[电脑基础知识]第5章信息加密技术课件.ppt

1、防灾科技学院灾害信息工程系防灾科技学院灾害信息工程系主讲教师:王小英 主要内容主要内容信息加密技术的基本概念 对称密码学公钥密码学密钥管理与交换技术密码分析与攻击网络加密技术加密解密案例一、基本概念一、基本概念数字通信系统模型数字通信系统模型信源编码信源编码加密加密信道编码信道编码公开信道公开信道信源译码信源译码信道译码信道译码解密解密首先进首先进行采样行采样一、基本概念一、基本概念数字通信系统研究领域数字通信系统研究领域 信源编码信源编码 目的：采集数据、压缩数据以利于信息的传送。目的：采集数据、压缩数据以利于信息的传送。算法：算术编码、矢量量化（算法：算术编码、矢量量化（VQ）编码、相关信

2、）编码、相关信源编码、变换编码等。源编码、变换编码等。信道编码信道编码 目的：数据在信道上的安全传输，使具有自我纠目的：数据在信道上的安全传输，使具有自我纠错能力，又称纠错码。错能力，又称纠错码。算法：算法：BCH码、循环码、线性分组码等。码、循环码、线性分组码等。密码学密码学 目的：保密通信。目的：保密通信。算法：公钥密码体系、对称钥密码体系。算法：公钥密码体系、对称钥密码体系。q密码学是一门研究通信安全和保护信息资源的既古老密码学是一门研究通信安全和保护信息资源的既古老而又年青的科学和技术。而又年青的科学和技术。q密码学包含两方面内容：密码编码学、密码分析学。密码学包含两方面内容：密码编码

3、学、密码分析学。密码编码学是对信息编码以隐蔽信息的一门学问。密码编码学是对信息编码以隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。密码分析学是研究分析破译密码的学问。q这二者既相互对立又相互促进，共同推动密码学的发这二者既相互对立又相互促进，共同推动密码学的发展。展。一、基本概念一、基本概念密码学概述密码学概述一、基本概念一、基本概念密码学基本概念密码学基本概念明文：明文：需要秘密传送的消息。需要秘密传送的消息。密文：密文：明文经过密码变换后的消息。明文经过密码变换后的消息。加密：加密：由明文到密文的变换。由明文到密文的变换。解密：解密：从密文恢复出明文的过程。从密文恢复出明文的过程

4、。破译：破译：非法接收者试图从密文分析出明文的过程。非法接收者试图从密文分析出明文的过程。加密算法：加密算法：对明文进行加密时采用的一组规则。对明文进行加密时采用的一组规则。解密算法：解密算法：对密文进行解密时采用的一组规则。对密文进行解密时采用的一组规则。密钥：密钥：加密和解密时使用的一组秘密信息。加密和解密时使用的一组秘密信息。加解密过程示意图明文明文密文加密算法解密算法密钥密钥一、基本概念一、基本概念密码学基本概念密码学基本概念密码系统密码系统一个密码系统可以用以下数学符号描述：一个密码系统可以用以下数学符号描述：S=P，C，K，E，DP=明文空间明文空间C=密文空间密文空间K=密钥空间

5、密钥空间E=加密算法加密算法D=解密算法解密算法当给定密钥当给定密钥kK时，加解密算法分别记作时，加解密算法分别记作Ek、Dk，密码系统表示为，密码系统表示为Sk=P，C，k，Ek，DkC=Ek（P）P=Dk（C）=Dk（Ek（P）一、基本概念一、基本概念密密 码码 学学 历历 史史发展史发展史早在早在40004000多年以前，古埃及人就在墓志铭中使用过类似于象形多年以前，古埃及人就在墓志铭中使用过类似于象形文字那样奇妙的符号；文字那样奇妙的符号；公元前约公元前约5050年，凯撒密码一种简单的字符替换被认为是最年，凯撒密码一种简单的字符替换被认为是最早的正式算法；早的正式算法；双轨式密码、网格

6、式密码、字典编号密码；双轨式密码、网格式密码、字典编号密码；传统密码学、现代密码学、量子密码学。传统密码学、现代密码学、量子密码学。应用领域应用领域军事、外交、情报军事、外交、情报 商业、个人通信商业、个人通信一、基本概念一、基本概念密码体制的分类密码体制的分类单钥密码学（对称密码学）单钥密码学（对称密码学）加密密钥和解密密钥相同；加密密钥和解密密钥相同；系统的保密性取决于密钥的安全性；系统的保密性取决于密钥的安全性；如何分发密钥是难点。如何分发密钥是难点。双钥密码学（非对称密码学，公钥密码学）双钥密码学（非对称密码学，公钥密码学）加密密钥和解密密钥不同；加密密钥和解密密钥不同；系统的安全保障

7、在于要从公开钥和密文推出明文或私钥在计系统的安全保障在于要从公开钥和密文推出明文或私钥在计 算上是不可行的；算上是不可行的；分发密钥简单。分发密钥简单。一、基本概念一、基本概念古古 典典 密密 码码 学学已经成为历史，但被传统密码学所借鉴；已经成为历史，但被传统密码学所借鉴；加解密都很简单，易被攻破；加解密都很简单，易被攻破；属于对称密钥学；属于对称密钥学；包括置换密码、单表代换密码、包括置换密码、单表代换密码、多表代换密码等多表代换密码等 置换密码置换密码(permutation cipher)，又称换位密码，又称换位密码（transposition cipher)：明文的字母保持相同，但：

8、明文的字母保持相同，但顺序被打乱了。顺序被打乱了。周期性换位周期性换位 E=（2，1，4，3）D=（2，1，4，3）M=“置换密码置换密码”C=E(M)=“换置码密换置码密”矩阵换位矩阵换位 将明文P=can you understand排列为44的矩阵：列序：1 2 3 4 c a n y o u u n d e r s t a n d密钥：4 3 1 2表示将矩阵中第1列字符作为密文序列的第3组，矩阵中第2列作为密文序列的第2组，依次类推，结果如下：C=y n s d n u r n c o d t a u e a一、基本概念一、基本概念古古 典典 密密 码码 学学 代替密码（substi

9、tution cipher)：就是明文中的每一个字符被替换成密文中的另一个字符。接收者对密文做反向替换就可以恢复出明文。单表代换密码举例单表代换密码举例明文：明文：a b c d e f g h i j k l m n o p q r s t u v w x y z密文：密文：D E F G H I J K L M N O P Q R S T U V W X Y Z A B C m=“Caser cipher is a shift substitution”c=“FDVHDU FLSHU LV D VKLIW VXEVWLWXWLRO”一、基本概念一、基本概念古古 典典 密密 码码 学学单表替

10、代密码单表替代密码凯撒（凯撒（Caesar）密码，又叫循环替代。）密码，又叫循环替代。加密方法：是将明文中的每个字母用此字符在字母表中后面第加密方法：是将明文中的每个字母用此字符在字母表中后面第K个字个字母替代。它的加密过程可以表示为下面的函数：母替代。它的加密过程可以表示为下面的函数：E(m)=(m+K)mod nm:为明文字母在字母表中的位置数为明文字母在字母表中的位置数n:为字母表中的字母个数为字母表中的字母个数K:为密钥为密钥E(m)为密文字母在字母表中对应的位置数为密文字母在字母表中对应的位置数如：明文字母如：明文字母H,m=8 设设k=4 则密文？则密文？一、基本概念一、基本概念古

11、古 典典 密密 码码 学学20世纪的密码机二、对称密码学二、对称密码学对称密码学概述对称密码学概述加密：加密：EK（M）=C 解密：解密：DK（C）=M 等效于等效于 DK（EK（M）=M数学变换数学变换函数函数密钥密钥K明文明文密文密文数学变换数学变换函数函数密钥密钥K明文明文密文密文二、对称密码学二、对称密码学对称密码学概述对称密码学概述网络网络信息信息M M对称密码算法对称密码算法密钥密钥K K密文密文C C用户用户A A对称密码算法对称密码算法密文密文C C用户用户B B信息信息M M密钥密钥K K二、对称密码学二、对称密码学对称密码学分类对称密码学分类块密码（分组密码）块密码（分组密

12、码）一次若干位一组地对明文进行操作和运算一次若干位一组地对明文进行操作和运算 流密码（序列密码）流密码（序列密码）每次一位地对明文进行操作和运算每次一位地对明文进行操作和运算二、对称密码学二、对称密码学块块 密密 码码工作方式工作方式将明文分成固定长度的组（块），如将明文分成固定长度的组（块），如64bit64bit一组，用同一密钥和算法对每一块加密，一组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。输出也是固定长度的密文。主要算法主要算法DESDES、3DES3DES、IDEAIDEA、RC2RC2、AESAES等。等。二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES

13、）数据加密标准（数据加密标准（Data Encryption Standard）,已经有已经有20多年的历史；多年的历史；DES是一种对称密码算法，是一种对称密码算法，1976年年11月月23日日DES被采被采纳为联邦标准；纳为联邦标准；DES是第一个得到广泛应用的密码算法；是第一个得到广泛应用的密码算法；DES是一种分组加密算法，输入的明文为是一种分组加密算法，输入的明文为64位，密钥为位，密钥为56位，生成的密文为位，生成的密文为64位；位；DES已经过时，基本上认为不再安全。已经过时，基本上认为不再安全。二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES）该算法分三个阶段实现

14、该算法分三个阶段实现1.给定明文给定明文X，通过一个固定的初始置换，通过一个固定的初始置换IP来排列来排列X中的位，得到中的位，得到X0。X0=IP（X）=L0R0其中其中L0由由X0前前32位组成，位组成，R0由由X0的后的后32位组成。位组成。2.计算函数计算函数F的的16次迭代次迭代,根据下述规则来计算根据下述规则来计算LiRi(1=i=16）Li=Ri-1,Ri=Li-1 F(Ri-1,Ki)其中其中Ki是长为是长为48位的子密钥。子密钥位的子密钥。子密钥K1，K2，K16是作为是作为密钥密钥K（56位）的函数而计算出的。位）的函数而计算出的。3.3.对比特串对比特串R R1616L

15、L1616使用逆置换使用逆置换IPIP-1-1得到密文得到密文Y Y。Y=IPY=IP-1-1（R R1616L L1616）二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES）输入64位比特明文IP置换表L0R0Li=Ri-1 Ri=Lif(Ri-1,Ki)（i=1,2,16）迭代16次IP逆置换表输出64位比特密文L i-1R i-1P-盒置换R iL i密钥移位密钥移位压缩置换S-盒代替扩展置换 二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES）图1一轮 DESL i=R i-1R i=L i-1 f(R i-1,K i)*注：其中L i和R i是某一轮DES迭

16、代的结果的左半部分和右半部分，是第 i轮的48位密钥，且f是实现代替、置换及密钥异或等运算的函数二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES）初始置换：在第一轮运算之前执行，对输入分组实施如下表所示。例如：初始置换把明文的第58位换到第1位的位置，把第50位换到第2位的位置二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES）二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES）密钥置换：不考虑每个字节的第8位，DES的密钥由64位减至56位如下表所示(P2.6)在DES的每一轮中，从56位密钥产生出不同的48位子密钥子密钥的产生：56位密钥被分成两部分，

17、每部分28位。然后，根据轮数，这两部分分别循环左移1位或2位。如下表给出了每轮移动的位数。移动后经过压缩置换从56位选出48位轮12345678910111213141516位数1122222212222221压缩置换表(P2.6)扩展置换：R I从32位扩展到了48位。这个运算改变了位的次序，重复了某些位。也称E盒。对每个4-位输入分组,第1和第4位分别表示输出分组中的两位,而第2，3位表示输出分组中的一位。1 24824321356 73469587扩展置换(P2.3)S-盒代替：压缩后的密钥与扩展分组异或以后，输入48位，48位的输入被分为8个6-位的分组，每一分组对应一个S盒代替操作，

18、分组1由S-盒1操作经过8个S-盒时，每个S-盒都有6-位输入，4-位输出，且这8个S-盒是不同的。最后输出32位48位输入32位输出S盒1S盒2S盒7S盒8每个S-盒都是一个4行、16列的表。盒中的每一项都是一个4位的数。S-盒的6位输入确定了其对应的输出在哪一行哪一列。假定S-盒的6位的输入标记为b1、b2、b6.则b1和b6组合构成了一个2-位的数，对应着表中的一行。B2-b5构成了一个4-位的数，对应着表中的一列。例如：设第6个S-盒的输入为110011,则11三行，1001九列，三行九列处的数为14，则输出1110*问题：B1=010011,输出？P-盒置换：S-盒代替运算后的32-

19、位输出作为P-盒置换输入，该置换把每输入位映射到输出位(P2.5)末置换：末置换是初始置换的逆过程（P2.2)DES解密*加密和解密可以使用相同的算法*解密要求密钥的次序相反*子密钥生成，要求密钥向右移动轮12345678910111213141516位数1122222212222221二、对称密码学二、对称密码学数据加密标准（数据加密标准（DES）DESDES密钥长度太小密钥长度太小DESDES迭代次数可能太少迭代次数可能太少DES的破解1997997年年1 1月月2828日，日，RSARSA数据安全公司在数据安全公司在RSARSA安全年会上悬赏安全年会上悬赏1000010000美金美金破解

20、破解DESDES，克罗拉多州的程序员，克罗拉多州的程序员VerserVerser在在InrernetInrernet上数万名志愿者的上数万名志愿者的协作下用协作下用9696天的时间找到了密钥长度为天的时间找到了密钥长度为40-bit40-bit和和48-bit48-bit的的DESDES密钥。密钥。19981998年年7 7月电子边境基金会（月电子边境基金会（EFFEFF）使用一台价值）使用一台价值2525万美元的计算机在万美元的计算机在5656小时之内破译了小时之内破译了56-bit56-bit的的DESDES。19991999年年1 1月电子边境基金会（月电子边境基金会（EFFEFF）通过

21、互联网上的）通过互联网上的1010万台计算机合万台计算机合作，仅用作，仅用2222小时小时1515分就破解了分就破解了56-bit56-bit的的DES DES。19991999年，几个小时内就能破解年，几个小时内就能破解。DES的原理混淆(confusion)：即在加密变换过程中使明文、密钥及密文之间的关系复杂化。用于掩盖明文和密文间的关系。扩散(diffusion)：即将每一位明文信息的变动，都会影响到密文中许多位信息的变动，即改变一个明文尽可能多的改变多个密文，从而隐藏统计上的特性，增加密码的安全。单独用一种方法，容易被攻破。流密码只依赖于混淆；分组密码两者都用。现代密码设计基本思想现代

22、密码设计基本思想其他分组算法 3DES IDEA（国际数据加密算法）RC5 CAST算法 AES算法二、对称密码学二、对称密码学三重三重DES使用三（或两）个不同的密钥对数据块进行三次（或使用三（或两）个不同的密钥对数据块进行三次（或两次）加密，加密一次要比进行普通加密的三次要快两次）加密，加密一次要比进行普通加密的三次要快三重三重DESDES的强度大约和的强度大约和112bits112bits的密钥强度相当的密钥强度相当三重三重DESDES有四种模型有四种模型DES-EEE3 DES-EEE3 使用三个不同密钥顺序进行三次加密变换使用三个不同密钥顺序进行三次加密变换DES-EDE3 DES-

23、EDE3 使用三个不同密钥依次进行加密使用三个不同密钥依次进行加密-解密解密-加密变换加密变换DES-EEE2 DES-EEE2 其中密钥其中密钥K1=K3 K1=K3 顺序进行三次加密变换顺序进行三次加密变换DES-EDE2 DES-EDE2 其中密钥其中密钥K1=K3 K1=K3 依次进行加密依次进行加密-解密解密-加密变换加密变换到目前为止还没有人给出攻击三重到目前为止还没有人给出攻击三重DESDES的有效方法的有效方法IDEAInternational Data Encryption Algorithm；由瑞士联邦理工学院的由瑞士联邦理工学院的Xuejia Lai和和James Mas

24、sey于于 1990年提出年提出(西电，瑞士，上交大西电，瑞士，上交大)IDEA是对称、分组密码算法，输入的明文为是对称、分组密码算法，输入的明文为64位，位，密钥为密钥为128位，生成的密文为位，生成的密文为64位；位；IDEA是一种相对较新的算法，有坚强的理论基础，是一种相对较新的算法，有坚强的理论基础，已被证明可对抗差分分析和线性分析；目前还没有已被证明可对抗差分分析和线性分析；目前还没有发现明显的安全漏洞，应用十分广泛。发现明显的安全漏洞，应用十分广泛。著名的电子邮件安全软件著名的电子邮件安全软件PGP就采用了就采用了IDEA进行进行数据加密。数据加密。二、对称密码学二、对称密码学高级

25、加密标准（高级加密标准（AES）19971997年年4 4月月1515日美国国家标准和技术研究所日美国国家标准和技术研究所 NIST NIST 发起了发起了征集征集AESAES算法的活动并成立了专门的算法的活动并成立了专门的AESAES工作组工作组目的目的是为了确定一个非保密的公开披露的全球免费使用的分组密是为了确定一个非保密的公开披露的全球免费使用的分组密码算法用于保护下一世纪政码算法用于保护下一世纪政府府的敏感信息并希望成为秘密和公的敏感信息并希望成为秘密和公开部门的数据加密标准开部门的数据加密标准19971997年年9 9月月1212日在联邦登记处公布了征集日在联邦登记处公布了征集AES

26、AES候选算法的通候选算法的通告告AESAES的基本要求是的基本要求是比三重比三重DESDES快或至少和三重快或至少和三重DESDES一样一样安全分组长度安全分组长度128128比特，密钥长度为比特，密钥长度为128/192/256128/192/256比特比特19981998年年8 8月月2020日日NISTNIST召开了第一次候选大会并公布了召开了第一次候选大会并公布了1515个个候选算法候选算法二、对称密码学二、对称密码学高级加密标准（高级加密标准（AES）19991999年年3 3月月2222日举行了第二次日举行了第二次AESAES候选会议从中选候选会议从中选出出5 5个算法个算法MA

27、RS RC6 Serpent Twofish RijndaelMARS RC6 Serpent Twofish Rijndael 20002000年年1010月，美国国家技术标准委员会月，美国国家技术标准委员会(NIST)(NIST)选选定定“Rijndael”Rijndael”全为全为AESAESRijndaelRijndael是迭代分组密码，其分组长度和密钥长是迭代分组密码，其分组长度和密钥长度都是可变的；度都是可变的；为了满足为了满足AESAES的要求，分组长度为的要求，分组长度为128bit128bit，密码长，密码长度为度为128/192/256bit128/192/256bit，相

28、应的轮数，相应的轮数r r为为10/12/1410/12/14。二、对称密码学二、对称密码学流密码流密码明文明文m=m1,m2,.mk伪随机序列伪随机序列k=k1,k2,.kk密文密文ci=mi ki ,i=1,2,.k解密过程与加密过程一致解密过程与加密过程一致序列密码的安全性完全依赖于伪随机数的强度序列密码的安全性完全依赖于伪随机数的强度移位寄存器是产生序列密码的有效方法移位寄存器是产生序列密码的有效方法RC4、SEAL（Software Optimized Encryption Algorithm，软件优化加密算法，软件优化加密算法）小结&对称密码学分为分组密码和流密码对称密码学分为分组

29、密码和流密码&数据加密标准（数据加密标准（DES）的算法设计）的算法设计&高级加密标准（高级加密标准（AES）的评选）的评选二、二、公钥公钥密码学密码学公钥密码学概述公钥密码学概述Whitefield Diffie，Martin Hellman，New Directions in Cryptography,1976公钥密码学的出现使大规模的安全通信得以实现公钥密码学的出现使大规模的安全通信得以实现 解决了密钥分发问题；解决了密钥分发问题；公钥密码学还可用于另外一些应用：数字签名、防公钥密码学还可用于另外一些应用：数字签名、防抵赖等；抵赖等；公钥密码体制的基本原理公钥密码体制的基本原理 陷门单向

30、函数陷门单向函数(trapdoor one-way function)二、二、公钥公钥密码学密码学公钥密码学概述公钥密码学概述加密：加密：EK1（M）=C 解密：解密：DK2（C）=M 等效于等效于 DK2（EK1（M）=M数学变换数学变换函数函数密钥密钥K1明文明文密文密文数学变换数学变换函数函数密钥密钥K2明文明文密文密文二、二、公钥公钥密码学密码学公钥密码学概述公钥密码学概述网络网络信息信息M M非对码密钥算法非对码密钥算法B B公钥公钥密文密文C C用户用户B B用户用户A A非对称非对称密码算法密码算法密文密文C C信息信息M MB B私钥私钥二、二、公钥公钥密码学密码学公钥密码学中

31、的密码管理公钥密码学中的密码管理v 双方如何交换密钥。通过传统手段，还是双方如何交换密钥。通过传统手段，还是通过因特网，都会遇到密钥传送的安全性问题。通过因特网，都会遇到密钥传送的安全性问题。v 单钥密码技术要求通信双方事先交换密钥。单钥密码技术要求通信双方事先交换密钥。在实际应用中，一方需要与成千上万的通信方在实际应用中，一方需要与成千上万的通信方进行交易，若采用单钥密码技术，每个用户需进行交易，若采用单钥密码技术，每个用户需要管理成千上万个不同对象通信的密钥。要管理成千上万个不同对象通信的密钥。v 在现实环境中，密钥通常会经常更换，更为在现实环境中，密钥通常会经常更换，更为极端的是，每次传

32、送都使用不同的密钥，单钥极端的是，每次传送都使用不同的密钥，单钥密码技术的密钥管理和发布都是远远无法满足密码技术的密钥管理和发布都是远远无法满足使用要求的。使用要求的。v 公钥密钥技术解决了密钥的发布和管理问题，公钥密钥技术解决了密钥的发布和管理问题，任何一方可以公开其公开密钥，而保留私有密任何一方可以公开其公开密钥，而保留私有密钥。钥。v发送方可以用人人皆知的接收方公开密钥对发送方可以用人人皆知的接收方公开密钥对发送的信息进行加密，安全的传送给接收方，发送的信息进行加密，安全的传送给接收方，然后由接收方用自己的私有密钥进行解密。然后由接收方用自己的私有密钥进行解密。二、二、公钥公钥密码学密码

33、学公钥密码学中的密码管理公钥密码学中的密码管理二、二、公钥公钥密码学密码学RSA算法概述算法概述q Rivest,Shamir和和Adleman 1977年研制并且年研制并且1978年年首次发表。首次发表。q 密码分析者尚不能证明其安全性，但也不能否定其安全密码分析者尚不能证明其安全性，但也不能否定其安全性。性。q RSA是一种分组密码，其理论基础是一种特殊的可逆模是一种分组密码，其理论基础是一种特殊的可逆模指数运算，其安全性基于分解大整数的困难性指数运算，其安全性基于分解大整数的困难性。q 既可以用于加密，也可用于数字签名。既可以用于加密，也可用于数字签名。q 硬件实现时，比硬件实现时，比D

34、ES慢约慢约1000倍。软件实现时比倍。软件实现时比DES慢约慢约100倍。永远不会比对称钥算法快。倍。永远不会比对称钥算法快。q 已被许多标准化组织已被许多标准化组织(如如ISO、ITU、IETF和和SWIFT等等)接纳，目前多数公司使用的是接纳，目前多数公司使用的是RSA公司的公司的PKCS系列。系列。二、二、公钥公钥密码学密码学RSA算法描述算法描述 设设n是两个不同奇素数之积，即是两个不同奇素数之积，即n=pq，计算其欧拉计算其欧拉函数值函数值z=(n)=(p-1)(q-1).随机选一整数随机选一整数e e,1e,1e(n),(n),e)=1.即使即使e和和(p-1)(q-1)互素互素

35、 因而在模因而在模z下下,e e有逆元有逆元 取公钥为取公钥为n n,e e,秘密钥为秘密钥为d.d.(p p,q q不再需要，应该被不再需要，应该被舍弃，但绝不可泄露舍弃，但绝不可泄露)定义加密变换为定义加密变换为 解密变换为解密变换为nekZxnxxE,mod)(ndkZynyyD,mod)()mod(1zed-令P=5,q=11取e=3,n=5*11=55则z=(5-1)*(q-1)=40,计算e*d=1(mod z),可得d=27得到公钥(55,3),私钥为(55,27)设明文m为809,两位为一组则为08,09则c1=m1e(mod n)=(08)3(mod 55)=17;C2=14

36、因此,得到的密文信息为:17,14解密:m1=c1d(mod n)=1727(mod 55)=08 m2=09问题:设p=3,q=11,m=2,密文是多少?二、二、公钥公钥密码学密码学RSA算法描述算法描述二、二、公钥公钥密码学密码学RSA算法安全性算法安全性RSARSA的安全性是基于加密函数的安全性是基于加密函数e ek k(x)=x(x)=xe e(mod n)(mod n)是是一个单向函数，所以对的人来说求逆计算不可行。一个单向函数，所以对的人来说求逆计算不可行。而能解密的陷门是分解而能解密的陷门是分解n=pqn=pq，知，知 (n)=(p-1)(q-1)(n)=(p-1)(q-1)。从

37、而用欧氏算法解出解密私钥从而用欧氏算法解出解密私钥d d。密码分析者攻击密码分析者攻击RSARSA体制的关键点在于如何分解体制的关键点在于如何分解n n。若分解成功使。若分解成功使n=pqn=pq，则可以算出，则可以算出(n)(n)（p-p-1)(q-1)1)(q-1)，然后由公开的，然后由公开的e e，解出秘密的，解出秘密的d d。二、二、公钥公钥密码学密码学RSA算法关键技术算法关键技术密钥选择密钥选择|位数位数:1024以上以上,素性应该证明素性应该证明|p-1,q-1有大的素因子有大的素因子|p+1,q+1也要有大的素因子也要有大的素因子|e的选取，最常用的的选取，最常用的e值为值为3

38、，65537（216+1）算法实现算法实现|软件与硬件结合软件与硬件结合,并行算法等并行算法等二、二、公钥公钥密码学密码学RSA算法使用算法使用1.加解密加解密 A的公开密钥为的公开密钥为(e,n),B对消息对消息m加密加密 c=me mod n 给给A,只有只有A能解密能解密 m=cd mod n 特点特点:和和A从来不认识从来不认识,都可进行保密通讯都可进行保密通讯,只要知道只要知道A的公钥的公钥.速度慢速度慢,不实用不实用.要求对公开密钥进行保护，防止修改和要求对公开密钥进行保护，防止修改和替换。替换。二、二、公钥公钥密码学密码学RSA算法使用算法使用2.数字签名与身份认证数字签名与身份

39、认证A的公开密钥为的公开密钥为(e,n),私钥为私钥为(d,n),A对消息对消息m的数字签名为的数字签名为:s=H(m)d mod n,H(x)为公开为公开的散列的散列(hash)函数函数.任何人都可验证任何人都可验证A对对m的签名的有效性的签名的有效性 H(m)=se mod n功能功能:防止非法篡改、伪造防止非法篡改、伪造,A的抵赖与否认的抵赖与否认,对对A的假冒等。的假冒等。要求对公开密钥进行保护，防止修改。要求对公开密钥进行保护，防止修改。二、二、公钥公钥密码学密码学Hash杂凑函数杂凑函数q 杂凑杂凑(Hash)函数是将任意长的数字串函数是将任意长的数字串M映射成映射成一个较短的定长

40、输出数字串一个较短的定长输出数字串H的函数，通常是的函数，通常是单向杂凑函数；单向杂凑函数；q 强单向杂凑与弱单向杂凑，强单向杂凑与弱单向杂凑，对不同报文，很难对不同报文，很难有同样的报文摘要。这与不同的人有不同的指有同样的报文摘要。这与不同的人有不同的指纹很类似纹很类似；q 杂凑函数除了可用于数字签名方案之外，还可杂凑函数除了可用于数字签名方案之外，还可用于其它方面，诸如消息的完整性检测（一般用于其它方面，诸如消息的完整性检测（一般杂凑函数）、消息的起源认证检测（密码杂凑杂凑函数）、消息的起源认证检测（密码杂凑函数）等。函数）等。二、二、公钥公钥密码学密码学一般杂凑函数一般杂凑函数q杂凑值只

41、是输入字串的函数，任何人都杂凑值只是输入字串的函数，任何人都可以计算；可以计算；q函数函数y=H(x),要求将任意长度的要求将任意长度的x变换变换成固定长度的成固定长度的y,并满足：并满足：1.单向性单向性,任给任给y,计算计算x,使得使得y=H(x)困难困难2.快速性快速性,计算计算y=H(x)容易容易3.无碰撞无碰撞,寻找寻找x1 x2,满足满足H(x1)=H(x2)是困难的是困难的.q常用的一般杂凑函数有常用的一般杂凑函数有 MD5,SHA等。等。二、二、公钥公钥密码学密码学MD系列杂凑函数系列杂凑函数qRon Rivest设计的系列杂凑函数系列设计的系列杂凑函数系列:qMD4RFC13

42、20qMD5是是MD4的改进型的改进型RFC1321qMD2RFC1319，已被，已被Rogier等于等于1995年攻破年攻破q较早被标准化组织较早被标准化组织IETF接纳，并已获得接纳，并已获得广泛应用广泛应用qHash值长度为值长度为128bits MD5算法对任意长度的输入值处理后产生128位的输出值 算法:1、首先对信息填充N*512+448，2、在1步后附加一个64位二进制数，表示填充前信息长度3、对信息依次每次处理512位，每次进行4轮每轮16步共64步的信息变换处理二、二、公钥公钥密码学密码学MD系列杂凑函数系列杂凑函数F,T116,Xi16 stepsG,T1732,X2i16

43、 stepsH,T3348,X3i16 stepsI,T4964,X4i16 steps+ABCDABCDABCDABCDCVq12832Yq512CVq+1128+is mod 232明文认证码每一轮以当前的每一轮以当前的512位位数据块数据块(Yq)和和128位缓位缓冲值冲值ABCD作为输入作为输入，并修改缓冲值的内，并修改缓冲值的内容。每次使用容。每次使用64元素元素表表T164中的四分中的四分之一，之一，T由正弦函数由正弦函数sin构造而成。构造而成。T的第的第i个元素表示为个元素表示为Ti，其，其值等于值等于232 abs(sin(i),其中其中i是弧度。由于是弧度。由于abs(si

44、n(i)是一个是一个0到到1之间的数，之间的数，T的每一个的每一个元素是一个可以表示元素是一个可以表示成成32位的整数。位的整数。T表提表提供了随机化的供了随机化的32位模位模板，板，消除了在输入数消除了在输入数据中的任何规律性的据中的任何规律性的特征特征。128128128128A=01234567,B=89abcdef,C=fedcba98,D=76543210四个非线性函数(每轮一个):F(B,C,D)=(BC)V(B)VD)G(B,C,D)=(BD)V(C(D)H(B,C,D)=B C DI(B,C,D)=C(B V(D)16步操作中的4次操作,16步操作按照一定次序顺序进行FF(A,

45、B,C,D,Mj,S,Tj)表示a=b+(a+(F(B,C,D)+Mj+Ti)S)GG(A,B,C,D,Mj,S,Tj)表示a=b+(a+(G(B,C,D)+Mj+Ti)S)HH(A,B,C,D,Mj,S,Tj)表示a=b+(a+(H(B,C,D)+Mj+Ti)S)II(A,B,C,D,Mj,S,Tj)表示a=b+(a+(I(B,C,D)+Mj+Ti)S)“+”定义为mod232的模运算其中,Mj为第q个512位数据块中的第j个32位子分组Ti是232*abs(sin(i)的整数部分,i的单位是弧度S表示循环左移二、二、公钥公钥密码学密码学密码杂凑函数密码杂凑函数q杂凑值与输入字串和密钥有关，

46、只有持杂凑值与输入字串和密钥有关，只有持有密钥的人才能计算出相应的杂凑值有密钥的人才能计算出相应的杂凑值；q具有身份验证功能，用于构造消息认证具有身份验证功能，用于构造消息认证码（码（MAC）；）；q常用的密码杂凑函数有常用的密码杂凑函数有HMAC。二、二、公钥公钥密码学密码学各种算法特点各种算法特点q对称密码算法对称密码算法 加加/解密速度快，但密钥分发问题严重解密速度快，但密钥分发问题严重q非对称密码算法非对称密码算法 加加/解密速度较慢，但无密钥分发问题解密速度较慢，但无密钥分发问题q杂凑函数杂凑函数 计算速度快，结果长度统一计算速度快，结果长度统一三、三、数字签名数字签名章章 节节 介

47、介 绍绍数字签名算法PKI技术SSL安全协议安全电子邮件 3.1数字签名算法数字签名算法数字签名概述数字签名概述日常生活和经济往来中，签名盖章和识别签名是一个重日常生活和经济往来中，签名盖章和识别签名是一个重要环节；要环节；计算机网络通信时代，用密码学来实现数字签名；计算机网络通信时代，用密码学来实现数字签名；数字签名特点：数字签名特点：收方能够确认或证实发方的签字；收方能够确认或证实发方的签字；任何人都不能仿造；任何人都不能仿造；如果发方否认他所签名的消息，可以通过仲裁解决如果发方否认他所签名的消息，可以通过仲裁解决争议。争议。3.1数字签名算法数字签名算法数字签名与手写签名和消息认证数字签

48、名与手写签名和消息认证与手写签名的区别；与手写签名的区别；手写签名是模拟的，且因人而异；手写签名是模拟的，且因人而异；数字签名是数字签名是0101数字串，因消息而异。数字串，因消息而异。与消息认证的区别：与消息认证的区别：消息认证使收方能验证消息内容是否被篡改；消息认证使收方能验证消息内容是否被篡改；数字签名还可以认证消息发送者的身份。数字签名还可以认证消息发送者的身份。3.1数字签名算法数字签名算法数字签名算法数字签名算法RSA算法算法应用最广泛应用最广泛DSA（Digital Signature Algorithm）算法）算法基于有限域上的离散对数问题基于有限域上的离散对数问题GOST算法

49、算法俄罗斯采用的数字签名标准算法俄罗斯采用的数字签名标准算法 3.1数字签名算法数字签名算法数字签名与验证过程数字签名与验证过程在数学上保证：只要改动消息的任何一位，重新计算出的消息摘要就会与原先值不符。这样就保证了消息的不可更改。第一步：第一步：将消息按散列算法计算得到将消息按散列算法计算得到一个固定位数的消息摘要值。一个固定位数的消息摘要值。3.1数字签名算法数字签名算法数字签名与验证过程数字签名与验证过程第二步：第二步：对消息摘要值用发送者的私有密钥加密，所对消息摘要值用发送者的私有密钥加密，所产生的密文即称数字签名。然后该数字签名同原消产生的密文即称数字签名。然后该数字签名同原消息一起

50、发送给接收者。息一起发送给接收者。第三步：第三步：接收方收到消息和数字签名后，用同样的散接收方收到消息和数字签名后，用同样的散列算法对消息计算摘要值，然后与用发送者的公开列算法对消息计算摘要值，然后与用发送者的公开密钥对数字签名进行解密，将解密后的结果与计算密钥对数字签名进行解密，将解密后的结果与计算的摘要值相比较。如相等则说明报文确实来自发送的摘要值相比较。如相等则说明报文确实来自发送者。者。3.1数字签名算法数字签名算法数字签名与验证过程图示数字签名与验证过程图示消消 息息摘要摘要数字签名数字签名消消 息息数字签名数字签名消消 息息摘要摘要数字签名数字签名摘要摘要发送方发送方接收方接收方