【正文】 ? 求冪運算就是一個比較好的單向運算。 32=9很容易計算，但 91/2=？。再加上模數(shù)函數(shù)的話，如果 136 mod 11=？可以較快的算出來，那么， 13x mod 11=9中的 x就不是那么好算了。如果 13x mod 11=9中的 x還能窮舉的話，那么，6713235x mod 845723=616920中的 x你能算出來嗎？在 RSA算法中，“ 6713235”是明文的話， x就是加密明文的私鑰，“ 616920”就是密文。 ? 因此，使用非對稱加密，明文信息必須轉(zhuǎn)化成足夠大的數(shù)才能保證私鑰的不可破譯。 明文信息 二進(jìn)制字符串 10進(jìn)制大數(shù) DOG 010001000100 111101000111 446743 RSA加密算法 ? RSA系統(tǒng)的功能 ? 支持公鑰私鑰對的生成、加密以及數(shù)字簽名。 過程 ? Alice選擇大的質(zhì)數(shù) p和 q，并得到 n=p*q。（由于 p和 q非常大，所以由 n幾乎無法復(fù)原 p、 q（大數(shù)分解和質(zhì)數(shù)檢測，陷門單向函數(shù)）） ? Alice選擇一個與（ p1)*(q1)互質(zhì)的質(zhì)數(shù) e（公共質(zhì)數(shù)）。 ? Alice計算私有質(zhì)數(shù) d=e1 mod [(p1)*(q1)]。（ e與（ p1)*(q1)互質(zhì)，根據(jù)Euler定理， d為與 e互質(zhì)并且不大于 e的正整數(shù)的個數(shù)） ? Alice與 Bob共享公鑰數(shù)對（ e, n）。（ d, n）是 Alice的私鑰。 ? Bob使用公鑰（ e, n）加密明文 M得到密文 C， C=Me mod n,并把密文 C發(fā)送給 Alice。 ? Alice使用 M=Cd mod n 把 C解密成 M。 ? 舉例 ? Alice選擇大的質(zhì)數(shù) p=5和 q=11，并得到 n=55。 ? Alice選擇一個與（ p1)*(q1)=40互質(zhì)的質(zhì)數(shù) 3。 ? Alice計算私有質(zhì)數(shù) d=31 mod 40=27。 ? Alice與 Bob共享公鑰數(shù)對（ 3, 55），（ 27, 55）是 Alice的私鑰。 ? Bob使用公鑰（ 3, 55）加密明文 M=25得到密文 C=253 mod 55=15625 mod 55=5,并把密文“ 5”發(fā)送給 Alice。 ? Alice使用 M=Cd mod n=527 mod 55=7450580596923828125 mod 55=25,獲得Bob的原始信息。 ElGamal加密算法 ? ElGamal算法既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的非對稱加密算法 ? ElGamal算法的安全性依賴于計算有限域上離散對數(shù)這一難題。 ? 美國的 DSS(Digital Signature Standard)中的 DSA(Digital Signature Algorithm)算法是經(jīng) ElGamal算法演變而來。 ? 密鑰對產(chǎn)生辦法 ? 首先選擇一個素數(shù) p，兩個隨機正整數(shù) , g 和 x， g, x p, 計算 y = gx mod p，則其公鑰為 y, g 和 p； X是私鑰； g和p可由一組用戶共享。 密鑰對產(chǎn)生辦法 ? 首先選擇一個素數(shù) p，兩個隨機正整數(shù) , g 和 x， g, x p, 計算 y = gx mod p，則其公鑰為 y, g 和 p； x是私鑰； g和 p可由一組用戶共享。 ? ElGamal加密過程 ? 設(shè)被加密信息為 M，首先選擇一個隨機數(shù) k， kp1，計算 C1=gk mod p， C2=ykM mod p。 將 (C1， C2 )作為 M的密文發(fā)送給接收方。 ? 接收方解密時計算： C2 C1x mod p= [ykM mod p] [gk mod p] x mod p= gx*k M gk (x) mod p=M。 ? 美國的數(shù)字簽名標(biāo)準(zhǔn)算法 —— DSA簽名算法，是ElGamal公鑰密碼體制的一種變形。 不同非對稱加密算法的特點 ? DiffieHellman是最容易的密鑰交換算法； ? RSA是最易于實現(xiàn)的； ? Elgemal算法更適合于加密； ? DSA對數(shù)字簽名是極好的，并且 DSA無專利費，可以隨意獲取； 非對稱密碼體制的應(yīng)用模型 鑒別模型（ 數(shù)字簽名 和 時間戳 ） 加密模型 （數(shù)字信封） 加密模型 —— 加密過程 隨機產(chǎn)生的對稱密鑰 接收方的公鑰 密鑰包 對稱加密 密文包 不對稱加密 ? 使用對稱密鑰加密報文 ? 使用不對稱密鑰加密對稱密鑰 ? 密文包和密鑰包一起發(fā)送給對方 明文 加密模型 —— 解密過程 密鑰包 接收方的私鑰 密文包 收到的對稱密鑰 明文 明文＋簽名 身份鑒別模型 —— 數(shù)字簽名 摘要函數(shù) （ Hash） 摘要信息 用發(fā)送方私鑰完成的簽名 明文 發(fā)送方的私鑰 明文＋簽名 身份鑒別模型 —— 驗證簽名 摘要信息 用發(fā)送方的公鑰驗證簽名 明文 發(fā)送方公鑰 摘要函數(shù) （ Hash） 比較 時間認(rèn)證模型（數(shù)字時間戳） ? 數(shù)字時間戳服務(wù)（ DTS）是使用數(shù)字文件的形式證明有關(guān)操作或文件簽發(fā)的具體時間，它網(wǎng)上安全服務(wù)項目之一， DTS由專門的機構(gòu)提供。 ? 時間戳 (timestamp)是一個經(jīng)加密后形成的憑證文檔，它包括三個部分： ①需加時間戳的文件的摘要 (digest) ② DTS機構(gòu)收到文件的日期和時間 ③ DTS機構(gòu)的數(shù)字簽名。 ? 書面文件的簽署時間是由簽署人自己寫上的，而數(shù)字時間戳則不然，它是由認(rèn)證單位 DTS機構(gòu)填加的，以 DTS收到文件的時間為依據(jù)。 數(shù)字時間戳的產(chǎn)生過程 ? 用戶首先將需要加時間戳的文件用 HASH編碼加密形成摘要，并將該摘要發(fā)送到 DTS機構(gòu)； ? DTS機構(gòu)在收到的文件摘要中加入日期和時間信息后，再次進(jìn)行摘要； ? DTS機構(gòu)對該新摘要文件用自己的私鑰加密（數(shù)字簽名），然后送回用戶。 加時間 發(fā)送方 DTS機構(gòu) 摘要 1 摘要 1 +時間 加了時間后的新摘要 Hash算法 摘要 1 數(shù)字 時間戳 文件 Hash算法 用 DTS機構(gòu)的私鑰加密 數(shù)字 時間戳 第 4節(jié) 使用 Hash函數(shù)進(jìn)行信息鑒別 ? 信息鑒別與加密 ? Hash 函數(shù)的特征和功能 ? Hash函數(shù)基本用法 ? 典型的 Hash函數(shù) 信息鑒別與加密 ? 保密性與真實性是兩個不同的概念，信息加密提供的只是信息的保密性而非真實性。 ? 某些信息只需要真實性，不需要保密性。 ? 廣播的信息難以使用加密 (信息量大 ) ? 網(wǎng)絡(luò)管理信息等只需要真實性 ? 政府 /權(quán)威部門的公告 ? 信息真實性鑒別代價小，加密代價大 (公鑰算法代價更大 )。 ? 鑒別函數(shù)與保密函數(shù)的分離能提供功能上的靈活性 HASH 函數(shù)及其特征 ? 概念 ? Hash函數(shù)是一種從明文到密文的不可逆函數(shù)，即只能加密不能還原。它是將任意長度的信息壓縮到一固定長度的信息摘要 (Message Digest）的函數(shù) h＝ H(M)。 ? Hash函數(shù)又稱為：摘要函數(shù)、散列函數(shù)、數(shù)字指紋（ Digital finger print)、壓縮（ Compression)函數(shù)、數(shù)據(jù)鑒別碼（ Data authentication code）等。 ? 特征 ? 計算的單向性：給定 M和 H，求 h＝ H(M)容易，但反過來給定 h和 H，求 M＝ H1(h)在計算上是不可行的。 ? 強碰撞自由：要尋找不同的信息 M 和 M′，滿足 H(M′)＝ H(M)在計算上是不可行。 ? Hash函數(shù)不需要密鑰，并且函數(shù)運算速度較快。 ? 對 Hash函數(shù)的密碼分析比對稱密鑰密碼更困難。 HASH 函數(shù)的作用 ? 作用 ? Hash函數(shù)主要用在一些只需加密不需解密的場合：如驗證數(shù)據(jù)的完整性、 Web登陸口令的加密、防火墻中應(yīng)用程序核對等。 ? 將變長的信息壓縮成定長的摘要，用于提高數(shù)字簽名的有效性。 HASH函數(shù)基本用法之一 M H(M) M Hash E K M’ H(M) M’ D K Hash 比較 M C Ek[M,H(M)] ? 算法符號描述 ? A→B: E k[M‖H(M)] ? B： Dk [Ek[M‖H(M)]]=[M’‖H(M)]； H(M’)，判斷： H(M’)是否等于 H(M)。 ? 服務(wù)功能 ? 提供鑒別 —— 使用信息摘要 H(M)與 H(M’)的比較完成信息完整性鑒別 ? 提供加密 —— 使用對稱加密密鑰 K加密原始信息和信息摘要 ? 過程描述 H(M’) HASH函數(shù)基本用法之二 M M Hash E K M’ D K Hash 比較 M EkH(M) M’ EkH(M) ? 算法符號描述： ? A： M‖Ek[H(M)] →B ? B： Dk[Ek[H(M)]]= H(M)； H(M’)，判斷： H(M’)是否等于 H(M)？ ? 服務(wù)功能 ? 提供加密服務(wù) —— 對 H(M)使用加密保護(hù) ? 提供鑒別服務(wù) —— 使用信息摘要 H(M)與 H(M’)的比較完成信息完整性鑒別 ? 過程描述 H(M) H(M) H(M’) HASH函數(shù)基本用法之三 ? 算法符號描述： ? A： H(M) →B （預(yù)先發(fā)送或存儲信息摘要） ? A： H(M’) →B （零時提供的信息摘要） ? B：判斷： H(M’)是否等于 H(M)？ ? 服務(wù)功能 ? 提供身份鑒別 —— 使用信息摘要 H(M)與 H(M’)的比較，判斷發(fā)送方是否掌握原始信息以鑒別其身份的真實性。 ? 過程描述 M H(M) Hash Hash 比較 H(M) H(M’) H(M’) M’ HASH函數(shù)基本用法之四 M M Hash E KSa M’ D KPa Hash 比較 M EkH(M) M’ EkH(M) H(M) H(M) ? 算法符號描述 ? A： [M‖EkSa[H(M)]] →B ? B： DkPa[EkSa[H(M)]]=H(M)； H(M’),判斷： H(M’)是否等于 H(M)？ ? 服務(wù)功能 ? 提供簽名服務(wù) —— A用自己的私鑰 KSa加密 H(M)完成對 M的數(shù)字簽名， B用 A的公鑰 KPa驗證該數(shù)字簽名 ? 提供鑒別服務(wù) —— 通過信息摘要 H(M)與 H(M’)的比較，完成被簽名信息的完整性鑒別 ? 過程描述 H(M’) HASH函數(shù)基本用法之五 ? 算法符號描述： ? A： EKPb[M‖EKSa[H(M)]] →B ? B： DKSb [EKPb[M‖EKSa[H(M)]]]= [M’ ‖EKSa[H(M)]]；DKPa[EKSa[H(M)]]=H(M)； H(M’)，判斷： H(M’)是否等于 H(M)？ ? 服務(wù)功能 ? 提供鑒別 —— 比較 H(M) ? 數(shù)字簽名 —— A用自己的私鑰加密 H(M)， B用 A的公鑰驗證簽名 ? 提供加密 —— A用 B的公鑰對信息和簽名一起加密 ? 過程描述 M M Hash E KSa M’ D KPa Hash 比較 M EkH(M) M’ EkH(M) H(M) H(M) E KPb D KSb C EkPb[M,EKSa[H (M)]] H(M’) 典型的 HASH 函數(shù) ? 典型的 HASH函數(shù) ? MD2： 散列值長度為 128bits. ? MD5： 散列值長度為 128bits. ? SHA1 ： 散列值長度為 160bits. ? RIPEMD160： 散列值長度為 160bits. ? SHA256： 散列值長度為 256bits. ? 密碼學(xué)領(lǐng)域重大發(fā)現(xiàn)：山東大學(xué)王小云教授成功破解 MD5等Hash算法 ? 被破解的算法有 MD MD HAVAL12 RIPEMD128 H（ a） = CRC32: B6A962DB MD5: A5C8CE6978E46813E453D0277E47EA53 SHA1: 77CE5F28ACA6C1D3D0506F4124C446009BA65F16 RIPEMD160:EA13DFF4B14A2BE5C6C698C3B0C2475C70C5FA42 SHA256: 26FFD5886253906A36A7EA0F6E26056FC36472626CB4894BCB100A34DC69D1DB 三類算法的特點 ? 對稱密碼算法 ? 加 /解密速度快，但密鑰分發(fā)問題嚴(yán)重 ? 非對稱密碼算法 ? 加 /解密速度較慢，但無密鑰分發(fā)問題 ? HASH函數(shù) ? 計算速度快，結(jié)果長度統(tǒng)一 第 5節(jié) 混合型加密體制 ——