密码学基础培训

密码学基础

软件开发中心安全软件部汪雪林2008.6内容提要概述术语介绍密码算法分类对称密码体制非对称密码体制数字签名概述--对安全服务的需求进行电子交易的互联网用户所面临的安全问题有：保密性如何保证电子商务中涉及的大量保密信息在公开网络的传输过程中不被窃取完整性如何保证电子商务中所传输的交易信息不被中途篡改及通过重复发送进行虚假交易身份认证与授权在电子商务的交易过程中，如何对双方进行认证，以保证交易双方身份的正确性抗抵赖在电子商务的交易完成后，如何保证交易的任何一方无法否认已发生的交易

概述--对安全服务的需求

对于这些安全问题，目前最有效的解决方案是建立在公开密钥技术基础上的PKI/CA(PublicKeyInfrastructure

/CertificationAuthority)技术。概述--公钥基础设施(PKI)

公钥基础设施是以公开密钥技术为基础，以数据的机密性、完整性和不可抵赖性为安全目的而构建的认证、授权、加密等硬件、软件的综合设施。PKI体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet网上验证用户的身份，PKI体系结构把公钥密码和对称密码结合起来，在Internet网上实现密钥的自动管理，保证网上数据的机密性、完整性和不可抵赖性。内容提要概述术语介绍密码算法分类对称密码体制非对称密码体制(公钥密码体制)数字签名术语介绍 密码技术，如加密技术和数字签名技术是解决网络安全的核心技术；是实现所有安全服务的重要基础。基本术语密码:是一组含有参数的变换明文(plaintext):作为加密输入的原始信息加密算法:变换函数密文(ciphertext):明文变换结果密钥(key):参与变换的参数术语介绍--加密模型通常一个完整密码体制要包括如下五个要素M,C,K,E,DM:是可能明文的有限集称为明文空间C:是可能密文的有限集称为密文空间K:是一切可能密钥构成的有限集称为密钥空间对于密钥空间的任一密钥,有一个加密算法和相应的解密算法使得

ek:M->C和dk:C->M分别为加密解密函数满足dk(ek(x))=x,这里x为

M中的元素术语介绍--密码体制一个密码体制要是实际可用的,必须满足如下特性：1)每一个加密函数ek和每一个解密函数dk都能有效地计算;2)破译者取得密文后将不能在有效的时间内破解出密钥k或明文x;3)一个密码系统是安全的必要条件:穷举密钥搜索将是不可行的即密钥空间非常大术语介绍--密码体制内容提要概述术语介绍密码算法分类对称密码体制非对称密码体制数字签名密码算法分类按发展进程分:

古典密码、对称密钥密码、公开密钥密码古典密码是基于字符替换的密码，现在已很少使用了，但是它代表了密码的起源；现在仍在使用的则是对位进行变换的密码算法，这些算法按密钥管理的方式可以分为两大类,即对称算法与公开密钥算法。对称算法的加密密钥和解密密钥相同，这些算法也叫作秘密密钥算法或单密钥算法密码算法分类按加密模式分：

对称算法又可分为序列密码和分组密码两大类序列密码每次加密一位或一字节的明文，也可以称为流密码或序列密码,是手工和机械密码时代的主流；分组密码将明文分成固定长度的组用同一密钥和算法对每一块加密，输出也是固定长度的密文。密码算法分类•经典密码代替密码:简单代替多名或同音代替多表代替多字母或多码代替换位密码:•对称加密算法

DES,3DES,IDEA,RC4,RC5,SSF33,SCB2,AES,…..•非对称公钥算法(公钥算法)

RSA、McEliece密码、Diffe－Hellman、背包密码、椭圆曲线、Rabin、Ong－Fiat－Shamir、EIGamal密码算法等。密码算法分类--各种加密算法的优缺点对称密码算法的优点是有很强的保密强度，且能经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为网络安全的重要因素。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便地实现数字签名和身份验证。但其算法复杂，加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密机制。在实际应用中，人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。内容提要概述术语介绍密码算法分类对称密码体制非对称密码体制(公钥密码体制)数字签名对称密码体制对称密码体制的特征是用于加密和解密的密钥是一样的或相互容易推出。在对称密码中，同一个密钥既用于加密也用于解密;对称加密速度快；对称加密是安全的；对称加密得到的密文是紧凑的；因为接收者需要得到对称密钥，所以对称密钥容易受到中间拦截窃听的攻击；对称密码系统当中密钥的个数大约是参与者数目的平方，因此很难将它的使用扩展到大范围的人群中；对称密码的使用需要复杂的密钥管理；对称密码技术不适用于数字签名和不可否认性对称密码体制—特点对称密码体制--对称加密算法示例DES（DataEncryptionStandard,数据加密标准）

DES是一种对二元数据进行加密的算法.

数据分组长度为64位,密文分组长度也是64位;

使用的密钥为64位,有效密钥长度为56位,有8位用于奇偶校验;

解密时的过程和加密时相似,但密钥的顺序正好相反;DES的整个体制是公开的,系统的安全性完全靠密钥的保密DES的强度:

在1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES的解密，而且需要12个小时的破解才能得到结果。

1997年开始，RSA公司发起了一个称作“向DES挑战”的竞技赛。

1997年1月，用了96天时间，成功地破解了用DES加密的一段信息；一年之后，在第二届赛事上，这一记录41天；1998年7月，“第2-2届DES挑战赛（DESChallengeII-2）”把破解DES的时间缩短到了只需56个小时；“第三届DES挑战赛（DESChallengeIII）”把破解DES的时间缩短到了只需22.5小时。对称密码体制--对称加密算法示例个人攻击小组攻击院、校网络攻击大公司军事情报机构40bits数周数日数小时数毫秒数微秒56bits数百年数十年数年数小时数秒钟64bits数千年数百年数十年数日数分钟80bits不可能不可能不可能数百年数百年128bits不可能不可能不可能不可能数千年对称密码体制--工作模式

ECB（电码本）模式：各明文组独立地以同一密钥加密；传送短数据CBC（密码分组链接）模式：

Cn=Ek[Cn-1⊕Pn]；初始向量V1；

用途：传送数据分组；认证。对称密码体制--工作模式CFB（密码反馈）模式：利用CFB、OFB模式，可将DES转换为流密码。流密码无需填充消息，实时运行。流密码中明文和密文长度相同。如对字符加密，只要密钥长度8bit。

Cn=Pn⊕Sj(E(C

n-1))对称密码体制--工作模式OFB（输出反馈）模式：用分组密码产生一个随机密钥流，将此密钥流和明文流进行异或可得密文流。仍然需要一个初始向量（IV）对称密码体制--对称密码机制工作模式内容提要概述术语介绍密码算法分类对称密码体制非对称密码体制(公钥密码体制)数字签名公钥密码体制

对称密码体制存在的问题1.密钥管理量的困难传统密钥管理两两分别用一对密钥时,则n个用户需要C(n,2)=n(n-1)/2个密钥,当用户量增大时密钥空间急剧增大如:n=100时:C(100,2)=4,995n=5000时:C(5000,2)=12,497,5002.数字签名的问题传统加密算法无法实现抗抵赖的需求CryptographerWhitfieldDiffieattheWhiteHouse

photographedon2000.02

inWashington,DC

NikonCoolpix950

sizeis69KB

volume950-6

WhitfieldDiffieBorninWashington,DC,onJune5,1944ReceivedB.S.degreeinmathematicsfromMIT,in19651965~1969,MitreCorporation,“Mathlabsymbolicmathematicalmanipulationsystem”1969~1972,StanfordU.,AIlab,“proofofcorrectnessofprograms”1973~,beganhisworkoncryptographywhiletravelingaroundtheU.S.1976,“NewdirectionsinCryptography”,IEEEconference……Now,Sunlab,asadistinguishedengineerHisawardIEEEInformationTheorySocietyBestPaperAwardfor1979IEEEDonaldE.Finkawardfor1981the1994PioneerAwardthe1996NationalComputerSystemsSecurityAwardthe1997LouisE.LevyMedaltheFirstACMParisKanellakisAwardtheIEEEInformationSocietyGoldenJubileeAward

NewdirectionsinCryptography提出公钥密码系统加密变换Ek，解密变换DkDk

是Ek的逆过程Ek、Dk易于计算从Ek推出Dk在计算上不可行从加密密钥推算出解密密钥在计算上不可行两个主要目的解决密钥分配问题对安全密钥分发的需求最小生成手写签名的等价替代物One-wayauthentication由合法签署者产生，其他人不能伪造；任何人可以对其进行验证依赖于消息两个主要目的解决密钥分配问题对安全密钥分发的需求最小生成手写签名的等价替代物One-wayauthentication由合法签署者产生，其他人不能伪造；任何人可以对其进行验证依赖于消息公钥密码体制

什么是公钥密码体制•公钥密码又称为双钥密码或非对称密码,是1976年由Diffie和Hellman在其“密码学新方向”一文中提出的.

单向陷门函数是满足下列条件的函数f(1)给定x,计算y=f(x)是容易的(2)给定y,计算x使y=f(x)是困难的(所谓计算x=f-1(Y)困难是指计算上相当复杂已无实际意义)(3)陷门已知时,对给定的任何y,若相应的x存在,则计算x使y=f(x)是容易的公钥密码体制公钥密码体制—特点用一个密钥加密的东西,只能用另外一个密钥来解密;非对称加密是安全的;因为不必发送密钥给接收者,所以非对称加密不必担心密钥被中间拦截的问题;需要分发的的密钥数目和参与者数目一样,这样,在参与者众多的情况下,非对称密码技术仍然会工作得很好;非对称密码技术没有复杂的密钥分发问题;不需要事先在各参与方之间建立关系以交换密钥;支持数字签名和不可否认性;加密速度相对较慢;得到的密文变长.背包算法RSA(Rivest,Shamir,Adleman)椭圆曲线ECC(EillipticCurveCroptography)

RSA公钥算法

RSA公钥算法是由Rivest,Shamir和Adleman在1978年提出来。该算法的数学基础是初等数论中的Euler（欧拉)定理并建立在大整数因子的困难性之上公钥密码体制--算法实例公钥密码体制--算法实例加密：明文：M<n密文：C=Memodn解密：密文：C明文：M=CdmodnRSA算法标准：PKCS1可以通过中国剩余定理对RSA私钥解密运算进行加速。TimeCOS/PK即采用了加速算法。公钥密码体制--算法实例

RSA的安全性:依赖于大数分解，但是否等同于大数分解一直未能证明。不管怎样，分解n是最显然的攻击方法。1994年4月26日，美国各大媒体报道：由RSA发明人在17年前出的129位数字已被因子分解，并破解了附带的密语：

Themagicwordsaresqueamishossifrage.

目前，已能分解140位十进制的大素数。因此，模数n必须选大一些。

RSA最快的情况也比DES慢上100倍，无论是软件还是硬件实现。速度一直是RSA的缺陷。一般只用于少量数据加密。内容提要概述术语介绍密码算法分类对称密码体制非对称密码体制(公钥密码体制)数字签名鉴别文件或书信真伪的传统做法是亲笔签名或盖章。签名起到认证，核准，生效的作用。电子商务、政务要求对电子文档进行辨认和验证，因而产生数字签名。数字签名的作用：保证信息完整性；提供信息发送者的身份认证。与传统签名的区别：需要将签名与消息绑定在一起;

通常任何人都可验证;

要考虑防止签名的复制、重用。数字签名数字签名--数字签名的性质传统签名的基本特点能与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化能与所签文件“绑定”签名者不能否认自己的签名容易被自动验证签名不能被伪造数字签名--数字签名的性质必须能够验证作者及其签名的日期时间必须能够认证签名时刻的内容签名必须能够由第三方验证，以解决争议数字签名--数字签名的设计要求

签名必须是依赖于被签名信息的一个位串模板;

签名必须使用某些对发送者是唯一的信息，以防止双方的伪造与否认;

必须相对容易生成该数字签名;

必须相对容易识别和验证该数字签名;

伪造该数字签名在计算复杂性意义上具有不可行性，既包括对一个已有的数字签名构造新的消息，也包括对一个给定消息伪造一个数字签名;

在存储器中保存一个数字签名副本是现实可行的.1)信息发送者使用公开密钥算法技术，产生别人无法伪造的一段数字串。2)发送者用自己的私有密钥加密数据传给接收者;3)接收者用发送者的公钥解开数据后，就可确定消息来自于谁，同时也是对发送者发送的信息的真实性的一个证明;4)发送者对所发信息不能抵赖。数字签名—使用过程数字签名的过程:假设A要发送一个电子文件给B:1．系统初始化：选择签名所需的算法、参数2.产生签名：A用其私钥加密文件并发送给B；3．签名验证：B用A的公钥解开A送来的文件签名体制的构成：签名算法；验证算法数字签名必须保证：可验证：签名是可以被确认的;防抵赖：发送者事后不承认发送报文并签名；防假冒：攻击者冒充发送者向收方发送文件是不可行的；防篡改：收方对收到文件的篡改是可检测的；防伪造：收方伪造报文的签名是可检测的。签名对安全、防伪、速度要求比加密更高。完整性校验值密码技术为数据完整性提供基础,为数据起源提供认证服务。完整性检验有许多称呼，在银行业中，称为消息认证。在OSI模型在称为封装。附件称呼有：封装、完整性检验值、消息认证码（MAC）等。消息产生附件附件消息所期望的附件实际收到的附件如果二者一样，则认为消息是完整的。附件消息产生附件密钥接收者发送者密钥一般的封装机制消息认证与数字签名的区别：前者能验证消息来源及完整性，防范第三者；后者在收发双方产生利害冲突时，解决纠纷。数字签名需要解决的一些问题:1)签字后的文件可能被B重复使用。如果签字后的文件是一张支票，B很容易多次用该电子支票兑换现金，为此A需要在文件中加上一些该支票的特有的凭证，如timestamp等，以防止上述情况发生。2)公钥算法效率很低，不易用于长文件的加密。一般采用Hash函数，将原文件单向映射为H=Hash(P)，H只有几百bit，并且由P可以很快生成H，但由H几乎不可能生成P。将公钥算法作用在H上生成“签名”S，记为Ek1（H）=S，k1为A的私钥，A将（P，S）传给B，B收到(P,S)后，要验证S是A的签字。若Dk2(S）=Hash（P），则S就是A的签字。Hash函数Hash函数用于封装数字签名过程之中，需具有下列特性：1）函数必须是真正单向的，2）构造两个不同的消息，将它们映射为同一个消息摘要必须是计算上不可行的。上述特性中的任何弱点都有可能导致使用Hash函数进行封装和签名过程上的弱点。１）发方Ａ用单向散列函数对信息生成摘要。２）Ａ用自己的私钥签名信息摘要。３）Ａ把信息本身和已签名的信息摘要一起发送出去。４）收方Ｂ通过使用同一个单向散列函数对接收的信息生成新摘要，再用Ａ的公钥对数字签名解密，并与新生成的信息摘要比较，以确认发方的身份和信息是否被修改过。数字签名的分类可仲裁的数字签名不可否认的数字签名群数字签名盲数字签名双重签名可仲裁的数字签名直接数字签名的缺陷：签名者声称私钥被盗，签名是他人假冒。为此引入第三方作仲裁者。签名过程：发方X收方Y仲裁A消息MXA:M||EkXA[IDx||H(M)]AY:EkAY[IDx||M||EkXA[IDx||H(M)]||T]说明：

E:单钥加密，kXA

，kAY

分别为X和A、A和Y的共享密钥。

T:时戳（不是旧消息的重放）

Idx：x的身份

H(M):M的杂凑值可仲裁数字签名Y对收到的内容保存，以备争议时使用。前提：双方都信任仲裁者由于Y不知kXA，不能直接验证X的签名，而是依靠仲裁者。因此，仲裁者必须做到：X相信A不会泄漏kXA，不会伪造X的签名；Y相信A确实收到X的签名并验证无误后发送；X和Y都相信A可以公正地解决争议。可仲裁数字签名上述方法缺陷：若A不公正，与X共谋否认签名，或与Y串通伪造签名。新签名方案：XA:IDx||EskX[IDx||Epky[Eskx(M)]]AY:(A先用X的公钥解密得IDx||Epky[Eskx(M)])

EskA[IDx||Epky[EskX(M)]||T]说明：skX

和skA

为X、A的私钥，pky为Y的公钥。优点：无共享密钥，防共谋；

X发给Y的信息对第三方保密(包括A)；

只要A的私钥不泄漏，则消息不能重放。不可否认的数字签名没有签名者的合作，接收者无法验证签名，在某种程度上保护了签名者的利益。如果签名者不希望接收者未经他许可就向别人出示签名并证明其真实性，则可用此方法。例如：软件开发商利用此法保护其软件，只对购买产品的客户验证签名，并对产品负责。允许群中各成员以群的名义匿名地签发消息只有群的成员能代表这个群签名；签名接收者能验证它是这个群的合法签名，但不知具体是哪个成员；在发生争端时，借助群成员或可信机构能识别出那个签名者。用途：投标群数字签名盲数字签名消息M的拥有者A，想让B对M签名，但又不希望B知道M的内容，而