电子商务安全 第2章 密码学基础.ppt

1、为什么要有密码学,一个问题 还有问题 还是有问题 问题还没解决,一个问题-密码学真的有必要吗,CD Universe信用卡数据泄漏案 Visa International笔记本失窃案 美加州大学资料库被黑事件 其它案件 数字信息很少是没有价值的 电子合同与纸制合同的比较 问题：传经,传经,我要接受来自黄裳的九阴真经 安全的要求： 我能确保经文来自黄裳 我能确保经文在因特网上传输 没有别人能够看到经文，因为那是发送给我的，这样就防止了经文被窃 黄裳事后不能否认发送了经文给我,还有一个问题,把九阴真经发给我,密码算法,算法是解决一个数学问题所需要的一组步骤。在计算机科学领域中，算法通常被看作程序的

2、一个组成部分，通常作为一个例程或者一个库被引用。 密码算法(cryptographic algorithm)是数学算法，设计密码算法是为了能够用不同的数据集合作为参数来调用它们，从而在这些数据集合上进行相应的运算 密码服务提供者(Cryptographic Service Provider，CSP)这个术语。CSP从本质上讲就是可以通过一套定义良好的接口进行调用的，执行特定密码计算功能的密码算法(加密算法、签名算法等)库。,密码编码学和密码分析学,密码编码学(cryptography)和密码分析学(cryptanalysis)。 密码学家(cryptologist)是一些数学家和研究者，他们绞

3、尽脑汁地发明新的密码算法 密码破译者就登场了。他们装备了强大的工具，全力以赴地分析算法的弱点，围绕算法的设计进行各种各样的拷问和攻击以求攻破该算法 密码学是计算机科学中我能够想到的唯一一门有着两个平行、对立而又共生的子分支的分支学科。,朦胧安全,认为应该对算法保密而不是把它提交给密码破译者审核，并认为这是一个好主意这。被称作朦胧安全,密码学,密码学基于这样一个概念-某些计算在一个方向上是容易的，然而在相反的方向上却是极为困难的。 可以举一个简单的例子来说明这个事实。 取两个比较大的整数，把它们乘起来，将得到的乘积交给其他人 让他们猜这两个整数。 计算乘积是容易的，然而反过来求最初的两个整数却是

4、困难的。,古典密码学,密码编码学 密码分析学 隐写术 经典加密技术,密码编码学,三个独立的方面： 1.用于将明文转换为密文操作的类型 替代 置换 2.所使用密钥的数量 对称加密 非对称加密 3.明文处理的方式 分组 序列,密码分析学,隐写术,字符标记：印刷或打印的文本字母经选择用铅笔重写。该标记通常不可见，除非以一定的角度对着亮光看。 不可见墨水：使用一些物质来书写，但不留下任何可见痕迹，除非加热该纸或涂上某种化学药品。 扎小孔：在所选的字母上扎小孔，这些小孔通常不可见，除非把该纸放在光的前面 打字机改正带：用于行间与一根黑带一同打印，用改正带打印的结果仅在强光下才可见。,隐写术,柯达相片CD

5、格式的最大分辨率是2048X3072个像素，每个像素包含24bit的RGB色彩信息，每个24bit像素的最低有效位能够被改变而不影响该图像的质量。 该结果意味着你能够在一张数字快照中隐藏一条2.3MB的消息 隐写术与加密技术相比有一些缺点，它要求有大量的开销来隐藏相对少的信息比特,经典加密技术,一、换位密码 希伯莱圣经中用到的“逆序互代” 公元前5世纪 斯巴达人“天书” 九宫替代 列换位 密钥列换位 按样本换位 分组换位 换位密码的破译 换位密码反破译的策略,经典加密技术,二、替代密码 简单替代密码 恺撒密码 固定替代 关键字序替代 多名替代密码 多表替代密码 加密盘 周期替代密码 重合指数法

6、 Kasiski法 区组替代密码 Hill Playfair Porta 代码,经典加密技术,密码机,对称密码学,密码算法主要分为两大类，对称密码算法和非对称密码算法。 密钥是密码算法的重要组成部分，对于对称算法和非对称算法都是如此。 对称密码算法接受明文作为输入。然后使用一个对称密钥(symmetic key)进行运算，输出明文的一个加密版本(也称为密文)。,对称密码学,对称密钥只不过是具有正确长度的随机数而已 应该用一个好的随机数发生器来创建对称密钥，这一点至关重要。 算法的安全性 暴力攻击,注意问题,他们有时会称对称密钥为“秘密密钥”，因为必须对其进行保密。请不要称呼对称密钥为秘密密钥。

7、因为这会造成混淆，因为非对称密码学当中的私钥也是必须保密的。 在交谈当中，如果你使用术语“秘密密钥”的话，就不知道你到底指的是哪一个了。“秘密密钥是对称密钥还是私钥?” 好了，对称密钥就是对称密钥，私钥就是私钥，请坚持使用这些术语。,对称密码算法的分类 分组密码(blockcipher)和序列密码(streamcipher)。,分组密码是在数据的固定长度的小分组上进行运算的，分组的长度一般是64位。 分组密码有很多种，包括DES，3DES，RC2，RC5，RC6以及Rijndael(也被称作AES) 除了在固定长度的数据分组上进行运算的分组密码以外，还有在单个的数据位上进行运算的序列密码。 最

8、著名的序列密码也许就是RC4了。RC4非常快，比所有的分组密码都快，而且支持可变长度的密钥。,解决方法,事先协商好一个对称算法 然后他(其实是他的软件)就会创建一个长度正确的随机数用作对称密钥 利用这个密钥，该对称密码算法就会对明文经文加密并得到加密后的密文 然后他就把密文通过因特网发给我 黑客截获了该密文，他也没有相应的对称密钥来解密数据 当密文送到我这里的时候，我就使用同一个对称密钥来解密密文并恢复出最初的明文经文,还有问题,不能让黑客得到加密所用的密钥的拷贝 必须把该密钥的一份拷贝发给我 通过因特网把密钥发给我，那么黑客也会得到一份拷贝,更糟的事,如果一个对称密钥被使用过一次，那么该密钥

9、就应该被丢弃 还不止如此，假设你加入了一个帮派 其中每个成员都和其他成员交换秘笈 密钥的数目大约是参与者数目的平方 决定存储这些秘笈的话，你可能会希望以它们的加密形式保存以保安全 保留解密每个密文所需的对称加密密钥,对称密码的重点,在对称密码学当中，同一个密钥即可用于加密也可用于解密 对称加密速度快。 对称加密是安全的 对称加密得到的密文是紧凑的 因为接收者需要得到对称密钥，所以对称加密容易受到中途拦截窃听的攻击。 对称密码系统当中密钥的个数大约是以使用者数目的平方的速度增长，因此很难将它的使用扩展到大范围的人群中 对称密码系统需要复杂的密钥管理 对称密码技术不适用于数字签名和不可否认性,非对

10、称密码学,最早是在20世纪70年代中期由Whitfield Diffie和MartinHellman引入了非对称密码学的概念 RSA算法是最为成功的非对称密码算法 RSA算法相关的基本专利已于2000年9月到期，结果现在RSA算法就被作为一个必备的非对称密码算法加入到许多协议当中 椭圆曲线密码算法,算法强度,宇宙的年龄是大约15*10E9年,公钥和私钥,非对称密码算法之所以被称作非对称的，是因为进行加密和解密所使用的并不是同一个密钥，而是使用了两个不同的密钥： 一个用于加密，另一个用于解密。这两个彼此独立、但是在数学上又彼此相关的密钥总是一起生成的 当一个非对称密钥生成过程完成之后，会得到两个

11、密钥；一个是公钥，一个是私钥 一方面，你希望所有的人都知道你的公钥，然而另一方面，你必须小心地藏好你的私钥。,解答非对称密码学,我(我的软件)事先生成我的公私密钥对 保护好我的私钥 黄裳会在那个目录当中查找到我的公钥 并用我的公钥来生成最初的密文 黑客是无法用公钥对密文解密的 缺点-慢、密文长度大于明文长度,非对称密码学的优点,漂亮地避开了对称密码学无法避开的密钥管理问题 需要的密钥个数和人数一样 发送加密信息之前你并不需要事先和对方建立关系 公私钥系统最后一个好处就是其非对称的天性。这使得每个密钥对的持有者都可以用他或者她的私钥进行数学运算，而这种运算是其他任何人都无法做到的。这就是数字签名

12、和不可否认性的基础。,非对称密码学的缺点,非对称密码算法相对比较慢 比同等强度的对称密码算法慢上10倍到100倍 当用一个非对称算法加密的时候，密文的长度要大于最初的明文长度,非对称密码学的特点,使用非对称密码技术时，用一个密钥(公钥或者私钥只能用另外一个密钥(私钥或者公钥)来解密。 非对称加密是安全的 因为不必发送密钥给接收者，所以非对称加密不必担心密钥被中途拦截的问题 非对称密码技术没有复杂的密钥分发问题 非对称密码技术不需要事先在各参与方之间建立关系以交换密钥 非对称密码技术支持数字签名和不可否认性 非对称加密速度相对较慢 非对称加密会导致得到的密文变长,理想的解决方案,该解决方案必须是

13、安全的。 加密的速度必须快 加密得到的密文必须是紧凑的 解决方案必须能够适应参与者数目很多的情况 该解决方案必须能够抗密钥窃听攻击 该解决方案一定不能要求事先在参与方之间建立某种关系。 该解决方案必须支持数字签名和不可否认性。,解答各取所长,对称密码学和非对称密码学的结合满足了上面的每一条要求。你可以从对称密码得到速度和紧凑的密文，你也可以从公私钥密码学当中得到你想要的伸缩性、简化的密钥管理、抗窃听以及对数字签名不可否认性的支持 先生成一个随机对称密钥 用随机对称密钥加密九阴真经 用接受者公钥加密对称密钥 将被打包的密钥附在密文的后面发送给接收者,问题还没解决,黑客用我的公钥加密葵花宝典 用它

14、替换掉黄裳给我的经文并发给我 我需要以某种方式来认证该经文的确来自黄裳并且没有被黑客修改或者替换,解答数字签名,哈希函数 哈希算法的输出是一个比最初数据小的值，如果你修改了最初的数据，哪怕只修改了一位，那么输出的哈希值就会不同。 不仅如此，许多不同的数据集合都可以计算出相同的哈希值。,解答数字签名,密码学中使用的哈希算法都被设计为具有某些特殊的性质： 你无法反向执行哈希算法来恢复出哪怕是一点儿最初的明文。 得到的摘要不会告诉你任何关于最初明文的信息。 创建发现哈希值为某个特定值的明文，这在计算上是不可行的。 这使得攻击者无法在替换文件的同时确保哈希值仍然匹配。,解答数字签名,黄裳用哈希算法生成

15、九阴真经的摘要，用自己的私钥加密摘要 把加密的摘要和九阴真经发给我 用黄裳的公钥解密摘要 对收到九阴真经采用相同算法进行摘要 比较两个摘要,还差一点点,逻辑 我在目录中找到黄裳的公钥 用这个公钥进行解密 加密摘要是黄裳的私钥创建的 黄裳拥有私钥的唯一拷贝 如果两个摘要符合，确认来自黄裳,黑客一早就进入目录并用他的公钥换掉黄裳的公钥,解答PKI,简单的说“我担保这个特定的公钥是和这个特定的人相关联的，请相信我！” 如何防治黑客替换调可信权威机构的公钥 解决：权威机构创建一个包含它自己身份的身份信息和公钥的证书，然后对其签名，自签名证书,最后一个问题不可否认性,毁掉密钥并声称被盗 是偷走密钥的人作

16、出的承诺,解答时间戳,在创建数字签名之前把进行数字签名的时间编码到文件中 可靠的时间来源,完整的解决方案,生成随机对称密钥，用对称密钥加密秘笈 用哈希算法生成秘笈的摘要 用黄裳的私钥加密摘要 用我的公钥加密随机对称密钥，并把它和加密后的摘要，以及用对称密钥加密的秘笈一起发送给我,2000年2月7日、8日、9日,2000年2月7日、8日、9日这三天，美国许多著名的网站先后遭到互联网历史上最严重的计算机黑客攻击，在美国社会引起了强烈震动。黑客3天来的袭击，造成的间接和直接经济损失达10亿美元。2月7日，除了免费电子邮件等三个站点未受影响外，雅虎的大部分网络服务陷于瘫痪。雅虎是全球第二大搜索引擎网站

17、，每天被浏览页次达465亿次，其股市价值达930亿美元。8日上午，先是当天股市的网络销售公司购买网站死机，再是网上电子拍卖网站电子港湾、网上书店及商品销售的亚马逊网站告急。电子港湾的注册用户达1 000万，是每月浏览达15亿次的网上拍卖网站，8日下午6时，商品买卖一度被停止数小时。当晚，美国有线电视新闻网宣布，其网站因负荷超载，从下午7时至8时45分信息传送被阻断。2月9日，电子商务网站再度遭殃，电子交易网站在股市开市前遭到持续1小时的攻击；信息技术公司的科技新闻网站ZDNet约有70的内容被中断2小时，上网者无法接触到包括网站新闻和产品浏览等内容的信息。,CD Universe信用卡数据泄漏

18、案,有一个影响很大的例子，就是2000年1月发生的CDUniverse信用卡数据库泄露案事件。 一名据称是来自俄罗斯的攻击者成功地通过因特网拷贝了CDUniverse数据库中300000个信用卡号码，然后他试图向CDUniverse勒索保护费 CD Universe拒绝支付这笔钱，结果该黑客就在Web上公布了25000个信用卡号码。,CD Universe信用卡数据泄漏案,对于CDUniverse的顾客来说，风险不大，因为信用卡是有保护的，这种保护将使用信用卡所要承担的风险限制在一个比较小的范围内，一般是50美元或者更少。信用卡公司还在不断地降低顾客的这种风险直到风险降为零为止。 然而对于CD

19、Universe来说非常不幸，顾客对公司的信任度降低了，因面对他们的业务造成了显著影响。 此外，大多数人还不知道的一个事实是，商家很可能被在线诈骗。结果是， 而如果已经使用密码技术加密了信用卡号码数据库，那么即使攻击者能够拷贝商家的数据库，他们恐怕也无法提取其中的信用卡号码。,Visa International笔记本失窃案,1996年11月，VisaInternational的一台笔记本电脑被盗。 尽管人们相信这个贼只是想盗窃这台笔记本电脑而已，然而不幸的是这台笔记本电脑保存了超过314000个信用卡号码。 其中涉及的信用卡发行银行需要重新发行被牵涉的所有信用卡，并且还需应付由此带来的客户信

20、任方面的损失。公布的替换一张信用卡的成本是20美元，因此这一次盗窃造成的掘失大约为630万美元。 同样，只要对存储在这台笔记本电脑硬盘上的信用卡信息进行了加密就不会有这样的问题发生，从而会节省上百万美元的费用。,美国大学生资料库被黑事件,其它案件,在2000年中出现的这种类型的问题还有很多。3月，据报道说发现某个电子商务站点失窃的485 000个信用卡号码被存储在了美国政府某个机构的Web站点上。 9月份，Western Union公司报告说黑客攻击了他们的Web站点并且窃取了15 700个信用卡号码。 10月，一名黑客从C窃取了55000个信用卡号码并试图向C勒索钱财。,朦胧安全,1999年

21、11月，一个名为Masters Of Reverse Engineering (MORE)的组织中的几名挪威程序员成功地破解了用于加密DVD的内容混码系统(Content Scrambling System，CSS)加密算法。 因为这个密码算法被内置在了每一台DVD播放器中，并且应用于加密在全世界销售的数百万张DVD，所以换用新的DVD加密算法就成为一项复杂的任务。 这种CSS算法就是秘密开发而未经密码破译者们开放审核的算法的一个例子,朦胧安全,1997年3月，CounterpaneSystem公司和UC Berkeley合作破解了蜂窝电话报文加密算法(Cellular Message Enc

22、ryption Algorithm，CMEA)，这个算法被用于加密在蜂窝电话键区输入的数字(例如信用卡号码)。 CMEA被设计成使用长度为64位的密钥(64位密钥)，这个长度的密钥应该说已经相当安全了。 然而不幸的是，这个算法是秘密开发的没有受到审核，它的几个弱点使它的有效密钥长度从64位降到了32(甚至24)位。,朦胧安全,2000年11月，Adi Shamir(RSA中的S)破解了A5系列算法当中的一个 A5系列算法是整个欧洲和美国超过2亿部GSM蜂窝电话所使用的保护数字蜂窝电话通信的算法 Shamir只需要一个数字扫描器和一台标准的PC就可以解密蜂窝电话的通话。 A5系列密码算法又是一个

23、秘密开发而未经密码分析者审核的算法。,恺撒密码,恺撒算法是将字母的顺序向后移三位 如“Hello world”，加密后将变为“jgnnq yqtnnf” 解密的时候只要将顺序改回来即可 这里的“三”就是密钥，对于恺撒密码来说，他的密钥空间是25位,逆序互代,I HAVE A BOOK KOOBAEVAHI,九宫换位,按照九宫的位置进行换位,列换位,按照3142的方式读出 密文：LOHOLLREWD,密钥列换位,明文：please transfer one million dollars to my swiss bank account six two two 密文：afllsksoselawa

24、iatoossctclnmonmantesilyntwrnntsowdpaedobuoeriricxb,按样本换位,M:W H E N W I L L B E G I N ? N: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 K:11 7 4 10 8 9 6 16 1 15 3 14 5 13 12 2 C: B I N L L W ? W N E I G E H,分组换位,M:W H E N W I L L B E G I N N: 1 2 3 4 5 1 2 3 4 5 1 2 3 4 5 K: 3 1 5 4 2 3 1 5 4 2 3 1 5 4 2

25、 C: E W N H L W L I G B N I E,换位密码的破译,不改变字符，只改变相对位置 字母和字母组合出现的频率是相同的,换位密码反破译的策略,固定替代,美国一个教堂墓地，1794年的墓志铭 关键字替代共有26阶乘种密钥,：,：,：,：,关键字序替代,以一个关键字作密钥，去掉其中的重复字母，把它顺次排在明码文字符集下方，用它们替代相应的明码文字符。 关键字后面部分则把明码文字母表中剩余的字母顺次写入 The Peoples republic of china a b c d e f g h i j k l m n o p q r s t u v w x y z t h e p

26、o l s r u b i c f n a d g j k m q v w x y z,多名替代,将每个字母映射为多个密码 字母 多名码 O 17 19 34 41 50 60 67 83 T 08 22 55 65 88 90 L 02 44 26 N 09 07 15 27 32 44 59 P 33 91 Top加密的一种结果为： 881733,加密盘,周期替代密码,Vigenere密码,代码,代码是一种特殊形式的替代密码 它的密钥是密码本 与替代密码的区别： 替代密码每次加密明文一定大小的文字单位 代码每次加密明文的一个长度可变的语言单位，一般是词或词组 代码分为两大类： 整体代码 明

27、文词汇和代码符号按同样的次序排列 二分代码 按不同准则对明文词汇和代码符号排序 首先用代码然后用密码算法加密消息生成代码文的加密过程，超级加密。,练习题,破译下面换位密码，computer单词，关于计算机的科普文章 Aauan cvlre rurnn dltme aeepb ytust iceat npmey iicgo gorch srsoc nntii imiha oofpa gsivt tpsit lbolr otoex 破译下面ART为密钥的vigenere密码 YFN GFM IKK IXA T,好的随机数发生器,宇宙射线打在盖氏计数器 熔岩灯 不好的电子器件,对称密码类型分组和序列

28、,分组密码：DES、3-DES、RC2、RC5、RC6、AES 序列密码：RC4,DES,DES是最著名的，同时也是研究得最透彻的对称密码算法。 DES是IBM在20世纪70年代晚期开发的，在此期间NSA也有很多参与。 DES是一种分组密码，它使用长度为64位的分组。DES密钥的长度固定为56位。 DES已经存在了很长时间，而且可以看到它被大量地用在密码解决方案中 但是因为计算机的计算能力在不断增长，DES的56位密钥对于强力穷举攻击已经显得强度不够了,3DES,3DES是三重DES的缩写。 因为人们越来越多地担心DES太脆弱，因此发展了许多不同的技术来增加DES的强度 像对数据加密三次，或者

29、组合三种基于DES的加密操作来增加有效的密钥长度。,RC2,RC2也是一种分组密码。 RC系列密码是由Ron Rivest(RSA当中的R)开发的，RC的意思是Rivest Cipher或者Rons Code，RC2被开发出来是想替换DES的，它比DES要快上两三倍。,RC5,RC5是Rivest开发的另一套密码。 RC5通常使用64位或者128位的分组，并且支持可变长度的密钥，密钥长度最多可达2048位。 RC5也是一个实现非常简单的算法，像RC5这样支持可变长度密钥的算法有一些很好的性质。 密钥越长，加密数据需要的处理能力就越强，但是得到的加密结果的强度也越高。,RC5,通过选择适当的密钥长度，就可以用最小的必需处理能力达到所需要的强度。 此外，许多政府在可以使用的加密强度上有限制。 可以根据需求对支持可变长度密钥的加密算法进行调整以满足政府的要求,RC6,RC6是作为DES的潜在取代者而开发的，而且它还是进入下一代标准对称加密算法最后竞争的那批算法当中的一个。 下一代算法被称为高级加密标准(Advanced Encryption Standard，AES)。 RC6是基于RCS的分组密码，支持128位的分组和128位的密钥长度。 虽然RC6没有在AES竞争中最后取胜，但是对RC6的开放