【正文】 我們給環(huán)和域散列簽名。除了所假定的計算問題的硬度，這樣的證明依賴于假設(shè)方案中使用的哈希函數(shù)是真正的隨機函數(shù)。這樣一個隨機函數(shù)也被稱為隨機預(yù)言。 理想的加密散列函數(shù)是一個隨機函數(shù)。在 節(jié)中，我們研究了公鑰加密方案是安全的抗適應(yīng)性選擇密文攻擊的實例，并證明了它們的安全性。然而，主動攻擊，誰執(zhí)行適應(yīng)性選擇密文攻擊，可以在實踐中 – 真正危險的 Bleichenbacher的十萬次選擇性密文攻擊證明（ 節(jié)）。公鑰密文無法區(qū)分的，因為如 果夏娃運用一個有效的概率算法，她無法分辨?zhèn)坞S機密鑰字符串，因此，與真正的隨機序列的密文。加密方法提供保密只有密文隨機出現(xiàn)的對手夜。 隨機性和加密方案的安全性是密切相關(guān)的。所以他們真的是完美的計算。從一個真正的隨機種子，反復(fù)應(yīng)用和 每一步的核心點，你得到的偽隨機比特序列。這種特性被稱為一個單向函數(shù)的比特安全性。他們還產(chǎn)量計算完美的偽隨山東建筑大學(xué) 畢業(yè)設(shè)計 17 機比特生成器（ 8 章）。不同的是，該消息是一個偽隨機比特序列進(jìn)行異或運算，從一個短暫的真正的隨機種子生成的，通過一個單向函數(shù)。這意味著，例如，使 RSA 公鑰密文無法進(jìn)行一次密密碼本， RSA 函數(shù)是一種唯一的假設(shè)下。 – 也稱密文不可區(qū)分的多項式時間不可 – 意味著夏娃的機會成功地應(yīng)用概率多項式時間算法是最可以忽略不計，大于 1 / 2（ 9 章，定義 ）。香農(nóng)的完善保密性有一個計算的比喻：密文不可區(qū)分性（或語義安全）。重要的例 子，如因數(shù)分解，離散對數(shù)和二次剩余的假設(shè)，都包括在這本書中（見 6 章）。假設(shè)，以及單向函數(shù)的概念，可以通過概率多項式時間算法的使用非常精確。因此，公鑰的方法安全性證明總是條件：他們所依賴的基本假設(shè)的有效性。但是，據(jù)認(rèn)為，大整數(shù)分解是不可行的。 一個公鑰密碼體制的安全性是基于一些計算問題的困難程度（這是解決問 題的有效算法）。不得與非確定性算法混淆。概率算法可以拋擲硬幣，和他們的控制流可以至少部分地由這些隨機事件。因此，概率算法用于模型的攻擊者。 一個密碼系統(tǒng)的攻擊方式可能是由隨機事件的影響。反之亦然算法和多項式的運行時間通常被認(rèn)為是有效的。當(dāng)然，這里的效率的正確觀念產(chǎn)生的問題。只考慮攻擊，可能在實踐中是可行的。 山東建筑大學(xué) 畢業(yè)設(shè)計 16 更近的途徑可證明安全性因此放棄完善保密的理想和（不現(xiàn)實）的無限計算能力的假設(shè)。 和完善好的秘密密碼通常是不切實際的。這可以通過香農(nóng)理論的數(shù)學(xué)證明。弗納姆的一次一密密碼本（見 節(jié)），這一消息加密位異或它與真正的隨機位串，最著名的是完美的密碼。一個完美的密碼完全抵制一切唯密文攻擊。意味著數(shù)學(xué)證明密碼抵抗某些類型的攻擊的可證明安全的。 重要協(xié)議的密鑰交換，電子選舉，數(shù)字現(xiàn) 金和身份證明在 4 章討論互動。對手也可能試圖通過積極操縱協(xié)議獲得優(yōu)勢。也有可能是對協(xié)議本身的攻擊。協(xié)議可以攻擊。因此，她無法通過她的觀察獲得任何好處。后來，她想扮演愛麗絲。沒有人能觀察到愛麗絲的秘密密鑰，即使驗證者鮑勃。 只有愛麗絲可以返回請求 C 有效的簽名，因為只有她知道的秘密密鑰?，F(xiàn)在，愛麗絲可以用下面的方法向鮑勃證明自己的身份 鮑勃隨機發(fā)送一個要求 C 發(fā)給愛麗絲。我們簡述了一個要求響應(yīng)協(xié)議以防止這種攻擊（然而，它是不完美的；見第 ）。這種方法并不總是安全的。愛麗絲想登錄到遠(yuǎn)程計算機，例如，或獲得電子銀行帳戶的 訪問。 協(xié)議的典型例子是用戶身份鑒別協(xié)議。一人做的兩步驟。 以數(shù)字簽名方案舉一個反例。常見的是，我們增加一個條件：我們需要兩個或兩個以上當(dāng)事人參與。一系列步驟必須執(zhí)行來完成給定的任務(wù)。 密碼協(xié)議 加密和解密算法，加密散列函數(shù)或偽隨機發(fā)生器（見 節(jié)， 8 章）的基本構(gòu)建塊（又稱密碼原語）解決問題涉及保密，認(rèn)證和數(shù)據(jù)完整性。夏娃可以選擇密文并得到相應(yīng)的明文。 可適應(yīng)性選擇密文攻擊。她可能會隨心所欲的對收集到的進(jìn)行分析調(diào)試。 可適應(yīng)性選擇明文攻擊。這類攻擊假設(shè)夏娃必須首先獲得明文密文對任何她想要的，然后她做分析，沒有任何進(jìn)一步的互動。而這又似乎是不可能的，在許多情況下，夏娃能做的只是這一點。夏娃已經(jīng)有能力選擇性的獲得明文和密文。夏娃可能知道消息的標(biāo)準(zhǔn)格式。乍一看，它可能會出現(xiàn)這樣的信息一般不會提供給攻擊者。夏娃已經(jīng)有能力獲得對稱密文。不能抵抗只有密文攻擊是完全不安全的加密方法。這在任何加密的情況是可能的。他們通常分類如下： 攻擊密文。也許她設(shè)法選擇讓加密明文或密文解密。她看到收到的明文有時也可能是密文。她沒有密鑰的信息。她監(jiān)視通信信道和信道的結(jié)束點。下山東建筑大學(xué) 畢業(yè)設(shè)計 14 面的調(diào)查只限于被動攻擊。根據(jù)這一原則，一個密碼系統(tǒng)的安全性必須完全基于密鑰。它通常被稱為凱闊福原理。密碼學(xué)和密碼分析往往被更多的總稱密碼學(xué)。 密碼分析是研究對加密方案的攻擊科學(xué)。然后，密碼也要保證消息的完整性。 攻擊 密碼學(xué)的主要目的是從竊聽者試圖得到一些關(guān)于明文的信息保持明文的秘密。不同的信息，產(chǎn)生不同的簽名。修改哈希值通過偽隨機序列將簽約到概率的過程（見 ）。這種方法對數(shù)字簽名是因此通常被稱為“哈希然后解密”范式（見 詳情）。鮑勃接收簽名的消息 M，然后用愛麗絲的公鑰檢查簽名是否通過測試 這是常見的不簽署消息本身，而是應(yīng)用加密哈希函數(shù)（見 節(jié)）并簽署哈希值。另一方面，任何人都可以檢查是否有簽名是有效的，通過一個公開的驗證算法驗證，這取決于簽名者公共密鑰。注意，不可否認(rèn)的是如果使用數(shù)字簽名來簽署合同不可缺少的特征。 數(shù)字簽名需要公鑰的方法（見 3 章的例子和細(xì)節(jié)）。對修改。消息 m的一個增強的消息認(rèn)證碼（ MAC）。 有對稱以及確保消息完整性的公共密鑰的方法。手寫的個人簽名是為了保證認(rèn)證和不可否認(rèn) .如果使用電子媒介，媒介本身都沒有提供安全性，因為它很容易傳輸在一個計算機網(wǎng)絡(luò)中替 換消息的一些字節(jié)，如果網(wǎng)絡(luò)是公開的這特別容易，比如上網(wǎng)。不可否認(rèn)：發(fā)送者不能否認(rèn)，她發(fā)出了一個信息。當(dāng)啟動通信，愛麗絲和鮑勃應(yīng)該能夠彼此識別（認(rèn)證）。認(rèn)證：消息的接收方可以驗證其來源。沒有人可以替代的假消息的原始信息，或它的一部分。數(shù)據(jù)的完整性。 密碼學(xué)的目標(biāo) 提供保密不是密碼學(xué)的唯一目的。為了保持密鑰的保密，他們需要一個安全的通信通道。因此對稱方法用于大量數(shù)據(jù)的加密。它從密文推斷出明文的幾乎是不可能的，不知道的秘密密鑰 SK（即活板門信息）。我們可以得到 ： 從數(shù)學(xué)上講，公鑰加密是一個所謂的單向函數(shù)與一個活板門。如果愛麗絲想要發(fā)送一個鮑勃的消息 m，她對 m使用 Bob 的公開密鑰 PK。公鑰加密方法（在 3 章全面研究）是不對稱的。他們介紹了公鑰密碼體制的革命性的概念。我們可以得到： 山東建筑大學(xué) 畢業(yè)設(shè)計 12 對稱加密以及重要的例子 DES（數(shù)據(jù)加密標(biāo)準(zhǔn)）和 AES（高級加密標(biāo)準(zhǔn)）將在 2 章介紹 。在經(jīng)典的加密方案里加密方法都提供了一個加密算法和解密算法，算法依賴于相同的密鑰 K，這個密鑰 K 同時用于加密和解密算法，因此，稱之為對稱的。 加密歷史悠久。對手夏娃仍可能截獲密文。鮑勃將密文解密成明文。對要發(fā)送的消息 – 可以是一些文本，數(shù)值數(shù)據(jù)，可執(zhí)行程序或任何其他類型的信息 – 稱為明文。 其他的目的在 節(jié)討論。或者，更糟的是，對手，像前面一樣，這里稱為夏娃，可以在傳輸過程中修改消息，這樣合法接收者鮑勃在不檢測的情況下就會被操縱。如果消息里面包含機密信息 就可能出問題 。她使用 了 一個不安全的通信渠道。m ,she has no better chance than 21 of choosing the right 山東建筑大學(xué) 畢業(yè)設(shè)計 9 indistinguishability– also called polynomialtime indistinguishability– means that Eve’ s chance of successfully applying a probabilistic polynomial algorithm is at most negligibly greater than1/2(Chapter 9,Definition ). As a typical result,it is proven in Section that publickey onetime pads are ciphertextindistinguishable. This means,for example,that the RSA publickey onetime pad is ciphertextindistinguishable under the sole assumption that the RSA function is one publickey onetime pad is similar to Vernam’ s onetime pad. The difference is that the message m is XORed with a pseudorandom bit sequence which is generated from a short truly random seed,by means of a oneway function. Thus,oneway functions are not only the essential ingredients of publickey encryption and digital signatures. They also yield putationally perfect pseudorandom bit generators(Chapter 8).Iff is a oneway function,it is not only impossible to pute x from )(xf ,but certain bits(called hardcore bits)of x are equally difficult to feature is called the bit security of a oneway example,the leastsignificant bit is a hardcore bit for the RSA function exx? mod n .Starting with a truly random seed,repeatedly applying f and taking the hardcore bit in each step,you get a pseudorandom bit bit sequences cannot be distinguished from truly random bit sequences by an efficient algorithm,or,equivalently (Yao’s Theorem, Section ),it is practically impossible to predict the next bit from the previous they are really putationally perfect. The bit security of important oneway functions is studied in detail in Chapter 7 including an indepth analysis of the probabilities involved. Randomness and the security of cryptographic schemes are closely is no security without encryption method provides secrecy only if the ciphertexts appear random to the adversary ’s onetime pad is perfectly secret,because,due to the truly random key string k,the encrypted message km? is a truly random bit sequence for publickey onetime pad is ciphertextindistinguishable,because if Eve applies an efficient probabilistic algorithm,she cannot distinguish the pseudorandom key string and,as a consequence,the ciphertext from a truly random sequence. Publickey onetime pads are secure against passive eavesdroppers,who perform a 山東建筑大學(xué) 畢業(yè)設(shè)計 10 ciphertextonly attack(see Section above for a classification of attacks).However,active adversaries,who perform adaptivelychosenciphertext attacks,can be a real danger in practice–as demonstrated b