计算机安全学 密码学考试范围学习资料

计算机安全学（11级考试提纲德智总结）填空15计算20（RSA+DH）简答35（5题）应用15（1题）协议分析15（1题）（以下必考）OSI安全框架X.800：三种主要概念三种基本安全服务攻击，认证的定义安全评估准则（不考DES）解释密码分析技术中的几种主要分析方式攻击方式：选择明文……☆分组密码设计的基本原则：扩散，混淆☆AES：次数迭代，秘钥，分组长度☆AES步骤：4个分组密码工作模式公钥密码：组成部分公钥密码体制满足哪些要求☆RSA：密钥生成过程算法的基本运算方法（模指数运算）RSA安全性建立在哪种事实上（Elgamal不考）☆hash：功能，安全定义SHA3结构：Sponge结构报文认证码的基本构造方法：CMACHMAC报文认证码应用☆弱认证：口令认证协议，离线字典攻击强认证（不确定考不考）☆证书定义，功能PKI基本概念，功能（keberos，FIM不考）数字签名的基本概念（不考DSA）☆密钥交换协议：Differ-Hellman，基本过程安全策略，模型，访问控制：基本概念安全策略模型的种类☆访问控制的两种方式☆BLP模型的基本思想安全系统的设计原则计算机安全（ComputerSecurity）：保护数据，挫败黑客攻击的技术三个目标（CIA）：机密性（防泄漏），完整性（防篡改），可用性OSI安全框架=X.800：1.为有效评价安全需求，并进行评估和选择，管理员需要定义安全需求并给出措施。（为了有效评价一个机构的安全需求，并对各种安全产品和策略进行评估和选择，负责安全的管理员需要以某种系统的方法来定义安全需求并描述满足这些需求的措施）定义和提供安全需求的系统化方法提供学习概貌关注三个方面：安全攻击，安全机制，安全服务三种安全框架：安全攻击，安全机制，安全服务安全攻击：危及系统信息安全的活动。（1）被动攻击：了解或利用系统信息，不影响系统资源。两种：内容泄露：未经许可泄露信息给攻击者，不修改信息流量分析：确定主机身份和位置，判断通信性质常见手段：搭线监听，无线截获特点：不易发现，重在预防（虚拟专用网VPN，加密保护）（2）主动攻击：改变系统资源，影响系统运作；涉及数据流的篡改或产生4种：假冒；重放；篡改消息；拒绝服务特点：能检测，不易预防，预防（自动审计、入侵检测和完整性恢复）安全机制：保护系统免受侦听，阻止安全攻击，恢复系统的机制。特点：没有单一机制能提供所有安全服务一个机制是其他机制的基础安全服务：加强数据处理和传输的安全性的服务。利用安全机制阻止安全攻击（安全服务通过安全机制来实现）1.X.800：为系统协议层提供的服务，保证安全性可认证性，访问控制，机密性，完整性，不可否认性，可用性RFC2828：系统提供的保护资源的服务网络安全模型：目的是保护信息系统不受有害的访问算法的安全性：基于秘钥安全性，不是算法安全性密码分析：穷举法，分析法分析法：（4种）唯密文攻击：从已知的密文中恢复出明文或密钥；已知明文攻击：从已知密文和一些明文-密文对中分析明文；选择明文攻击：可选定任意明文-密文对进行攻击选择密文攻击：分析者能选择不同的被加密的密文，并能得到对应的解密的明文（主要用于公钥算法）。（以上攻击强度依次增大）分组密码：DES和AES定义：把明文分组当作整体，产生一个等长的密文分组，并且可逆设计思想：扩散（通过置换），混淆（通过代换）1.扩散：将明文及密钥的影响尽可能迅速地散布到较多个输出的密文中（将明文冗余度分散到密文中）2.混淆：使作用于明文的密钥和密文之间的关系复杂化，是明文和密文之间、密文和密钥之间的统计相关特性极小化，从而使统计分析攻击不能奏效1.置换：明文通过某种处理得到类型不同的映射2.代换：明文由其它的字母、数字或符号所代替AES：（1）使用Rijndael算法（2）分组长度：128192256（3）秘钥长度：128192256（可以自由组合）（4）步骤：字节代换，行移位，列混淆，轮秘钥加字节代换：查表操作：4×4的字节矩阵S盒是16×16的字节矩阵行移位：第n行循环左移n字节列混淆：按列操作，每一列分别与矩阵（S-Box）相乘（GF(2^8)乘法），得到一列新数据，替代原来的列生成元：g^i,i=0..255,s.t.g^i跑遍整个域乘法逆元：A的乘法逆元A'，即A*A'=1S-Box生成：初始化，映射成乘法逆元，B'=X*Bxor{63}轮秘钥加：矩阵与秘钥矩阵异或密钥调度算法：输入4个字（16字节），输出44个字的数组；输入密钥直接复制为前四个字；然后依次填充余下部分（有G函数）AES的每一步操作都可逆；解密算法与加密算法的结构不相同；解密算法比加密算法效率要低AES优点/原则：国际加密标准；抗攻击能力强（线性攻击，查分攻击）结构简单，效率高，应用广泛分组密码工作模式：（5种）定义：（分组密码是加密固定长度的分组）为了加密任意数量的明文的方法电码本模式（ECB）：相同的明文对于相同的密文，用于发少量数据密码分组链接模式（CBC）：密码反馈模式（CFB）：输出反馈模式（OFB）：计数器模式（CTR）： 效率高（并行加密），加密数据块的随机访问，安全，简单模算术运算：(a+b)modn=[(amodn)+(bmodn)]modn(a-b)modn=[(amodn)–(bmodn)]modn(a*b)modn=[(amodn)*(bmodn)]modngcd(a,b)：a和b最大公因子（若gcd(a,b)=1，则a和b互素）乘法逆元：若ab≡1modn，则a和b互为modn的乘法逆元素因子分解：任意整数a>1都可以唯一地因子分解为a=p1a1p2a2…ptat（大整数分解不容易）费马定理（Fermat）：ap≡a(modp)ap-1≡1(modp)Euler函数ø(n)=小于n且与n互素的正整数的个数（素数：ø(p)=p-1）（素数p,q，有ø(pq)=(p-1)x(q-1)）（ø(1)=1）欧拉定理（Euler）：aø(n)+1≡a(modn)aø(n)≡1(modn)离散对数：y=gxmodp求y容易，求x计算不可行公钥密码：公私钥，非对称，数论，对称密码的补充公钥密码体制：特点：1.根据算法和加密密钥确定解密密钥，计算上不可能2.两个密钥任何一个都能加密，另一个解密组成部分：明文，密文，公钥，私钥，加密算法，解密算法公钥体制功能：（1）加密功能：公钥加密，私钥解密加密Y=EKUb(X)解密X=DKRb(Y)认证功能：私钥加密，公钥解密（不保证保密性）“加密”：Y=EKRa(X)（数字签名）“解密”：X=DKUa(Y)（3）保密+认证功能对称密码： 一般要求：1、加密解密用相同的密钥2、收发双方必须共享密钥安全性要求：1、密钥必须保密2、没有密钥，解密不可行3、知道算法和若干密文不足以确定密钥 公钥密码：一般要求：1、加密解密算法相同，但使用不同的密钥2、发送方拥有加密或解密密钥，而接收方拥有另一个密钥安全性要求：1、两个密钥之一必须保密2、无解密密钥，解密不可行3、知道算法和其中一个密钥以及若干密文不能确定另一个密钥RSA：明文、密文是0到n-1之间的整数，通常n的大小为1024位或309位十进制数RSA算法描述：加密：C=MemodN,where0≤M<N解密：M=CdmodN公钥为（e，N），私钥为（d，N）必须满足以下条件：Med=MmodN计算Me和Cd是比较容易的由e和n确定d是不可行的RSA密钥产生过程：随机选择两个不等的大素数p,q计算N=p.q（注意ø(N)=(p-1)(q-1)）选择e使得1<e<ø(N),且gcd(e,ø(N))=1解下列方程求出de.d≡1modø(N)且0≤d≤N公布公钥:KU={e,N}保存私钥:KR={d,N}RSA的使用：发送方要加密明文M:获得接收方的公钥KU={e,N}计算:C≡MemodN,where0≤M<N接收方解密密文C:使用自己的私钥KR={d,N}计算:M=CdmodN注意：M必须比N小 为什么RSA可以加解密：因为Euler定理的一个推论:Mkø(n)＋1≡MmodNRSA中:N=p.qø(N)=(p-1)(q-1)选择e&d使得ed＝1modø(N)因此存在k使得e.d=1+k.ø(N)因此

Cd=(Me)d=M1+k.ø(N)=MmodN（安全性）攻击RAS方法：穷举密钥，数学攻击（素数分解），计时攻击Diffie-Hellman公钥体制：原根：如果a是素数p的原根，则数amodp,a^2modp,…,a^(p-1)modp是不同的并且包含1到p-1的整数的某种排列。Diffie-Hellman密钥交换算法：1.全局公开量:大素数qg，<q且是q的本原根（生成元）2.用户密钥的产生（比如A）选择随机数:x<q计算公开量:X=gxAmodq3.产生密钥（比如A）KAB=Yxmodq=Xymodq=gxymodqDiffie-Hellman安全性：求离散对数困难（给定y＝g^xmodp，求x不可行，如果p是一个大素数。）Diffie-Hellman存在问题：中间人攻击RSA，DH的算法：gcd，模指数运算，Miller-Rabin素性测试，大整数分解，离散对数Hash：定义：将任意长报文映射成一个较短的定长输出报文的函数h=H(M)，为文件和报文产生“数字指纹”（Hash不是加解密函数）hash要求：任意长输入2.定长输出3.容易计算4.单向性：对任意给定的码y,寻求x使得H(x)=y在计算上是不可行的;5.弱抗碰撞性：任意给定分组x,寻求不等于x的x’,使得H(x)=H(x’)在计算上不可行;6.强抗碰撞性：寻求任何的(x,x’)对，使得H(x)=H(x’)在计算上不可行;SHA-3：Keccak设计思想：1、Spongeconstruction海绵结构（轻量级密码）Absorbingphase吸收阶段Squeezingphase挤压阶段2、新的压缩函数：主要操作是XOR和ROT，无查表与算术运算轮函数：认证技术：1.报文认证（消息完整性）2.实体认证（发送者非冒充）认证定义：防止主动攻击的重要技术报文认证（MAC）MCk(M)为什么使用报文认证而不是加密？（不需密钥，加解密工作量大，只关心真实性不关心保密性，灵活性，延长报文保护期）MAC安全需求：生成的MAC要短；共享”秘密”；避免加密MAC安全需求：（攻击者没有K）抗弱碰撞性抗强碰撞性（选择明文攻击）Ck(M)=Ck(M’)的概率为2-n报文M’为M的某种已知代换,即M’=f(M),则Ck(M)=Ck(M’)的概率为2-nMAC：CMAC，HMACMAC缺点：需要共享密钥实体认证=用户认证（访问控制的基础）两种方式：弱认证（基于口令的认证）定义：用户提供口令，计算机验证口令，如对应，得到认证，否则认证失败口令脆弱性：（在线，离线字典攻击），工作站劫持，用户误用，搭线窃听离线字典攻击：攻击者穷举口令，猜测出用户的口令（条件：口令在字典中；有判断条件如H（pw））对抗离线字典：随机选择口令，时效性；；后退技术，断开连接，禁用机制，蜜罐基于口令的认证密钥交换：Alice：g^x.M^pwBob:g^y.N^pwg,M，N是Z*_q的生成元x，y是随机数，pw是口令，映射成群Z*_q上的元最后双方得到g^(xy)强认证（质询-应答协议）（密钥强） 假设用户U想向系统S认证自己。设U和S有个协商好的秘密函数f。质询－应答认证系统就是这样一个系统：S发送一个随机消息m（Challenge）给U，用户U回应以m的变形r=f(m)（Response）。S通过独立计算r来验证r。（看ppt）数字签名：为什么需要数字签名？（报文认证：保护双方之间数据不被第三方侵犯，不保护双方自身的互相欺骗）方法：PKC（公钥证书）+hash 性质：验证签名者和日期时间；报文内容；能由第三方认证（包含了认证的功能）设计要求：防伪造和否认；容易产生，容易验证；伪造在计算上不可能；可备份；RSA签名方案：私钥对hash值加密，发送明文+加密值；对方用公钥解密，作hash运算，判断。第一步：A去B:M||EKRa[H(M)]第二步：B用公钥得到H（M），根据M计算H（M），判断是否一致。认证服务：数字证书：把公钥及其所有者的身份进行绑定的文档绑定方法：权威机构(证书颁发机构)的数字签名PKI：公钥基础设施，提供公钥密码操作的系统PKI主要组成：PKI策略（方针，处理方法，原则）认证机构CA系统（注册机构RA，CA，证书发布和查询系统，证书的撤销列表（CRL））PKI应用（访问PKI的方式）PKI功能：安全登录，终端用户透明；全面的安全性PKI应用：电子邮件签名，认证web站点，VPN安全策略，访问控制：安全策略：为系统定义安全系统状态：授权状态（安全的）