《CISP0201密码学基础.ppt》由会员分享,可在线阅读,更多相关《CISP0201密码学基础.ppt(108页珍藏版)》请在金锄头文库上搜索。
1、密码学基础,课程内容,2,密码技术,知识体,知识域,知识子域,密码学基础,知识子域:密码学基础概念,了解密码学的发展阶段及各阶段特点理解密码通信模型,理解密码学加密、解密、算法、明文、密文、密钥、密码编码学和密码分析学等概念了解科克霍夫原则和影响密码系统的安全性的基本因素:复杂程度、密钥长度掌握密码体制的分类和特点理解密钥生命周期概念和密钥管理作用,了解密钥产生、分配、使用、更换和注销等过程的管理特点,3,密码学发展,第一个阶段是从古代到19世纪末古典密码(classicalcryptography)第二个阶段从20世纪初到1949年近代密码第三个阶段从C.E.Shannon(香农)于1949
2、年发表的划时代论文“TheCommunicationTheoryofSecretSystems”开始现代密码第四个阶段从1976年W.Diffie和M.Hellman发表论文“NewDirectionsinCryptography”开始公钥密码,4,古典密码学,古典密码体制的安全性在于保持算法本身的保密性,受到算法限制。不适合大规模生产不适合较大的或者人员变动较大的组织用户无法了解算法的安全性古典密码主要有以下几种:代替密码(SubstitutionCipher)置换密码(TranspositionCipher)代替密码与置换密码的组合,5,代替密码Vs.置换密码,凯撒密码,6,斯巴达人“天书
3、”密码,古典密码学分类,7,单表代替密码,多表代替密码,(流密码),(分组密码),Substitutioncipher,PolygramSubstitutioncipher,TranspositionCipher,MonoalphabeticSubstitutioncipher,PloyalphabeticSubstitutioncipher,Streamcipher,Blockcipher,举例:密码广播,代替?置换?测试:余则成接受广播呼叫所使用的密码本是()A红楼梦B朱子家训C蝴蝶梦D康熙字典,8,近代密码学,20世纪初到1949年:主要标志是机械密码/机电密码,用机电代替手工。近代密码
4、体制是用机械或电动机械实现的,最著名的就是转轮机(RotorMachine)。,9,转轮机Germany:ENIGMA(1919),转轮密码机ENIGMA,由ArthurScherbius于1919年发明。在二次世界大战期间,Enigma曾作为德国陆、海、空三军最高级密码机。,10,转轮机UK:TYPEX/US:M-209,英国的TYPEX打字密码机德3轮ENIGMA的改进型在英国通信中使用广泛,且在破译密钥后帮助破解德国信号。,11,M-209是哈格林对C-36改进后的产品,由Smith-Corna负责为美国陆军生产,一次一密乱码本(1917),12,发明者:MajorJosephMaubo
5、rgne和AT2.计算n=pq,公开n;3.计算欧拉函数(n)=(p-1)(q-1);4.任意取一个与(n)互素的小整数e,即gcd(e,(n)=1;1e(n),公开e,作为公钥用于加密(或签名验证)。5.寻找d,使得:de1mod(n),作为私钥保密,即de=k(n)+1。,70,RSA算法加密/解密过程,密钥对(KU,KR):KU=e,n,KR=d,n加密过程:把待加密的内容分成k比特的分组,klog2n,并写成数字,设为M:C=Memodn解密过程M=Cdmodn,71,RSA加密过程举例,p=7,q=17,n=7*17=119,(n)=(7-1)(17-1)=96选e=5,gcd(e,
6、(n)=gcd(5,96)=1;计算d,使得ed1mod96,即ed=k*96+1,取k=4,则d=77公开(e,n)=(5,119),将d保密,丢弃p,q。明文:m=19加密:19566mod119,c=66解密:6677mod119=?,72,RSA算法的安全性和性能,攻击方法蛮力攻击:对所有密钥都进行尝试。数学攻击:等效于对两个素数乘积(n)的因子分解。大数的因子分解是数论中的一个难题。,73,运算速度软件实现比DES慢100倍硬件实现比DES慢1000倍,椭圆曲线密码体制,椭圆曲线上的离散对数问题点Q和点P是有限域上的椭圆曲线的两个点,在等式mP=P+P+P=Q中,已知m和点P求点Q比
7、较容易,反之已知点Q和点P求m却是相当困难的,这个问题称为椭圆曲线上点群的离散对数问题。椭圆曲线应用到密码学上最早是由NealKoblitz和VictorMiller在1985年分别独立提出的。椭圆曲线密码体制是目前已知的公钥体制中,对每比特所提供加密强度最高的一种体制。,74,椭圆曲线密码体制,椭圆曲线加密基于椭圆曲线的ElGamal公钥密码算法基于椭圆曲线的DSA(ECDSA)椭圆曲线密钥协商基于椭圆曲线的密钥协商问题,即ECCDiffie-Hellman椭圆曲线签密基于椭圆曲线密码体制的签密方案基于椭圆曲线密码体制的(t,n)门限签密方案,75,ECCvs.RSA,76,MIPS年表示用
8、每秒完成100万条指令的计算机所需工作的年数,ECCvs.RSA,77,ECC应用,无线Modem的实现对分组交换数据网加密,实现快速Deffie-Hellman密钥交换Web服务器的实现可节省计算时间和带宽集成电路卡的实现ECC无需协处理器即可在标准卡上实现快速、安全的数字签名,RSA难以实现,78,ECC的小结,安全性能更高(160位等同RSA的1024位)计算量小,处理速度快存储空间占用小带宽要求低应用前景非常好,特别在移动通信、无线设备上的应用。,79,基于公钥密码的加密过程,80,Alice,Bob,基于公钥密码的鉴别过程,81,Alice,Bob,公钥密码体制的优缺点,优点:解决密
9、钥传递的问题大大减少密钥持有量提供了对称密码技术无法或很难提供的服务(数字签名)缺点:计算复杂、耗用资源大非对称会导致得到的密文变长,82,对公钥密码算法的误解,公钥密码算法比对称密码算法更安全?任何一种现代密码算法的安全性都依赖于密钥长度、破译密码的工作量,从对抗分析角度,没有一方更优越。公钥密码算法使得对称密码算法成为了过时技术?公钥密码算法计算速度较慢,通常用于密钥管理和数字签名。对称密码算法将长期存在。使用公开密钥加密,密钥分配变得非常简单?密钥分配既不简单,也不有效。,83,小结,RSA数学基础:IFP(IntegerFactorizationProblem)加/解密、密钥交换、数字
10、签名使用最广泛ECC密钥长度短Diffie-Hellman密钥交换算法,84,哈希函数和数字签名,理解哈希函数、数字签名特点和作用了解MD5算法、SHA-1算法的工作原理和特点理解消息鉴别码特点和作用,了解MAC、HMAC的原理和应用理解数字签名的原理和应用,了解DSA和RSA签名方案,85,Hash函数,Hash函数是将任意长度的消息映射成一个较短的定长输出报文的函数,如下形式:h=H(M),M是变长的报文,h是定长的散列值.数学性质:对任意给定的x,H(x)易于(软硬件实现)计算,且满足:单向性:对任意给定的码h,寻求x使得H(x)=h在计算上是不可行的;弱抗碰撞性:任意给定分组x,寻求不
11、等于x的y,使得H(y)=H(x)在计算上不可行;强抗碰撞性:寻求对任何的(x,y)对,使得H(x)=H(y)在计算上不可行.,86,86,Hash函数的特点,H能够应用到任意长度的数据上。H能够生成大小固定的输出。对干任意给定的x,H(x)的计算相对简单。对于给定的散列值h,要发现满足H(x)h的x在计算上是不可行的。对于给定的消息x,要发现另一个消息y满足H(y)H(x)在计算上是不可行的。主要的Hash算法:MD5、SHA-1等,87,哈希运算完整性,88,用户A,用户B,数据,数据,哈希值,哈希算法,数据,哈希值,哈希值,哈希算法,如果哈希值匹配,说明数据有效,用户A发送数据和哈希值给
12、用户B,b,Y0,n,IV,f,b,Y1,n,f,b,YL-1,n,CVL-1,f,CV1,n,n,IV=初始值CV=链接值Yi=第i个输入数据块f=压缩算法n=散列码的长度b=输入块的长度,安全Hash函数的一般结构,CVL,IV=initialn-bitvalueCVi=f(CVi-1,Yi-1)(1iL)H(M)=CVL,Hash函数,89,MD5算法,MD:MessageDigest,消息摘要输入:任意长度的消息输出:128位消息摘要处理:以512位输入数据块为单位,MD5(RFC1321)developedbyRonRivest(“R”oftheRSA)atMITin90s.,90,
13、SHA-1算法,SHA(SecureHashAlgorithm,安全哈希算法)由美国国家标准技术研究所NIST开发,作为联邦信息处理标准于1993年发表(FIPSPUB180),1995年修订,作为SHA-1(FIPSPUB180-1),SHA-1基于MD4设计。输入:最大长度为264位的消息;输出:160位消息摘要;处理:输入以512位数据块为单位处理.,91,比较SHA1/MD5,散列值长度MD5128bitsSHA1160bits安全性SHA1看来好些,但是SHA1的设计原则没有公开速度SHA1慢些(opensslspeedmd5/sha1)type16bytes64bytes256by
14、tes1024bytes8192bytesmd55425.31k19457.48k55891.45k104857.60k143211.40ksha15104.58k16008.41k37925.33k57421.81k68241.68k,92,消息鉴别码,93,在网络通信中,有一些针对消息内容的攻击方法伪造消息窜改消息内容改变消息顺序消息重放或者延迟消息认证:对收到的消息进行验证,证明确实是来自声称的发送方,并且没有被修改过。如果在消息中加入时间及顺序信息,则可以完成对时间和顺序的认证,消息认证的三种方式,Messageencryption:用整个消息的密文作为认证标识接收方必须能够识别错误H
15、ashfunction:一个公开函数将任意长度的消息映射到一个固定长度的散列值,作为认证标识MAC:一个公开函数,加上一个密钥产生一个固定长度的值作为认证标识,94,MAC:MessageAuthenticationCode,使用一个双方共享的秘密密钥生成一个固定大小的小数据块,并加入到消息中,称MAC,或密码校验和(cryptographicchecksum)用户A和用户B,共享密钥K,对于消息M,MAC=CK(M)如果接收方计算的MAC与收到的MAC匹配,则接收者可以确信消息M未被改变接收者可以确信消息来自所声称的发送者如果消息中含有序列号,则可以保证正确的消息顺序MAC函数类似于加密函数
16、,但不需要可逆性。因此在数学上比加密算法被攻击的弱点要少,95,MAC的动机,为了鉴别而加密整个报文不够方便对称加密整个报文是个浪费即使同时为了保密,也有另外的办法和体制用非对称加密速度太慢,每秒仅百来笔后来引入了签名体制鉴别和加密的分离带来灵活性确实有时只要鉴别而不用(或不能)加密如法律文书、公开信、声明、公告、公证、鉴定等如软件鉴别/防病毒、网络管理报文等,96,97,MAC的用法,HMAC,把HASH值和一个Key结合起来不需要可逆目标既能使用当前的HASH函数,又可容易升级为新的HASH函数,并能保持散列函数的安全性简单,并易进行密码学分析,98,MAC不能解决的问题,发送者否认发送过消息,声称是别人伪造。接收者伪造消息,声称其由某发送者发送。解决办法不可否认性,99,数字签名,传统签名的基本特点:能与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化,基本要求:能与所签文件“绑定”签名者不能否认自己的签名签
