b第二周对称密码学(第2、3、6章)

1华南理工大学经贸学院

本科课程－－电子商务安全与保密第2章对称密码学2信息论的概念公式：H(x)=含义：不确定性，即一条信息当中的信息量。//越大越好一个只有一个字符的语言（熵＝-(1)*log2

(1)

=0）完全随机语言:Σ-(1/26)*log2

(1/26)

≈-log2

(1/26)

≈4.xx//一个字母对任意字母的映射直观来说:从一个信息元推断其它信息元的可能性,熵越小,可能性越大例：如果信息不是男就是女，那么H(m)＝-1/2log2(1/2)+(-1/2)log2(1/2)=1联合熵条件熵3信息率：r=H(M)/N，N是消息的长度，H(M)是信息熵绝对信息率R=log2L语言的多余度D=R-r//越少越好，减少被推测可能例：英语的信息率估计是1.2，绝对信息率是4.7(L=26)，则冗余度估计是3.5唯一解距离：进行强力攻击时，可能解出唯一有意义的明文所需要的最少密文量，定义为U=H(M)/D，H(M)是信息熵，D是多余度//越长越好，与冗余度成反比问：为什么密钥要定期更换？信息论的概念4密码学的Shannon模型Z´Z,Z´5密码学的Shannon模型X,明文（plain-text）：作为加密输入的原始信息。Y,密文（cipher-text）：对明文变换的结果。E,加密（encrypt）：是一组含有参数的变换，将可识别的明文变为密文。密文可识别→阈下信道。D,解密（decrypt）：加密的逆变换。Z,密钥（key）：是参与加密解密变换的参数。一密码系统＝算法＋明文空间＋密文空间＋密钥空间系统分析者＝试图从密文破解出明文者上述过程的数字表示：Y=E(X,Z),X=D(Y,Z´)6密码分析理论Kerckhoffs假设假定：密码分析者知道对方所使用的密码系统包括明文的统计特性、加密体制（操作方式、处理方法和加/解密算法）、密钥空间及其统计特性。不知道（解密）密钥。在设计一个密码系统时，目标是在Kerckhoffs假设的前提下实现安全。//产业化至关重要雪崩效应明文或密钥的微小改变将对密文产生很大的影响是任何加密算法需要的一个号性质。特别地，明文或密钥的某一位变化会导致密文的很多位发生变化，这被称为雪崩效应。越大越好7（1）唯密文攻击（CipherText-OnlyAttack）密码分析者有一些消息的密文，这些消息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密消息的密钥，以便可采用相同的密钥解出其他被加密的消息。（2）已知明文攻击（Known-PlaintextAttack）密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥或推导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。密码分析8（3）选择明文攻击（Chosen-PlaintextAttack）分析者不仅可得到一些消息的密文和相应的明文，而且也可选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那些块可能产生更多关于密钥的信息，分析者的任务是推出用来加密消息的密钥或导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。（4）选择密文攻击（Chosen-CipherTextAttack）密码分析者能选择不同的被加密的密文，并可得到对应的解密的明文，密码分析者的任务是推出密钥。

密码学的Shannon模型9攻击类型攻击者掌握的内容唯密文攻击加密算法、截获的部分密文已知明文攻击加密算法、部分密文、多个明文-密文对选择明文攻击加密算法、部分密文、选择的明文消息及加密得到的密文选择密文攻击加密算法、部分密文、选择的密文消息及相应解密明文（5）适用性选择密文攻击（AdaptiveChosen-CipherTextAttack,CCA2）在CCA的基础上，密码分析者除了对“目标密文”解密以外，永远能够得到解密服务。能在使用解密机的过程中,根据解密机的反馈适应性地构造密文再进行解密。与CCA2不同，CCA要求在得到目标密文以后，解密服务立即停止。密码学的Shannon模型10密码体制的安全性无条件安全或完善保密性（unconditionallysecurity）：不论提供的密文有多少，密文中所包含的信息都不足以惟一地确定其对应的明文；具有无限计算资源（诸如时间、空间、资金和设备等）的密码分析者也无法破译某个密码系统。要构造一个完善保密系统，其密钥量的对数（密钥空间为均匀分布的条件下）必须不小于明文集的熵。//不确定性不能减少从熵的基本性质可推知，保密系统的密钥量越小，其密文中含有的关于明文的信息量就越大。//容易从密文猜出明文存在完善保密系统 如：一次一密（one-timepad）方案；//量子密码。实际上安全或计算安全性（computationalsecurity）计算上是安全：即使算出和估计出破译它的计算量下限，利用已有的最好的方法破译该密码系统所需要的努力超出了破译者的破译能力（诸如时间、空间、资金等资源）。从理论上证明破译它的计算量不低于解已知难题的计算量，因此（在现阶段）是安全的11书本：混淆(confusion)和扩散(diffusion)的不同翻译

扩散和混淆是C.E.Shannon提出的设计密码体制的两种基本方法，其目的是为了抵抗对手对密码体制的统计分析，可抵抗对手从密文的统计特性推测明文和密钥。常用的方法对应是替代（如凯撒密码）和置换（如DES）//Thebasictechniquesforthisarecalledconfusion(混淆)anddiffusion(扩散).Theseroughlycorrespondtosubstitution(替代)andpermutation(置换)

扩散对应的方法是置换；混淆对应的方法是替代。

扩散和混淆12代替：每个明文元素或者元素组倍唯一地替换为相应的密文元素或者元素组置换：明文元素的序列被替换为该序列的一个置换。也就是说，序列里没有元素被增删改，但序列里元素出现的顺序被改变了扩散：为避免密码分析者对密钥逐段破译，密码的设计应该保证密钥的每位数字能够影响密文中的多位数字；同时，为了避免避免密码分析者利用明文的统计特性，密码的设计应该使明文中的每1个bit影响密文的多个bit，或说密文中每1个bit受明文中多个bit影响，从而隐藏明文的统计特性。

混淆：为了避免密码分析者利用明文与密文之间的依赖关系进行破译，将密文和密钥之间的统计关系变得尽可能复杂。扩散和混淆13DES的安全性基于1997年的技术统计分析的攻击结果数据加密标准64位分组和56位密钥1977年倍NBS采纳为标准1999年规定只用于遗留系统和3DES14多重DES

多重DES就是使用多个密钥利用DES对明文进行多次加密,多重DES可以增加密钥量。

1、双重DESK1，K2是两个长度为56bit的密钥。明文X，密文Y

加密变换：Y=DESK2（DESK1（X））解密变换：X=DESK1-1（DESK2-1（Y））双重DES所用密钥长度为112bit，强度极大增加。152、三重DES

K1，K2，K3是两个长度为56bit的密钥。明文X，密文Y

加密变换：Y=DESK3（DESK2-1（DESK1（X）））解密变换：X=DESK1-1（DESK2（DESK3-1（Y）））三重DES所用密钥长度为168bit。如果K1=K2或K2=K3，则三重DES退化为使用一个56bit密钥的单重DES。这个过程称为EDE，即加密——解密——加密（EncryptDecryptEncrypt）。所以，可以使K1=K3来用三重DES方法执行常规的DES加密。三重DES目前还被当作一个安全有效的加密算法使用。三重DES已在因特网的许多应用（PGP、S/MIME）中被采用。16IDEA算法IDEA国际数据加密算法（InternationalDataEncryptionAlgorithm）瑞士联邦理工学院：XuejiaLai&JamesMassey,1990；1991改进，加强了对差分密码分析的抗击能力；明文分组与密文分组的长度均为64位，密钥长度为128位。在目前常用的安全电子邮件加密方案PGP中使用17Rijndael算法由Square算法发展演变而来。已被美国国家标准技术研究所选定作为高级加密算法AES,AdvancedEncryptionStandard取代DES迭代分组密码算法(类似流密码:每一轮有内部状态)密钥128/192/256，分组128/192/256，循环次数10/12/14。速度快、对内存要求小，操作简单。算法的抗攻击能力强。《高级加密标准（AES）算法—Rijndael的设计》.清华大学出版社.18其他算法BLOWFISHBruceSchneier1995发表,64位分组,最大到448位可变长密钥。Fast,compact,simple,variablysecure.RC2、RC4、RC5、RC6算法由Rivest发明19分组密码的工作模式已经提出的分组密码工作模式有：电码本（ECB）模式//原始模式密码分组链接（CBC）模式；密码反馈（CFB）模式；输出反馈（OFB）模式；这是最简单的方式：以分组64bit为例:明文接受64bit的分组，每个明文分组都用同一个密钥加密，每个64bit的明文分组就有一个唯一的密文.特点：同一个64bit明文分组多次出现，产生的密文就总是一样的，它可用于少量的数据加密，比如加密一个密钥，对于大报文用ECB方式就不安全.ECB模式（电子密码本）ECB模式ECB模式ECB模式的优缺点模式操作简单明文中的重复内容将在密文中表现出来，特别对于图像数据和明文变化较少的数据适于短报文的加密传递ECB模式目的：同一个明文分组重复出现时产生不同的密文分组原理：Pn加密算法的输入是当前的明文分组

Cn-1和前一密文分组的异或

K第一个明文分

组和一个初始向量Cn进行异或XORDES加密CBC模式（密码分组链接）初始向量时刻t1t2tn

IVP1P2PnKKK

C1C2Cn-1CnＸORDESXORXORDESDESCBC模式CBC模式CBC模式CBC模式的特点同一个明文分组重复出现时产生不同的密文分组加密函数的输入是当前的明文分组和前一个密文分组的异或；对每个分组使用相同的密钥。将明文分组序列的处理连接起来了。每个明文分组的加密函数的输入与明文分组之间不再有固定的关系有助于将CBC模式用于加密长消息CBC模式OFB模式（输出反馈）CFB模式（密码反馈）CTR模式（计数器）CTR模式的特点使用与明文分组规模相同的计数器长度处理效率高（并行处理）预处理可以极大地提高吞吐量可以随机地对任意一个密文分组进行解密处理，对该密文分组的处理与其它密文无关实现的简单性适于对实时性和速度要求较高的场合CTR模式33链到链加密方式在物理层或数据链路层实施加密机