您的位置:360文档中心› 武汉大学密码学课件-张焕国教授

武汉大学密码学课件-张焕国教授

合集下载

武汉大学《密码学》课件第六讲 工作模式

武汉大学《密码学》课件第六讲 工作模式
z 设T1,T2 ,…,Tn-1,Tn 是一给定的计数序列,
M1 , M2 , … , Mn-1 , Mn 是 明 文 , 其 中 M1 , M2,…,Mn-1是标准块,Mn 的可能是标准块,也 可能是短块。设其长度等于u,u小于等于分组长 度。
29
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式
z 2000年美国学者J0hn Black和Phllip Rogaway提出 X CBC模式,作为CBC模式的扩展,被美国政府 纳作为标准。
z X CBC主要是解决了CBC要求明文数据的长度是 码分组长度的整数倍的限制,可以处理任意长的数 据。如果用分组密码是安全的,则密钥序列就是安 全的。
23
二、分组密码的工作模式
z X CBC模式的主要缺点: 有填充,不适合文件和数据库加密。
使用3个密钥,需要传输填充长度,控制复杂。
28
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式 z CTR模式是Diffie和Hellman于1979年提出的,在征
集AES工作模式的活动中由California大学的Phillip Rogaway等人的推荐。
CTR模式的优点是安全、高效、可并行、适合任意长度 的数据;
Oi的计算可预处理高速进行; 由于采用了摸2加实现加密,是对合运算,解密运算与加
密运算相同。 适合随机存储数据的解密。
z CTR模式的缺点:
没有错误传播,因此不易确保数据完整性。
33
三、短块加密
z分组密码一次只能对一个固定长度的明文
(密文)块进行加(解)密。
z称长度小于分组长度的数据块为短块。 z必须采用合适的技术解决短块加密问题。 z短块处理技术:

第十四讲 密码协议 武汉大学密码学

第十四讲 密码协议 武汉大学密码学
一、密码协议的概念 二、密码协议的设计与分析
5
一、密码协议的概念
1. 协议的概念
所谓协议(Protocol),就是指两个或两个以 的参与者为了完成某一特定任务而采取的一系 列执行步骤。 这里包含了三层含意:
① 协议是一个有序的执行过程。每一步骤都必须执行, 且执行是依序进行的。随意增加和减少执行步骤或改 步骤的执行顺序,都是对协议的篡改或攻击。 ② 协议至少要有两个参与者。虽然一个人可以通过执行 系列的步骤来完成某种任务,但是它不构成协议。 ③ 协议的执行必须能完成某种任务。
① 密钥建立协议
网络通信系统中的密钥建立协议,用于在通信的各方之间 建立会话密钥。会话密钥是用于保护一次会话通信的密 钥。协议中的密码算法可以采用对称密码,也可以采用公 钥密码。
② 认证协议
网络通信系统中的认证协议主要包括身份认证协议,通信 站点认证协议,报文认证协议等。
14
一、密码协议的概念
4. 协议分类
③ 身份认证和密钥建立协议
把身份认证和密钥建立结合起来,形成了认证和密钥建立 协议。首先进行通信实体的身份认证,然后建立会话密 钥,随后通信实体就可以进行保密通信了。这类协议是保 密通信中最常用的一类协议。
④ 电子商务协议
在电子商务中通过协议进行电子交易和电子支付,电子商 务除了关心秘密性、完整性外,还十分关心交易的公平 性。
2
目录
第十讲 第十一讲 第十二讲 第十三讲 第十四讲 第十五讲 第十六讲 第十七讲 第十八讲 公钥密码基础 中国商用公钥密码SM2加密算法 数字签名基础 中国商用公钥密码SM2签名算法 密码协议 认证 密钥管理:对称密码密钥管理 密钥管理:公钥密码密钥管理 复习
3
教材与主要参考书

武汉大学密码学课件-张焕国教授

武汉大学密码学课件-张焕国教授

二、分组密码的工作模式
2、密文反馈链接模式(CBC)
①明密文链接方式(Plaintext and Ciphertext Block Chaining)
• 设 明文 M=(M1 ,M2 ,…,Mn ),
密钥为K,
密文 C = ( C1 ,C2 ,…,Cn ),
其中 Ci=
E(Mi ⊕Z ,K), E(Mi ⊕Mi-1 ⊕Ci-1,K),
二、分组密码的工作模式
5、X CBC (Extended Cipher Block
Chaining Encryption)模式
• X CBC模式的主要优点:
• 可以处理任意长度的数据。 • 适于计算产生检测数据完整性的消息认证码
MAC。
• X CBC模式的主要缺点:
• 有填充,不适合文件和数据库加密。 • 使用3个密钥,需要传填充长度,复杂。
Cn =
E(Mn ⊕Cn -1 ⊕K2,K1), 当Mn 不是短块;
E(PAD(Mn)⊕Cn -1 ⊕K3,K1),当Mn是短块。
二、分组密码的工作模式
5、X CBC (Extended Cipher Block
Chaining Encryption)模式
• X CBC与CBC区别:
♣CBC要求最后一个数据块是标准块,不是短 块。 ♣ X CBC既允许最后一个数据块是标准块,也 允许是短块。 ♣最后一个数据块的加密方法与 CBC不同。 ♣ 因为有填充,需要传输填充长度信息。
一、计算机数据的特殊性
1、存在明显的数据模式:
• 根据明文相同、密钥相同,则密文相同的道 理,这些固有的数据模式将在密文中表现出 来。
• 掩盖明文数据模式的方法: 预处理技术(随机掩盖) 链接技术

武汉大学密码学课件-张焕国教授

武汉大学密码学课件-张焕国教授

密码学(第四讲)中国商用密码SMS4张焕国武汉大学计算机学院目录1、密码学密码学的基本概念的基本概念2、古典、古典密码密码3、数据加密标准(、数据加密标准(DES DES))4、高级高级数据加密标准(数据加密标准(AES AES))5、中国商用密码(中国商用密码(SMS4SMS4))6、分组密码的应用技术7、序列密码8、习题课:复习对称密码9、公开密钥密码(、公开密钥密码(11)目录公开密钥密码(22)1010、11、数字签名(1)12、数字签名(2)13、、HASH函数131414、15、15PKI技术1616、、PKI17、习题课:复习公钥密码18、总复习一、我国的密码分级:①核心密码:用于保护党、政、军的核心机密。

②普通密码:用于保护国家和事企业单位的低于核心机密而高于商业机密的密码信息。

③商用密码:用于保护国家和事企业单位的非机密的敏感信息。

④个人密码:用于保护个人的隐私信息。

前三种密码均由国家密码管理局统一管理。

一、我国的密码政策二、我国商的业密码政策①统一领导:国家密码管理局统一领导。

②集中管理:国家密码管理局办公室集中管理。

③定点研制:研制只允许定点单位进行。

④专控经营:经许可的单位才能经营。

⑤满足使用:国内各单位都可申请使用。

一、我国的密码政策一、我国商用密码概况⑴密码的公开设计原则密码的安全应仅依赖于对密钥的保密,不依赖于对算法的保密。

⑵公开设计原则并不要求使用时公开所有的密码算法核心密码不能公布算法;核心密码的设计也要遵循公开设计原则。

⑶商用密码应当公开算法①美国DES 开创了公开商用密码算法的先例;②美国经历DES (公开)→EES (保密)→AES (公开)。

③欧洲也公布③欧洲也公布商用商用密码算法密码算法二、我国商用密码SMS4⑷我国的商用密码概况●我国在密码技术方面具有优势:密码理论、密码分析●长期以来不公开密码算法,只提供密码芯片少数专家设计,难免有疏漏;难于标准化,不利于推广应用。

[整理版]武汉大学密码学课件-张焕国传授

[整理版]武汉大学密码学课件-张焕国传授

密码学(第八讲)复习对称密码学张焕国武汉大学计算机学院目录2密码3)4、高级)5)67、8、习题课:复习对称密码91)目录1010、11、1)122)13、函数13、、认证1414、15、15、、PKI技术16、161718/综合实验要求②偶数号的题目中的一部分由辅导老师在作业课上讲解,一部分点学生上台解答。

③第一讲复习题②密码的基本思想是什么?③密码分析有哪些类型?④什么是密码分析?什么是密码分析?密码分析有哪些类型?⑤⑥计算机的程序文件和数据库文件加密容易受到什么攻击?为什么?第二讲复习题①214365 ,k1 2 3 4 5 63 5 1 64 2P =第二讲复习题对明文④以英文为例,用加法密码,取密钥常数k= 7,k= 7,对明文INFORMATION SECURITY,进行加密,求出密文。

⑤p的i和,若p(i)=j,p(j)=i 。

⑥⑦第三讲复习题统:•具有文件加密和解密功能;••采用密文反馈链接和密文挪用短块处理技术;•具有较好的人机界面。

第三讲复习题①分析DES的弱密钥和半弱密钥。

②分析DES的互补对称性。

③证明DES的可逆性。

④证明DES的对合性。

⑤画出3密钥3DES第四讲复习题AES作为加密算法开发出文件加密软件系统:•具有文件加密和解密功能;••采用密文反馈链接和密文挪用短块处理技术;•具有较好的人机界面第四讲复习题1、对比、对比AES AES和和DES DES有什么不同?有什么不同?2、AES AES的解密算法与加密算法有什么不同?的解密算法与加密算法有什么不同?3、在、在GF GF((28)中,中,0101的逆元素是什么?的逆元素是什么?4、对于字节、对于字节““0000””和“0101””计算计算S S 盒的输出。

5、证明、证明c(x)c(x)与与d(x)d(x)互逆,模互逆,模x x 4+1+1。

6、证明证明::x i mod (x 4+1)=x i mod 4第四讲复习题①复习有限域理论②证明:C(x)=03x3+01x2+01x+02D(x)=0Bx3+0Dx2+09x+0E互逆。

武汉大学《密码学》课件第十三讲 HASH函数

武汉大学《密码学》课件第十三讲 HASH函数
z 目的:
与AES配套 增强安全性
z 与SHA-1比较:
结构相同 逻辑函数相同 摸算术相同
27
三、SHA-2 HASH函数
1、 SHA-2的概况
SHA参数比较
Hash码长度 消息长度 分组长度 字长度 迭代步骤数 安全性
SHA-1 160 <264 512 32 80 80
SHA-256 256 <264 512 32 64 128
SHA-384 384 <2128 1024 64 80 192
SHA-512 512 <2128 1024 64 80 256
注:1、所有的长度以比特为单位。
2、安全性是指对输出长度为n比特hash函数的生日攻击产生碰撞的工作量大约为2n/2

28
三、SHA-2 HASH函数
2、 SHA-512
注意:在① 、②步后,数据长度为1024的N倍。 将数据分成N块,每块1024位,进行迭代处理。
30
三、SHA-2 HASH函数
L位 消息
N×1024位
L 10…0 消息长度
1024位 M1
1024位 M2
1024位 MN
512位 IV F
+ H1 F
+ H2
z F块处理 z +为摸264加
⑹压缩函数
z 每轮对A,B,C,D,E进行20次迭代,四轮共80次迭代。 t为迭代次数编号,所以 0≤t≤79 。
z 其中,ft(B,C,D) = 第t步使用的基本逻辑函数; <<s 表示 32位的变量循环左移s位 W t表示从当前分组BLK导出的32位的字 K t表示加法常量,共使用4个不同的加法常量 +为 模232加法

第十六讲 对称密码密钥管理 武汉大学 密码学

第十六讲 对称密码密钥管理 武汉大学 密码学
18
三、传统密码的密钥管理
2、密钥产生
②二级密钥的产生
z 可以象产生主密钥那样产生真随机的二级密钥。 z 在主密钥产生后,也可借助于主密钥和一个强的密码算法来 产生二级密钥。 z 设RN1和RN2是真随机数,RN3是随机数,然后分别以它们为 密钥对一个序数进行四层加密,产生出二级密钥KN 。 KN=E(E(E(E(i,RN1),RN2),RN1),RN3) z 要想根据序数 i 预测出密钥 KN ,必须同时知道两个真随机数 RN1,RN2和一个随机数RN3,这是极困难的。
三、传统密码的密钥管理
2、密钥分配 zDiffie-Hellman密钥分配协议
安全性 x x 攻击一:截获 y A = α A mod p 和 y B = α B mod p ,求出私钥xA 和xB。但需要求解离散对数问题,这是困难的。 攻击二:通过截获的yA和yB直接求出密钥 K = α x A xB mod p , 问题的困难性尚未被证明, 人们普遍认为它是困难的 , 并把这一观点称为Diffie-Hellman假设。 中间人攻击:攻击者冒充A 与B联系获得一个共享密钥、 冒充B与A联系获得一个共享密钥,从而获得A和B之间的 信息。攻击性像位于A 和 B中间的一个“二传手”,所以称 为中间人攻击。 32
一、密钥管理的概念
z 密钥管理是一个很困难的问题。 z 历史表明,从密钥管理环节窃取秘密,要比 单纯从破译密码算法窃取秘密所花的代价小 得多。 z 在密码算法确定之后,密钥管理就成为密码 应用中最重要的问题!
7
二、密钥管理的原则
z 区分密钥管理的策略和机制
策略是密钥管理系统的高级指导。策略重在原则指导,而 不重在具体实现。策略通常是原则的、简单明确的。 机制是实现和执行策略的技术和方法。机制是具体的、复 杂繁琐的。 没有好的管理策略,再好的机制也不能确保密钥的安全。 相反,没有好的机制,再好的策略也没有实际意义。

武汉大学《密码学》课件第十四讲 认证

武汉大学《密码学》课件第十四讲 认证

26
四、报文认证
3、报文内容的认证
z 报文内容认证使接收方能够确认报文内容的真实 性,这可以通过验证消息认证码 的正确性来实现。
z 消息认证码MAC(Message Authentication Code) 是消息内容和密钥的公开函数,其输出是固定长度 的短数据块:
MAC=C(M,K)
27
四、报文认证
12
二、身份认证
1. 口令
z 利用数字签名方法验证口令 : ④ 份当有且效仅。当IDi= IDi*, Ni*=Ti+1时系统才确认用户身 ⑤ 它安不全存性储分于析系:统口中令,是所用以户任的何保人密都的不解可密能密得钥K到d;i ,
由虽于然K从e终i存端储到于系系统统的中通,道但上是传由输K的ei不是能签推名出数K据di ;而 播K不Tid,攻是i;且K击由d仅。i本于当但身系N必,统i*须=所为T对以每i+T1攻用i是实击户才施者设接保也置收护不了访。能已问通访,过问所截次以取数可获标以得志抗重
2
内容简介
第十讲 公钥密码(2) 第十一讲 数字签名(1) 第十二讲 数字签名(2) 第十三讲 HASH函数 第十四讲 认证 第十五讲 密码协议 第十六讲 密钥管理(1) 第十七讲 密钥管理(2) 第十八讲 复习
3
教材与主要参考书
教材
参考书
4
一、认证的概念
z 认证(Authentication)又称鉴别,确认,它是证实 某人某事是否名符其实或是否有效的一个过程。
① 采用传统密码 z 设A为发送方,B为接收方。A和B共享保密的密
钥KS。A的标识为IDA,报文为M,在报文中增加 标识IDA ,那么B认证A的过程如下:
A→B:< IDA ,E(IDA||M ,KS) > z B收到报文后用KS解密,若解密所得的发送方标

矩阵分解在密码中应用研究_张焕国

矩阵分解在密码中应用研究_张焕国

cryptosystems are highly secure, such as McEliece public key cryptosystem and Lattice-based cryptosystem. While some others are not, such as some knapsack public-key cryptosystems. Because the matrix calculation is very efficient, this advantage makes it highly efficient in matrix-based cryptosystems. Another advantage of matrix-based cryptosystems is that it has the potential to resist known quantum algorithms attacks. Advances in quantum computers threaten to break the currently used public key cryptosystems on commutative algebraic structures such as RSA, ECC, and EIGamal. This is because of Shor’s quantum algorithms for integer factoring and solving the DLP, the known public-key systems will be insecure when quantum computers become practical, while no quantum algorithms are found to solve certain mathematical problems on non-commutative algebraic structures. Most of experts believe that many public-key cryptosystems (such as Code-based cryptography, Lattice-based cryptography, MQ-based cryptography) on non-commutative algebraic structures used today have the potential to resist known quantum algorithms attacks. Multiplication of matrices have non-commutative attribute, so matrix-based cryptosystems have the potential to resist known quantum algorithms attacks. In order to construct a secure cryptosystem, especially design of a secure cryptography against the threat of quantum computing attacks, it is necessary to study matrix decomposition problems and computational complexity relating to the matrix decomposition. Taking into account the above scenarios, after introducing the methods and computational complexity relating to the matrix decomposition, design and cryptanalysis of matrix decomposition-based cryptosystems, are analyzed and reviewed in detail. At last, some challenges, together with the future directions of content-matrix decomposition-based cryptography are discussed. Key words: cryptography; post-quantum cryptography; computational complexity; matrix decomposition; equations solving

武汉大学密码学课件-张焕国教授

武汉大学密码学课件-张焕国教授

五、公钥基础设施PKI
1、签证机构CA
• 在PKI中,CA负责签发证书、管理和撤销证书。 CA严格遵循证书策略机构所制定的策略签发证 书。CA是所有注册用户所信赖的权威机构。
• CA在给用户签发证书时要加上自己的签名,以 确保证书信息的真实性。为了方便用户对证书 的验证,CA也给自己签发证书。这样,整个公 钥的分配都通过证书形式进行。
• 公钥定义为Q点,
Q=dG 。
二、公钥密码的密钥产生
• 对于椭圆曲线密码,其用户的私钥d和公 钥Q的生成并不困难。
• 困难的是其系统参数<p,a,b,G,n>的选取。 也就是椭圆曲线的选取。
• 一般认为,目前椭圆曲线的参数n和p的规 模应大于160位。
• 参数的越大,越安全,但曲线选择越困难, 资源的消耗也越多。
三、公钥密码的密钥分配
• 如果公钥的真实性和完整性受到危害,则 基于公钥的各种应用的安全将受到危害。
• C冒充A欺骗B的攻击方法: ①攻击者C在PKDB中用自己的公钥KeC替换用户A
的公钥KeA 。 ②C用自己的解密钥签名一个消息冒充A发给B。 ③B验证签名:因为此时PKDB中A的公开钥已经
替换为C的公开钥,故验证为真。 于是B以为攻击者C就是A。
五、公钥基础设施PKI
3、证书的签发
• 经过RA的注册批准后,便可向CA申请签发证 书。与注册方式一样,向CA申请签发证书可以 在线申请,也可以离线申请。特别是在 INTERNET环境中可以WEB浏览器方式在线申 请签发证书,越来越受到欢迎。
五、公钥基础设施PKI
3、证书的签发
CA签发证书的过程如下: • 用户向CA提交RA的注册批准信息及自己的身
• 为了方便证书的查询和使用,CA采用证书目录 的方式集中存储和管理证书。通常采用建立目 录服务器证书库的方式为用户提供证书服务。

武汉大学《密码学》课件第三讲 DES

武汉大学《密码学》课件第三讲 DES
改变; P3:对任一S盒和任一输入x,S(x)和S(x⊕001100)至少有
两位发生变化(这里x是一个长度为6的比特串); P4:对任何S盒和任一输入x,以及e,f∈{0,1},有
S(x)≠S(x⊕11ef00),其中x是一个长度为6的比特串; P5:对任何S盒,当它的任一输入比特位保持不变,其它5
1 58 50 42 34 26 18 7 62 54 46 38 30 22
10 2 59 51 43 35 27 14 6 61 53 45 37 29
19 11 3 60 52 44 36 21 13 5 28 20 12 4
③说明:矩阵中第一个数字47,表明原密钥中的第47位移到C0 中的第一位。
1 15 23 26 5 18 31 10
2 8 24 14 32 27 3 9
19 13 30 6 22 11 4 25
29
八、DES的解密过程
DES的加密算法是对合运算,因此解密和加密可共 用同一个算法。
不同点:子密钥使用的顺序不同。 第一次解密迭代使用子密钥 K16 ,第二次解密迭代
密码学
第三讲 数据加密标准(DES)
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
内容简介
第一讲 信息安全概论 第二讲 密码学的基本概念 第三讲 数据加密标准(DES) 第四讲 高级数据加密标准(AES) 第五讲 中国商用密码(SMS4) 第六讲 分组密码的应用技术 第七讲 序列密码 第八讲 复习 第九讲 公钥密码(1)
23
七、加密函数 f
④代替函数组S(S盒) zS盒的一般性质
S盒是DES中唯一的非线性变换,是DES安全的关键。 在保密性方面,起混淆作用。 共有8个S盒,并行作用。 每个S盒有6个输入,4个输出,是非线性压缩变换。 设输入为b1b2b3b4b5b6 ,则以b1b6组成的二进制数为行

武汉大学《密码学》课件第二讲 密码学的基本概论

武汉大学《密码学》课件第二讲 密码学的基本概论
⑶ 迭代与乘积
z 迭代:设计一个轮函数,然后迭代。 z 乘积:将几种密码联合应用。
28
三、古典密码
虽然用近代密码学的观点来看,许多古 典密码是很不安全的。但是我们不能忘记古 典密码在历史上发挥的巨大作用。
另外,编制古典密码的基本方法对于编制 近代密码仍然有效。 z 古典密码编码方法:
置换,代替,加法
③商用密码:
用于保护国家和事企业单位的非机密的敏感信息。
④个人密码:
用于保护个人的隐私信息。 前三种密码均由国家密码管理局统一管理!
6
一、我国的密码政策
我国商用密码政策:
①统一领导:
国家密码管理局统一领导。
②集中管理:
国家密码管理局办公室集中管理。
③定点研制:
只允许定点单位进行研制。
④专控经营:
经许可的单位才能经营。
显然,理论上,对于任何可实用密码只要有足够 的资源,都可以用穷举攻击将其改破。
20
二、密码学的基本概念
5、密码分析 z穷举攻击 实例
1997年美国一个密码分析小组宣布:1万多人参 加,通过INTERNET网络,利用数万台微机,历 时4个多月,通过穷举攻破了DES的一个密文。
美国现在已有DES穷举机,多CPU并行处理,24 小时穷举出一个密钥。
性传输密钥,利用模2加进行加密,而且按一次一密方式 工作
16
二、密码学的基本概念
3、密码体制的分类
z 从是否基于数学划分 ⑵基于非数学的密码 ②DNA密码
基于生物学中的困难问题 由于不基于计算,所以无论计算机的计算能力多么强大,
与DNA密码都是无关的 尚不成熟
17
二、密码学的基本概念
E0
E1

信息系统安全第七讲密码技术

信息系统安全第七讲密码技术
①研究密码编制的科学称为密码编制学 (Cryptography) ②研究密码破译的科学称为密码分析学 (Cryptanalysis) ③而密码编制学和密码分析学共同组成密码学 (Cryptology)
16
一、密码学的基本概念
5、密码分析
①如果能够根据密文系统地确定出明文或密钥,或者能够根据明 文-密文对系统地确定出密钥,则我们说这个密码是可破译 的。 ②一个密码,如果无论密码分析者截获了多少密文和用什么方法 进行攻击都不能被攻破,则称为是绝对不可破译的。 ③绝对不可破译的密码在理论上是存在的。 ④理论上,任何可实际使用的密码都是可破译的。 ⑤密码学的基本假设:
13
S(E –τ) < S(E –τ+1) <
演化密码图示
一、密码学的基本概念
3、新型密码
量子密码 • 量子具有许多奇妙的特性,如测不准和不可克隆。 基于测不准和不可克隆特性,可实现保密通信。 • 基于量子力学可产生真随机数。 • 以量子真随机数作密钥,经过量子保密通信进行密 钥分配,用模2加进行加密,按一次一密方式工 作。这是目前比较成熟的量子密码。 • 量子密码尚不成熟。
信息系统安全
第七讲 密码技术-1
张焕国 赵波 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
内容简介
第一讲 信息系统安全概论 第二讲 信息系统物理与设备安全 第三讲 信息系统基础软件安全 第四讲 可信计算-1 第五讲 可信计算-2 第六讲 软件安全 第七讲 密码技术-1 第八讲 密码技术-2 第九讲 网络安全技术 第十讲 信息内容安全 第十一讲 信息对抗技术 第十二讲 讨论与总结
14
一、密码学的基本概念
3、新型密码 DNA密码
• DNA密码基于生物学中的某种困难问题。

武汉大学《密码学》课件第十讲 公钥密码(2)

武汉大学《密码学》课件第十讲 公钥密码(2)
z 设用同一个k加密两个不同的明文M和M’,相应的密 文为(C1 ,C2)和(C1’,C2’)。因为C2∕C2’= M∕M’,如果攻击者知道M,则很容易求出M’。
13
二、EIGamal公钥密码
⑸ ElGamal密码的应用
z 由于ElGamal密码的安全性得到世界公认,所以得 广泛的应用。著名的美国数字签名标准DSS,采用 ElGamal密码的一种变形。
y =αx mod p,1≤x≤p-1,
6
一、离散对数问题
2、离散对数问题
③求对数 x 的运算为 x=logαy,1≤x≤p-1
由于上述运算是定义在有限域Fp 上的,所以称为离散 对数运算。
z 从x计算y是容易的。可是从y计算x就困难得多,利 用目前最好的算法,对于小心选择的p将至少需用 O(p ½)次以上的运算,只要p足够大,求解离散对数 问题是相当困难的。
8
二、EIGamal公钥密码
⑵ 加密
z 将 明 文 消 息 M ( 0≤M≤p-1) 加 密 成 密 文 的 过 程 如 下:
①随机地选取一个整数k,2≤k≤p-2。 ②计算: U =y k mod p;
C1=αk mod p;
C2=UM mod p; ③取 C=(C1 ,C2)作为的密文。
9
二、EIGamal公钥密码
z 椭圆曲线密码已成为除RSA密码之外呼声最高的公 钥密码之一。
z 它密钥短,软件实现规模小、硬件实现电路节省。 z 由于椭圆曲线离散对数问题尚没有发现亚指数算
法 , 所 以 普 遍 认 为 , 椭 圆 曲 线 密 码 比 RSA 、 ElGamal密码更安全。160位长的椭圆曲线密码的安 全性相当于1024位的RSA密码,而且运算速度也较 快。

第七讲 祖冲之密码 武汉大学密码学

第七讲 祖冲之密码 武汉大学密码学
9
三、线性移位寄存器序列密码
z 回忆:GF(2)上的线性移位寄存器
g(x)=x4+x+1 g0=1
S0
g1=1
S1
g2=0
S2
g3=0
S3→v,v是临时工作变量 S1→S0, S2→S1, S3→S2, v →S3
10
三、线性移位寄存器序列密码
2. 密钥输出阶段,每运行一个节拍,执行下列过程 一次,并输出一个32比特的密钥字Z:
① BitReconstruction(); ② Z = F (X0, X1, X2) ⊕ X3; /产生32位密钥字Z/ ③ LFSRWithWorkMode()。
23
三、基于ZUC的机密性算法128-EEA3
密码学
第七讲 祖冲之密码
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
目录
第一讲 第二讲 第三讲 第四讲 第五讲 第六讲 第七讲 第八讲 第九讲 信息安全概论 密码学的基本概念 数据加密标准(DES) 高级数据加密标准(AES) 中国商用密码SMS4与分组密码应用技术 序列密码基础 祖冲之密码 中国商用密码HASH函数SM3 复习
z 用途
主要用于4G移动通信中移动用户设备UE和无线网络控制 设备RNC之间的无线链路上通信信令和数据的加解密工 作阶段: 加解密框图
DIRECTION BEARER LENGTH COUNT LENGTH CK DIRECTION BEARER COUNT
CK
ZUC 密钥序列字 明文 发送方 密文
2
目录
第十讲 第十一讲 第十二讲 第十三讲 第十四讲 第十五讲 第十六讲 第十七讲 第十八讲 公钥密码基础 中国商用公钥密码SM2加密算法 数字签名基础 中国商用公钥密码SM2签名算法 认证 密码协议 密钥管理:对称密码密钥管理 密钥管理:公钥密码密钥管理 复习

武汉大学密码学课件-张焕国教授

武汉大学密码学课件-张焕国教授

密码学(第一讲)的基本概念密码学的基本概念张焕国武汉大学计算机学院目录1、密码学密码学的基本概念的基本概念2、古典、古典密码密码3、数据加密标准(、数据加密标准(DES DES))4、高级高级数据加密标准(数据加密标准(AES AES))5、中国商用密码(、中国商用密码(SMS4SMS4))6、分组密码的应用技术7、序列密码8、习题课:复习对称密码9、公开密钥密码(、公开密钥密码(11)目录公开密钥密码(22)1010、11、数字签名(1)12、数字签名(2)13、、HASH函数131414、15、15PKI技术1616、、PKI17、习题课:复习公钥密码18、总复习一、信息安全学科概论1、信息安全学科建设z20012001年经教育部批准武汉大学创建了全国第一个信息安年经教育部批准武汉大学创建了全国第一个信息安全本科专业;z20072007年全国信息安全本科专业已达年全国信息安全本科专业已达7070多所高校多所高校;z20032003年经国务院学位办批准武汉大学建立年经国务院学位办批准武汉大学建立::信息安全硕士点;博士点;博士后流动站z20072007年年1月成立国家信息安全教指委z20062006年武汉大学信息安全专业获湖北省年武汉大学信息安全专业获湖北省““品牌专业品牌专业””z 武汉大学成为我国信息安全科学研究和人才培养的重要基地。

一、信息安全学科概论2、信息安全学科特点z信息安全学科是交叉学科:计算机、通信、数学、物理、生物、管理、法律等;z具有理论与实际相结合的特点;z信息安全技术强调整体性、系统性、底层性;z对信息安全来说,法律、管理、教育的作用很大,必须高度重视。

z人才是关键,人的综合素质是关键的关键!3、武汉大学的办专业思路以学信息安全为主,兼学计算机、通信,同时加强数学、物理、法律等基础,掌握信息安全的基本理论与技能,培养良好的品德素质。

一、信息安全学科概论二、信息安全的基本概念1、信息安全事关国家安全信息成为社会发展的重要战略资源,,信息成为社会发展的重要战略资源信息技术改变着人们的生活和工作方式。

《密码学》教案(很有价值)

《密码学》教案(很有价值)

《密码学》教案张焕国,唐明,伍前红武汉大学计算机学院一、教学目的本课程是计算机科学与技术、信息安全专业的专业选修课。

开设本课程的目的是使学生了解并掌握计算机安全保密所涉及的基本理论和方法,具备保障信息安全的基本能力。

二、教学要求通过讲授、讨论、实践,使学生了解计算机安全的威胁、密码学算法、安全技术的发展,熟悉计算机安全保密的基本概念、操作系统安全和网络安全,掌握计算机密码学的基本理论、基本方法、常见加密算法及其实现技术、应用方法,重点掌握传统加密算法、DES算法、AES算法、背包算法、RSA算法、ECC算法、DSA算法等。

第一讲密码学的基本概念一、信息安全学科概论1、信息安全学科建设2001年经教育部批准武汉大学创建了全国第一个信息安全本科专业;2007年全国信息安全本科专业已达70多所高校;2003年经国务院学位办批准武汉大学建立信息安全硕士点、博士点、博士后流动站2007年1月成立国家信息安全教指委2006年武汉大学信息安全专业获湖北省“品牌专业”武汉大学成为我国信息安全科学研究和人才培养的重要基地。

2、信息安全学科特点●信息安全学科是交叉学科:计算机、通信、数学、物理、生物、管理、法律等;●具有理论与实际相结合的特点;●信息安全技术强调整体性、系统性、底层性;●对信息安全来说,法律、管理、教育的作用很大,必须高度重视。

●人才是关键,人的综合素质是关键的关键!3、武汉大学的办专业思路以学信息安全为主,兼学计算机、通信,同时加强数学、物理、法律等基础,掌握信息安全的基本理论与技能,培养良好的品德素质。

二、信息安全的基本概念1、信息安全事关国家安全信息成为社会发展的重要战略资源,信息技术改变着人们的生活和工作方式。

信息产业成为新的经济增长点。

社会的信息化已成为当今世界发展的潮流。

信息获取、处理和安全保障能力成为综合国力的重要组成部分。

信息安全事关国家安全,事关社会稳定。

2、信息系统安全的概念能源、材料、信息是支撑现代社会大厦的三根支柱。

第八讲 HASH函数 武汉大学密码学

第八讲 HASH函数 武汉大学密码学

① 填充
z 对数据填充的目的是使填充后的数据长度为512的整数倍。 因为迭代压缩是对512位数据块进行的,如果数据的长度不 是512的整数倍,最后一块数据将是短块,这将无法处理。 z 设消息m长度为l 比特。首先将比特“1”添加到m的末尾,再 添加 k个“0”,其中,k是满足下式的最小非负整数。 l + 1 + k = 448 mod 512 z 然后再添加一个64位比特串,该比特串是长度l 的二进制表 示。填充后的消息 m 的比特长度一定为512的倍数。
18
二、中国商用密码Hash函数SM3
⑵ 算法描述 ① 填充
z 举例:对消息01100001 01100010 01100011,其长度l=24,经 填充得到比特串: l的二进制表示
423比特0 64比特
01100001 01100010 01100011 100 …… 00 00 … 011000
8
一、Hash函数的概念
2、Hash函数的类型
② 基于对称密码的Hash函数
z 对称密码已经十分成熟,可以利用它设计Hash函数。 z 成功实例
欧洲的Whirlpool算法 俄罗斯的Hash函数标准算法GOST R34.11-94 ANSI和ISO的基于分组密码的Hash函数标准
z z z
z 消息扩展的步骤如下:
① 将消息分组B(i)划分为16个字W0,W1,… ,W15。 ② FOR j=16 TO 67 Wj← P1(Wj−16 ⊕ Wj−9 ⊕ (Wj−3 <<< 15)) ⊕ (Wj−13 <<< 7) ⊕ Wj−6 ENDFOR ③ FOR j=0 TO 63 Wj′ = Wj ⊕ Wj+4 ENDFOR

公钥密码学进展

公钥密码学进展

公钥密码学进展伍前红张焕国武汉大学关键词:密码交换公钥加密密钥交换许多密码系统都要求用户之间有一个秘密信道,密钥交换的目的就是要建立一个这样的信道。

密钥交换协议是公钥密码系统中最基本、最核心的协议,也是公钥密码学的基础之一。

经典的密钥交换协议密钥交换协议的目的是使两方或多方在一个公开网络中协商出一个公共密钥。

经典的密钥协商协议有迪菲-赫尔曼(Diffie-Hellman(DH))协议[1]、布尔梅斯特-德梅特(Burmester-Desmedt (BD))协议[2]、尤克斯(Joux)协议和博内-席维伯格(Boneh-Silverberg(BS))协议。

这些巧妙的协议都是为静态群设计的,它们在被动攻击下是安全的。

但这种安全性只是直觉上的,除了2003年在假设迪菲-赫尔曼协议安全的条件下,布尔梅斯特-德梅特协议完成过安全性证明[3]外,其余协议的安全性都没有证明,而是直接作为密码学中的标准假设。

基本的迪菲-赫尔曼协议是一个单轮两方协议。

如果在每次会话中固定一方而让另一方动态改变,从迪菲-赫尔曼协议就可以得到一种公钥加密方案,即著名的盖莫尔(ElGamal)密码体制[4]。

布尔梅斯特-德梅特协议是一个两轮n方协议,作为目前效率最高的群密钥交换(Group Key Exchange,GKE)协议,其轮效率不受n的限制。

尤克斯协议是一个类似于DH协议的单轮三方协议,如果固定三方中的两方,从尤克斯协议就可以得到一个微型的广播加密方案,除了发送者,只有被固定下来的两方可以解密消息。

尤克斯协议只适用于三方密钥交换,到目前为止,是否能将其扩展到三方以上而不增加额外的轮数仍然是一个公开问题。

博内-席维伯格协议是一个单轮n+1方协议,它基于多线性对,但多线性对的构造本身也是一个公开问题。

如果将n个用户公开的消息作为他们的公钥,则该协议蕴含着一个n个用户的广播加密方案。

遗憾的是,多线性继迪菲(Diffie)和赫尔曼(Hellman)的开创性工作之后,密码学的研究从密室里走向了公开。

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

以其为连接多项式的线性移位寄存器的输出序列
为100110101111000··· ,它是周期为2 4-1=15的m
序列。
0001 0101
0010 1011
0100 0111
g0=1 g1=1 g2=0
S0
S1
S2
g3=0 S3
g4=1 1001 1111 0011 1110 0110 1100
1101 1000
18、总复习/检查:综合实验
一、序列密码的基本概念
①明文、密文、密钥以位(字符)为单位加
解密;
②模型
种子密钥
明文: m1,m2,…
密钥序列 产生器
密钥序列: k1,k2,… 密文: c1,c2,…
Ci = mi⊕ki
一、序列密码的基本概念
③人们用序列密码模仿 “一次一密 ” 密码; ④加密运算最简单,而且是对合运算; ⑤安全取决于密钥序列产生算法; ⑥理论和技术都十分成熟; ⑦核心密码的主流密码。
• 一般模型
F(s0,s1,…,sn-1)
输出
S0 S1
Sn-2 Sn-1
二、线性移位寄存器序列密码
1、线性移位寄存器(Linear Sift Registor) • 图中s0 ,s1 ,...,sn-1 组成左移移位寄存器,
并称每一时刻移位寄存器的取值为一个状态。
• 移位寄存器的输出同时要送入sn-1,其值要通过函
1010
二、线性移位寄存器序列密码
1、线性移位寄存器
• m序列具有良好的随机性:
游程:称序列中连续的i个1为长度等于i 的1游程,同样,称序列中连续的i个0为 长度等于i的0游程。 ①在一个周期内,0和 1出现的次数接近 相等,即0出现的次数为2 n - 1 -1,1出现 的次数为2 n-1 ;
二、线性移位寄存器序列密码
数 F(s0 ,s1 ,...,sn-1 )计算产生。
• 称函数 F(s0 ,s1 ,...,sn-1 )为反馈函数。 • 如果反馈函数 F(s0 ,s1 ,...,sn-1 )是
s0 ,s1 ,...,sn-1 的线性函数,则称为线性移位寄 存器,否则称为非线性移位寄存器。
二、线性移位寄存器序列密码
其中
K= k1 ,k2,...,k2n,
ki= mi⊕ci = mi ⊕(mi⊕ki)。
二、线性移位寄存器序列密码
2、线性移位寄存器序列密码
由此可以推出线性移位寄存器连续 n,k3 ,...,kn+1)T

作矩阵
Sn+1 =(kn+1,kn+2 ,...,k2n)T
密码学
(第七讲 )
序列密码
张焕国
武汉大学计算机学院
目录
1、密码学的基本概念 2、古典密码 3、数据加密标准(DES) 4、高级数据加密标准(AES) 5、中国商用密码(SMS4) 6、分组密码的应用技术
7、序列密码
8、习题课:复习对称密码 9、公开密钥密码(1)
目录
10、公开密钥密码(2) 11、数字签名(1) 12、数字签名(2) 13、HASH函数 14、认证 15、密钥管理 16、PKI技术 17、习题课:复习公钥密码
• 只要选择合适的连接多项式便可使线性移位寄存
器的输出序列周期达到最大值2n –1,并称此时的 输出序列为最大长度线性移位寄存器输出序列,
简称为m序列。
二、线性移位寄存器序列密码
1、线性移位寄存器
• 仅当连接多项式g(x)为本原多项式时,其线性移
位寄存器的输出序列为m序列。
• 设f(x)为GF(2)上的多项式,使f(x)| x p-1的
H=
...
S’=
S=
0 0 0 ...1
g0 g1...gn-1
s’n-1
sn-1
矩阵H称为连接多项式的伴侣矩阵。
二、线性移位寄存器序列密码
2、线性移位寄存器序列密码
进一步假设攻击者知道了一段长2n位的明密文对, 即已知:
M= m1,m2 ,...,m2n C= c1,c2 ,...,c2n 于是可求出一段长2n位的密钥序列,
因为m序列的线性移位寄存器连续 n个状态向 量彼此线性无关,因此X矩阵为满秩矩阵,故存
在逆矩阵X -1,于是 H=YX -1 mod 2
求 出H矩 阵, 便 确定出 连接多 项式 g(x), 从而 完全确定线性移位寄存器的结构。
例:m序列 1 0 0 1 1 0 1 0 1 1 1 1 0 0 0 连续4个状态 1001,0011,0110,1101线性无关
X =(S1,S2 ,...,Sn)T Y =(S2,S3 ,...,Sn+1)T
二、线性移位寄存器序列密码
2、线性移位寄存器序列密码
根据S’=HS mod 2,有 S2=HS1 S3=HS2 ... Sn+1=HSn
于是, Y=HX mod 2
二、线性移位寄存器序列密码
2、线性移位寄存器序列密码
设密文错误 c = c1, c2, c3, … cn-1, cn ( c2 错) ⊕ k= k1, k2, k3, … kn-1, kn (密钥正确) m=m1,×, m3, … mn-1, mn (仅 m2 错)
一、序列密码的基本概念
②自同步序列密码( Self- Synchronous Stream Cipher)
一、序列密码的基本概念
1、序列密码的分类
①同步序列密码(Synchronous Stream Cipher)
• 密钥序列产生算法与明文无关,所产生的密钥
序列也与明文无关。
• 在通信过程中,通信的双方必须保持精确的同
步,收方才能正确解密,如果失步收方将不能 正确解密。例如,如果通信中丢失或增加了一 个密文字符,则收方的解密将一直错误。
最小正整数p称为f(x)的周期。如果f(x)的次数为 n,且其周期为2 n-1,则称f(x)为本原多项式。
• 已经证明,对于任意的正整数n,至少存在一个n
次本原多项式。而且有有效的产生算法。
二、线性移位寄存器序列密码
1、线性移位寄存器
• 举例:设g(x)=x4 +x +1, g(x)为本原多项式,
移位寄存器序列为M序列。
• M序列的0,1分布和游分布是均匀的,而
且周期最大。
三、非线性序列密码
①非线性移位寄存器序列
• 非线性移位寄存器反馈函数的数量极大
GF(2)上的n级移位寄存器共有 2 n个状 态,因此共有 22n种不同的反馈函数,其中 线性反馈函数只有 2n-1种,其余均为非线 性。
二、线性移位寄存器序列密码
1、线性移位寄存器
• 形式地,用xi与si 相对应,则根据反馈函数
可导出一个文字x的多项式: g(x)= gn x n +gn-1 x n-1 +,...,+g1x +g0
• 称g(x) 为线性移位寄存器的连接多项式。
• 与图对照可知,gn=g0 =1。否则,若gn=0则
2、线性移位寄存器序列密码
• m序列具有良好的随机性; • 50年代开始用作密钥序列,并用于军用。 • 60年代发现其是不安全的。
二、线性移位寄存器序列密码
2、线性移位寄存器序列密码
设m序列线性移位寄存器的状态为
S=(s0,s1 ,...,sn-1)T, 下一状态为S’=(s’0,s’1 ,...,s’n-1)T ,其中
输出
S0 S1
• 例2 增加反馈
Sn-2 Sn-1
输入
移位 脉冲
输出
S0 S1
Sn-2 Sn-1
输入
移位 脉冲
二、线性移位寄存器序列密码
1、线性移位寄存器(Linear Sift Registor)
• 例3 增加运算

输出
S0 S1
Sn-2 Sn-1
输入
移位 脉冲
二、线性移位寄存器序列密码
1、线性移位寄存器(Linear Sift Registor)
• 密钥序列产生算法与明文(密文)相关,则所
产生的密钥序列与明文(密文)相关。
• 设密钥序列产生器具有 n位存储,则加密时一
位密文错误将影响后面连续 n个密文错误。在 此之后恢复正确。
• 解密时一位密文错误也将影响后面连续 n个明
文错。在此之后恢复正确。
• 加解密会造成错误传播。在错误过去之后恢复
正确。
二、线性移位寄存器序列密码
1、线性移位寄存器 ④自相关函数
1 ,τ=0
R(τ)=
-1/P ,0<τ≤P-1
m序列的自相关函数达到最佳值。
例: 1 0 0 1 1 0 1 0 1 1 1 1 0 0 0 001101011110001
A=7 D=8 R(τ ) = -1/15
二、线性移位寄存器序列密码
一、序列密码的基本概念
①同步序列密码
种子密钥k
种子密钥k
密钥序列 产生算法
密钥序列 产生算法
m1,m2, …
k1,k2,… c1,c2,…
Ci = mi⊕ki
k1,k2,… m1,m2,…
设密文失步 c = c1, c3, c4, … cn-1, cn ( c2 丢失)
⊕ k= k1, k2, k3, … kn-1, kn (密钥正确)
s’0 = s1 s’1 = s2
...
s’n-2= sn-1 s’n-1= g0s0+g1s1+,...,+gn-1sn-1
二、线性移位寄存器序列密码
2、线性移位寄存器序列密码
写成矩阵形式:S’=HS mod 2
0 1 0 ...0 0 0 1 ...0 0 0 0 ...0
相关文档
最新文档