《b第二周对称密码学(第2、3、6章)剖析》由会员分享,可在线阅读,更多相关《b第二周对称密码学(第2、3、6章)剖析(35页珍藏版)》请在金锄头文库上搜索。
1、1,华南理工大学经贸学院 本科课程电子商务安全与保密,第2章 对称密码学,2,信息论的概念,公式:H(x)= 含义:不确定性,即一条信息当中的信息量。/越大越好 一个只有一个字符的语言(熵-(1)*log2 (1) =0) 完全随机语言: -(1/26)*log2 (1/26) -log2 (1/26) 4.xx /一个字母对任意字母的映射 直观来说:从一个信息元推断其它信息元的可能性,熵越小,可能性越大 例:如果信息不是男就是女, 那么H(m)-1/2log2(1/2)+ (-1/2)log2(1/2)=1 联合熵 条件熵,3,信息率:r=H(M)/N,N是消息的长度,H(M)是信息熵 绝对
2、信息率R=log2L 语言的多余度D=R-r /越少越好,减少被推测可能 例:英语的信息率估计是1.2,绝对信息率是4.7(L=26),则冗余度估计是3.5 唯一解距离:进行强力攻击时,可能解出唯一有意义的明文所需要的最少密文量,定义为U=H(M)/D, H(M)是信息熵,D是多余度 /越长越好,与冗余度成反比 问:为什么密钥要定期更换?,信息论的概念,4,密码学的Shannon模型,Z ,Z,Z ,5,密码学的Shannon模型,X,明文(plain-text): 作为加密输入的原始信息。 Y,密文(cipher-text):对明文变换的结果。 E,加密(encrypt):是一组含有参数的变
3、换,将可识别的明文变为密文。密文可识别阈下信道。 D,解密(decrypt):加密的逆变换。 Z,密钥(key):是参与加密解密变换的参数。 一密码系统算法明文空间密文空间密钥空间 系统分析者试图从密文破解出明文者 上述过程的数字表示:Y=E(X,Z), X=D(Y,Z),6,密码分析理论,Kerckhoffs假设 假定:密码分析者知道对方所使用的密码系统 包括明文的统计特性、加密体制(操作方式、处理方法和加/解密算法 )、密钥空间及其统计特性。 不知道(解密)密钥。 在设计一个密码系统时,目标是在Kerckhoffs 假设的前提下实现安全 。/产业化至关重要 雪崩效应 明文或密钥的微小改变将
4、对密文产生很大的影响是任何加密算法需要的一个号性质。特别地,明文或密钥的某一位变化会导致密文的很多位发生变化,这被称为雪崩效应。 越大越好,7,(1)唯密文攻击(Cipher Text-Only Attack) 密码分析者有一些消息的密文,这些消息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文,或者最好是能推算出加密消息的密钥,以便可采用相同的密钥解出其他被加密的消息。 (2)已知明文攻击(Known-Plaintext Attack) 密码分析者不仅可得到一些消息的密文,而且也知道这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥或推导出一个算法,此算法可以对用同一密钥
5、加密的任何新的消息进行解密。,密码分析,8,(3)选择明文攻击(Chosen-Plaintext Attack) 分析者不仅可得到一些消息的密文和相应的明文,而且也可选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密,那 些块可能产生更多关于密钥的信息,分析者的任务是推出用来加密消息的密钥或导出一个算法,此算法可 以对用同一密钥加密的任何新的消息进行解密。 (4)选择密文攻击(Chosen-Cipher Text Attack) 密码分析者能选择不同的被加密的密文,并可得到对应的解密的明文,密码分析者的任务是推出密钥。,密码学的Shannon模型,9,(5)适用性
6、选择密文攻击(Adaptive Chosen-Cipher Text Attack,CCA2) 在CCA的基础上,密码分析者除了对“目标密文”解密以外,永远能够得到解密服务。能在使用解密机的过程 中,根据解密机的反馈适应性地构造密文再进行解密。与CCA2不同,CCA要求在得到目标密文以后,解密服务立即停止。,密码学的Shannon模型,10,密码体制的安全性,无条件安全或完善保密性(unconditionally security): 不论提供的密文有多少,密文中所包含的信息都不足以惟一地确定其对应的明文; 具有无限计算资源(诸如时间、空间、资金和设备等)的密码分析者也无法破译某个密码系统。
7、要构造一个完善保密系统,其密钥量的对数(密钥空间为均匀分布的条件下)必须不小于明文集的熵。 /不确定性不能减少 从熵的基本性质可推知,保密系统的密钥量越小,其密文中含有的关于明文的信息量就越大。/容易从密文猜出明文 存在完善保密系统 如:一次一密(one-time pad)方案;/量子密码。 实际上安全或计算安全性(computational security) 计算上是安全:即使算出和估计出破译它的计算量下限,利用已有的最好的方法破译该密码系统所需要的努力超出了破译者的破译能力(诸如时间、空间、资金等资源)。 从理论上证明破译它的计算量不低于解已知难题的计算量,因此(在现阶段)是安全的,11
8、,书本:混淆(confusion)和扩散(diffusion)的不同翻译 扩散和混淆是C.E.Shannon提出的设计密码体制的两种基本方法,其目的是为了抵抗对手对密码体制的统计分析,可抵抗对手从密文的统计特性推测明文和密钥。常用的方法对应是替代(如凯撒密码)和置换(如DES) /The basic techniques for this are called confusion(混淆) and diffusion(扩散). These roughly correspond to substitution(替代) and permutation(置换) 扩散对应的方法是置换;混淆对应的方法是替
9、代。,扩散和混淆,12,代替:每个明文元素或者元素组倍唯一地替换为相应的密文元素或者元素组 置换:明文元素的序列被替换为该序列的一个置换。也就是说,序列里没有元素被增删改,但序列里元素出现的顺序被改变了 扩散:为避免密码分析者对密钥逐段破译,密码的设计应该保证密钥的每位数字能够影响密文中的多位数字 ;同时,为了避免避免密码分析者利用明文的统计特性,密码的设计应该使明文中的每1个bit影响密文的多个bit,或说密文中每1个bit受明文中多个bit影响,从而隐藏明文的统计特性。 混淆:为了避免密码分析者利用明文与密文之间的依赖关系进行破译,将密文和密钥之间的统计关系变得尽可能复杂。,扩散和混淆,1
10、3,DES的安全性,基于1997年的技术统计分析的攻击结果,数据加密标准 64位分组和56位密钥 1977年倍NBS采纳为标准 1999年规定只用于遗留系统和3DES,14,多重DES 多重DES就是使用多个密钥利用DES对明文进行多次加密,多重DES可以增加密钥量。 1、双重DES K1,K2是两个长度为56bit的密钥。明文X,密文Y 加密变换:Y=DES K2(DES K1(X) 解密变换:X=DESK1-1(DESK2-1(Y) 双重DES所用密钥长度为112bit,强度极大增加。,15,2、三重DES K1,K2,K3是两个长度为56bit的密钥。明文X,密文Y 加密变换:Y=DES
11、K3(DES K2-1(DES K1(X) 解密变换:X=DESK1-1(DESK2(DESK3-1(Y) 三重DES所用密钥长度为168bit。 如果K1=K2或K2=K3,则三重DES退化为使用一个56bit密钥的单重DES。 这个过程称为 EDE,即加密解密加密(Encrypt Decrypt Encrypt)。所以,可以使K1=K3来用三重DES方法执行常规的 DES加密。 三重DES目前还被当作一个安全有效的加密算法使用。 三重DES已在因特网的许多应用(PGP、S/MIME)中被采用。,16,IDEA 算法,IDEA 国际数据加密算法(International Data Encr
12、yption Algorithm) 瑞士联邦理工学院:Xuejia Lai & James Massey , 1990; 1991 改进,加强了对差分密码分析的抗击能力; 明文分组与密文分组的长度均为64位,密钥长度为128位。 在目前常用的安全电子邮件加密方案PGP中使用,17,Rijndael算法,由Square算法发展演变而来。 已被美国国家标准技术研究所选定作为高级加密算法AES,Advanced Encryption Standard 取代DES 迭代分组密码算法(类似流密码:每一轮有内部状态) 密钥128/192/256,分组128/192/256,循环次数10/12/14。 速度
13、快、对内存要求小,操作简单。 算法的抗攻击能力强。 高级加密标准(AES)算法Rijndael的设计.清华大学出版社.,18,其他算法,BLOWFISH Bruce Schneier 1995发表, 64位分组, 最大到448位可变长密钥。Fast, compact, simple, variably secure. RC2 、RC4、RC5、RC6算法 由Rivest发明,19,分组密码的工作模式,已经提出的分组密码工作模式有: 电码本(ECB)模式 /原始模式 密码分组链接(CBC)模式; 密码反馈(CFB)模式; 输出反馈(OFB)模式;,这是最简单的方式: 以分组64bit为例:明文接
14、受64bit的分组,每个明文分组都用同一个密钥加密,每个64bit的明文分组就有一个唯一的密文. 特点:同一个64bit明文分组多次出现,产生的密文就总是一样的,它可用于少量的数据加密,比如加密一个密钥,对于大报文用ECB方式就不安全.,ECB模式(电子密码本),ECB模式,ECB模式,ECB模式的优缺点,模式操作简单 明文中的重复内容将在密文中表现出来,特别对于图像数据和明文变化较少的数据 适于短报文的加密传递,ECB模式,目的:同一个明文分组重复出现时产生不同的密文分组 原理: Pn 加密算法的输入 是当前的明文分组 Cn-1 和前一密文分组 的异或 K 第一个明文分 组和一个初始向量 C
15、n 进行异或,XOR,DES 加密,CBC模式(密码分组链接),初始向量 时刻t1 t2 tn IV P1 P2 Pn K K K C1 C2 Cn-1 Cn,OR,DES,XOR,XOR,DES,DES,CBC模式,CBC模式,CBC模式,CBC模式的特点,同一个明文分组重复出现时产生不同的密文分组 加密函数的输入是当前的明文分组和前一个密文分组的异或;对每个分组使用相同的密钥。 将明文分组序列的处理连接起来了。每个明文分组的加密函数的输入与明文分组之间不再有固定的关系 有助于将CBC模式用于加密长消息,CBC模式,OFB模式(输出反馈),CFB模式(密码反馈),CTR模式(计数器),CTR模式的特点,使用与明文分组规模相同的计数器长度 处理效率高(并行处理) 预处理可以极大地提高吞吐量 可以随机地对任意一个密文分组进行解密处理,对该密文分组的处理与其它密文无关 实现的简单性 适于对实时性和速度要求较高的场合,CTR模式,33,链到链加密方式,在物理层或数据链路层实施加密机制。,34,节点加密,与链路加密不同,节嗲加密不允许消息在网络节点以明文形式存在 这一过程在节点的一个安全模块中进行 节点加密要求包头和路由信息与明文形式传输,因而收到业务分析攻击,35,端到端加密方式,在应用层实施加密机制。,
