【正文】 ? 過程描述 M H(M) Hash Hash 比較 H(M) H(M’) H(M’) M’ HASH函數(shù)基本用法之四 M M Hash E KSa M’ D KPa Hash 比較 M EkH(M) M’ EkH(M) H(M) H(M) ? 算法符號(hào)描述 ? A： [M‖EkSa[H(M)]] →B ? B： DkPa[EkSa[H(M)]]=H(M)； H(M’),判斷： H(M’)是否等于 H(M)？ ? 服務(wù)功能 ? 提供簽名服務(wù) —— A用自己的私鑰 KSa加密 H(M)完成對 M的數(shù)字簽名， B用 A的公鑰 KPa驗(yàn)證該數(shù)字簽名 ? 提供鑒別服務(wù) —— 通過信息摘要 H(M)與 H(M’)的比較，完成被簽名信息的完整性鑒別 ? 過程描述 H(M’) HASH函數(shù)基本用法之五 ? 算法符號(hào)描述： ? A： EKPb[M‖EKSa[H(M)]] →B ? B： DKSb [EKPb[M‖EKSa[H(M)]]]= [M’ ‖EKSa[H(M)]]；DKPa[EKSa[H(M)]]=H(M)； H(M’)，判斷： H(M’)是否等于 H(M)？ ? 服務(wù)功能 ? 提供鑒別 —— 比較 H(M) ? 數(shù)字簽名 —— A用自己的私鑰加密 H(M)， B用 A的公鑰驗(yàn)證簽名 ? 提供加密 —— A用 B的公鑰對信息和簽名一起加密 ? 過程描述 M M Hash E KSa M’ D KPa Hash 比較 M EkH(M) M’ EkH(M) H(M) H(M) E KPb D KSb C EkPb[M,EKSa[H (M)]] H(M’) 典型的 HASH 函數(shù) ? 典型的 HASH函數(shù) ? MD2： 散列值長度為 128bits. ? MD5： 散列值長度為 128bits. ? SHA1 ： 散列值長度為 160bits. ? RIPEMD160： 散列值長度為 160bits. ? SHA256： 散列值長度為 256bits. ? 密碼學(xué)領(lǐng)域重大發(fā)現(xiàn)：山東大學(xué)王小云教授成功破解 MD5等Hash算法 ? 被破解的算法有 MD MD HAVAL12 RIPEMD128 H（ a） = CRC32: B6A962DB MD5: A5C8CE6978E46813E453D0277E47EA53 SHA1: 77CE5F28ACA6C1D3D0506F4124C446009BA65F16 RIPEMD160:EA13DFF4B14A2BE5C6C698C3B0C2475C70C5FA42 SHA256: 26FFD5886253906A36A7EA0F6E26056FC36472626CB4894BCB100A34DC69D1DB 三類算法的特點(diǎn) ? 對稱密碼算法 ? 加 /解密速度快，但密鑰分發(fā)問題嚴(yán)重 ? 非對稱密碼算法 ? 加 /解密速度較慢，但無密鑰分發(fā)問題 ? HASH函數(shù) ? 計(jì)算速度快，結(jié)果長度統(tǒng)一 第 5節(jié) 混合型加密體制 —— 。 HASH函數(shù)基本用法之一 M H(M) M Hash E K M’ H(M) M’ D K Hash 比較 M C Ek[M,H(M)] ? 算法符號(hào)描述 ? A→B: E k[M‖H(M)] ? B： Dk [Ek[M‖H(M)]]=[M’‖H(M)]； H(M’)，判斷： H(M’)是否等于 H(M)。 HASH 函數(shù)的作用 ? 作用 ? Hash函數(shù)主要用在一些只需加密不需解密的場合：如驗(yàn)證數(shù)據(jù)的完整性、 Web登陸口令的加密、防火墻中應(yīng)用程序核對等。 ? Hash函數(shù)不需要密鑰，并且函數(shù)運(yùn)算速度較快。 ? 特征 ? 計(jì)算的單向性：給定 M和 H，求 h＝ H(M)容易，但反過來給定 h和 H，求 M＝ H1(h)在計(jì)算上是不可行的。它是將任意長度的信息壓縮到一固定長度的信息摘要 (Message Digest）的函數(shù) h＝ H(M)。 ? 廣播的信息難以使用加密 (信息量大 ) ? 網(wǎng)絡(luò)管理信息等只需要真實(shí)性 ? 政府 /權(quán)威部門的公告 ? 信息真實(shí)性鑒別代價(jià)小，加密代價(jià)大 (公鑰算法代價(jià)更大 )。 加時(shí)間 發(fā)送方 DTS機(jī)構(gòu) 摘要 1 摘要 1 +時(shí)間 加了時(shí)間后的新摘要 Hash算法 摘要 1 數(shù)字 時(shí)間戳 文件 Hash算法 用 DTS機(jī)構(gòu)的私鑰加密 數(shù)字 時(shí)間戳 第 4節(jié) 使用 Hash函數(shù)進(jìn)行信息鑒別 ? 信息鑒別與加密 ? Hash 函數(shù)的特征和功能 ? Hash函數(shù)基本用法 ? 典型的 Hash函數(shù) 信息鑒別與加密 ? 保密性與真實(shí)性是兩個(gè)不同的概念，信息加密提供的只是信息的保密性而非真實(shí)性。 ? 書面文件的簽署時(shí)間是由簽署人自己寫上的，而數(shù)字時(shí)間戳則不然，它是由認(rèn)證單位 DTS機(jī)構(gòu)填加的，以 DTS收到文件的時(shí)間為依據(jù)。 不同非對稱加密算法的特點(diǎn) ? DiffieHellman是最容易的密鑰交換算法； ? RSA是最易于實(shí)現(xiàn)的； ? Elgemal算法更適合于加密； ? DSA對數(shù)字簽名是極好的，并且 DSA無專利費(fèi)，可以隨意獲取； 非對稱密碼體制的應(yīng)用模型 鑒別模型（ 數(shù)字簽名 和 時(shí)間戳 ） 加密模型 （數(shù)字信封） 加密模型 —— 加密過程 隨機(jī)產(chǎn)生的對稱密鑰 接收方的公鑰 密鑰包 對稱加密 密文包 不對稱加密 ? 使用對稱密鑰加密報(bào)文 ? 使用不對稱密鑰加密對稱密鑰 ? 密文包和密鑰包一起發(fā)送給對方 明文 加密模型 —— 解密過程 密鑰包 接收方的私鑰 密文包 收到的對稱密鑰 明文 明文＋簽名 身份鑒別模型 —— 數(shù)字簽名 摘要函數(shù) （ Hash） 摘要信息 用發(fā)送方私鑰完成的簽名 明文 發(fā)送方的私鑰 明文＋簽名 身份鑒別模型 —— 驗(yàn)證簽名 摘要信息 用發(fā)送方的公鑰驗(yàn)證簽名 明文 發(fā)送方公鑰 摘要函數(shù) （ Hash） 比較 時(shí)間認(rèn)證模型（數(shù)字時(shí)間戳） ? 數(shù)字時(shí)間戳服務(wù)（ DTS）是使用數(shù)字文件的形式證明有關(guān)操作或文件簽發(fā)的具體時(shí)間，它網(wǎng)上安全服務(wù)項(xiàng)目之一， DTS由專門的機(jī)構(gòu)提供。 ? 接收方解密時(shí)計(jì)算： C2 C1x mod p= [ykM mod p] [gk mod p] x mod p= gx*k M gk (x) mod p=M。 ? ElGamal加密過程 ? 設(shè)被加密信息為 M，首先選擇一個(gè)隨機(jī)數(shù) k， kp1，計(jì)算 C1=gk mod p， C2=ykM mod p。 ? 密鑰對產(chǎn)生辦法 ? 首先選擇一個(gè)素?cái)?shù) p，兩個(gè)隨機(jī)正整數(shù) , g 和 x， g, x p, 計(jì)算 y = gx mod p，則其公鑰為 y, g 和 p； X是私鑰； g和p可由一組用戶共享。 ElGamal加密算法 ? ElGamal算法既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的非對稱加密算法 ? ElGamal算法的安全性依賴于計(jì)算有限域上離散對數(shù)這一難題。 ? Bob使用公鑰（ 3, 55）加密明文 M=25得到密文 C=253 mod 55=15625 mod 55=5,并把密文“ 5”發(fā)送給 Alice。 ? Alice計(jì)算私有質(zhì)數(shù) d=31 mod 40=27。 ? 舉例 ? Alice選擇大的質(zhì)數(shù) p=5和 q=11，并得到 n=55。 ? Bob使用公鑰（ e, n）加密明文 M得到密文 C， C=Me mod n,并把密文 C發(fā)送給 Alice。（ e與（ p1)*(q1)互質(zhì)，根據(jù)Euler定理， d為與 e互質(zhì)并且不大于 e的正整數(shù)的個(gè)數(shù)） ? Alice與 Bob共享公鑰數(shù)對（ e, n）。（由于 p和 q非常大，所以由 n幾乎無法復(fù)原 p、 q（大數(shù)分解和質(zhì)數(shù)檢測，陷門單向函數(shù)）） ? Alice選擇一個(gè)與（ p1)*(q1)互質(zhì)的質(zhì)數(shù) e（公共質(zhì)數(shù)）。 明文信息 二進(jìn)制字符串 10進(jìn)制大數(shù) DOG 010001000100 111101000111 446743 RSA加密算法 ? RSA系統(tǒng)的功能 ? 支持公鑰私鑰對的生成、加密以及數(shù)字簽名。如果 13x mod 11=9中的 x還能窮舉的話，那么，6713235x mod 845723=616920中的 x你能算出來嗎？在 RSA算法中，“ 6713235”是明文的話， x就是加密明文的私鑰，“ 616920”就是密文。 32=9很容易計(jì)算，但 91/2=？。 非對稱密碼體制的原理 ? 如果把對稱密碼算法可以理解為雙向函數(shù)的運(yùn)算，那么，非對稱密碼算法則是利用了單向函數(shù)的特點(diǎn)。 ? 可以簡化密鑰的管理，并且可以通過公開系統(tǒng)來分配密鑰。 ? 已知公鑰，要確定出私鑰，在計(jì)算上是不可行的。 ? 非對稱密碼體制的 特點(diǎn) ? 有兩個(gè)不同的密鑰，分別用于加密功能和解密功能。 ? 1977年 Rivest, Shamir amp。 ? 這樣， Carol就可以用 K1解密 Alice發(fā)送給 Bob的密文，并用 K2重新加密后再發(fā)送給 Bob，反之亦然。 Alice就會(huì)以為 K1=Db mod p=Bd mod p 是與 Bob約定的密鑰。 問題 如果第三者 Carol在 Alice與 Bob交換 B與 C過程中，截獲這兩個(gè)公共值。 ? Alice和 Bob交換 6和 5。 ? Kb=Bc mod p=(gb mod p)c mod p=(gb )c mod p=(gc)b mod p =(gc mod p)b mod p =(C)b mod p=Ka=K（對稱密鑰） ? 舉例 ? Alice選擇 p=7和生成器 g=3，并把他們發(fā)送給 Bob。 ? Alice和 Bob交換 B和 C。 KDC A B DiffieHellman密鑰交換算法 ? 目的 ? Alice和 Bob通過該算法約定對稱密鑰“ K” ? 過程（要點(diǎn)： =(gb )c mod p=(gc)b mod p ） ? Alice選擇一個(gè)很大的質(zhì)數(shù) p（模數(shù)）和一個(gè) p的質(zhì)因數(shù) g（生成器），并把他們發(fā)送給 Bob。 ? 最后一種方法得到普遍應(yīng)用。 ? 如果 AB曾經(jīng)使用過一個(gè)密鑰，一方可以使用舊密鑰加密新密鑰并傳遞給另一方。 網(wǎng)絡(luò)加密機(jī)制的配置 鏈路 /物理層 （ 1 — 2） 網(wǎng)絡(luò)層加密 傳輸 /網(wǎng)絡(luò)層 （ 3 — 4） 應(yīng)用層加密 應(yīng)用層 （ 5 — 7） 鏈路層加密 鏈路加密 節(jié)點(diǎn)加密 端對端加密 端對端加密 鏈路加密／端到端加密特征比較 鏈路加密 端到端加密 ? 在發(fā)送主機(jī)上報(bào)文是暴露的 在發(fā)送主機(jī)上報(bào)文是加密的 ? 在中間節(jié)點(diǎn)上報(bào)文是暴露的 在中間節(jié)點(diǎn)上報(bào)文是加密的 ? 由發(fā)送主機(jī)應(yīng)用 由發(fā)送進(jìn)程應(yīng)用 ? 對用戶是透明的 用戶應(yīng)用加密 ? 主機(jī)維護(hù)加密設(shè)備 用戶決定算法 ? 所有用戶用一個(gè)設(shè)施 用戶選擇加密方案 ? 可以由硬件完成 軟件實(shí)現(xiàn) ? 所有或沒有報(bào)文被加密 每個(gè)報(bào)文由用戶決定選擇是否加密 ? 節(jié)點(diǎn)之間都需要一個(gè)密鑰 每個(gè)用戶對需要一個(gè)密鑰 ? 提供主機(jī)鑒別 提供用戶鑒別 A與 B之間的密鑰約定方法 ? 密鑰由 A選定，通過物理的方式傳遞給 B。 ? 端到端加密 ? 端系統(tǒng)完成數(shù)據(jù)的加密和解密，加密形式的數(shù)據(jù)被原封不動(dòng)的從源端系統(tǒng)發(fā)送，穿過網(wǎng)絡(luò)，到達(dá)目的端系統(tǒng)。但是報(bào)文在每個(gè)分組交換節(jié)點(diǎn)設(shè)備處容易受到攻擊。共享一條鏈路的每對節(jié)點(diǎn)應(yīng)共享同一密鑰，每段鏈路應(yīng)使用不同的密鑰。 ? 99年 NIST把 TripleDES作為國家標(biāo)準(zhǔn) ? 2022年 10月 2日 NIST宣布高級(jí)標(biāo)準(zhǔn)加密算法（ AES）成為替代 DES的新的加密標(biāo)準(zhǔn)，其算法 Rijndael成為 DES的替代者。 ? NIST在 97年承認(rèn) 56位的 DES算法已不再有效。 ? AES將是未來最主要，最常用的對稱密碼算法。 RCS是塊狀密碼 RC6 Rivest、Robshaw Sidney和 Yin為RSA而開發(fā) 對稱 0到 2040位 (8的倍數(shù)，默認(rèn)是 128位 ) 代表 Ron’s Code或 Rivest’s Cipher6。RCA是流式密碼，同時(shí)只對一位數(shù)據(jù)進(jìn)行操作 RC5 Ronald Rivest為RSA而開發(fā) 對稱 0到 65536位 (8的倍數(shù)，默認(rèn)是 128位 ) 代表 Ron’s Code或 Rivest’a Cipher 5。 IDEA是 PGP所使用的塊狀密碼