《网络空间安全概论》课件3密码学基础.pptx

1、1畅销小说达芬奇密码里面出现的密码13-3-2-21-1-1-8-5 O Draconian devil!（啊，严酷的魔王！）Oh Lame Saint!（噢，瘸腿的圣徒！）Leonardo da Vinci!（莱昂纳多达芬奇！）The Mona Lisa!（蒙娜丽莎！）23美剧绯闻女孩（Gossip Girl）每集开场白都是：Who am I?Thats a secret Ill never tell.You know you love me.XOXO.Gossip girl.If you look at each letter like it was representing two pe

2、ople from a birds eye view,the O represents the arms of those persons hugging each other while the X is evocative of two people kissing each other.4安全与密码学 密码学目标机密性数据完整性认证非否认5密码学是安全的解吗?密码学与安全是不同的 85%安全问题不能用密码学解决（CERT）30-50%是缓冲区溢出5SecurityCryptographyLawOperatingsystemsMathematicsNetworkingProgramming

3、languagesEconomicsPsychologyHumancomputerinteraction6现实世界提供了更多的攻击手法，而不仅仅是密码分析.协议攻击、木马、病毒、电磁辐射监测、物理危害、勒索、操作系统漏洞、应用程序漏洞、硬件漏洞、用户错误、物理窃听、社会工程攻击、垃圾搜索等等。传统密码学传统密码学古典密码时期：古典密码时期：从古代到从古代到19世纪末，长达几千年世纪末，长达几千年纸、笔或者简单器械实现的替代及换位，是一种艺术（富有创造性的方式、方法）；手工；信使近代密码时期：近代密码时期：20世纪初到世纪初到20世纪世纪50年代，即一、二战时期年代，即一、二战时期手工或电动机械

4、实现的复杂的替代及换位，仍是一门艺术；机械；电报通信现代密码学：现代密码学：从从20世纪世纪50年代至今年代至今分组密码、序列密码以及公钥密码等，有坚实的数学理论基础。成为一门科学；计算机；无线通信、有线通信、计算网络等密码学起源公元前公元前5世纪世纪，古希腊斯巴达古希腊斯巴达出现原始的密码器出现原始的密码器Scytale密码：密码：最早的换位密码术最早的换位密码术大约在大约在4000年以前年以前，在古埃及古埃及的尼罗河畔，替换密码隐写术（隐写术（steganography）剃头刺字剃头刺字（公元前440年古希腊战争）-隐写术的起源隐写术：将消息隐藏在其他消息中“信息隐藏”隐写墨水/藏头诗/藏

5、尾诗漏格方法（1550年）-卡尔达诺漏格绘画大大风风渐渐起起，寒寒流流攻攻击击着着我们的肌体，预示明天5点的活动开始时会有困难。中国的藏头诗中国的藏头诗水浒传中梁山为了拉卢俊义入伙，“智多星”吴用和宋江便生出一段“吴用智赚玉麒麟”的故事来，利用卢俊义正为躲避“血光之灾”的惶恐心理，口占四句卦歌：芦花丛中一扁舟，俊杰俄从此地游。义士若能知此理，反躬难逃可无忧。电影：唐伯虎点秋香唐伯虎点秋香现代的信息隐藏现代的信息隐藏 信息隐藏信息隐藏(Information Hiding):将秘密信息隐藏于另一非机密的文件内容之中。形式可为任何一种数字媒体，如图像、声音、视频或一般的文档等。首要目标是隐藏的技术

6、要好，也就是使加入隐藏信息后的媒体目标的降质尽可能小，使人无法看到或听到隐藏的数据，达到令人难以察觉的目的101101011010101010100101000101101101101010100101011010101011110000101010100101110101101011010100101001000010011101010011110110111101110111010001+=密密码码学学古典密码学古典密码学现代密码学现代密码学置换密码置换密码代替密码代替密码流密码流密码分组密码分组密码公钥密码公钥密码对称密码对称密码非对称密码非对称密码密码体制的分类密码体制的分类经典密码体

7、制都是对称密码体制对称密码体制，密钥由安全信道传递，可分为：替换密码/代换密码（S Substitution）用一个符号代替另一个符号p单表替换密码仿射密码（移位代换密码，乘数密码）p多表替换密码 置换密码/换位密码（Permutation）对符号进行重新排序14古典密码学替换密码根据预先建立的替换表，将明文依次通过查表，替换为相应字符，生成密文，替换密码的密钥就是替换表单表替换密码：使用一个固定的替换表明文、密文字符一一对应一一对应多表替换密码：使用多个替换表1516公元前1世纪，著名的恺撒(Caesar)密码被用于高卢战争中，这是一种简单易行的单字母替代密码 它是将字母表中的字母依次后移一

8、定的位置得到的明码表：明码表：A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密码表：密码表：F G H I J K L M N O P Q R S T U V W X Y Z A B C D E例：英文字母表q26，取k9，则有如下明文密文字母对应表。(a=0,z=25)明文：Mmultiplicative cipher密文：CEYVPUFVUSAPUHK SUFLKX 公元公元16世纪晚期，英国的世纪晚期，英国的菲利普斯菲利普斯(Philips)利用利用频度分析法频度分析法成功破解苏格兰女王玛丽成功破解苏格兰女王玛丽的密码信，信中策划

9、暗杀英国女王伊丽莎白，这次解密将玛丽送上了断头台的密码信，信中策划暗杀英国女王伊丽莎白，这次解密将玛丽送上了断头台 電影電影伊莉莎白：輝煌年代伊莉莎白：輝煌年代单表替代使其密文中单字母出现的频率分布与明文中的相同，因此任何单表替代密码都经不起统计分析。1917-1-17:齐默尔曼电报被“40号房间”截获。2月23日，密电揭开：德国将在1917年2月1日开始无限制潜艇战，用潜艇攻击战时包括中立国在内的海上商运船 为阻止美国参战，德国建议墨西哥入侵美国，并承诺帮助墨西哥从美国手中夺回得克萨斯、新墨西哥和亚利桑那三州 德国还要墨西哥说服日本共同进攻美国，德国将提供军事和资金援助密电揭开后，美国在4月

10、16日向德国宣战 德国方面在一战结束十年之后才知道真相：德国方面在一战结束十年之后才知道真相：19231923年出版的年出版的温斯顿温斯顿丘吉尔丘吉尔的著作的著作世界危机世界危机，提到了英俄在军，提到了英俄在军事方面的合作，指出俄国人在一战中曾经成功地破译了某些德军密码事方面的合作，指出俄国人在一战中曾经成功地破译了某些德军密码齐默尔曼电报轮转密码机19世纪20年代，开始发明各种机械加密设备用来处理数据的加解密。起初普遍使用的是轮转机和轮转加密算法是由一个用于输入的键盘和一组转轮组成，每个轮转上有26个字母的任意组合。转轮之间由齿轮进行连接，当一个轮转转动时，可以将一个字母转化成为另一个字母2

11、62728德国的亚瑟亚瑟歇尔比乌斯歇尔比乌斯（Arthur Scherbius）发明了“谜”（ENIGMA，恩格玛密码机），用于军事和商业上。1925年，“谜”开始系列生产，在20年间，德国军方购入了3万多台“谜”，亦难倒了“40号房号房”，成为德国在二次大战的重要工具 阿兰阿兰图灵图灵（Alan Turing）英国人英国人 马里安马里安雷耶夫斯基雷耶夫斯基（Marian Rejewski）波兰人波兰人 亚瑟亚瑟歇尔比乌斯歇尔比乌斯（Arthur Scherbius）德国人德国人 3031一台图灵一台图灵“炸弹炸弹”高高2m2m，长，长2m2m，宽，宽1m1m。图灵的研究于。图灵的研究于194

12、01940年初完年初完成，机器由英国塔布拉丁机械厂制造成，机器由英国塔布拉丁机械厂制造 3233图灵（1912-1954），毕业于剑桥大学国王学院。是英国著名的数学家和逻辑学家，被称为计算机科学之父、人工智能之父，是计算机逻辑的奠基者，提出了“图灵机”和“图灵测试”等重要概念。人们为纪念其在计算机领域的卓越贡献而设立“图灵奖”34图灵奖获得者（部分）：2000年，姚期智(Andrew Chi-Chih Yao)：计算理论，包括伪随机数生成，密码学与通信复杂度2002年，Ronald Rivest，Adi Shamir，Lenard M.Adleman：公钥密码学（RSA加密算法）2012年，S

13、hafi Goldwasser，Silvio Micali：密码学和复杂理论领域2015年，Whitfield Diffie，Martin Hellman：非对称加密的创始人35图灵奖获得者（部分）：2012年，Shafi Goldwasser，Silvio Micali：密码学和复杂理论领域36其他转轮密码机：TYPEX打字密码机打字密码机Hagelin（哈格林）（哈格林）密码机密码机TUNNY密码机密码机二战中，英国破解德国的ENIGMA密码机一事于1974年公开，此事件导致n美国参战n德国被迫用陆、海、空三军进攻英国n在得知德军某精锐部队缺乏燃料且能源供给部队没跟上时，及时打击它37日美

14、密码战：在第二次世界大战中，美国人破译了被称为“紫密”的日本“九七式”密码机密码。靠此n珍珠港事件(1941年12月7日)n中途岛事件(1942年6月3日)n山本五十六之死事件(1943年4月18日)383940 置换密码体制置换加密（换位密码）：置换加密（换位密码）：明文字符集保持不变，但顺序被打乱例：明文 COMPUTERGRAPHICSMAYBESLOWBUTATLEASTITSEXPENSIVE COMPUTERGR AP HI CSMAYB ES LOWBUTAT LE AS T ITSEXP E N S I V E 密文密文:CAELPOPSEEMHLANPIOSSUCWTITSB

15、IVEMUTERATSGYAERBTX 41例（深度为例（深度为2的栅栏技术）：的栅栏技术）：消息“meet me after the toga party”写出如下形式：m e m a t r h t g p r y e t e f e t e o a a t密文是：MEMATRHTGPRYETEFETEOAAT4243逆序（倒序）密码 Plain:SIMPLE CIPHER Cipher:REHP ICEL PMIS几何图形 I came I saw I conquered1949-1976：1949年Shannon（1916-2001，香农香农）发表保密系统的信息理论（“Communic

16、ation Theory of Secrecy Systems”），产生了信息论标志着现代密码学的开始香农：1916-20011.现代密码学的发展现代密码学的发展44现代密码学1975-现代密码学的开端1975年，对计算机系统和网络进行加密的DES（Data Encryption Standard，数据加密标准）由美国国家标准局NIST颁布为国家标准密码学历史上的里程碑 1976年，美国斯坦福大学的Diffie和Hellman两人提出了公钥密码的新思想（密码学的新方向；New Direction in Cryptography），把密钥分为加密公钥和解密私钥，是密码学的一场革命 1977年，美

17、国的Ronald Rivest、Adi Shamir和Len Adleman提出第一个较完善的公钥密码体制RSA体制，是建立在大数因子分解基础上的算法 451997年美国国家标准局（NIST）发起征集高级数据加密标准（AES，Advanced Encryption Standard）的活动p 2000年10月，比利时密码学家Joan Daemen 和 Vincent Rijmen 提出的“Rijndael 数据加密算法”被确定为AES算法，作为新一代数据加密标准公钥密码领域，椭圆曲线密码体制ECC由于其安全性高、计算速度快等优点引起了人们的普遍关注和研究，并在公钥密码技术中取得重大进展新的密码

18、技术不断涌现46密码学（Cryptology）：是结合数学、计算机科学、电子与通讯等诸多学科于一体的交叉学科，是研究信息系统安全保密的一门科学密码编码学（Cryptography）：研究密码编制的科学 密码分析学（Cryptanalysis）：研究密码破译的科学472.密码学基本概念密码学基本概念密码体制密码体制，也称密码系统密码系统(Cryptosystem)，由五部分组成：1.明文空间M全体明文的集合2.密文空间C 全体密文的集合3.密钥空间K 全体密钥的集合。其中每一个密钥K均由加密密钥Ke和解密密钥Kd组成，即K Ke,Kd 4.加密算法E 一组由M到C的加密变换5.解密算法D 一组由

19、C到M的解密变换48加密：E(P)=C解密：D(C)=P先加密，后解密：D(E(P)=PMessage45#￥%=-！&*Message加密E解密D公共信道明文P明文P密文C49KdKe安全信道MCCM攻击者明文加密算法公共信道解密算法明文加密密钥解密密钥密钥K50科克霍夫原则（科克霍夫原则（KerckhoffsKerckhoffs Principle Principle）：密码系统的安全性密码系统的安全性不应该取决于不易改变的算法，而应取决于可随时改变的密钥取决于可随时改变的密钥科克霍夫假设：科克霍夫假设：密码分析者知道密码算法，唯一不知道的是密钥唯一不知道的是密钥WHYWHY？1.维护短的

20、密钥比维护算法更容易；共享和安全存储短的密钥比共享和安全存储百千倍的程序更容易；算法的细节更容易泄露（逆向工程）2.一旦密钥泄露，更换密钥比更换算法更容易（定期密钥更新）3.多用户通信时，使用相同算法但不同的密钥比分别使用不同的算法更容易51密码体制的分类密码体制的分类 对称密码体制对称密码体制 序列密码序列密码 分组密码分组密码 公钥密码体制公钥密码体制/非对称密码体制非对称密码体制 Hash函数函数+消息认证码消息认证码MAC 数字签名数字签名52对称密码体制（Symmetric Key Cryptosystem；单密码体制、传统密码体制）：如果一个密码体制的KdKe，或由其中一个很容易推

21、出另一个。如同现实生活中的保密箱机制保密箱机制 根据对明文和密文的处理方式和密钥的使用不同，可分为：p分组密码（分组密码（Block cipher）例如：例如：DES、3DES、AES、IDEA、SMS4等等p序列密码（流密码序列密码（流密码，Stream cipher）例如：例如：RC4、A5、SEAL等等5354AliceBobMessengerMessage45#￥%=-！&*Message加密E解密D公共信道明文P明文P密文C使用一个密钥的加密/解密密钥k（Key）密钥k（Key）55密码分析 56C=E(K,M)Alice(Encrypter)Bob(Decrypter)Hecker

22、(Attacker，Eve)攻击者通过搭线窃听、电磁窃听等方式获得信息（密文、部分明文等）57 穷举攻击（强力或蛮力攻击，Brute force）：密码分析者采用依次试遍所有可能的密钥对所获密文进行解密，直至得到正确的明文变体：字典攻击 统计分析：根据明文、密文和密钥的统计规律来破译密码的方法多适用于对称密码体制 数学分析攻击：针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码多适用于公钥密码体制3.序列密码序列密码密钥流与密钥生成器 密钥流算法应该能产生随机性随机性和和不可预测性好不可预测性好的密钥序列 保持同步保持同步是序列密码在实际应用中的关键现实：现实：密钥流都是按

23、密钥生成算法生成，且要求通信双方能产生相同的密钥序列，所以不可能是真随机的伪随机序列伪随机序列序列密码算法序列密码算法RC4 由MIT的Ron Rivest于1987年设计的、可变密钥长度、面向字节操作的、使用最为广泛的的序列密码之一；分析显示该密码的周期大于10100 RC4目前使用中：目前使用中：SSL（安全套接字）中广泛使用（安全套接字）中广泛使用 WEP Microsoft Windows WPS OfficeMIT计算机科学系的教授，以及RSA数据安全公司的共同创始人耶鲁大学数学系获得学士学位斯坦福大学的计算机科学系获得博士学位在密码学、算法以及计算机和网络安全方面做出了突出贡献最重

24、要的贡献是同Adi Shamir和Leonard Adleman（MIT的教授）一起提出了RSA公钥算法，并且和Shamir、Adleman分享了2002年美国计算机协会(ACM)颁发的图图灵奖灵奖美国国家工程院院士，美国国家科学院院士，美国计算机协会院士，国际密码研究学会院士，美国艺术与科学院院士4.分组密码算法分组密码算法DES&AES对称密码学的不足对称密码学的不足1-密钥分配和管理密钥分配和管理AliceBob加密的消息Hecker(Attacker，Eve)我是黑客，看你怎么把密我是黑客，看你怎么把密钥传递给钥传递给Bob。哈哈！。哈哈！快把密钥传给快把密钥传给我啊！急着哪！我啊！急

25、着哪！加密密钥如何加密密钥如何传递给传递给BobBob哪？哪？636465对称加密体制的不足对称加密体制的不足2签名和认证问题签名和认证问题 对称密码体制中，通信双方共享密钥，因此 接收方可以伪造原文不能实现鉴别认证鉴别认证 发送方也可以否认不能实现不可否认性不可否认性 尤其在电子商务电子商务等网络应用中，互不认识的网络用户之间进行安全交易时，不能解决陌生人之间的身份认证和交易信息认证问题664.公钥密码公钥密码 公钥密码体制（Public Key Cryptosystem；非对称密码体制、双钥密码体制）：如果在计算上Kd不能由Ke推出，这样将Ke公开也不会损害Kd的安全，于是便可将Ke公开

26、典型的公钥密码体制有：RSA ECC SMS2（我国标准，基于（我国标准，基于ECC）Rabin Elgamal NTRU6768 Problem：如何安全的传递秘密文件？要求要求：Alice 和和 Bob没有共享密钥没有共享密钥AliceBob如何将包裹安全的传递给Bob哪?Messenger69AliceBobMessenger70AliceBobMessenger71AliceBobMessenger结论：1.现实生活中可以实现没有共享密钥的信息的安全传输2.但效率太低了（邮差需要来回3次）问题：问题：密码学中有没有办法实现没有共享密钥的加解密？一定要以损失效率为代价吗？Message4

27、5#￥%=-！&*Message加密E解密D公共信道明文P明文P密文C使用两个密钥的加密/解密密钥k1（Key）密钥k2（Key）加密：E (P)=C解密：D (C)=P先加密，后解密：D (E (P)=P1K2K2K1K72公钥密码体制示意图1.发送方A查找接收方B的公钥2.A采用公钥加密算法公钥加密算法以B的公钥加密明文消息3.A通过不安全信道不安全信道将密文发送给B4.B收到密文后用自己的私钥解密获取明文73发送方发送方A接收方接收方B加密加密算法算法解密解密算法算法不安全信道不安全信道B的公钥的公钥B的私钥的私钥密文密文明文明文74公钥密码（非对称密码）：公钥密码（非对称密码）：每个用

28、户都分别拥有两个密钥：加密密钥加密密钥(公钥公钥)与解密密钥解密密钥(私钥私钥)，两者并不相同，且由加密密钥得到解密密钥在计算上不可行。加密密钥是公开的类比：类比：任何人只需按一下就可以把锁关上，但只有有钥匙的人才能把锁打开。关锁(加密)是容易的，人人都可以做到，但开锁(解密)只能由有钥匙的人来做。知道关锁的知识无助于开锁75Diffie-Hellman-Merkle 76 世界著名的密码技术与安全技术专家，1991年加盟Sun公司，在Sun实验室工作此前，他曾在北方电讯任安全系统经理达20年之久“公钥加密公钥加密”概念的发明人概念的发明人，被业界公认为信息技术安全事物的权威人士20 世纪 9

29、0 年代，主要研究密码技术的公用策略方面，并多次在美国参议院和众议院作证Diffie是马可尼基金会(Marconi Foundation)成员，并且从许多机构-美国电气及电子工程师学会(IEEE)、电子前沿基金会(Electronic Frontiers Foundation)、美国标准技术研究所(NIST)、美国国家安全局(NSA)、富兰克林研究所(Franklin Institute)和 美国计算机协会(ACM)-获得多种奖项Whitfield Diffie77 1966年获得纽约大学学士学位1967和1969分别获得斯坦福大学的硕士和博士学位1968-69年IBM在华盛顿的研究中心196

30、9-1971年MIT1971年斯坦福大学公钥密码学的创始人之一Martin E.Hellman公钥密码算法公钥密码算法RSA78Diffie：1976年，我花一个小时时间完成这篇作品而一夜成名，从那时起，我就以此为生，这篇论文的影响非常巨大例79例80公钥密码算法公钥密码算法RSA81密码体制的分类密码体制的分类 对称密码体制优点：对称密码体制优点：速度快速度快 密钥较短密钥较短 密文往往与明文长度相同密文往往与明文长度相同对称密码体制缺点：对称密码体制缺点：密钥分发需要安全通道密钥分发需要安全通道 密钥量大，难于管理密钥量大，难于管理 难于解决不可否认问题难于解决不可否认问题v 公钥密码体制

31、优点：公钥密码体制优点：密钥分发相对容易密钥分发相对容易 密钥管理简单密钥管理简单 可以实现数字签名可以实现数字签名v 公钥密码体制缺点：公钥密码体制缺点：加解密速度慢加解密速度慢 密钥较长密钥较长 密文长度往往大于明文长密文长度往往大于明文长度度82混合密码体制混合密码体制明文明文生成随机生成随机对称密钥对称密钥用对称密钥用对称密钥加密明文加密明文用公钥加密用公钥加密对称密钥对称密钥公钥加密的公钥加密的对称密钥和对称密钥和Hash值值对称密钥对称密钥加密的消加密的消息息公钥加密的公钥加密的对称密钥和对称密钥和Hash值值对称密钥对称密钥加密的消加密的消息息用非对称加密用非对称加密的私钥解密的

32、私钥解密对称密钥对称密钥解密消息解密消息对称密钥对称密钥明文明文8384混合加密AliceBobMessage两个问题：两个问题：1.消息真的是来自消息真的是来自Alice吗？吗？2.我收到的消息真的是我收到的消息真的是Alice发送的那个消息吗？发送的那个消息吗？Hecker(Attacker，Eve)我是黑客，我可以我是黑客，我可以窃听、窃听、伪造、伪造、删除、删除、修改和插入修改和插入消息。小心喽！消息。小心喽！消息的完整性如何保证？消息的完整性如何保证？5.Hash函数函数messageHash functionHash函数的安全性函数的安全性王小云王小云的研究成果作为密码学领域的重大

33、发现宣告了固若金汤的世界通行密码标准MD5大厦轰然倒塌，引发了密码学界的轩然大波会议总结报告写道：“我们该怎么办？MD5被重创了，它即将从应用中淘汰。SHA-1仍然活着，但也见到了它的末日。现在就得开始更换SHA-1了”（Where does this leave us?MD5 is fatally wounded;its use will be phased out.SHA-1 is still alive but the vultures are circling.A gradual transition away from SHA-1 will now start.）中国科学院院士中国科

34、学院院士王小云王小云世界震惊:王小云破解全球两大密码算法2005年2月7日，NIST发表申明，SHA-1没有被攻破，并没有足够的理由怀疑它会很快被攻破，开发人员在2010年前应该转向更为安全的SHA-256和SHA-512算法而仅仅一周之后，王小云就宣布了破译SHA-1的消息。因为SHA-1在美国等国家有更加广泛的应用，密码被破的消息一出，在国际社会的反响可谓石破天惊2005年王年王小小云在云在Crypto05会议上会议上发表Finding Collisions in the Full SHA-1,宣布了一种攻击方法，用269次操作找到两个独立的消息具有相同散列值换句话说，王小云的研究成果表明

35、从理论上电子签名可以伪造NIST随即宣布废弃SHA-1的意图，到2010年转用其他版本的SHAHash函数的将来函数的将来我国的Hash函数标准SM3：杂凑函数标准类似于MD5，首先对消息分组为512bits，不够长则填充对每一个分组实施迭代运算输出256bit的消息摘要Hash函数的应用函数的应用93手写签名:传统的确认方式，如书信、签约、支付、批复等在网络时代，人们通过网络支付费用、买卖股票，为了保证网上商务活动的安全，需要一个很重要的安全机制数字签名数字签名6.数字签名数字签名AliceBob从我账户给Bob转入100万1.这么大一笔资金，这这么大一笔资金，这消息是消息是Alice发的吗

36、？发的吗？2.要是过后要是过后Alice不承认不承认这笔转账怎么办？这笔转账怎么办？Alice，把你要转，把你要转账的消息账的消息签名签名之后之后再发给我再发给我消息的可靠性和不可否认性？消息的可靠性和不可否认性？数字签名的目的：数字签名的目的：保证信息的完整性和真实性，即消息没有被篡改，而且签名也没有被篡改，消息只能始发于所声称的一方 一个完善的签名方案应满足以下三个条件：1.1.不可否认性：不可否认性：签名者事后不能否认或抵赖自己的签名2.2.不可伪造性：不可伪造性：其他任何人均不能伪造签名，也不能对接收或发送的信息进行篡改、伪造和冒充3.3.公正的仲裁：公正的仲裁：若当事双方对签名真伪发

37、生争执时，能通过公正的仲裁者验证签名来确定其真伪952024-4-19计算机科学与技术学院96RSA签名97RSA签名方案图98比较Problem:Problem:为什么对消息的为什么对消息的HashHash函数值签名而不函数值签名而不是直接对消息签名？是直接对消息签名？99公钥加密通信存在的问题Alice Bob：我叫Alice，我的公开密钥是Ka，你选择一个会话密钥K，用Ka加密后传送给我。Bob Alice：使用Ka加密会话密钥K；Alice Bob：使用K加密传输信息；Bob Alice：使用K加密传输信息。以上协议能否实现秘密通信？100中间人攻击 AliceBobMallory K

38、a Km EKm(K,Bob)EKa(K,Bob)101数字证书数字证书 用电子手段来证实一个用户的身份及用户对网络资源的访问用电子手段来证实一个用户的身份及用户对网络资源的访问权限，由认证中心（权限，由认证中心（Certificate Authority，CA）签发，主要用）签发，主要用于数字签名的一个数据文件，它包含用户身份信息、用户公于数字签名的一个数据文件，它包含用户身份信息、用户公钥信息以及身份验证机构数字签名，即相当于一个钥信息以及身份验证机构数字签名，即相当于一个网上身份网上身份证证；从数字证书的作用来分：；从数字证书的作用来分：1 1）签名证书）签名证书2 2）加密证书）加密证

39、书102ITU-T X.509标准。版本V3序列号1234567890签名算法标识（算法、参数）RSA 和 MD5签发者c=CN，o=JIT-CA有效期（起始日期、结束日期）01/08/00-01/08/07主体c=CN，o=SX Corp，cn=John Doe主体公钥信息（算法、参数、公开密钥）56af8dc3a4a785d6ff4/RSA/SHA发证者唯一标识符Value主体唯一标识符Value类型关键程度Value类型ValueCA的数字签名104基于IBC的安全电子邮件系统使用公钥加密邮件使用公钥加密邮件“”我是我是“”私钥私钥master-keyCA/PKG基于标识（身份）的密码体

40、制是否可以像PKI系统，由用户自己生成私钥？105秘密共享 门限方案门限方案。取任何消息，并把它分成n部分，每部分叫做它的“影子影子”或共享，它们中的任何m部分能够用来重构消息，这叫做（m,n）门限方案。SKSK1SK5SK2SK3SK4SKSKshamirs(m,n)threshold scheme拉格朗日插值多项式方案106107Blakleys Secret Sharing Scheme门限密码学门限密码学 Threshold Encryption Scheme A message is encrypted using the public key In order to decrypt

41、 a ciphertext,a number of parties exceeding a threshold is required to cooperate in the decryption protocol.Threshold Signature Scheme To sign a message,a number of parties exceeding a threshold is required to cooperate in the signing protocol.A signature can be verified using the public key.A publi

42、c key is published,but the corresponding private key is shared among multiple parties.109阈下信道假设Alice和Bob被捕入狱。他将去男牢房，而她则进女牢房。看守Walter愿意让Alice和Bob交换消息，但他不允许他们加密。Walter认为他们可能会商讨一个逃跑计划，因此，他想能够阅读他们说的每个细节。Alice和Bob建立一个阈下信道，即完全在Walter视野内的建立的一个秘密通信信道。通过交换完全无害的签名的消息，他们可以来回传送秘密信息，并骗过Walter，即使Walter正在监视所有的通信。1

43、10非否认协议非否认协议是为了防止不诚实者否认他们参与了某项事务而拒绝承担相应的责任而设计的协议。要求：(1)确保通信主体不能对通信事件抵赖；(2)确保在协议执行的任何阶段，任何通信主体不能获得优于其他主体的好处。实现第一个:通过使协议通信各方获得可证明通信事件或动作发生过的证据，以防止利益方抵赖；实现第二个:保证协议的公平性。111特殊的数字签名盲签名（完全盲签名、部分盲签名、限制性盲签名、限制性部分盲签名、公平盲签名）群签名 环签名代理签名 112安全多方计算A protocol in which a group can compute any function securely.f(x1,x2,Xn)XiPi113百万富翁问题 有两个百万富翁在街头邂逅，按耐不住彼此的虚荣心，想比比谁更有钱，但又不想让对方知道自己到底拥有多少财富。那么，如何在不借助第三方的情况下，让他们知道到底谁更有钱？114