【文章內容簡介】 28位的密鑰分為 64位的兩組，對明文多次進行普通的 DES加解密操作，從而增強加密強度。 3DES的模式 3DES有三種不同的模式 DESEEE3，使用 3個不同的密鑰進行加密； DESEDE3，使用 3個不同的密鑰，對數據進行加密、解密、再加密。 DESEEE2和 DESEDE2，與前面模式相同，只是第 1次和第 3次使用同一個密鑰。 最常用的 3DES是 DESEDE2。 E D E D E DK1K2K1K1K2K1( a ) D E S E D E 2 的 加 密( b ) D E S E D E 2 的 解 密 IDEA簡介 IDEA（ International Data Encryption Algorithm，國際數據解密算法）是瑞士聯(lián)邦理工學院的中國學者賴學嘉與著名的密碼學專家 James Massey等人提出的加密算法，在密碼學中屬于數據塊加密算法（ Block Cipher）類。 IDEA使用長度為 128位的密鑰，數據塊大小為 64位。從理論上講， IDEA屬于強加密算法，至今還沒有出現對 IDEA進行有效攻擊的算法。 早在 1990年，賴學嘉等人在 EuroCrypt’90 年會上提出了 PES（ Proposed Encryption Standard，分組密碼建議）。在 EuroCrypt’91 年會上，賴學嘉等人又提出了 PES的修正版 IPES（ Improved PES）。目前 IPES已經商品化，并改名為 IDEA。 IDEA已由瑞士的 As公司注冊專利，以商業(yè)目的使用 IDEA算法必須向該公司申請許可，因此其推廣受到限制。 RSA簡介 RSA公鑰加密算法是 1977年由 Ron Rivest、 Adi Shamirh和 LenAdleman在MIT（美國麻省理工學院）開發(fā)的， 1978年首次公布。 RSA是目前最有影響的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數據加密標準。 RSA算法基于一個十分簡單的數論事實：將兩個大素數相乘十分容易，但是想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。 公開密鑰密碼體制，是由 Whitfield Diffie 和 Martin Hellman 1976年在國際計算機會議上首次提出來的，并進一步闡述了非對稱密鑰的思路：加密使用專門的加密密鑰，解密使用專門的解密密鑰；從其中一個密鑰不可能導出另外一個密鑰；使用選擇明文攻擊不能破解出加密密鑰。 RSA的缺點 產生密鑰很麻煩，受到素數產生技術的限制，因而難以做到一次一密 運行速度慢 ?為保證安全性， n 至少也要 600 bits 以上，使運算代價很高，尤其是速度較慢，較對稱密碼算法慢幾個數量級， 一般來說只用于少量數據加密 ； ?隨著大數分解技術的發(fā)展，這個長度還在增加，不利于數據格式的標準化。目前， SET( Secure Electronic Transaction，安全電子交易 )協(xié)議中要求 CA采用比特長的密鑰 其它加密算法 AES（ Advanced Encryption Standard，高級加密標準） ECC（ Elliptic Curves Cryptography，橢圓曲線密碼算法） NTRU（ Number Theory Research Unit） 密碼分析 密碼分析：截收者在不知道解密密鑰及通信者所采用的加密體制的細節(jié)條件下，對密文進行分析試圖獲取機密信息。 密碼分析在外交、軍事、公安、商業(yè)等方面都具有重要作用，也是研究歷史、考古、古語言學和古樂理論的重要手段之一。 密碼設計和密碼分析是共生的、又是互逆的，兩者密切有關但追求的目標相反。兩者解決問題的途徑有很大差別。 密碼分析 密碼設計是利用數學來構造密碼，而密碼分析除了依靠數學、工程背景、語言學等知識外，還要靠經驗、統(tǒng)計、測試、眼力、直覺判斷能力 ?? ，有時還靠點運氣。密碼分析過程通常經驗 ,統(tǒng)計 (統(tǒng)計截獲報文材料 )、假設、推斷和證實等步驟。 破譯 (Break )或攻擊 (Attack)密碼的方法： ?窮舉破譯法，又稱作蠻力法 ?分析法，有確定性和統(tǒng)計性兩類 窮舉破譯法 是對截收的密報依次用各種可解的密鑰試譯，直到得到有意義的明文；或在不變密鑰下，對所有可能的明文加密直到得到與截獲密報一致為止，此法又稱為完全試湊法。只要有足夠多的計算時間和存儲容量，原則上窮舉法總是可以成功的。但實際中，任何一種能保障安全要求的實用密碼都會設計得使這一方法在實際上是不可行的。 為了減少搜索計算量，可以采用較有效的改進試湊法。它將密鑰空間劃分成幾個 (例如， q個 )等可能的子集，對密鑰可能落入哪個子集進行判斷，至多需進行 q次試驗。關鍵在于如何實現密鑰空間的等概子集的劃分。 蠻力攻擊 PK 密鑰長度 密鑰長度（ bit） 密鑰數量 每微秒加密 1次所需時間 每微秒加密 100萬次所需時間 32 232 = x 109 231us = 56 256 = x 1016 255us =1142年 128 2128 = x 1038 2127us = x 1024年 x 1018年 26字符（排列） 26! = 4 x 1026 2 x 1026us = x 1012年 x 106年 分析法 確定性分析法利用一個或幾個已知量 (比如，已知密文或明文 密文對 )用數學關系式表示出所求未知量 (如密鑰等 )。已知量和未知量的關系視加密和解密算法而定，尋求這種關系是確定性分析法的關鍵步驟。例如，以 n級線性移存器序列作為密鑰流的流密碼，就可在已知 2n bit密文下，通過求解線性方程組破譯。 統(tǒng)計分析法利用明文的已知統(tǒng)計規(guī)律進行破譯的方法。密碼破譯者對截收的密文進行統(tǒng)計分析，總結出其間的統(tǒng)計規(guī)律，并與明文的統(tǒng)計規(guī)律進行對照比較，從中提取出明文和密文之間的對應或變換信息。 密碼分析 密碼分析之所以能夠破譯密碼，最根本的是依賴于明文中的多余度，這是 Shannon 1949年用他開創(chuàng)的信息論理論第一次透徹地闡明的密碼分析的基本問題。 根據密碼分析者可獲取的信息量來分類，可將破譯密碼的類型分為以下四種（下頁） 密碼分析的類型 根據密碼分析者所能獲得的信息的類型，可將密碼分析分成下列幾類： 唯密文攻擊（ cipher text only attack） 攻擊者只有密文串，想求出明文或密鑰。 已知明文攻擊（ known plaintext attack） 攻擊者知道明文串及對應的密文串，想求出密鑰或解密變換。 選擇明文攻擊（ chosen plaintext attack） 攻擊者不僅知道明文串及其對應密文串，而且可選擇用于加密的明文，想求出密鑰及解密變換。 選擇密文攻擊（ chosen cipher text attack） 攻擊者不僅知道明文串及對應密文串，且密文串由攻擊者選擇，想求出密鑰及解密變換。 消息摘要 消息摘要 消息摘要的作用 單向散列函數 MD5算法 SHA安全散列算法 消息摘要的作用 在網絡安全目標中，要求信息在生成、存儲或傳輸過程中保證不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失，因此需要一個較為安全的標準和算法，以保證數據的完整性。 常見的消息摘要算法有： ?Ron Rivest設計的 MD（ Standard For Message Digest，消息摘要標準）算法 ?NIST設計的 SHA（ Secure Hash Algorithm，安全散列算法） 單向散列函數 消息摘要算法采用單向 散列（ hash） 函數從明文產生摘要密文。摘要密文又稱為哈希函數、數字指紋（ Digital Fingerprint）、壓縮（ Compression）函數、緊縮（ Contraction ）函數、數據認證碼 DAC（ Data authentication code）、篡改檢驗碼 MDC（ Manipulation detection code）。 散列 函數的輸出值有固定的長度，該散列值是消息 M的所有位的函數并提供錯誤檢測能力，消息中的任何一位或多位的變化都將導致該散列值的變化。從散列值不可能推導出消息M ，也很難通過偽造消息 M’來生成相同的散列值。 單向散列函數的特點 單向散列函數 H(M)作用于一個任意長度的數據 M，它返回一個固定長度的散列 h，其中 h的長度為 m， h稱為數據 M的摘要。單向散列函數有以下特點： ?給定 M，很容易計算 h； ?給定 h，無法推算出 M； 除了單向性的特點外，消息摘要還要求散列函數具有“防碰撞性”的特點： ?給定 M，很難找到另一個數據 N，滿足 H(M)=H(N)。 單向散列函數的抗碰撞性 抗碰撞性的能力體現出 單向散列函數對抗生日攻擊和偽造的能力。 弱抗碰撞性（ Weak collision resistance）： ?對于任意給定的 M，找到滿足 M≠N 且 H(M)=H(N)的 N，在計算上是不可行的； 強抗碰撞性（ Strong collision resistance）： ?找到任何滿足 H（ x） =H（ y） 的偶對（ x， y）在計算上是不可行的。 哈希函數分類 根據安全水平 ?弱無碰撞 ?強無碰撞 注：強無碰撞自然含弱無碰撞！ 根據是否使用密鑰 ?帶秘密密鑰的 Hash函數：消息的散列值由只有通信雙方知道的秘密密鑰 K來控制，此時散列值稱作 MAC(Message Authentication Code) ?不帶秘密密鑰的 Hash函數：消息的散列值的產生無需使用密鑰，此時散列值稱作 MDC(Message Detection Code) 哈希函數 生日攻擊 如果采用傳輸加密的散列值和不加密的報文 M，攻擊者需要找到 M，使得 H(M)=H(M)，以便使用替代報文來欺騙接收者。 一種基于生日悖論的攻擊可能做到這一點，生日問題：一個教室中，最少應有多少個學生，才使至少有兩人具有相同生日的概率不小于 1/2？ 概率結果與人的直覺是相違背的。實際上只需 23人 ， 即任找 23人，從中總能選出兩人具有相同生日的概率至少為 1/2 生日攻擊實例 A準備兩份合同 M和 M，一份 B會同意，一份會取走他的財產而被拒絕 A對 M和 M 各做 32處微小變化（保持原意），分別產生 232個64位 hash值 根據前面的結論，超過 M和一個 M ，它們的 hash值相同 A提交 M，經 B審閱后產生 64位 hash值并對該值簽名，返回給 A A用 M 替換 M 結論： Hash必須足夠長（ 128， 160， 224， 256， ? ） MD5算法 Merkle于 1989年提出 hash function模型 Ron Rivest于 1990年提出 MD4 1992年， Ron Rivest提出 MD5（ RFC 1321） 在最近數年之前， MD5是最主要的 hash算法 現行美國標準 SHA1以 MD5的前身 MD4為基礎 輸入：任意長度消息 輸出： 128bit消息摘要 處理：以 512bit輸入數據塊為單位 SHA安全散列算法 1992年 NIST制定了 SHA（ 128位） 1993年 SHA成為標準（ FIPS PUB 180） 1994年修改產生 SHA1（ 160位） 1995年 SHA1成為新的標準，作為 SHA1（ FIPS PUB 1801/RFC 3174），為兼容 AES的安全性， NIST發(fā)布 FIPS PUB 1802，標準化 SHA256， SHA384和 SHA512 輸入：消息長度 264 輸出： 160bit消息摘要 處理：以 512bit輸入數據塊為單位 基礎是 MD4 消息認證的局限性 消息認證可以保護信息交換雙方不受第三方的攻擊，但是它不能處理通信雙方的相互攻擊 ? 信宿方可以偽造消息并稱消息發(fā)自信源方，信源方產生一條消息，并用和信源方共享的密鑰產生認證碼，并將認證碼附于消息之后 ? 信源方可以否認曾發(fā)送過某消息，因為信宿方可以偽造消息，所以無法證明信源方確實發(fā)送過該消息 在收發(fā)雙方不能完全信任的情況下，引入數字簽名來解決上述問題 ? 數字簽名的作用相當于手寫簽名 實體認證 實體認證（身份認證） 身份 認證的作用 基于共享密鑰的認證 基于公鑰的認證 身份 認證協(xié)議 實體認證的作用 認證分為實體認證和消息認證。 實體認證是對通信主體的認證，目的