第十六讲 对称密码密钥管理 武汉大学 密码学
合集下载
武汉大学《密码学》课件第六讲 工作模式
z 设T1,T2 ,…,Tn-1,Tn 是一给定的计数序列,
M1 , M2 , … , Mn-1 , Mn 是 明 文 , 其 中 M1 , M2,…,Mn-1是标准块,Mn 的可能是标准块,也 可能是短块。设其长度等于u,u小于等于分组长 度。
29
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式
z 2000年美国学者J0hn Black和Phllip Rogaway提出 X CBC模式,作为CBC模式的扩展,被美国政府 纳作为标准。
z X CBC主要是解决了CBC要求明文数据的长度是 码分组长度的整数倍的限制,可以处理任意长的数 据。如果用分组密码是安全的,则密钥序列就是安 全的。
23
二、分组密码的工作模式
z X CBC模式的主要缺点: 有填充,不适合文件和数据库加密。
使用3个密钥,需要传输填充长度,控制复杂。
28
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式 z CTR模式是Diffie和Hellman于1979年提出的,在征
集AES工作模式的活动中由California大学的Phillip Rogaway等人的推荐。
CTR模式的优点是安全、高效、可并行、适合任意长度 的数据;
Oi的计算可预处理高速进行; 由于采用了摸2加实现加密,是对合运算,解密运算与加
密运算相同。 适合随机存储数据的解密。
z CTR模式的缺点:
没有错误传播,因此不易确保数据完整性。
33
三、短块加密
z分组密码一次只能对一个固定长度的明文
(密文)块进行加(解)密。
z称长度小于分组长度的数据块为短块。 z必须采用合适的技术解决短块加密问题。 z短块处理技术:
M1 , M2 , … , Mn-1 , Mn 是 明 文 , 其 中 M1 , M2,…,Mn-1是标准块,Mn 的可能是标准块,也 可能是短块。设其长度等于u,u小于等于分组长 度。
29
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式
z 2000年美国学者J0hn Black和Phllip Rogaway提出 X CBC模式,作为CBC模式的扩展,被美国政府 纳作为标准。
z X CBC主要是解决了CBC要求明文数据的长度是 码分组长度的整数倍的限制,可以处理任意长的数 据。如果用分组密码是安全的,则密钥序列就是安 全的。
23
二、分组密码的工作模式
z X CBC模式的主要缺点: 有填充,不适合文件和数据库加密。
使用3个密钥,需要传输填充长度,控制复杂。
28
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式 z CTR模式是Diffie和Hellman于1979年提出的,在征
集AES工作模式的活动中由California大学的Phillip Rogaway等人的推荐。
CTR模式的优点是安全、高效、可并行、适合任意长度 的数据;
Oi的计算可预处理高速进行; 由于采用了摸2加实现加密,是对合运算,解密运算与加
密运算相同。 适合随机存储数据的解密。
z CTR模式的缺点:
没有错误传播,因此不易确保数据完整性。
33
三、短块加密
z分组密码一次只能对一个固定长度的明文
(密文)块进行加(解)密。
z称长度小于分组长度的数据块为短块。 z必须采用合适的技术解决短块加密问题。 z短块处理技术:
密码学与网络安全传统对称密钥密码分析课件
应对措施
为了防止穷举攻击,可以采用增加密钥长度、增加密码复杂 度、使用随机化等策略。
时序攻击与应对措施
时序攻击
时序攻击是一种利用密码生成或使用过程中的时间模式来破解密码的方法。
应对措施
为了防止时序攻击,可以采用加密时序、混淆时序、伪装时序等策略,使得攻击者无法通过时间模式 来破解密码。
统计分析攻击与应对措施
RSA算法的基本思想是利用两个不同大小的素数相乘产生一个公钥和一个私钥。公钥包括模数和两个素数的乘积 ,可以公开使用;私钥包括模数和两个素数的乘积,必须保密。加密过程使用公钥对明文进行加密,解密过程使 用私钥对密文进行解密。
03
对称密钥密码分析技术
穷举攻击与应对措施
穷举攻击
在密码分析中,穷举攻击是一种通过尝试所有可能的密钥组 合来破解密码的方法。
端口转发
SSH协议可以利用对称密钥加密算法,实现端口转发,将客户端的 数据通过安全的连接转发到服务器。
密钥分配与管理
SSH协议支持密钥的分配和管理,确保只有授权的用户能够访问特 定的资源。
WEP协议中的对称密钥应用
加密算法
WEP协议采用对称密钥加密算法 ,对传输的数据进行加密,确保 数据的机密性。
认证与授权
防止中间人攻击
利用对称密钥加密算法,SSL/TLS协 议可以防止中间人攻击,确保数据传 输的安全性。
SSL/TLS协议中的证书机制允许服务 器和客户端进行身份认证,同时通过 密钥交换实现数据传输的授权。
SSH协议中的对称密钥应用
远程登录
SSH协议利用对称密钥加密算法,实现远程登录,确保用户在远 程终端访问服务器时的数据安全。
统计分析攻击
统计分析攻击是一种利用密码生成或使 用过程中的统计规律来破解密码的方法 。
为了防止穷举攻击,可以采用增加密钥长度、增加密码复杂 度、使用随机化等策略。
时序攻击与应对措施
时序攻击
时序攻击是一种利用密码生成或使用过程中的时间模式来破解密码的方法。
应对措施
为了防止时序攻击,可以采用加密时序、混淆时序、伪装时序等策略,使得攻击者无法通过时间模式 来破解密码。
统计分析攻击与应对措施
RSA算法的基本思想是利用两个不同大小的素数相乘产生一个公钥和一个私钥。公钥包括模数和两个素数的乘积 ,可以公开使用;私钥包括模数和两个素数的乘积,必须保密。加密过程使用公钥对明文进行加密,解密过程使 用私钥对密文进行解密。
03
对称密钥密码分析技术
穷举攻击与应对措施
穷举攻击
在密码分析中,穷举攻击是一种通过尝试所有可能的密钥组 合来破解密码的方法。
端口转发
SSH协议可以利用对称密钥加密算法,实现端口转发,将客户端的 数据通过安全的连接转发到服务器。
密钥分配与管理
SSH协议支持密钥的分配和管理,确保只有授权的用户能够访问特 定的资源。
WEP协议中的对称密钥应用
加密算法
WEP协议采用对称密钥加密算法 ,对传输的数据进行加密,确保 数据的机密性。
认证与授权
防止中间人攻击
利用对称密钥加密算法,SSL/TLS协 议可以防止中间人攻击,确保数据传 输的安全性。
SSL/TLS协议中的证书机制允许服务 器和客户端进行身份认证,同时通过 密钥交换实现数据传输的授权。
SSH协议中的对称密钥应用
远程登录
SSH协议利用对称密钥加密算法,实现远程登录,确保用户在远 程终端访问服务器时的数据安全。
统计分析攻击
统计分析攻击是一种利用密码生成或使 用过程中的统计规律来破解密码的方法 。
《对称密钥密码》PPT课件
01 | 0000 1111 0111 0100 1110 0010 1101 0001 1010 0110 1100 1011 1001 0101 0011 1000
10 | 0100 0001 1110 1000 1101 0110 0010 1011 1111 1100 1001 0111 0011 1010 0101 0000
• 密码流的未来? – 密码学家Shamir: “密码流已步入死亡-the death of stream ciphers”-2004 – 或许太夸张…但分组密码是现今主流
对称密钥密码
11
分组密码 Block Ciphers
对称密钥密码
12
(Iterated) 分组密码(迭代)
• 密文和明文均是固定长度的分组(block) • 通过若干轮使用轮函数(round function)迭代产生密文 • 轮函数的输入由前一轮的输出和密钥组成 • 分别设计一个安全的分组密码或者一个高速的算法不难,但既安全又高效的算法
举更为有效的攻击方法
对称密钥密码
18
DES的分析
• DES是一种Feistel原理的密码系统(将明文分为两部分, 然后迭代)
– 64位为一个分段 – 56位长的密钥 – 经过16论迭代 – 每步迭代采用48位长的子密钥(?)
• 每步迭代很简单 • 安全性主要取决于“S盒”
– 每个S盒将6位映射为4位
---------------------------------------------------------------------------------------------------------------------------
00 | 1110 0100 1101 0001 0010 1111 1011 1000 0011 1010 0110 1100 0101 1001 0000 0111
AES
字节: GF(28) ={(a7,a6,…a1,a0) |ai∈ GF(2)} 多项式形式: GF(28) ={a7x7+…+a1x+a0 |ai∈ GF(2)} 指数形式:GF(28)*={α0, α1… α254}, α是一个本原元 对数形式:GF(28)*={0, 1… 254}
z GF(28)的特征为 2 。
不公开算法,只提供芯片; 新密码设计成双刃剑。它是安全的,但通过法律允许可破译监听; 民众要求公开算法,并去掉法律监督。
③1994年颁布新密码标准(EES)。 ④1995年5月贝尔实验室的博士生M.Blaze在PC 机上用45 分钟攻击法律监督字段获得成功。 ⑤1995年7月美国政府放弃用EES加密数据。 ⑥1997年美国政府向社会公开征AES。
25
四、AES的基本变换
4、S盒变换 ByteSub(State)
①S盒变换是AES的唯一的非线性变换,是AES安全的 关键,起密码学的混淆作用, ② AES 使用 16 个相同的 S 盒, DES 使用 8 个不相同的 S 盒。 ③AES的S盒有8位输入8位输出,是一种非线性置换。 DES的S盒有6位输入4位输出,是一种非线性压缩。
28
+
四、AES的基本变换
4、S盒变换 ByteSub(State)
z 注意: S盒变换的第一步是把字节的值用它的乘法逆来 代替,是一种非线性变换。 第二步是仿射运算,是线性变换。 系数矩阵中每列都含有 5个1,说明改变输入中的 任意一位,将影响输出中的 5位发生变化。 系数矩阵中每行都含有 5个1,说明输出中的每一 位,都与输入中的 5位相关。
密码学
第四讲 高级数据加密标准(AES)
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
z GF(28)的特征为 2 。
不公开算法,只提供芯片; 新密码设计成双刃剑。它是安全的,但通过法律允许可破译监听; 民众要求公开算法,并去掉法律监督。
③1994年颁布新密码标准(EES)。 ④1995年5月贝尔实验室的博士生M.Blaze在PC 机上用45 分钟攻击法律监督字段获得成功。 ⑤1995年7月美国政府放弃用EES加密数据。 ⑥1997年美国政府向社会公开征AES。
25
四、AES的基本变换
4、S盒变换 ByteSub(State)
①S盒变换是AES的唯一的非线性变换,是AES安全的 关键,起密码学的混淆作用, ② AES 使用 16 个相同的 S 盒, DES 使用 8 个不相同的 S 盒。 ③AES的S盒有8位输入8位输出,是一种非线性置换。 DES的S盒有6位输入4位输出,是一种非线性压缩。
28
+
四、AES的基本变换
4、S盒变换 ByteSub(State)
z 注意: S盒变换的第一步是把字节的值用它的乘法逆来 代替,是一种非线性变换。 第二步是仿射运算,是线性变换。 系数矩阵中每列都含有 5个1,说明改变输入中的 任意一位,将影响输出中的 5位发生变化。 系数矩阵中每行都含有 5个1,说明输出中的每一 位,都与输入中的 5位相关。
密码学
第四讲 高级数据加密标准(AES)
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
武汉大学密码学课件-张焕国教授
密码学(第四讲)中国商用密码SMS4张焕国武汉大学计算机学院目录1、密码学密码学的基本概念的基本概念2、古典、古典密码密码3、数据加密标准(、数据加密标准(DES DES))4、高级高级数据加密标准(数据加密标准(AES AES))5、中国商用密码(中国商用密码(SMS4SMS4))6、分组密码的应用技术7、序列密码8、习题课:复习对称密码9、公开密钥密码(、公开密钥密码(11)目录公开密钥密码(22)1010、11、数字签名(1)12、数字签名(2)13、、HASH函数131414、15、15PKI技术1616、、PKI17、习题课:复习公钥密码18、总复习一、我国的密码分级:①核心密码:用于保护党、政、军的核心机密。
②普通密码:用于保护国家和事企业单位的低于核心机密而高于商业机密的密码信息。
③商用密码:用于保护国家和事企业单位的非机密的敏感信息。
④个人密码:用于保护个人的隐私信息。
前三种密码均由国家密码管理局统一管理。
一、我国的密码政策二、我国商的业密码政策①统一领导:国家密码管理局统一领导。
②集中管理:国家密码管理局办公室集中管理。
③定点研制:研制只允许定点单位进行。
④专控经营:经许可的单位才能经营。
⑤满足使用:国内各单位都可申请使用。
一、我国的密码政策一、我国商用密码概况⑴密码的公开设计原则密码的安全应仅依赖于对密钥的保密,不依赖于对算法的保密。
⑵公开设计原则并不要求使用时公开所有的密码算法核心密码不能公布算法;核心密码的设计也要遵循公开设计原则。
⑶商用密码应当公开算法①美国DES 开创了公开商用密码算法的先例;②美国经历DES (公开)→EES (保密)→AES (公开)。
③欧洲也公布③欧洲也公布商用商用密码算法密码算法二、我国商用密码SMS4⑷我国的商用密码概况●我国在密码技术方面具有优势:密码理论、密码分析●长期以来不公开密码算法,只提供密码芯片少数专家设计,难免有疏漏;难于标准化,不利于推广应用。
武汉大学密码学课件-张焕国教授
以其为连接多项式的线性移位寄存器的输出序列
为100110101111000··· ,它是周期为2 4-1=15的m
序列。
0001 0101
0010 1011
0100 0111
g0=1 g1=1 g2=0
S0
S1
S2
g3=0 S3
g4=1 1001 1111 0011 1110 0110 1100
1101 1000
18、总复习/检查:综合实验
一、序列密码的基本概念
①明文、密文、密钥以位(字符)为单位加
解密;
②模型
种子密钥
明文: m1,m2,…
密钥序列 产生器
密钥序列: k1,k2,… 密文: c1,c2,…
Ci = mi⊕ki
一、序列密码的基本概念
③人们用序列密码模仿 “一次一密 ” 密码; ④加密运算最简单,而且是对合运算; ⑤安全取决于密钥序列产生算法; ⑥理论和技术都十分成熟; ⑦核心密码的主流密码。
• 一般模型
F(s0,s1,…,sn-1)
输出
S0 S1
Sn-2 Sn-1
二、线性移位寄存器序列密码
1、线性移位寄存器(Linear Sift Registor) • 图中s0 ,s1 ,...,sn-1 组成左移移位寄存器,
并称每一时刻移位寄存器的取值为一个状态。
• 移位寄存器的输出同时要送入sn-1,其值要通过函
1010
二、线性移位寄存器序列密码
1、线性移位寄存器
• m序列具有良好的随机性:
游程:称序列中连续的i个1为长度等于i 的1游程,同样,称序列中连续的i个0为 长度等于i的0游程。 ①在一个周期内,0和 1出现的次数接近 相等,即0出现的次数为2 n - 1 -1,1出现 的次数为2 n-1 ;
武汉大学《密码学》课件第十四讲 认证
26
四、报文认证
3、报文内容的认证
z 报文内容认证使接收方能够确认报文内容的真实 性,这可以通过验证消息认证码 的正确性来实现。
z 消息认证码MAC(Message Authentication Code) 是消息内容和密钥的公开函数,其输出是固定长度 的短数据块:
MAC=C(M,K)
27
四、报文认证
12
二、身份认证
1. 口令
z 利用数字签名方法验证口令 : ④ 份当有且效仅。当IDi= IDi*, Ni*=Ti+1时系统才确认用户身 ⑤ 它安不全存性储分于析系:统口中令,是所用以户任的何保人密都的不解可密能密得钥K到d;i ,
由虽于然K从e终i存端储到于系系统统的中通,道但上是传由输K的ei不是能签推名出数K据di ;而 播K不Tid,攻是i;且K击由d仅。i本于当但身系N必,统i*须=所为T对以每i+T1攻用i是实击户才施者设接保也置收护不了访。能已问通访,过问所截次以取数可获标以得志抗重
2
内容简介
第十讲 公钥密码(2) 第十一讲 数字签名(1) 第十二讲 数字签名(2) 第十三讲 HASH函数 第十四讲 认证 第十五讲 密码协议 第十六讲 密钥管理(1) 第十七讲 密钥管理(2) 第十八讲 复习
3
教材与主要参考书
教材
参考书
4
一、认证的概念
z 认证(Authentication)又称鉴别,确认,它是证实 某人某事是否名符其实或是否有效的一个过程。
① 采用传统密码 z 设A为发送方,B为接收方。A和B共享保密的密
钥KS。A的标识为IDA,报文为M,在报文中增加 标识IDA ,那么B认证A的过程如下:
A→B:< IDA ,E(IDA||M ,KS) > z B收到报文后用KS解密,若解密所得的发送方标
《对称密钥密码体系》PPT课件
(2)已知明文攻击 密码分析者已知的内容包括一个或多个明文-密文对以及截获的待解密密文。明
文-密文对被事先搜集。
Network and Information Security
(3)选择明文攻击 与已知明文攻击类似,不同点在于选择明文攻击的密码分析者可以自己 选定明文消息,并知道其对应的密文。
Network and Information Security
注意:Ke和Kd可以相同,也可以不同。
所有算法的安全性都基于密钥的安 全性,而不是基于算法细节的安全 性。
无数的事实已经证明,只有公开的 算法才是安全的。
Network and Information Security
2.1.3 对称密钥密码和非对称密钥 密码
基于密钥的算法通常有两类:对称算法和非对称算法。 对称算法有时又叫传统密码算法,就是加密密钥能够从解密密钥中容易地推
大使密冯码·技伯术恩是托一夫门发古出老的的加技密术电。报公。元前1世纪,著名的凯撒(Caesar)密码被 电用报于内高容卢建战议争与中墨,西这哥是结一成种对简抗单美易国行的的军单事字联母盟替,代但密被码英。国40号办公室情报机 关截20获世。纪英,国第通一过次外世交界部大将战电进报行全到文关交键给时美刻国,总英统国并破约译定密该码电的报专是门美机国构自“己4截0 获号并房破间译”的利。用缴获的德国密码本破译了著名的“齐默尔曼”电报,促使美国 放弃中立参战,改变了战争进程。
Network and Information Security
2.1 密码学原理 2.1.1 密码学的基本原理 1. 密码学的发展简史
早在四千多年以前,古埃及人就开始使用密码技术来保密要传递的消息。
一直到第一次世界大战前,密码技术的进展很少见诸于世,直到1918年, William F.Friedman的论文“The Index of Coincidence and Its Applications in Cryptography”(重合指数及其在密码学中的应用)发表时,情况才有所好转。
武汉大学密码学课件-张焕国教授
五、公钥基础设施PKI
1、签证机构CA
• 在PKI中,CA负责签发证书、管理和撤销证书。 CA严格遵循证书策略机构所制定的策略签发证 书。CA是所有注册用户所信赖的权威机构。
• CA在给用户签发证书时要加上自己的签名,以 确保证书信息的真实性。为了方便用户对证书 的验证,CA也给自己签发证书。这样,整个公 钥的分配都通过证书形式进行。
• 公钥定义为Q点,
Q=dG 。
二、公钥密码的密钥产生
• 对于椭圆曲线密码,其用户的私钥d和公 钥Q的生成并不困难。
• 困难的是其系统参数<p,a,b,G,n>的选取。 也就是椭圆曲线的选取。
• 一般认为,目前椭圆曲线的参数n和p的规 模应大于160位。
• 参数的越大,越安全,但曲线选择越困难, 资源的消耗也越多。
三、公钥密码的密钥分配
• 如果公钥的真实性和完整性受到危害,则 基于公钥的各种应用的安全将受到危害。
• C冒充A欺骗B的攻击方法: ①攻击者C在PKDB中用自己的公钥KeC替换用户A
的公钥KeA 。 ②C用自己的解密钥签名一个消息冒充A发给B。 ③B验证签名:因为此时PKDB中A的公开钥已经
替换为C的公开钥,故验证为真。 于是B以为攻击者C就是A。
五、公钥基础设施PKI
3、证书的签发
• 经过RA的注册批准后,便可向CA申请签发证 书。与注册方式一样,向CA申请签发证书可以 在线申请,也可以离线申请。特别是在 INTERNET环境中可以WEB浏览器方式在线申 请签发证书,越来越受到欢迎。
五、公钥基础设施PKI
3、证书的签发
CA签发证书的过程如下: • 用户向CA提交RA的注册批准信息及自己的身
• 为了方便证书的查询和使用,CA采用证书目录 的方式集中存储和管理证书。通常采用建立目 录服务器证书库的方式为用户提供证书服务。
武汉大学《密码学》课件第三讲 DES
改变; P3:对任一S盒和任一输入x,S(x)和S(x⊕001100)至少有
两位发生变化(这里x是一个长度为6的比特串); P4:对任何S盒和任一输入x,以及e,f∈{0,1},有
S(x)≠S(x⊕11ef00),其中x是一个长度为6的比特串; P5:对任何S盒,当它的任一输入比特位保持不变,其它5
1 58 50 42 34 26 18 7 62 54 46 38 30 22
10 2 59 51 43 35 27 14 6 61 53 45 37 29
19 11 3 60 52 44 36 21 13 5 28 20 12 4
③说明:矩阵中第一个数字47,表明原密钥中的第47位移到C0 中的第一位。
1 15 23 26 5 18 31 10
2 8 24 14 32 27 3 9
19 13 30 6 22 11 4 25
29
八、DES的解密过程
DES的加密算法是对合运算,因此解密和加密可共 用同一个算法。
不同点:子密钥使用的顺序不同。 第一次解密迭代使用子密钥 K16 ,第二次解密迭代
密码学
第三讲 数据加密标准(DES)
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
内容简介
第一讲 信息安全概论 第二讲 密码学的基本概念 第三讲 数据加密标准(DES) 第四讲 高级数据加密标准(AES) 第五讲 中国商用密码(SMS4) 第六讲 分组密码的应用技术 第七讲 序列密码 第八讲 复习 第九讲 公钥密码(1)
23
七、加密函数 f
④代替函数组S(S盒) zS盒的一般性质
S盒是DES中唯一的非线性变换,是DES安全的关键。 在保密性方面,起混淆作用。 共有8个S盒,并行作用。 每个S盒有6个输入,4个输出,是非线性压缩变换。 设输入为b1b2b3b4b5b6 ,则以b1b6组成的二进制数为行
两位发生变化(这里x是一个长度为6的比特串); P4:对任何S盒和任一输入x,以及e,f∈{0,1},有
S(x)≠S(x⊕11ef00),其中x是一个长度为6的比特串; P5:对任何S盒,当它的任一输入比特位保持不变,其它5
1 58 50 42 34 26 18 7 62 54 46 38 30 22
10 2 59 51 43 35 27 14 6 61 53 45 37 29
19 11 3 60 52 44 36 21 13 5 28 20 12 4
③说明:矩阵中第一个数字47,表明原密钥中的第47位移到C0 中的第一位。
1 15 23 26 5 18 31 10
2 8 24 14 32 27 3 9
19 13 30 6 22 11 4 25
29
八、DES的解密过程
DES的加密算法是对合运算,因此解密和加密可共 用同一个算法。
不同点:子密钥使用的顺序不同。 第一次解密迭代使用子密钥 K16 ,第二次解密迭代
密码学
第三讲 数据加密标准(DES)
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
内容简介
第一讲 信息安全概论 第二讲 密码学的基本概念 第三讲 数据加密标准(DES) 第四讲 高级数据加密标准(AES) 第五讲 中国商用密码(SMS4) 第六讲 分组密码的应用技术 第七讲 序列密码 第八讲 复习 第九讲 公钥密码(1)
23
七、加密函数 f
④代替函数组S(S盒) zS盒的一般性质
S盒是DES中唯一的非线性变换,是DES安全的关键。 在保密性方面,起混淆作用。 共有8个S盒,并行作用。 每个S盒有6个输入,4个输出,是非线性压缩变换。 设输入为b1b2b3b4b5b6 ,则以b1b6组成的二进制数为行
武汉大学《密码学》课件第二讲 密码学的基本概论
⑶ 迭代与乘积
z 迭代:设计一个轮函数,然后迭代。 z 乘积:将几种密码联合应用。
28
三、古典密码
虽然用近代密码学的观点来看,许多古 典密码是很不安全的。但是我们不能忘记古 典密码在历史上发挥的巨大作用。
另外,编制古典密码的基本方法对于编制 近代密码仍然有效。 z 古典密码编码方法:
置换,代替,加法
③商用密码:
用于保护国家和事企业单位的非机密的敏感信息。
④个人密码:
用于保护个人的隐私信息。 前三种密码均由国家密码管理局统一管理!
6
一、我国的密码政策
我国商用密码政策:
①统一领导:
国家密码管理局统一领导。
②集中管理:
国家密码管理局办公室集中管理。
③定点研制:
只允许定点单位进行研制。
④专控经营:
经许可的单位才能经营。
显然,理论上,对于任何可实用密码只要有足够 的资源,都可以用穷举攻击将其改破。
20
二、密码学的基本概念
5、密码分析 z穷举攻击 实例
1997年美国一个密码分析小组宣布:1万多人参 加,通过INTERNET网络,利用数万台微机,历 时4个多月,通过穷举攻破了DES的一个密文。
美国现在已有DES穷举机,多CPU并行处理,24 小时穷举出一个密钥。
性传输密钥,利用模2加进行加密,而且按一次一密方式 工作
16
二、密码学的基本概念
3、密码体制的分类
z 从是否基于数学划分 ⑵基于非数学的密码 ②DNA密码
基于生物学中的困难问题 由于不基于计算,所以无论计算机的计算能力多么强大,
与DNA密码都是无关的 尚不成熟
17
二、密码学的基本概念
E0
E1
z 迭代:设计一个轮函数,然后迭代。 z 乘积:将几种密码联合应用。
28
三、古典密码
虽然用近代密码学的观点来看,许多古 典密码是很不安全的。但是我们不能忘记古 典密码在历史上发挥的巨大作用。
另外,编制古典密码的基本方法对于编制 近代密码仍然有效。 z 古典密码编码方法:
置换,代替,加法
③商用密码:
用于保护国家和事企业单位的非机密的敏感信息。
④个人密码:
用于保护个人的隐私信息。 前三种密码均由国家密码管理局统一管理!
6
一、我国的密码政策
我国商用密码政策:
①统一领导:
国家密码管理局统一领导。
②集中管理:
国家密码管理局办公室集中管理。
③定点研制:
只允许定点单位进行研制。
④专控经营:
经许可的单位才能经营。
显然,理论上,对于任何可实用密码只要有足够 的资源,都可以用穷举攻击将其改破。
20
二、密码学的基本概念
5、密码分析 z穷举攻击 实例
1997年美国一个密码分析小组宣布:1万多人参 加,通过INTERNET网络,利用数万台微机,历 时4个多月,通过穷举攻破了DES的一个密文。
美国现在已有DES穷举机,多CPU并行处理,24 小时穷举出一个密钥。
性传输密钥,利用模2加进行加密,而且按一次一密方式 工作
16
二、密码学的基本概念
3、密码体制的分类
z 从是否基于数学划分 ⑵基于非数学的密码 ②DNA密码
基于生物学中的困难问题 由于不基于计算,所以无论计算机的计算能力多么强大,
与DNA密码都是无关的 尚不成熟
17
二、密码学的基本概念
E0
E1
武汉大学《密码学》课件第十讲 公钥密码(2)
z 设用同一个k加密两个不同的明文M和M’,相应的密 文为(C1 ,C2)和(C1’,C2’)。因为C2∕C2’= M∕M’,如果攻击者知道M,则很容易求出M’。
13
二、EIGamal公钥密码
⑸ ElGamal密码的应用
z 由于ElGamal密码的安全性得到世界公认,所以得 广泛的应用。著名的美国数字签名标准DSS,采用 ElGamal密码的一种变形。
y =αx mod p,1≤x≤p-1,
6
一、离散对数问题
2、离散对数问题
③求对数 x 的运算为 x=logαy,1≤x≤p-1
由于上述运算是定义在有限域Fp 上的,所以称为离散 对数运算。
z 从x计算y是容易的。可是从y计算x就困难得多,利 用目前最好的算法,对于小心选择的p将至少需用 O(p ½)次以上的运算,只要p足够大,求解离散对数 问题是相当困难的。
8
二、EIGamal公钥密码
⑵ 加密
z 将 明 文 消 息 M ( 0≤M≤p-1) 加 密 成 密 文 的 过 程 如 下:
①随机地选取一个整数k,2≤k≤p-2。 ②计算: U =y k mod p;
C1=αk mod p;
C2=UM mod p; ③取 C=(C1 ,C2)作为的密文。
9
二、EIGamal公钥密码
z 椭圆曲线密码已成为除RSA密码之外呼声最高的公 钥密码之一。
z 它密钥短,软件实现规模小、硬件实现电路节省。 z 由于椭圆曲线离散对数问题尚没有发现亚指数算
法 , 所 以 普 遍 认 为 , 椭 圆 曲 线 密 码 比 RSA 、 ElGamal密码更安全。160位长的椭圆曲线密码的安 全性相当于1024位的RSA密码,而且运算速度也较 快。
13
二、EIGamal公钥密码
⑸ ElGamal密码的应用
z 由于ElGamal密码的安全性得到世界公认,所以得 广泛的应用。著名的美国数字签名标准DSS,采用 ElGamal密码的一种变形。
y =αx mod p,1≤x≤p-1,
6
一、离散对数问题
2、离散对数问题
③求对数 x 的运算为 x=logαy,1≤x≤p-1
由于上述运算是定义在有限域Fp 上的,所以称为离散 对数运算。
z 从x计算y是容易的。可是从y计算x就困难得多,利 用目前最好的算法,对于小心选择的p将至少需用 O(p ½)次以上的运算,只要p足够大,求解离散对数 问题是相当困难的。
8
二、EIGamal公钥密码
⑵ 加密
z 将 明 文 消 息 M ( 0≤M≤p-1) 加 密 成 密 文 的 过 程 如 下:
①随机地选取一个整数k,2≤k≤p-2。 ②计算: U =y k mod p;
C1=αk mod p;
C2=UM mod p; ③取 C=(C1 ,C2)作为的密文。
9
二、EIGamal公钥密码
z 椭圆曲线密码已成为除RSA密码之外呼声最高的公 钥密码之一。
z 它密钥短,软件实现规模小、硬件实现电路节省。 z 由于椭圆曲线离散对数问题尚没有发现亚指数算
法 , 所 以 普 遍 认 为 , 椭 圆 曲 线 密 码 比 RSA 、 ElGamal密码更安全。160位长的椭圆曲线密码的安 全性相当于1024位的RSA密码,而且运算速度也较 快。
第七讲 祖冲之密码 武汉大学密码学
9
三、线性移位寄存器序列密码
z 回忆:GF(2)上的线性移位寄存器
g(x)=x4+x+1 g0=1
S0
g1=1
S1
g2=0
S2
g3=0
S3→v,v是临时工作变量 S1→S0, S2→S1, S3→S2, v →S3
10
三、线性移位寄存器序列密码
2. 密钥输出阶段,每运行一个节拍,执行下列过程 一次,并输出一个32比特的密钥字Z:
① BitReconstruction(); ② Z = F (X0, X1, X2) ⊕ X3; /产生32位密钥字Z/ ③ LFSRWithWorkMode()。
23
三、基于ZUC的机密性算法128-EEA3
密码学
第七讲 祖冲之密码
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
目录
第一讲 第二讲 第三讲 第四讲 第五讲 第六讲 第七讲 第八讲 第九讲 信息安全概论 密码学的基本概念 数据加密标准(DES) 高级数据加密标准(AES) 中国商用密码SMS4与分组密码应用技术 序列密码基础 祖冲之密码 中国商用密码HASH函数SM3 复习
z 用途
主要用于4G移动通信中移动用户设备UE和无线网络控制 设备RNC之间的无线链路上通信信令和数据的加解密工 作阶段: 加解密框图
DIRECTION BEARER LENGTH COUNT LENGTH CK DIRECTION BEARER COUNT
CK
ZUC 密钥序列字 明文 发送方 密文
2
目录
第十讲 第十一讲 第十二讲 第十三讲 第十四讲 第十五讲 第十六讲 第十七讲 第十八讲 公钥密码基础 中国商用公钥密码SM2加密算法 数字签名基础 中国商用公钥密码SM2签名算法 认证 密码协议 密钥管理:对称密码密钥管理 密钥管理:公钥密码密钥管理 复习
三、线性移位寄存器序列密码
z 回忆:GF(2)上的线性移位寄存器
g(x)=x4+x+1 g0=1
S0
g1=1
S1
g2=0
S2
g3=0
S3→v,v是临时工作变量 S1→S0, S2→S1, S3→S2, v →S3
10
三、线性移位寄存器序列密码
2. 密钥输出阶段,每运行一个节拍,执行下列过程 一次,并输出一个32比特的密钥字Z:
① BitReconstruction(); ② Z = F (X0, X1, X2) ⊕ X3; /产生32位密钥字Z/ ③ LFSRWithWorkMode()。
23
三、基于ZUC的机密性算法128-EEA3
密码学
第七讲 祖冲之密码
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
目录
第一讲 第二讲 第三讲 第四讲 第五讲 第六讲 第七讲 第八讲 第九讲 信息安全概论 密码学的基本概念 数据加密标准(DES) 高级数据加密标准(AES) 中国商用密码SMS4与分组密码应用技术 序列密码基础 祖冲之密码 中国商用密码HASH函数SM3 复习
z 用途
主要用于4G移动通信中移动用户设备UE和无线网络控制 设备RNC之间的无线链路上通信信令和数据的加解密工 作阶段: 加解密框图
DIRECTION BEARER LENGTH COUNT LENGTH CK DIRECTION BEARER COUNT
CK
ZUC 密钥序列字 明文 发送方 密文
2
目录
第十讲 第十一讲 第十二讲 第十三讲 第十四讲 第十五讲 第十六讲 第十七讲 第十八讲 公钥密码基础 中国商用公钥密码SM2加密算法 数字签名基础 中国商用公钥密码SM2签名算法 认证 密码协议 密钥管理:对称密码密钥管理 密钥管理:公钥密码密钥管理 复习
武汉大学密码学课件-张焕国教授
密码学(第一讲)的基本概念密码学的基本概念张焕国武汉大学计算机学院目录1、密码学密码学的基本概念的基本概念2、古典、古典密码密码3、数据加密标准(、数据加密标准(DES DES))4、高级高级数据加密标准(数据加密标准(AES AES))5、中国商用密码(、中国商用密码(SMS4SMS4))6、分组密码的应用技术7、序列密码8、习题课:复习对称密码9、公开密钥密码(、公开密钥密码(11)目录公开密钥密码(22)1010、11、数字签名(1)12、数字签名(2)13、、HASH函数131414、15、15PKI技术1616、、PKI17、习题课:复习公钥密码18、总复习一、信息安全学科概论1、信息安全学科建设z20012001年经教育部批准武汉大学创建了全国第一个信息安年经教育部批准武汉大学创建了全国第一个信息安全本科专业;z20072007年全国信息安全本科专业已达年全国信息安全本科专业已达7070多所高校多所高校;z20032003年经国务院学位办批准武汉大学建立年经国务院学位办批准武汉大学建立::信息安全硕士点;博士点;博士后流动站z20072007年年1月成立国家信息安全教指委z20062006年武汉大学信息安全专业获湖北省年武汉大学信息安全专业获湖北省““品牌专业品牌专业””z 武汉大学成为我国信息安全科学研究和人才培养的重要基地。
一、信息安全学科概论2、信息安全学科特点z信息安全学科是交叉学科:计算机、通信、数学、物理、生物、管理、法律等;z具有理论与实际相结合的特点;z信息安全技术强调整体性、系统性、底层性;z对信息安全来说,法律、管理、教育的作用很大,必须高度重视。
z人才是关键,人的综合素质是关键的关键!3、武汉大学的办专业思路以学信息安全为主,兼学计算机、通信,同时加强数学、物理、法律等基础,掌握信息安全的基本理论与技能,培养良好的品德素质。
一、信息安全学科概论二、信息安全的基本概念1、信息安全事关国家安全信息成为社会发展的重要战略资源,,信息成为社会发展的重要战略资源信息技术改变着人们的生活和工作方式。
对称密钥管理体系
对称密钥管理体系对称密钥管理体系指的是一种加密算法体系,其中采用了对称密钥加密机制来保证信息安全。
在对称密钥管理体系中,所有的用户或设备都使用同一个密钥来加密或解密信息,这就需要确保密钥的安全,以保护信息的机密性和完整性。
因此,对称密钥管理体系不仅包括对称密钥的生成和分发,还包括密钥的存储、更新和撤销等方面。
对称密钥生成是对称密钥管理的第一步,它通常使用安全的加密伪随机数生成器来产生足够强度的密钥。
密钥的强度取决于其长度和随机性,一般来说,越长、越随机的密钥越难被破解。
生成的密钥必须被保存在一个安全的存储介质中,在必要时才能被提取出来。
因为密钥是对称密钥管理体系中最为敏感的信息,因此其保存和传输需要非常谨慎。
对称密钥分发是对称密钥管理的第二步,它通常采用密钥交换协议来实现。
在密钥交换中,两个通信方利用加密算法协商一个共同的密钥,以便加密和解密彼此之间的通信。
密钥交换协议可以是基于公钥加密的协议,也可以是基于密码学哈希函数的协议,或者是基于Diffie-Hellman密钥交换的协议。
无论采用哪种协议,密钥交换中必须保证密钥的安全性和正确性,以避免在通信过程中出现意外或意外事件。
密钥存储、更新和撤销是对称密钥管理的重要方面。
在对称密钥管理体系中,密钥必须被安全地存储在本地或远程存储设备中。
对于本地存储,密钥必须被加密和保护,以防止恶意用户窃取它。
对于远程存储,密钥必须经过加密和身份验证授权,只有经过授权的用户才能访问它。
此外,为了保证通信安全,密钥必须定期更新,以避免被破解。
在某些情况下,例如网络攻击或安全威胁的存在,及时撤销密钥也是必要的,以确保系统的安全性。
密钥管理和PKI(武汉大学国际软件学院信息安全课程)
?每两个可能要进行安全通信的终端都必须同某个kdc共享密钥?当通信的终端数量很大会出现下列问题集中式密钥分配方案武汉大学国际软件学院2007s14?当通信的终端数量很大会出现下列问题?每个终端都要同许多密钥分配中心共享密钥增加了终端的成本和人工分发密钥分配中心和终端共享的主密钥的成本?需要几个特别大的密钥分配中心每个密钥分配中心都同几乎所有终端共享主密钥然而各个单位往往都希望自己来选择或建立自己的kdc?要求n个通信方保存多达nn12个主密钥适合于小型网络或一个大型网络的局部范围分散式密钥分配方案武汉大学国际软件学院2007s15发起方a发起方bidan1emkksidaidbfn1n2eksfn2公钥的密钥分配?获取通信方的公钥的多种途径?公钥的公开宣布?公开可用目录武汉大学国际软件学院2007s16?公开可用目录?公钥管理机构?公钥证书利用公钥进行对称加密密钥的分配?假定通信方a和b已经通过某种方法得到对方的公钥需要进行对称密钥的分配?13步进行身份认证45步由a产生密钥ks分配于b并与b共享武汉大学国际软件学院2007s17发起方a发起方bekubn1idaekuan1n2ekubn2ekubekraksdkuaekubekraks密钥的管理?密钥的生成?密钥的生成与所使用的密钥生成算法相关如果生成的密钥强度不一致则称该算法构成的密钥空间是非线性密钥空间空间是非线性密钥空间否则是线性密钥空间
密钥分配
所有的密码技术都依赖于密钥。 网络安全中,密钥的地位举足轻重。 如何安全可靠、迅速高效地分配密钥, 如何管理密钥一直是密码学领域的重 要问题。 密钥管理方法因所使用的密码体制不 同而不同。
武汉大学国际软件学院 2007-s 5
密钥分配
密钥的生存周期:授权使用该密钥的周 期
密钥分配
所有的密码技术都依赖于密钥。 网络安全中,密钥的地位举足轻重。 如何安全可靠、迅速高效地分配密钥, 如何管理密钥一直是密码学领域的重 要问题。 密钥管理方法因所使用的密码体制不 同而不同。
武汉大学国际软件学院 2007-s 5
密钥分配
密钥的生存周期:授权使用该密钥的周 期
密码学密钥分配和密钥管理共66页68页PPT
密码学密钥分配和密钥管理共66页
1、纪律是管理关系的形式。——阿法 纳西耶 夫 2、改革如果不讲纪律,就难以成功。
3、道德行为训练,不是通过语言影响 ,而是 让儿童 练习良 好道德 行为, 克服懒 惰、轻 率、不 守纪律 、颓废 等、教导儿童服从真理、服从集体,养 成儿童 自觉的 纪律性 ,这是 儿童道 德教育 最重要 的部分 。—— 陈鹤琴
谢谢你的阅读
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
1、纪律是管理关系的形式。——阿法 纳西耶 夫 2、改革如果不讲纪律,就难以成功。
3、道德行为训练,不是通过语言影响 ,而是 让儿童 练习良 好道德 行为, 克服懒 惰、轻 率、不 守纪律 、颓废 等、教导儿童服从真理、服从集体,养 成儿童 自觉的 纪律性 ,这是 儿童道 德教育 最重要 的部分 。—— 陈鹤琴
谢谢你的阅读
❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
信息安全工程师教程学习笔记之对称密码的密钥管理
信息安全工程师教程学习笔记之对称密码的密钥管理全国计算机技术与软件专业技术资格(水平)考试,这门新开的信息安全工程师分属该考试“信息系统”专业,位处中级资格。
官方教材《信息安全工程师教程》及考试大纲于7月1日出版,希赛小编整理了信息安全工程师教程学习笔记之对称密码的密钥管理,供大家参考学习。
本文主要介绍了基于传统对称密码体制下的一种密钥分配方案。
它将整个系统中的密钥从低到高分成三个等级——初级密钥、二级密钥和主机主密钥。
低级密要不会以明文的形式出现,而是以受高级密钥加密的形式传输和保存。
高级密钥存放在一种专有密码装置(硬件)的工作寄存器中(该寄存器的内容只能设置不能访问),并且相关的密码转换操作均在专有密码装置中进行,这样便保证了密钥装置内之外永不一明文的形式出现。
从而较好的提供了一种安全的密钥管理方案。
1.介绍根据近代密码学的观点,密码系统的安全应只取决于密钥的安全,而不取决于对算法的保密。
在计算机网络环境中,由于用户和节点很多,需要使用大量的密钥。
密钥的数量如此之大,而且又要经常更换,其产生、存贮、分配是极大的问题。
如无一套妥善的管理方法,其困难性和危险性是可想而知的。
以下的讨论基于这样一个事实:计算机网络中的各个节点或者是主机或者是终端。
为了简化密钥的管理工作,我们采用密钥分级策略。
我们将密钥分成初级密钥、二级密钥和主机主密钥三个级别。
1)初级密钥用于加解密数据的密钥称为初级密钥,记为K。
初级密钥可由系统应用实体请求通过硬件或软件方式自动产生,也可以由用户自己提供。
初级密钥仅在两个应用实体交换数据时才存在,它的生存周期很短,通常只有几分钟。
为了安全,初级密钥必须受更高一级的密钥的保护,直至它的生存周期结束为止。
一般而言,初级密钥为相互通信的两个进程所共享,在主机或终端上会同时存在多个初级密钥。
2)二级密钥二级密钥用以加密保护初级密钥,记作KN。
二级密钥的生存周期一般较长,它在较长时间里保持不变。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
18
三、传统密码的密钥管理
2、密钥产生
②二级密钥的产生
z 可以象产生主密钥那样产生真随机的二级密钥。 z 在主密钥产生后,也可借助于主密钥和一个强的密码算法来 产生二级密钥。 z 设RN1和RN2是真随机数,RN3是随机数,然后分别以它们为 密钥对一个序数进行四层加密,产生出二级密钥KN 。 KN=E(E(E(E(i,RN1),RN2),RN1),RN3) z 要想根据序数 i 预测出密钥 KN ,必须同时知道两个真随机数 RN1,RN2和一个随机数RN3,这是极困难的。
三、传统密码的密钥管理
2、密钥分配 zDiffie-Hellman密钥分配协议
安全性 x x 攻击一:截获 y A = α A mod p 和 y B = α B mod p ,求出私钥xA 和xB。但需要求解离散对数问题,这是困难的。 攻击二:通过截获的yA和yB直接求出密钥 K = α x A xB mod p , 问题的困难性尚未被证明, 人们普遍认为它是困难的 , 并把这一观点称为Diffie-Hellman假设。 中间人攻击:攻击者冒充A 与B联系获得一个共享密钥、 冒充B与A联系获得一个共享密钥,从而获得A和B之间的 信息。攻击性像位于A 和 B中间的一个“二传手”,所以称 为中间人攻击。 32
一、密钥管理的概念
z 密钥管理是一个很困难的问题。 z 历史表明,从密钥管理环节窃取秘密,要比 单纯从破译密码算法窃取秘密所花的代价小 得多。 z 在密码算法确定之后,密钥管理就成为密码 应用中最重要的问题!
7
二、密钥管理的原则
z 区分密钥管理的策略和机制
策略是密钥管理系统的高级指导。策略重在原则指导,而 不重在具体实现。策略通常是原则的、简单明确的。 机制是实现和执行策略的技术和方法。机制是具体的、复 杂繁琐的。 没有好的管理策略,再好的机制也不能确保密钥的安全。 相反,没有好的机制,再好的策略也没有实际意义。
13
三、传统密码的密钥管理
②二级密钥
z 二级密钥(Secondary Key)用于保护初级密钥,记作 KN ,这里N表示节点,源于它在网络中的地位。 z 当二级密钥用于保护初级通信密钥时称为二级通信 密钥,记为KNC。 z 当二级密钥用于保护初级文件密钥时称为二级文件 密钥,记为KNF。
14
三、传统密码的密钥管理
收端
27
三、传统密码的密钥管理
2、密钥分配
③初级密钥的分配 z 通常总是把一个随机数直接视为受高级密钥(主密 钥或二级密钥,通常是二级密钥)加密过的初级密 钥,这样初级密钥一产生便成为密文形式。 z 发端直接把密文形式的初级密钥通过计算机网络传 给收方,收端用高级密钥解密便获得初级密钥。
28
三、传统密码的密钥管理
二、密钥管理的原则
z 密钥更换原则。
密钥必须按时更换。否则,即使是采用很强的密 码算法,时间越长,被破译的可能性就越大。 理想情况是一个密钥只使用一次,但是完全的一 次一密是不现实的。 一般,初级密钥采用一次一密,中级密钥更换的 频率低些,主密钥更换的频率更低些。 密钥更换的频率越高,越有利于安全,但是密钥 的管理就越麻烦。实际应用时应当在安全和方便 之间折衷。
Vi+1
Ri
z 用作美国电子支付标准,因特网的PGP也采用。
22
三、传统密码的密钥管理
2、密钥产生
z ANSI X9.17
DTi Vi
AES AES AES
< K>
Vi+1
Ri AES方案
23
三、传统密码的密钥管理
2、密钥分配
z 密钥分配自古以来就是密钥管理中重要而薄弱的环 节。 z 过去,密钥的分配主要采用人工分配。 z 现在,应当利用计算机网络实现密钥分配的自动 化。 ①主密钥的分配 z 一般采用人工分配主密钥,由专职密钥分配人员分 配并由专职安装人员妥善安装。
对于一个大的系统,应当采用密钥分级的策略。 根据密钥的职责和重要性,把密钥划分为几个级别。 用高级密钥保护低级密钥,最高级的密钥由物理、技术和 管理安全保护。 这样,既可减少受保护的密钥的数量,又可简化密钥的管 理工作。 9 应当只分配给用户进行某一事务处理所需的最小的密钥集 合。 一个密钥应当专职一种功能,不要让一个密钥兼任几个功 能。 例如,用于加密的密钥不能用于签名。
密码学
第十六讲 密钥管理: 对称密码密钥管理
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
目录
第一讲 第二讲 第三讲 第四讲 第五讲 第六讲 第七讲 第八讲 第九讲 信息安全概论 密码学的基本概念 数据加密标准(DES) 高级数据加密标准(AES) 中国商用密码SM4与分组密码应用技术 序列密码基础 祖冲之密码 中国商用密码HASH函数SM3 复习
12
三、传统可通过硬件或软件方式自动产生,也可由 用户自己提供。 z 初级通信密钥和初级会话密钥原则上采用一个密钥 只使用一次的“一次一密”方式。 z 初级通信密钥的生存周期很短。 z 初级文件密钥与所保护的文件的生存周期一样长。 z 初级密钥必须受更高一级的密钥保护,直到它们的 生存周期结束为止。
2、密钥分配
产生KNC 网络信道 C=E(KNC, KM) C 存储C,使用时 KNC =D(C, KM)
主密钥KM
主密钥KM
发端 方案1原理图
收端
26
三、传统密码的密钥管理
2、密钥分配
产生RN 网络信道 RN RN
KNC =D(RN, KM)
KNC =D(RN, KM)
主密钥KM
主密钥KM
发端 方案2原理图
20
三、传统密码的密钥管理
2、密钥产生
④伪随机数的产生 z 二级密钥和初级密钥的产生都需要伪随机数。 z 伪随机性:随机,长周期,独立性,非线性 z 一般采用基于强密码算法的产生方法
21
三、传统密码的密钥管理
2、密钥产生
z ANSI X9.17
DTi Vi
3DES 3DES 3DES
<K1, K2>
二、中国商用公钥密码SM2签名算法
2、 密钥分配
z 中国商用密码SM2密钥分配协议
推荐使用256位素域GF(p)上的椭圆曲线: y2 = x3 + ax + b
p = 8542D69E 4C044F18 E8B92435 BF6FF7DE 45728391 5C45517D 722EDB8B 08F1DFC3 a = 787968B4 FA32C3FD 2417842E 73BBFEFF 2F3C848B 6831D7E0 EC65228B 3937E498 b = 63E4C6D3 B23B0C84 9CF84241 484BFE48 F61D59A5 B16BA06E 6E12D1DA 6E12D1DA n = 8542D69E 4C044F18 E8B92435 BF6FF7DD 29772063 0485628D 5AE74EE7 C32E79B7 h=1 Gx = 421DEBD6 1B62EAB6 746434EB C3CC315E 32220B3B ADD50BDC 4C4E6C14 7FEDD43D Gy = 0680512B CBB42C07 D47349D2 153B70C4 E5D7FDFC BFA36EA1 A85841B9 E46E09A2
16
三、传统密码的密钥管理
2、密钥产生
z 对密钥的一个基本要求是要具有良好的安全性:随 机性、非线性、等概性以及不可预测性等。 z 一个真正的随机序列是不可以人为控制再现的。任 何人都不能人为地控制再次产生它。
有限长度的随机序列会重复,但不能人为控制重复。 任何算法产生的随机数都不是真随机的,因为可人为控 制重复。
19
三、传统密码的密钥管理
2、密钥产生
③初级密钥的产生 z 为了安全和简便,通常总是把随机数RN直接视为受 高级密钥加密过的初级密钥:
RN=E(Ks,KM) 或 RN=E(Kf,KM), RN=E(Ks,KNC) 或 RN=E(Kf,KNF)。
z 使用初级密钥时,用高级密钥将随机数RN解密: Ks=D(RN,KM) 或 Kf=D(RN,KM), Ks=D(RN,KNC) 或 Kf=D(RN,KNF) z 好处:安全,一产生就是密文,方便。
②二级密钥
z 二级密钥的安装
可由专职密钥安装人员提供并安装。 也可经专职密钥安装人员批准,由系统自动产生。 二级密钥的生存周期一般较长,它在较长的时间内保持 不变。
z 二级密钥必须接受高级密钥的保护。
15
三、传统密码的密钥管理
③主密钥
z 主密钥(Master Key)是密钥管理方案中的最高级密 钥,记作KM 。 z 主密钥用于对二级密钥和初级密钥进行保护。 z 主密钥由密钥专职人员产生,并妥善安装。 z 主密钥的生存周期很长。 z 主密钥只能以明文形式存储。 z 必须采用安全的物理、技术、管理措施对主密钥进 行保护!
30
三、传统密码的密钥管理
2、密钥分配 zDiffie-Hellman密钥分配协议
密钥分配正确性 KA=KB,这是因为, K A = ( y B ) x A mod p = (α xB ) x A mod p = (α x A ) x B mod p = ( y A ) x B = K B
31
2
目录
第十讲 第十一讲 第十二讲 第十三讲 第十四讲 第十五讲 第十六讲 第十七讲 第十八讲 公钥密码基础 中国商用公钥密码SM2加密算法 数字签名基础 中国商用公钥密码SM2签名算法 密码协议 认证 密钥管理:对称密码密钥管理 密钥管理:公钥密码密钥管理 复习
3
教材与主要参考书
教材 参考书
4
本讲内容
一、密钥管理的概念 二、密钥管理的原则 三、对称密码的密钥管理
三、传统密码的密钥管理
2、密钥产生
②二级密钥的产生
z 可以象产生主密钥那样产生真随机的二级密钥。 z 在主密钥产生后,也可借助于主密钥和一个强的密码算法来 产生二级密钥。 z 设RN1和RN2是真随机数,RN3是随机数,然后分别以它们为 密钥对一个序数进行四层加密,产生出二级密钥KN 。 KN=E(E(E(E(i,RN1),RN2),RN1),RN3) z 要想根据序数 i 预测出密钥 KN ,必须同时知道两个真随机数 RN1,RN2和一个随机数RN3,这是极困难的。
三、传统密码的密钥管理
2、密钥分配 zDiffie-Hellman密钥分配协议
安全性 x x 攻击一:截获 y A = α A mod p 和 y B = α B mod p ,求出私钥xA 和xB。但需要求解离散对数问题,这是困难的。 攻击二:通过截获的yA和yB直接求出密钥 K = α x A xB mod p , 问题的困难性尚未被证明, 人们普遍认为它是困难的 , 并把这一观点称为Diffie-Hellman假设。 中间人攻击:攻击者冒充A 与B联系获得一个共享密钥、 冒充B与A联系获得一个共享密钥,从而获得A和B之间的 信息。攻击性像位于A 和 B中间的一个“二传手”,所以称 为中间人攻击。 32
一、密钥管理的概念
z 密钥管理是一个很困难的问题。 z 历史表明,从密钥管理环节窃取秘密,要比 单纯从破译密码算法窃取秘密所花的代价小 得多。 z 在密码算法确定之后,密钥管理就成为密码 应用中最重要的问题!
7
二、密钥管理的原则
z 区分密钥管理的策略和机制
策略是密钥管理系统的高级指导。策略重在原则指导,而 不重在具体实现。策略通常是原则的、简单明确的。 机制是实现和执行策略的技术和方法。机制是具体的、复 杂繁琐的。 没有好的管理策略,再好的机制也不能确保密钥的安全。 相反,没有好的机制,再好的策略也没有实际意义。
13
三、传统密码的密钥管理
②二级密钥
z 二级密钥(Secondary Key)用于保护初级密钥,记作 KN ,这里N表示节点,源于它在网络中的地位。 z 当二级密钥用于保护初级通信密钥时称为二级通信 密钥,记为KNC。 z 当二级密钥用于保护初级文件密钥时称为二级文件 密钥,记为KNF。
14
三、传统密码的密钥管理
收端
27
三、传统密码的密钥管理
2、密钥分配
③初级密钥的分配 z 通常总是把一个随机数直接视为受高级密钥(主密 钥或二级密钥,通常是二级密钥)加密过的初级密 钥,这样初级密钥一产生便成为密文形式。 z 发端直接把密文形式的初级密钥通过计算机网络传 给收方,收端用高级密钥解密便获得初级密钥。
28
三、传统密码的密钥管理
二、密钥管理的原则
z 密钥更换原则。
密钥必须按时更换。否则,即使是采用很强的密 码算法,时间越长,被破译的可能性就越大。 理想情况是一个密钥只使用一次,但是完全的一 次一密是不现实的。 一般,初级密钥采用一次一密,中级密钥更换的 频率低些,主密钥更换的频率更低些。 密钥更换的频率越高,越有利于安全,但是密钥 的管理就越麻烦。实际应用时应当在安全和方便 之间折衷。
Vi+1
Ri
z 用作美国电子支付标准,因特网的PGP也采用。
22
三、传统密码的密钥管理
2、密钥产生
z ANSI X9.17
DTi Vi
AES AES AES
< K>
Vi+1
Ri AES方案
23
三、传统密码的密钥管理
2、密钥分配
z 密钥分配自古以来就是密钥管理中重要而薄弱的环 节。 z 过去,密钥的分配主要采用人工分配。 z 现在,应当利用计算机网络实现密钥分配的自动 化。 ①主密钥的分配 z 一般采用人工分配主密钥,由专职密钥分配人员分 配并由专职安装人员妥善安装。
对于一个大的系统,应当采用密钥分级的策略。 根据密钥的职责和重要性,把密钥划分为几个级别。 用高级密钥保护低级密钥,最高级的密钥由物理、技术和 管理安全保护。 这样,既可减少受保护的密钥的数量,又可简化密钥的管 理工作。 9 应当只分配给用户进行某一事务处理所需的最小的密钥集 合。 一个密钥应当专职一种功能,不要让一个密钥兼任几个功 能。 例如,用于加密的密钥不能用于签名。
密码学
第十六讲 密钥管理: 对称密码密钥管理
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
目录
第一讲 第二讲 第三讲 第四讲 第五讲 第六讲 第七讲 第八讲 第九讲 信息安全概论 密码学的基本概念 数据加密标准(DES) 高级数据加密标准(AES) 中国商用密码SM4与分组密码应用技术 序列密码基础 祖冲之密码 中国商用密码HASH函数SM3 复习
12
三、传统可通过硬件或软件方式自动产生,也可由 用户自己提供。 z 初级通信密钥和初级会话密钥原则上采用一个密钥 只使用一次的“一次一密”方式。 z 初级通信密钥的生存周期很短。 z 初级文件密钥与所保护的文件的生存周期一样长。 z 初级密钥必须受更高一级的密钥保护,直到它们的 生存周期结束为止。
2、密钥分配
产生KNC 网络信道 C=E(KNC, KM) C 存储C,使用时 KNC =D(C, KM)
主密钥KM
主密钥KM
发端 方案1原理图
收端
26
三、传统密码的密钥管理
2、密钥分配
产生RN 网络信道 RN RN
KNC =D(RN, KM)
KNC =D(RN, KM)
主密钥KM
主密钥KM
发端 方案2原理图
20
三、传统密码的密钥管理
2、密钥产生
④伪随机数的产生 z 二级密钥和初级密钥的产生都需要伪随机数。 z 伪随机性:随机,长周期,独立性,非线性 z 一般采用基于强密码算法的产生方法
21
三、传统密码的密钥管理
2、密钥产生
z ANSI X9.17
DTi Vi
3DES 3DES 3DES
<K1, K2>
二、中国商用公钥密码SM2签名算法
2、 密钥分配
z 中国商用密码SM2密钥分配协议
推荐使用256位素域GF(p)上的椭圆曲线: y2 = x3 + ax + b
p = 8542D69E 4C044F18 E8B92435 BF6FF7DE 45728391 5C45517D 722EDB8B 08F1DFC3 a = 787968B4 FA32C3FD 2417842E 73BBFEFF 2F3C848B 6831D7E0 EC65228B 3937E498 b = 63E4C6D3 B23B0C84 9CF84241 484BFE48 F61D59A5 B16BA06E 6E12D1DA 6E12D1DA n = 8542D69E 4C044F18 E8B92435 BF6FF7DD 29772063 0485628D 5AE74EE7 C32E79B7 h=1 Gx = 421DEBD6 1B62EAB6 746434EB C3CC315E 32220B3B ADD50BDC 4C4E6C14 7FEDD43D Gy = 0680512B CBB42C07 D47349D2 153B70C4 E5D7FDFC BFA36EA1 A85841B9 E46E09A2
16
三、传统密码的密钥管理
2、密钥产生
z 对密钥的一个基本要求是要具有良好的安全性:随 机性、非线性、等概性以及不可预测性等。 z 一个真正的随机序列是不可以人为控制再现的。任 何人都不能人为地控制再次产生它。
有限长度的随机序列会重复,但不能人为控制重复。 任何算法产生的随机数都不是真随机的,因为可人为控 制重复。
19
三、传统密码的密钥管理
2、密钥产生
③初级密钥的产生 z 为了安全和简便,通常总是把随机数RN直接视为受 高级密钥加密过的初级密钥:
RN=E(Ks,KM) 或 RN=E(Kf,KM), RN=E(Ks,KNC) 或 RN=E(Kf,KNF)。
z 使用初级密钥时,用高级密钥将随机数RN解密: Ks=D(RN,KM) 或 Kf=D(RN,KM), Ks=D(RN,KNC) 或 Kf=D(RN,KNF) z 好处:安全,一产生就是密文,方便。
②二级密钥
z 二级密钥的安装
可由专职密钥安装人员提供并安装。 也可经专职密钥安装人员批准,由系统自动产生。 二级密钥的生存周期一般较长,它在较长的时间内保持 不变。
z 二级密钥必须接受高级密钥的保护。
15
三、传统密码的密钥管理
③主密钥
z 主密钥(Master Key)是密钥管理方案中的最高级密 钥,记作KM 。 z 主密钥用于对二级密钥和初级密钥进行保护。 z 主密钥由密钥专职人员产生,并妥善安装。 z 主密钥的生存周期很长。 z 主密钥只能以明文形式存储。 z 必须采用安全的物理、技术、管理措施对主密钥进 行保护!
30
三、传统密码的密钥管理
2、密钥分配 zDiffie-Hellman密钥分配协议
密钥分配正确性 KA=KB,这是因为, K A = ( y B ) x A mod p = (α xB ) x A mod p = (α x A ) x B mod p = ( y A ) x B = K B
31
2
目录
第十讲 第十一讲 第十二讲 第十三讲 第十四讲 第十五讲 第十六讲 第十七讲 第十八讲 公钥密码基础 中国商用公钥密码SM2加密算法 数字签名基础 中国商用公钥密码SM2签名算法 密码协议 认证 密钥管理:对称密码密钥管理 密钥管理:公钥密码密钥管理 复习
3
教材与主要参考书
教材 参考书
4
本讲内容
一、密钥管理的概念 二、密钥管理的原则 三、对称密码的密钥管理