【正文】 dd pmod?? ??d *pZ ** pp Z?*pZm?k 21 ??? pk? ?21 , ccc ? .mod,mod21pmpckk????? ? **21 , pp ZZccc ??? ? ? pccm d mod112 ?? ElGamal算法的安全性分析 ? 有限域上的離散對(duì)數(shù)問題 定義 設(shè) 是素?cái)?shù)， ， 是一個(gè)本原元， 已知 和 ，求滿足 的唯 一整數(shù) ， 稱為有限域上的離散 對(duì)數(shù)問題。 ElGamal算法 ? 算法內(nèi)容 1. 選取大素?cái)?shù) ， 是一個(gè)本原元， 和 公開。 ? ?? dd 1,1 ?? eded? ?n?? ?n? ElGamal算法 ? 該體制是由 ElGamal在 1985年提出的，其安全性是基于有限域上計(jì)算離散對(duì)數(shù)的困難性。 ? 注意問題 ? p和 q的長度相差不能太多 . ? p1和 q1都應(yīng)該包含大的素因子。而且利用 的倍數(shù)可以容易地分解出 n的因子。因?yàn)? 所以知道 和 就可以容易地求得 和 ，從而成 功分解 ，因此，不對(duì) 進(jìn)行因子分解而直接計(jì)算 并不比對(duì) 進(jìn)行因子分解更容易。 ? 應(yīng)用： PEM， PGP )( MEKC Bp? ? ?CDKM Bs? RSA公鑰密碼算法（續(xù)） ? 算法的安全性分析 1. 如果密碼分析者能分解 的因子 和 ，他就可以 求出 和解密的密鑰 ，從而能破譯 RSA，因此破 譯 RSA不可能比因子分解難題更困難。 (4)解密變換 將密文 作變換 , 使 ，從而得到明文 。 (2)私鑰 求出正數(shù) 使其滿足 ，則將 作為私鑰。 ? 基礎(chǔ) 大數(shù)分解和素性檢測(cè) ——將兩個(gè)大素?cái)?shù)相乘在計(jì)算上很容易實(shí)現(xiàn)，但將該乘積分解為兩個(gè)大素?cái)?shù)因子的計(jì)算量是相當(dāng)巨大的，以至于在實(shí)際計(jì)算中是不能實(shí)現(xiàn)的。如果當(dāng)不知參數(shù) 時(shí)，計(jì)算 的逆函數(shù)是難解的，但當(dāng)知道參數(shù) 時(shí)，計(jì)算函數(shù) 的逆函數(shù)是容易的，則稱 是一個(gè)單向陷門函數(shù)，參數(shù) 稱為陷門。 f xy ? ?xfy ?x ? ?yfx 1??f f 基本概念（續(xù)） ? 定義 是一個(gè)函數(shù)， 是與 有關(guān)的一個(gè)參數(shù)。但其逆向計(jì)算卻很困難，從而在實(shí)際上成為不可行。選擇某種算法（可以公開）能做到：用公鑰加密的數(shù)據(jù)只有使用與該公鑰配對(duì)的私鑰才能解密。 ? 通信的一方利用某種數(shù)學(xué)方法可以產(chǎn)生一個(gè) 密鑰對(duì) ，一個(gè)稱為 公鑰 （ Publickey)，另外一個(gè)稱為 私鑰（ Privatekey)。 ? ? ? ? ? ?xdybxa ?????? ?dba , 2/1?LP 2/1?L 分組密碼的工作模式 ? 常用的分組密碼工作模式有 4種： ECB模式 （ CBC）模式 （ CFB）模式 （ OFB）模式。對(duì)給定的密碼算法， 使 極大化。 對(duì)已知明文密文和特定密鑰，尋求線性表示式 式中， 是攻擊參數(shù)。 幾種常見的攻擊方法（續(xù)） 本質(zhì)： 一種已知明文攻擊方法。 ???? XXX? ? ?139。 X39。隨著分析的 密文對(duì)越來越多，其中最可能的一個(gè)密鑰就顯現(xiàn)出來 了。 幾種常見的攻擊方法（續(xù)） 基本思想 通過分析明文對(duì)的差值對(duì)密文對(duì)的差值的影響來恢復(fù)某 些密鑰比特 若給定一個(gè) r輪的迭代密碼，對(duì)已知 n長明文對(duì)為 和 ，定義其差分為 式中 表示集合中定義的群運(yùn)算， 為 在群中的逆元。 幾種常見的攻擊方法 強(qiáng)力攻擊可用于任何分組密碼，且攻擊的復(fù)雜度 只依賴于分組長度和密鑰長度，嚴(yán)格地講攻擊所 需的時(shí)間復(fù)雜度依賴于分組密碼的工作效率（包 括加解密速度、密鑰擴(kuò)散速度以及存儲(chǔ)空間 等）。 ? 對(duì)某一攻擊通常是以這兩個(gè)方面的某一方面為主要因素，來刻畫攻擊復(fù)雜度 。 ? 數(shù)據(jù)復(fù)雜度是實(shí)施該攻擊所需輸入的數(shù)據(jù)量。 ? 選擇密文攻擊： 攻擊者能獲得當(dāng)前密鑰下的一些特定的密文所對(duì) 應(yīng)的明文。 ? 已知明文攻擊： 攻擊者僅知道當(dāng)前密鑰下的一些明密文對(duì)。 ? 共同點(diǎn) “解密（脫密）”和“密碼分析（密碼破譯）”都是設(shè)法將 密文還原成明文。)( 23 ExxDxBx ???? ? 解密與密碼分析 ? 解密是加密的逆過程，是指掌握密鑰和密碼算法的合法人員從密文 恢復(fù)出明文的過程。39。39。39。 ? 列混合變換的逆類似于列混合變換，狀態(tài)的每一列都乘以一個(gè)固定的多項(xiàng)式 ： 321 , CNbCNbCNb ??? NbCNbj i mod)( ??)(xd 39。],[(][ 48 ???? xxGFiRCiRco n ]/[))((1 NkiRconwRotateByteSubww iNkii?????? ???4mod ?Nki )(1????? ??iNkii wByteSubw 1)1(1 ????????iNbiNbiNb ??j ? Rijndael解密 ? 算法結(jié)構(gòu)與加密算法相同，其中的變換為加密算法變換的逆變換，且使用了一個(gè)稍有改變的密鑰編制 ? 行移變換的逆是狀態(tài)的后三行分別移動(dòng) 個(gè)字節(jié)，這樣在 i行 j 處的字節(jié)移到 處。,39。,39。第 i個(gè)子密鑰就是 6?Nk 1,1,0 ?? Nki ???? ? ii kw 1)1( ???? NrNbiNk 0mod ?Nki 4mod ?Nki ? ???? ?? 1iNkii 0mod ?Nki )2(][ 81 GFxiRC i ?? ? )1/(])[2()39。],[(][ 48 ???? xxGFiRCiRco n ]/[))((1 NkiRconwRotateByteSubww iNkii?????? ?? ? 對(duì)于 當(dāng) 時(shí)，定義 。,39。,39。 6?Nk 1,1,0 ?? Nki ???? ? ii kw 1)1( ???? NrNbiNk 0mod ?Nki ????? ?? 1iNkii 0mod ?Nki )2(][ 81 GFxiRC i ?? ? )1/(])[2()39。 110 ????Nkkkk ?6?Nk 6?Nk ? 主密鑰的擴(kuò)展 對(duì)于 當(dāng) 時(shí)，定義 。0(39。,39。,39。)39。39。39。39。 23 ?????? xxxc )1/(])[2( 48 ?xxGF?c 14 ?x ?c 39。,39。,39。,39。)39。39。39。39。 ? 注意，因?yàn)? 與 互素，所以 有可逆元 ??? ?? caaMixColumnjj )(?ja )1/(])[2( 48 ?xxGF 39。 )2(8GF 1)( 248 ????? xxxxxm ???????????????????????????????????????????????????????011000111111100001111100001111100001111110001111110001111110001111110001)(1, jijiaaByteSu b 其中 是 在 中的乘法逆，記作 ： ? 注 2：行移變換 ? 在此變換的作用下，數(shù)據(jù)塊的第 0行保持不變，第 1行循環(huán)左移位，第 2行循環(huán)左移位，第 3行循環(huán)左移位，其中移位值和與加密塊長 Nb有關(guān)。 ? 首先，把每個(gè)字節(jié)看作一個(gè)系數(shù)在 {0,1}上的多項(xiàng)式，在有限域 中取它相對(duì)于模多項(xiàng)式 的乘法逆，其中，零多項(xiàng)式的乘法逆映射到自身。例如， Nk＝ 6的密鑰可以記為以下的形式： ? 算法輪數(shù) Nr由 Nb和 Nk共同決定，具體值見下表 ? Nr Nb=4 Nb=6 Nb＝ 8 Nk＝ 4 10 12 14 Nk＝ 6 12 12 14 Nk＝ 8 14 14 14 Rijndael算法加密過程 字節(jié)代換 行移變換 列變換 列變換 行移變換 字節(jié)代換 行移變換 字節(jié)代換 子密鑰 （ 0） 子密鑰 （ 1） 最后一輪 第 Nr1輪 明文塊 密文塊 第一輪 子密鑰（ Nr） 子密鑰（ Nr1） Rijndael算法加密過程（續(xù)） ? 注 1：字節(jié)代換（ ByteSub）是作用在字節(jié)上的一種非線性字節(jié)變換。這樣數(shù)據(jù)塊就可以記為以下的形式： ? 其中，每列表示一個(gè)字 ? 每個(gè) 表示一個(gè) 8比特的字節(jié)，即 ),( ,3,2,1,0 jjjjj aaaaa ?