公钥密码一课件.ppt

1、)ln)(ln(ln(exp(ppO.logln)ln)(lnln(lnexp()ln)(ln(lnexp(;2)(ln(lnexp()ln)(ln(lnexp(2log2pppppppppppp)lnlnln(expnnO)lnlnln2(expppO)ln(ln)(ln92.1(exp(3231nnO（4个数的计算使用孙子定理（中国剩余定理）。执行概率素数判定测试,如果n 未测试通过,则 拒绝数值n,转向步骤1Alice用Bob的公钥n，计算：（4个数的计算使用孙子定理（中国剩余定理）。格的维数总是不超过N。务必要先签名后加密!x=15=11112，(3)K为有限密钥空间，是一些可能密钥的

2、有限集合；Ua2Ua1MUa2(modM)=b2，了解三种典型的公钥密码体制C=18191223(mod 2867)那么，4个不同的根怎样计算呢？如果仅仅知道n，而不知道分解式n=pq，则无法计算mp和mq，因而无法计算这4个不同的根。第(3)条称为陷门性，称为陷门信息。随机选一个奇数n(伪随机数发生器)四、公钥密码Rabin（因为ed是(p-1)(q-1)的倍数加1，所以med(modn)=m。（2）c=c1/c2(modn)，则c所对应的明文一定是m=m1/m2(modn)；如何判定一个给定的整数是素数？分析者没有办法在有效时间内将n分解出来。基本RSA的加密过程：Alice欲发送明文m给

3、Bob，其中0mn。容易，只需要不超过N1次加法。随机选择a MUa1(modM)=b1，设y满足y=gxmodp。定理 设超递增背包重量为S。当log2p1024时，亚指数计算量不小于2100数量级。在确定的范围内，加密和解密函数是互逆的。务必要先签名后加密!如果n已通过足够的测试,则接受n,否则转向步骤2;WITNESS(a,n)判定n 是否为素数，a是某个小于n的整数m(2,2)(modq)=q-mq。至于（p，q），可以是Bob的另一部分私钥，也可以是对所有人（包括Bob）都保密的。例：明文=“RSA ALGORITHM”一个根的(modp)、(modq)值是p-mp、q-mq。m的二

4、进制表示为bkbk-1b0,则=18191024 1819128 181964 18194 18192 18191(mod 2867)传统密钥管理两两分别用一对密钥时，则n 个用户需要C(n,2)=n(n-1)/2 个密钥，当用户量增大时密钥空间急剧增大。用RSA算法加密与解密的过程：例：明文=“RSA ALGORITHM”(1)明文用数字表示 空白=00，A=01,B=02,Z=26(两位十进制数表示)1819 0100 0112 0715 1809 2008 1300(2)利用加密变换公式 C=mPK mod r,即C=18191223 mod 2867=2756PK=1223=10011

5、000111 =210+27+26+22+21+20 =1024+128+64+4+2+1 C=18191223(mod 2867)=18191024 1819128 181964 18194 18192 18191(mod 2867)=27562756 2001 0542 0669 2347 0408 1815选择两个大素数p和q，通常要求每个均大于10100。u计算npq和z(p1)(q1)。u选择一与z互素的数、令其为d。u找到一个e满足ed1(mod z)。选好这些参数后，将明文划分成块，使得每个明文报文P长度m满足0mn。加密P时，计算CPe(mod n)，解密C时计算PCd(mod

6、 n)。由于模运算的对称性，可以证明，在确定的范围内，加密和解密函数是互逆的。为实现加密，需要公开(e,n)，为实现解密需要(d,n)。如何计算ab mod n？如何判定一个给定的整数是素数？如何找到足够大的素数p和q?要点1：(a x b)mod n=(a mod n)x(b mod n)mod n 要点2：a16=aaaaaaaaaaaaaaaa =a2,a4,a8,a16更一般性的问题：amm的二进制表示为bkbk-1b0,则 计算am mod nam mod n=a(2i)mod n =a(2i)mod nbi0bi0ikiibm207560mod561=1Miller and Rab

7、in,WITNESS算法WITNESS(a,n)判定n 是否为素数，a是某个小于n的整数1.令bkbk-1b0 为(n-1)的二进制表示，2.d 13.for i k downto 04.do x d5.d (d d)mod n6.if d=1 and x 1 and x n-17.then return TRUE8.if bi=19.then d (d a)mod n10.if d 111.then return TRUE12.return FALSE 返回值：TRUE:n一定不是素数FALSE:n可能是素数应用：随机选择a n,计算s次，如果每次都返回FALSE，则这时n是素数的概率为(1

8、-1/2s)如何判定一个给定的整数是素数？1.随机选一个奇数n(伪随机数发生器)2.随机选择一个整数a n3.执行概率素数判定测试,如果n 未测试通过,则 拒绝数值n,转向步骤14.如果n已通过足够的测试,则接受n,否则转向步骤2;说明：随机选取大约用 ln(N)/2的次数，如ln(2200)/2=70 好在生成密钥对时才用到，慢一点还可忍受。确定素数p和q以后，只需选取e,满足gcd(e,(n)=1,计算d=e-1 mod (n)（扩展的欧拉算法）如何找到足够大的素数p和q?p和q在长度上应仅差几个数位，即p和q应是1075 到10100（p-1）和（q-1）都应包含一个较大的素数因子gcd

9、(p-1,q-1)应比较小如果en 且 dn1/4,则d可以很容易确定建议（3）c=c2/c1(modn)，则c所对应的明文一定是m=m2/m1(modn)。如果n已通过足够的测试,则接受n,否则转向步骤2;f函数的设计者将 保密，用作解密密钥，此时 称为秘密密钥，记为Sk。至少在在当前的计算水平之下是不能实现的。至于（p，q），可以是Bob的另一部分私钥，也可以是对所有人（包括Bob）都保密的。这个漏洞还有更深刻的隐患，比如在消息认证过程中容易产生伪造。p,q,d为保密的（私钥）d (d a)mod n（3）c=c2/c1(modn)，则c所对应的明文一定是m=m2/m1(modn)。确定素

10、数p和q以后，只需选取e,满足gcd(e,(n)=1,计算d=e-1 mod (n)（扩展的欧拉算法）找到一个e满足ed1(mod z)。例：p=47,q=61,(n)=(47-1)(61-1)=2760时，SK=167是否为秘密密钥的候选者？用欧氏算法计算：gcd(2760,167)=1即可证明。由于加密函数是公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者（当然可以通过不安全信道传送）；使用公钥b1，b2，b3，bn计算密文c：c=m1b1+m2b2+m3b3+mnbn。0m(2,1)n；分析者没有办法在有效时间内将n分解出来。(2)给定y,计算x使y=f(x)是困难的

11、a1+a2+a3+aN-1aN。计算npq和z(p1)(q1)。四、公钥密码RabinRSA的数字签名应用真 若y=sig(x)假 若ySig(x)RSA的数字签名方案签名消息的加密传递问题 计算npq和z(p1)(q1)。C=18191223(mod 2867)7560mod561=1C=18191223(mod 2867)选择两个大的素数p和q，要求p和q都是4的倍数加3。由n的值求解（p，q）的值，即求解n的大整数分解n=pq，是一个公认的数学难题（虽然至今并没有证明），暂时还没有有效的算法。定义密钥集合K=(n,e,p,q,d)|n=pq,d*e1(mod(n)一个根的(modp)、(

12、modq)值是p-mp、q-mq。了解非对称密码体制的基本应用方向数字签名方案：一个签名方案是由签署算法与验证算法两部分构成。a1+a2+a3+aN-1aN。当格的维数比较大时（比如，维数大于200），当前的所有格归约算法都不是有效算法。如果每次都返回FALSE，最快求解法的运算次数约为数量级计算npq和z(p1)(q1)。=U-1(m1b1+m2b2+m3b3+mnbn)(modM)（4个数的计算使用孙子定理（中国剩余定理）。传统密钥管理两两分别用一对密钥时，则n 个用户需要C(n,2)=n(n-1)/2 个密钥，当用户量增大时密钥空间急剧增大。其次，背包中确有等于ak的物品重量。这个漏洞还

13、有更深刻的隐患，比如在消息认证过程中容易产生伪造。).(mod);(mod4141qcmpcmpqpp如果每次都返回FALSE，Leonard Adleman(3)K为有限密钥空间，是一些可能密钥的有限集合；设明文m=(m1,m2,m3,mn)是长度为n的比特串。(3)K为有限密钥空间，是一些可能密钥的有限集合；a1+a2+a3a4；容易，只需要不超过N1次加法。四、公钥密码RabinBob的公钥是n，对外公布。p,q,d为保密的（私钥）使用公钥b1，b2，b3，bn计算密文c：c=m1b1+m2b2+m3b3+mnbn。n=100 时C(100,2)=4,995于是，真正的明文m一定就是4个数(2)p-1 和q-1分别含有大素因子p1和q1背包公钥密码的密钥生成若干个N维向量组成的集合，如果满足一般，真正的明文都具有语言含义，而其它的根则是没有语言含义的“乱码课文”。许多求解离散对数问题的算法比穷举快得多，比如Shanks算法，Pohlig-Hellman算法等。变换课文C是背包重量，由n个物品重量a1，a2，a3，an中的某些物品重量相加而成。m(1,1)(modq)=mq；