【正文】 附件 加密 消息 附件 解密 消息 Hash函數(shù) 實際要的摘要 所期望 的摘要 如果二者 一樣，則 通過簽名 驗證 傳輸?shù)南? 發(fā)送者 接受者 私鑰 為了提高數(shù)字簽名方案的有效性，一般在簽名前使用Hash函數(shù)先對要簽的消息進行摘要。 2023/4/1 35 數(shù)字簽名 ? 數(shù)字簽名是一段附加數(shù)據(jù)或者是數(shù)據(jù)單元的密碼變換結(jié)果，主要用于證實消息的真實來源 ? 可以使用基于對稱密碼體制的方法來實現(xiàn)數(shù)字簽名，但必須引入可信的第三方 ? 公鑰密碼體制可提供功能更強大的數(shù)字簽名方案，無需接收者秘密保存驗證密鑰。盡管它比MD5的速度要慢 25％，但它更加安全。它可以根據(jù)任意長度的字串生成 160位的 HASH值。通常消息摘要的長度是 128比特。這種過程是單向的，因為無法通過返同的摘要中產(chǎn)生原始信息，而且兩條不同的信息擁有相同 HASH值的概率非常小。 2023/4/1 33 MD2/MD4/MD5算法 ? MD2,MD4和 MD5是一組基于單向 HASH函數(shù)的算法。 ? 完整性檢驗也被稱為消息認證，所產(chǎn)生的附件被稱為完整性校驗值、消息認證碼 (MAC)或消息完整性碼(MIC)。消息的接收者在將消息作為真實消息接收之前，檢查接收到的消息內(nèi)容和附件是否是一致的。 ? 近年來，橢圓曲線作為公開密碼體制的基礎(chǔ)，已引起了通信保密領(lǐng)域內(nèi)的廣泛關(guān)注，成為國內(nèi)外研究和應(yīng)用的熱點。 ? 應(yīng)用范圍是對速度要求不高的加密環(huán)境、數(shù)字簽名、密鑰管理和認證等領(lǐng)域 2023/4/1 30 橢圓曲線密碼 ? 1985年 N. Koblitz和 V. Miller分別獨立提出了橢圓曲線密碼體制 (ECC)，其依據(jù)就是定義在橢圓曲線點群上的離散對數(shù)問題的難解性。人們建議使用模長為 1024比特以上的模。隨著設(shè)備的價格的降低和計算能力的提高， RSA體制的模 n必將隨之增大。 ? 實踐告訴我們，尋找大素數(shù)是相對容易的，而分解兩個大素數(shù)的積是計算上不可行的。 2023/4/1 28 RSA體制 ? 迄今為止最流行的公鑰算法是 RSA，由 Ronald L. Rivest、 Adi Shamir 和 Leonard M. Adleman創(chuàng)立。 ? 根據(jù)所基于的數(shù)學難題來分類，有以下三類系統(tǒng)目前被國際公認為是安全和有效的。 2023/4/1 26 A 加密 B 解密 B的公鑰 B的私鑰 明文 密文 明文 （ a） 加密模型 A 解密 B 加密 A的私鑰 A的公鑰 明文 明文 密文 （ b） 認證模型 公鑰密碼體制模型 2023/4/1 27 公鑰密碼體制的數(shù)學基礎(chǔ) ? 公鑰密碼體制的安全性基于復雜的數(shù)學難題。 ? 非對稱算法是這樣設(shè)計的：用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計算出來（至少在合理的假定時間內(nèi)）。 用分組密碼產(chǎn)生一個隨機密鑰流，將此密鑰流和明文流進行異或得到密文流。 先將明文流分成若干個 k比特的字符， 1≤k≤n,其中 n表示所用的分組密碼的分組長度。 2023/4/1 24 分組密碼的工作模式 ? 電碼本（ ECB）模式： ? 密碼分組鏈（ CBC） 模式： ? 密碼反饋（ CFB） 模式： ? 輸出反饋（ OFB） 模式： 直接使用基本的分組密碼的模式。 ? Rijndael 是一個迭代分組密碼。 2023/4/1 23 Rijndael算法 ? Rijndael算法在設(shè)計時考慮了 3個原則 ? 抵抗已知的密碼攻擊方法； ? 兼顧速度和代碼大小以適應(yīng)各種平臺的需求； ? 設(shè)計思想簡單。 ? AES的基本要求是比 TripleDES快而且至少與TripleDES一樣安全，分組長度為 128比特，密鑰長度為 128/192/256比特。一般建議使用 128位密鑰的 RC5算法并有 12到 16輪。 ? 還有一些典型的分析方法，比如相關(guān)密鑰分析方法、推廣的差分密碼和線性密碼分析方法、與智能卡實現(xiàn)有關(guān)的能量攻擊和定時攻擊方法等。 2023/4/1 20 DES算法的攻擊方法 ? 除了窮盡搜索之外，攻擊 DES主要有兩種方法： ? 差分密碼分析方法，計算量比窮盡搜索法要少得多，但需要 247個選擇明密文對。 2023/4/1 19 TripleDES ? DES的密鑰長度可通過使用多重加密算法來增加。 ? 1998年 7月 17日電子邊境基金會（ EFF） 使用一臺價值25萬美元的電腦在 56小時內(nèi)破解了 56比特的 DES。 美國克羅拉多州的程序員 Verser從 1997年 3月13日起，用了 96天的時間，在 Inter上數(shù)萬名志愿者的協(xié)同工作下，于 6月 17日成功地找到了 DES的密鑰。 DES已經(jīng)提出并使用了超過 25年，很多硬件和軟件都使用DES算法 ? DES的安全性主要依賴于 Sbox， Sbox是其唯一的非線性部分 ? 由于 DES是對稱加密算法，因此密鑰的傳播和管理是關(guān)鍵問題 2023/4/1 18 DES算法的缺陷 ? DES的密鑰長度（僅為 56比特）太短，不能抵抗窮盡密鑰搜索攻擊。DES算法的 16輪運算過程是相同的，但每一輪都使用不同的、從初始密鑰 K導出的 48比特密鑰 Ki， K是一個長度為 64的比特串，但實際上只有 56比特密鑰，其余 8個比特用于校驗。 ? DES和 TripleDES已經(jīng)成為許多公司和組織的加密標準。 2023/4/1 15 數(shù)據(jù)加密標準（ DES） ? 美國國家標準技術(shù)局 (NIST)在 1977年正式地采用了數(shù)據(jù)加密標準 DES，作為聯(lián)邦信息處理標準 FIPSPUB46。 ? 加密算法必需在算法內(nèi)將輸入位當作類似于密鑰的角色使用。 2023/4/1 14 雪崩效果 ? 我們希望密文輸出中的每個位不僅依賴于密鑰，而且依賴于明文輸入中的每個位。 Sbox實際上是一種函數(shù)，處理 N位輸入并產(chǎn)生 N位輸出，不是只在單個位上進行運算。在某些情況下，由于使用了不同的密鑰派生值或類似的值進行索引，各輪回略有不同，但子算法的要點通常是相同的。有時它們在過程的開始或結(jié)束部分有專門的運算，但是大多數(shù)工作或多或少地由相同的更簡單的子算法的重復迭代組成。 2023/4/1 10 對稱算法種類 ? 對稱算法可分為兩類： ? 一次只對明文中的單個比特（有時對字節(jié)）運算的算法稱為序列算法或序列密碼 ? 另一類算法是對明文的一組比特進行運算，這些比特組稱為分組，相應(yīng)的算法稱為分組算法或分組密碼。 2023/4/1 9 對稱加密的一般性范式 ? 每種現(xiàn)代對稱加密算法都在兩種基本運算中尋找工作方式：擴散（ diffusion）和替換（substitution）。只要通信需要保密，密鑰就必須保密。這些算法也叫秘密密鑰算法或單密鑰算法，它要求發(fā)送者和接收者在安全通信之前，商定一個密鑰。 E D M M C 2023/4/1 6 密碼體制 ? 加密過程： E（ M） = C ? 解密過程： D（ C） = M ? 先加密后再解密消息，原始的明文將恢復出來，下面的等式必須成立： ? D(E(M)) = M 2023/4/1 7 對稱密碼算法 ? 對稱算法有時又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推算出來，反過來也成立。 2023/4/1 5 密碼體制 ? 密碼體制是密碼技術(shù)中最為核心的一個概念。變明文為密文稱為加密變換，變密文為明文稱為脫密變換。安全技術(shù) 信息安全國家重點實驗室 連一峰 2023/4/1 1 內(nèi)容 ? 密碼技術(shù)及應(yīng)用 ? 安全協(xié)議 ? 訪問控制 ? 網(wǎng)絡(luò)安全 ? 系統(tǒng)安全 ? 應(yīng)用安全 2023/4/1 2 密碼學歷史 ? 人類有記載的通信密碼始于公元前 400年； ? 公元前一世紀古羅馬皇帝凱撒使用有序的單表替換密碼； ? 1881年世界上第一個電話保密專利出現(xiàn)； ? 第二次世界大戰(zhàn)期間德國軍方的“恩尼格瑪”密碼機被盟軍成功破譯； ? 太平洋戰(zhàn)爭中美軍破譯日本海軍的密碼機，在中途島徹底擊潰日本海軍，導致了太平洋戰(zhàn)爭的決定性轉(zhuǎn)折，不久還擊斃了日本司令官山本五十六。 2023/4/1 3 密碼學 ? 密碼學（ Cryptography）是研究編制密碼和破譯密碼的技術(shù)科學； ? 密碼學包括密碼編碼學和密碼分析學，兩者相互依存并相互支持； ? 密碼是通信雙方按約定的法則進行信息特殊變換的一種重要保密手段。 2023/4/1 4 密碼技術(shù) ? 密碼技術(shù)（例如加密技術(shù)和數(shù)字簽名技術(shù)）是實現(xiàn)所有安全服務(wù)的重要基礎(chǔ) ? 主要包括對稱密碼體制、公鑰密碼體制、完整性檢驗值或封裝（又稱消息認證碼）、數(shù)字簽名、密鑰管理、密鑰分配和公鑰證書等。密碼體制被定義為一對數(shù)據(jù)變換。在大多數(shù)對稱算法中，加 /解密密鑰是相同的。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進行加 /解密。 2023/4/1 8 對稱密碼的優(yōu)缺點 ? 對稱密碼的好處就是快速并且強健，這種特點允許加密大量的信息而只需要幾秒鐘； ? 對稱密碼的缺點是有關(guān)密鑰的傳播，所有的發(fā)送者和接收者都必須持有相同的密鑰，因此所有的用戶必須尋求一種安全的方法來共享密鑰。也就是說，密文的內(nèi)容用不同的位和字節(jié)代替了明文中的位和字節(jié)（替換），并在密文中將這些替換的位和字節(jié)移動到不同的地方（擴散）。 2023/4/1 11 異或運算 ? 加密算法中最廣泛使用也是最有用的運算之一是異或（ XOR） XOR(1, 1) ? 0 XOR(0, 0) ? 0 XOR(1, 0) ? 1 XOR(0, 1) ? 1 ? 異或算法的優(yōu)勢是轉(zhuǎn)換的不可預測性和無損性，關(guān)鍵在于加密位的保密性 ? 異或算法無法防范頻率分析 2023/4/1 12 子算法輪回 ? 許多現(xiàn)代對稱加密算法都是由多個相似的子算法 “輪回 ”組成的。每次輪回完全單獨執(zhí)行一點加密，但加密的程度通過對子算法的反復應(yīng)用，通常變得更加擴散。 2023/4/1 13 Sbox ? 對稱加密算法中子算法經(jīng)常使用 Sbox（ “S”代表 “替換 ”）。 ? Sbox的優(yōu)點是可以手工進行調(diào)整，使加密過程最大程度地非線性化，因為輸入和輸出的線性關(guān)系可能會使密碼分析工作變得更加容易。即使使用相同的密鑰加密，只有 1位不同的兩份明文仍將產(chǎn)生沒有可預料相似性的密文。每個輸入位以在整個密文內(nèi)擴散的方式來擔當這個類似于密鑰的角色。 ? 1981年， DES被美國商業(yè)組織所采納，作為美國國家標準數(shù)據(jù)加密算法，即 DEA。 2023/4/1 16 DES ? DES算法使用長度為 56比特的密鑰加密長度為64比特的明文，得到長度為 64比特的密文。 2023/4/1 17 DES算法 ? DES的優(yōu)點是快速并易于實施。 ? 1997年 1月 28日， RSA公司在 RSA安全年會上公布了一項密鑰挑戰(zhàn)競賽，懸賞 1萬美元破譯密鑰長度為 56比特的 DES。這一事件表明依靠 Inter的分布計算能力，用窮盡搜索方法破譯 DES已成為可能。1999年 1月 RSA數(shù)據(jù)安全會議期間，電子邊境基金會用22小時 15分鐘就宣告完成 RSA公司發(fā)起的 DES的第三次挑戰(zhàn)。 ? 三重 DES的工作過程如下： ? 先使用密鑰 a 對 64 比特的組加密，然后使用密鑰 b 對其加密結(jié)果解密，最后再使用密鑰 c 加密（有時也取 a=c），這樣算法的密鑰長度最長可以達到 168 bit。因此并沒有真正對 16輪 DES構(gòu)成威脅； ? 用線性密碼分析方法破譯 DES比差分密碼分析方法更有效，需要 243個明密文對。 2023/4/1 21 RC RC5算法 ? RC2是分組密碼，可以使用不同長度的密鑰，它的密鑰長度可以從零到無限大，并且加密的速度依賴于密鑰的長度 ? RC5類似于 RC2，采用不同的分組大小和密鑰長度。 2023/4/1 22 高級加密標準（ AES） ? 1997年 4月 15日， NIST發(fā)起征集高級加密標準（ AES）的活動，并專門成立了 AES工作組，目的是為了確定一個非密級的、全球免費使用的數(shù)據(jù)加密標準。 ? 2023年夏天，美國國家標準技術(shù)協(xié)會將Rijndael作為下一代對稱密碼算法的標準。 ? Rijndael 算法的原形是 Square算法，它的設(shè)計策略是寬軌跡策略 (Wide Trail Strategy)， 這種策略是針對差分分析和線性分析提出的。為滿足 AES的要求，限定明文分組長度為 128比特 ,密鑰長度為 128/192/256比特 ,相應(yīng)的輪數(shù)為 10/12/1