【正文】 第 2章 對(duì)稱密鑰密碼體系 1 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 第 2章 對(duì)稱密鑰密碼體系 2 Network and Information Security ?密碼體系的原理和基本概念 ?數(shù)據(jù)加密標(biāo)準(zhǔn) (DES) ?IDEA ?AES ?序列密碼 主要內(nèi)容 第 2章 對(duì)稱密鑰密碼體系 3 密碼學(xué)原理 密碼學(xué)的基本原理 密碼技術(shù)是一門(mén)古老的技術(shù)。公元前 1世紀(jì)，著名的凱撒（ Caesar)密碼被用于高盧戰(zhàn)爭(zhēng)中，這是一種簡(jiǎn)單易行的單字母替代密碼。 20世紀(jì)，第一次世界大戰(zhàn)進(jìn)行到關(guān)鍵時(shí)刻，英國(guó)破譯密碼的專門(mén)機(jī)構(gòu)“ 40號(hào)房間”利用繳獲的德國(guó)密碼本破譯了著名的“齊默爾曼”電報(bào)，促使美國(guó)放棄中立參戰(zhàn)，改變了戰(zhàn)爭(zhēng)進(jìn)程。 戰(zhàn)爭(zhēng)的刺激和科學(xué)技術(shù)的發(fā)展對(duì)密碼學(xué)的發(fā)展起到了推動(dòng)作用。 Network and Information Security 凱撒密碼，又叫循環(huán)移位密碼。其加密方法就是將明文中的每個(gè)字母都用其右邊固定步長(zhǎng)的字母代替，構(gòu)成密文。 例如：步長(zhǎng)為 4，則明文 A、 B、 C、 ? 、 Y、 Z可分別由 E、 F、 G、 ? 、 C、D代替。如果明文是“ about” ，則變?yōu)槊芪摹?efsyx” ，其密鑰 k=+4。兩個(gè)循環(huán)的字母表對(duì)應(yīng)。 思考：若步長(zhǎng)為 3，密文是“ LORYHBRX”, 則明文是多少？ 齊默爾曼電報(bào)（英語(yǔ) : Zimmermann Telegram，德語(yǔ) : ZimmermannDepesche）是一份由德意志帝國(guó)外交秘書(shū)阿瑟 齊默爾曼于 1917年 1月16號(hào)向德國(guó)駐墨西哥大使馮 伯恩托夫發(fā)出的加密電報(bào)。 電報(bào)內(nèi)容建議與墨西哥結(jié)成對(duì)抗美國(guó)的軍事聯(lián)盟，但被英國(guó) 40號(hào)辦公室情報(bào)機(jī)關(guān)截獲。英國(guó)通過(guò)外交部將電報(bào)全文交給美國(guó)總統(tǒng)并約定該電報(bào)是美國(guó)自己截獲并破譯的。 第 2章 對(duì)稱密鑰密碼體系 4 密碼學(xué)原理 1. 密碼學(xué)的發(fā)展簡(jiǎn)史 早在四千多年以前，古埃及人就開(kāi)始使用密碼技術(shù)來(lái)保密要傳遞的消息。 一直到第一次世界大戰(zhàn)前，密碼技術(shù)的進(jìn)展很少見(jiàn)諸于世，直到 1918年， William “ The Index of Coincidence and Its Applications in Cryptography‖（重合指數(shù)及其在密碼學(xué)中的應(yīng)用）發(fā)表時(shí)，情況才有所好轉(zhuǎn)。 密碼學(xué)的基本原理 第 2章 對(duì)稱密鑰密碼體系 5 2022/5/31 1949年， . Shannon（香農(nóng)）在 《 貝爾系統(tǒng)技術(shù)雜志 》 上發(fā)表了 “ The Communication Theory of Secrecy System（保密系統(tǒng)的通信理論） ” ，為密碼技術(shù)奠定了堅(jiān)實(shí)理論基礎(chǔ)。使密碼學(xué)真正成為一門(mén)科學(xué)。 1976年， . Diffie和 . Hellman發(fā)表了 “ New Direction in Cryptography（密碼學(xué)新方向） ” 一文，提出了一種全新的密碼設(shè)計(jì)思想，導(dǎo)致了密碼技術(shù)上的一場(chǎng)革命。他們首次證明了在發(fā)送端和接收端不需要傳送密鑰的保密通信是可能的，從而開(kāi)創(chuàng)了公鑰密碼技術(shù)的新紀(jì)元，成為現(xiàn)代密碼技術(shù)的一個(gè)里程碑。 第 2章 對(duì)稱密鑰密碼體系 6 2022/5/31 1977年美國(guó)國(guó)家標(biāo)準(zhǔn)局 NBS（ National Bureau of Standards，即現(xiàn)在的國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所 NIST）正式公布了數(shù)據(jù)加密標(biāo)準(zhǔn) DES（ Data Encryption Standard） 1978年， ， RSA公鑰密碼技術(shù)，此后成為了公鑰密碼技術(shù)中杰出代表。 1984年， H.， Brassard. Gille首次提出了量子密碼技術(shù)（現(xiàn)稱為 BB84協(xié)議）。 第 2章 對(duì)稱密鑰密碼體系 7 2022/5/31 1985年， 運(yùn)用到公鑰密碼技術(shù)中，成為公鑰密碼技術(shù)研究的新亮點(diǎn)。 密碼技術(shù)的另一個(gè)重要方向 ——序列密碼（也稱為流密碼，序列密碼主要用于政府、軍方等國(guó)家要害部門(mén)）理論也取得了重大的進(jìn)展。 1989年， ， Carroll等人首次把混沌理論使用到序列密碼及保密通信理論中，為序列密碼的研究開(kāi)辟了一條新的途徑。 第 2章 對(duì)稱密鑰密碼體系 8 密碼學(xué)基本原理 ? 意義 解決數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性以及身份識(shí)別等問(wèn)題均需要以密碼為基礎(chǔ) ，密碼技術(shù)是保障信息安全的核心基礎(chǔ)。 ? 研究?jī)?nèi)容 密碼學(xué)以研究數(shù)據(jù)保密為目的，對(duì)存儲(chǔ)和傳輸?shù)男畔⑦M(jìn)行秘密變換以防止第三者竊取信息的科學(xué)。包括 密碼編碼學(xué) 和 密碼分析學(xué) 兩部分。 ? 密碼編碼學(xué) ：研究如何編碼，采用什么樣的密碼體制保證 信息被安全加密。 ? 密碼分析學(xué) ：破譯密文，在未知密鑰的情況下推演出明文和密鑰的技術(shù)。 第 2章 對(duì)稱密鑰密碼體系 9 基本概念： – 未經(jīng)過(guò)加密的原始消息稱為 明文 m或 p（ Plain Text） 。 – 偽裝消息以隱藏它的內(nèi)容的過(guò)程稱為 加密 E(Encrypt) – 加密后的消息，即經(jīng)過(guò)偽裝后的明文稱為 密文 c(Cipher Text) – 把密文轉(zhuǎn)變?yōu)槊魑牡倪^(guò)程稱為 解密 D(Decrypt)。 密碼 方案 確切地描述了加密變換和解密變換的具體規(guī)則 加密算法 對(duì)明文進(jìn)行加密時(shí)所使 用的規(guī)則的描述 E(m) 解密算法 對(duì)密文進(jìn)行還原時(shí)所使 用的規(guī)則的描述 D(c) 第 2章 對(duì)稱密鑰密碼體系 10 Network and Information Security 加密和解密的原理如圖 21所示 加密 解密 明文 密文 原始明文 圖 21 加密和解密原理 加密函數(shù) E作用于 M得到密文 C，用數(shù)學(xué)公式表示為： E(M)=C 相反地，解密函數(shù) D作用于 C產(chǎn)生 M： D(C)=M 先加密消息后解密，原始的明文將恢復(fù)出來(lái)，下面的等式必須成立： D(E(M))=M 第 2章 對(duì)稱密鑰密碼體系 11 安全密碼準(zhǔn)則 ? 如果密碼的保密性是基于保持算法的秘密，這種密碼算法就稱為 受限制的算法。 缺陷 ： ? 大型的或經(jīng)常變換用戶的組織不能使用它們。 ? 受限制的密碼算法不可能進(jìn)行質(zhì)量控制或標(biāo)準(zhǔn)化。 解決方法： 現(xiàn)代密碼學(xué)用 密鑰 解決了這個(gè)問(wèn)題。 密鑰 ：加密和解密算法的操作在稱為密鑰（ K）的元素控制下進(jìn)行。 K可以是很多數(shù)值里的任意值。秘鑰 K的可能值的范圍叫做密鑰空間。 加 /解密函數(shù)： Ek(M） =C Dk(C)=M Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 12 加密的過(guò)程： c=Eke(m) 解密的過(guò)程： m=Dkd(c) 注意： Ke和 Kd可以相同，也可以不同。 加密 /解密過(guò)程示意圖 第 2章 對(duì)稱密鑰密碼體系 13 Network and Information Security ?所有算法的安全性都 基于密鑰的安全性 ，而 不是 基于 算法細(xì)節(jié)的安全性 。 ?無(wú)數(shù)的事實(shí)已經(jīng)證明，只有公開(kāi)的算法才是安全的。 第 2章 對(duì)稱密鑰密碼體系 14 Network and Information Security 對(duì)稱密鑰密碼和非對(duì)稱密鑰密碼 ? 基于密鑰的算法通常有兩類： 對(duì)稱算法和非對(duì)稱算法 。 ? 對(duì)稱算法有時(shí)又叫傳統(tǒng)密碼算法，就是 加密密鑰能夠從解密密鑰中容易地推算出來(lái) ，反過(guò)來(lái)也成立。 ? 在大多數(shù)對(duì)稱算法中，加 /解密密鑰是相同的。這些算法也叫秘密密鑰算法或單密鑰算法，它要求發(fā)送者和接收者在安全通信之前，商定一個(gè)密鑰。 ? 對(duì)稱算法可分為兩類。 ? 一次只對(duì)明文中的單個(gè)比特（有時(shí)對(duì)字節(jié)） 運(yùn)算的算法稱為 序列密碼或流密碼算法 。 ? 另一類算法是對(duì)明文的一組比特進(jìn)行運(yùn)算，這些比特組 稱為分組 ，相應(yīng)的算法稱為分組算法。 第 2章 對(duì)稱密鑰密碼體系 15 Network and Information Security 分組密碼的工作原理如圖 24所示 ： 圖 24 分組密碼的工作原理 加密算法 m b it 明文 x b it 密鑰 n b it 密文 解密算法 x b it 密鑰 m b it 明文 第 2章 對(duì)稱密鑰密碼體系 16 Network and Information Security ? 非對(duì)稱算法是這樣設(shè)計(jì)的：用作 加密的密鑰不同于用作解密的密鑰 ，而且 解密密鑰不能根據(jù)加密密鑰計(jì)算出來(lái) （至少在合理假定的有限時(shí)間內(nèi)）。 ? 非對(duì)稱算法也叫做 公開(kāi)密鑰算法 ，是因?yàn)榧用苊荑€能夠公開(kāi)，即陌生者能用加密密鑰加密信息，但只有用相應(yīng)的解密密鑰才能解密信息。 第 2章 對(duì)稱密鑰密碼體系 17 密碼分析（密碼攻擊） 攻擊者在 不知道密鑰 的情況下，對(duì)密文進(jìn)行分析，試圖獲得機(jī)密信息（明文或密鑰）。 密碼編碼與密碼分析是共生的、 互逆 的，兩者解決問(wèn)題的途徑有很多差別。 ? 密碼編碼設(shè)計(jì)是利用 數(shù)學(xué) 基礎(chǔ)構(gòu)造密碼。 ? 密碼分析出了依靠數(shù)學(xué)、工程背景、語(yǔ)言學(xué)等知識(shí)外，還靠經(jīng)驗(yàn)、測(cè)試、眼力、運(yùn)氣、直覺(jué)判斷能力等。 根據(jù)密碼分析者對(duì)明文、密文等數(shù)據(jù)資源所掌握的程度，將密碼分析攻擊劃分為不同的形式： 第 2章 對(duì)稱密鑰密碼體系 18 密碼攻擊分類 （ 1） 唯密文攻擊 密碼分析者已知的內(nèi)容只有密文，即假設(shè)密碼分析者 已知算法 并能 截取到密文 ，他要盡力找出所使用的秘鑰和對(duì)應(yīng)的明文。 唯密文攻擊最容易實(shí)施，因?yàn)槊艽a分析者只需要知道密文，密碼算法必須要抵抗這類攻擊，這是密碼算法設(shè)計(jì)的最低要求。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 19 （ 2）已知明文攻擊 密碼分析者已知的內(nèi)容包括一 個(gè)或多個(gè)明文 密文 對(duì)以及截獲的待解密 密文 。明文 密文對(duì)被事先搜集。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 20 （ 3）選擇明文攻擊 與已知明文攻擊類似，不同點(diǎn)在于選擇明文攻擊的密碼分析者可以 自己選定明文消息 ，并知道其對(duì)應(yīng)的密文 。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 21 （ 4）選擇密文攻擊 與選擇明文攻擊類似，密碼分析者可以 自己選擇密文 并解密形成 密文 明文對(duì) 。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 22 （ 5）選擇文本攻擊 選擇文本攻擊是選擇明文攻擊與選擇密文攻擊的結(jié)合。 密碼分析者已知的內(nèi)容包括 ：加密算 法、由密碼分析者選擇的明文消息和它對(duì)應(yīng)的密文，以及由密碼分析者選擇的猜測(cè)性密文和它對(duì)應(yīng)的已破譯的明文。 很明顯，唯密文攻擊是最困難的，因?yàn)槊艽a分析者有最少量的信息可供利用。上述攻擊的強(qiáng)度是遞增的。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 23 Network and Information Security ? 根據(jù)被破譯的難易程度，不同的密碼算法具有不同的安全等級(jí) ? 如果 破譯算法的 代價(jià) 大于加密數(shù)據(jù)的價(jià)值 ，那么可能是安全的。 ? 如果破譯算法 所需的 時(shí)間 比加密數(shù)據(jù) 保密 的時(shí)間更長(zhǎng)，那么可能是安全的。 ? 如果用單密鑰 加密的 數(shù)據(jù)量 比破譯算法需要的 數(shù)據(jù)量少得多 ，那么可能是安全的。 第 2章 對(duì)稱密鑰密碼體系 24 學(xué)者 Lars Kundsen把破譯算法分為不同的類別，安全性的遞減順序如下： （ 1） 全盤(pán)破譯 ：密碼分析者找出了秘鑰。 （ 2） 全盤(pán)推導(dǎo) ：密碼分析者找到一個(gè)代替算法，在不知道密鑰的情況下，可用它得到明文。 （ 3） 實(shí)例（或局部）推導(dǎo) ：密碼分析者從截獲的密文中找出明文。 （ 4） 信息推導(dǎo) ：密碼分析者獲得一些有關(guān)密鑰或明文的信息。這些信息可能是密鑰的幾 bit、有關(guān)明文格式的信息等。 Network and Information Security 第 2章 對(duì)稱密鑰密碼體系 25 Network and Information Security ? 幾乎所有密碼系統(tǒng)在唯密文攻擊中都是可破的 ，只要簡(jiǎn)單地一個(gè)接一個(gè)地去試每種 可能的密鑰 ，并且檢查所得明文是否有意義。這種方法叫做 蠻力攻擊 。 ? 密碼學(xué)更關(guān)心 在計(jì)算上不可破譯的密碼系統(tǒng) 。如果一個(gè)算法用（現(xiàn)在或?qū)?lái)） 可得到的資源 在可