第5章 密码学基础
合集下载
计算机安全技术第5章
DES算法的迭代过程为:密钥与初始置换后的右半部分相结合,然后再与左半部 分相结合,其结果作为新的右半部分。结合前的右半部分作为新的左半部分。这 样一些步骤组成一轮。这种过程要重复16次。在最后一次迭代之后,所得的左右 两部分不再交换,这样可以使加密和解密使用同一算法。如图所示:
5.3 常用加密技术介绍
5.3 常用加密技术介绍
5.3 常用加密技术介绍
IDEA密码系统在加密和解密运算中,仅仅使用作用于16比特子块对的 一些基本运算,因此效率很高。IDEA密码系统具有规则的模块化结构, 有利于加快其硬件实现速度。由于IDEA的加密和解密过程是相似的,所 以有可能采用同一种硬件器件来实现加密和解密。
5.3 常用加密技术介绍
从上述要求可以看出,公开密钥密码体制下,加密密钥不等于解密密钥。加密 密钥可对外公开,使任何用户都可将传送给此用户的信息用公开密钥加密发送, 而该用户唯一保存的私有密钥是保密的,也只有它能将密文恢复为明文。虽然解 密密钥理论上可由加密密钥推算出来,但实际上在这种密码体系中是不可能的, 或者虽然能够推算出,但要花费很长的时间而成为不可行的,所以将加密密钥公 开也不会危害密钥的安全。
5.3.2 IDEA算法
国 际 数 据 加 密 算 法 IDEA(International Data Encryption Algorithm)是瑞士的著名学者提出的。IDEA是在DES算法的基础 上发展起来的一种安全高效的分组密码系统。
IDEA密码系统的明文和密文长度均为64比特,密钥长度则 为128比特。其加密由8轮类似的运算和输出变换组成,主要有异 或、模加和模乘三种运算。其加密概况如图所示:
在上例中,因为质数选择得很小,所以P必须小于33,因此,每个明文块只能包 含一个字符。结果形成了一个普通的单字母表替换密码。但它与DES还是有很大区 别的,如果p,q的选择为10100 ,就可得到n= 10200 ,这样,每个明文块就可多达 664比特,而DES只有64比特。
5.3 常用加密技术介绍
5.3 常用加密技术介绍
5.3 常用加密技术介绍
IDEA密码系统在加密和解密运算中,仅仅使用作用于16比特子块对的 一些基本运算,因此效率很高。IDEA密码系统具有规则的模块化结构, 有利于加快其硬件实现速度。由于IDEA的加密和解密过程是相似的,所 以有可能采用同一种硬件器件来实现加密和解密。
5.3 常用加密技术介绍
从上述要求可以看出,公开密钥密码体制下,加密密钥不等于解密密钥。加密 密钥可对外公开,使任何用户都可将传送给此用户的信息用公开密钥加密发送, 而该用户唯一保存的私有密钥是保密的,也只有它能将密文恢复为明文。虽然解 密密钥理论上可由加密密钥推算出来,但实际上在这种密码体系中是不可能的, 或者虽然能够推算出,但要花费很长的时间而成为不可行的,所以将加密密钥公 开也不会危害密钥的安全。
5.3.2 IDEA算法
国 际 数 据 加 密 算 法 IDEA(International Data Encryption Algorithm)是瑞士的著名学者提出的。IDEA是在DES算法的基础 上发展起来的一种安全高效的分组密码系统。
IDEA密码系统的明文和密文长度均为64比特,密钥长度则 为128比特。其加密由8轮类似的运算和输出变换组成,主要有异 或、模加和模乘三种运算。其加密概况如图所示:
在上例中,因为质数选择得很小,所以P必须小于33,因此,每个明文块只能包 含一个字符。结果形成了一个普通的单字母表替换密码。但它与DES还是有很大区 别的,如果p,q的选择为10100 ,就可得到n= 10200 ,这样,每个明文块就可多达 664比特,而DES只有64比特。
1_密码学基础
➢ 1949年信息论之父C. E. Shannon发表了“The Communication Theory of Secret Systems” ,密码学走上 了科学与理性之路
➢ 1967年David Kahn的《The Codebreakers》 ➢ 1971-73年IBM Watson实验室的Horst Feistel等的几篇技
33
密码学基础
破译分析I: 尝试全部可能
使用简单替代(移n位) 密钥未知 已知密文: CSYEVIXIVQMREXIH 如何找到密钥? 仅有26个可能密钥 尝试全部的可能!看哪个能找到合
理的含义 穷举搜索 答案: 密钥 = 4
34
密码学基础
更复杂的替代
密钥是一些字母的组合 不一定是移位 例如:
明文:Caesar was a great soldier 密文:Fdhvdu zdv d juhdw vroglhu
第12页
2.3.1 形形色色的密码技术
二战著名的(ENIGMA)密码 ➢ 德国人Arthur Scheribius人发明 ➢ 德国人将其改装为军用型,使之更为复杂可靠 ➢ 1933年,纳粹最高统帅部通信部决定将“ENIGMA”作为德
➢ 经验告诉我们一个秘密的算法在公开时就很容易破解了 ➢ 密码的算法不可能永远保持隐秘 ➢ 理想的情况是在密码算法被破解之前找到算法的弱点
5
密码学基础
黑盒子密码系统
密钥
密钥
明文 加密
密文
解密
密码的通用方式
密码学基础
明文
6
密码发展历史
形形色色的密码技术 密码发展史
第7页
2.3.1 形形色色的密码技术
第三阶段:1976年以后,密码学的新方向——公钥密 码学。公钥密码使得发送端和接收端无密钥传输的保 密通信成为可能。
➢ 1967年David Kahn的《The Codebreakers》 ➢ 1971-73年IBM Watson实验室的Horst Feistel等的几篇技
33
密码学基础
破译分析I: 尝试全部可能
使用简单替代(移n位) 密钥未知 已知密文: CSYEVIXIVQMREXIH 如何找到密钥? 仅有26个可能密钥 尝试全部的可能!看哪个能找到合
理的含义 穷举搜索 答案: 密钥 = 4
34
密码学基础
更复杂的替代
密钥是一些字母的组合 不一定是移位 例如:
明文:Caesar was a great soldier 密文:Fdhvdu zdv d juhdw vroglhu
第12页
2.3.1 形形色色的密码技术
二战著名的(ENIGMA)密码 ➢ 德国人Arthur Scheribius人发明 ➢ 德国人将其改装为军用型,使之更为复杂可靠 ➢ 1933年,纳粹最高统帅部通信部决定将“ENIGMA”作为德
➢ 经验告诉我们一个秘密的算法在公开时就很容易破解了 ➢ 密码的算法不可能永远保持隐秘 ➢ 理想的情况是在密码算法被破解之前找到算法的弱点
5
密码学基础
黑盒子密码系统
密钥
密钥
明文 加密
密文
解密
密码的通用方式
密码学基础
明文
6
密码发展历史
形形色色的密码技术 密码发展史
第7页
2.3.1 形形色色的密码技术
第三阶段:1976年以后,密码学的新方向——公钥密 码学。公钥密码使得发送端和接收端无密钥传输的保 密通信成为可能。
密 码 学 基 础
左28位Ci
右28位D
左右合并 换位选择2
48位密钥Ki
数据加密标准DES
DES的雪崩效应
在相同密钥加密时,明文的微小变化(如1位)会 引起密文的较大变化. 对相同明文,用两个差别很小(如1位)的密钥加 密,产生的密文差别较大.
DES具有很强的雪崩效应
数据加密标准DES
DES的雪崩效应
如下两个明文只差1位:
R i-1(32位) E
32 4 8 12 16 20 24 28
1 5 9 13 17 21 25 29
2 6 10 14 18 22 26 30
3 7 11 15 19 23 27 31
4 8 12 16 20 24 28 32
5 9 13 17 21 25 29 1
48位
⊕
S3 S4 P S5
0
0 1 2 3
1
2
3
4
5
6 7
8
9 10 11 12 13 14 15
14 4 13 0 15 7 4 1 14 15 12 8
1 2 15 4 14 2 8 13 6 2 4 9
11 8 3 10 6 12 5 9 0 7 13 1 10 6 12 11 9 5 3 8 2 1115 12 9 7 3 10 5 0 1 7 5 11 3 14 10 0 6 13
现代密码学
公开密钥算法 加密密钥(公钥) ≠ 解密密钥(私钥) 数学基础:单向函数,单向陷门函数 应用方面:加密/解密 数字签名 密钥交换 代表:RSA体制,Rabin体制等
密钥管理
密钥生成
1、密钥长度与密钥空间 2、好密钥与弱密钥 好密钥:自动处理设备产生的随机的位串 弱密钥:特定的密钥比其他密钥的安全性差。例如,用 户个人信息,简写字母,各种数据库单词及其不同变形
06_密码学基础(五)_消息认证和数字签名
网络与信息安全
密码学基础(五)
内容
消息认证
MAC 散列算法
MD5 SHA/SHA-1
数字签名
问题的提出
通信威胁: 1. 泄露:把消息内容发布给任何人或没有合法密钥的 进程 2. 流量分析:发现团体之间信息流的结构模式。在一 个面向连接的应用中,可以用来确定连接的频率和持 续时间长度 3. 伪造:从一个假冒信息源向网络中插入消息 4. 内容修改:消息内容被插入删除变换修改 5. 顺序修改:插入删除或重组消息序列 6. 时间修改:消息延迟或重放 7. 否认:接受者否认收到消息,发送者否认发送过消 息
认证编码的基本方法
认证编码的基本方法是要在发送的消息中引入多余度 ,使通过信道传送的可能序列集Y大于消息集X。 对于任何选定的编码规则,则(相应于某一特定密钥) :发方从Y中选出用来代表消息的许用序列,即码字 收方根据编码规则唯一地确定出发方按此规则向他传 来的消息。 窜扰者由于不知道密钥,因而所伪造的假码字多是Y 中的禁用序列,收方将以很高的概率将其检测出来, 而被拒绝认证 系统设计者的任务是构造好的认证码 (Authentication Code),使接收者受骗概率极小化
注:若设E=1- e(-(k(k-1)/(2n)) ,可解出k的关于n、E 的函数,有
若略去-k项,有:k≈(n(ln(1/(1-E))×2)0.5; 若取E=0.5,我们估计:k≈1.17 n0.5 ≈n0.5 说明在集合X中,n0.5个随机元素散列的结果产 生一个碰撞的概率为50%!
MAC算法的要求
条件:
攻击者知道MAC函数但不知道密钥K 已知M和CK(M),要想构造M使得CK(M)=CK(M)在 计算上不可行 (计算上无碰撞) CK(M)均匀分布:随机选择M和M, Pr[CK(M) = CK(M)]=2-|MAC| f是M的一个变换(例如对某些位取反),那么, Pr[CK(M)= CK(f(M))]=2-|MAC|
密码学基础(五)
内容
消息认证
MAC 散列算法
MD5 SHA/SHA-1
数字签名
问题的提出
通信威胁: 1. 泄露:把消息内容发布给任何人或没有合法密钥的 进程 2. 流量分析:发现团体之间信息流的结构模式。在一 个面向连接的应用中,可以用来确定连接的频率和持 续时间长度 3. 伪造:从一个假冒信息源向网络中插入消息 4. 内容修改:消息内容被插入删除变换修改 5. 顺序修改:插入删除或重组消息序列 6. 时间修改:消息延迟或重放 7. 否认:接受者否认收到消息,发送者否认发送过消 息
认证编码的基本方法
认证编码的基本方法是要在发送的消息中引入多余度 ,使通过信道传送的可能序列集Y大于消息集X。 对于任何选定的编码规则,则(相应于某一特定密钥) :发方从Y中选出用来代表消息的许用序列,即码字 收方根据编码规则唯一地确定出发方按此规则向他传 来的消息。 窜扰者由于不知道密钥,因而所伪造的假码字多是Y 中的禁用序列,收方将以很高的概率将其检测出来, 而被拒绝认证 系统设计者的任务是构造好的认证码 (Authentication Code),使接收者受骗概率极小化
注:若设E=1- e(-(k(k-1)/(2n)) ,可解出k的关于n、E 的函数,有
若略去-k项,有:k≈(n(ln(1/(1-E))×2)0.5; 若取E=0.5,我们估计:k≈1.17 n0.5 ≈n0.5 说明在集合X中,n0.5个随机元素散列的结果产 生一个碰撞的概率为50%!
MAC算法的要求
条件:
攻击者知道MAC函数但不知道密钥K 已知M和CK(M),要想构造M使得CK(M)=CK(M)在 计算上不可行 (计算上无碰撞) CK(M)均匀分布:随机选择M和M, Pr[CK(M) = CK(M)]=2-|MAC| f是M的一个变换(例如对某些位取反),那么, Pr[CK(M)= CK(f(M))]=2-|MAC|
密码学基础
密码学常识□秋雨灰灰目录密码常识字母表顺序-数字进制转换密码Mod算法倒序间隔字母频率凯撒密码(Caesar Shifts, Simple Shift)凯撒移位(中文版)栅栏密码(The Rail-Fence Cipher)维吉尼亚密码(Vigenère Cipher)Polybius密码(Polybius Cipher)ADFGX/ADFGVX密码(ADFGX/ADFGVX Cipher)ADFGXADFGVX乘法密码(Multiplication Cipher)仿射密码(Affine Shift)希尔密码(Hill Cipher)加密解密Playfair密码(Playfair Cipher)莫尔斯电码置换密码(Transposition Cipher)替代密码(Monoalphabetic Substitution)字母表数字字母表代码反字母表随机乱序字母棋盘密码键盘密码键盘移位软键盘密码数字小键盘密码手机键盘密码数字记忆编码百度/Google/网页字符百度字符(GB2312)Google字符(URI)网页编码(Unicode)Alt+数字小键盘MD5【密码常识】字母表顺序-数字加密的时候,经常要把A至Z这26个字母转换成数字,最常见的一种方法就是取字母表中的数字序号。
A代表1,B代表2,C代表3……字母 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z数字 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26进制转换密码例如二进制:1110 10101 1101 10 101 10010 1111 1110 101转为十进制:14 21 13 2 5 18 15 14 5对应字母表:numberMod算法我们可以对字母序号进行数学运算,然后把所得的结果作为密文。
密码学基础知识
【1】古典密码1、置换密码置换密码将明文中的字母顺序重新排列,但字母本身不变,由此形成密文。
换句话说,明文与密文所使用的字母相同,只是它们的排列顺序不同。
我们可以将明文按矩阵的方式逐行写出,然后再按列读出,并将它们排成一排作为密文,列的阶就是该算法的密钥。
在实际应用中,人们常常用某一单词作为密钥,按照单词中各字母在字母表中的出现顺序排序,用这个数字序列作为列的阶。
【例1】我们以coat作为密钥,则它们的出现顺序为2、3、1、4,对明文“attack postoffice”的加密过程见图1:图1 对明文“attack postoffice”的加密过程按照阶数由小到大,逐列读出各字母,所得密文为:t p o c a c s f t k t i a o f e.对于这种列变换类型的置换密码,密码分析很容易进行:将密文逐行排列在矩阵中,并依次改变行的位置,然后按列读出,就可得到有意义的明文。
为了提高它的安全性,可以按同样的方法执行多次置换。
例如对上述密文再执行一次置换,就可得到原明文的二次置换密文:o s t f t a t a p c k o c f i e还有一种置换密码采用周期性换位。
对于周期为r的置换密码,首先将明文分成若干组,每组含有r个元素,然后对每一组都按前述算法执行一次置换,最后得到密文。
【例2】一周期为4的换位密码,密钥及密文同上例,加密过程如图2:图2 周期性换位密码2、 替代密码单表替代密码对明文中的所有字母都用一个固定的明文字母表到密文字母表的映射。
换句话说,对于明文,相应的密文为=。
下面介绍几种简单的替代密码。
1. 加法密码在加法密码中,映射规则可表示为,其中k为密钥,加密算法就是。
例如,我们可以将英文的26个字母分别对应于整数0~25,则n=26,对应关系如表加法密码也称为移位密码,凯撒密码就是k=3的加法密码。
【例1】取密钥k=9,明文为“attackpostoffice”,则转换为密文的过程如下:首先将其转化为数字序列:0 19 19 0 2 10 15 14 18 19 14 5 5 8 2 4然后每个数值加9,并做模26运算,得到以下序列:9 2 2 9 11 19 24 23 1 2 23 14 14 17 11 13再将其转化为英文字母,可得密文:jccjltyxbcxoorln.2.乘法密码乘法密码的映射规则可表示为,其中k为密钥,加密算法就是。
密码学基础_图文
相应的密文串将是: VPXZGIAXIVWPUBTTMJPWIZITWZT
解密过程与加密过程类似,不同的只是进行模26减,而不是模26 加。
使用Vigenère表可以方便地进行加密和解密。
@
基本概念
• 密码学(Cryptology): 是研究信息系统安全保密 的科学.
➢ 密码编码学(Cryptography): 主要研究对信息 进行编码,实现对信息的隐蔽.
➢ 密码分析学(Cryptanalytics):主要研究加密消 息的破译或消息的伪造.
密码新技术
• 量子密码(单量子不可复制定理) • DNA密码 • 化学密码 • ……
• 消息被称为明文(Plaintext)。用某种方法伪装消息以 隐藏它的内容的过程称为加密(Encrtption),被加密 的消息称为密文(Ciphertext),而把密文转变为明文 的过程称为解密(Decryption)。
• 对明文进行加密操作的人员称作加密员或密码员 (Cryptographer).
• 例如:明文INTELLIGENT用密钥PLAY加密为: M=INTE LLIG ENT K=PLAY PLAY PLA
Ek(M)=XYTC AMIE TYT
• 例 设m=6,且密钥字是CIPHER,这相应于密钥。假定明文串 是 this cryptosystem is not secure 首先将明文串转化为数字串,按6个一组分段,然后模26“加”上 密钥字得:
密码算法分类-iii
• 按照明文的处理方法: ➢ 分组密码(block cipher):将明文分成固定长度
的组,用同一密钥和算法对每一块加密,输出 也是固定长度的密文。 ➢ 流密码(stream cipher):又称序列密码.序列密 码每次加密一位或一字节的明文,也可以称为 流密码。
解密过程与加密过程类似,不同的只是进行模26减,而不是模26 加。
使用Vigenère表可以方便地进行加密和解密。
@
基本概念
• 密码学(Cryptology): 是研究信息系统安全保密 的科学.
➢ 密码编码学(Cryptography): 主要研究对信息 进行编码,实现对信息的隐蔽.
➢ 密码分析学(Cryptanalytics):主要研究加密消 息的破译或消息的伪造.
密码新技术
• 量子密码(单量子不可复制定理) • DNA密码 • 化学密码 • ……
• 消息被称为明文(Plaintext)。用某种方法伪装消息以 隐藏它的内容的过程称为加密(Encrtption),被加密 的消息称为密文(Ciphertext),而把密文转变为明文 的过程称为解密(Decryption)。
• 对明文进行加密操作的人员称作加密员或密码员 (Cryptographer).
• 例如:明文INTELLIGENT用密钥PLAY加密为: M=INTE LLIG ENT K=PLAY PLAY PLA
Ek(M)=XYTC AMIE TYT
• 例 设m=6,且密钥字是CIPHER,这相应于密钥。假定明文串 是 this cryptosystem is not secure 首先将明文串转化为数字串,按6个一组分段,然后模26“加”上 密钥字得:
密码算法分类-iii
• 按照明文的处理方法: ➢ 分组密码(block cipher):将明文分成固定长度
的组,用同一密钥和算法对每一块加密,输出 也是固定长度的密文。 ➢ 流密码(stream cipher):又称序列密码.序列密 码每次加密一位或一字节的明文,也可以称为 流密码。
第5章密码技术-网络信息安全基础-黄林国-清华大学出版社
密码编码学主要研究对信息进行变换,以保护信息在 传递过程中不被敌方窃取、解读和利用的方法。
密码分析学则与密码编码学相反,它主要研究如何分 析和破译密码。这两者之间既相互对立又相互促进。
进入20世纪80年代,随着计算机网络,特别 是因特网的普及,密码学得到了广泛的重视。
如今,密码技术不仅服务于信息的加密和解 密,还是身份认证、访问控制、数字签名等 多种安全机制的基础。
如果令26个字母分别对应于整数00~25(用二位数表 示),a=01,b=02,c=03,…,y=25,z=00,则恺撒 加密方法实际上是进行了一次数学取模为26的同余运 算,即
C = (P + K) mod 26
其中P是对应的明文,C是与明文对应的密文数据,K 是加密用的参数,又称密钥。
如:battle on Sunday对应的明文数据序列为 020120201205 1514 192114040125
数据分组长度为64位(8字节),密文分组长度 也是64位。
密钥长度为64位,其中有效密钥长度为56位, 其余8位作为奇偶校验。
DES的整个体制是公开的,系统的安全性主要 依赖密钥的保密,其算法主要由初始置换IP、 16轮迭代的乘积变换、逆初始置换IP-1以及16 个子密钥产生器构成。56位DES加密算法的框 图如图5-10所示。
例如:明文battle on Sunday, 密文121144443115034330434533141154 (其中0
表示空格) 。
5.2.4 恺撒(Caesar)密码
明文的字母按照字母顺序,往后依次递推相 同的位数,就可以得到加密的密文,而解密 的过程正好和加密的过程相反。
例如:明文battle on Sunday 密文yxqqib lk Prkaxv (将字母依次后移3位,即K=-3)
密码分析学则与密码编码学相反,它主要研究如何分 析和破译密码。这两者之间既相互对立又相互促进。
进入20世纪80年代,随着计算机网络,特别 是因特网的普及,密码学得到了广泛的重视。
如今,密码技术不仅服务于信息的加密和解 密,还是身份认证、访问控制、数字签名等 多种安全机制的基础。
如果令26个字母分别对应于整数00~25(用二位数表 示),a=01,b=02,c=03,…,y=25,z=00,则恺撒 加密方法实际上是进行了一次数学取模为26的同余运 算,即
C = (P + K) mod 26
其中P是对应的明文,C是与明文对应的密文数据,K 是加密用的参数,又称密钥。
如:battle on Sunday对应的明文数据序列为 020120201205 1514 192114040125
数据分组长度为64位(8字节),密文分组长度 也是64位。
密钥长度为64位,其中有效密钥长度为56位, 其余8位作为奇偶校验。
DES的整个体制是公开的,系统的安全性主要 依赖密钥的保密,其算法主要由初始置换IP、 16轮迭代的乘积变换、逆初始置换IP-1以及16 个子密钥产生器构成。56位DES加密算法的框 图如图5-10所示。
例如:明文battle on Sunday, 密文121144443115034330434533141154 (其中0
表示空格) 。
5.2.4 恺撒(Caesar)密码
明文的字母按照字母顺序,往后依次递推相 同的位数,就可以得到加密的密文,而解密 的过程正好和加密的过程相反。
例如:明文battle on Sunday 密文yxqqib lk Prkaxv (将字母依次后移3位,即K=-3)
05_密码学基础(四)_公开密钥密码算法
密钥分配
使用对称密码算法 保密通信双方需共享密钥:A&B,B&C,C&A N个用户集需要N(N-1)/2个共享密钥 共享密钥需要经常更换,更换方式有
A选择密钥并手工传递给B 第三方C选择密钥分别手工传递给A,B 用A,B原有共享密钥传送新密钥 与A,B分别有共享密钥的第三方C传送新密钥给A和/ 或B
数论简介
欧拉定理 表述1: 将Z/(n)表示为 Zn,其中n=pq; p,q为素数且相异。 若Z*n={g∈ Zn|gcd(g,n)=1},易见Z*n为(n)阶的乘 法群,且有 g(n)1(mod n),而 (n)=(p-1)(q-1)。 表述2: 若整数g和n互素,则g(n) ≡1(mod n);其中(n)为比 n小,但与n互素的正整数个数, 称为(n)的欧拉函数 表述3: 给定两个素数p和q,以及两个整数m、n,使得n=pq ,且0<m<n,对于任意整数k下列关系成立,
公钥密码学的历史
76年Diffie和Hellman发表了“密码学的新方向 ”,奠定了公钥密码学的基础 公钥技术是二十世纪最伟大的思想之一
改变了密钥分发的方式 可以广泛用于数字签名和身份认证服务
78年,RSA算法 PKI
公钥加密模型
公开密钥的加密
公开密钥密码的重要特性 加密与解密由不同的密钥完成 加密: X –>Y:Y = EKU(X) 解密: Y –>X: X = DKR(Y) = DKR(EKU(X)) 知道加密算法,从加密密钥得到解密密钥在计算上是 不可行的; 两个密钥中任何一个都可以用作加密而另一个用作解 密 X = DKR(EKU(X)) = EKU(DKR(X))
密码学基础
现代密码学
1.2.3 密码体制的攻击方法
密码分析者攻击密码体制的方法: (1)穷举攻击:通过试遍所有的密钥来进行破译。
对抗:可增大密钥的数量。 (2)统计分析攻击:通过分析密文和明文的统计规律来破译。
对抗:设法使明文和密文的统计规律不一样。 (3)解密变换攻击:针对加密变换的数学基础,通过数学求 解设法找到解密变换。
1928年开始使用。 ➢1933年,纳粹最高统帅部通信部决定将
“ENIGMA”作为德国国防军新式闪击部队 的通信装置。 ➢ 1940年,盟军破译ENIGMA
电子科技大学
现代密码学
传说,古时候有一对夫妻,男的名叫李石匠,女的叫张 小花。李石匠靠手艺赚钱,张小花在家纺纱织布。一年, 李石匠参加修建石桥,因工程紧张,十一个月也没回家 一次。张小花独自在家只有纺车做伴。一天石匠工地回 来一个工友路过她家,她托这个工友给丈夫带去一封书 信。
明文
加密 密钥
加密
密文
解密 密钥
解密
原始明文
电子科技大学
现代密码学
密码学起源
大约在4000年以前,在古埃及的尼罗河畔,一位 擅长书写者在贵族的基碑上书写铭文时有意用加 以变形的象形文字而不是普通的象形文字来写铭 文,从而揭开了有文字记载的密码史。这篇颇具 神秘感的碑文,已具备了密码的基本特征:把一 种符号(明文)用另一种符号(密文)代替
电子科技大学
现代密码学
1.2 密码学的基本概念
明文(plaintext): 没有加密的信息 密文(ciphertext): 加密后的信息 加密变换(encryption): 从明文到密文的变换
解密变换(decryption): 从密文到明文的变换
密钥(key): 加密和解密是在密钥控制下进行的。
密码学入门
仲裁者能帮助互不信任的双方完成协议。
密码学入门
Alice
Bob
Trent
Evidence
Evidence
裁决协议
仲裁协议可以分成两个低级的子协议:一个是非仲 裁子协议,执行协议的各方每次想要完成的。另外 一个是仲裁子协议,仅在例外的情况下,既有争议 的时候才执行,这种特殊的仲裁者叫做裁决人。
密码学入门
对称算法可以分为两类。一次只对明文中的单个 位(有时对字节)运算的算法称为序列算法 (stream algorithm)或序列密码(stream cipher)。另一类算法是对明文的一组位进行运 算,这些位称为分组(block),相应的算法称 为分组算法(block algorithm)或分组密码 (block cipher)。
密码学入门
使用公钥密码学通信
Alice和Bob选用一个公开密钥密码系统 Bob将他的公开密钥传送给Alice Alice用Bob的公开密钥加密她的消息,然后
传送给Bob Bob用他的私人密钥解密Alice的消息。
密码学入门
数字签名
使用对称密码系统和仲裁者对文件签名
必须在仲裁者帮助下进行。 每个通信者和仲裁者共享一个密钥 仲裁者解密,并重新加密每一个通信
密码系统由(cryptosystem)由算法以及所有可 能的明文、密文和密钥组成。
对称算法
基于密钥的算法通常有两类:对称算法和公开密 钥算法。
密码学入门
对称算法(symmetric algorithm)有时又叫传统 密码算法,就是加密密钥能够从解密密钥推算出 来,反过来也成立。在大多数对称算法中,加/ 解密密要是相同的。这些算法也叫做秘密密钥算 法或单钥算法,它要求发送者和接收者在安全通 信之前,商定一个密钥。对称算法的安全性依赖 于密钥,泄漏密钥就意味着任何人都能对消息进 行加/解密。只要通信需要保密,密钥就必须保 密。
密码学入门
Alice
Bob
Trent
Evidence
Evidence
裁决协议
仲裁协议可以分成两个低级的子协议:一个是非仲 裁子协议,执行协议的各方每次想要完成的。另外 一个是仲裁子协议,仅在例外的情况下,既有争议 的时候才执行,这种特殊的仲裁者叫做裁决人。
密码学入门
对称算法可以分为两类。一次只对明文中的单个 位(有时对字节)运算的算法称为序列算法 (stream algorithm)或序列密码(stream cipher)。另一类算法是对明文的一组位进行运 算,这些位称为分组(block),相应的算法称 为分组算法(block algorithm)或分组密码 (block cipher)。
密码学入门
使用公钥密码学通信
Alice和Bob选用一个公开密钥密码系统 Bob将他的公开密钥传送给Alice Alice用Bob的公开密钥加密她的消息,然后
传送给Bob Bob用他的私人密钥解密Alice的消息。
密码学入门
数字签名
使用对称密码系统和仲裁者对文件签名
必须在仲裁者帮助下进行。 每个通信者和仲裁者共享一个密钥 仲裁者解密,并重新加密每一个通信
密码系统由(cryptosystem)由算法以及所有可 能的明文、密文和密钥组成。
对称算法
基于密钥的算法通常有两类:对称算法和公开密 钥算法。
密码学入门
对称算法(symmetric algorithm)有时又叫传统 密码算法,就是加密密钥能够从解密密钥推算出 来,反过来也成立。在大多数对称算法中,加/ 解密密要是相同的。这些算法也叫做秘密密钥算 法或单钥算法,它要求发送者和接收者在安全通 信之前,商定一个密钥。对称算法的安全性依赖 于密钥,泄漏密钥就意味着任何人都能对消息进 行加/解密。只要通信需要保密,密钥就必须保 密。
密码学基础
密码学常识目录密码常识字母表顺序-数字进制转换密码Mod算法倒序间隔字母频率凯撒密码(Caesar Shifts, Simple Shift)凯撒移位(中文版)栅栏密码(The Rail-Fence Cipher)维吉尼亚密码(Vigenère Cipher)Polybius密码(Polybius Cipher)ADFGX/ADFGVX密码(ADFGX/ADFGVX Cipher) ADFGXADFGVX乘法密码(Multiplication Cipher)仿射密码(Affine Shift)希尔密码(Hill Cipher)加密解密Playfair密码(Playfair Cipher)莫尔斯电码置换密码(Transposition Cipher)替代密码(Monoalphabetic Substitution)字母表数字字母表代码反字母表随机乱序字母棋盘密码键盘密码键盘移位软键盘密码数字小键盘密码手机键盘密码数字记忆编码百度/Google/网页字符百度字符(GB2312)Google字符(URI)网页编码(Unicode)Alt+数字小键盘MD5【密码常识】字母表顺序-数字加密的时候,经常要把A至Z这26个字母转换成数字,最常见的一种方法就是取字母表中的数字序号。
A代表1,B代表2,C代表3……字母:A B C D E F G H I J K L M N O P Q R ST U V W X Y Z数字:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26进制转换密码例如二进制:1110 10101 1101 10 101 10010 1111 1110 101转为十进制:14 21 13 2 5 18 15 14 5对应字母表:numberMod算法我们可以对字母序号进行数学运算,然后把所得的结果作为密文。
密码学基础
另一种是将明文的消息进行分组, 逐组进行加密,称之为分组密码。 单钥密码也成为对称密码。 在密码学中,单钥体制不仅可以用 于加密,还可以用于消息的认证。
双钥密码体制
双钥密码体制是由Diffie-Hellman于1976年 首先引入的。采用双钥体制的每一个用户 都有一对密钥,其中一个密钥是可以公开 的,称为公钥;另一个是秘密的,称为私 钥。双钥密码体制也称为公钥密码体制, 又称非对称密码体制。
双钥体制的主要特点在于加密和解密能 力的分开,因而可以实现有多个用户加 密的消息可以有一个用户解读,或由一 个用户加密的消息,可以被多个用户解 读。基于这两个特点,前者可以用于在 公共网络中实现保密通信,后者可实现 对用户的认证。
密码攻击方法
按敌手获得信息量的多少将攻击的类型划分为 以下4类。 密码分析学是指在没有加密密钥的情况下,攻击 密文的过程 ♦唯密文攻击(ciphertext only ) --只知道算法与一些密文 --利用统计方法 --需要能够识别明文
密码学(Cryptology): 是研究信息系统安全 保密的科学,包括密码编码学和密码分 析学。
一个通信保密系统由以下几部分组成: • 明文消息空间M • 密文消息空间C • 密钥空间K EK : M C • 加密变换 • 解密变换 DK : C M 称总体 (M , C, K , Ek , Dk ) 为保密通信系统。
2.
入侵者和病毒 信息安全的人为威胁主要来自用户和恶意 软件的非法侵入。 黑客:入侵信息系统的用户。实施破译或 进入计算机系统;或者对计算机系统进行 破坏;或非法窃取系统资源(如窃取信用 卡号或非法资金传送),对数据进行未受 权的修改或破坏计算机系统。
恶意程序
需要主程序
密码学基础和DRM
典型的散列函数有:MD5,SHA-1, 等。单向散列函数主要用在一些只需加 密不需解密的场合:如验证数据的完整 性、口令表的加密、数字签名、身份认 证等。 山东大学王小云教授攻破MD5,并把 攻破SHA1算法的计算量降低了2000倍
数字签名
数字签名
简单地说,数字签名的原理可以这样理 解:用非对称算法的私钥加密的内容只 能用对应的公钥来解密。而私钥是不公 开的。因此,如果一段信息能用某个人 的公钥解密,那么它一定是用此人的私 钥加密的。它和物理的签名一样,是很 难伪造的。
Rijndael 是一个密钥迭代分组密码,包含了轮变换 对状态的重复作用。轮数Nr 的值取决于分组和密钥 的长度。对于AES,当密钥长度为128比特时,Nr =10;当密钥长度为192比特时,Nr =12;当密钥长 度为256 比特时,Nr =14。
好的密钥
分组加密 序列加密
序列加密算法的安全性在于随机数产生 器产生的密钥位串是否够“乱”,及产 生之位串周期是否够“长”
建立许可证服务器
要播放打包的数字媒体文件,消费者首先必须获 取一个许可证密钥为该文件解锁。当消费者试图 获取打包的数字媒体文件、获取一个预先传递的 许可证或首次播放该数字媒体文件时,都将自动 启动获取许可证的过程。Windows Media 权限管 理器或者引导用户进入注册页(该页要求输入信 息或付费),或者从交换中心检索一个许可证而 不提示任何问题。
密码分析者攻击RSA体制的关键点在于如何分解n 若分解成功使n=pq,则可以算出φ(n)=(p-1)(q-1), 然后由公开的e,解出秘密的d
若使RSA安全,p与q必为足够大的素数,使分析者
没有办法在多项式时间内将n分解出来 建议选择p和q大约是100位的十进制素数 模n的长度要求至少是512比特 国际数字签名标准ISO/IEC 9796中规定n的长度位
密码学基础课件北大
现代密码算法
➢ DES ➢ 其他密码算法
AES密码算法
➢ Rijndael
经典密码算法
替换技术
➢ Caesar加密制 ➢ 单表替换加密制 ➢ Playfair加密制 ➢ Hill加密制 ➢ 多表加密制
置换技术
➢ 改变字母的排列顺序,比如
➢ 用对角线方式写明文,然后按行重新排序 ➢ 写成一个矩阵,然后按照新的列序重新排列
加密算法的有效性
Unconditionally secure,绝对安全?
➢ 永不可破,是理想情况,理论上不可破,密 钥空间无限,在已知密文条件下,方程无解 。但是我们可以考虑:
➢ 破解的代价超过了加密信息本身的价值 ➢ 破解的时间超过了加密信息本身的有效期
Computationally secure,
电子簿模式ECB
相同明文相同密文 同样信息多次出现造
成泄漏 信息块可被替换 信息块可被重排 密文块损坏仅对应
明文块损坏 适合于传输短信息
密码块链接CBC
需要共同的初始化 向量IV
相同明文不同密 文
初始化向量IV可以 用来改变第一块
密文块损坏两明 文块损坏
安全性好于ECB
密码反馈方式CFB
➢ RC5版本:RC5-w/r/b ➢ 算法作者建议标定版本为RC5-32/12/16
RC5加密算法
三个基本运算
➢ 字的加法,模2w +
➢ 按位异或
⊕
➢ 左循环移位
<<<
算法:
LE0 = A + S[0] RE0 = B + S[1] for i = 1 to r do
LEi = ((LEi-1⊕REi-1) <<< REi-1 + S[2*i] REi = ((REi-1⊕LEi) <<< LEi + S[2*i+1]
➢ DES ➢ 其他密码算法
AES密码算法
➢ Rijndael
经典密码算法
替换技术
➢ Caesar加密制 ➢ 单表替换加密制 ➢ Playfair加密制 ➢ Hill加密制 ➢ 多表加密制
置换技术
➢ 改变字母的排列顺序,比如
➢ 用对角线方式写明文,然后按行重新排序 ➢ 写成一个矩阵,然后按照新的列序重新排列
加密算法的有效性
Unconditionally secure,绝对安全?
➢ 永不可破,是理想情况,理论上不可破,密 钥空间无限,在已知密文条件下,方程无解 。但是我们可以考虑:
➢ 破解的代价超过了加密信息本身的价值 ➢ 破解的时间超过了加密信息本身的有效期
Computationally secure,
电子簿模式ECB
相同明文相同密文 同样信息多次出现造
成泄漏 信息块可被替换 信息块可被重排 密文块损坏仅对应
明文块损坏 适合于传输短信息
密码块链接CBC
需要共同的初始化 向量IV
相同明文不同密 文
初始化向量IV可以 用来改变第一块
密文块损坏两明 文块损坏
安全性好于ECB
密码反馈方式CFB
➢ RC5版本:RC5-w/r/b ➢ 算法作者建议标定版本为RC5-32/12/16
RC5加密算法
三个基本运算
➢ 字的加法,模2w +
➢ 按位异或
⊕
➢ 左循环移位
<<<
算法:
LE0 = A + S[0] RE0 = B + S[1] for i = 1 to r do
LEi = ((LEi-1⊕REi-1) <<< REi-1 + S[2*i] REi = ((REi-1⊕LEi) <<< LEi + S[2*i+1]
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
15 16
凯撒密码攻击实例
i 0 1 2 3 4 5 6 ϕ(i) 0.0482 0.0364 0.0410 0.0575 0.0252 0.0190 0.0660 i 7 8 9 10 11 12 ϕ(i) 0.0442 0.0202 0.0267 0.0635 0.0262 0.0325 i 13 14 15 16 17 18 ϕ(i) 0.0520 0.0535 0.0226 0.0322 0.0392 0.0299 i 19 20 21 22 23 24 25 ϕ(i) 0.0315 0.0302 0.0517 0.0380 0.0370 0.0316 0.0430
• 自然的扩展:使用字母序列作为密钥
19
20
Vigènere表
5.2.2.1 Vigènere密码
• 密钥的长度称为密文的周期 • 重合指数(index of coincidence)用于测量 密文中的字母频率的差异,它定义为从密 文中随机选择2个字母可能相同的概率,用 IC表示 • 令Fc为密文字母c的频率,N为密文长度, 可证明:
5.2 古典密码系统
古典密码系统有2种基本类型: • 换位密码 • 替代密码
9
10
5.2.1 换位密码
• 换位密码(transposition cipher)通过重新编 排明文中的字母顺序得到密文,而所有的 字母并没有改变 • 例如光栅密码(Rail-Fence Cipher)
– 明文:HELLO WORLD – 重排为: HLOOL ELWRD – 密文:HLOOL ELWRD
Vigènere密码攻击实例
• 1 2 3 4 5 6 • 计算每列的每个字符出现次数,有以下结果: ABCDEFGHIJKLMNOPQRSTUVWXYZ 31004011301001300112000000 10022210013010000010404000 12000000201140004013021000 21102201000010431000000211 10500021200000500030020000 01110022311012100000030101 而原始字母表应具有的频率特征如下(H high, M medium, L low): HMMMHMMHHMMMMHHMLHHHMLLLLL
21
22
5.2.2.1 Vigènere密码
• 根据英语模型的不同周期IC期望值:
周期 1 2 3 4 5 10 大周期 0.038
5.2.2.1 Vigènere密码
一个普鲁士骑兵军官Kaskski的发现:当密 钥字符序列重复出现在相同的字符上时, 密文字符会发生重复,重复字符序列之间 的字母数是密文周期的倍数。例如:
5 6
• 假若密钥为3,则“HELLO”
“KHOOR”
1
5.1 什么是密码学
攻击类型: • 数学攻击
– 基于对密码系统的基本数学原理的分析 a b c d e f g
7
实例:英语中的字母频率表
0.080 0.015 0.030 0.040 0.130 0.020 0.015 h i j k l m 0.060 0.065 0.005 0.005 0.035 0.030 n o p q r s 0.070 0.080 0.020 0.002 0.065 0.060 t u v 0.090 0.030 0.010
信息安全
内容
• • • • 什么是密码学 古典密码系统 公钥密码学 密码校验和
第5章 密码学基础
梁彬 中国人民大学信息学院计算机系 V 1.0
2
5.1 什么是密码学
• 密码学(Cryptography)这个词源自两个意 为“秘密书写”的希腊词,是一门隐匿消息的 艺术和科学 • 密码分析(Cryptanalysis):研究破译密码 • 密码学的基础组件是密码系统(cryptosystem)
实例
• 以HE排列为线索重排密文:
HE LL OW OR LD
• 以H结尾的2字母频率
– WH 0.0026 – EH, LH, OH, RH, DH ≤ 0.0002
• 可以读出“HELLOWORLD”
• 假设E紧跟H
13 14
5.2.2 替代密码
• 替代密码(Substitution Ciphers)通过改变 明文中的字符产生密文 • 例如凯撒密码,假若密钥为3,则:
字母序列 MI OO OEQ O O G FV AA MOC QO PC NE SV CH
25
Vigènere密码攻击实例
• 字母重复情况如下:
开始 5 22 24 39 43 50 56 69 77 94 118 结束 15 27 54 63 87 122 105 117 83 97 124 间隔 10 2, 5 5 5 30 2, 3, 5 24 2, 2, 2, 3 44 2, 2, 11 72 2, 2, 2, 3, 3 49 7, 7 48 2, 2, 2, 2, 3 6 2, 3 3 3 6 2, 3 间隔因子 可能长度 … … 6… 6… … 6… … 6… 6… … 6…
• 按此替换密文得到: ADIYS RIUKB OCKKL IFTAG PAUEF VATAS BMTFV EGGOP CNEKI RWCXS ANSNP HHEUL AJEOC MIUAX
MIGHK CIITW HSSEW QONOF
AZOTO EOCNO NECSE EEGOS
EIOOL EIOOL DDAAA WLPCM
5.1 什么是密码学
• 攻击: 假设攻击者知道加密明文的算法,而不知道具体 的密钥(即知道D和E),可使用以下3种攻击方 法:
– 唯密文(ciphertext only)攻击,攻击者只拥有消息的 密文,目的是找出相应的明文,如果可能,也可能试 图寻找密钥; – 已知明文(known plaintext)攻击,攻击者拥有密文和 这些密文对应的明文,目的是找到以上明密文所用的 密钥; – 选择明文(chosen plaintext)攻击,攻击者可以对一些 特定的明文进行加密,可得到明文所对应的密文,目 的是找到以上明密文所用的密钥。
5.1 什么是密码学
• 定义5.1:密码系统是一个五元组(E, D, M, K, C)
– M是明文集 – K是密钥集 – C是密文集 – E:M × K → C是加密函数集 – D:C × K → M是解密函数集
3
4
实例
• 凯撒密码(Cæsar cipher)
– M = { 字母序列 } – K = { i | i 为整数,并且 0 ≤ i ≤ 25 } – E = { Ek | k ∈ K 且对所有的 m∈M, Ek(m) = (m + k) mod 26 } – D = { Dk | k ∈ K且对所有的 c ∈C, Dk(c) = (26 + c – k) mod 26 } –C=M
key VIGVIGVIGVIGVIGV plain THEBOYHASTHEBALL cipher OPKWWECIYOPKWIRG 重复密文之间间隔9个字母,是密文周期3的倍数
23 24
期望IC值 0.066 0.052 0.047 0.045 0.044 0.041
4
Vigènere密码攻击实例
ϕ(i) = Σ0 ≤ c ≤ 25 f(c)p(c – i) = 0.1p(6 – i) + 0.1p(7 – i) + 0.1p(10 – i) + 0.3p(14 – i) + 0.2p(17 – i) + 0.1p(20 – i) + 0.1p(25 – i) – f(c)为字母c在密文中的出现频率,p(x)为字母x在英语中 的出现频率 – 所有算术计算均mod 26
11
5.2.1 换位密码
• 换位密码攻击
– 如果单字母的出现频率与明文语言的一个模型 匹配,而双字母频率不匹配,那么该消息可能 使用换位密码 – 可能的攻击方式是按照n字母组合频率重排密 文,重复测试,直到找到换位密码的换位模式
12
2
实例
• 密文:HLOOLELWRD • 以H开头的2字母频率:
– HE 0.0305 – HO 0.0043 – HL, HW, HR, HD < 0.0010
Vigènere密码攻击实例
• 最后一行中AJE可能意味着ARE,按此假设 则第2个字母表将A映射为S (密钥为S/18) • 对密文进行替换得到:
ALIYS INTAG BUTFV RECXS AREOC RICKB PACEF EGOOP ANANP MICAX OCKSL VATIS CNESI HHECL MIGHS CIITE HSSEE QONON AZOTO EOCNO NECSE EEGOS MIOOL MIOOL LDAAA ELPCM
17
凯撒密码攻击实例
• 基于ϕ最有可能的密钥:
– i = 6, ϕ(i) = 0.0660
• 明文:EBIIL TLOLA
– i = 10, ϕ(i) = 0.0635
• 明文: AXEEH PHKEW
– i = 3, ϕ(i) = 0.0575
• 明文:HELLO WORLD
– i = 14, ϕ(i) = 0.0535
– 明文:HELLO – 密文:KHOOR
凯撒密码攻击实例
凯撒密码很容易受到基于统计特征的唯密文攻击 • 考察密文 KHOOR ZUROG • 密文中字母出现频率:
G 0.1 R 0.2 H 0.1 K 0.1 O 0.3 U 0.1 Z 0.1
• 计算相关函数ϕ(i) , ϕ(i) 是密文中每个字母的出 现频率和英语中每个字母的出现频率的相关函数
29
30
5
Vigènere密码攻击实例
凯撒密码攻击实例
i 0 1 2 3 4 5 6 ϕ(i) 0.0482 0.0364 0.0410 0.0575 0.0252 0.0190 0.0660 i 7 8 9 10 11 12 ϕ(i) 0.0442 0.0202 0.0267 0.0635 0.0262 0.0325 i 13 14 15 16 17 18 ϕ(i) 0.0520 0.0535 0.0226 0.0322 0.0392 0.0299 i 19 20 21 22 23 24 25 ϕ(i) 0.0315 0.0302 0.0517 0.0380 0.0370 0.0316 0.0430
• 自然的扩展:使用字母序列作为密钥
19
20
Vigènere表
5.2.2.1 Vigènere密码
• 密钥的长度称为密文的周期 • 重合指数(index of coincidence)用于测量 密文中的字母频率的差异,它定义为从密 文中随机选择2个字母可能相同的概率,用 IC表示 • 令Fc为密文字母c的频率,N为密文长度, 可证明:
5.2 古典密码系统
古典密码系统有2种基本类型: • 换位密码 • 替代密码
9
10
5.2.1 换位密码
• 换位密码(transposition cipher)通过重新编 排明文中的字母顺序得到密文,而所有的 字母并没有改变 • 例如光栅密码(Rail-Fence Cipher)
– 明文:HELLO WORLD – 重排为: HLOOL ELWRD – 密文:HLOOL ELWRD
Vigènere密码攻击实例
• 1 2 3 4 5 6 • 计算每列的每个字符出现次数,有以下结果: ABCDEFGHIJKLMNOPQRSTUVWXYZ 31004011301001300112000000 10022210013010000010404000 12000000201140004013021000 21102201000010431000000211 10500021200000500030020000 01110022311012100000030101 而原始字母表应具有的频率特征如下(H high, M medium, L low): HMMMHMMHHMMMMHHMLHHHMLLLLL
21
22
5.2.2.1 Vigènere密码
• 根据英语模型的不同周期IC期望值:
周期 1 2 3 4 5 10 大周期 0.038
5.2.2.1 Vigènere密码
一个普鲁士骑兵军官Kaskski的发现:当密 钥字符序列重复出现在相同的字符上时, 密文字符会发生重复,重复字符序列之间 的字母数是密文周期的倍数。例如:
5 6
• 假若密钥为3,则“HELLO”
“KHOOR”
1
5.1 什么是密码学
攻击类型: • 数学攻击
– 基于对密码系统的基本数学原理的分析 a b c d e f g
7
实例:英语中的字母频率表
0.080 0.015 0.030 0.040 0.130 0.020 0.015 h i j k l m 0.060 0.065 0.005 0.005 0.035 0.030 n o p q r s 0.070 0.080 0.020 0.002 0.065 0.060 t u v 0.090 0.030 0.010
信息安全
内容
• • • • 什么是密码学 古典密码系统 公钥密码学 密码校验和
第5章 密码学基础
梁彬 中国人民大学信息学院计算机系 V 1.0
2
5.1 什么是密码学
• 密码学(Cryptography)这个词源自两个意 为“秘密书写”的希腊词,是一门隐匿消息的 艺术和科学 • 密码分析(Cryptanalysis):研究破译密码 • 密码学的基础组件是密码系统(cryptosystem)
实例
• 以HE排列为线索重排密文:
HE LL OW OR LD
• 以H结尾的2字母频率
– WH 0.0026 – EH, LH, OH, RH, DH ≤ 0.0002
• 可以读出“HELLOWORLD”
• 假设E紧跟H
13 14
5.2.2 替代密码
• 替代密码(Substitution Ciphers)通过改变 明文中的字符产生密文 • 例如凯撒密码,假若密钥为3,则:
字母序列 MI OO OEQ O O G FV AA MOC QO PC NE SV CH
25
Vigènere密码攻击实例
• 字母重复情况如下:
开始 5 22 24 39 43 50 56 69 77 94 118 结束 15 27 54 63 87 122 105 117 83 97 124 间隔 10 2, 5 5 5 30 2, 3, 5 24 2, 2, 2, 3 44 2, 2, 11 72 2, 2, 2, 3, 3 49 7, 7 48 2, 2, 2, 2, 3 6 2, 3 3 3 6 2, 3 间隔因子 可能长度 … … 6… 6… … 6… … 6… 6… … 6…
• 按此替换密文得到: ADIYS RIUKB OCKKL IFTAG PAUEF VATAS BMTFV EGGOP CNEKI RWCXS ANSNP HHEUL AJEOC MIUAX
MIGHK CIITW HSSEW QONOF
AZOTO EOCNO NECSE EEGOS
EIOOL EIOOL DDAAA WLPCM
5.1 什么是密码学
• 攻击: 假设攻击者知道加密明文的算法,而不知道具体 的密钥(即知道D和E),可使用以下3种攻击方 法:
– 唯密文(ciphertext only)攻击,攻击者只拥有消息的 密文,目的是找出相应的明文,如果可能,也可能试 图寻找密钥; – 已知明文(known plaintext)攻击,攻击者拥有密文和 这些密文对应的明文,目的是找到以上明密文所用的 密钥; – 选择明文(chosen plaintext)攻击,攻击者可以对一些 特定的明文进行加密,可得到明文所对应的密文,目 的是找到以上明密文所用的密钥。
5.1 什么是密码学
• 定义5.1:密码系统是一个五元组(E, D, M, K, C)
– M是明文集 – K是密钥集 – C是密文集 – E:M × K → C是加密函数集 – D:C × K → M是解密函数集
3
4
实例
• 凯撒密码(Cæsar cipher)
– M = { 字母序列 } – K = { i | i 为整数,并且 0 ≤ i ≤ 25 } – E = { Ek | k ∈ K 且对所有的 m∈M, Ek(m) = (m + k) mod 26 } – D = { Dk | k ∈ K且对所有的 c ∈C, Dk(c) = (26 + c – k) mod 26 } –C=M
key VIGVIGVIGVIGVIGV plain THEBOYHASTHEBALL cipher OPKWWECIYOPKWIRG 重复密文之间间隔9个字母,是密文周期3的倍数
23 24
期望IC值 0.066 0.052 0.047 0.045 0.044 0.041
4
Vigènere密码攻击实例
ϕ(i) = Σ0 ≤ c ≤ 25 f(c)p(c – i) = 0.1p(6 – i) + 0.1p(7 – i) + 0.1p(10 – i) + 0.3p(14 – i) + 0.2p(17 – i) + 0.1p(20 – i) + 0.1p(25 – i) – f(c)为字母c在密文中的出现频率,p(x)为字母x在英语中 的出现频率 – 所有算术计算均mod 26
11
5.2.1 换位密码
• 换位密码攻击
– 如果单字母的出现频率与明文语言的一个模型 匹配,而双字母频率不匹配,那么该消息可能 使用换位密码 – 可能的攻击方式是按照n字母组合频率重排密 文,重复测试,直到找到换位密码的换位模式
12
2
实例
• 密文:HLOOLELWRD • 以H开头的2字母频率:
– HE 0.0305 – HO 0.0043 – HL, HW, HR, HD < 0.0010
Vigènere密码攻击实例
• 最后一行中AJE可能意味着ARE,按此假设 则第2个字母表将A映射为S (密钥为S/18) • 对密文进行替换得到:
ALIYS INTAG BUTFV RECXS AREOC RICKB PACEF EGOOP ANANP MICAX OCKSL VATIS CNESI HHECL MIGHS CIITE HSSEE QONON AZOTO EOCNO NECSE EEGOS MIOOL MIOOL LDAAA ELPCM
17
凯撒密码攻击实例
• 基于ϕ最有可能的密钥:
– i = 6, ϕ(i) = 0.0660
• 明文:EBIIL TLOLA
– i = 10, ϕ(i) = 0.0635
• 明文: AXEEH PHKEW
– i = 3, ϕ(i) = 0.0575
• 明文:HELLO WORLD
– i = 14, ϕ(i) = 0.0535
– 明文:HELLO – 密文:KHOOR
凯撒密码攻击实例
凯撒密码很容易受到基于统计特征的唯密文攻击 • 考察密文 KHOOR ZUROG • 密文中字母出现频率:
G 0.1 R 0.2 H 0.1 K 0.1 O 0.3 U 0.1 Z 0.1
• 计算相关函数ϕ(i) , ϕ(i) 是密文中每个字母的出 现频率和英语中每个字母的出现频率的相关函数
29
30
5
Vigènere密码攻击实例