第2章信息安全机制5

第2章

信息安全机制第一页，共七十四页。本章学习目标

通过本章学习，读者应该掌握以下内容：对称加密机制及典型算法非对称加密机制及算法数字签名的原理

数据完整性验证的原理及典型算法

PGP的使用第二页，共七十四页。一个密码体制被定义为一对数据变换。2.1加密机制2.1.1密码学基础知识明文明文密文加密变换解密变换第三页，共七十四页。加密变换将明文和一个称为加密密钥的独立数据值作为输入，输出密文；解密变换将密文和一个称为解密密钥的数据值作为输入。加密解密M：明文C：密文KE：加密密钥KD：解密密钥MCKEKDCM加密解密第四页，共七十四页。密码算法——用于加密和解密的数学函数。受限制的算法——密码的安全性依赖于密码算法的保密，其保密性依赖于算法的安全性，不易控制。基于密钥的算法——密码体制的加密及解密算法公开，而密钥（即算法中的若干个可变参数）保密，其安全性依赖于密钥的安全性。第五页，共七十四页。2.1.2对称加密算法加密：Ek(M)=C

解密：Dk(C)=M序列密码算法（streamcipher）分组密码算法(blockcipher)

对称密码算法有很多种：

DES、TripleDES、IDEA、RC2、RC4、RC5、RC6、GOST、FEAL、LOKI第六页，共七十四页。加密过程加密过程主要是重复使用混乱和扩散两种技术。混乱——是改变信息块,使输出位和输入位无明显的统计关系。扩散——是将明文位和密钥的效应传播到密文的其它位。第七页，共七十四页。DES是对称密钥加密的算法，DES算法大致可以分成四个部分：（1）初始变换（2）迭代过程（3）逆置换和（4）子密钥生成2.1.3DES算法第八页，共七十四页。DES算法描述（1）初始变换：首先把明文分成若干个64位的分组，然后通过一个初始变换（IP）将一个明文分组分成左半部分（L0）和右半部分（R0），各为32bit。（2）迭代过程：对Li、Ri然后进行16轮完全相同的运算（称为函数f），在运算过程中数据与密钥相结合。（3）逆置换和：经过16轮运算，左、右两部分合在一起经过一个末转换（初始转换的逆置换IP-1），输出一个64bit的密文分组。

第九页，共七十四页。图6.5

DES加密原理示意图返回本节第十页，共七十四页。密钥位移位，从密钥的56位中选出48位。①通过一个扩展置换将数据的左半部分扩展成48位，

②并通过一个异或操作与48位密钥结合，③通过8个S盒（substitutionbox）将这48位替代成新的32位，

④再依照P-盒置换一次。

然后通过另一个异或运算，将复杂函数f的输出与左半部分结合成为新的右半部分。

每一轮的运算过程：第十一页，共七十四页。三重DES如上所言，DES一个致命的缺陷就是密钥长度短。对于当前的计算能力，56位的密钥长度已经抗不住穷举攻击，而DES又不支持变长密钥。但算法可以一次使用多个密钥，从而等同于更长的密钥。三重DES算法表示为：C=EK3（DK2（EK1（M）））通常取K3=K1，则上式变为：C=EK1（DK2（EK1（M）））第十二页，共七十四页。DES的加密强度1995年，一百万美元制造出的机器平均3.5小时（最多不超过7小时），能破译56位密钥的DES算法。1997年1月28日美国RSA公司悬赏1万美元破译56位DES密码，1997年3月13日，Internet数万志愿者协助科罗拉多州1程序员，96天破译。研究还发现，机器的价格和破译速度之比是成线性的。第十三页，共七十四页。第十四页，共七十四页。摩尔定律：大约每经18个月计算机的计算能力就会翻一番。这意味着每5年价格就会下降到原来的百分之十，所以在1995年所需要的一百万美元到了2000年就只用花十万美元。2002年11月8日的新闻说到，破解109位密码，1万台PC要花费549天。那么，单台PC破解109位密码的能力也就需要549万天，约合15041年多一点。第十五页，共七十四页。现在的技术先进多了，普通PC的运算能力也比文中提到的100万美元的机器强。使用普通PC现在穷举56位DES大约需要2.5小时(每秒运算30,000次DES算法)。使用快速DES算法可以把破解速度再提高100倍。

第十六页，共七十四页。应该如何决定密钥的长度呢？密钥的长度应该是越大越好！如果你的软硬件允许，就应该使用128位的密钥。加密成本低，速度快.个人的电脑都能够承受128位密钥的对称加密算法的加/解密运算，无论是速度还是成本上,56位和128位位密钥的加密差别不大。第十七页，共七十四页。2.1.4RC5算法RC5是RonRevist发明的。RC5是具有参数变量的分组密码算法，其中可变的参量为：分组的大小、密钥的大小和加密的轮次。该算法主要使用了三种运算：异或、加、循环。研究表明：对15轮的RC5，差分攻击需要268个明文，而这里最多只可能有264个明文，所以对15轮以上的RC5的攻击是失败的。Rivest推荐至少使用12轮。第十八页，共七十四页。2.1.5非对称加密体制公开密钥体制把信息的加密密钥和解密密钥分离，通信的每一方都拥有这样的一对密钥。加密密钥可以像电话号码一样对外公开，由发送方用来加密要发送的原始数据；解密密钥则由接收方秘密保密，作为解密时的私用密钥。第十九页，共七十四页。2.1.5非对称加密体制公开密钥加密算法的核心是一种特殊的数学函数――单向陷门函数（trap-dooronewayfunction）。该函数从一个方向求值是容易的，但其逆变换却是极其困难的，因此利用公开的加密密钥只能作正向变换，而逆变换只有依赖于私用的解密密钥这一“陷门”才能实现。第二十页，共七十四页。2.1.5非对称加密体制优点：无需对密钥通信进行保密，所需传输的只有公开密钥。这种密钥体制还可以用于数字签名，即信息的接收者能够验证发送者的身份，而发送者在发送已签名的信息后不能否认。被认为是一种比较理想的的计算密码的方法。第二十一页，共七十四页。2.1.5非对称加密体制缺陷：加密和解密的运算时间比较长，这在一定程度上限制了它的应用范围。公认比较安全的是RSA算法及其变种Rabin算法。算法表示为：Ek1(M)=CDk2(C)=MDk2(Ek1(M))=M(k1和k2为一对密钥中的私有密钥和公开密钥)第二十二页，共七十四页。2.1.6RSA算法RSA算法的思路如下：为了产生两个密钥，先取两个大素数，p和q。为了获得最大程度的安全性，两数的长度一样。计算乘积

n=p*q随机选取加密密钥e，使e和(p-1)*(q-1)互素。计算解密密钥d，d满足ed≡1mod(p-1)(q-1)，即d≡e-1mod(p-1)(q-1)（或e×dmodz=1

）。则e和n为公开密钥，d是私人密钥。注：1、两个大数p和q应立即丢弃，不让人知道。2、一般选择公开密钥e比私人密钥d小。最常选用的e值有三个3，17，65537。第二十三页，共七十四页。2.1.6RSA算法加密消息时，首先将消息分成比n小的数据分组（采用二进制数，选到小于n的2的最大次幂），设mi表示消息分组，ci表示加密后的密文，它与mi具有相同的长度。加密过程：ci=mie(modn)解密过程：mi=cid(modn)第二十四页，共七十四页。2.1.6RSA算法举例1：取两个质数p=11，q=13，p和q的乘积为n=p×q=143，z=(p-1)×(q-1)=120；随机选e=7(与z=120互质的数)则公开密钥=（n，e）=（143，7）选取d,使得(e×d)modZ=1因为e×d=7×103=721满足e×dmodz=1；(即721mod120=1成立)p所以对于这个e值，可以算出其逆：d=103。则秘密密钥=（n，d）=（143，103）。第二十五页，共七十四页。举例1：取两个质数p=11，q=13，p和q的乘积为n=p×q=143，z=(p-1)×(q-1)=120；

随机选e=7(与z=120互质的数)则公开密钥=（n，e）=（143，7）。选取d,使得(e×d)modZ=1因为e×d=7×103=721满足e×dmodz=1；(即721mod120=1成立)所以对于这个e值，可以算出其逆：d=103。则秘密密钥=（n，d）=（143，103）。第二十六页，共七十四页。公开密钥=（n，e）=（143，7）加密过程：ci=mie(modn)

=mi7(mod143)

秘密密钥=（n，d）=（143，103）解密过程：mi=cid(modn)=ci103(mod143)

第二十七页，共七十四页。RSA的速度和安全性硬件实现:RSA比DES慢1000倍软件实现:RSA比DES慢100倍RSA-129(429位二进制,110位十进制)已由包括五大洲43个国家600多人参加，用1600台电脑同时产生820条指令数据，通过Internet网，耗时8个月，于1994年4月2日利用二次筛法分解出为64位和65位的两个因子，原来估计要用4亿年。（所给密文的译文为“这些魔文是容易受惊的鱼鹰”。这是有史以来最大规模的数学运算。）第二十八页，共七十四页。RSA的速度和安全性RSA-640（193位十进制）由德国信息技术安全局的一个小组于2005年11月，用80个OpetronCPU算了5个月，他们将因此而获得20000美元的奖金。31074182404900437213507500358885679300373460228427275457201619488232064405180815671723286782437916272838033415471073108501919548529007337724822783525742386454014691736602477652346609RSA2048（617位十进制）的分解奖金高达20万美元。第二十九页，共七十四页。第三十页，共七十四页。2.1.7密钥与密码破译方法1、密钥的穷尽搜索破译密文最简单的方法，就是尝试所有可能的钥匙组合。

2、密码分析在不知道钥匙的情况下，利用数学方法破译密文或找到秘密钥匙的方法，称为密码分析。密码分析有两个基本目标：利用密文发现明文，利用密文发现钥匙。

3、其它密码破译方法(欺骗\偷窥\垃圾分析)第三十一页，共七十四页。2.2数据完整性机制密码学除了为数据提供保密方法以外，还可以用于其他的作用：鉴别（Authentication）：消息的接收者可以确定消息的来源，攻击者不可能伪装成他人。抗抵赖（Nonrepudiation）：发送者事后不能否认自己已发送的消息。完整性（Integrity）：消息的接收者能够验证消息在传送过程中是否被修改；攻击者不可能用假消息来代替合法的消息。

第三十二页，共七十四页。2.2.1数据完整性验证消息的发送者用要发送的消息和一定的算法生成一个附件，并将附件与消息一起发送出去；消息的接收者收到消息和附件后，用同样的算法与接收到的消息生成一个新的附件；把新的附件与接收到的附件相比较。

第三十三页，共七十四页。2.2.2单向散列函数单向散列函数（one-wayhashfunction），也叫压缩函数、收缩函数，是现代密码学的中心。散列函数是把可变长度的输入串（叫做预映射）转换成固定长度的输出串（叫做散列值）的一种函数。利用单向散列函数生成消息指纹可有两种情况：不带密钥的单向散列函数，这种情况下，任何人都能验证消息的散列值；带密钥的散列函数，散列值是预映射和密钥的函数，这样只有拥有密钥的人才能验证散列值。单向散列函数的算法实现有很多种，如Snefru算法、N-Hash算法、MD2算法、MD4算法、MD5算法，SHA-1算法等等。第三十四页，共七十四页。填充消息使用其长度恰好为一个比512的倍数仅小64bit的数。

填充前消息＋“1”＋所需位数的“0”＋64bit填充前消息的长度值

这样填充后，可使消息的长度恰好为512的整数倍，且保证不同消息在填充后不相同。2.2.3消息摘要算法MD5

算法描述:MD5以512bit的分组来处理输入文本，每一分组又划分为16个32bit的子分组。算法的输出由4个32bit分组组成，将它们级联形成一个128bit的散列值。第三十五页，共七十四页。进入算法主循环循环次数＝消息中512bit分组的数目。将链接变量A、B、C、D分别复制给a、b、c、d，每次循环进行四轮运算，每轮16次操作，分别针对一个512bit消息分组中的16个32bit子分组。每次操作过程如下：对a、b、c、d中任意三个作一次非线性函数运算所得结果＋第四个变量＋消息的一个子分组＋常数所得结果向左环移一个不定数＋a、b、c、d中任意一个

a、b、c、d中任意一个A、B、C、D（分别）＋a、b、c、d，再对下一个子分组继续运行算法第三十六页，共七十四页。2.3数字签名机制数字签名(DigitalSignature)是解决网络通信中特有的安全问题的有效方法。特别是针对通信双方发生争执时可能产生的如下安全问题：冒充否认伪造公证第三十七页，共七十四页。2.3数字签名机制数字签名机制需要实现以下几个目的：l

可信：消息的接收者通过签名可以确信消息确实来自于声明的发送者。l

不可伪造：签名应是独一无二的，其它人无法假冒和伪造。l

不可重用：签名是消息的一部分，不能被挪用到其它的文件上。l

不可抵赖：签名者事后不能否认自己签过的文件。第三十八页，共七十四页。2.3.1数字签名的基本原理

数字签名实际上是附加在数据单元上的一些数据或是对数据单元所作的密码变换，这种数据或变换能使数据单元的接收者确认数据单元的来源和数据的完整性，并保护数据，防止被人（如接收者）伪造。签名机制的本质特征是该签名只有通过签名者的私有信息才能产生，也就是说，一个签名者的签名只能唯一地由他自己产生。当收发双方发生争议时，第三方（仲裁机构）就能够根据消息上的数字签名来裁定这条消息是否确实由发送方发出，从而实现抗抵赖服务。另外，数字签名应是所发送数据的函数，即签名与消息相关，从而防止数字签名的伪造和重用。第三十九页，共七十四页。2.3.2数字签名的实现方法实现数字签名有很多方法，目前数字签名采用较多的是公钥加密技术，如基于RSADataSecurity公司的PKCS(PublicKeyCryptographyStandards)、DSA(DigitalSignatureAlgorithm)、x.509、PGP(PrettyGoodPrivacy)。1994年美国标准与技术协会公布了数字签名标准(DSS)而使公钥加密技术广泛应用。同时应用散列算法(Hash)也是实现数字签名的一种方法第四十页，共七十四页。2.3.2数字签名的实现方法

1、使用对称加密和仲裁者实现数字签名第四十一页，共七十四页。是否可以实现数字签名的目的呢？第三方是A、B双方都信赖的；A与第三方之间使用的签名不可为他人伪造；A与B之间，A的签名不可为B伪造；A与B之间，A的签名不可抵赖。第四十二页，共七十四页。2、使用公开密钥体制进行数字签名公开密钥体制的发明，使数字签名变得更简单，它不再需要第三方去签名和验证。签名的实现过程如下：l

A用他的私人密钥加密消息，从而对文件签名；l

A将签名的消息发送给B；l

B用A的公开密钥解消息，从而验证签名第四十三页，共七十四页。是否可以实现数字签名的目的呢？A的签名他人不可伪造；B可确定消息来源，即可信；A不可抵赖；A的签名不可重用。第四十四页，共七十四页。3、使用公开密钥体制与单向散列函数进行数字签名第四十五页，共七十四页。采用公开密钥的数字签名假设A(公开密钥为EA,秘密密钥为DA)要发送一个电子文件P给B(公开密钥为EB,秘密密钥为DB)。A、B双方只需经过下面三个步骤即可A用其私钥加密文件P，这便是签字过程A将加密的文件送到BB用A的公钥解开A送来的文件其中密钥之间应满足DA(EA(P))=P和DB(EB(P))=PEA(DA(P))=P和EB(DB(P))=P第四十六页，共七十四页。采用公开密钥的数字签名签字是可以被确认的，因为B是用A的公钥解开加密文件的，这说明原文件只能被A的私钥加密而只有A才知道自己的私钥。签字是无法被伪造的，因为只有A知道自己的私钥。因此只有A能用自己的私钥加密一个文件。签字是无法重复使用的，签字在这里就是一个加密过程，自己无法重复使用。文件被签字以后是无法被篡改的，因为加密后的文件被改动后是无法被A的公钥解开的。签字具有无可否认性，因为除A以外无人能用A的私钥加密一个文件。第四十七页，共七十四页。数字签名标准DSA(DigitalSignatureAlgorithm)被美国国家标准技术研究所(NIST)作为DSS。DSS最早发表于1991年，并根据公众对该体制安全性担心的反应在1993年进行了修改。1996年又进行了更进一步的小修改。第四十八页，共七十四页。DSA算法算法中应用了下述参数：p：L位长的素数。L是64的倍数,范围是512到1024；q：p-1的160bits的素因子；g：g=h(p-1)/qmodp,h满足h<p-1,h(p-1)/qmodp>1；x：秘密密钥，正整数，x<q；y：y=gxmodp，(p,q,g,y)为公钥；k为随机数，0<k<q；H(x)：单向Hash函数。第四十九页，共七十四页。DSA算法签名过程如下：产生随机数k，k<q；计算r=(gkmodp)modqs=(k-1(H(m)+xr))modq签名结果是(m,r,s)。验证时计算w=s-1modqu1=(H(m)w)modqu2=(rw)modqv=((gu1×yu2)modp)modq若v=r，则认为签名有效。第五十页，共七十四页。DSA算法示例选择p=124540019,q=17389;q是p-1的一个因子,p-1/q=7162.A选择一个随机数k=110217528;g=k7162modp=10083255;选择x=124