密码学第8章

1数字签名《现代密码学》第八讲2上章内容回顾公钥密码体制的提出及分类公钥密码体制的基本概念单向陷门函数的概念设计公钥加密算法--背包密码体制RSA算法及攻击方法ElGmal算法椭圆曲线密码体制3本章主要内容数字签名的基本概念一般数字签名算法Z RSA数字签名技术Z 数字签名标准Z 基于离散对数的数字签名Z 椭圆曲线数字签名4数字签名的基本概念手写签名与数字签名的区别手写签名是一种传统的确认方式，如写信、签订协议、支付确认、批复文件等.手写签名是所签文件的物理组成部分；数字信息没有固定的物理载体，如何使数字签名与所签文件捆绑在一起？手写签名通过与标准签名比较或检查笔迹来验证，受验证人主观影响大；二进制数字信息无法用人眼辨识，但可以使用数学算法来验证数字签名，不受验证人主观影响。

手写签名不易复制；二进制数字信息，十分容易复制，所以必须防止数字签名重复使用。

5数字签名和消息认证码的异同：消息完整性验证、消息源认证.消息认证的作用是保护通信双方以防第三方的攻击，然而却不能保护通信双方中的一方防止另一方的欺骗或伪造.①B伪造一个消息并使用与A共享的密钥产生该消息的认证码，然后声称该消息来自于A.②由于B有可能伪造A发来的消息，所以A就可以对自己发过的消息予以否认.数字签名的基本概念6数字签名技术则可有效解决这一问题, 类似于手书签名，数字签名应具有以下性质：①能够验证签名产生者的身份，以及产生签名的日期和时间.②能保证被签消息的内容的完整性.③数字签名可由第三方公开验证，从而能够解决通信双方的上述争议.数字签名在网络安全中提供数据完整性、数据源认证性、数据不可否认性等性质数字签名的基本概念7所谓数字签名（Digital Signature ），也称电子签名，是指附加在某一电子文档中的一组特定的符号或代码，它是利用数学方法对该电子文档进行关键信息提取并与用户私有信息进行混合运算而形成的，用于标识签发者的身份以及签发者对电子文档的认可，并能被接收者用来验证该电子文档在传输过程中是否被篡改或伪造.81976，W Diffie 和M Hellman 在“New Directions in Cryptography ”, 首先提出了数字签名的思想并猜测存在这样的方案1978，R Rivest, A Shamir, 和L Adleman 发明了RSA 算法可以用作数字签名算法.1984, S Goldwasser, S Micali, 和R Rivest 首次粗略提出了数字签名算法的安全性要求. 2004，中国颁布电子签章法9一般签名算法包含密钥生成（公钥/私钥）消息签名S=Sig x (M)用私钥对消息（消息摘要）进行签名运算 消息验证用公钥验证消息的签名是否正确，输出“True ”或“False ”一般数字签名算法()()(),x x x True S Sig M Ver S M False S Sig M =⎧⎪=⎨≠⎪⎩10数字签名的攻击：惟密钥攻击：攻击者只有用户公开的密钥. 已知消息攻击：攻击者拥有一些消息的合法签名，但是消息不由他选择.选择消息攻击：攻击者可以自由选择消息并获取消息的签名.攻击结果：完全破译：攻击者恢复出用户的密钥. 一致伪造：攻击者对于任意消息可以伪造其签名. 选择性伪造：攻击者可以对一个自己选取的消息伪造签名.存在性伪造：攻击者可以生成一些消息的签名，但在伪造前对该消息一无所知.数字签名的基本概念11①参数和密钥生成选两个保密的大素数p 和q ，计算n=p ×q ，φ(n)=(p-1)(q-1)；选一整数e ，满足1<e<φ(n)，且gcd(φ(n),e)=1；计算d ，满足d ·e ≡1 mod φ(n)；以{e,n}为公开钥, {d,n}为秘密密钥.一般数字签名算法--RSA12②签名过程设消息为m ，对其签名为s ≡m d mod n③验证过程接收方在收到消息m 和签名s 后，验证是否成立，若成立，则发送方的签名有效.?mod e m s n≡一般数字签名算法--RSA13加密算法和签名算法同用，攻击者可以方便解密一般攻击者是将某一信息作一下伪装( Blind)，让拥有私钥的实体签署。

第一章 基本概念1. 密钥体制组成部分：明文空间，密文空间，密钥空间，加密算法，解密算法 2、一个好密钥体制至少应满足的两个条件：（1）已知明文和加密密钥计算密文容易；在已知密文和解密密钥计算明文容易； （2）在不知解密密钥的情况下，不可能由密文c 推知明文 3、密码分析者攻击密码体制的主要方法： （1）穷举攻击 （解决方法:增大密钥量）（2）统计分析攻击（解决方法：使明文的统计特性与密文的统计特性不一样） （3）解密变换攻击（解决方法：选用足够复杂的加密算法） 4、四种常见攻击（1）唯密文攻击：仅知道一些密文（2）已知明文攻击：知道一些密文和相应的明文（3）选择明文攻击：密码分析者可以选择一些明文并得到相应的密文 （4）选择密文攻击：密码分析者可以选择一些密文，并得到相应的明文【注：①以上攻击都建立在已知算法的基础之上；②以上攻击器攻击强度依次增加；③密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码（一）单表古典密码1、定义：明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数，}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q（1）加法密码 ①加密算法：κκ∈∈===k X m Z Z Y X q q ;,;对任意，密文为：q k m m E c k m od )()(+== ②密钥量：q （2）乘法密码 ①加密算法：κκ∈∈===k X m Z Z Y X q q ;,;*对任意，密文为：q km m E c k m od )(== ②解密算法：q c k c D m k mod )(1-==③密钥量：)(q ϕ （3）仿射密码 ①加密算法：κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意；密文q m k k m E c k m od )()(21+==②解密算法：q k c k c D m k mod )()(112-==-③密钥量：)(q q ϕ （4）置换密码 ①加密算法：κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为，密文)()(m m E c k σ==②密钥量：!q③仿射密码是置换密码的特例 3.几种典型的单表古典密码体制 （1）Caeser 体制：密钥k=3 （2）标准字头密码体制： 4.单表古典密码的统计分析（二）多表古典密码1.定义：明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算 （1）简单加法密码 ①加密算法:κκ∈=∈====),...,(,),...,(,,11n n n nq n q n n k k k X m m m Z Z Y X 对任意设,密文：),...,()(11n n k k m k m m E c ++==②密钥量：nq （2）简单乘法密码 ①密钥量：n q )(ϕ 1.简单仿射密码①密钥量：n n q q )(ϕ2.简单置换密码 ①密钥量：nq )!( （3）换位密码 ①密钥量：!n（4）广义置换密码①密钥量：)!(nq（5）广义仿射密码 ①密钥量：n n r q3.几种典型的多表古典密码体制 （1）Playfair 体制： ①密钥为一个5X5的矩阵②加密步骤：a.在适当位置闯入一些特定字母，譬如q,使得明文字母串的长度为偶数，并且将明文字母串按两个字母一组进行分组，每组中的两个字母不同。

现代密码学——原理与协议读书笔记第7章数论和密码学困难性假设知识点素数、模运算、群、⼦群、群同构、中国剩余定定理、⽣成随机素数、素数判定、因⼦分解假设、RSA假设、循环群、⽣成元、离散对数和Diffie—Hellman假设、椭圆曲线群、单向函数和置换、构造抗碰撞的散列函数专业术语non-trivial factor：⾮平凡因⼦除1和⾃⾝之外的因⼦prime:素数 composite:合数division with remainder：带余除法gcd: greatest common divisorrelatively prime:互素Modular Arithmetic：模算术reduction modulo N：模N的消减运算congruent modulo N/Congruence modulo N：模N同余equivalence relation:等价关系 reflexive、symmetric、transitive：⾃反、对称、传递(multiplicative) inverse：（乘法）逆元 b invertible modulo N：b模N可逆binary operation：⼆元运算 group：群Closure：封闭性 Existence of an Identity：存在单位元 Existence of Inverses：存在逆元Associativity：结合律 Commutativity：交换律 abelian：阿贝尔群finite group：有限群 the order of the group：群的阶subgroup：⼦群 trivial subgroups：平凡⼦群 strict subgroup：严格⼦群cancelation law：消去律permutation：置换 Group Isomorphisms：群同构bijection：双射Chinese Remainder Theorem：中国剩余定理factoring：因⼦分解 factorization：因数分解trial division：试除法one-way function：单向函数cyclic groups：循环群iff:当且仅当Discrete Logarithm：离散对数discrete logarithm of h with respect to g：关于g的h的离散对数computational Diffie-Hellman (CDH) problem:计算Diffie-Hellman问题decisional Diffie-Hellman (DDH) problem：判定Diffie-Hellman问题quadratic residue modulo p:模p平⽅剩余elliptic curves：椭圆曲线重要/疑难定理中国剩余定理从具体到抽象素数判定Q&A群的阶和群中元素的阶的定义？群的阶：群中元素的个数群中元素的阶：离散对数实验答：双数线表⽰⼀个范数，1阶范数相当于⽐特长度，表⽰q是n⽐特长括号中后⾯这个条件确保了⽅程没有重根如何得到的？可由三次⽅程重根判别式推导化简得到[三次⽅程求根]()one way function 和公钥密码的关系？答：公钥密码的因⼦分解和离散对数的困难性假设意味着单向函数的存在性。

现代密码学教学大纲现代密码学是网络空间安全的核心基础。

通过本门课程的学习，能够了解现代密码学基本理论，掌握现代密码学基本技术，理解各类密码算法的应用场景和相关的安全需求，培养信息安全意识，掌握安全需求分析的方法，并了解现代密码学的未来发展方向。

课程概述本课程共分为9章，第1章概述，介绍密码学的基本概念、密码学的发展简史和古典密码算法。

第2章到第6章是按照密码算法的设计思路和功能不同来划分，分别是流密码、分组密码、公钥密码、杂凑函数、数字签名，第7章密码协议主要介绍Diffie-Hellman密钥交换和Shamir秘密分享方案，更复杂的一些密码协议可在后续“网络安全协议”课程中学习。

第8章将介绍可证明安全理论的初步知识。

第9章将介绍一些密码学研究的前沿方向，比如属性基加密、全同态加密、后量子密码学等。

授课目标1、掌握分析保密通信系统中安全需求分析的方法。

2、理解密码学的基本概念、基本原理和一些典型的密码算法的原理。

3、理解各类密码算法的应用场景和相关的安全需求。

课程大纲第一章概述1.1 密码学的基本概念1.2 中国古代密码艺术1.3 外国古代密码艺术1.4 密码学发展简史1.5 密码分析学1.6 古典密码算法第一章单元测试第一章单元作业第二章流密码2.1 流密码的基本概念2.2 有限状态自动机2.3 二元序列的伪随机性2.4 线性反馈移位寄存器2.5 m-序列2.6 m-序列的伪随机性2.7 m-序列的安全性2.8 非线性序列12.9 非线性序列22.10 A5流密码算法第二章单元测验第二章单元作业第三章分组密码3.1 分组密码的基本概念3.2 SP网络3.3 Feiste密码l结构3.4 DES算法简介3.5 DES轮函数及密钥编排3.6 DES的安全性3.7 3DES3.8 分组密码的工作模式（上）3.9 分组密码的工作模式（下）3.10 有限域基础3.11 AES算法简介3.12 AES的轮函数3.13 AES的密钥编码及伪代码3.14 SM4算法第三章单元测验第三章单元作业第四章公钥密码4.1 公钥密码的基本概念4.2 完全剩余系4.3 简化剩余系4.4 欧拉定理4.5 RSA加密算法4.6 群的概念4.7 循环群4.8 ElGamal加密4.9 实数域上的椭圆曲线4.10 有限域上的椭圆曲线4.11 椭圆曲线密码学第四章单元测验第四章单元作业第五章Hash函数5.1 Hash概念和基本要求5.2 生日攻击5.3 SHA-1算法第五章单元测验第六章数字签名6.1 数字签名的基本概念6.2 RSA签名算法6.3 ElGamal签名算法6.4 DSS签名算法6.5 ElGamal类签名算法6.6 特殊性质的签名算法第六章单元测验第七章密码协议7.1 Diffie-Hellman 密钥交换7.2 Shamir 秘密分享第七章单元测验第八章可证明安全8.1 Boneh-Franklin身份基加密算法第九章密码学的新方向9.1 属性基加密9.2 全同态加密9.3 后量子密码学预备知识信息安全数学基础、线性代数、信息安全导论参考资料1．现代密码学（第四版），杨波，清华大学出版社，2017。

网络工程师学习笔记第8章网络安全与信息安全第8章网络安全与信息安全主要内容:1、密码学、鉴别2、访问控制、计算机病毒3、网络安全技术4、安全服务与安全机制5、信息系统安全体系结构框架6、信息系统安全评估准则一、密码学1、密码学是以研究数据保密为目的，对存储或者传输的信息采取秘密的交换以防止第三者对信息的窃取的技术。

2、对称密钥密码系统(私钥密码系统):在传统密码体制中加密和解密采用的是同一密钥。

常见的算法有:DES、IDEA3、加密模式分类:(1)序列密码:通过有限状态机产生性能优良的伪随机序列，使用该序列加密信息流逐位加密得到密文。

(2)分组密码:在相信复杂函数可以通过简单函数迭代若干圈得到的原则，利用简单圈函数及对合等运算，充分利用非线性运算。

4、非对称密钥密码系统(公钥密码系统):现代密码体制中加密和解密采用不同的密钥。

实现的过程:每个通信双方有两个密钥，K和K’，在进行保密通信时通常将加密密钥K 公开(称为公钥)，而保留解密密钥K’(称为私钥)，常见的算法有:RSA二、鉴别鉴别是指可靠地验证某个通信参与方的身份是否与他所声称的身份一致的过程，一般通过某种复杂的身份认证协议来实现。

1、口令技术身份认证标记:PIN保护记忆卡和挑战响应卡分类:共享密钥认证、公钥认证和零知识认证(1)共享密钥认证的思想是从通过口令认证用户发展来了。

(2)公开密钥算法的出现为2、会话密钥:是指在一次会话过程中使用的密钥，一般都是由机器随机生成的，会话密钥在实际使用时往往是在一定时间内都有效，并不真正限制在一次会话过程中。

签名:利用私钥对明文信息进行的变换称为签名封装:利用公钥对明文信息进行的变换称为封装3、Kerberos鉴别:是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。

客户方需要向服务器方递交自己的凭据来证明自己的身份，该凭据是由KDC 专门为客户和服务器方在某一阶段内通信而生成的。

第一章 基本概念1. 密钥体制组成部分：明文空间，密文空间，密钥空间，加密算法，解密算法2、一个好密钥体制至少应满足的两个条件：（1）已知明文和加密密钥计算密文容易；在已知密文和解密密钥计算明文容易；（2）在不知解密密钥的情况下，不可能由密文c 推知明文3、密码分析者攻击密码体制的主要方法：（1）穷举攻击（解决方法:增大密钥量）（2）统计分析攻击（解决方法：使明文的统计特性与密文的统计特性不一样）（3）解密变换攻击（解决方法：选用足够复杂的加密算法）4、四种常见攻击（1）唯密文攻击：仅知道一些密文（2）已知明文攻击：知道一些密文和相应的明文（3）选择明文攻击：密码分析者可以选择一些明文并得到相应的密文（4）选择密文攻击：密码分析者可以选择一些密文，并得到相应的明文【注：✍以上攻击都建立在已知算法的基础之上；✍以上攻击器攻击强度依次增加；✍密码体制的安全性取决于选用的密钥的安全性】第二章 古典密码（一）单表古典密码1、定义：明文字母对应的密文字母在密文中保持不变2、基本加密运算设q 是一个正整数，}1),gcd(|{};1,...,2,1,0{*=∈=-=q k Z k Z q Z q q q（1）加法密码✍加密算法：κκ∈∈===k X m Z Z Y X q q ;,;对任意，密文为：q k m m E c k m od )()(+== ✍密钥量：q（2）乘法密码✍加密算法：κκ∈∈===k X m Z Z Y X q q ;,;*对任意，密文为：q km m E c k m od )(==✍解密算法：q c k c D m k mod )(1-==✍密钥量：)(q ϕ（3）仿射密码✍加密算法：κκ∈=∈∈∈===),(;},,|),{(;21*2121k k k X m Z k Z k k k Z Y X q q q 对任意；密文✍解密算法：q k c k c D m k mod )()(112-==- ✍密钥量：)(q q ϕ（4）置换密码✍加密算法：κσκ∈=∈==k X m Z Z Y X q q ;,;对任意上的全体置换的集合为，密文✍密钥量：!q ✍仿射密码是置换密码的特例3.几种典型的单表古典密码体制（1）Caeser 体制：密钥k=3（2）标准字头密码体制：4.单表古典密码的统计分析（1）26个英文字母出现的频率如下：频率 约为0.12 0.06到0.09之间 约为0.04 约0.015到0.028之间小于0.01 字母 e t,a,o,i.n,s,h,r d,l c,u,m,w,f,g,y,p,b v,k,j,x,q ,z【注：出现频率最高的双字母：th ；出现频率最高的三字母：the 】（二）多表古典密码1.定义：明文中不同位置的同一明文字母在密文中对应的密文字母不同2.基本加密运算（1）简单加法密码✍加密算法:κκ∈=∈====),...,(,),...,(,,11n n n n q n q n n k k k X m m m Z Z Y X 对任意设,密文：✍密钥量：n q（2）简单乘法密码✍密钥量：n q )(ϕ1.简单仿射密码✍密钥量：n n q q )(ϕ2.简单置换密码✍密钥量：n q )!(（3）换位密码✍密钥量：!n（4）广义置换密码✍密钥量：)!(n q（5）广义仿射密码✍密钥量：n n r q3.几种典型的多表古典密码体制（1）Playfair 体制：✍密钥为一个5X5的矩阵✍加密步骤：a.在适当位置闯入一些特定字母，譬如q,使得明文字母串的长度为偶数，并且将明文字母串按两个字母一组进行分组，每组中的两个字母不同。

《密码学》教学大纲《Cryptography》课程编号：2180081学时：48学分：2.5授课学院：软件学院适用专业：软件工程教材（名称、主编或译者、出版社、出版时间）：[1]Wade Trappe, Lawrence C. Washington,Introduction to cryptography with coding theory, Prentice-Hall (科学出版社影印), 2002。

[2] Alfred J. Menezes, Paul C. van Oorschot，Scott A. Vanstone, Handbook of applied cryptography, CRC Press, 1997。

主要参考资料：[1] 卢开澄，计算机密码学-计算机网络中的数据保密与安全，清华大学出版社，2003。

[2] Bruce Schneie著，吴世忠，祝世雄，张文政等译，何德全审校，应用密码学-协议、算法与C源程序，机械工业出版社，2000。

[3] Steve Burnett, Stephen Pain著，冯登国，周永彬，张振峰，李德全等译，密码工程实践指南，清华大学出版社，2001。

[4] Paul Garret著，吴世忠，宋晓龙，郭涛等译，密码学导引，机械工业出版社，2003。

[5] Wenbo Mao著, 王继林，伍前红等译，王育民，姜正涛审校，现代密码学理论与实践，电子工业出版社，2004。

一．课程的性质、目的及任务密码学是软件工程专业拓宽、提高性的专业选修课。

大量的信息以数据形式存放在计算机系统中并通过公共信道传输。

保护信息的安全已不仅仅是军事和政府部门感兴趣的问题，各企事业单位也愈感迫切。

密码技术是信息安全中的关键技术，它的有效使用可以极大地提高网络的安全性。

课程的目的在于为已经或即将完成计算机学位基础课程并计划从事信息安全工程实践或理论研究的学生提供基础指导。

课程的任务是通过对现代密码学中的基本概念、基本理论、基础算法和协议的讲授，使学生对运用密码学的方法解决信息安全问题有基本认识，为从事信息安全系统设计、开发、管理提供基本技能。

密码学本章中，你将会学习以下内容：· 密码学的历史· 密码学的组成部分以及它们之间的相互关系· 涉及密码学的管理· 对称与非对称的密钥算法· 公钥密码的基本概念与机制· 哈希（Hash）算法与用途· 密码系统的攻击类型密码学（cryptography）是一种存储与传输数据的方法，这种方法传输的数据只能被授权者所获取与阅读。

它是通过把信息加密成不可读格式来保护信息的一种科学。

当需要在介质中存储或是通过网络通信通道传输敏感信息的时候，加密就是一种保护敏感信息的有效方法。

尽管密码学的最终目的和建立密码学的机制是对未经授权的个人隐藏信息，但是，如果攻击者有足够的时间、强烈的愿望和充足的资源的话，大部分的密码算法都能被攻破，信息也会被暴露出去。

所以密码学的一个更现实的目标就是，使得对于攻击者来说，要破译密码来获取信息所需的工作强度是令人难以接受的。

最早的加密方法要追溯到4000年前，而人们更多地认为这是一种古代艺术。

古代密码术主要用来在危险的环境中传递消息，比如在战争、危机和对立双方的谈判中。

在历史上，个人和政府都使用过加密来达到保护信息的目的。

随着时间的推移，加密算法以及使用加密算法的设备的复杂性越来越高，新的方法和算法一直在增加，密码学已经成为网络世界一个不可分割的部分。

8.1 密码学密码学的历史很有趣，在几个世纪中它也发生了很多变化。

在整个文明的发展过程中，由于这样或那样的原因，保密都是非常重要的事情。

保密使得个体和集体都能够隐藏其真实的目的、获得竞争力并降低脆弱性。

历史上，密码学的发展与技术的进步紧密相连。

密码学的起源是这样的：古人把消息雕刻在木头或者石头上，这个雕刻着消息的木头或石头被送到授权者处，这个授权者有解密这一消息的有效方法。

密码学发展到今天经历了一个很长的历史。

在过去，人们把信息第8章密码学367 雕刻在事物上，现在，人们把加密信息插入在网线、因特网和广播中传输的二进制代码流中，如图8-1所示。