现代密码学(第六章)共94页
第6章 现代密码学课件
现代密码学PPT课件
信息安全所面临的威胁来自很多方面,并且随着时 间的变化而变化。这些威胁可以宏观地分为人为威 胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环 境、电磁辐射和电磁干扰、网络设备自然老化等。 这些事件有时会直接威胁信息的安全,影响信息的 存储媒质。
3. 完整性业务
和保密业务一样,完整性业务也能应用于消息流、 单个消息或一个消息的某一选定域。用于消息流的 完整性业务目的在于保证所接收的消息未经复制、 插入、篡改、重排或重放,即保证接收的消息和所 发出的消息完全一样;这种服务还能对已毁坏的数 据进行恢复,所以这种业务主要是针对对消息流的 篡改和业务拒绝的。应用于单个消息或一个消息某 一选定域的完整性业务仅用来防止对消息的篡改。
2. 认证业务
用于保证通信的真实性。在单向通信的情况下,认 证业务的功能是使接收者相信消息确实是由它自己 所声称的那个信源发出的。在双向通信的情况下, 例如计算机终端和主机的连接,在连接开始时,认 证服务则使通信双方都相信对方是真实的(即的确 是它所声称的实体);其次,认证业务还保证通信 双方的通信连接不能被第三方介入,以假冒其中的 一方而进行非授权的传输或接收。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。前 者是某个程序中的一段,不能独立于实际的应用程 序或系统程序;后者是能被操作系统调度和运行的 独立程序。来自图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
现代密码学
恶意程序
需主程序
不需主程序
陷门
逻辑 炸弹
特洛伊 木马
病毒
细菌
蠕虫
图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分 不能自我复制的一般是程序段, 类。不能自我复制的一般是程序段,这种程序段在 主程序被调用执行时就可激活。 主程序被调用执行时就可激活。能够自我复制的或 者是程序段(病毒)或者是独立的程序(蠕虫、 者是程序段(病毒)或者是独立的程序(蠕虫、细 菌等),当这种程序段或独立的程序被执行时, ),当这种程序段或独立的程序被执行时 菌等),当这种程序段或独立的程序被执行时,可 能复制一个或多个自己的副本, 能复制一个或多个自己的副本,以后这些副本可在 这一系统或其他系统中被激活。以上仅是大致分类, 这一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。 部分。
信息的安全威胁
自然威胁:自然灾害、恶劣的场地环境、电磁辐 射和电磁干扰、网络设备自然老化。 人为威胁(恶意的或无恶意的用户) 入侵网络的用户也称为黑客,黑客可能是某个无 恶意的人,或者是某个心怀不满的雇员,也可 能是一个犯罪分子。 恶意软件(病毒、蠕虫等恶意程序) 需要主程序,是某个程序中的一段,不能独立于 实际的应用程序或系统程序; 不需要主程序,能被操作系统调度和运行的独立程 序。
高等院校信息安全专业系列教材
杨波 主编
现代密码学
总 目 录
第1章 章 第2章 章 第3章 章 第4章 章 第5章 章 第6章 章 第7章 章 第8章 章 引言 流密码 分组密码体制 公钥密码 密钥分配与密钥管理 消息认证和杂凑算法 数字签字和密码协议 网络加密与认证
第1章 引言 章
1.1 信息安全面临的威胁 安全威胁 入侵者和病毒 安全业务 1.2 信息安全的模型 1.3 密码学基本概念 保密通信系统 密码体制分类 密码攻击概述 1.4 几种古典密码 单表代换密码 多表代换密码
现代密码学(第二版)重点概念整理
现代密码学(第⼆版)重点概念整理第⼀章1.被动攻击获取消息的真实内容进⾏业务流分析2.主动攻击中断、篡改、伪造3.安全业务1、保密业务:保护数据以防被动攻击。
2、认证业务:⽤于保证通信的真实性。
3、完整性业务:防⽌对消息流的篡改和业务拒绝。
4、不可否认业务:⽤于防⽌通信双⽅中的某⼀⽅对所传输消息的否认。
5、访问控制:访问控制的⽬的是防⽌对⽹络资源的⾮授权访问,控制的实现⽅式是认证,即检查欲访问某⼀资源的⽤户是否具有访问权。
4.安全通信需考虑加密算法⽤于加密的秘密信息秘密信息的分布与共享安全服务所需的协议5.信息安全可分为系统安全、数据安全、内容安全,密码技术是保障数据安全的关键技术。
6.密码体制从原理上分为单钥体制和双钥体制,单钥体制包括对明⽂消息按字符逐位加密的流密码和将明⽂消息分组加密的分组密码。
双钥特点是将加密和解密能⼒分开。
7.密码攻击类型唯密⽂攻击、已知明⽂攻击、选择明⽂攻击、选择密⽂攻击8.加密算法是⽆条件安全的,仅当密钥⾄少和明⽂⼀样长时,才能达到⽆条件安全9.多表代换密码的计算问题,课后习题3、4第⼆章1.流密码的概念:利⽤密钥k产⽣⼀个密钥流z=z0z1…,并使⽤如下规则对明⽂串x=x0x1x2…加密:y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…。
密钥流由密钥流发⽣器f产⽣:zi=f(k,σi),σi:加密器中的记忆元件(存储器)在时刻i的状态,f:由密钥k和σi产⽣的函数。
2.分组密码与流密码的区别: 有⽆记忆性3.密码设计者的最⼤愿望是设计出⼀个滚动密钥⽣成器,使得密钥经其扩展成的密钥流序列具有如下性质:极⼤的周期、良好的统计特性、抗线性分析、抗统计分析4.同步流密码的关键是密钥流产⽣器。
5.如果移位寄存器的反馈函数f(a1,a2,…,an)是a1,a2,…,an的线性函数,则称之为线性反馈移位寄存器LFSR(linear feedback shift register)。
现代密码学基础ppt课件
加密示例-按字符易位加密
7 4 5 1 2 8 3 6
原文
加密算法:密文的组合 规则,按密钥的字母顺 序
M E
P a e l n m
G
e s i
A
a f l
B
s e l
U
e r i
C
t o o
K
r n n
Please transfer one million dollars to Swiss Bank account six two two … …
2 经典加密技术
替代 置换 转换
2 加密方式概述
基本概念 不可破的密码体制:如果密文中没有足够的信息来唯一 地确定(推导)出对应的明文,则称这一密码体制是 无条件安全的或称为理论上不可破的。 密钥体制的安全性:指一个密码体制的密码不能被可以 使用的计算机资源破译。 关于古典加密法:1949年,C.E.Shannon论证了一般经典 加密法得到的密文几乎都是可破的,从而引起密码学 研究的危机。 DES(Data Encryption Standard)和公开密钥体制(Public Key Crypt-system):60年代以后出现,成为近代密码 学发展史上的两个重要的里程碑。
我国古代的密码学
从古到今,加密技术在各种战争和商战中应用频繁。 中国古代有一种叫“符”的东西,是把一块竹劈成两 片,双方各执一片,在需要时拼合对证,这也是“符 合”这个词的由来。细细品味,发现“符”与现代的 “公共密钥”加解密技术竟有异曲同工之妙。 该技术使用成对的“公共密钥”和“私有密钥”, 双方各执一个,互不相知,但却可以进行非常有效的 加密认证。
例:如果明文m为“important”,则密文C则为 “RNKLIGZMZ”。
现代密码学
摘要数字签名是现代密码学的主要研究课题之一,它是实现认证的重要工具,保证了数据的可靠性。
数字签名在金融、商业、军事等领域,尤其是在电子支票、电子邮件、电子贸易、电子购物、数据交换、电子出版以及知识产权保护等方面有着重要作用。
近些年来随着对数字签名的不断深入研究,产生了许多特殊的数字签名,例如盲签名、群签名、代理签名、多重签名、前向安全签名。
正是由于特殊数字签名具有的独特功能和实际用途,在一些特殊行业有广泛应用,特别是在数据完整性检验、身份证明、身份鉴别和防否认等方面功能独特。
关键词:盲签名1 盲签名的研究现状盲签名是一种特殊的数字签名,其特殊性体现在签名者并不知道签署的内容,即便签名者知道了签名与消息对,也无法将它们联系起来。
因此,盲签名技术应用广泛,尤其是电子投票和电子货币系统等。
盲签名的概念首先被David Chaum提出来,Chaum给出了一个基于RSA的盲签名方案,此后人们分别基于因子分解问题、离散对数问题、二次剩余问题等提出各种盲签名方案。
1992年,Okamoto基于Schnorr签名体制提出了第一个基于离散对数问题的盲签名方案[2]。
1994年,Camenisch等提出了基于离散对数的两个离散方案。
第一个方案是由DSA变形得出,第二个方案建立在Nyberg-Ruep pel签名体制之上。
1996年,Fan等基于二次剩余方根的难解性提出了一个盲签名方案,之后两年,Fan又提出一个部分盲签名方案,可以减少电子现金系统的计算量。
同年再次提出可以增强计算效率的一个盲签名方案。
2000年,姚亦峰等以Harn和Xu提出的十八种安全广义ElGamal型数字签名方案为基础,利用二元仿射变换,通过分析得到其中十二种方案是强盲签名方案。
2001年,Ch-ien 等根据RSA公钥密码系统提出一个部分盲签名方案,它能减少数据库的大小以及避免电子现金的重复花费。
2002年,黄少寅等基于Schnorr体制提出了一个必须经过多人同时盲签名才可生效的新方案,可以方便应用在电子现金需银行多个部门同时进行盲签名才可生效的情形中。
现代密码学概述
M m
c = E k1 ( m )
c = Ek1 (m)
D k2 (c ) = m
C c
Dk 2 (c) = m
10
1.1 信息系统安全与密码技术
对信息安全的威胁或攻击: 对信息安全的威胁或攻击 对信息属性的侵害 属于人为故意的威胁或攻击中,窃取、破译是对机 属于人为故意的威胁或攻击中,窃取、破译是对机 密性的侵害 篡改是对完整性的侵害 篡改是对完整性的侵害 伪造、重放是对认证性的侵害 伪造、重放是对认证性的侵害 干扰、占用、 干扰、占用、资源耗尽以至摧毁信息处理器或载体 是对可用性的侵害 在电子媒体商品的网上交易中,获得商品后不按时 在电子媒体商品的网上交易中, 付款或者收取货款后不按时提供商品, 付款或者收取货款后不按时提供商品,是对公平性 的侵害
3
1.1 信息系统安全与密码技术
信息时代 农业革命⇒ 业革命⇒信息革命 农业革命⇒工业革命⇒信息革命 20世纪 年代美国 世纪80年代美国 第三次浪潮》 世纪 年代美国Toffler A. 著《第三次浪潮》, 预言: 预言: 计算机网络的建立与普及将彻底改变人类的生存和 生活模式 信息、资源、 信息、资源、能源是人类生存的三大支柱
插入、删除、 插入、删除、篡改 信道干扰 摧毁系统硬件
可用性
扰乱以至摧毁系统软件 用户恶意占用 业务拒绝
认证性 公平性
发送方身份假冒, 发送方身份假冒,接收抵赖 破坏收发审计记录 非对等的密钥协商 利用非公平交易协议获取利益 破坏“密钥托管” 阻止“匿名撤消” 破坏“密钥托管”,阻止“匿名撤消”
现代密码学(第六章)密码技术应用
h(x) a0 a1 x a2 x 2 (mod 17)
2019/11/6
14
二、不经意传输
“不经意传输协议”的特性
(不经意传输协议;Oblivious Transfer;OT)
设Alice欲告诉Bob 某个秘密。 Alice使用一个“不经 意传输协议”将此秘密发送给Bob。则发送/接收 过程就具有以下的性质。
2019/11/6
3
一、秘密共享
例:一个最简单的秘密共享方案
设保险柜有三把锁,分别编号为①、②、③。
张三拥有①、②号锁的钥匙。
李四拥有①、③号锁的钥匙。
王五拥有②、③号锁的钥匙。
三个人中,任何两个以上的人同时到场均可以打开保险 柜;任何一个以下的人到场均打不开保险柜。
此处,一个秘密指的是“①、②、③号锁的钥匙”; n=3(个人);门限值t=2 (个人)。
2019/11/6
16
二、不经意传输
(2)发送/接收过程完结时, Alice无法确知Bob是 否得到了秘密。
换句话说,在发/收过程结束后, Alice仍然仅仅知道: Bob得到秘密和未得到秘密的可能性各占1/2。除 此之外, Alice得不到任何新的消息。
2019/11/6
17
二、不经意传输
不经意传输的应用实例
当任何t-1个人以下同时到场,每个人交出自己的身 份名(ID(k),h(ID(k))),则获得了关于未知系数 的t元一次方程组,有t-1个以下方程,因此无法唯 一地确定h(x)。
2019/11/6
10
一、秘密共享
在Shamir秘密共享方案中 检测“欺骗者”
设有t+1个以上参与者同时到场。其中有一个参与者 是“欺骗者”Eve,他出示的是身份名(ID(k), h(ID(k)))是假的。
现代密码学
第一讲 现代密码学概论
现代密码学的里程碑事件
1. 1976年, Diffie和Hellman提出了适应网 络上保密通信的公钥密码思想,以及不 久之后的RSA公钥密码算法,奠定了公 钥密码学的基础。 2. 1977年,美国国家标准局正式公布实施 美国的数据加密标准 (DES) 公开它的加 密算法,并批准用于非机密单位及商业 上的保密通信。
x
f(x)
Hard
4 现代密码学的基本概念和技术
4.1 单向函数和陷门单向函数 单向函数 定义 1 一个定义域为X值域为Y的函数 y=f(x)称之为单向函数:如果对于所有x X 计算 f(x) 都是“容易的”,而对于 “基本上所有 yY” 发现任意一个 xX 满足f(x)=y都是“计算不可能的”。
Easy
不可否认问题。这一问题的提出是为了阻 止实体否认从前的承诺或行为。争议的发 生常常是由于实体否认从前的某个行为。 例如,一个实体与另一个实体签署了购买 合同,但事后又否认签署过,这时常常需 要一个可信第三方来解决争议。这就需要 提供必要的手段来解决争议。在密码学中, 解决这一问题的手段常常是数字签名。
2.3 公钥密码体制
分析者 Eve
加密器 EK (m)=c
1
c
公共信道
解密器 DK (c)= m
2
m
m
明文消 息源 Alice
目的地
Bob
# 加密密钥与解密密钥不同:K1K2 代表系统:RSA和ElGamal
2.4 密码体制的演进及目前的状态
古典密码 安全依赖于保密加密方法
私钥密码
安全依赖于保密密钥
1.1.3 分析者的目的 解读公共信道上的密文消息。 (被动) 确定密钥以解读所有用该密钥加密的密文消息。 (被动) 变更密文消息已使接受者(Bob)认为变更消息来自发送者(Alice)。 (主动) 冒充密文消息发送者(Alice)与接收者(Bob)通信,以使接受者(Bob) 相信消息来自真实的发送者(Alice)。(主动)
现代密码学 (6)
2011-4-12
7
密码分组链接CBC模式 模式 密码分组链接
64 bit存储 k DES yi
64 bit存储 k
y i-1
xi
+
yi CBC模式 模式
DES-1
+
x’
2011-4-12
8
填充(Padding) 填充
给定加密消息的长度是随机的, 分组时, 给定加密消息的长度是随机的,按64 bit分组时, 分组时 最后一组消息长度可能不足64 bit。可以填充一 最后一组消息长度可能不足 。 些数字,通常用最后1字节作为填充指示符 ( PI ) 。 它所表示的十进制数字就是填充占有 的字节数。 数据尾部、 填充字符和填充指示符 的字节数 。 数据尾部 、 一起作为一组进行加密。 一起作为一组进行加密。
2011-4-12 3
电码本ECB模式 模式 电码本
直接利用加密算法分别对分组数据组加密。 直接利用加密算法分别对分组数据组加密 。 在给定的密钥下同一明文组总产生同样的 密文组。 密文组 。 这会暴露明文数据的格式和统计 特征。 特征。
明文数据都有固定的格式, 明文数据都有固定的格式,需要以协议的形式定 义,重要的数据常常在同一位置上出现,使密码 重要的数据常常在同一位置上出现, 分析者可以对其进行统计分析、重传和代换攻击。 分析者可以对其进行统计分析、重传和代换攻击。
2011-4-12
10
k-比特密码反馈 比特密码反馈CFB模式 比特密码反馈 模式
若待加密消息必须按字符(如电传电报 或按比特处 若待加密消息必须按字符 如电传电报)或按比特处 如电传电报 理时,可采用CFB模式。 模式。 理时,可采用 模式 CFB实际上是将加密算法 实际上是将加密算法DES作为一个密钥流产 实际上是将加密算法 作为一个密钥流产 生器, k=1时就退化为前面讨论的流密码了 时就退化为前面讨论的流密码了。 生器,当k=1时就退化为前面讨论的流密码了。 CFB与CBC的区别是反馈的密文长度为 ,且不是 与 的区别是反馈的密文长度为k, 的区别是反馈的密文长度为 直接与明文相加,而是反馈至密钥产生器。 直接与明文相加,而是反馈至密钥产生器。
现代密码学 第6章PPT课件
ρ2(i)=(1+5i) mod 16
ρ3(i)=(5+3i) mod 16
ρ4(i)=7i mod 16
2020/12/4
32
6.3.3 MD5的安全性
目前对MD5的攻击已取得以下结果: ① 对单轮MD5使用差分密码分析,可在合理的时间内 找出具有相同杂凑值的两个消息。但这种攻击还未能 成功地推广到4轮MD5。 ② 可找出一个消息分组和两个相关的链接变量(即缓
④ 以分组为单位对消息进行处理每一分组Yq(q=0,…,L-1) 都经一压缩函数HMD5处理。HMD5是算法的核心,其中又有 4轮处理过程,如图6.6所示。
⑤ 输出消息的L个分组都被处理完后,最后一个HMD5的输 出即为产生的消息摘要。
2020/12/4
26
图6.6 MD5的分组处理框图
2020/12/4
第4轮的输出再与第1轮的输入CVq相加,相加时 将CVq看作4个32比特的字,每个字与第4轮输出 的对应的字按模232相加,相加的结果即为压缩函 数HMD5的输出。(见175页表6.1)
2020/12/4
28
步骤③到步骤⑤的处理过程可总结如下:
CV0=IV;
CVq+1=CVq+RFI[Yq,RFH[Yq,RFG[Yq,RFF[Yq,CVq]]]]
k>n,(2k-n个)可产生相同的MAC,敌手无法确定,还需 要在这2k-n个密钥中继续试验。 对消息认证码的穷举攻击代价大于攻击加密算法。 敌手有可能不直接攻击密钥,而伪造能够通过检验的 MAC和M。
2020/12/4
7
产生MAC函数应满足的要求
假定敌手知道函数C,不知道K
如果敌手得到M和CK(M),则构造一满足 CK(M’)= CK(M)的新消息在计算上不可行
现代密码学第六章
如果p-1不含大素因子,很多情况下也是容易计算的,这时x=x mod p-1, 如果都是小因子,则可分别求出模小因子,再用CRT定理。
3/
(RSA)
第六章 公钥密码和离散对数
ElGamal密码体制与DH密钥交换
6.2 两个基本公钥密码体制
6.2.1 ElGamal密码体制
1. 密钥产生
(a,bGF(p),4a3+27b2(mod p)≠0)
因为=(a/3)3+(b/2)2=(4a3+27b2)/108是方程x3+ax+b=0的判别式,当 4a3+27b2 =0时方程有重根,设为x0,则点Q0=(x0,0)是方程(4-2)的重根 即x3+ax+b=(x-x0)3或者=(x-x0)2(x-x1),重根将使得一阶导数3x2+a在该 Q0点为0 令F(x,y)=y2-x3-ax-b,则F/x|Q0=F/y|Q0=0 所以dy/dx=-(F/x)/(F/y)=(3x2+a)/2y在Q0点无定义,即曲线 y2≡x3+ax+b在Q0点的切线无定义,因此点Q0的倍点运算无定义
算法的安全性基于求离散对数的困难性
假设p是大素数,g是p的本原根,p和g作为公开元素,协议如下: ① 用户Alice选择随机数x,计算a=gx mod p,保密x,发送a给Bob ② 用户Bob选择随机数y,计算b=gy mod p,保密y,发送b给Alice ③ Bob和Alice各自计算 k=bx mod p和k=ay mod p, 从而得到共享密钥k 这是因为k=bx mod p=(gy)xmod p=(gx)ymod p=ay mod p
杨波, 《现代密码学(第2版)》06-1
图6.1 MAC的基本使用方式
如果仅收发双方知道K,且B计算得到的MAC 与接收到的MAC一致,则这一系统就实现了以下 功能: ① 接收方相信发送方发来的消息未被篡改,这是 因为攻击者不知道密钥,所以不能够在篡改消息后 相应地篡改MAC,而如果仅篡改消息,则接收方 计算的新MAC将与收到的MAC不同。 ② 接收方相信发送方不是冒充的,这是因为除收 发双方外再无其他人知道密钥,因此其他人不可能 对自己发送的消息计算出正确的MAC。
第1轮 已知M1、MAC1,其中MAC1=CK(M1)。对 所有2k个可能的密钥计算MACi=CKi(M1),得2k-n个 可能的密钥。 第2轮 已知M2、MAC2,其中MAC2=CK(M2)。对 上一轮得到的2k-n个可能的密钥计算MACi=CKi(M2), 得2k-2×n个可能的密钥。
如此下去,如果k=αn,则上述攻击方式平均需要α 轮。例如,密钥长为80比特,MAC长为32比特, 则第1轮将产生大约248个可能密钥,第2轮将产生 216个可能的密钥,第3轮即可找出正确的密钥。
⑤ 已知x,找出y(y≠x)使得H(y)=H(x)在计算上是不 可行的。称满足这一性质的杂凑函数为弱单向杂凑 函数。 ⑥ 找出任意两个不同的输入x、y,使得H(y)=H(x) 在计算上是不可行的。称满足这一性质的杂凑函数 为强单向杂凑函数。
第⑤和第⑥个条件给出了杂凑函数无碰撞性的概念, 如果杂凑函数对不同的输入可产生相同的输出,则 称该函数具有碰撞性。
杂凑函数的目的是为需认证的数据产生一个“指 纹”。为了能够实现对数据的认证,杂凑函数应满 足以下条件: ① 函数的输入可以是任意长。 ② 函数的输出是固定长。 ③ 已知x,求H(x)较为容易,可用硬件或软件实现。 ④ 已知h,求使得H(x)=h的x在计算上是不可行的, 即满足单向性,称H(x)为单向杂凑函数。
现代密码学知识点整理:.
第一章 基本概念1. 密钥体制组成部分:明文空间,密文空间,密钥空间,加密算法,解密算法 2、一个好密钥体制至少应满足的两个条件:(1)已知明文和加密密钥计算密文容易;在已知密文和解密密钥计算明文容易; (2)在不知解密密钥的情况下,不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法: (1)穷举攻击 (解决方法:增大密钥量)(2)统计分析攻击(解决方法:使明文的统计特性与密文的统计特性不一样) (3)解密变换攻击(解决方法:选用足够复杂的加密算法) 4、四种常见攻击(1)唯密文攻击:仅知道一些密文(2)已知明文攻击:知道一些密文和相应的明文(3)选择明文攻击:密码分析者可以选择一些明文并得到相应的密文 (4)选择密文攻击:密码分析者可以选择一些密文,并得到相应的明文【注:①以上攻击都建立在已知算法的基础之上;②以上攻击器攻击强度依次增加;③密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码(一)单表古典密码1、定义:明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数,}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q(1)加法密码 ①加密算法:κκ∈∈===k X m Z Z Y X q q ;,;对任意,密文为:q k m m E c k m od )()(+== ②密钥量:q (2)乘法密码 ①加密算法:κκ∈∈===k X m Z Z Y X q q ;,;*对任意,密文为:q km m E c k m od )(== ②解密算法:q c k c D m k mod )(1-==③密钥量:)(q ϕ (3)仿射密码 ①加密算法:κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意;密文q m k k m E c k m od )()(21+==②解密算法:q k c k c D m k mod )()(112-==-③密钥量:)(q q ϕ (4)置换密码 ①加密算法:κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为,密文)()(m m E c k σ==②密钥量:!q③仿射密码是置换密码的特例 3.几种典型的单表古典密码体制 (1)Caeser 体制:密钥k=3 (2)标准字头密码体制: 4.单表古典密码的统计分析(1)26个英文字母出现的频率如下:频率 约为0.120.06到0.09之间 约为0.04 约0.015到0.028之间 小于0.01 字母et,a,o,i.n,s,h,rd,lc,u,m,w,f,g ,y,p,bv,k,j,x,q,z【注:出现频率最高的双字母:th ;出现频率最高的三字母:the 】 (二)多表古典密码1.定义:明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算 (1)简单加法密码 ①加密算法:κκ∈=∈====),...,(,),...,(,,11n n n nq n q n n k k k X m m m Z Z Y X 对任意设,密文:),...,()(11n n k k m k m m E c ++==②密钥量:nq (2)简单乘法密码 ①密钥量:n q )(ϕ 1.简单仿射密码①密钥量:n n q q )(ϕ2.简单置换密码 ①密钥量:nq )!( (3)换位密码 ①密钥量:!n(4)广义置换密码①密钥量:)!(nq(5)广义仿射密码 ①密钥量:n n r q3.几种典型的多表古典密码体制 (1)Playfair 体制: ①密钥为一个5X5的矩阵②加密步骤:a.在适当位置闯入一些特定字母,譬如q,使得明文字母串的长度为偶数,并且将明文字母串按两个字母一组进行分组,每组中的两个字母不同。
现代密码学-第6章数字签名
任给消息x M , 如果 y sig K ( x) C , 则将数据对(x,y)称为消息x的一个数字签名,或 直接把y称为消息x的数字签名
7
5.6.1 数字签名的基本概念
数字签名基本要求 对每一个密钥K, sigK和verK应该是多项式时间函数 verK是公开的函数, 而sigK是保密的 给定一个消息x, 除了发送者本人以外, 任何其他人找到满 足verK(x,y)为真的数字签名y,应该是计算上不可行的 如果攻击者能够找到满足verK(x,y)的数据对(x,y),而发送者 事先又没有对x签名,则称y是伪造(forgery)的数字签名。 数字签名算法必须满足的条件 签名者事后不能否认自己的签名; 其他人不能伪造签名; 当通信双方为签名真伪发生争执时, 可以由第三方解决 争端
假设签名者A采用先加密后签名的方案把消息x发送给接收 者B ,则他先用B的公开密钥eB对x加密, 然后用自己的私钥 dA签名.设A的模数为nA,B的模数为nB.于是A发送给B的数据 为: ( x eB mod nB ) d A mod nA .
如果B是不诚实的,那么B可能伪造A的签名.例如,假设B想 抵赖收到A发的消息x, 慌称收到的是x1.因为nB是B的模数, 所以B知道nB的分解,于是能够计算模nB的离散对数.即他能 找到k满足: ( x1 ) k x mod nB .
20
5.7.1 RSA算法描述
2.签名算法 设消息为x,则x的RAS签名是
y =x mod n.
3.验证算法 当接收方收到签名(x,y)后,计算
d
x , y e mod n.
如果x= x’,则y是x的RAS签名。
21
5.7.2 RSA数字签名的安全性
1.一般攻击 攻击方法: 设n与e为用户A的公钥,攻击者首先随意 选择一个数据y,并用A的公钥计算
第六章 加密技术
• 随着网络技术的发展, 随着网络技术的发展, 用户之间交流大多数 通过网络进行, 通过网络进行,一个 主要的危险就是所传 送的数据被非法窃听。 送的数据被非法窃听。
• 数据加密技术是保证信息安全的重要手 段之一, 段之一,它不仅具有对信息进行加密的 功能,而且还具有数字签名、身份验证、 功能,而且还具有数字签名、身份验证、 秘密分存、系统安全等功能。 秘密分存、系统安全等功能。保证了信 息的安全性、完整性、正确性。 息的安全性、完整性、正确性。
称为这种密码技术是将字母按照字母这种密码技术是将字母按照字母这种密码技术是将字母按照字母这种密码技术是将字母按照字母表顺序排列并将最后一个和第表顺序排列并将最后一个和第一个字母相连构成一个字母表顺一个字母相连构成一个字母表顺序明文中的每个字母用序明文中的每个字母用它后面的第三个字母的第三个字母来替代构成密文
列 行 A B C D E F G H I J K L M
ABCDEFGHIJKLMNOPQRSTUVWXYZ ABCDEFGHIJKLMNOPQRSTUVWXYZ BCDEFGHIJKLMNOPQRSTUVWXYZA CDEFGHIJKLMNOPQRSTUVWXYZAB DEFGHIJKLMNOPQRSTUVWXYZABC EFGHIJKLMNOPQRSTUVWXYZABCD FGHIJKLMNOPQRSTUVWXYZABCDE GHIJKLMNOPQRSTUVWXYZABCDEF HIJKLMNOPQRSTUVWXYZABCDEFG IJKLMNOPQRSTUVWXYZABCDEFGH JKLMNOPQRSTUVWXYZABCDEFGHI KLMNOPQRSTUVWXYZABCDEFGHIJ LMNOPQRSTUVWXYZABCDEFGHIJK MNOPQRSTUVWXYZABCDEFGHIJKL
精品课件-现代密码学(杨晓元)第6章
第6章 公钥密码体制
1. 多重数字签名方案及其分类 在网络通信中,有时要求多个用户对同一消息进行签名与认 证(如几位领导或当事人签署同一份文件)。能够实现这种多个协 议方对同一消息进行签名的数字签名协议就称为多重数字签名 (Digital Multisignature)。根据签名协议过程的不同,多重数 字签名又可以分为有序多重数字签名 (Sequential Multisignature)与广播多重数字签名(Broadcasting Multisignature)。 1) 有序多重数字签名 有序多重数字签名协议过程如图6-1所示。
y=gx mod p,将p、g、y公开,x保密。 加密时,假设明文被编码为整数m,加密者随机选择整数k,
满足gcd(k,p-1)=1,再计算 c1=gk mod p c2=myk mod p
则密文为c=(c1,c2)。 接收方收到密文组(c1,c2)后,进行如下的解密运算:
c2 (c1x )1 myk (gkx )1 mgkx (gkx )1 mmod p
第6章 公钥密码体制
Alice收到密文后,利用秘密密钥d,计算: d(x1,y1)=dkP=k(dP)=kQ=(x2,y2)
再计算 cx21 m ,得到明文m。
这里Q=dP是公开的,若破译者能够解决椭圆曲线上的离 散对数问题,就能从dP中恢复d,完成解密[21]。
第6章 公钥密码体制
6.2.3 基于椭圆曲线公钥密码体制的密码协议 计算机网络技术正以前所未有的速度渗入到我们工作生活的
第6章 公钥密码体制
6.2 椭圆曲线密码 6.2.1 椭圆曲线(Elliptic Curve)
椭圆曲线的图像轨迹并不是椭圆,而是一个平面上的三次曲 线,是人们在研究如何计算椭圆的弧长时发现的问题。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
设Eve与某t-1个诚实的参与者组合在一起,计算出h(x) 的系数向量是{a0’, a1’, a2’, …, at-2’, at-1’}。
设Eve与另外t-1个诚实的参与者组合在一起,计算出 h(x)的系数向量是 {a0”, a1”, a2”, …, at-2”, at-1”}。
第六章:密码技术应用
一、秘密共享 二、不经意传输 三、电子投票 四、零知识证明 五、电子现金支付
Байду номын сангаас
2019/12/27
1
一、秘密共享
“海盗分割藏宝图”是秘密共享方案的原始 模型。
设共有n个海盗有权参加宝物分配。为了防止 独吞或联手作弊,规定:t个人以上同时到 场才能找到宝物,而t-1个人以下同时到场 是不能找到宝物的。
2019/12/27
6
一、秘密共享
多项式h(x) (即多项式h(x)的系数{a0, a1, a2, …, at-2, at-1}) 就是n个参与者所共享的秘密。任何t个人以上同
时到场,每个人交出自己的身份名(ID(k), h(ID(k))),拼在一起,就能计算出h(x)。任何 t-1个人以下同时到场,每个人交出自己的身份 名(ID(k),h(ID(k))),拼在一起,则不能计 算出h(x)。以下详细说明。
2019/12/27
3
一、秘密共享
例:一个最简单的秘密共享方案
设保险柜有三把锁,分别编号为①、②、③。
张三拥有①、②号锁的钥匙。
李四拥有①、③号锁的钥匙。
王五拥有②、③号锁的钥匙。
三个人中,任何两个以上的人同时到场均可以打开保险 柜;任何一个以下的人到场均打不开保险柜。
此处,一个秘密指的是“①、②、③号锁的钥匙”; n=3(个人);门限值t=2 (个人)。
2019/12/27
13
一、秘密共享
习题 设:p=17;n=5;t=3; (ID(1), h(ID(1)))=(1, 8); (ID(2), h(ID(2)))=(2, 7); (ID(3), h(ID(3)))=(3, 10); (ID(4), h(ID(4)))=(4, 0); (ID(5), h(ID(5)))=(5, 11)。
恰当地分割藏宝图就是解决这个问题的有效 方法。在这里,一个秘密被分成了n份,任 何t份并在一起,都能复原秘密。
t被称为门限值。 t≤ n。
2019/12/27
2
一、秘密共享
秘密共享方案有多种用途。比如:
遗产的分配与公证。 多用户通信。 电子商务中的各种交易方案。 重大决策的控制阀(如核按钮等)。
a1
(mod
p)
1
( ID (t )) 1
(
ID
(t
))
t 1
a
t 1
2019/12/27
9
一、秘密共享
这是一个关于未知系数
{a0, a1, a2, …, at-2, at-1} 的t元一次方程组(请注意,是模(modp)运算的t元一
次a2,方…程, a组t-2), a,t-1}有。t个方程,因此容易解出{a0, a1,
当任何t-1个人以下同时到场,每个人交出自己的身 份名(ID(k),h(ID(k))),则获得了关于未知系数 的t元一次方程组,有t-1个以下方程,因此无法唯 一地确定h(x)。
2019/12/27
10
一、秘密共享
在Shamir秘密共享方案中 检测“欺骗者”
设有t+1个以上参与者同时到场。其中有一个参与者 是“欺骗者”Eve,他出示的是身份名(ID(k), h(ID(k)))是假的。
2019/12/27
11
一、秘密共享
由于Eve难以由自己的所谓ID(k)求出对应的h(ID(k)), 因此他的所谓身份名(ID(k),h(ID(k)))很难成为 “配套的”。
因此, {a0, a1, a2, …, at-2, at-1},
{a0’, a1’, a2’, …, at-2’, at-1’}, {a0”, a1”, a2”, …, at-2”, at-1”}, 三个系数向量中的任何两个向量都很难相互相等。
2019/12/27
12
一、秘密共享
检测结论(一) 当某t个参与者组合计算出的系数向量与另外t个参与者 组合计算出的系数向量不相等时,这两次被组合的全 部人员中必有“欺骗者”。
检测结论(二) 当某t个参与者组合计算出的系数向量与另外t个参与者 组合计算出的系数向量相等时,(几乎可以断定)这 两次被组合的全部人员都是诚实的参与者。
2019/12/27
8
一、秘密共享
即
h ( ID (1))
h
(
ID
(
2
))
h
(
ID
(t
))
1 ( ID (1)) 1 ( ID (1)) t 1 a 0
1
( ID ( 2 )) 1
(
ID
(
2
))
t
1
ID(k)是整数。 设第k位参与者拥有的秘密身份名是h(ID(k))。此
处k=1, 2, 3, …, n。 多项式h(x)对所有参与者保密。换句话说,多项
式保密h(x。)的系数{a0, a1, a2, …, at-2, at-1}对所有参与者
第k位参与者拥有(ID(k),h(ID(k)))。其中ID(k) 对其他参与者公开,h(ID(k))对其他参与者保密。 此处k=1, 2, 3, …, n。
2019/12/27
7
一、秘密共享
不失一般性,不妨设第1位~第t位参与者同时到场,每 个人交出自己的身份名: (ID(k),h(ID(k))), k=1, 2, 3, …, t。
于是得到了如下的方程组:对于k=1, 2, 3, …, t,
h(ID (k) )a0a1(ID (k)1)a2(ID (k)2) at2(ID (k)t)2at1(ID (k)t)1(mp)od
2019/12/27
4
一、秘密共享
Shamir的秘密共享门限方案
选择一个大素数p。 选择一个t-1次的整系数多项式h(x):
h(x)at1xt1at2xt2 a1xa0(mop)d
2019/12/27
5
一、秘密共享
设一共有n个参与者。 设第k位参与者拥有的公开身份名是ID(k),其中