信息安全概论第2章-信息保密技术课件

第二章信息保密技术

第二章信息保密技术1第二章信息保密技术2.1概述2.2古典密码2.3分组加密技术2.4公钥加密技术第二章信息保密技术2.1概述2密码技术的发展历史密码技术几乎与文字的历史一样长。古典密码：远古——1949年近代密码：1949——1976年现代密码：1976——至今2.1概述密码技术的发展历史2.1概述3加密棒Phaistos圆盘ENIGMA密码机加密棒Phaistos圆盘ENIGMA密码机4第一台计算机克劳德香农第一台计算机克劳德香农5Rivest、Shamir和AdlemanDiffie和HellmanRivest、Shamir和AdlemanDiffie和He6密码学的基本概念密码学（cryptology）作为数学的一个分支，是密码编码学和密码分析学的统称。使消息保密的技术和科学叫做密码编码学（cryptography）。破译密文的科学和技术就是密码分析学（cryptanalysis）。密码学的基本概念密码学（cryptology）作为数学的一个7密码学的基本目的是面对攻击者Oscar，在被称为Alice和Bob的通信双方之间应用不安全的信道进行通信时，保证通信安全。明文密文明文AliceBobOscar密码学的基本概念密码学的基本目的是面对攻击者Oscar，在被称为Alice和8密码体制的定义密码体制：密码体制的构成包括以下要素：M：明文消息空间，表示所有可能的明文组成的有限集。C：密文消息空间，表示所有可能的密文组成的有限集。K：密钥空间，表示所有可能的密钥组成的有限集。E：加密算法集合。D：解密算法集合。密码学的基本概念密码体制的定义密码学的基本概念9明文密文明文AliceBob加密密匙解密密匙保密通信的一般机制密码学的基本概念明文密文明文AliceBob加密密匙解密密匙保密通信的一般机10密码体制的分类

对称密匙密码系统SymmetricKeyCryptosystem

加密密钥=解密密钥

非对称密匙密码系统AsymmetricKeyCryptosystem

加密密钥≠解密密钥

钥匙是保密的

加密密钥为公钥（PublicKey）解密密钥为私钥（PrivateKey）密码学的基本概念密码体制的分类对称密匙密码系统加密密钥=解密密钥11密码学的基本概念密码学的基本概念12密码学的基本概念密码学的基本概念132.2古典密码移位密码代换密码置换密码2.2古典密码移位密码14移位密码的加密对象为英文字母，移位密码采用对明文消息的每一个英文字母向前推移固定位的方式实现加密。换句话说，移位密码实现了26个英文字母的循环移位。移位密码中，当取密钥k=3时，得到的移位密码称为凯撒密码，因为该密码体制首先被JuliusCaesar所使用。移位密码移位密码的加密对象为英文字母，移位密码采用对明文消息的每一个15假设明文为：security180402201708192425110901241502051804022017081924security加密解密zljbypcf假设明文为：security1804022017016代换密码代换密码17假设明文为：securityktexloznsecurity加密：解密：假设明文为：securityktexloznsecurity18信息安全概论第2章-信息保密技术课件19置换密码：保持明文字符未改变，通过重排而更改位置，又称换位密码（TranspositionCipher）。置换密码置换密码：保持明文字符未改变，通过重排而更改位置，又称换位密20置换密码举例

例：栅栏式密码 美国南北战争时期（1861-1865年），军队中曾经使用过的“栅栏”式密码（railfencecipher)。（1）原理 明文：sendhelp 加密过程：snhledep 密文：snhledep（2）算法描述 将明文写成双轨的形式，然后按行的顺序书写得到密文。置换密码举例例：栅栏式密码21置换密码举例例：矩阵置换：以矩阵形式排列明文，逐行写入，逐列读出。密钥指出各列读出的顺序如:明文abcdefghijklmnopqrstuvwxyzab密钥为:4312567

dkrycjqxahovbipwelszfmtagnub置换密码举例例：矩阵置换：以矩阵形式排列明文，逐行写入，逐列222.2分组加密技术2.2.1基本概念2.2.2DES算法2.2.3分组密码的分析方法2.2分组加密技术2.2.1基本概念23基本概念分组密码是指将处理的明文按照固定长度进行分组，加解密的处理在固定长度密钥的控制下，以一个分组为单位独立进行，得出一个固定长度的对应于明文分组的结果。属于对称密码体制的范畴。1)明文分组（固定长度）。2）密钥分组（固定长度）。3）以组为单位独立进行运算，得到密文（长度固定）。基本概念24在分组密码中用代替、置换实现扩散和混淆功能。混淆：指加密算法的密文与明文及密钥关系十分复杂，无法从数学上描述，或从统计上去分析。扩散：明文（密钥）中的任一位，对全体密文位有影响。经此扩散作用，可以隐藏明文的统计特性，增加密码的安全。基本概念在分组密码中用代替、置换实现扩散和混淆功能。基本概念25DES算法DES算法的产生发明人：美国IBM公司W.Tuchman和C.Meyer1971-1972年研制成功。基础：1967年美国HorstFeistel提出的理论。产生：美国国家标准局（NBS)1973年5月到1974年8月发布通告，公开征求用于电子计算机的加密算法。经评选从一大批算法中采纳了IBM的LUCIFER方案。标准化：DES算法1975年3月公开发表，1977年1月15日由美国国家标准局颁布为数据加密标准（DataEncryptionStandard），于1977年7月15日生效。DES算法DES算法的产生26DES算法的产生1979年，美国银行协会批准使用DES。1980年，DES成为美国标准化协会(ANSI)正式发布的标准。1984年2月，ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作。DES算法DES算法的产生DES算法27DES算法的描述为二进制编码数据设计的，可以对计算机数据进行密码保护的数学运算。DES使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。在每轮编码时，一个48位的“每轮”密钥值由56位的“种子”密钥得出来。DES算法的参数有三个：Key、Data和Mode。Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式，有两种：加密或解密。64位明文变换到64位密文；64位密钥，实际可用长度56位。DES算法DES算法的描述DES算法28DES算法DES算法29初始换位的功能：64位数据块按位重新组合，把输出分为L0、R0两部分，每部分各长32位。其置换规则见下表：58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157逆置换正好是初始置的逆运算。DES算法初始换位的功能：64位数据块按位重新组合，把输出分为L0、R30DES一次迭代加密过程DES算法DES一次迭代加密过程DES算法31DES一次迭代加密过程DES算法DES一次迭代加密过程DES算法32扩展置换为:

3212345456789891011121312131415161716171819202120212223242524252627282928293031321P-盒置换为：

1672021291228171152326518311028241432273919133062211425DES算法扩展置换为:DES算法33S-盒：S1,S2...S8的选择函数，是DES算法的核心。其功能是把6bit数据变为4bit数据。S1:

1441312151183106125907

0157414213110612119538

4114813621115129731050

1512824917511314100613

在S1中，有4行数据，命名为0，1、2、3行；每行有16列，命名为0、1、2、3，......，14、15列。

设输入为：D＝D1D2D3D4D5D6

令：列＝D2D3D4D5

行＝D1D6在S1表中查得对应的数，以4位二进制表示，即为选择函数S1的输出。DES算法S-盒：DES算法34DES算法DES算法35DES解密DES算法经过精心选择各种操作而获得了一个非常好的性质：加密和解密可使用相同的算法，即解密过程是将密文作为输入序列进行相应的DES加密，与加密过程惟一不同之处是解密过程使用的轮密钥与加密过程使用的次序相反。解密过程产生各轮子密钥的算法与加密过程生成轮密钥的算法相同，与加密过程不同的是解密过程产生子密钥时，初始密钥进行循环右移操作，每产生一个子密钥对应的初始密钥移动位数分别为0，1，2，2，2，2，2，2，1，2，2，2，2，2，2，1。这样就可以根据初始密钥生成加密和解密过程所需的各轮子密钥。DES算法DES解密DES算法36DES的两个主要弱点：密钥容量：56位不太可能提供足够的安全性。S盒：可能隐含有陷井(Hiddentrapdoors)。DES的半公开性：S盒的设计原理至今未公布。DES算法DES的两个主要弱点：DES算法37DES的破译DES的实际密钥长度为56-bit，就目前计算机的计算能力而言，DES不能抵抗对密钥的穷举搜索攻击。1997年1月28日，RSA数据安全公司在RSA安全年会上悬赏10000美金破解DES，克罗拉多州的程序员Verser在Inrernet上数万名志愿者的协作下用96天的时间找到了密钥长度为40-bit和48-bit的DES密钥。1998年7月电子边境基金会（EFF）使用一台价值25万美元的计算机在56小时之内破译了56-bit的DES。1999年1月电子边境基金会（EFF）通过互联网上的10万台计算机合作，仅用22小时15分就破解了56-bit的ＤES。不过这些破译的前提是，破译者能识别出破译的结果确实是明文，也即破译的结果必须容易辩认。如果明文加密之前经过压缩等处理，辩认工作就比较困难。DES算法DES的破译DES算法38分组密码的分析方法解密与密码分析解密是加密的逆过程，是指掌握密钥和密码算法的合法人员从密文恢复出明文的过程。密码分析则是指非法人员对密码的破译，而且破译以后不会告诉对方。共同点：“解密（脱密）”和“密码分析（密码破译）”都是设法将密文还原成明文。不同点：二者的前提不同：“解密（脱密）”掌握了密钥和密码体制密码分析（破译）则没有掌握密钥和密码体制分组密码的分析方法解密与密码分析39

假设破译者是在已知密码体制的前提下来破译使用的密钥。这个假设称为Kerckhoff原则。根据攻击者掌握的信息，可将分组密码的攻击分为以下几类：唯密文攻击：攻击者除所截获的密文外，没有其他可利用的信息。已知明文攻击：攻击者仅知道当前密钥下的一些明密文对。选择明文攻击：攻击者能获得当前密钥下的一些特定的明文所对应的密文。选择密文攻击：攻击者能获得当前密钥下的一些特定的密文所对应的明文。分组密码的分析方法假设破译者是在已知密码体制的前提下来破译使用的密钥。40一种攻击的复杂度可以分为两部分：数据复杂度和处理复杂度。数据复杂度是实施该攻击所需输入的数据量。处理复杂度是处理这些数据所需的计算量。

对某一攻击通常是以这两个方面的某一方面为主要因素，来刻画攻击复杂度。例如：穷举攻击的复杂度实际就是考虑处理复杂度；差分密码分析其复杂度主要是由该攻击所需的明密文对的数量来确定。分组密码的分析方法一种攻击的复杂度可以分为两部分：分组密码的分析方法411.强力攻击强力攻击可用于任何分组密码攻击的复杂度只依赖于分组长度和密钥长度。严格地讲攻击所需的时间复杂度依赖于分组密码的工作效率（包括加解密速度、密钥扩散速度以及存储空间等）。强力攻击常见的有：穷举密钥搜索攻击、字典攻击、查表攻击和时间-存储权衡攻击等。分组密码的分析方法1.强力攻击分组密码的分析方法422.差分密码分析通过分析明文对的差值对密文对的差值的影响来恢复某些密钥比特。基本步骤：随机选择具有固定差分的一对明文，只要求它们符合特定差分条件。使用输出密文中的差分，按照不同的概率分配给不同的密钥。随着分析的密文对越来越多，其中最可能的一个密钥就显现出来了。这就是正确的密钥。分组密码的分析方法2.差分密码分析分组密码的分析方法433.线性密码分析本质：一种已知明文攻击方法。基本思想：通过寻找一个给定密码算法的有效的线性近似表达式来破译密码系统。对已知明文密文和特定密钥，寻求线性表示式

对所有可能密钥，此表达式以概率成立。对给定的密码算法，使极大化。是攻击参数。分组密码的分析方法3.线性密码分析是攻击参数。分组密码的分析方法442.3公钥加密技术密码学中常见的有两种体制:对称密码体制(单钥密码体制)如果一个加密系统的加密密钥和解密密钥相同，或者虽然不相同，但是由其中的任意一个可以很容易地推导出另一个，即密钥是双方共享的，则该系统所采用的就是对称密码体制。非对称密码体制(公钥密码体制)2.3公钥加密技术密码学中常见的有两种体制:45基本概念1976年，W.Diffie和M.E.Hellman提出了公钥密码学（Public-keycryptography）的思想，在公钥密码体制中加密密钥和解密密钥是不同的，加密密钥可以公开传播而不会危及密码体制的安全性。通信的一方利用某种数学方法可以产生一个密钥对，一个称为公钥（Public-key)。一个称为私钥（Private-key)。该密钥对中的公钥与私钥是不同的，但又是相互对应的，由公钥不能推导出对应的私钥。选择某种算法（可以公开）能做到：用公钥加密的数据只有使用与该公钥配对的私钥才能解密。基本概念1976年，W.Diffie和M.E.Hellman46公钥加密算法的核心——单向陷门函数，即从一个方向求值是容易的。但其逆向计算却很困难，从而在实际上成为不可行。基本概念公钥加密算法的核心——单向陷门函数，即从一个方向求值是容易的47RSA公钥密码算法RSA是Rivet，Shamir和Adleman于1978年在美国麻省理工学院研制出来的，它是一种比较典型的公开密钥加密算法。算法的数学基础：大数分解和素性检测——将两个大素数相乘在计算上很容易实现，但将该乘积分解为两个大素数因子的计算量是相当巨大的，以至于在实际计算中是不能实现的。RSA公钥密码算法RSA是Rivet，Shamir和Adle48RSA公钥算法特点：思想最简单；分析最透彻；应用最广泛；易于理解和实现；经受住了密码分析，具有一定的可信度。RSA公钥密码算法RSA公钥算法特点：RSA公钥密码算法49为了获得最大程度的安全性，选取的p和q的长度应差不多，都应位长度在100位以上的十进制数字。RSA算法的描述独立选取两个大素数p

和q；计算：随机选取一个满足且的整数e，则e在模下的逆元为：

n和e为公钥，d为私钥。

注：p和q不再需要时，可以销毁，但一定不能泄露。为了获得最大程度的安全性，选取的p和q的长度应差不多，都应位50加密变换：将信息划分成数值小于n的一系列数据分组。对每个明文分组m进行如下的加密变换得到密文c：解密变换：RSA算法的描述加密变换：RSA算法的描述51

例

选取p=5，q=11，则有：n=55且明文分组应取1到54的整数。

选取加密指数e=7，则e满足

且与互素，故解密指数为d=23。

假如有一个消息m=53197，分组可得：，，。例选取p=5，q=11，则有：n=55且52

分组加密得到：分组加密得到：53密文的解密为：最后恢复出明文密文的解密为：最后恢复出明文54RSA算法的安全性缺点：密钥产生和加/解密过程都很复杂，系统运行速度比较慢。RSA算法的安全性缺点：55攻击方法具体实现：攻击方法具体实现：56算法安全的现状算法安全的现状57RSA算法安全性更危险的安全威胁来自于大数分解算法的改进和新算法的不断提出。破解RSA-129采用的是二次筛法；破解RSA-130使用的算法称为推广的数域筛法；尽管如此，密码专家们认为一定时期内1024到2048比特模数的RSA还是相对安全的。该算法使破解RSA-130的计算量仅比破解RSA-129多100%。RSA算法安全性更危险的安全威胁来自于大数分解算法的改进和新58除了对RSA算法本身的攻击外，RSA算法还面临着攻击者对密码协议的攻击。

利用RSA算法的某些特性和实现过程对其进行攻击。RSA算法安全性除了对RSA算法本身的攻击外，RSA算法还面临着攻击者对密码59共用模数攻击前提：

RSA的实现中，多个用户选用相同的模数n，但有不同的加解密指数e和d。共用模数优点：算法运行简单。缺点：算法不安全。

共用模数攻击前提：60低加密指数攻击较小加密指数e：

—可以加快消息加密的速度。

—太小会影响RSA系统的安全性。原理：

在多个用户采用相同的加密密钥e和不同的模数n的情况下，如果将同一个消息（或者一组线性相关的消息）分别用这些用户的公钥加密，那么利用中国剩余定理可以恢复出明文。低加密指数攻击较小加密指数e：61假设取e=3，三个用户不同模数分别是n1,n2,和n3，将消息x用这三组密钥分别加密为：根据中国剩余定理，由y1,y2和y3求出：低加密指数攻击假设取e=3，三个用户不同模数分