密码学教程 课件 -6-密码协议

6．1概述

6．2密钥协商协议

6．3秘密共享协议

6．4身份认证协议

6.5安全多方计算概述第六章

密码协议密码学协议（cryptographicprotocol）：

6．1概述利用加密、签名、杂凑函数、随机数产生器等基本工具完成某些特定密码功能的过程、算法或程序。协议一般涉及多个参与者，参与者之间有较多交互信息。协议在完成密码学目的中起着主要作用，种类繁多：

认证协议、密钥管理协议、附加功能的加密和签名、

各种电子政务/电子商务协议、等等。（一般方案scheme比协议规模小，但有时并不区分）。

敌手修改钱数,加密并没有失败，但协议不能充分

完成。“加密并不直接提供数据完整性”。协议的安全性：部件安全不代表协议安全。敌手不是攻破基本单元，

而是攻击协议的交互过程本身。例题：表示钱数！*多方安全计算将是密码学的一个重要领域：功能强大，涵盖面广理论和实践不断发展（零知识证明已接近实用化）加密和认证两大任务的进一步扩展云存储/计算、区块链、隐私计算、物联网、5G、人工智能、量子计算、密钥管理是一系列建立、维护用户之间密钥关系的过程和机制。不仅包括对称密钥的建立，还包括公钥分配、证书发放和密钥生命周期维护等。具体有：（1）

系统用户初始化；（2）

产生、分配和安装密钥；（3）

控制密钥的使用；（4）

刷新、撤销和毁掉密钥；（5）

存储、备份/恢复和存档密钥文件

6．2密钥协商协议密钥传输协议：一方生成或者获得一个秘密值，安全传输给另一方；密钥协商协议：双方共同产生一个共享秘密。对称密钥的建立大致分为两种形式：密钥传输

transport（密钥分配distribution）密钥协商

agreement

以下仅以密钥协商协议举例说明。Diffle－Hellman密钥交换方案NewDirectionsinCryptograpgy

-------1976年W.DiffieandM.E.Hellman例题：A选择x＝5，计算下数并发送给B：B选择y＝8，计算下数并发送给A：共享的密钥为：设p＝11，g＝2是Z11的本原元。

但上述协议易受到“中间人”攻击（Man-in-themiddle）ABC改进方案：（增加签名）为什么需要公钥证书？证书KEM（Key

encapsulation

mechanism）密钥封装机制：A

B

是一方生成共享密钥，利用公钥加密传递给另一方。6．3秘密共享协议秘密共享就是将一个密钥分成许多份额，然后秘密地分配给一些成员，使得一部分成员利用手中份额共同恢复原来的密钥。常用的(t,n)门限方案：将份额分为n份，其中t份可以恢复原密钥。应用：减少保存密钥的风险；

门限加密、门限签名----门限密码学。

Shamir秘密共享方案：t-1次多项式

即：

（过t个点可以确定一个次数至多为t-1的多项式。）t个点构成t个线性方程：

写出矩阵形式：

系数矩阵为Vandermonde矩阵。

其行列式不为零，所以方程系统存在解。怎么从t个点得到原来的多项式a(x)?答案：Lagrange插值多项式。

即：利用拉格朗日插值公式：令：则：所以：因为k是a(x)的常数项，

6．4身份认证协议一般包括一个证明者A和一个验证者B：A：想要证明自己的身份。B：想要确信A的身份。AA？AB身份认证的目的是防止冒充、伪造等行为。最基本的用处是实现网络资源的访问控制。

身份认证就是证实通信双方的真实身份。A！密码学中的身份认证方式有：口令（弱认证）－－验证者可以获得秘密；挑战应答（强认证）－－不泄露核心秘密；零知识的认证－－不泄露任何秘密。目前实际中常用的是挑战应答方式：挑战应答协议多种多样：

利用对称钥、单向函数、公钥加密和签名等。基于共享密钥加密的挑战应答假设Alice和Bob有一个共享的秘密钥。下面A，B表示Alice和Bob的身份；是j发出的挑战；Trudy是表示敌手。

如果采用如下简化的方案：

这个方案存在reflectionattack（反射攻击）。Trudy与bob同时打开两个对话，利用第二个回答第一个。

作为2的应答第二次第一次基于单向函数的挑战应答所以一般要加入时间戳、随机数、唯一数nonce等参数！基于公钥解密和签名的挑战应答Kerberos协议零知识证明的一般实现过程：零知识证明（ZeroKnowledgeProof）：

即证明拥有秘密，又不泄露秘密信息的证明系统。

在计算复杂性理论中，任何NP问题都存在ZKP。ZK一般需要多个回合才能安全（效率较低）。目前有所改观基于大数分解问题的零知识证明协议：

设p、q是两个大素数，n＝pq，假设P知道n的因子，P向V零知识地证明这一点：计算平方根问题与大数分解问题等价：如果P不知道n的分解，也不能求平方根。现在P知道n的分解，则能够求平方根。

Schnorr身份认证方案：在随机预言模型下，即将Hash函数的输出视为随机的，上面的交互协议可以变为Schnor数字签名方案。也就是用Hash函数的值取代验证者的挑战。

6．5安全多方计算概述百万富翁问题：

预先设定范围

但实现效率低。以后不断出现较高效的解决方案。更一般的：

多参与方、计算任意的函数。算术电路、置乱（混淆）电路、、、不经意传输、ZK、秘密共享、同态加密、函数加密更广泛的应用：隐私计算区块链

物联网

云计算

大数据（搜索等）

、、、、、、1.密码学是为了提供安全、可靠的加密和认证算法；2.围绕安全性进行的攻与防使密码学不断进步；3.信息安全的重要性使密