《计算机网络与信息安全课件-第4章密码学》由会员分享,可在线阅读,更多相关《计算机网络与信息安全课件-第4章密码学(34页珍藏版)》请在金锄头文库上搜索。
1、第四章第四章 密码学密码学密码学的起源可追溯到人类语言的出现。当人们想确保他们通信的机密的时候,密码 学的诞生就是不可避免了。古希腊人的斯巴达人可能是最早有意识地使用一些技术方法来 加密信息的人。他们的加密设备是一根叫 的棍子。写信人先将一个纸条绕在棍子 上,然后把要写的信在棍子表面上按照与纸条缠绕方向垂直的方向写在纸上,接着将纸条 取下,送给收信人。如果不知道棍子的宽度(这里作为密钥)是不可能解密信里面的内容 的。后来,罗马的军队用凯撒密码(三个字母表轮换)进行通信。在随后的 19 个世纪里面, 主要是发明一些更加高明的加密技术,这些技术的安全性通常依赖于用户赋予它们多大的 信任程度。在 1
2、9 世纪 Kerchoffs 写下了现代密码学的原理。其中一个重要的原理是:加密 体系的安全性并不依赖于加密的方法本身,而是依赖于所使用的密钥。 一般说来为了实现保密的通信必须提供下面三种服务: 数据保密数据保密 传输的信息除了指定的接收者其他人无法解密。 身份鉴别身份鉴别 传输通信的双方能够相互鉴别身份。 保证数据完整性保证数据完整性 保证接收者收到的信息与发送者发送的信息相同,并且能够检测到信 息被破坏。 密码学的研究目标就是设计能够实现上述三种服务的各种算法。在本章介绍的算法包 括:分组加密算法、公开密钥加密算法、文摘算法。通过组合使用这些算法可全部实现这 些服务。4.1 密码理论与技术
3、研究现状及发展趋势密码理论与技术研究现状及发展趋势现代密码学主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组加 密算法、流加密算法、认证码、数字签名、Hash 函数、身份识别、密钥管理、PKI 技术等) 和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术) 。自从 1976 年公钥密码的思想提出以来,国际上已经出现了许多种公钥密码体制,但比 较流行的主要有两类:一类是基于大整数因子分解问题的,其中最典型的代表是 RSA;另 一类是基于离散对数问题的,比如 ElGamal 公钥密码和椭圆曲线公钥密码。由于分解大整 数的能力日益增强,所以对 RSA 的安全
4、带来了一定的威胁。目前 768 比特模长的 RSA 已 不安全。一般建议使用 1024 比特模长,预计要保证 20 年的安全就要选择 1280 比特的模长, 增大模长带来了实现上的难度。而基于离散对数问题的公钥密码在目前技术下 512 比特模 长就能够保证其安全性。特别是椭圆曲线上的离散对数的计算要比有限域上的离散对数的 计算更困难,目前技术下只需要 160 比特模长即可,适合于智能卡的实现,因而受到国内 外学者的广泛关注。国际上制定了椭圆曲线公钥密码标准 IEEEP1363,目前许多公司开发 出了符合该标准的椭圆曲线公钥密码产品。公钥密码主要用于数字签名和密钥分配。目前数字签名的研究内容非常
5、丰富,包括普 通签名和特殊签名。特殊签名有盲签名,代理签名,群签名,不可否认签名,公平盲签名, 门限签名,具有消息恢复功能的签名等,它与具体应用环境密切相关。数字签名的应用涉 及到法律问题,美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名标准 (DSS) ,部分州已制定了数字签名法。法国是第一个制定数字签名法的国家,其他国家也正在实施之中。在密钥管理方面,国际上都有一些大的举动,比如 1993 年美国提出的密钥 托管理论和技术、国际标准化组织制定的 X.509 标准(已经发展到第 3 版本)以及麻省理 工学院开发的 Kerboros 协议(已经发展到第 5 版本)等,这些工作影响很大
6、。密钥管理中还 有一种很重要的技术就是秘密共享技术,它是一种分割秘密的技术,目的是阻止秘密过于 集中,自从 1979 年 Shamir 提出这种思想以来,秘密共享理论和技术达到了空前的发展和 应用,特别是其应用至今人们仍十分关注。文摘函数主要用于完整性校验和提高数字签名的有效性,目前已经提出了很多方案。 美国已经制定了 Hash 标准-SHA-1,与其数字签名标准匹配使用。由于技术的原因,美国 目前正准备更新其 Hash 标准,另外,欧洲也正在制定 Hash 标准。近年来,我国学者在文 摘函数方面的研究上做出了重大的突破,2004 年,以山东大学的王小云为首的团队破解了 MD5、SHA-1 两
7、大文摘算法,震惊了世界。在身份识别的研究中,最令人瞩目的识别方案有两类:一类是 1984 年 Shamir 提出的 基于身份的识别方案,另一类是 1986 年 Fiat 等人提出的零知识身份识别方案。随后,人 们在这两类方案的基础上又提出了一系列实用的身份识别方案,比如,Schnorr 识别方案、 Okamoto 识别方案、Guillou-Quisquater 识别方案、Feige-Fiat-Shamir 识别方案等。目前人 们所关注的是身份识别方案与具体应用环境的有机结合。美国早在 1977 年就制定了自己的数据加密标准(DES,一种分组加密算法) ,但除了 公布具体的算法之外,从来不公布详
8、细的设计规则和方法。随着美国的数据加密标准的出 现,人们对分组密码展开了深入的研究和讨论,设计了大量的分组密码,给出了一系列的 评测准则。其他国家,如日本和苏联也纷纷提出了自己的数据加密标准。但在这些分组密 码中能被人们普遍接受和认可的算法却寥寥无几。何况一些好的算法已经被攻破或已经不 适用于技术的发展要求。比如 DES 已经于 1997 年 6 月 17 日被攻破。美国从 1997 年 1 月 起,开始征集、制定和评估新一代数据加密标准(称作 AES) 。2001 年由两位比利时密码 学家设计的 Rijdael 算法最后胜出。AES 活动使得国际上又掀起了一次研究分组密码的新高 潮。同时国外
9、为适应技术发展的需求也加快了其他密码标准的更新,比如 SHA-1 和 FIPS140-1。目前最为人们所关注的实用密码技术是 PKI 技术。国外的 PKI 应用已经开始,开发 PKI 的厂商也有多家。许多厂家,如 Baltimore、Entrust 等推出了可以应用的 PKI 产品,有 些公司如 VeriSign 等已经开始提供 PKI 服务。网络许多应用正在使用 PKI 技术来保证网络 的认证、不可否认、加解密和密钥管理等。尽管如此,总的说来 PKI 技术仍在发展中。按 照国外一些调查公司的说法,PKI 系统仅仅还是在做示范工程。IDC 公司的 Internet 安全资 深分析家认为:PKI
10、 技术将成为所有应用的计算基础结构的核心部件,包括那些越出传统 网络界限的应用。B2B 电子商务活动需要的认证、不可否认等只有 PKI 产品才有能力提供 这些功能。目前国际上对非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的 识别理论与技术等)非常关注,讨论也非常活跃。信息隐藏将在未来网络中保护信息免于 破坏起到重要作用,信息隐藏是网络环境下把机密信息隐藏在大量信息中不让对方发觉的 一种方法。特别是图象叠加、数字水印、潜信道、隐匿协议等的理论与技术的研究已经引 起人们的重视。1996 年以来,国际上召开了多次有关信息隐藏的专业研讨会。基于生物特 征(比如手形、指纹、语音、视网膜、
11、虹膜、脸形、DNA 等)的识别理论与技术已有所发 展,形成了一些理论和技术,也形成了一些产品,这类产品往往由于成本高而未被广泛采 用。1969 年美国哥伦比亚大学的 Wiesner 创造性地提出了共轭编码的概念,遗憾的是他的 这一思想当时没有被人们接受。十年后,源于共轭编码概念的量子密码理论与技术才取得 了令人惊异的进步,已先后在自由空间和商用光纤中完成了单光子密钥交换协议,英国 BT实验室通过 30 公里的光纤信道实现了每秒 20k 比特的密钥分配。近年来,英、美、日等国 的许多大学和研究机构竞相投入到量子密码的研究之中,更大的计划在欧洲进行。到目前 为止,主要有三大类量子密码实现方案:一是
12、基于单光子量子信道中测不准原理的;二是 基于量子相关信道中 Bell 原理的;三是基于两个非正交量子态性质的。但许多问题还有待 于研究。比如,寻找相应的量子效应以便提出更多的量子密钥分配协议,量子加密理论的 形成和完善,量子密码协议的安全性分析方法研究,量子加密算法的开发,量子密码的实 用化等。总的来说,非数学的密码理论与技术还处于探索之中。密码技术特别是加密技术是信息安全技术中的核心技术,国家关键基础设施中不可能 引进或采用别人的加密技术,只能自主开发。我们必须要有我们自己的算法,自己的一套 标准,自己的一套体系,来对付未来的挑战。目前我国在密码技术的应用水平方面与国外 还有一定的差距。4.
13、2 分组加密算法分组加密算法密码学的基本目标是使两个在不安全信道中通信的人,通常称为 Alice(A)和 Bob(B),能够保密通信,也就是使窥探者无法理解通信的内容。A 向 B 发送的信息称为 明文,A 使用事先商量好的密钥对明文进行加密,加密的结果称为密文。在传送密文的过 程中,窥探者即使窃听到密文,也无法得到明文。而由于 B 知道密钥,则他对密文解密得 到明文。 对称密钥加密算法在加密和解密时使用同一密钥。对称密钥加密算法包括分组加密算 法和流加密算法。分组加密算法每次对固定长度的明文加密。流加密算法每次加密的单位 是字节。对称密钥加密系统的模型如图 4-1 所示。A 将明文 x 通过以
14、密钥 k 为参数的加密 函数 E 变换成密文 y=E(k,x),B 得到密文 y,通过以密钥 k 为参数的解密函数 D 变换成明 文 x=D(k,y)。图图 4-1 对称密钥加密模型对称密钥加密模型当今大多数分组加密算法都是迭代型加密算法。迭代型加密算法定义了一个轮函数和 一个密钥扩展算法,对一个明文块的加密结果是通过多轮(Nr)迭代调用轮函数对明文加 密得到的。下面看一下一个典型的迭代型加密算法是如何加密的。 设加密算法的输入是块 w,密钥为 K。首先通过密钥扩展算法将 K 扩展为一组等长的 轮密钥:K1,K2,,KNr。轮函数 g 以当前状态 wi-1和轮密钥 Ki作为输入。下一个状态定
15、义为:wi=g(wi-1,Ki)。初始状态 w0设为明文 x,密文 y 定义为经过所有 Nr 轮后的状态。整 个加密过程如下: w0x w1g(w0,K1) w2g(w1,K2) . . .ED网络ABxx=D(k,y)y=E(k,x)kkwNr-1g(wNr-2,KNr-1) wNrg(wNr-1,KNr) ywNr 为了能解密,轮函数 g 在密钥固定的条件下,必须是单射函数,这等价于存在函数 g-1, 对于所有的 w 和 y,有 g-1(g(w,y),y)=w。解密过程如下:wNrywNr-1g-1(wNr,KNr) . . .w1g(w2,K2)w0g(w1,K1)xw0 对称密钥加密算
16、法的主要参数是密钥长度和块长度。密钥的长度对应着算法抵抗密钥 穷举蛮攻击的能力。上世纪 70 年代美国的数据加密标准(DES)算法的密钥长度是 56 位。 随着计算能力提高,DES 的加密强度已经不能满足安全的需要,因此在上世纪 90 年代出 现了一批 128 位密钥长度的算法,其中包括 IDEA、RC2、RC5、CAST5 和BLOWFISH 等。 而最新的高级数据加密标准 AES 的候选算法的密钥长度更是达到了 256 位以上。4.2.1 IDEA 算法算法IDEA(International Data Encryption Algorithm)是由中国学者来学嘉和著名密码学家 James Massey于1990年联合提出,后于1992年修改完成。它的明文与密文块长度都是64位, 密钥长度为128位。加密与解密使用相同算法,但使用的子密钥不同。这是与多数分组加密 算法不同的。子密钥由算法的128-bit密钥通过密钥扩展生成。IDEA算法的的加解密运算是 8重循环。IDEA的加密循环如下图:图图4-2 IDEA算法,M1M4是由64bit
