13页，总共70页。明文(消息)(Plaintext)：被隐蔽消息，常用M表示密文(Ciphertext)或密报(Cryptogram)：明文经密码变换成的一种隐蔽形式，常用C表示加密(Encryption)：将明文变换为密文的过程解密(Decryption)：加密的逆过程，即由密文恢复出原明文的过程加密员或密码员(Cryptographer)：对明文进行加密操作的人员。当前14页，总共70页。

加密算法(Encryptionalgorithm)：密码员对明文进行加密时所采用的一组规则，常用E（）表示解密算法：接收者对密文进行解密时所采用的一组规则，常用D（）表示密钥(Key)：控制加密和解密算法操作的数据处理，分别称作加密密钥和解密密钥，常用k表示截收者(Eavesdropper)：在信息传输和处理系统中的非受权者，通过搭线窃听、电磁窃听、声音窃听等来窃取机密信息。当前15页，总共70页。密码分析(Cryptanalysis)：截收者试图通过分析从截获的密文推断出原来的明文或密钥。密码分析员(Cryptanalyst)：从事密码分析的人。被动攻击(Passiveattack)：对一个保密系统采取截获密文进行分析的攻击。当前16页，总共70页。（2）密码系统组成

明文空间：信息本来的原始空间

密文空间：明文经过加密后得到难以理解和辨认的信息空间

密钥空间：控制算法的实现，由信息通信双方所掌握的专门信息空间密码算法：规定了明文和密文之间的一个复杂的函数变换方式，包括加密函数与解密函数当前17页，总共70页。加密过程：EK(M)=C加密过程：DK(C)=M密码系统应满足：DK(EK(M)=)=M当前18页，总共70页。密码学的Kerchoff准则“一切秘密寓于密钥之中”——1883年荷兰密码学家A.Kerchoff(1835～1903)就给出了密码学的一个基本原则:密码的安全必须完全寓于密钥之中。尽管密码学家们大都同意这一看法,但直到制定DES时才首次认真地遵循这一原则。当前19页，总共70页。2.1.3密码体制密码体制：一个密码系统采用的基本工作方式密码体制从原理上可以分为两大类：对称密钥密码体制（或单钥密码体制）非对称密钥密码体制（或双钥密码体制）当前20页，总共70页。对称密钥密码体制加密：E不安全信道PlainTextCipherTextCipherText解密:DPlainText发送者：AliceKK接受者：Alice密钥信道密钥生成器当前21页，总共70页。加密过程：EK(M)=C加密过程：DK(C)=M对称密钥密码根据对明文加密方式的不同分为：

序列密码（StreamCipher）或流密码

分组密码（BlockCipher）或块密码当前22页，总共70页。（1）序列密码对明文的单个位（有时对字节）运算的算法。军事和外交场合使用的主要密码技术工作原理：＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密钥序列：k=k0k1k2…序列密码的加密过程当前23页，总共70页。＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密钥序列：k=k0k1k2…序列密码的解密过程

加密过程：ci=(ki+mi)(mod2)

加密过程：mi=(ki+ci)(mod2)当前24页，总共70页。（2）分组密码

对明文信息分割成块结构，逐块进行加密和解密。工作原理：首先将明文分成相同长度的数据块，然后分别对每个数据块加密产生一串灭为你数据块；解密时，第每个密文数据块进行解密后得到相应的明文数据块，将所有的明文数据块合并起来即得到明文。当前25页，总共70页。明文序列：m=m0m1m2…密文序列：c=ccc1c2…密钥序列：k=k0k1k2…分组密码的加密过程Ek明文序列：m=m0m1m2…密文序列：c=ccc1c2…密钥序列：k=k0k1k2…分组密码的加密过程Dk当前26页，总共70页。（1）对称密钥密码体制的问题非称密钥密码体制ENetworkorStorage明文PlainText密文CipherTextD原明文OriginalPlainTextBob私钥SecretKeyAlice私钥SecretKey密文CipherText当前27页，总共70页。若N个人相互保密通信，每人必须拥有（N-1）个私钥，N很大时，需要保存的私钥很多。如何解决？可信中心分发：共需要发N*(N-1)/2个私钥

N=1000时,999*1000/2=499500双方事先约定：用户之间自己秘密会面

（第一次远距离通信如何办？）当前28页，总共70页。加密：E不安全信道PlainTextCipherTextCipherText解密:DPlainText发送者：AliceK2K1接受者：Alice当前29页，总共70页。1976，由Diffie和Hellman提出，被公认为现代密码学诞生的标志。工作原理：每个用户都有一对选定的密钥（公钥：

K1，私钥K2）K1是可以公开的，可以像电话号码一样进行注册公布；K2则是秘密的。特点：（1）将加密和解密能力分开；（2）多个用户加密的消息只能由一个用户解读（秘密通信）；（3）一个用户加密的消息而使多个用户可以解读（认证）；（4）不用事先分配秘钥。（2）非对称密钥密码体制当前30页，总共70页。2.1.4密码分析密码分析：试图获得加密体制细节、解密密钥和明文等机密信息的过程，通常包括：分析统计截获的密文材料、假设、推断和证实等步骤。密码分析方法有传统破译方法和物理破译方法两大类。（1）基本概念当前31页，总共70页。传统破译方法包括穷举破译法和数学分析法两类。数学分析法又分为确定性分析法的和统计分析法。四种破译类型：唯密文破译（ciphertextonlyattacks），分析者仅知道有限数量的密文。已知明文破译（knownplaintextattacks），分析者除了拥有有限数量的密文外，还有数量限定的一些已知“明文—密文”对。当前32页，总共70页。四种破译类型（续）：选择明文破译（chosenplaintextattacks），分析者除了拥有有限数量的密文外，还有机会使用注入了未知密钥的加密机，通过自由选择明文来获取所希望的“明文—密文”对（集合）。

选择密文破译（chosenciphertextattacks），分析者除了拥有有限数量的密文外，还有机会使用注入了未知密钥的解密机，通过自由选择密文来获取所希望的“密文—明文”对（集合）。当前33页，总共70页。（2）防止密码破译的措施为防止密码被破译，可以采取以下措施：

强壮的加密算法；

动态会话密钥

保护关键密钥当前34页，总共70页。2.2密码算法（1）IDEA的历史1990年，瑞士的来学嘉（XuejiaLai）和

JamesMassey于1990年公布了IDEA密码算法第

一版，称为PES(ProposedEncryptionStandard)；1991年，为抗击差分密码攻击，他们增强了算法的强度，称IPES（ImprovedPES)；1992年，改名为IDEA（InternationalDataEncryptionAlgorithm）。2.2.1IDEA算法当前35页，总共70页。（2）IDEA加密过程IDEA是一个分组长度为

64bit的分组密码算法，密钥长度为128bit（抗强力攻击能力比DES强），同一算法既可加密也可解密。IDEA的“混淆”和“扩散”设计原则来自三种运算，它们易于软、硬件实现（加密速度快）：Z6F2F1Z5G1G2当前36页，总共70页。在IDEA的模乘运算中，为什么将模数取为216+1，而不是216？2.在其模加运算中，为什么模数取为216而不是

216+1？当前37页，总共70页。

IDEA加密的总体方案图循环2循环8循环1输出变换64位密文64位明文Z1Z6Z7Z12Z43Z48Z49Z52子密钥生成器128bit密钥Z1Z5216当前38页，总共70页。IDEA加密的单个循环图X1X2X3X4Z1Z2Z3Z4Z5Z6W11W12W13W14当前39页，总共70页。IDEA的密钥生成56个16bit的子密钥从128bit的密钥中生成前8

个子密钥直接从密钥中取出；对密钥进行25bit的循环左移，接下来的密钥就从中取出；重复进行直到52个子密钥都产生出来。当前40页，总共70页。（3）IDEA的解密加密解密实质相同，但使用不同的密钥；解密密钥以如下方法从加密子密钥中导出：—解密循环I的头4个子密钥从加密循环10－I

的头4个子密钥中导出；解密密钥第1、4个子密钥对应于1、4加密子密钥的乘法逆元；

2、3对应2、3的加法逆元；—对前8个循环来说，循环I的最后两个子密钥等于加密循环9－I的最后两个子密钥；当前41页，总共70页。使用子分组：16bit的子分组；使用简单操作（易于加法、移位等操作实现）；加密解密过程类似；规则的结构（便于VLSI实现）。（4）实现上的考虑当前42页，总共70页。（5）IDEA的安全性IDEA能抗差分分析和相关分析；IDEA似乎没有DES意义下的弱密钥；

IDEA是PGP的一部分；

BruceSchneier认为IDEA是DES的最好替代，但问题是IDEA太新，许多问题没解决。当前43页，总共70页。2.2.2ECC公钥密码（1）简要历史

椭圆曲线(Ellipticcurve)作为代数几何中的重要问题已有100多年的研究历史

1985年，N.Koblitz和V.Miller独立将其引入密码学中，成为构造公钥密码体制的一个有力工具。利用有限域GF(2n

)上的椭圆曲线上点集所构成的群上定义的离散对数系统，可以构造出基于有限域上离散对数的一些公钥体制--椭圆曲线离散对数密码体制

(ECDLC

)，如Diffie-Hellman，ElGamal，

Schnorr，DSA等

当前44页，总共70页。实数上的椭圆曲线：其中的是满足简单条件的实数一些曲线上的点连同无穷远点O的集合。当前45页，总共70页。

实数上的椭圆曲线例子：

当前46页，总共70页。（2）运算定义：

当前47页，总共70页。有限域上的椭圆曲线：模P椭圆群记为群中的元素（x,y)是满足以上方程的小于P的非负整数另外加上无穷远点O计算当前48页，总共70页。

的加法规则：

当前49页，总共70页。ECC的加解密：当前50页，总共70页。ECC加解密例子当前51页，总共70页。

ECC特别适用：

无线Modem的实现：对分组交换数据网提供加密，在移动通信器件上运行4MHz的68330CPU，ECC可实现快速Diffie-Hellman密钥交换，并极小化密钥交换占用的带宽，将计算时间从大于60秒降到2秒以下。

Web服务器的实现：在Web服务器上集中进行密码计算会形成瓶颈，Web服务器上的带宽有限使带宽费用高，采用ECC可节省计算时间和带宽，且通过算法的协商较易于处理兼容性。

集成电路卡的实现：ECC无需协处理器就可以在标准卡上实现快速、安全的数字签名，这是RSA体制难以做到。ECC可使程序代码、密钥、证书的存储空间极小化，数据帧最短，便于实现，大大降低了IC卡的成本。

当前52页，总共70页。Menezes，Okamoto和Vanstone指出应避免选用超奇异曲线，否则椭圆曲线群上的离散对数问题退化为有限域低次扩域上的离散对数问题，从而能在多项式时间上可解。他们还指出，若所用循环子群的阶数达2160，则可提供足够的安全性。

（3）ECC的安全性当前53页，总共70页。ECC和RSA对比：在实现相同的安全性下，ECC所需的密钥量比RSA少得多，如下表所示。其中MIPS年表示用每秒完成100万条指令的计算机所需工作的年数，m表示ECC

的密钥由2m点构成。以40MHz的钟频实现155bits的

ECC，每秒可完成40,000次椭园曲线运算，其速度比1024bits的DSA和RSA快10倍。

ECC的密钥长度mRSA的密钥长度 MIPS-年

1601024 1012 320 51201036 600210001078 1200 120000 10168当前54页，总共70页。2.3.1分组密码的工作模式2.3网络加密方法

分组密码可以按不同的模式工作，实际应用的环境不同应采用不同的工作模式电码本(ECB)模式密码分组链接(CBC)模式密码反馈(CFB)模式输出反馈(OFB)模式计数器(CTR)模式当前55页，总共70页。2.3.2电码本（ECB）模式最简单的运行模式，一次对一个64bit长的明文分组加密，且每次加密密钥都相同。当前56页，总共70页。在用于短数据（如加密密钥）时非常理想，是安全传递DES密钥的最合适的模式在给定的密钥下同一明文组总产生同样的密文组。这会暴露明文数据的格式和统计特征。明文数据都有固定的格式，需要以协议的形式定义，重要的数据常常在同一位置上出现，使密码分析者可以对其进行统计分析、重传和代换攻击当前57页，总共70页。2.3.3密码分组链接（CBC）模式一次对一个明文分组加密，每次加密使用同一密钥，加密算法的输入是当前明文分组和前一次密文分组的异或（在产生第1个密文分组时，需要有一个初始向量IV与第一个明文分组异或）；当前58页，总共70页。解密时，每一个密文分组被解密后，再与前一个密文分组异或（第一个密文分组解密后和初始向量IV异或恢复出第一个明文分组）。当前59页，总共70页。为使安全性最高，IV应像密钥一样被保护。可使用ECB

加密模式来发送IV；保护IV原因是：如果敌手能欺骗接受方使用不同的IV，敌手就能够在明文的第一个分组中插入自己选择的比特值；

IV的完整性要比其保密性更为重要。在CBC模式下，最好是每发一个消息，都改变IV，比如将其值加一；由于CBC模式的链接机制，该模式对于加密长于64bit的消息非常合适；

CBC模式除能获得保密性外，还能用于认证。当前60页，总共70页。2.3.4密码反馈（CFB）模式加密算法的输入是64bit移位寄存器，其初始值为某个初始向量IV，加密算法输出的最左（最高有效位）jbit与明文的第一个单元进行异或，产生第一个密文单元并传送该单元。然后将移位寄存器的内容左移j位并将送入移位寄存器最右边（最低有效位）j位。这一过程持续到明文的所有单元都被加密为止当前