密碼學(xué)原理與應(yīng)用密碼學(xué)原理與應(yīng)用1內(nèi)容一、密碼學(xué)概論1.密碼體制及其分類2.密碼學(xué)發(fā)展簡(jiǎn)史3.密碼分析概念和原理二、密碼編碼學(xué)基本原理1.對(duì)稱密碼概念與典型算法：Feistel結(jié)構(gòu)、DES等2.公鑰密碼概念與典型算法：RSA等3.消息認(rèn)證概念與典型算法：MD5等三、密碼學(xué)典型應(yīng)用1.加密設(shè)備的部署2.密鑰管理與密鑰分配3.數(shù)字證書與PKI內(nèi)容一、密碼學(xué)概論2一、密碼學(xué)概論1.密碼體制及其分類2.密碼學(xué)發(fā)展簡(jiǎn)史3.密碼分析概念和原理一、密碼學(xué)概論3密碼體制及其分類——學(xué)科內(nèi)涵學(xué)科內(nèi)涵研究如何隱秘地傳遞信息的學(xué)科對(duì)信息以及其傳輸?shù)臄?shù)學(xué)性研究與數(shù)學(xué)、信息論、計(jì)算機(jī)科學(xué)等緊密相關(guān)是信息安全（認(rèn)證、訪問控制等技術(shù)）的基礎(chǔ)和核心其首要目的是隱藏信息的涵義，而不是隱藏信息的存在密碼體制及其分類——學(xué)科內(nèi)涵學(xué)科內(nèi)涵4密碼體制及其分類——基本術(shù)語密碼學(xué)（Cryptology）泛指研究保密通信的學(xué)科，包括設(shè)計(jì)和破譯兩個(gè)方面密碼編碼學(xué)（Cryptography）研究如何達(dá)到信息秘密性、鑒別性等的科學(xué)，研究編碼系統(tǒng)密碼編碼者（cryptographer）密碼分析學(xué)（Cryptanalysis）研究如何破解密碼系統(tǒng)，或偽造信息使密碼系統(tǒng)失效的科學(xué)密碼分析者（cryptanalyst）加密和破譯既相互對(duì)立又密切相關(guān)，二者的相互作用促進(jìn)了密碼學(xué)的發(fā)展密碼體制及其分類——基本術(shù)語密碼學(xué)（Cryptology）5密碼體制及其分類——密碼體制密碼系統(tǒng)——五元組（M，C，K，E，D）明文空間M密文空間C密鑰空間K加密算法E解密算法D密碼體制及其分類——密碼體制密碼系統(tǒng)——五元組（M，C，K，6密碼體制及其分類明文(plaintext)原始的消息。加密算法(encryptionalgorithm)對(duì)明文進(jìn)行各種代替和變換的算法，加密算法的輸入為明文和密鑰，輸出為密文。密文(ciphertext)加密后的消息。解密算法(decryptionalgorithm)加密算法的逆運(yùn)算，輸入密文和密鑰，輸出原始明文。密鑰(secretkey)加密算法的輸入，密鑰獨(dú)立于明文和算法，算法根據(jù)所用的特定密鑰而產(chǎn)生不同的輸出。密碼體制及其分類明文(plaintext)原始的消息。7密碼體制及其分類——三種分類(1)明文轉(zhuǎn)換為密文的運(yùn)算類型代替(Substitution)：明文中每個(gè)元素映射成另一個(gè)元素置換(Transposition)：將明文元素重新排列基本要求是不允許信息丟失（即可逆）大多數(shù)密碼體制使用多層代替和置換（即乘積密碼系統(tǒng)）密碼體制及其分類——三種分類(1)明文轉(zhuǎn)換為密文的運(yùn)算類型8密碼體制及其分類——三種分類(2)所用的密鑰數(shù)對(duì)稱密碼：收發(fā)雙方使用相同的密鑰（又稱為單鑰或傳統(tǒng)密碼）非對(duì)稱密碼：收發(fā)雙方使用不同的密鑰（又稱為雙鑰或公鑰密碼）密碼體制及其分類——三種分類(2)所用的密鑰數(shù)9密碼體制及其分類——三種分類(3)明文處理方式分組密碼：每次處理輸入的一組元素，相應(yīng)地輸出一組元素流密碼：連續(xù)地處理輸入元素，每次輸出一個(gè)元素（又稱為序列密碼）密碼體制及其分類——三種分類(3)明文處理方式10密碼學(xué)發(fā)展簡(jiǎn)史密碼學(xué)發(fā)展史簡(jiǎn)圖密碼學(xué)發(fā)展簡(jiǎn)史密碼學(xué)發(fā)展史簡(jiǎn)圖11密碼學(xué)發(fā)展簡(jiǎn)史密碼學(xué)發(fā)展兩大階段古典密碼階段(—1949)

：特定應(yīng)用領(lǐng)域（軍事、政治、外交）現(xiàn)代密碼學(xué)階段(1949—)：密碼技術(shù)成為一門學(xué)科著名論文:Communicationtheoryofsecrecysystems,BellSyst.Tech.J.,Volume28,656-715,1949.密碼學(xué)發(fā)展簡(jiǎn)史密碼學(xué)發(fā)展兩大階段12密碼學(xué)發(fā)展簡(jiǎn)史——古典密碼古典密碼密碼學(xué)還不是科學(xué),而是藝術(shù)出現(xiàn)一些密碼算法和加密設(shè)備密碼算法的基本手段出現(xiàn)，針對(duì)的是字符簡(jiǎn)單的密碼分析手段出現(xiàn)主要特點(diǎn)：數(shù)據(jù)的安全基于算法的保密密碼學(xué)發(fā)展簡(jiǎn)史——古典密碼古典密碼13密碼學(xué)發(fā)展簡(jiǎn)史——古典密碼二十世紀(jì)早期密碼機(jī)密碼學(xué)發(fā)展簡(jiǎn)史——古典密碼二十世紀(jì)早期密碼機(jī)14密碼學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼——發(fā)展初期（1949-1975）計(jì)算機(jī)使得基于復(fù)雜計(jì)算的密碼成為可能相關(guān)技術(shù)的發(fā)展1949年Shannon的《TheCommunicationTheoryofSecretSystems》1967年DavidKahn的《TheCodebreakers》1971-73年IBMWatson實(shí)驗(yàn)室的《HorstFeistel》等幾篇技術(shù)報(bào)告主要特點(diǎn)：數(shù)據(jù)的安全基于密鑰而不是算法的保密密碼學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼——發(fā)展初期（1949-115密碼學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼－公鑰密碼學(xué)（1976-）W.Diffie和E.M.Hellman提出公鑰密碼的思想(1976)著名論文：W.DiffieandM.E.Hellman,Newdirectionincryptography,IEEETran.OnInformationTheory,IT-22,(6),644-654,1976.1977年Rivest,Shamir&Adleman提出了RSA公鑰算法90年代逐步出現(xiàn)橢圓曲線等其他公鑰算法主要特點(diǎn)：公鑰密碼使得發(fā)送端和接收端無密鑰傳輸?shù)谋Ｃ芡ㄐ懦蔀榭赡苊艽a學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼－公鑰密碼學(xué)（1976-）16密碼學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼系統(tǒng)設(shè)計(jì)要求系統(tǒng)即使達(dá)不到理論上是不可破的，也應(yīng)當(dāng)為實(shí)際上不可破的。就是說，從截獲的密文或某些已知的明文密文對(duì)，要決定密鑰或任意明文，在計(jì)算上是不可行的系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而依賴于密鑰保密。這是著名的Kerckhoff原則加密和解密算法適用于所有密鑰空間中的元素系統(tǒng)便于實(shí)現(xiàn)和使用密碼學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼系統(tǒng)設(shè)計(jì)要求17密碼學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼－密碼技術(shù)的商用化（1977-）1977：美國(guó)國(guó)家標(biāo)準(zhǔn)局(現(xiàn)美國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所NIST)頒布對(duì)稱密碼算法數(shù)據(jù)加密標(biāo)準(zhǔn)DES(DataEncryptionStandard)80年代出現(xiàn)“過渡性”的“PostDES”算法,如IDEA、RCx、CAST等90年代對(duì)稱密鑰密碼進(jìn)一步成熟，Rijndael、RC6、MARS、Twofish、Serpent等出現(xiàn)2001年Rijndael成為DES的替代者密碼學(xué)發(fā)展簡(jiǎn)史——現(xiàn)代密碼現(xiàn)代密碼－密碼技術(shù)的商用化（19718密碼分析概念與原理——基本概念非授權(quán)者通過各種辦法（如搭線竊聽電磁信號(hào)等）來竊取機(jī)密信息，稱其為截收者。截收者雖然不知道系統(tǒng)所用的密鑰，但通過分析可能從截獲的密文推斷出原來的明文或密鑰，這一過程稱為密碼分析。研究如何從密文推演出明文或密鑰的科學(xué)稱為密碼分析學(xué)。破譯者使用的策略取決于加密方案的固有性質(zhì)以及破譯者掌握的信息。密碼分析概念與原理——基本概念非授權(quán)者通過各種辦法（如搭線竊19密碼分析概念與原理——主要分析方法密碼分析概念與原理——主要分析方法20密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——窮舉破譯法方法：對(duì)截獲的密文依次用各種可能的密鑰試譯，直到獲得有意義的明文；或者利用對(duì)手已注入密鑰的加密機(jī)（比如繳獲得到），對(duì)所有可能的明文依次加密直到得出與截獲的密文一致的密文。對(duì)策：將密鑰空間和明文空間設(shè)計(jì)得足夠大。密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——窮舉破譯法21密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——數(shù)學(xué)分析法確定性分析法方法：利用密文和部分明文等已知量以數(shù)學(xué)關(guān)系式表示出所求未知量（如密鑰等），然后計(jì)算出未知量。對(duì)策：設(shè)計(jì)具有堅(jiān)實(shí)數(shù)學(xué)基礎(chǔ)和足夠復(fù)雜的加密函數(shù)統(tǒng)計(jì)分析法方法：密碼破譯者對(duì)截獲的密文進(jìn)行統(tǒng)計(jì)分析，找出其統(tǒng)計(jì)規(guī)律或特征，并與明文空間的統(tǒng)計(jì)特征進(jìn)行對(duì)照比較，從中提取出密文與明文間的對(duì)應(yīng)關(guān)系，最終確定密鑰或明文。對(duì)策：擾亂密文的語言統(tǒng)計(jì)規(guī)律密碼分析概念與原理——主要分析方法傳統(tǒng)破譯法——數(shù)學(xué)分析法22密碼分析概念與原理－主要分析方法邊信道攻擊法（sidechannelattack）利用密碼系統(tǒng)實(shí)現(xiàn)時(shí)泄漏的額外信息，推導(dǎo)密碼系統(tǒng)各種的秘密參數(shù)，也被稱為“側(cè)信道攻擊方法”、“物理分析方法”

密碼算法執(zhí)行器件（加密芯片）的功耗密碼算法各步驟執(zhí)行的時(shí)間度量電磁輻射計(jì)算錯(cuò)誤……與具體實(shí)現(xiàn)有關(guān)，非通用的分析方法，但更有效、更強(qiáng)大密碼分析概念與原理－主要分析方法邊信道攻擊法（sidech23密碼分析概念與原理——密碼分析當(dāng)加密方案產(chǎn)生的密文滿足下面條件之一或全部條件時(shí)，則稱該方案是計(jì)算安全的(computationallysecure)破解密文的代價(jià)超出被加密信息的價(jià)值破解密文需要的時(shí)間超出信息的有用壽命問題的關(guān)鍵是，我們很難定量的評(píng)估成功破譯密文需要付出的努力。但是，假設(shè)算法沒有內(nèi)在的數(shù)學(xué)弱點(diǎn)，那么就只剩下窮舉攻擊方法了，我們就能夠?qū)ζ涑杀竞蜁r(shí)間做出合理的評(píng)估。密碼分析概念與原理——密碼分析當(dāng)加密方案產(chǎn)生的密文滿足下面條24密碼分析概念與原理——密碼分析窮舉搜索密鑰需要的平均時(shí)間窮舉方法嘗試所有可能的密鑰直到把密文翻譯成可解的明文。平均而言，一般需要嘗試所有可能密鑰的一半才能成功。下面的表格給出了不同密鑰長(zhǎng)度所需的時(shí)間密碼分析概念與原理——密碼分析窮舉搜索密鑰需要的平均時(shí)間25二、密碼編碼學(xué)基本原理1.對(duì)稱密碼概念與典型算法：Feistel結(jié)構(gòu)、DES等2.公鑰密碼概念與典型算法：RSA等3.消息認(rèn)證概念與典型算法：MD5等二、密碼編碼學(xué)基本原理26對(duì)稱密碼概念與典型算法——概念對(duì)稱密碼體制（SymmetricSystem）傳統(tǒng)密碼算法（又稱為單密鑰算法）加密密鑰和解密密鑰相同，或從一個(gè)易于推出另一個(gè)能加密就能解密，加密能力和解密能力是結(jié)合在一起的，開放性差如：DES、IDEA、RC5、AES等算法對(duì)稱密碼概念與典型算法——概念對(duì)稱密碼體制（Symmetri27對(duì)稱密碼概念與典型算法——概念對(duì)稱密碼體制優(yōu)點(diǎn)：算法多、速度快、安全性好缺點(diǎn)：密鑰更換、傳遞和交換需要可靠信道如有N用戶，則需要C=N(N-1)/2個(gè)密鑰，N很大時(shí)，秘鑰管理困難不能實(shí)現(xiàn)數(shù)字簽名對(duì)稱密碼概念與典型算法——概念對(duì)稱密碼體制28對(duì)稱密碼概念與典型算法——概念對(duì)稱密碼體制的細(xì)分根據(jù)明文處理方式，可以分為：分組密碼（blockcipher)將明文分成固定長(zhǎng)度的組，用同一密鑰和算法對(duì)每一塊加密，輸出也是固定長(zhǎng)度的密文。如DES、IDEA、AES等流密碼（streamcipher)又稱序列密碼。流密碼每次通過輸出密鑰流序列加密(通常是模2加)一位或一字節(jié)的明文。如A5、E0、RC4等對(duì)稱密碼概念與典型算法——概念對(duì)稱密碼體制的細(xì)分29對(duì)稱密碼概念與典型算法——分組密碼典型算法DES(DataEncryptionStandard,數(shù)據(jù)加密標(biāo)準(zhǔn))DES也稱為DEA(DataEncryptionAlgorithm,數(shù)據(jù)加密算法)；1972年，IBM設(shè)計(jì)完成；1975年，IBM發(fā)布該算法的詳細(xì)內(nèi)容；1976年，美國(guó)聯(lián)邦政府采用該算法，成為從二十世紀(jì)80年代到二十世紀(jì)末事實(shí)上的對(duì)稱加密標(biāo)準(zhǔn)；采用56位密鑰（64位，其中每個(gè)字節(jié)一個(gè)奇偶校驗(yàn)位），64位明文；共進(jìn)行16輪加密操作。對(duì)稱密碼概念與典型算法——分組密碼典型算法DES(Data30Feistel網(wǎng)絡(luò)示意圖Feistel網(wǎng)絡(luò)示意圖31Feistel加密結(jié)構(gòu) 輸入是分組長(zhǎng)為2w的明文和一個(gè)密鑰K。將每組明文分成左右兩半L0和R0，在進(jìn)行完n輪迭代后，左右兩半再合并到一起以產(chǎn)生密文分組。其第i輪迭代的輸入為前一輪輸出的函數(shù)：

其中Ki是第i輪用的子密鑰，由加密密鑰K得到。一般地，各輪子密鑰彼此不同而且與K也不同。Feistel加密結(jié)構(gòu) 輸入是分組長(zhǎng)為2w的明文和一個(gè)密鑰K32Feistel加解密過程Feistel加解密過程33DES加密過程密文（64bits）IP置換（64bits）L0(32bits)R0(32bits)L1=R0R1=L0f(R0,k1)fki+16輪同樣運(yùn)算…L16+R16=L15f(R15,ki)+IP-1置換（64bits）明文（64bits）DES加密過程密文（64bits）IP置換（64bits）L34對(duì)稱密碼概念與典型算法——分組密碼典型算法IDEA(InternationalDataEncryptionAlgorithm,國(guó)際數(shù)據(jù)加密算法)1990年提出，1992年確定IDEA受專利保護(hù)應(yīng)用于PGP（PrettyGoodPrivacy）分組為64位，密鑰為128位，52個(gè)子密鑰，每個(gè)子密鑰16位8輪＋輸出置換，每輪使用6個(gè)子密鑰過程與DES相似，但是相對(duì)簡(jiǎn)單一些對(duì)稱密碼概念與典型算法——分組密碼典型算法IDEA(Inte35對(duì)稱密碼概念與典型算法——分組密碼典型算法AES(AdvancedEncryptionStandard,高級(jí)加密標(biāo)準(zhǔn))雖然到目前為止，尚沒有致命的攻擊能夠破解DES（目前大多數(shù)的破解都是針對(duì)DES密鑰長(zhǎng)度太短來破解）但是已經(jīng)影響到了DES密碼體制的安全。1997年4月15日，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）發(fā)起征集高級(jí)加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard,AES）的活動(dòng)，活動(dòng)目的是確定一個(gè)非保密的、可以公開技術(shù)細(xì)節(jié)的、全球免費(fèi)使用的分組密碼算法，作為新的數(shù)據(jù)加密標(biāo)準(zhǔn)。1997年9月12日，美國(guó)聯(lián)邦登記處公布了正式征集AES候選算法的通告。作為進(jìn)入AES候選過程的一個(gè)條件，開發(fā)者承諾放棄被選中算法的知識(shí)產(chǎn)權(quán)。對(duì)AES的基本要求是：比三重DES快、至少與三重DES一樣安全、數(shù)據(jù)分組長(zhǎng)度為128比特、密鑰長(zhǎng)度為128/192/256比特。對(duì)稱密碼概念與典型算法——分組密碼典型算法AES(Advan36對(duì)稱密碼概念與典型算法——分組密碼典型算法AES(AdvancedEncryptionStandard,高級(jí)加密標(biāo)準(zhǔn))1998年8月12日，在首屆AES會(huì)議上指定了15個(gè)候選算法。1999年3月22日第二次AES會(huì)議上，將候選名單減少為5個(gè)，這5個(gè)算法是RC6，Rijndael，SERPENT，Twofish和MARS。2000年4月13日，第三次AES會(huì)議上，對(duì)這5個(gè)候選算法的各種分析結(jié)果進(jìn)行了討論。2000年10月2日，NIST宣布了獲勝者——Rijndael算法。2001年11月出版了最終標(biāo)準(zhǔn)FIPSPUB197。對(duì)稱密碼概念與典型算法——分組密碼典型算法AES(Advan37對(duì)稱密碼概念與典型算法——分組密碼典型算法AES的特點(diǎn)非Feistel結(jié)構(gòu)采用對(duì)稱和并行結(jié)構(gòu)——算法的實(shí)現(xiàn)更加靈活適合于現(xiàn)代處理器，也可在智能卡上實(shí)現(xiàn)AES每輪主要包括四個(gè)步驟字節(jié)代替移位行（置換）混合列（有限域上算術(shù)運(yùn)算）輪密鑰加（與部分密鑰異或）對(duì)稱密碼概念與典型算法——分組密碼典型算法AES的特點(diǎn)38對(duì)稱密碼概念與典型算法——序列密碼典型算法RC4算法是由RonRivest于1987年為RSA公司設(shè)計(jì)的一種可變密鑰長(zhǎng)度（1-256B）的序列密碼。廣泛應(yīng)用于商業(yè)密碼產(chǎn)品中。軟件實(shí)現(xiàn)速度快，有廣泛應(yīng)用，如無線網(wǎng)絡(luò)WEP、WAP，BTprotocolencryption，MicrosoftPoint-to-PointEncryption，SSL(optionally)，RemoteDesktopProtocol，Kerberos(optionally)該算法的速度可以達(dá)到普通分組加密的10倍左右，且具有很高級(jí)別的非線性。對(duì)稱密碼概念與典型算法——序列密碼典型算法RC4算法是由Ro39對(duì)稱密碼概念與典型算法對(duì)稱密碼概念與典型算法40非對(duì)稱密碼概念與典型算法——概念非對(duì)稱（公鑰）密碼體制加密密鑰和解密密鑰不同，一個(gè)用于加密，一個(gè)用于解密，且從一個(gè)密鑰導(dǎo)出另一個(gè)密鑰是計(jì)算上不可行的非對(duì)稱密碼概念與典型算法——概念非對(duì)稱（公鑰）密碼體制41非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介1976年Diffie和Hellman在《NewDirectionsinCryptography》中提出了非對(duì)稱密鑰密碼非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介1976年Dif42非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介加密與解密由不同的密鑰完成加密：解密：知道加密算法，從加密密鑰得到解密密鑰在計(jì)算上是不可行的兩個(gè)密鑰中任何一個(gè)都可以作為加密而另一個(gè)用作解密非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介加密與解密由不同43非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介保密：此時(shí)將公鑰作為加密密鑰，私鑰作為解密密鑰，通信雙方不需要交換密鑰就可以實(shí)現(xiàn)保密通信非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介保密：此時(shí)將公鑰44非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介簽名：將私鑰作為加密密鑰，公鑰作為解密密鑰，可實(shí)現(xiàn)由一個(gè)用戶對(duì)數(shù)據(jù)加密而使多個(gè)用戶解讀非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介簽名：將私鑰作為45非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介簽名＋保密非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介簽名＋保密46非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介優(yōu)點(diǎn)：加密能力與解密能力是分開的可滿足不相識(shí)的人之間保密通信，適合網(wǎng)絡(luò)應(yīng)用需要保存的密鑰量大大減少，N個(gè)用戶只需要N個(gè)可以實(shí)現(xiàn)用戶身份的確認(rèn)缺點(diǎn)：速度較慢、密鑰長(zhǎng)(通常是1024比特以上)非對(duì)稱密碼概念與典型算法——公鑰密碼體制簡(jiǎn)介優(yōu)點(diǎn)：47非對(duì)稱密碼概念與典型算法——RSA算法簡(jiǎn)介RonRivest,AdiShamir,LeonardAdleman于1977年發(fā)明第一個(gè)非對(duì)稱密碼算法安全性基于大數(shù)分解的難題非對(duì)稱密碼概念與典型算法——RSA算法簡(jiǎn)介RonRives48非對(duì)稱密碼概念與典型算法——RSA算法簡(jiǎn)介RSA安全性基于大數(shù)分解的難題產(chǎn)生一對(duì)大素?cái)?shù)很容易求一對(duì)大素?cái)?shù)的乘積很容易，但要對(duì)這個(gè)乘積進(jìn)行因式分解則非常困難公鑰和私鑰經(jīng)過一對(duì)大素?cái)?shù)運(yùn)算而來，破解算法的難度等價(jià)于分解這兩個(gè)大素?cái)?shù)的乘積非對(duì)稱密碼概念與典型算法——RSA算法簡(jiǎn)介RSA安全性基于大49非對(duì)稱密碼概念與典型算法——RSA算法描述1）取兩個(gè)隨機(jī)大宿舍p和q(保密)2）計(jì)算公開的模數(shù)n=p*q(公開）3）計(jì)算秘密的歐拉函數(shù)φ(n)=(p-1)(q-1)(保密)4）隨機(jī)選擇整數(shù)e(0<e<φ(n))，滿足e和φ(n)互素(公開e，加密密鑰)5）計(jì)算d，使得d×e≡1modφ(n)(保密d，解密密鑰）6）公鑰為(n,e),私鑰為(n,d)7）將明文x加密得密文y，y=xe

(modn)8）密文y解密得明文x，x=yd

(modn)非對(duì)稱密碼概念與典型算法——RSA算法描述1）取兩個(gè)隨機(jī)大宿50非對(duì)稱密碼概念與典型算法——RSA算法安全性分析密碼分析者攻擊RSA體制的關(guān)鍵點(diǎn)在于如何分解n若分解成功使n=pq，則可以算出φ(n)＝(p-1)(q-1)，然后由公開的e，解出秘密的d非對(duì)稱密碼概念與典型算法——RSA算法安全性分析密碼分析者攻51非對(duì)稱密碼概念與典型算法——RSA算法安全性分析計(jì)算能力的不斷提高和分解算法的進(jìn)一步改進(jìn)，原來被認(rèn)為是不可能分解的大數(shù)已被成功分解RSA-129（即n為129位十進(jìn)制數(shù)，大約428個(gè)比特）已在網(wǎng)絡(luò)上通過分布式計(jì)算歷時(shí)8個(gè)月于1994年4月被成功分解RSA-155（512比特）已于1999年8月被成功分得到了兩個(gè)78位（十進(jìn)制）的素?cái)?shù)RSA-768（232十進(jìn)制）已于2009年12月被成功分得到了兩個(gè)116位（十進(jìn)制）的素?cái)?shù)估計(jì)在未來一段比較長(zhǎng)的時(shí)期，密鑰長(zhǎng)度介于1024比特至2048比特之間的RSA是安全的非對(duì)稱密碼概念與典型算法——RSA算法安全性分析計(jì)算能力的不52對(duì)稱密碼與非對(duì)稱密碼對(duì)比對(duì)稱密碼與非對(duì)稱密碼對(duì)比53數(shù)字信封—對(duì)稱加密與非對(duì)稱加密的結(jié)合數(shù)字信封是一種解決兩個(gè)對(duì)等實(shí)體之間通過網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)的解決方法。通信方A用B的公鑰K2加密A與B之間的共享密鑰K1，并將其發(fā)送給B。B用自己的私鑰K3解密收到的消息，得到共享密鑰K1。A、B之間用對(duì)稱密鑰K1對(duì)收發(fā)的數(shù)據(jù)加解密。數(shù)字信封—對(duì)稱加密與非對(duì)稱加密的結(jié)合數(shù)字信封是一種解決兩個(gè)對(duì)54數(shù)字信封—對(duì)稱加密與非對(duì)稱加密的結(jié)合數(shù)字信封的優(yōu)點(diǎn)由于非對(duì)稱密碼用于對(duì)稱密碼密鑰的發(fā)布，較好地解決了對(duì)稱密碼的密鑰發(fā)布問題。由于對(duì)稱密鑰相對(duì)于要發(fā)送的明文而言通常要小，因此，密鑰交換過程中的加解密過程很快。由于使用對(duì)稱密碼進(jìn)行實(shí)際數(shù)據(jù)的傳輸，因此，實(shí)際數(shù)據(jù)傳輸過程中的加解密過程很快。數(shù)字信封—對(duì)稱加密與非對(duì)稱加密的結(jié)合數(shù)字信封的優(yōu)點(diǎn)55消息認(rèn)證消息認(rèn)證是用來驗(yàn)證消息完整性的一種機(jī)制或服務(wù)。確保收到的數(shù)據(jù)確實(shí)和發(fā)送時(shí)一樣（未被修改、插入、刪除或重放），且發(fā)送方聲稱的身份是真實(shí)有效的消息認(rèn)證主要是為了防范（檢測(cè)）主動(dòng)的完整性攻擊消息認(rèn)證消息認(rèn)證是用來驗(yàn)證消息完整性的一種機(jī)制或服務(wù)。確保收56消息認(rèn)證在網(wǎng)絡(luò)環(huán)境中，傳統(tǒng)的攻擊類型有：認(rèn)證內(nèi)容認(rèn)證消息（數(shù)據(jù)）的內(nèi)容認(rèn)證消息（數(shù)據(jù)）的來源認(rèn)證消息（數(shù)據(jù)）的時(shí)效性消息認(rèn)證在網(wǎng)絡(luò)環(huán)境中，傳統(tǒng)的攻擊類型有：57消息認(rèn)證分類使用認(rèn)證函數(shù)產(chǎn)生某種認(rèn)證符，分為三類：消息加密：將整個(gè)消息的密文作為認(rèn)證符。消息認(rèn)證碼（MAC）：消息和密鑰的函數(shù)，它產(chǎn)生定長(zhǎng)的值，以該值作為認(rèn)證符。雜湊函數(shù)（Hash）：又稱散列函數(shù)，將任意長(zhǎng)的消息映射為定長(zhǎng)的散列值的函數(shù)，以該散列值作為認(rèn)證符。消息認(rèn)證分類使用認(rèn)證函數(shù)產(chǎn)生某種認(rèn)證符，分為三類：58消息認(rèn)證——消息加密對(duì)稱加密非對(duì)稱加密消息認(rèn)證——消息加密對(duì)稱加密59消息認(rèn)證——消息認(rèn)證碼消息認(rèn)證碼MessageAuthenticationCode(MAC)利用密鑰生成一個(gè)固定長(zhǎng)度的短數(shù)據(jù)塊，并將該數(shù)據(jù)附加在消息之后。

M—消息

C—MAC函數(shù)

K—共享的密鑰

MAC—消息認(rèn)證碼

MAC＝C(K,M)消息和MAC一起發(fā)送給接收方，接收方對(duì)收到的消息用相同的密鑰進(jìn)行相同的運(yùn)算得到新的MAC，若新MAC與收到的MAC一致，則可確保：（1）消息未被修改（2）消息來自真正的發(fā)送方（3）若消息中含有序列號(hào)，則可相信消息順序是正確的。消息認(rèn)證——消息認(rèn)證碼消息認(rèn)證碼MessageAuthen60消息認(rèn)證——散列函數(shù)單向散列函數(shù)(Hash)又稱為雜湊函數(shù)，是消息認(rèn)證碼的一種變形。Hash與MAC的相同之處：輸入是可變大小的消息M，輸出是固定大小的散列碼。Hash與MAC的不同之處：散列碼并不使用密鑰，它僅是輸入消息的函數(shù)。散列碼，也稱為消息摘要(MessageDigest)或者散列值，是消息的一個(gè)指紋。消息認(rèn)證——散列函數(shù)單向散列函數(shù)(Hash)又稱為雜湊函數(shù)61消息認(rèn)證——散列函數(shù)散列碼的應(yīng)用用對(duì)稱密碼對(duì)消息及附在其后的散列碼加密（冗余保護(hù)，提供認(rèn)證與保密）用對(duì)稱密碼僅對(duì)散列加密，對(duì)那些不要求保密性的應(yīng)用，這種方法處理代價(jià)小（提供認(rèn)證）用發(fā)送方的私鑰僅對(duì)散列加密（原理同上）先用發(fā)送方的私鑰對(duì)散列碼加密，再用對(duì)稱密碼對(duì)消息和上述加密結(jié)果進(jìn)行加密（常用的技術(shù)，提供保密與認(rèn)證）通信雙方共享公共的秘密值S（類似于密鑰），A將M和S的聯(lián)合體計(jì)算散列值，并將其附在M后（提供認(rèn)證）消息認(rèn)證——散列函數(shù)散列碼的應(yīng)用62消息認(rèn)證——散列函數(shù)散列函數(shù)的要求給定一個(gè)消息，計(jì)算其散列值應(yīng)該非常容易。對(duì)給定的消息，散列值總是一致的。給定一個(gè)散列值，找出創(chuàng)建該散列值的原消息是非常困難的。任意給定兩個(gè)消息，如果計(jì)算其消息摘要，兩者的消息摘要必須不同。如果兩個(gè)消息產(chǎn)生相同的散列值，則稱為沖突(Collision)。如果散列值的長(zhǎng)度為n，則兩個(gè)消息產(chǎn)生同樣的散列值的概率為1/2n，n較大時(shí)，如為128位時(shí)，小概率事件難以發(fā)生。消息認(rèn)證——散列函數(shù)散列函數(shù)的要求63消息認(rèn)證——散列函數(shù)散列函數(shù)的雪崩效應(yīng)兩個(gè)原消息之間非常小的變化，得到的消息摘要應(yīng)該有很大的變化。消息認(rèn)證——散列函數(shù)散列函數(shù)的雪崩效應(yīng)64消息認(rèn)證——散列函數(shù)散列函數(shù)的性質(zhì)散列函數(shù)可應(yīng)用于任意大小的數(shù)據(jù)塊；散列函數(shù)產(chǎn)生定長(zhǎng)的輸出；對(duì)任意給定的x，計(jì)算H（x）比較容易，用硬件和軟件均可實(shí)現(xiàn)；對(duì)任意散列函數(shù)，找出滿足H（x）＝h的x在計(jì)算上是不可行的，有些文獻(xiàn)中稱之為單向性；對(duì)任意給定的分組x，找到滿足y不等于x，且H（y）＝H（x）的y在計(jì)算上是不可行的，稱之為抗弱沖突性；找出任何滿足H（x）＝H（y）的偶對(duì)（x，y）在計(jì)算上是不可行的，稱之為抗強(qiáng)沖突性。消息認(rèn)證——散列函數(shù)散列函數(shù)的性質(zhì)65消息認(rèn)證——MD51990年MIT的RonRivest提出MD4。1992年RonRivest完成MD5(RFC1321)。其發(fā)展歷程為MD、MD2、MD3、MD4、MD5?，F(xiàn)行美國(guó)標(biāo)準(zhǔn)SHA-1以MD5的前身MD4為基礎(chǔ)。輸入：任意長(zhǎng)度的報(bào)文。輸入分組長(zhǎng)度：512位。輸出：128位的消息摘要。消息認(rèn)證——MD51990年MIT的RonRivest66消息認(rèn)證——MD5MD5不是足夠安全的Dobbertin在1996年找到了兩個(gè)不同的512位塊,它們?cè)贛D5計(jì)算下產(chǎn)生相同的hash，但對(duì)一般性的一個(gè)512位分組，并不能總是找到一個(gè)產(chǎn)生同樣hash的另一個(gè)分組；2004年，山東大學(xué)王小云教授針對(duì)一個(gè)X，計(jì)算MD5(X)，能夠通過更改X的某些位，得到一個(gè)Y，使得MD5(X)=MD5(Y)?！猂ivest說，我們不得不做更多的重新思考了。消息認(rèn)證——MD5MD5不是足夠安全的67三、密碼學(xué)典型應(yīng)用1.加密設(shè)備的部署2.密鑰管理與密鑰分配3.數(shù)字證書與PKI三、密碼學(xué)典型應(yīng)用68加密設(shè)備的部署鏈路加密很多的加密設(shè)備較高的安全性在每個(gè)交換節(jié)點(diǎn)都需要解密數(shù)據(jù)包端到端加密源主機(jī)加密和接收端解密靜載荷加密包頭為明文加密設(shè)備的部署鏈路加密69加密設(shè)備的部署加密設(shè)備的部署70加密設(shè)備的位置鏈路加密：對(duì)于鏈路層加密，每條易受攻擊的通信鏈路都在包交換器兩端裝備加密設(shè)備。因此，所有通信鏈路的所有通信都受到保護(hù)。盡管這在大型網(wǎng)絡(luò)中需要很多加密設(shè)備，但它提供了較高的安全性。缺點(diǎn)：消息每次進(jìn)入包交換機(jī)都要被解密。這是必要的，因?yàn)榻粨Q機(jī)必須讀取包頭（packetheader）地址來發(fā)送包。因此，每次交換時(shí)消息都易受攻擊。如果這是一個(gè)公共包交換網(wǎng)絡(luò)，則用戶不可控制節(jié)點(diǎn)安全。加密設(shè)備的位置鏈路加密：71加密設(shè)備的位置端到端加密：對(duì)于端到端加密，加密過程在兩個(gè)端系統(tǒng)上實(shí)現(xiàn)。主機(jī)只能加密包中的用戶數(shù)據(jù)部分而必須保留包頭為明文，使得它能被網(wǎng)絡(luò)讀取。因此使用端到端加密，用戶數(shù)據(jù)是安全的，但是通信模式不安全，因?yàn)榘^以明文傳遞。加密設(shè)備的位置端到端加密：72加密設(shè)備的位置為獲得更高安全性，兩種形式都采用。主機(jī)使用端到端加密密鑰加密包的用戶數(shù)據(jù)部分。然后使用鏈路加密密鑰加密整個(gè)包。這樣除了在包交換機(jī)里存儲(chǔ)包時(shí)包頭是明文外，整個(gè)包都是安全的。加密設(shè)備的位置為獲得更高安全性，兩種形式都采用。主機(jī)使用端73加密設(shè)備的部署加密設(shè)備的部署74密鑰管理與密鑰分配密碼技術(shù)的安全性都依賴于密鑰密碼學(xué)的原則：一切秘密寓于密鑰之中密鑰管理：處理密鑰自產(chǎn)生到最終銷毀的整個(gè)過程中的有關(guān)問題密鑰管理與密鑰分配密碼技術(shù)的安全性都依賴于密鑰75密碼學(xué)原理與應(yīng)用課件76密鑰分配密鑰分配技術(shù)是在不讓其他人看到密鑰的情況下將一個(gè)密鑰傳遞給希望交換數(shù)據(jù)的雙方的方法。密鑰分配往往和身份認(rèn)證聯(lián)系在一起。一個(gè)密碼系統(tǒng)的安全強(qiáng)度依賴于密鑰分配技術(shù)。密鑰管理方法因所使用的密碼體制（對(duì)稱密碼體制和公鑰密碼體制）而異。密鑰分配密鑰分配技術(shù)是在不讓其他人看到密鑰的情況下將一個(gè)密鑰77密鑰分配對(duì)稱密鑰的分配對(duì)稱加密基于共同密鑰實(shí)現(xiàn)，如何建立安全的數(shù)據(jù)通道傳輸密鑰成為密鑰管理的關(guān)鍵！解決：建立安全傳輸密鑰的數(shù)據(jù)通道非對(duì)稱密鑰的分配正確地獲取其他用戶的公鑰是密鑰管理的關(guān)鍵！解決：公開密鑰的集中式管理密鑰分配對(duì)稱密鑰的分配78密鑰分配分布式：網(wǎng)絡(luò)中的主機(jī)具有相同的地位，他們之間的密鑰分配取決于他們之間的協(xié)商——如基于公鑰密碼體制的密鑰分配方法、Diffie-Hellman密鑰交換協(xié)議集中式：一個(gè)中心服務(wù)器(密鑰分配中心KDC)，團(tuán)體中的任何一個(gè)實(shí)體與中心服務(wù)器共享一個(gè)密鑰。KDC接受用戶的請(qǐng)求，為用戶提供安全的密鑰分配服務(wù)密鑰分配分布式：網(wǎng)絡(luò)中的主機(jī)具有相同的地位，他們之間的密鑰分79密鑰分配密鑰分配80數(shù)字證書與PKIPKI(PublicKeyInfrastructure)：X.509定義PKI為：創(chuàng)建、管理、存儲(chǔ)、發(fā)布和撤消基于公鑰密碼系統(tǒng)的數(shù)字證書所需要的硬件、軟件、人和過程的集合一種標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)據(jù)簽名等密碼服務(wù)所必須的密鑰和證書管理登記注冊(cè)、管理、發(fā)布公鑰證書，撤銷過去簽發(fā)但現(xiàn)已失效的密鑰證書數(shù)字證書與PKIPKI(PublicKeyInfras81公鑰證書Public-keycertificates公鑰證書又稱數(shù)字證書，可以理解為是一種數(shù)據(jù)結(jié)構(gòu)證書中包含用戶的合法公開密鑰，并由頒發(fā)證書的授權(quán)機(jī)構(gòu)簽名任何人可以閱讀證書以確定證書擁有者的姓名和公鑰，可以驗(yàn)證證書是由授權(quán)機(jī)構(gòu)發(fā)出而非偽造的只有授權(quán)機(jī)構(gòu)才可以發(fā)行和更