【文章內(nèi)容簡介】 t published algorithm for large n (more than about 100 digits). For a bbit number n, its running time is: B PKCS1, RFC ? ? PKCS系列標(biāo)準(zhǔn) ? PKCS1，關(guān)于 RSA算法的工業(yè)規(guī)范 – 密鑰產(chǎn)生、消息編碼 – 加密 /解密 – 簽名 /驗(yàn)證 ? 其他 PKCS ? RFC 2313 PKCS 1: RSA Encryption Version ? RFC 2437 PKCS 1: RSA Cryptography Specifications Version ? RFC 3447 PKCS 1: RSA Cryptography Specifications Version B 其他公鑰加密算法 ? 兩個(gè)密碼算法依賴的數(shù)學(xué)難解問題 – 大數(shù)分解問題：分解 n=pq – 離散對數(shù)問題：求解 y=g^x mod p中的 x ? DSA、 ECDSA: FIPS PUB 1863: Digital Signature Standard B 其他公鑰加密算法 ? 新方向：橢圓曲線密碼算法 (ECC) – 以橢圓曲線上點(diǎn)的加法運(yùn)算為背景的離散對數(shù)問題 – 在達(dá)到相同安全強(qiáng)度的前提下， ECC速度快很多 B 混合密碼體制：使用公鑰傳遞會(huì)話密鑰 ? 公鑰算法太慢 – 典型情況，對稱算法比公鑰算法快 1000倍 ? 只用來傳遞會(huì)話密鑰 ? (假設(shè) A已經(jīng)有 B的公鑰 KeB) – A發(fā)起和 B的通信 – A產(chǎn)生會(huì)話密鑰 Ks，并用 KeB加密后傳給 B – B能用自己的私鑰 KdB解開 ? 其他人不會(huì)知道 Ks – 使用 Ks和對稱算法處理批量數(shù)據(jù) B 混合密碼體制應(yīng)用實(shí)例 ? PKCS5 PasswordBased Cryptography Standard ? SSL/TLS ? PGP B 消息認(rèn)證 why？ （此前一直討論加密） ? 消息加密后可以抵抗竊聽。因?yàn)闆]有密鑰，攻擊者無法讀懂密文。 ? 但是密文仍可以被惡意篡改，而且接收方解密后未必一定能發(fā)現(xiàn)這種攻擊。 ? 問題：對密文的篡改，能否一定被察覺？ B 密文不能提供完整性保護(hù) ? 兩個(gè)例子 （ 1）解密后能發(fā)現(xiàn)異常 （ 2）解密后不能發(fā)現(xiàn)異常 B 消息認(rèn)證 身份認(rèn)證 ? 認(rèn)證和加密是兩種不同的技術(shù) (服務(wù) )，有的場合 – 需要不加密 – 需要保護(hù)完整性 ? 認(rèn)證技術(shù)涉及消息認(rèn)證和身份認(rèn)證兩個(gè)方面 – 消息認(rèn)證：鑒別消息來源，保護(hù)消息的完整性 –身份認(rèn)證：提供身份真實(shí)性鑒別服務(wù) B 消息認(rèn)證碼 MAC ? 認(rèn)證碼 (Message Authentication Code) – 離線：表明消息是完整的（未被篡改） – 在線：表明自己 /對方是真實(shí)的（未被假冒） ? 生成 MAC也需要密鑰，有兩個(gè)思路產(chǎn)生 – 基于加密的方法，比如 CBD模式最后一個(gè)密文分組（ FIPS113） – 基于 Hash函數(shù)的方法（ HMAC） B CBCMAC： CBC模式最后一個(gè)分組 ? 把消息明文和 CN一起傳送，以表明消息的真實(shí)性 – FIPS PUB 113 B HMAC ? 從概念上講， HMAC可以這樣理解 HMAC = Hash（ M || Key） –引出 Hash函數(shù) ? 相關(guān)的標(biāo)準(zhǔn)： HMAC， RFC2104 B Hash函數(shù) ? 輸入任意長度 (或 2^64)報(bào)文 ? 輸出固定長度 n=128/160/224/256/384/512bits ? 函數(shù)特性 –單向性質(zhì) 對給定的 h，找 x滿足 H(x)＝ h是困難的 – 弱抗碰撞特性 對于給定的 y，找 x滿足 H(x)＝ H(y)是困難的 – 強(qiáng)抗碰撞特性（生日攻擊） 找 x和 y滿足 H(x)＝ H(y)是困難的 B 常用的 Hash函數(shù) ? MD5 – 輸出 128bits ? SHA0， FIPS PUB 180 ? SHA1， FIPS PUB 1801 – 輸出 160bits ? SHA2 – 輸出 192/224/256/384/512bits B MD5 Overview ? RFC 1321 B MD5 ? B MD5 crack ? 2023年的國際密碼討論年會(huì)（ CRYPTO）尾聲，王小云及其研究同工展示了 MD SHA0及其他相關(guān)雜湊函數(shù)的雜湊沖撞。所謂雜湊沖撞指兩個(gè)完全不同的訊息經(jīng)雜湊函數(shù)計(jì)算得出完全相同的雜湊值。根據(jù)鴿巢原理，以有長度限制的雜湊函數(shù)計(jì)算沒有長度限制的訊息是必然會(huì)有沖撞情況出現(xiàn)的?？墒?，一直以來，電腦保安專家都認(rèn)為要任意制造出沖撞需時(shí)太長，在實(shí)際情況上不可能發(fā)生，而王小云等的發(fā)現(xiàn)可能會(huì)打破這個(gè)必然性。 ? 2023年 2月，王小云與其同事提出 SHA1雜湊函數(shù)的雜湊沖撞。由于 SHA1雜湊函數(shù)被廣泛應(yīng)用于現(xiàn)今的主流電腦保安產(chǎn)品，其影響可想而知。王小云所提的雜湊沖撞算法只需少于 269步驟，少于生日攻擊法（ Birthday Attack）所需的 280步。同年 8月，王小云、姚期智，以及姚期智妻子姚儲(chǔ)楓聯(lián)手于國際密碼討論年會(huì)提出 SHA1雜湊函數(shù)雜湊沖撞算法的改良版。此改良版使破解SHA1時(shí)間縮短為 263步。 [1] B Collisions in the MD5 MD5 沖突的兩個(gè)有意義的文件 . z ipB HMAC ? HMAC(K,M) = H[(K+⊕ opad) || H[(K+⊕ ipad) || M]] B 身份認(rèn)證：使用公鑰算法 ? 如果你已經(jīng)有他的公鑰 Ke，則可鑒別他的身份 ? 取隨機(jī)秘密消息 P加密 C = E（ P， Ke） ? 把密文 C交給所謂的 ”他 ”，請他來解密 – 除非 ”他 ”擁有 Kd，否則不能解開 D（ C， Kd）＝ P ? 比較他解出的明文 P是否正確 ? 如果他能正確解密，則 ”他 ”是真他 B HMAC標(biāo)準(zhǔn)文檔 ? FIPS PUB 198 The KeyedHash Message Authentication Code (HMAC) ? RFC 2104 HMAC: KeyedHashing for Message Authentication B (轉(zhuǎn)折 ) 數(shù)字簽名 ? 加密抗偷窺， ? 認(rèn)證抗篡改， ? 以上都是人民聯(lián)手共同對付“敵我矛盾”的手段，現(xiàn)在是處理“人民內(nèi)部矛盾 ”的時(shí)候了 ? “內(nèi)部矛盾”主要指抵賴 – 拒絕承認(rèn)曾經(jīng)發(fā)出過某條消息 – 拒絕承認(rèn)曾經(jīng)收到過 – 內(nèi)部矛盾不能靠共享密鑰解決 B 手寫簽名 ? 簽名的含義 –簽名者慎重表達(dá)認(rèn)可文件內(nèi)容的意向的行為 ? 主要形式 – 手寫簽名、簽章、手指紋印 (其他生物技術(shù) ) ? 特性 – 不可偽造，特異性 –不可改變，能發(fā)現(xiàn)涂改、轉(zhuǎn)移意義或用途 – 不可重用，日期和時(shí)間相關(guān)性 – 不可抵賴，能夠質(zhì)證 –可仲裁的，可做為法律證據(jù) B 數(shù)字簽名 : 要適應(yīng)的新變化 ? 數(shù)字簽名 手寫簽名 –數(shù)字文件 紙版文件 –數(shù)字小文件 手寫字（簽章） –如何綁定 ? 同一頁紙 ? 關(guān)于掃描手寫字跡、鼠標(biāo)手寫 – No ! ? 數(shù)學(xué)支持 : 簽名函數(shù) B 數(shù)字簽名 /驗(yàn)證操作概念 ? 簽名 ? 驗(yàn)證 簽名函數(shù) 報(bào)文 (大 ) 報(bào)文 簽名 (小 ) 秘密 報(bào)文 簽名 驗(yàn)證函數(shù) 身份 是 否 B 用私鑰運(yùn)算 (加密 )當(dāng)作簽名 ? 簽名：給定報(bào)文 m，使用私鑰 d產(chǎn)生簽名值 s md = s ? 驗(yàn)證：用公鑰 e判斷 (m,s)是否符合 se =? m ? 是否滿足簽名要求的特性 – 不可偽造、不可改變 – 因此抗抵賴 B 兩個(gè)重要問題 ? 簽名過程 (公鑰運(yùn)算 )太慢 – 啟用散列函數(shù)，用散列值代表消息 – PKCS 1 ? 公鑰 /私鑰的管理 – 如何得到公鑰？ – 如何讓人相信該公鑰的真實(shí)和正確？ * 如何把公鑰和身份信息綁定