《现代密码学原理与应用 教学课件 ppt 作者 宋秀丽 第10章 》由会员分享,可在线阅读,更多相关《现代密码学原理与应用 教学课件 ppt 作者 宋秀丽 第10章 (42页珍藏版)》请在金锄头文库上搜索。
1、第10章现代密码学发展前沿及应用,10.1 量子密码,量子密码的基本思想是由美国哥伦比亚大学的年轻学者SWiesner于1969年首先提出的,后来在IBM公司的C. H. Bennet和加拿大密码学者G. Brassard的推动下发展起来的,20世纪90年代进入研究高潮,目前仍是国际学术界的研究热点。 经过三十多年的研究,形成了系统的量子密码理论体系,内容包括量子密钥分配、验证与存储,量子秘密共享,量子加解密算法,量子身份认证和量子签名,量子多方安全协议,以及量子密码分析等几个方面。,10.1.1 量子密码的发展现状,10.1.2 量子密码的相关理论基础,量子密码采用量子态(或称量子比特)作为
2、信息载体,经由量子通道在合法的用户之间传送密钥。,1量子比特 在经典(即非量子)世界中,是用电压来表示二进制位的。晶体管用来逻辑操作电压,实现布尔函数。 在量子世界中,二进制位用量子位表示。一个量子位在量子系统中有两种状态。它是具有上旋和下旋的电子,或是可以在某个方向上发生偏振的光子。例如,可以用处于上旋状态的电子表示二进制位0,处于下旋状态的电子表示1。,2量子逻辑门 使用基本的量子逻辑门(如与非门、异或门、非门等)可以构造量子计算机。 单比特量子逻辑门 由于量子比特的状态是线性的,对于某个量子比特 |0+ |1 如果通过量子非门,则可以变成 |0+ |1,3Bell理论与EPR纠缠态 爱因
3、斯坦在论文量子力学对物理现实的描述完备吗?利用一个反例,证明了量子力学的理论描述是不完备的。他提出了一个假设,也就是后来被称为Locality Principle的原理:量子间的传输速度不超过光速,不存在超距作用。 随后Bell于1964年指出任何企图支持爱因斯坦的Locality Principle的理论都会和量子力学发生冲突。这就是Bell理论。 EPR纠缠态也叫做Bell态,形式如下:,这4种状态中的每一种状态都是由两个量子比特构成的。利用纠缠态,可以在没有信道的情况下实现通信。 如果Alice和Bob在通信前曾经见过面,将一个EPR纠缠态中的两个量子分别拿好,若Alice需要向Bob发
4、送一个比特的信息,那么Alice只需要让那个信息比特与她手上的纠缠态中的一个量子比特相互作用,然后测量她的两个比特,把结果告诉Bob,Bob根据Alice的测量结果,测量她手上的量子比特,就可以知道正确的结果。,在量子密码技术中,量子密钥是依据一定的物理效应和原理而产生、分配的,这不同于以往的加密体制。量子密码的物理基础和对应的原理主要有: (1) 光子的偏振现象。光子在传输过程会产生振动,而振动方向是任意的,每个光子都有一个偏振方向,其偏振方向即是电场的振荡方向。 (2) 海森堡测不准原理。在量子力学中,微观客体的任何一对互为共轭的物理量,如坐标和动量,都不可能同时具有确定值,即不可能对它们
5、的测量结果同时作出准确预言。在进行测量时,对其中一组量的精确测量必然导致另一组量的完全不确定,即遵循量子力学的基本原理海森堡测不准原理。,(3) 量子不可克隆定理。不可克隆定理是海森堡测不准原理的推论。在量子力学中,对于非正交的两个量子状态不可克隆。这与经典计算机中的电子比特不同。在量子世界中,只有正交的两个量子状态才可以被复制,对于非正交的量子状态,不可复制。 从目前的研究来看,量子密码具有两个基本特征,即无条件安全性和对窃听者的可检测性。 无条件安全性是指在攻击者具有无限计算资源的条件下仍然不能破译密码系统,量子密码的无条件安全性是基于不可克隆定理的。 所谓对窃听者的可检测性是指通信双方的
6、信道受到窃听或干扰时,通信者根据测不准原理可以同步检测出是否存在窃听和干扰。,量子密码技术主要应用在以下几方面: 1量子密钥分发和保密通信 量子密钥分发和保密通信是目前量子密码的主要应用。量子密钥分发是指两个或者多个通信者在公开的量子信道上利用量子效应或原理来获得密钥信息的过程。 2公共决定 量子密码除可用于保密通信外,还可在保护专用信息的同时将这些信息用于作出公共决定。由Claue Creapu提出了一种公共决定的技术:允许两个人事先约定好一个函数f(x, y),它仅依赖于两个专有输入x和y,其中一个人仅知道自己的专有输入x,而另一个仅知道自己的专有输入y,他们都不会透漏任何有关于自己的输入
7、信息给对方,只能通过自己的输入和函数输出来推知对方的输入。,10.1.3 量子密码的应用,3消息认证 量子密码也可用于证明一条消息确是出自某人且在传送过程中未被改动过。Wegman-Carter的认证方式和量子密码分发技术能给通信双方带来好处:一方面,量子技术提供由这种认证方式所使用的密码本比特信息;另一方面,Wegman-Carter认证方式又能成功地用于进行量子密码本的发布,即使在对手更为强有力的情况下也能如此。 4比特承诺 量子密码还可用于比特承诺,即量子比特承诺,可用来得到任意NP问题表述的零知识证明。此外,量子忘记传输是一种奇特的信息处理程序,可用来实现谨慎决定。该技术以不经意传输的
8、方式来传送两条消息,以便使接收者能够读出其中的任何一条消息但不能同时读出两条消息。,人们从量子密钥分发的设计、安全性以及实现等多个方面开展了研究,先后产生了很多种量子密钥分发方案,其中具有代表性的有: 基于两组共扼正交基的四状态方案,其代表为BB84协议; 基于两个非正交态的二状态方案,其代表为B92协议; 基于EPR纠缠对的方案,其代表为E91协议; 基于BB84协议与B92协议的六态协议。,10.1.4 量子密钥分发协议,1BB84协议 BB84协议是量子密码中提出的第一个密钥分发协议,该协议于1984年由Bennett和Brassar共同提出的。 海森堡测不准原理和量子不可克隆定理保证了
9、BB84协议的无条件安全性。BB84协议采用四个量子态(如右旋、左旋、水平和垂直偏振态)来实现量子密钥分配,事先约定:左旋和水平偏振态代表比特“0”,右旋和垂直偏振态代表比特“1”也可以采用其他的编码方法,这种编码方法是公开的。 设想,如果A按照编码发送一个光子,B可以分别用四种偏振角的滤波器来测试,根据光子能够通过哪一个滤波器就可以确定光子的偏振角,从而得到A发送的信息。,(1) Alice向Bob发送一个个光子,每个光子随机地选择右旋、左旋、水平或垂直四种偏振态中的任一种; (2) Bob随机地选择线偏振基或圆偏振基来测量光子的偏振态,并记录下他的测量结果; (3) Bob在公开信道上告诉
10、Alice,他每次所选择的是哪种测量基,但不公布测量结果; (4) Alice在了解到Bob的测量基之后,便可确定Bob的测量基中哪些是选对的,哪些是选错的。她通过公开信道告诉Bob留下选对基的测量结果作为密钥,而将选错的事件丢弃。这样Alice和Bob就可以50%成功率建立完全相同的随机数序列(即共享相同密钥); (5) 为了检查是否有窃听者存在,Alice和Bob从已建立的随机比特序列中抽样进行比对,如果发现误码率大于某个阈值则表明有人窃听过,于是便丢弃这次的密钥不用再次重复上述步骤进行量子密钥分配,直到确信无窃听者存在才认为密钥是安全可用,2E91协议 E91协议是1991年英国牛津大学
11、的学者A.Ekert采用EPR纠缠比特的性质提出的,其原理是利用量子纠缠的EPR关联光子对效应,即制备一对EPROM关联光子对,通信双方具有确定、不变的关联关系,且不随时间和空间的变化而改变。 该协议描述如下: (1) Alice通过物理方法产生EPR粒子对,将每一个EPR粒子对中的2个粒子分发给Alice和Bob,使Alice和Bob各自拥有一个粒子; (2) Alice随机地测量她的粒子串,并记录结果。根据EPR光子纠缠态的性质,Alice测量她的粒子后,粒子对解纠缠,同时确定了Bob粒子的量子态; (3) Bob测量收到的量子比特串;,(4) Bob随机地从所检测的结果中选取部分结果,将
12、这些结果通过公共信道告诉Alice,根据Bell理论检测窃听行为是否存在;检测Alice和Bob的光子是否关联,以此判断是否放弃本次通信; (5) 根据获得数据协调方式对原始密钥进行纠错处理,然后采用密性放大技术对经过数据协调后的密钥作进一步的处理,以提高密钥的保密性,并最终获得安全密钥。,3B92协议 B92协议于1992年由美国IBM公司研究员C. H. Bennet独立提出。该协议是基于任何两个非正交量子态的量子密钥分配方案。 为了传送密钥,Alice以0和45两个偏振方向的光子代表二进制比特值0和1,向Bob随机发送单光子脉冲序列, 而Bob随机选择90或45两个偏振方向进行接收。如果
13、Bob的偏振片方向垂直于Alice发送方向(50几率),Bob接收不到任何光子;若成45,则有50几率接收到光子。而一旦接收到光子,Bob就会知道光子的偏振方向,因为只有一种可能性。因此,Bob以90(45)方向接收到光子,他就知道Alice发送的偏振方向是45(0),对应着比特1(0)。 在接收完Alice所发送的偏振光子后,Bob可以通过经典信道告诉Alice哪些光子被他接收到了。这样,双方就建立起密钥。,10.2 混沌密码,1989年R.Mathews, D.Wheeler, L.M.Pecora和Carroll等人首次把混沌理论使用到序列密码及保密通信理论以来,数字化混沌密码系统和基于
14、混沌同步的保密通信系统的研究已引起了相关学者的高度关注,从这以后数字混沌密码学得到了广泛的研究,并得到了初步的使用。 混沌密码可用于信息加密、保密通信、扩频通信、智能卡加密、数字水印等方面,因此混沌密码学被视为现代密码学的重要研究前沿。,与其它的复杂现象相比,混沌系统有着自己的特征: (1) 对初值的极端敏感性。这是混沌系统的一个主要特征。即使是十分相近的初始值经过系统数次迭代后均会产生很大的差别。 (2) 内随机性。某些确定系统(已经用确定的微分方程描述)内依然会产生随机性,这种随机性称为内随机性。内随机性是混沌系统产生的根源。 (3) 分维性。分维性表示混沌运动状态具有多叶、多层结构,且叶
15、层越分越细,表现为无限层次的相似结构。,10.2.1 混沌系统理论,(4) 普适性。普适性是指不同的混沌系统在趋向混沌时表现出来的共同特征,它不以具体的系数以及系统的运动方程而变化。常提到的普适性有两种即结构普适性和测度普适性。普适性是混沌内在规律的一种体现。 (5) 标度性。标度性是指混沌运动无序中的有序态。其有序可以理解为:只要数值或实验设备足够精确,总可以在小尺度的混沌区看到有序的运动花样。,目前,混沌密码主要有两个研究方向: 以混沌同步技术为核心的混沌保密通信系统,主要基于模拟混沌电路系统; 利用混沌系统构造新的流密码和分组密码,主要基于计算机有限精度下实现的数字化混沌系统。,10.2
16、.2 混沌密码的基本原理,选取的混沌映射应该至少具有如下三个特性: (1) 混沌特性。将明文看作初始条件域,则混合属性是指将单个明文符号的影响扩散许多密文符号中去,显然,该属性对应密码学中的扩散属性。 (2) 鲁棒混沌。鲁棒混沌是指在小的参数扰动下,系列仍保持混沌状态。但是,一般来讲大多数混沌吸引子不是结构稳定的,而非鲁棒混沌的系统具有弱密钥。 (3) 大的参数集。密码系统安全性的一个重要的衡量指标是Shannon熵,即密钥空间的测度,在离散系统中常用log2K近似,其中K为密钥的数目。因而,动力系统的参数空间越大,离散系统中反应的K就越大。,混沌密码从总体上看有两种通用的设计思路: 使用混沌系统生成伪随机密钥流,该密钥流直接用于掩盖明文。 使用明文和/或密钥为初始条件和/或控制参数,通过迭代/反迭代多次的方法得到密文。 第一种思路对应于序列密码,而第二种思路对应于分组密码。除了上述两种以外,最近还出现了一些新的设计思路,比如基于搜索机制的混沌密码方案;
