【正文】 臺計算機合作，僅用 22小時 15分就破解了 56bit的 DES 。 1999年，幾個小時內就能破解 。 DES的原理 混淆 (confusion)： 即在加密變換過程中使明文、密鑰及密文之間的關系復雜化。用于掩蓋明文和密文間的關系。 擴散 (diffusion)： 即將每一位明文信息的變動，都會影響到密文中許多位信息的變動，即改變一個明文盡可能多的改變多個密文，從而隱藏統(tǒng)計上的特性，增加密碼的安全。 單獨用一種方法，容易被攻破。 流密碼只依賴于混淆；分組密碼兩者都用。 ?現(xiàn)代密碼設計基本思想 其他分組算法 ? 3DES ? IDEA（國際數(shù)據(jù)加密算法） ? RC5 ? CAST算法 ? AES算法 二、對稱密碼學 三重 DES ?使用三（或兩）個不同的密鑰對數(shù)據(jù)塊進行三次（或兩次）加密，加密一次要比進行普通加密的三次要快 ?三重 DES的強度大約和 112bits的密鑰強度相當 ?三重 DES有四種模型 ? DESEEE3 使用三個不同密鑰順序進行三次加密變換 ? DESEDE3 使用三個不同密鑰依次進行加密 解密 加密變換 ? DESEEE2 其中密鑰 K1=K3 順序進行三次加密變換 ? DESEDE2 其中密鑰 K1=K3 依次進行加密 解密 加密變換 ?到目前為止還沒有人給出攻擊三重 DES的有效方法 IDEA International Data Encryption Algorithm； 由瑞士聯(lián)邦理工學院的 Xuejia Lai和 James Massey于 1990年提出 (西電，瑞士，上交大 ) IDEA是對稱、分組密碼算法，輸入的明文為 64位，密鑰為 128位，生成的密文為 64位； IDEA是一種相對較新的算法，有堅強的理論基礎，已被證明可對抗差分分析和線性分析；目前還沒有發(fā)現(xiàn)明顯的安全漏洞，應用十分廣泛。 著名的電子郵件安全軟件 PGP就采用了 IDEA進行數(shù)據(jù)加密。 二、對稱密碼學 高級加密標準（ AES） 1997年 4月 15日美國國家標準和技術研究所 NIST 發(fā)起了征集 AES算法的活動并成立了專門的 AES工作組 目的 是為了確定一個非保密的公開披露的全球免費使用的分組密碼算法用于保護下一世紀政府的敏感信息并希望成為秘密和公開部門的數(shù)據(jù)加密標準 1997年 9月 12日在聯(lián)邦登記處公布了征集 AES候選算法的通告 AES的基本要求是 比三重 DES快或至少和三重 DES一樣 安全分組長度 128比特，密鑰長度為 128/192/256比特 1998年 8月 20日 NIST召開了第一次候選大會并公布了 15個候選算法 二、對稱密碼學 高級加密標準（ AES） 1999年 3月 22日舉行了第二次 AES候選會議從中選出 5個算法 MARS RC6 Serpent Twofish Rijndael 2022年 10月，美國國家技術標準委員會 (NIST) 選定 “ Rijndael”全為 AES Rijndael是迭代分組密碼，其分組長度和密鑰長度都是可變的； 為了滿足 AES的要求，分組長度為 128bit，密碼長度為 128/192/256bit，相應的輪數(shù) r為10/12/14。 二、對稱密碼學 流密碼 明文 m=m1,m2,…… .mk 偽隨機序列 k=k1,k2,…… .kk 密文 ci=mi?ki ,i=1,2,…… .k 解密過程與加密過程一致 序列密碼的安全性完全依賴于偽隨機數(shù)的強度 移位寄存器是產生序列密碼的有效方法 RC SEAL（ Software Optimized Encryption Algorithm，軟件優(yōu)化加密算法） 小結 ? 對稱密碼學分為分組密碼和流密碼 ? 數(shù)據(jù)加密標準（ DES）的算法設計 ? 高級加密標準（ AES）的評選 二、 公鑰 密碼學 公鑰密碼學概述 Whitefield Diffie， Martin Hellman， 《 New Directions in Cryptography》 ,1976 公鑰密碼學的出現(xiàn)使大規(guī)模的安全通信得以實現(xiàn) – 解決了密鑰分發(fā)問題； 公鑰密碼學還可用于另外一些應用：數(shù)字簽名、防抵賴等； 公鑰密碼體制的基本原理 – 陷門單向函數(shù)(trapdoor oneway function) 二、 公鑰 密碼學 公鑰密碼學概述 加密： EK1（ M） = C 解密： DK2（ C） = M 等效于 DK2（ EK1（ M）） =M 數(shù)學變換 函數(shù) 密鑰 K1 明文 密文 數(shù)學變換 函數(shù) 密鑰 K2 明文 密文 二、 公鑰 密碼學 公鑰密碼學概述 網(wǎng)絡 信息 M 非對碼密鑰算法 B公鑰 密文 C 用戶 B 用戶 A 非對稱 密碼算法 密文 C 信息 M B私鑰 二、 公鑰 密碼學 公鑰密碼學中的密碼管理 ? 雙方如何交換密鑰。通過傳統(tǒng)手段，還是通過因特網(wǎng)，都會遇到密鑰傳送的安全性問題。 ? 單鑰密碼技術要求通信雙方事先交換密鑰。在實際應用中，一方需要與成千上萬的通信方進行交易，若采用單鑰密碼技術，每個用戶需要管理成千上萬個不同對象通信的密鑰。 ? 在現(xiàn)實環(huán)境中，密鑰通常會經常更換，更為極端的是，每次傳送都使用不同的密鑰，單鑰密碼技術的密鑰管理和發(fā)布都是遠遠無法滿足使用要求的。 ? 公鑰密鑰技術解決了密鑰的發(fā)布和管理問題，任何一方可以公開其公開密鑰，而保留私有密鑰。 ?發(fā)送方可以用人人皆知的接收方公開密鑰對發(fā)送的信息進行加密，安全的傳送給接收方，然后由接收方用自己的私有密鑰進行解密。 二、 公鑰 密碼學 公鑰密碼學中的密碼管理 二、 公鑰 密碼學 RSA算法概述 ?Rivest, Shamir和 Adleman 1977年研制并且 1978年首次發(fā)表。 ?密碼分析者尚不能證明其安全性，但也不能否定其安全性。 ?RSA是一種分組密碼，其理論基礎是一種特殊的可逆模指數(shù)運算，其安全性基于分解大整數(shù)的困難性。 ?既可以用于加密，也可用于數(shù)字簽名。 ?硬件實現(xiàn)時，比 DES慢約 1000倍。軟件實現(xiàn)時比 DES慢約 100倍。永遠不會比對稱鑰算法快。 ?已被許多標準化組織 (如 ISO、 ITU、 IETF和 SWIFT等 )接納，目前多數(shù)公司使用的是 RSA公司的 PKCS系列。 二、 公鑰 密碼學 RSA算法描述 設 n是兩個不同奇素數(shù)之積，即 n = pq， 計算其歐拉函數(shù)值 z=Φ(n)=(p1)(q1). 隨機選一整數(shù) e,1≤e Φ(n), (Φ(n),e)= e和 (p1)(q1)互素 因而在模 z下 ,e有逆元 取公鑰為 n,e,秘密鑰為 d.(p,q不再需要，應該被舍棄，但絕不可泄露 ) 定義加密變換為 解密變換為 nek ZxnxxE ?? ,m o d)(ndk ZynyyD ?? ,m o d)() mod( 1 z e d ? ? 令 P=5,q=11 ? 取 e=3,n=5*11=55 ? 則 z=(51)*(q1)=40, ? 計算 e*d=1(mod z),可得 d=27 ? 得到公鑰 (55,3),私鑰為 (55,27) ? 設明文 m為 809,兩位為一組則為 08,09 則 c1=m1e(mod n)=(08)3(mod 55)=17。C2=14 因此 ,得到的密文信息為 :17,14 解密 :m1=c1d(mod n)=1727(mod 55)=08 m2=09 問題 :設 p=3,q=11,m=2,密文是多少 ? 二、 公鑰 密碼學 RSA算法描述 二、 公鑰 密碼學 RSA算法安全性 RSA的安全性是基于加密函數(shù) ek(x)=xe(mod n)是一個單向函數(shù)，所以對的人來說求逆計算不可行。而能解密的陷門是分解 n=pq，知 ? (n)=(p1)(q1)。從而用歐氏算法解出解密私鑰 d。 密碼分析者攻擊 RSA體制的關鍵點在于如何分解n。若分解成功使 n=pq，則可以算出 φ (n)＝（ p1)(q1)，然后由公開的 e，解出秘密的 d。 二、 公鑰 密碼學 RSA算法關鍵技術 密鑰選擇 ?位數(shù) :1024以上 ,素性應該證明 ? p1,q1有大的素因子 ? p+1,q+1也要有大的素因子 ? e的選取，最常用的 e值為 3， 65537（ 2^16+1） 算法實現(xiàn) ?軟件與硬件結合 ,并行算法等 二、 公鑰 密碼學 RSA算法使用 A的公開密鑰為 (e,n),B對消息 m加密 c=me mod n 給 A, 只有 A能解密 m=cd mod n 特點 : ?和 A從來不認識 ,都可進行保密通訊 ,只要知道 A的公鑰 . ?速度慢 ,不實用 . 要求對公開密鑰進行保護，防止修改和替換。 二、 公鑰 密碼學 RSA算法使用 A的公開密鑰為 (e,n),私鑰為 (d,n),A對消息 m的數(shù)字簽名為 :s=H(m)d mod n, H(x)為公開的散列 (hash)函數(shù) . 任何人都可驗證 A對 m的簽名的有效性 H(m)=se mod n 功能 :防止非法篡改、偽造 ,A的抵賴與否認 ,對 A的假冒等。 要求對公開密鑰進行保護，防止修改。 二、 公鑰 密碼學 Hash雜湊函數(shù) ?雜湊 (Hash)函數(shù)是將任意長的數(shù)字串 M映射成一個較短的定長輸出數(shù)字串 H的函數(shù)，通常是單向雜湊函數(shù)； ?強單向雜湊與弱單向雜湊， 對不同報文，很難有同樣的報文摘要。這與不同的人有不同的指紋很類似 ； ?雜湊函數(shù)除了可用于數(shù)字簽名方案之外，還可用于其它方面，諸如消息的完整性檢測（一般雜湊函數(shù)）、消息的起源認證檢測（密碼雜湊函數(shù)）等。 二、 公鑰 密碼學 一般雜湊函數(shù) ?雜湊值只是輸入字串的函數(shù)，任何人都可以計算； ?函數(shù) y=H(x),要求將任意長度的 x變換成固定長度的 y,并滿足： ,任給 y,計算 x,使得 y=H(x)困難 ,計算 y=H(x)容易 ,尋找 x1? x2 ,滿足 H(x1)=H(x2)是困難的 . ?常用的一般雜湊函數(shù)有 MD5, SHA等。 二、 公鑰 密碼學 MD系列雜湊函數(shù) ?Ron Rivest設計的系列雜湊函數(shù)系列 : ? MD4 [RFC1320] ? MD5 是 MD4的改進型 [RFC1321] ? MD2 [RFC1319]，已被 Rogier等于 1995 年攻破 ?較早被標準化組織 IETF接納，并已獲得廣泛應用 ?Hash值長度為 128bits ? MD5算法對任意長度的輸入值處理后產生 128位的輸出值 ? 算法 : 首先對信息填充 N*512+448， 在 1步后附加一個 64位二進制數(shù)，表示填充前信息長度 對信息依次每次處理 512位，每次進行4輪每輪 16步共 64步的信息變換處理 二、 公鑰 密碼學 MD系列雜湊函數(shù) F,T[1…16],X[i] 16 steps G,T[17…32],X[ ?2i] 16 steps H,T[33…48],X[ ?3i] 16 steps I,T[49…64],X[ ?4i] 16 steps + + + + A B C D A B C D A B C D A B C D CVq 128 32 Yq 512 CVq+1 128 + is mod 232 明文 認證碼 每一輪以當前的 512位數(shù)據(jù)塊 (Yq)和 128位緩沖值 ABCD作為輸入，并修改緩沖值的內容。每次使用 64元素表 T[1…64] 中的四分之一， T[]由正弦函數(shù)sin構造而成。 T的第 i個元素表示為 T[i]，其值等于 232?abs(sin(i)),其中 i是弧度。由于abs(sin(i))是一個 0到 1之間的數(shù)， T的每一個元素是一個可以表示成 32位的整數(shù)。 T表提供了隨機化的 32位模板， 消除了在輸入數(shù)據(jù)中的任何規(guī)律性的特征 。 128 128 128 128 A=01234567,B=89abcdef,C=fedcba98, D=76543210 四個非線性函數(shù) (每輪一個 ): F(B,C,D)=(BΛC) V(172。 B) VD) G(B,C,D)=(BΛD) V(CΛ(172。 D)) H(B,C,D)=B⊕ C⊕ D I(B,C,D)=C⊕ (B V (172。 D)) 16步操作中的 4次操作 ,16步操作按照一定次序順序進行 FF(A,B,C,D,M[j],S,T[j])表示a