6密码学理论

Leabharlann Baidu4a b 17 19 a b 3
0.040
0.024
Y
Z
0.020
0.001
M
这个系统有唯一的解 a 6, b 19 (Z 26 )。但这是一个非法的密钥， 因为 gcd(a,26) 2 1 。所以我们假设有误。 我们下一个猜想可能是R是e的加密，E是t的加密。得 a 8 ， 又是不可能的。继续假定R是e的加密且K是t的加密。这产生 了a 3, b 5 ，至少是一个合法的密钥。剩下的事是计算相应于k ＝（3，5）的解密函数，然后解密密文看是否得到了有意义的英 文串。容易证明这是一个有效的密钥。 最后的密文是： algorithms are quite general definitions of arithmetic processes
• 例8.1 设有一个密码系统明文空间 P a, b 的概率分布 为 p P (a) 1 / 4, p P (b) 3 / 4 ； 密钥空间 K k1 , k 2 , k 3 的概率分布为p (k ) 1 / 2, p (k ) p (k ) 1 / 4 。 密文空间 C 1,2,3,4，且假定加密函数为 c 1 2 3 4 e (a) 1, e (b) 2; e (a) 2, e (b) 3; e (a) 3, e (b) 4 。 1/8 7/16 1/4 3/16 p ( ) 可用右边的加密矩阵表示： 则按上述公式我们很容易计算出密文空间的概率分布及关于 明文的条件分布： a b 1） 密文空间的概率分布表如下： 2 2）明文关于密文的条件分布 p(m c) 表如下： k 1 2 3 k 明文空间的熵为：
• 实用密码体系
– 每个加密函数和每个解密函数应当能有效地被计算。 – 即使看到密文串y，窃听者Oscar确定所用的密钥k 或明文串x是不可行的。
• 数学模型
– 样本空间
P M L m (m1 , m2 , mL ) ml M ,1 l L
L
– 密钥空间 C Y – 密文空间 C k ek (m) m P
且 d ( y , y , , y ) ( y k , y k , y 所有的运算都在 Z 中。
k 1 2 m 1 1 2 2
m
km )
26
• 例 2.4 设m＝6，且密钥字是CIPHER,这相应于密钥。假定明文 串是 this cryptosystem is not secure 首先将明文串转化为数字串，按6个一组分段，然后模26“加”上 密钥字得：
Θ: a
Ξ: D
b
E
c
F
d
G
e
H
f
I
g
J
h
K
i
L
j
M
k
N
l
O
m
P
n Q
o R
p S
q T
r U
s V
t W
u X
v Y
w Z
x A
y B
z C
若明文为： please confirm receipt 则密文为：SOHDVE FRQILUP UHFHLSW
• 安全性分析
– 移位密码是极不安全的（mod26），因为 它可被穷举密钥搜索所分析：仅有26个可 能的密钥，尝试每一个可能的加密规则，直 到一个有意义的明文串被获得。平均地说， 一个明文在尝试26/2＝13解密规则后将显 现出来。
第8章 密码学的信息论基础
8.1 古典密码学
• • • • • 基本概念 单表代换密码 仿射密码 Vigenère密码 希尔密码
基本概念
• • • • • 明文：信源发送的待加密消息 密文：加密后的消息。 密码编码学：研究加密技术 密码分析学：研究密码分析技术 密钥K：控制明文信息M转换成密文乱码C。
字母
概率 0.082 0.015 0.028 0.043 0.127 0.022 0.020
字母 N O P Q R S T
概率 0.067 0.075 0.019 0.001 0.060 0.063 0.091
0.061
0.070 0.002 0.008
U
V W X
0.028
0.010 0.023 0.001
• 密码算法：规定了明密文之间的变换规则，密钥 可视做算法参数。 • 加密：明文转换到密文C EK ( P) • 解密：密文转换到明文 P DK (C ) DK EK1 • 密钥K：控制明文信息M转换成密文乱码C。
单表代换密码
单表代换密码是对明文的所有字母都用 一个固定的明文字母表到密文字母表的 映射，即 f : Z q Z q 。令明文 m m m ,则 相应地密文为 c e(m) c c f (m ) f (m ) 。
• 唯密文攻击法分析单表和多表代换密码 是可行的。
• 但用唯密文攻击法分析多字母代换密码 如Hill密码是比较困难的。分析多字母代 换多用已知明文攻击法。
2.2.1 单表代换密码分析
• 例 2.7 假设从仿射密码获得的密文为： FMXVEDKAPHFERBNDKRXRSREFMORUDSDKDVSHVUFEDK APRKDLYEVLRHHRH 仅有57个密文字母，但足够分析仿射密码。
P C ( Z 26 ) m ，又 设m是某个固定的正整数，
• 例 2.5 假定密钥是，则。现在我们加密明文july
分为两个明文组（9，20）（相应于ju）和（11，24）（相应于 ly）。计算如下：
11 8 (9,20) 3 7 (99 60,72 140 ) (3,4)
p P ( m) p P (m c)
p
k cCk
k m d k ( c )
p (k )
K
K
(k ) p P (d k (c))
– 知道明文空间和密钥空间概率分布的任何人都 能确定密文空间的概率分布和明文空间关于密 文空间的条件概率分布。 – 基于Kerckhoffs假设，密码分析者知道明文统 计特性、加密体制、密钥空间及其统计特性， 但是不知道加密截获密文c所使用的密钥k，明 文m是安全的
0 1
0 1
0
1
• 几类简单的单表代换密码
– 移位密码（Shift Cipher） 设P C K Z , 对0 k 25, 定义 且 ek ( x) x k mod 26
26
d k ( y) y k
mod 26
x, y Z 26
• 例2．1 恺撒（Caesar）密码是k＝3的情况。即通过简单的向右 移动源字母表3个字母则形成如下代换字母表
8.2基于信息论的密码学理 论
• 保密系统的数学模型 • 形式化定义
保密系统的数学模型
信源
m
编码器
信道
干扰器 图8.1 通信系统模型
译码器
m
信宿
信源
m
加密器
c
信道
解密器
m
接收者 分析者
密钥 k
c
图8.2 保密系统模型
分析者
发送者
m
加密
c
无噪信道 安全信道
解密
m
接收者
m
信源
k
密钥源
k
图8.3 Shannon的保密系统模型
仿射密码
• 仿射密码
– 设 P C Z ，且
26
K (a, b) Z 26 Z 26 : gcd(a, 26) 1
对 k (a, b) K ，定义
e( x) ax b mod 26
且
d k ( y) a 1 ( y b) mod 26
( x, y Z 26 )
L'
p P (m) p(m1 , m2 ,, m L ) p(ml )
l 1
pC (c)
p
k cCk
K
(k ) pP (d k (c))
pC (c | m)
– 密文空间的统计特性由明文和密钥统计特性决定。
k m Dk ( c )

pK ( k )
– 根据贝叶斯公式，在给定密文发生的条件下，某个 明文发生的条件概率
Vigenère密码
• Vigenère密码
– 设m是某固定的正整数，定义 P C K (Z 对一个密钥 k (k , k ,, k ) ，我们定义
1 2 m
) m， 26
ek ( x1 , x2 ,, xm ) ( x1 k1 , x2 k 2 ,, xm k m )
形式化定义
一个密码系统（Cryptosystem）是一个五元组 （P,C,K,E,D)满足条件：
（1）P是可能明文的有限集；（明文空间） （2）C是可能密文的有限集；（密文空间） （3）K是一切可能密钥构成的有限集；（密钥空间） （4）任意 ,有一个加密算法 和相应的解密 ek E分别为加密、 k K 算法 ，使得 和 dk D dk : C P 。 解密函数，满足 e : P C
20 17
4
2 8 15 22 25 19
相应的密文串将是: VPXZGIAXIVWPUBTTMJPWIZITWZT 解密过程与加密过程类似,不同的只是进行模26减,而不是模26加。
• 多字母代换密码（Polygram substitution cipher）——Hill 密码
– 设K m m可逆阵，Z 26 ；对任意 k K，定义 ek ( x) xk ， 则 d k ( y ) yk 1 。 – 其中所有的运算都是在 Z 26 中进行。
K 1 K 2 K 3
k1
k1
k2
k2
k3
k3
C
1
2
1 1 3 3 3 H ( P) log 2 log 2 2 (log 2 3) 0.81 4 4 4 4 4
k3
3
4 b 0 6/7 3/4 1
c\m a 1 1 1/7 1/4 0 2 3 4
• Kerckhoffs假设：攻击方知道所用的密码系统。 • 简单的单表代换密码，如移位密码，仅统计标出最高 频度字母再与明文字母表字母对应决定出移位量，就 差不多得到正确解了。也很容易用穷举密钥搜索来破 译。 • 一般的仿射密码，多考虑几个密文字母统计表与明文 字母统计表的匹配关系也不难解出。 • 结论：一个密码系统是安全的一个必要条件是密钥空 间必须足够大，使得穷举密钥搜索破译是不可行的。
因此，july的加密是DELW。
• 密码分析（或称攻击）分类
8.1.2 古典密码的破译
– 唯密文分析（攻击），密码分析者取得一个或多个 用同一密钥加密的密文； – 已知明文分析（攻击），除要破译的密文外，密码 分析者还取得一些用同一密钥加密的明密文对； – 选择明文分析（攻击），密码分析者可取得他所选 择的任何明文所对应的密文（当然不包括他要恢复 的明文），这些明密文对和要破译的密文是用同一 密钥加密的； – 选择密文分析（攻击），密码分析者可取得他所选 择的任何密文所对应的明文（要破译的密文除外）， 这些密文和明文和要破译的密文是用同一解密密钥 解密的，它主要应用于公钥密码体制。
k
d k (ek ( x)) x, 这里, x P
• 安全性评价 – 无条件安全性 若密文中不含明文的任何信息，则认为该密码体制 是安全的，否则就认为是不安全的。已经证明，达 到这样高等级（完善）的安全性，仅当所用密钥的 长度不短于加密的发送消息的总长度才有可能。 – 有条件安全性 把搭线者提取明文信息的可能性改为搭线者提取明 文信息的可行性，这种安全性称为有条件安全性， 即搭线者在一定的计算资源条件下，他不能从密文 恢复出明文。
表2.3 26个英文字母的概率分布
最高频的密文字母是：R(8次)， A D（6次），E，H，K（各五次）， B C F，S，V（各四次）。 开始，我们可以假定R是e的加密 D E 且D是t的加密，因为e和t分别是 F 两个最常见的字母。数值化后， G 我们有 ek (4) 17且ek (19) 3 。 H 回忆加密函数 ek ( x) ax b 。 I J 所以得到两个含两个未知量的 K 线性方程组： L
19 7 8 18 2 17
24 2 0 15 19 14 18 24
2 8 15 7 4 17 21 15 23 25 6 8
18 2 21 19 4 12 8 18 8 15 7 4 17 1 19 19 12 9
8 15 7 4 17 23 8 21 22 15
13 14 19 18 4
2
2 8 15 7 4 17 15 22 8 25 8 19