第二章密碼學(xué)基礎(chǔ)NEW第二章密碼學(xué)基礎(chǔ)NEW1優(yōu)選第二章密碼學(xué)基礎(chǔ)NEW優(yōu)選第二章密碼學(xué)基礎(chǔ)NEW2目標(biāo)要求基本要求理解密碼系統(tǒng)的模型理解對稱密碼體制和非對稱密碼體制的原理掌握IDEA算法、ECC等公開密碼算法的原理與應(yīng)用了解常見的加密方式和各自的特點(diǎn)目標(biāo)要求基本要求3目標(biāo)要求重點(diǎn)掌握對稱密碼體制和非對稱密碼體制的原理熟悉IDEA算法、ECC公開密碼算法的原理與應(yīng)用熟悉各種加密方式和各自的特點(diǎn)難點(diǎn)非對稱密碼體制的原理目標(biāo)要求重點(diǎn)4本章內(nèi)容2.1密碼技術(shù)概述2.2密碼算法2.3對稱密鑰密碼加密模式2.4網(wǎng)絡(luò)加密方式本章內(nèi)容2.1密碼技術(shù)概述52.1密碼技術(shù)概述密碼學(xué)歷史1000BC:姜子牙陰陽符

500-600BC:天書

100-44BC:Caesarciphertheromansarecomingtoday2.1密碼技術(shù)概述密碼學(xué)歷史1000BC:姜子牙陰陽6Caesarcipher移位密碼密文表：abcdefghijklmnopqrstuvwxyz密文表：defghijklmnopqrstuvwxyzabcAnexample:明文----Plaintext:Howareyou

密文----Ciphertext?

Caesarcipher移位密碼密文表：abcdefghi71790:轉(zhuǎn)輪密碼，ThomasJefferson1790:轉(zhuǎn)輪密碼，ThomasJefferson8工作原理：首先將明文分成相同長度的數(shù)據(jù)塊，ECB模式，簡單、高速，但最弱、易受重發(fā)攻擊，一般不——1883年荷蘭密碼學(xué)家A.bits的DSA和RSA快10倍。密碼反饋（CFB）模式—解密循環(huán)I的頭4個子密鑰從加密循環(huán)10－I500-600BC:天書由于CBC模式的鏈接機(jī)制，該模式對于加密長于64bit的消IV的完整性要比其保密性更為重要。來獲取所希望的“密文—明文”對（集合）。明文(消息)(Plaintext)：被隱蔽消息，常用M表示而能在多項式時間上可解。一次對一個明文分組加密，每次加密使用同一密600210001078選擇明文破譯（chosenplaintextattacks），密碼算法：規(guī)定了明文和密文之間的一個復(fù)雜密碼分析學(xué)(Cryptanalysis)，研究分析破譯（2）IDEA加密過程

二戰(zhàn):GermanEnigmamachine工作原理：首先將明文分成相同長度的數(shù)據(jù)塊，二戰(zhàn):G9

二戰(zhàn):JapanesePurplemachine二戰(zhàn):JapanesePurplemachine10

1948，香農(nóng)ClaudeShannon與信息論ClaudeShannon與密碼學(xué)Born:30April1916inGaylord,Michigan,USA

Died:24Feb2001inMedford,Massachusetts,USA1948，香農(nóng)ClaudeShannon與信息論Bo11密碼系統(tǒng)加密變換不安全信道PlainTextCipherTextCipherText解密變換PlainText發(fā)送者：AliceDecryptionKeyEncryptionKey接受者：AliceCipherText密碼分析？竊密者：Eve密鑰信道密碼系統(tǒng)加密變換不安全信道PlainTextCipher12（1）密碼學(xué)基本概念

密碼學(xué)(Cryptology)：研究信息系統(tǒng)安全保密的科學(xué)。它包含兩個分支：

密碼編碼學(xué)(Cryptography)，對信息進(jìn)行編碼實現(xiàn)隱蔽信息的一門學(xué)問；

密碼分析學(xué)(Cryptanalysis)，研究分析破譯密碼的學(xué)問。（1）密碼學(xué)基本概念密碼學(xué)(Cryptology)：研13明文(消息)(Plaintext)：被隱蔽消息，常用M表示密文(Ciphertext)或密報(Cryptogram)：明文經(jīng)密碼變換成的一種隱蔽形式，常用C表示加密(Encryption)：將明文變換為密文的過程解密(Decryption)：加密的逆過程，即由密文恢復(fù)出原明文的過程加密員或密碼員(Cryptographer)：對明文進(jìn)行加密操作的人員。明文(消息)(Plaintext)：被隱蔽消息，常用M14

加密算法(Encryptionalgorithm)：密碼員對明文進(jìn)行加密時所采用的一組規(guī)則，常用E（）表示解密算法：接收者對密文進(jìn)行解密時所采用的一組規(guī)則，常用D（）表示密鑰(Key)：控制加密和解密算法操作的數(shù)據(jù)處理，分別稱作加密密鑰和解密密鑰，常用k表示截收者(Eavesdropper)：在信息傳輸和處理系統(tǒng)中的非受權(quán)者，通過搭線竊聽、電磁竊聽、聲音竊聽等來竊取機(jī)密信息。加密算法(Encryptionalgorithm)：密15加密過程EK(M)=C鑰，加密算法的輸入是當(dāng)前明文分組和前一次密分析者可以對其進(jìn)行統(tǒng)計分析、重傳和代換攻擊CipherText來獲取所希望的“明文—密文”對（集合）。CFB模式除了獲得保密性外，還能用于認(rèn)證。其中的是滿足簡單條件的實數(shù)應(yīng)的明文數(shù)據(jù)塊，將所有的明文數(shù)據(jù)塊合并起來即缺點(diǎn)是沒有錯誤傳播，因此不易確保數(shù)據(jù)完整性。CipherText量錯誤時，也不會造成同步錯誤。（2）運(yùn)算定義分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使二戰(zhàn):GermanEnigmamachineIDEA是PGP的一部分；而CFB模式中是將密文單元反饋到移位寄存器截收者(Eavesdropper)：在信息傳輸和處理系統(tǒng)密鑰序列：k=k0k1k2…CipherText盡管密碼學(xué)家們大都同意這一看法,但直到制定DES時才首次認(rèn)真地遵循這一原則。密碼分析(Cryptanalysis)截收者試圖通過分析從截獲的密文推斷出原來的明文或密鑰。密碼分析員(Cryptanalyst)從事密碼分析的人。被動攻擊(Passiveattack)對一個保密系統(tǒng)采取截獲密文進(jìn)行分析的攻擊。加密過程EK(M)=C密碼分析(Cryptanaly16（2）密碼系統(tǒng)組成

明文空間：信息本來的原始空間

密文空間：明文經(jīng)過加密后得到難以理解和辨認(rèn)的信息空間

密鑰空間：控制算法的實現(xiàn)，由信息通信雙方所掌握的專門信息空間密碼算法：規(guī)定了明文和密文之間的一個復(fù)雜的函數(shù)變換方式，包括加密函數(shù)與解密函數(shù)（2）密碼系統(tǒng)組成明文空間：信息本來的原始空間17加密過程EK(M)=C加密過程DK(C)=M密碼系統(tǒng)應(yīng)滿足DK(EK(M)=)=M加密過程18密碼學(xué)的Kerchoff準(zhǔn)則“一切秘密寓于密鑰之中”——1883年荷蘭密碼學(xué)家A.Kerchoff(1835～1903)就給出了密碼學(xué)的一個基本原則:密碼的安全必須完全寓于密鑰之中。盡管密碼學(xué)家們大都同意這一看法,但直到制定DES時才首次認(rèn)真地遵循這一原則。密碼學(xué)的Kerchoff準(zhǔn)則“一切秘密寓于密鑰之中”——19密碼體制密碼體制：一個密碼系統(tǒng)采用的基本工作方式密碼體制從原理上可以分為兩大類：對稱密鑰密碼體制（或單鑰密碼體制）非對稱密鑰密碼體制（或雙鑰密碼體制）密碼體制密碼體制：一個密碼系統(tǒng)采用的基本工作方式20對稱密鑰密碼體制加密：E不安全信道PlainTextCipherTextCipherText解密:DPlainText發(fā)送者：AliceKK接受者：Alice密鑰信道密鑰生成器對稱密鑰密碼體制加密：E不安全信道PlainTextCip21加密過程EK(M)=C加密過程DK(C)=M對稱密鑰密碼根據(jù)對明文加密方式的不同分為序列密碼（StreamCipher）或流密碼分組密碼（BlockCipher）或塊密碼加密過程EK(M)=C22（1）序列密碼對明文的單個位（有時對字節(jié)）運(yùn)算的算法。軍事和外交場合使用的主要密碼技術(shù)工作原理：＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…序列密碼的加密過程（1）序列密碼對明文的單個位（有時對字節(jié)）運(yùn)算的算法。＋明23＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…序列密碼的解密過程加密過程ci=(ki+mi)(mod2)加密過程mi=(ki+ci)(mod2)＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密24（2）分組密碼

對明文信息分割成塊結(jié)構(gòu)，逐塊進(jìn)行加密和解密。工作原理：首先將明文分成相同長度的數(shù)據(jù)塊，然后分別對每個數(shù)據(jù)塊加密產(chǎn)生一串滅為你數(shù)據(jù)塊；解密時，第每個密文數(shù)據(jù)塊進(jìn)行解密后得到相應(yīng)的明文數(shù)據(jù)塊，將所有的明文數(shù)據(jù)塊合并起來即得到明文。（2）分組密碼對明文信息分割成塊結(jié)構(gòu)，逐塊進(jìn)行加密25明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…分組密碼的加密過程Ek明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…分組密碼的加密過程Dk明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰26（1）對稱密鑰密碼體制的問題非稱密鑰密碼體制ENetworkorStorage明文PlainText密文CipherTextD原明文OriginalPlainTextBob私鑰SecretKeyAlice私鑰SecretKey密文CipherText（1）對稱密鑰密碼體制的問題非稱密鑰密碼體制ENetwork27若N個人相互保密通信，每人必須擁有（N1）個私鑰，N很大時，需要保存的私鑰很多。如何解決？可信中心分發(fā)共需要發(fā)N*(N1)/2個私鑰N=1000時,999*1000/2=499500雙方事先約定用戶之間自己秘密會面（第一次遠(yuǎn)距離通信如何辦？）若N個人相互保密通信，每人必須擁有（N1）個28已有100多年的研究歷史（第一次遠(yuǎn)距離通信如何辦？）分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使CipherTextCipherText明文序列：m=m0m1m2…計數(shù)器(CTR)模式JamesMassey于1990年公布了IDEA密碼算法第密碼體制：一個密碼系統(tǒng)采用的基本工作方式每次迭代只有少數(shù)bit完成加1601024 1012IDEA的“混淆”和“擴(kuò)散”ECC的密鑰長度mRSA的密鑰長度 MIPS年密文序列：c=ccc1c2…流密碼不需要對消息進(jìn)行填充，而且運(yùn)行是實時（4）不用事先分配秘鑰。循環(huán)子群的階數(shù)達(dá)2160，則可提供足夠的安全性。密碼算法：規(guī)定了明文和密文之間的一個復(fù)雜鑰，加密算法的輸入是當(dāng)前明文分組和前一次密CipherText理，分別稱作加密密鑰和解密密鑰，常用k表示加密：E不安全信道PlainTextCipherTextCipherText解密:DPlainText發(fā)送者：AliceK2K1接受者：Alice已有100多年的研究歷史加密：E不安全信道PlainTex291976，由Diffie和Hellman提出，被公認(rèn)為現(xiàn)代密碼學(xué)誕生的標(biāo)志。工作原理：每個用戶都有一對選定的密鑰（公鑰：

K1，私鑰K2）K1是可以公開的，可以像電話號碼一樣進(jìn)行注冊公布；K2則是秘密的。特點(diǎn)：（1）將加密和解密能力分開；（2）多個用戶加密的消息只能由一個用戶解讀（秘密通信）；（3）一個用戶加密的消息而使多個用戶可以解讀（認(rèn)證）；（4）不用事先分配秘鑰。（2）非對稱密鑰密碼體制1976，由Diffie和Hellman提出，被公認(rèn)為30密碼分析密碼分析：試圖獲得加密體制細(xì)節(jié)、解密密鑰和明文等機(jī)密信息的過程，通常包括：分析統(tǒng)計截獲的密文材料、假設(shè)、推斷和證實等步驟。密碼分析方法有傳統(tǒng)破譯方法和物理破譯方法兩大類。（1）基本概念密碼分析密碼分析：試圖獲得加密體制細(xì)節(jié)、解密密鑰和（1）31傳統(tǒng)破譯方法包括窮舉破譯法和數(shù)學(xué)分析法兩類。數(shù)學(xué)分析法又分為確定性分析法的和統(tǒng)計分析法。四種破譯類型：唯密文破譯（ciphertextonlyattacks），分析者僅知道有限數(shù)量的密文。已知明文破譯（knownplaintextattacks），分析者除了擁有有限數(shù)量的密文外，還有數(shù)量限定的一些已知“明文—密文”對。傳統(tǒng)破譯方法包括窮舉破譯法和數(shù)學(xué)分析法兩類。四種破32四種破譯類型（續(xù)）：選擇明文破譯（chosenplaintextattacks），分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使用注入了未知密鑰的加密機(jī)，通過自由選擇明文來獲取所希望的“明文—密文”對（集合）。

選擇密文破譯（chosenciphertextattacks），分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使用注入了未知密鑰的解密機(jī)，通過自由選擇密文來獲取所希望的“密文—明文”對（集合）。四種破譯類型（續(xù)）：33（2）防止密碼破譯的措施為防止密碼被破譯，可以采取以下措施：強(qiáng)壯的加密算法；

動態(tài)會話密鑰

保護(hù)關(guān)鍵密鑰（2）防止密碼破譯的措施為防止密碼被破譯，可以采取以下措施：342.2密碼算法（1）IDEA的歷史1990年，瑞士的來學(xué)嘉（XuejiaLai）和

JamesMassey于1990年公布了IDEA密碼算法第

一版，稱為PES(ProposedEncryptionStandard)；1991年，為抗擊差分密碼攻擊，他們增強(qiáng)了算法的強(qiáng)度，稱IPES（ImprovedPES)；1992年，改名為IDEA（InternationalDataEncryptionAlgorithm）。算法2.2密碼算法（1）IDEA的歷史算法35（2）IDEA加密過程IDEA是一個分組長度為64bit的分組密碼算法，密鑰長度為128bit（抗強(qiáng)力攻擊能力比DES強(qiáng)），同一算法既可加密也可解密。IDEA的“混淆”和“擴(kuò)散”設(shè)計原則來自三種運(yùn)算，它們易于軟、硬件實現(xiàn)（加密速度快）Z6F2F1Z5G1G2（2）IDEA加密過程IDEA是一個分組長度為Z6F2F36在IDEA的模乘運(yùn)算中，為什么將模數(shù)取為216+1，而不是216？2.在其模加運(yùn)算中，為什么模數(shù)取為216而不是

216+1？在IDEA的模乘運(yùn)2.在其模加運(yùn)算中，為什么模數(shù)取為2137

IDEA加密的總體方案圖循環(huán)2循環(huán)8循環(huán)1輸出變換64位密文64位明文Z1Z6Z7Z12Z43Z48Z49Z52子密鑰生成器128bit密鑰Z1Z5216IDEA加密的總體方案圖循環(huán)2循環(huán)8循環(huán)1輸出變換6438IDEA加密的單個循環(huán)圖X1X2X3X4Z1Z2Z3Z4Z5Z6W11W12W13W14IDEA加密的單個循環(huán)圖X1X2X3X4Z1Z2Z3Z4Z539N=1000時,999*1000/2=499500OFB模式將加密算法的輸出反饋到移位寄存器，ECC，每秒可完成40,000次橢園曲線運(yùn)算，其速度比1024設(shè)計原則來自三種運(yùn)算，由于CBC模式的鏈接機(jī)制，該模式對于加密長于64bit的消若可以容忍少量錯誤擴(kuò)展，則可換來恢復(fù)同步能力，分析者除了擁有有限數(shù)量的密文外，還有數(shù)量限法，因此不用實現(xiàn)解密算法。盡管密碼學(xué)家們大都同意這一看法,但直到制定DES時才首次認(rèn)真地遵循這一原則。orStorage其中的是滿足簡單條件的實數(shù)CBC適用于文件加密，但較ECB慢。IDEA加密的單個循環(huán)圖Web服務(wù)器的實現(xiàn)在Web服務(wù)器上集中進(jìn)行密碼計算會形成密碼分析學(xué)(Cryptanalysis)，研究分析破譯（2）防止密碼破譯的措施密碼分析學(xué)(Cryptanalysis)，研究分析破譯加密(Encryption)：將明文變換為密文的過程IDEA的密鑰生成56個16bit的子密鑰從128bit的密鑰中生成前8

個子密鑰直接從密鑰中取出；對密鑰進(jìn)行25bit的循環(huán)左移，接下來的密鑰就從中取出；重復(fù)進(jìn)行直到52個子密鑰都產(chǎn)生出來。N=1000時,999*1000/2=49940（3）IDEA的解密加密解密實質(zhì)相同，但使用不同的密鑰；解密密鑰以如下方法從加密子密鑰中導(dǎo)出—解密循環(huán)I的頭4個子密鑰從加密循環(huán)10－I的頭4個子密鑰中導(dǎo)出；解密密鑰第1、4個子密鑰對應(yīng)于1、4加密子密鑰的乘法逆元；2、3對應(yīng)2、3的加法逆元；—對前8個循環(huán)來說，循環(huán)I的最后兩個子密鑰等于加密循環(huán)9－I的最后兩個子密鑰；（3）IDEA的解密加密解密實質(zhì)相同，但使用不同的密鑰；41使用子分組16bit的子分組；使用簡單操作（易于加法、移位等操作實現(xiàn)）；加密解密過程類似；規(guī)則的結(jié)構(gòu)（便于VLSI實現(xiàn)）。（4）實現(xiàn)上的考慮使用子分組16bit的子分組；（4）實現(xiàn)上的考慮42（5）IDEA的安全性IDEA能抗差分分析和相關(guān)分析；IDEA似乎沒有DES意義下的弱密鑰；

IDEA是PGP的一部分；

BruceSchneier認(rèn)為IDEA是DES的最好替代，但問題是IDEA太新，許多問題沒解決。（5）IDEA的安全性IDEA能抗差分分析和相關(guān)分析；43公鑰密碼（1）簡要?dú)v史橢圓曲線(Ellipticcurve)作為代數(shù)幾何中的重要問題已有100多年的研究歷史1985年，N.Koblitz和V.Miller獨(dú)立將其引入密碼學(xué)中，成為構(gòu)造公鑰密碼體制的一個有力工具。利用有限域GF(2n)上的橢圓曲線上點(diǎn)集所構(gòu)成的群上定義的離散對數(shù)系統(tǒng)，可以構(gòu)造出基于有限域上離散對數(shù)的一些公鑰體制橢圓曲線離散對數(shù)密碼體制(ECDLC)，如DiffieHellman，ElGamal，Schnorr，DSA等

公鑰密碼（1）簡要?dú)v史44實數(shù)上的橢圓曲線其中的是滿足簡單條件的實數(shù)一些曲線上的點(diǎn)連同無窮遠(yuǎn)點(diǎn)O的集合。實數(shù)上的橢圓曲線45實數(shù)上的橢圓曲線例子

實數(shù)上的橢圓曲線例子46（2）運(yùn)算定義（2）運(yùn)算定義47有限域上的橢圓曲線模P橢圓群記為群中的元素（x,y)是滿足以上方程的小于P的非負(fù)整數(shù)另外加上無窮遠(yuǎn)點(diǎn)O計算有限域上的橢圓曲線48的加法規(guī)則的加法規(guī)則49ECC的加解密ECC的加解密50ECC加解密例子ECC加解密例子51ECC特別適用無線Modem的實現(xiàn)對分組交換數(shù)據(jù)網(wǎng)提供加密，在移動通信器件上運(yùn)行4MHz的68330CPU，ECC可實現(xiàn)快速DiffieHellman密鑰交換，并極小化密鑰交換占用的帶寬，將計算時間從大于60秒降到2秒以下。Web服務(wù)器的實現(xiàn)在Web服務(wù)器上集中進(jìn)行密碼計算會形成瓶頸，Web服務(wù)器上的帶寬有限使帶寬費(fèi)用高，采用ECC可節(jié)省計算時間和帶寬，且通過算法的協(xié)商較易于處理兼容性。集成電路卡的實現(xiàn)ECC無需協(xié)處理器就可以在標(biāo)準(zhǔn)卡上實現(xiàn)快速、安全的數(shù)字簽名，這是RSA體制難以做到。ECC可使程序代碼、密鑰、證書的存儲空間極小化，數(shù)據(jù)幀最短，便于實現(xiàn)，大大降低了IC卡的成本。ECC特別適用52Menezes，Okamoto和Vanstone指出應(yīng)避免選用超奇異曲線，否則橢圓曲線群上的離散對數(shù)問題退化為有限域低次擴(kuò)域上的離散對數(shù)問題，從而能在多項式時間上可解。他們還指出，若所用循環(huán)子群的階數(shù)達(dá)2160，則可提供足夠的安全性。

（3）ECC的安全性Menezes，Okamoto和Vanstone指出應(yīng)53ECC和RSA對比在實現(xiàn)相同的安全性下，ECC所需的密鑰量比RSA少得多，如下表所示。其中MIPS年表示用每秒完成100萬條指令的計算機(jī)所需工作的年數(shù)，m表示ECC的密鑰由2m點(diǎn)構(gòu)成。以40MHz的鐘頻實現(xiàn)155bits的ECC，每秒可完成40,000次橢園曲線運(yùn)算，其速度比1024bits的DSA和RSA快10倍。ECC的密鑰長度mRSA的密鑰長度 MIPS年 1601024 1012 320 51201036 600210001078 1200 120000 10168ECC和RSA對比在實現(xiàn)相同的安全性下，ECC所需的密54分組密碼的工作模式2.3網(wǎng)絡(luò)加密方法

分組密碼可以按不同的模式工作，實際應(yīng)用的環(huán)境不同應(yīng)采用不同的工作模式電碼本(ECB)模式密碼分組鏈接(CBC)模式密碼反饋(CFB)模式輸出反饋(OFB)模式計數(shù)器(CTR)模式分組密碼的工作模式2.3網(wǎng)絡(luò)加密方法分組密碼可以按55電碼本（ECB）模式最簡單的運(yùn)行模式，一次對一個64bit長的明文分組加密，且每次加密密鑰都相同。電碼本（ECB）模式最簡單的運(yùn)行模式，一次對一個64bi56在用于短數(shù)據(jù)（如加密密鑰）時非常理想，是安全傳遞DES密鑰的最合適的模式在給定的密鑰下同一明文組總產(chǎn)生同樣的密文組。這會暴露明文數(shù)據(jù)的格式和統(tǒng)計特征。明文數(shù)據(jù)都有固定的格式，需要以協(xié)議的形式定義，重要的數(shù)據(jù)常常在同一位置上出現(xiàn)，使密碼分析者可以對其進(jìn)行統(tǒng)計分析、重傳和代換攻擊在用于短數(shù)據(jù)（如加密密鑰）時非常理想，是安57密碼分組鏈接（CBC）模式一次對一個明文分組加密，每次加密使用同一密鑰，加密算法的輸入是當(dāng)前明文分組和前一次密文分組的異或（在產(chǎn)生第1個密文分組時，需要有一個初始向量IV與第一個明文分組異或）；密碼分組鏈接（CBC）模式一次對一個明文分組加密，每次58解密時，每一個密文分組被解密后，再與前一個密文分組異或（第一個密文分組解密后和初始向量IV異或恢復(fù)出第一個明文分組）。解密時，每一個密文分組被解密后，再與前一個59為使安全性最高，IV應(yīng)像密鑰一樣被保護(hù)。可使用ECB加密模式來發(fā)送IV；保護(hù)IV原因是如果敵手能欺騙接受方使用不同的IV，敵手就能夠在明文的第一個分組中插入自己選擇的比特值；IV的完整性要比其保密性更為重要。在CBC模式下，最好是每發(fā)一個消息，都改變IV，比如將其值加一；由于CBC模式的鏈接機(jī)制，該模式對于加密長于64bit的消息非常合適；CBC模式除能獲得保密性外，還能用于認(rèn)證。為使安全性最高，IV應(yīng)像密鑰一樣被保護(hù)?？墒褂肊CB60密碼反饋（CFB）模式加密算法的輸入是64bit移位寄存器，其初始值為某個初始向量IV，加密算法輸出的最左（最高有效位）jbit與明文的第一個單元進(jìn)行異或，產(chǎn)生第一個密文單元并傳送該單元。然后將移位寄存器的內(nèi)容左移j位并將送入移位寄存器最右邊（最低有效位）j位。這一過程持續(xù)到明文的所有單元都被加密為止密碼反饋（CFB）模式加密算法的輸入是64bit移位寄61解密時，將收到的密文單元與加密函數(shù)的輸出進(jìn)行異或為什么此時仍然使用加密算法而不是解密算法？解密時，將為什么此時仍然使用加密算法而不是解密算法？62利用CFB模式或者OFB模式可將DES轉(zhuǎn)換為流密碼；流密碼不需要對消息進(jìn)行填充，而且運(yùn)行是實時的，因此如果傳送字母流，可使用流密碼對每個字母直接加密進(jìn)行傳送；

CFB模式除了獲得保密性外，還能用于認(rèn)證。利用CFB模式或者OFB模式可將DES轉(zhuǎn)換為流63輸出反饋(OFB)模式OFB模式的結(jié)構(gòu)類似于CFB，不同之處在于OFB模式將加密算法的輸出反饋到移位寄存器，而CFB模式中是將密文單元反饋到移位寄存器輸出反饋(OFB)模式OFB模式的結(jié)構(gòu)類似于CFB，不同64第二章密碼學(xué)基礎(chǔ)NEW優(yōu)質(zhì)課件65克服了CFB的錯誤傳播所帶來的問題。比CFB模式更易受到對消息流的篡改攻擊，使得敵手有可能通過對消息校驗部分的篡改和對數(shù)據(jù)部分的篡改，而以糾錯碼不能檢測的方式篡改密文?？朔薈FB的錯誤傳播所帶來的問題。66計數(shù)器(CRT)模式CTR可以把分組密碼轉(zhuǎn)換為流密碼和OFB類似，但是加密計數(shù)器值，而不是密文反饋值必須對每一個明文使用一個不同的密鑰和計數(shù)值計數(shù)器(CRT)模式CTR可以把分組密碼轉(zhuǎn)換為流密碼67第二章密碼學(xué)基礎(chǔ)NEW優(yōu)質(zhì)課件68該模式優(yōu)點(diǎn)是安全、高效、可并行、適合任意長度的數(shù)據(jù)，的計算可以預(yù)處理，適用于高速網(wǎng)絡(luò)。加解密過程僅涉及加密運(yùn)算，不涉及解密算法，因此不用實現(xiàn)解密算法。缺點(diǎn)是沒有錯誤傳播，因此不易確保數(shù)據(jù)完整性。信息快可被替換，重放，對明文的主動攻擊時可能的。該模式優(yōu)點(diǎn)是安全、高效、可并行、適合任意長69比較和選用ECB模式，簡單、高速，但最弱、易受重發(fā)攻擊，一般不推薦。CBC適用于文件加密，但較ECB慢。安全性加強(qiáng)。當(dāng)有少量錯誤時，也不會造成同步錯誤。OFB和CFB較CBC慢許多。每次迭代只有少數(shù)bit完成加密。若可以容忍少量錯誤擴(kuò)展，則可換來恢復(fù)同步能力，此時用CFB。在字符為單元的流密碼中多選CFB模式。OFB用于高速同步系統(tǒng)，不容忍差錯傳播。比較和選用ECB模式，簡單、高速，但最弱、易受重發(fā)攻擊，70第二章密碼學(xué)基礎(chǔ)NEW第二章密碼學(xué)基礎(chǔ)NEW71優(yōu)選第二章密碼學(xué)基礎(chǔ)NEW優(yōu)選第二章密碼學(xué)基礎(chǔ)NEW72目標(biāo)要求基本要求理解密碼系統(tǒng)的模型理解對稱密碼體制和非對稱密碼體制的原理掌握IDEA算法、ECC等公開密碼算法的原理與應(yīng)用了解常見的加密方式和各自的特點(diǎn)目標(biāo)要求基本要求73目標(biāo)要求重點(diǎn)掌握對稱密碼體制和非對稱密碼體制的原理熟悉IDEA算法、ECC公開密碼算法的原理與應(yīng)用熟悉各種加密方式和各自的特點(diǎn)難點(diǎn)非對稱密碼體制的原理目標(biāo)要求重點(diǎn)74本章內(nèi)容2.1密碼技術(shù)概述2.2密碼算法2.3對稱密鑰密碼加密模式2.4網(wǎng)絡(luò)加密方式本章內(nèi)容2.1密碼技術(shù)概述752.1密碼技術(shù)概述密碼學(xué)歷史1000BC:姜子牙陰陽符

500-600BC:天書

100-44BC:Caesarciphertheromansarecomingtoday2.1密碼技術(shù)概述密碼學(xué)歷史1000BC:姜子牙陰陽76Caesarcipher移位密碼密文表：abcdefghijklmnopqrstuvwxyz密文表：defghijklmnopqrstuvwxyzabcAnexample:明文----Plaintext:Howareyou

密文----Ciphertext?

Caesarcipher移位密碼密文表：abcdefghi771790:轉(zhuǎn)輪密碼，ThomasJefferson1790:轉(zhuǎn)輪密碼，ThomasJefferson78工作原理：首先將明文分成相同長度的數(shù)據(jù)塊，ECB模式，簡單、高速，但最弱、易受重發(fā)攻擊，一般不——1883年荷蘭密碼學(xué)家A.bits的DSA和RSA快10倍。密碼反饋（CFB）模式—解密循環(huán)I的頭4個子密鑰從加密循環(huán)10－I500-600BC:天書由于CBC模式的鏈接機(jī)制，該模式對于加密長于64bit的消IV的完整性要比其保密性更為重要。來獲取所希望的“密文—明文”對（集合）。明文(消息)(Plaintext)：被隱蔽消息，常用M表示而能在多項式時間上可解。一次對一個明文分組加密，每次加密使用同一密600210001078選擇明文破譯（chosenplaintextattacks），密碼算法：規(guī)定了明文和密文之間的一個復(fù)雜密碼分析學(xué)(Cryptanalysis)，研究分析破譯（2）IDEA加密過程

二戰(zhàn):GermanEnigmamachine工作原理：首先將明文分成相同長度的數(shù)據(jù)塊，二戰(zhàn):G79

二戰(zhàn):JapanesePurplemachine二戰(zhàn):JapanesePurplemachine80

1948，香農(nóng)ClaudeShannon與信息論ClaudeShannon與密碼學(xué)Born:30April1916inGaylord,Michigan,USA

Died:24Feb2001inMedford,Massachusetts,USA1948，香農(nóng)ClaudeShannon與信息論Bo81密碼系統(tǒng)加密變換不安全信道PlainTextCipherTextCipherText解密變換PlainText發(fā)送者：AliceDecryptionKeyEncryptionKey接受者：AliceCipherText密碼分析？竊密者：Eve密鑰信道密碼系統(tǒng)加密變換不安全信道PlainTextCipher82（1）密碼學(xué)基本概念

密碼學(xué)(Cryptology)：研究信息系統(tǒng)安全保密的科學(xué)。它包含兩個分支：

密碼編碼學(xué)(Cryptography)，對信息進(jìn)行編碼實現(xiàn)隱蔽信息的一門學(xué)問；

密碼分析學(xué)(Cryptanalysis)，研究分析破譯密碼的學(xué)問。（1）密碼學(xué)基本概念密碼學(xué)(Cryptology)：研83明文(消息)(Plaintext)：被隱蔽消息，常用M表示密文(Ciphertext)或密報(Cryptogram)：明文經(jīng)密碼變換成的一種隱蔽形式，常用C表示加密(Encryption)：將明文變換為密文的過程解密(Decryption)：加密的逆過程，即由密文恢復(fù)出原明文的過程加密員或密碼員(Cryptographer)：對明文進(jìn)行加密操作的人員。明文(消息)(Plaintext)：被隱蔽消息，常用M84

加密算法(Encryptionalgorithm)：密碼員對明文進(jìn)行加密時所采用的一組規(guī)則，常用E（）表示解密算法：接收者對密文進(jìn)行解密時所采用的一組規(guī)則，常用D（）表示密鑰(Key)：控制加密和解密算法操作的數(shù)據(jù)處理，分別稱作加密密鑰和解密密鑰，常用k表示截收者(Eavesdropper)：在信息傳輸和處理系統(tǒng)中的非受權(quán)者，通過搭線竊聽、電磁竊聽、聲音竊聽等來竊取機(jī)密信息。加密算法(Encryptionalgorithm)：密85加密過程EK(M)=C鑰，加密算法的輸入是當(dāng)前明文分組和前一次密分析者可以對其進(jìn)行統(tǒng)計分析、重傳和代換攻擊CipherText來獲取所希望的“明文—密文”對（集合）。CFB模式除了獲得保密性外，還能用于認(rèn)證。其中的是滿足簡單條件的實數(shù)應(yīng)的明文數(shù)據(jù)塊，將所有的明文數(shù)據(jù)塊合并起來即缺點(diǎn)是沒有錯誤傳播，因此不易確保數(shù)據(jù)完整性。CipherText量錯誤時，也不會造成同步錯誤。（2）運(yùn)算定義分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使二戰(zhàn):GermanEnigmamachineIDEA是PGP的一部分；而CFB模式中是將密文單元反饋到移位寄存器截收者(Eavesdropper)：在信息傳輸和處理系統(tǒng)密鑰序列：k=k0k1k2…CipherText盡管密碼學(xué)家們大都同意這一看法,但直到制定DES時才首次認(rèn)真地遵循這一原則。密碼分析(Cryptanalysis)截收者試圖通過分析從截獲的密文推斷出原來的明文或密鑰。密碼分析員(Cryptanalyst)從事密碼分析的人。被動攻擊(Passiveattack)對一個保密系統(tǒng)采取截獲密文進(jìn)行分析的攻擊。加密過程EK(M)=C密碼分析(Cryptanaly86（2）密碼系統(tǒng)組成

明文空間：信息本來的原始空間

密文空間：明文經(jīng)過加密后得到難以理解和辨認(rèn)的信息空間

密鑰空間：控制算法的實現(xiàn)，由信息通信雙方所掌握的專門信息空間密碼算法：規(guī)定了明文和密文之間的一個復(fù)雜的函數(shù)變換方式，包括加密函數(shù)與解密函數(shù)（2）密碼系統(tǒng)組成明文空間：信息本來的原始空間87加密過程EK(M)=C加密過程DK(C)=M密碼系統(tǒng)應(yīng)滿足DK(EK(M)=)=M加密過程88密碼學(xué)的Kerchoff準(zhǔn)則“一切秘密寓于密鑰之中”——1883年荷蘭密碼學(xué)家A.Kerchoff(1835～1903)就給出了密碼學(xué)的一個基本原則:密碼的安全必須完全寓于密鑰之中。盡管密碼學(xué)家們大都同意這一看法,但直到制定DES時才首次認(rèn)真地遵循這一原則。密碼學(xué)的Kerchoff準(zhǔn)則“一切秘密寓于密鑰之中”——89密碼體制密碼體制：一個密碼系統(tǒng)采用的基本工作方式密碼體制從原理上可以分為兩大類：對稱密鑰密碼體制（或單鑰密碼體制）非對稱密鑰密碼體制（或雙鑰密碼體制）密碼體制密碼體制：一個密碼系統(tǒng)采用的基本工作方式90對稱密鑰密碼體制加密：E不安全信道PlainTextCipherTextCipherText解密:DPlainText發(fā)送者：AliceKK接受者：Alice密鑰信道密鑰生成器對稱密鑰密碼體制加密：E不安全信道PlainTextCip91加密過程EK(M)=C加密過程DK(C)=M對稱密鑰密碼根據(jù)對明文加密方式的不同分為序列密碼（StreamCipher）或流密碼分組密碼（BlockCipher）或塊密碼加密過程EK(M)=C92（1）序列密碼對明文的單個位（有時對字節(jié)）運(yùn)算的算法。軍事和外交場合使用的主要密碼技術(shù)工作原理：＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…序列密碼的加密過程（1）序列密碼對明文的單個位（有時對字節(jié)）運(yùn)算的算法。＋明93＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…序列密碼的解密過程加密過程ci=(ki+mi)(mod2)加密過程mi=(ki+ci)(mod2)＋明文序列：m=m0m1m2…密文序列：c=ccc1c2…密94（2）分組密碼

對明文信息分割成塊結(jié)構(gòu)，逐塊進(jìn)行加密和解密。工作原理：首先將明文分成相同長度的數(shù)據(jù)塊，然后分別對每個數(shù)據(jù)塊加密產(chǎn)生一串滅為你數(shù)據(jù)塊；解密時，第每個密文數(shù)據(jù)塊進(jìn)行解密后得到相應(yīng)的明文數(shù)據(jù)塊，將所有的明文數(shù)據(jù)塊合并起來即得到明文。（2）分組密碼對明文信息分割成塊結(jié)構(gòu)，逐塊進(jìn)行加密95明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…分組密碼的加密過程Ek明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰序列：k=k0k1k2…分組密碼的加密過程Dk明文序列：m=m0m1m2…密文序列：c=ccc1c2…密鑰96（1）對稱密鑰密碼體制的問題非稱密鑰密碼體制ENetworkorStorage明文PlainText密文CipherTextD原明文OriginalPlainTextBob私鑰SecretKeyAlice私鑰SecretKey密文CipherText（1）對稱密鑰密碼體制的問題非稱密鑰密碼體制ENetwork97若N個人相互保密通信，每人必須擁有（N1）個私鑰，N很大時，需要保存的私鑰很多。如何解決？可信中心分發(fā)共需要發(fā)N*(N1)/2個私鑰N=1000時,999*1000/2=499500雙方事先約定用戶之間自己秘密會面（第一次遠(yuǎn)距離通信如何辦？）若N個人相互保密通信，每人必須擁有（N1）個98已有100多年的研究歷史（第一次遠(yuǎn)距離通信如何辦？）分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使CipherTextCipherText明文序列：m=m0m1m2…計數(shù)器(CTR)模式JamesMassey于1990年公布了IDEA密碼算法第密碼體制：一個密碼系統(tǒng)采用的基本工作方式每次迭代只有少數(shù)bit完成加1601024 1012IDEA的“混淆”和“擴(kuò)散”ECC的密鑰長度mRSA的密鑰長度 MIPS年密文序列：c=ccc1c2…流密碼不需要對消息進(jìn)行填充，而且運(yùn)行是實時（4）不用事先分配秘鑰。循環(huán)子群的階數(shù)達(dá)2160，則可提供足夠的安全性。密碼算法：規(guī)定了明文和密文之間的一個復(fù)雜鑰，加密算法的輸入是當(dāng)前明文分組和前一次密CipherText理，分別稱作加密密鑰和解密密鑰，常用k表示加密：E不安全信道PlainTextCipherTextCipherText解密:DPlainText發(fā)送者：AliceK2K1接受者：Alice已有100多年的研究歷史加密：E不安全信道PlainTex991976，由Diffie和Hellman提出，被公認(rèn)為現(xiàn)代密碼學(xué)誕生的標(biāo)志。工作原理：每個用戶都有一對選定的密鑰（公鑰：

K1，私鑰K2）K1是可以公開的，可以像電話號碼一樣進(jìn)行注冊公布；K2則是秘密的。特點(diǎn)：（1）將加密和解密能力分開；（2）多個用戶加密的消息只能由一個用戶解讀（秘密通信）；（3）一個用戶加密的消息而使多個用戶可以解讀（認(rèn)證）；（4）不用事先分配秘鑰。（2）非對稱密鑰密碼體制1976，由Diffie和Hellman提出，被公認(rèn)為100密碼分析密碼分析：試圖獲得加密體制細(xì)節(jié)、解密密鑰和明文等機(jī)密信息的過程，通常包括：分析統(tǒng)計截獲的密文材料、假設(shè)、推斷和證實等步驟。密碼分析方法有傳統(tǒng)破譯方法和物理破譯方法兩大類。（1）基本概念密碼分析密碼分析：試圖獲得加密體制細(xì)節(jié)、解密密鑰和（1）101傳統(tǒng)破譯方法包括窮舉破譯法和數(shù)學(xué)分析法兩類。數(shù)學(xué)分析法又分為確定性分析法的和統(tǒng)計分析法。四種破譯類型：唯密文破譯（ciphertextonlyattacks），分析者僅知道有限數(shù)量的密文。已知明文破譯（knownplaintextattacks），分析者除了擁有有限數(shù)量的密文外，還有數(shù)量限定的一些已知“明文—密文”對。傳統(tǒng)破譯方法包括窮舉破譯法和數(shù)學(xué)分析法兩類。四種破102四種破譯類型（續(xù)）：選擇明文破譯（chosenplaintextattacks），分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使用注入了未知密鑰的加密機(jī)，通過自由選擇明文來獲取所希望的“明文—密文”對（集合）。

選擇密文破譯（chosenciphertextattacks），分析者除了擁有有限數(shù)量的密文外，還有機(jī)會使用注入了未知密鑰的解密機(jī)，通過自由選擇密文來獲取所希望的“密文—明文”對（集合）。四種破譯類型（續(xù)）：103（2）防止密碼破譯的措施為防止密碼被破譯，可以采取以下措施：強(qiáng)壯的加密算法；

動態(tài)會話密鑰

保護(hù)關(guān)鍵密鑰（2）防止密碼破譯的措施為防止密碼被破譯，可以采取以下措施：1042.2密碼算法（1）IDEA的歷史1990年，瑞士的來學(xué)嘉（XuejiaLai）和

JamesMassey于1990年公布了IDEA密碼算法第

一版，稱為PES(ProposedEncryptionStandard)；1991年，為抗擊差分密碼攻擊，他們增強(qiáng)了算法的強(qiáng)度，稱IPES（ImprovedPES)；1992年，改名為IDEA（InternationalDataEncryptionAlgorithm）。算法2.2密碼算法（1）IDEA的歷史算法105（2）IDEA加密過程IDEA是一個分組長度為64bit的分組密碼算法，密鑰長度為128bit（抗強(qiáng)力攻擊能力比DES強(qiáng)），同一算法既可加密也可解密。IDEA的“混淆”和“擴(kuò)散”設(shè)計原則來自三種運(yùn)算，它們易于軟、硬件實現(xiàn)（加密速度快）Z6F2F1Z5G1G2（2）IDEA加密過程IDEA是一個分組長度為Z6F2F106在IDEA的模乘運(yùn)算中，為什么將模數(shù)取為216+1，而不是216？2.在其模加運(yùn)算中，為什么模數(shù)取為216而不是

216+1？在IDEA的模乘運(yùn)2.在其模加運(yùn)算中，為什么模數(shù)取為21107

IDEA加密的總體方案圖循環(huán)2循環(huán)8循環(huán)1輸出變換64位密文64位明文Z1Z6Z7Z12Z43Z48Z49Z52子密鑰生成器128bit密鑰Z1Z5216IDEA加密的總體方案圖循環(huán)2循環(huán)8循環(huán)1輸出變換64108IDEA加密的單個循環(huán)圖X1X2X3X4Z1Z2Z3Z4Z5Z6W11W12W13W14IDEA加密的單個循環(huán)圖X1X2X3X4Z1Z2Z3Z4Z5109N=1000時,999*1000/2=499500OFB模式將加密算法的輸出反饋到移位寄存器，ECC，每秒可完成40,000次橢園曲線運(yùn)算，其速度比1024設(shè)計原則來自三種運(yùn)算，由于CBC模式的鏈接機(jī)制，該模式對于加密長于64bit的消若可以容忍少量錯誤擴(kuò)展，則可換來恢復(fù)同步能力，分析者除了擁有有限數(shù)量的密文外，還有數(shù)量限法，因此不用實現(xiàn)解密算法。盡管密碼學(xué)家們大都同意這一看法,但直到制定DES時才首次認(rèn)真地遵循這一原則。orStorage其中的是滿足簡單條件的實數(shù)CBC適用于文件加密，但較ECB慢。IDEA加密的單個循環(huán)圖Web服務(wù)器的實現(xiàn)在Web服務(wù)器上集中進(jìn)行密碼計算會形成密碼分析學(xué)(Cryptanalysis)，研究分析破譯（2）防止密碼破譯的措施密碼分析學(xué)(Cryptanalysis)，研究分析破譯加密(Encryption)：將明文變換為密文的過程IDEA的密鑰生成56個16bit的子密鑰從128bit的密鑰中生成前8

個子密鑰直接從密鑰中取出；對密鑰進(jìn)行25bit的循環(huán)左移，接下來的密鑰就從中取出；重復(fù)進(jìn)行直到52個子密鑰都產(chǎn)生出來。N=1000時,999*1000/2=499110（3）IDEA的解密加密解密實質(zhì)相同，但使用不同的密鑰；解密密鑰以如下方法從加密子密鑰中導(dǎo)出—解密循環(huán)I的頭4個子密鑰從加密循環(huán)10－I的頭4個子密鑰中導(dǎo)出；解密密鑰第1、4個子密鑰對應(yīng)于1、4加密子密鑰的乘法逆元；2、3對應(yīng)2、3的加法逆元；—對前8個循環(huán)來說，循環(huán)I的最后兩個子密鑰等于加密循環(huán)9－I的最后兩個子密鑰；（3）IDEA的解密加密解密實質(zhì)相同，但使用不同的密鑰；111使用子分組16bit的子分組；使用簡單操作（易于加法、移位等操作實現(xiàn)）；加密解密過程類似；規(guī)則的結(jié)構(gòu)（便于VLSI實現(xiàn)）。（4）實現(xiàn)上的考慮使用子分組16bit的子分組；（4）實現(xiàn)上的考慮112（5）IDEA的安全性IDEA能抗差分分析和相關(guān)分析；IDEA似乎沒有DES意義下的弱密鑰；

IDEA是PGP的一部分；

BruceSchneier認(rèn)為IDEA是DES的最好替代，但問題是IDEA太新，許多問題沒解決。（5）IDEA的安全性IDEA能抗差分分析和相關(guān)分析；113公鑰密碼（1）簡要?dú)v史橢圓曲線(Ellipticcurve)作為代數(shù)幾何中的重要問題已有100多年的研究歷史1985年，N.Koblitz和V.Miller獨(dú)立將其引入密碼學(xué)中，成為構(gòu)造公鑰密碼體制的一個有力工具。利用有限域GF(2n)上的橢圓曲線上點(diǎn)集所構(gòu)成的群上定義的離散對數(shù)系統(tǒng)，可以構(gòu)造出基于有限域上離散對數(shù)的一些公鑰體制橢圓曲線離散對數(shù)密碼體制(ECDLC)，如DiffieHellman，ElGamal，Schnorr，DSA等

公鑰密碼（1）簡要?dú)v史114實數(shù)上的橢圓曲線其中的是滿足簡單條件的實數(shù)一些曲線上的點(diǎn)連同無窮遠(yuǎn)點(diǎn)O的集合。實數(shù)上的橢圓曲線115實數(shù)上的橢圓曲線例子

實數(shù)上的橢圓曲線例子116（2）運(yùn)算定義（2）運(yùn)算定義117有限域上的橢圓曲線模P橢圓群記為群中的元素（x,y)是滿足以上方程的小于P的非負(fù)整數(shù)另外加上無窮遠(yuǎn)點(diǎn)O計算有限域上的橢圓曲線118的加法規(guī)則的加法規(guī)則119ECC的加解密ECC的加解密120ECC加解密例子ECC加解密例子121ECC特別適用無線Modem的實現(xiàn)對分組交換數(shù)據(jù)網(wǎng)提供加密，在移動通信器件上運(yùn)行4MHz的68330CPU，ECC可實現(xiàn)快速DiffieHellman密鑰交換，并極小化密鑰交換占用的帶寬，將計算時間從大于60秒降到2秒以下。Web服務(wù)器的實現(xiàn)在Web服務(wù)器上集中進(jìn)行密碼計算會形成瓶頸，Web服務(wù)器上的帶寬有限使帶寬費(fèi)用高，采用ECC可節(jié)省計算時間和帶寬，且通過算法的協(xié)商較易于處理兼容性。集成電路卡的實現(xiàn)ECC無需協(xié)處理器就可以在標(biāo)準(zhǔn)卡上實現(xiàn)快速、安全的數(shù)字簽名，這是RSA體制難以做到。ECC可使程序代碼、密鑰、證書的存儲空間極小化，數(shù)據(jù)幀最短，便于實現(xiàn)，大大降低了IC卡的成本。ECC特別適用122Menezes，Okamoto和Vanstone指出應(yīng)避免選用超奇異曲線，否則橢圓曲線群上的離散對數(shù)問題退化為有限域低次擴(kuò)域上的離散對數(shù)問題，從而能在多項式時間上可解。他們還指出，若所用循環(huán)子群的階數(shù)達(dá)2160，則可提供足夠的安全性。

（3）ECC的安全性Menezes，Okamoto和Vanstone指出應(yīng)123ECC和RSA對比在實現(xiàn)相同的安全性下，ECC所需的密鑰量比RSA少得多，如下表所示。其中MIPS年表示用每秒完成100萬條指令的計算機(jī)所需工作的年數(shù)，m表示ECC的密鑰由2m點(diǎn)構(gòu)成。以40MHz的鐘頻實現(xiàn)155bits的ECC，每秒可完成40,000次橢園曲線運(yùn)算，其速度比1024bits的DSA和RSA快10倍。ECC的密鑰長度mRSA的密鑰長度 MIPS年 1601024 1012 320