现代密码学第5章PPT课件
合集下载
现代密码学PPT课件
因此要了解信息安全,首先应该知道信息安全面临 哪些威胁。
信息安全所面临的威胁来自很多方面,并且随着时 间的变化而变化。这些威胁可以宏观地分为人为威 胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环 境、电磁辐射和电磁干扰、网络设备自然老化等。 这些事件有时会直接威胁信息的安全,影响信息的 存储媒质。
3. 完整性业务
和保密业务一样,完整性业务也能应用于消息流、 单个消息或一个消息的某一选定域。用于消息流的 完整性业务目的在于保证所接收的消息未经复制、 插入、篡改、重排或重放,即保证接收的消息和所 发出的消息完全一样;这种服务还能对已毁坏的数 据进行恢复,所以这种业务主要是针对对消息流的 篡改和业务拒绝的。应用于单个消息或一个消息某 一选定域的完整性业务仅用来防止对消息的篡改。
2. 认证业务
用于保证通信的真实性。在单向通信的情况下,认 证业务的功能是使接收者相信消息确实是由它自己 所声称的那个信源发出的。在双向通信的情况下, 例如计算机终端和主机的连接,在连接开始时,认 证服务则使通信双方都相信对方是真实的(即的确 是它所声称的实体);其次,认证业务还保证通信 双方的通信连接不能被第三方介入,以假冒其中的 一方而进行非授权的传输或接收。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。前 者是某个程序中的一段,不能独立于实际的应用程 序或系统程序;后者是能被操作系统调度和运行的 独立程序。来自图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
信息安全所面临的威胁来自很多方面,并且随着时 间的变化而变化。这些威胁可以宏观地分为人为威 胁和自然威胁。
自然威胁可能来自于各种自然灾害、恶劣的场地环 境、电磁辐射和电磁干扰、网络设备自然老化等。 这些事件有时会直接威胁信息的安全,影响信息的 存储媒质。
3. 完整性业务
和保密业务一样,完整性业务也能应用于消息流、 单个消息或一个消息的某一选定域。用于消息流的 完整性业务目的在于保证所接收的消息未经复制、 插入、篡改、重排或重放,即保证接收的消息和所 发出的消息完全一样;这种服务还能对已毁坏的数 据进行恢复,所以这种业务主要是针对对消息流的 篡改和业务拒绝的。应用于单个消息或一个消息某 一选定域的完整性业务仅用来防止对消息的篡改。
2. 认证业务
用于保证通信的真实性。在单向通信的情况下,认 证业务的功能是使接收者相信消息确实是由它自己 所声称的那个信源发出的。在双向通信的情况下, 例如计算机终端和主机的连接,在连接开始时,认 证服务则使通信双方都相信对方是真实的(即的确 是它所声称的实体);其次,认证业务还保证通信 双方的通信连接不能被第三方介入,以假冒其中的 一方而进行非授权的传输或接收。
恶意软件指病毒、蠕虫等恶意程序,可分为两类, 如图1.2所示,一类需要主程序,另一类不需要。前 者是某个程序中的一段,不能独立于实际的应用程 序或系统程序;后者是能被操作系统调度和运行的 独立程序。来自图1.2 恶意程序分类
对恶意软件也可根据其能否自我复制来进行分类。 不能自我复制的一般是程序段,这种程序段在主程 序被调用执行时就可激活。能够自我复制的或者是 程序段(病毒)或者是独立的程序(蠕虫、细菌 等),当这种程序段或独立的程序被执行时,可能 复制一个或多个自己的副本,以后这些副本可在这 一系统或其他系统中被激活。以上仅是大致分类, 因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一 部分。
现代密码学05 - 理论基础106页PPT
现代密码学05 - 理论基础
1、合法而稳定的权力在使用得当时很 少遇到 抵抗。 ——塞 ·约翰 逊 2、权力会使人渐渐失去温厚善良的美 德。— 不易确 定之处 始终存 在着危 险。— —塞·约翰逊 4、权力会奴化一切。——塔西佗
5、虽然权力是一头固执的熊,可是金 子可以 拉着它 的鼻子 走。— —莎士 比
46、我们若已接受最坏的,就再没有什么损失。——卡耐基 47、书到用时方恨少、事非经过不知难。——陆游 48、书籍把我们引入最美好的社会,使我们认识各个时代的伟大智者。——史美尔斯 49、熟读唐诗三百首,不会作诗也会吟。——孙洙 50、谁和我一样用功,谁就会和我一样成功。——莫扎特
杨波,_《现代密码学(第2版)》第五章 5.1-5.2节
存储会话密钥, 转发E ③ A存储会话密钥,并向 转发 KB[KS‖IDA]。因 存储会话密钥 并向B转发 。 为转发的是由K 加密后的密文, 为转发的是由 B加密后的密文,所以转发过程不 会被窃听。B收到后,可得会话密钥KS,并从IDA 会被窃听。 收到后,可得会话密钥 并从 收到后 可知另一方是A,而且还从E 知道K 可知另一方是 ,而且还从 KB知道 S的确来自 KDC。 。 这一步完成后,会话密钥就安全地分配给了 、 。 这一步完成后,会话密钥就安全地分配给了A、B。 然而还能继续以下两步工作: 然而还能继续以下两步工作:
两个用户A和 获得共享密钥的方法包括: 获得共享密钥的方法包括 两个用户 和B获得共享密钥的方法包括: 密钥由A选取并通过物理手段发送给 选取并通过物理手段发送给B。 ① 密钥由 选取并通过物理手段发送给 。 密钥由第三方选取并通过物理手段发送给A和 。 ② 密钥由第三方选取并通过物理手段发送给 和B。 如果A、 事先已有一密钥 事先已有一密钥, ③ 如果 、B事先已有一密钥,则其中一方选取新密 钥后,用已有的密钥加密新密钥并发送给另一方。 钥后,用已有的密钥加密新密钥并发送给另一方。 如果A和 与第三方 分别有一保密信道, 与第三方C分别有一保密信道 ④ 如果 和B与第三方 分别有一保密信道,则C为A、 为 、 B选取密钥后,分别在两个保密信道上发送给 、B。 选取密钥后, 选取密钥后 分别在• 假定两个用户 、B分别与密钥分配中心 假定两个用户A、 分别与密钥分配中心 分别与密钥分配中心KDC (key distribution center)有一个共享的主密钥 A和KB, 有一个共享的主密钥K 有一个共享的主密钥 A希望与 建立一个共享的一次性会话密钥,可通 希望与B建立一个共享的一次性会话密钥 希望与 建立一个共享的一次性会话密钥, 过以下几步来完成( 过以下几步来完成(图5.1 ): • ① A向KDC发出会话密钥请求。表示请求的消息由 发出会话密钥请求。 向 发出会话密钥请求 两个数据项组成, 项是A和 的身份 的身份, 两个数据项组成,第1项是 和B的身份,第2项是 项是 项是 这次业务的惟一识别符N1, 为一次性随机数, 这次业务的惟一识别符 ,称N1为一次性随机数, 为一次性随机数 可以是时戳、计数器或随机数。每次请求所用的N1 可以是时戳、计数器或随机数。每次请求所用的 都应不同,且为防止假冒,应使敌手对N1难以猜测 难以猜测。 都应不同,且为防止假冒,应使敌手对 难以猜测。 因此用随机数作为这个识别符最为合适。 因此用随机数作为这个识别符最为合适。
现代密码学课件--第5讲 分组密码
2013-8-8
20
I型迭代分组密码
以对合密码函数构造的多轮迭代分组密码。
E[x, k]=fI[fI [ fI [fI[x, k(1)],k(2)] ,k(r-1)],k(r)] D[y, k] =fI [fI[ fI[fI[y, k(r)],k(r-1)] ,k(2)] ,k(1)]
密钥量要足够大:
尽可能消除弱密钥并使所有密钥同等地好,以防止 密钥穷举攻击奏效。
由密钥确定置换的算法要足够复杂:
充分实现明文与密钥的扩散和混淆,没有简单的关 系可循,要能抗击各种已知的攻击。
2013-8-8 8
分组密码算法应满足的要求
加密和解密运算简单:
易于软件和硬件高速实现。
数据扩展:
一般无数据扩展,在采用同态置换和随机化加密技术时 可引入数据扩展。
2013-8-8
16
S盒的组合
问题: 如何将几个S盒组合起来构成一个n值较 大的组。
将几个S盒的输入端并行,并通过坐标置换(P-盒)将各S 盒输出比特次序打乱,再送到下一级各S盒的输入端,起到 了Shannon所谓的“扩散”作用。S盒提供非线性变换,将 来自上一级不同的S盒的输出进行“混淆”。经过P-盒的扩 散作用使1均匀地分散到整个输出矢量中,从而保证了输出 密文统计上的均匀性,这就是Shannon的乘积密码的作用。
密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1) 加密算法 密钥k=(k0, k1,…, kt-1 ) 明文 x=(x0, x1,…, xm-1)
密文 x=(y0, y1,…, ym-1)
解密算法
2013-8-8
5
现代密码学第5章:序列密码
24
密钥流生成器的分解
k
k
驱动子 系统
非线性 组合子 系统
zi
25
常见的两种密钥流产生器
目前最为流行和实用的密钥流产生器如 图所示,其驱动部分是一个或多个线性反馈 移位寄存器。
LFSR
………
LFSR1
LFSR2 ……
F
zi
F
zi
LFSRn
26
KG的一般结构
通常,人们总是把KG设计得具有一定 的结构特点,从而可以分析和论证其强度, 以增加使用者的置信度。一般有以下模式:
23
同步序列密码密钥流产生器
由于具有非线性的υ的有限状态自动机理 论很不完善,相应的密钥流产生器的分析工 作受到极大的限制。相反地,当采用线性的 φ和非线性的ψ时,将能够进行深入的分析 并可以得到好的生成器。为方便讨论,可将 这类生成器分成驱动部分和非线性组合部分 (如下图)。 驱动部分控制生成器的状态转移,并为 非线性组合部分提供统计性能好的序列;而 非线性组合部分要利用这些序列组合出满足 要求的密钥流序列。
6
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
18
密钥序列生成器(KG)基本要求
人们就目前的想象和预见,对KG提出 了以下基本要求: 种子密钥k的变化量足够大,一般应 在2128以上; KG产生的密钥序列k具极大周期,一 般应不小于255; k具有均匀的n-元分布,即在一个周 期环上,某特定形式的n-长bit串与其求反, 两者出现的频数大抵相当(例如,均匀的游 程分布);
密钥流生成器的分解
k
k
驱动子 系统
非线性 组合子 系统
zi
25
常见的两种密钥流产生器
目前最为流行和实用的密钥流产生器如 图所示,其驱动部分是一个或多个线性反馈 移位寄存器。
LFSR
………
LFSR1
LFSR2 ……
F
zi
F
zi
LFSRn
26
KG的一般结构
通常,人们总是把KG设计得具有一定 的结构特点,从而可以分析和论证其强度, 以增加使用者的置信度。一般有以下模式:
23
同步序列密码密钥流产生器
由于具有非线性的υ的有限状态自动机理 论很不完善,相应的密钥流产生器的分析工 作受到极大的限制。相反地,当采用线性的 φ和非线性的ψ时,将能够进行深入的分析 并可以得到好的生成器。为方便讨论,可将 这类生成器分成驱动部分和非线性组合部分 (如下图)。 驱动部分控制生成器的状态转移,并为 非线性组合部分提供统计性能好的序列;而 非线性组合部分要利用这些序列组合出满足 要求的密钥流序列。
6
1.1 同步序列密码
根据加密器中记忆元件的存储状态σi是 否依赖于输入的明文字符,序列密码可进一 步分成同步和自同步两种。 σi独立于明文字符的叫做同步序列密码, 否则叫做自同步序列密码。由于自同步序列 密码的密钥流的产生与明文有关,因而较难 从理论上进行分析。目前大多数研究成果都 是关于同步序列密码的。
18
密钥序列生成器(KG)基本要求
人们就目前的想象和预见,对KG提出 了以下基本要求: 种子密钥k的变化量足够大,一般应 在2128以上; KG产生的密钥序列k具极大周期,一 般应不小于255; k具有均匀的n-元分布,即在一个周 期环上,某特定形式的n-长bit串与其求反, 两者出现的频数大抵相当(例如,均匀的游 程分布);
现代密码学第5章 共65页
2019/7/25
27
托管加密芯片
Skipjack算法 80比特族密钥KF(Family key),同一批芯
片的族密钥都相同 芯片单元识别符UID 80bit的芯片单元密钥KU(unique key),由
两个80bit密钥分量异或得到 控制软件被固化在芯片上
2019/7/25
28
第5章 密钥分配与密钥管理
Key Distribution and Key Management
2019/7/25
1
内容提要
单钥加密体制的密钥分配 公钥加密体制的密钥管理 密钥托管 随机数的产生 秘密分割
2019/7/25
2
单钥加密体制的密钥分配
Key Distribution of symmetric cryptography
噪声源的功能就是产生二进制的随机序列或与之对应 的随机数,它是密钥产生设备的核心部件。
噪声源的另一个用途是在物理层加密的环境下进行信 息填充,使网络具有防止流量分析的功能,当采用序 列密码时也有防止乱数空发的功能。
噪声源还被用于某些身份验证技术中,如在对等实体 中,为了防止口令被窃取常常使用随机应答技术,这 时的提问与应答都是由噪声控制的。
对数列中以后的数是不可预测的 对于真随机数,满足独立性,所以不可
预测 伪随机数列需要特别注意满足不可预测
性
2019/7/25
36
随机数源
真随机数源-物理噪声产生器
离子辐射脉冲检测器 气体放电管 漏电容
数的随机性和精度不够 这些设备很难联入网络
2019/7/25
37
H h (CV ) K in K m H K out E K m H [ K S ] K S D K in [ K out ]
杨波,_《现代密码学(第2版)》第五章 5.4-5.5节
5.4.1 随机数的使用
很多密码算法都需使用随机数,例如: 很多密码算法都需使用随机数,例如: • 相互认证。在密钥分配中需使用一次性随机数来 相互认证。 防止重放攻击。 防止重放攻击。 • 会话密钥的产生。 会话密钥的产生。 • 公钥密码算法中密钥的产生,用随机数作为公钥 公钥密码算法中密钥的产生, 密码算法中的密钥, 密码算法中的密钥,或以随机数来产生公钥密码算 法中的密钥。 法中的密钥。 在随机数的上述应用中, 在随机数的上述应用中,都要求随机数序列满 随机性和不可预测性。 足随机性和不可预测性。
一种方法是将高质量的随机数作为随机数库编 一种方法是将高质量的随机数作为随机数库编 辑成书,供用户使用。 辑成书,供用户使用。然而与网络安全对随机数巨 大的需求相比,这种方式提供的随机数数目非常有 大的需求相比,这种方式提供的随机数数目非常有 再者, 限。再者,虽然这时的随机数的确可被证明具有随 机性,但由于敌手也能得到这个随机数源, 机性,但由于敌手也能得到这个随机数源,而难以 保证随机数的不可预测性。 保证随机数的不可预测性。 网络安全中所需的随机数都借助于安全的密码 网络安全中所需的随机数都借助于安全的密码 算法来产生。但由于算法是确定性的, 算法来产生。但由于算法是确定性的,因此产生的 数列不是随机的。然而如果算法设计得好, 数列不是随机的。然而如果算法设计得好,产生的 数列就能通过各种随机性检验,这种数就是伪随机 数列就能通过各种随机性检验,这种数就是伪随机 数。
如果取a=7,其他值不变,则产生的数列为 5, 25, ,其他值不变,则产生的数列为{1, 如果取 29, 17, 21, 9, 13, 1,…},周期增加到 。 ,周期增加到8。 周期尽可能大, 应尽可能大 应尽可能大。 为使随机数数列的周期尽可能大 为使随机数数列的周期尽可能大,m应尽可能大。 普遍原则是选 接近等于计算机能表示的最大整数 接近等于计算机能表示的最大整数, 普遍原则是选m接近等于计算机能表示的最大整数, 如接近或等于2 如接近或等于231。
现代密码学(第五章)
2019/4/1 5
一、杂凑函数
(单向性的准确解释:或许已经知道了许多对 (x*, y*),满足y*=H(x*);或许一个新的y确实存在 一个x满足y=H(x);然而实际找到这样的x却很困 难,在计算上行不通。 无碰撞性的准确解释:或许已经知道了许多对 (x*, y*),满足y*=H(x*);或许确实存在(x1,x2)满 足: x1≠x2,H(x1)= H(x2),实际找到这样的(x1,x2) 却很困难,在计算上行不通。 )
201682728在上述方案中密文变成了消息m解密方程变成了签名方程sdm明文变成了签名值s加密方程变成了验证方程mes任何人只要拥有alice的公钥z都可以对签名消息ms进行验证
第五章:数字签名
一、杂凑函数 二、数字签名的基本概念 三、几种常用的数字签名 四、特殊用途的数字签名
2019/4/1
1
一、杂凑函数
2019/4/1
14
一、杂凑函数
Alice (1):y1=H(x1,r1) Bob
(2):y2=H(x2,r2) (5): (6): 验证 验证 是否 是否 (3):(x1,r1) y2= y1= H(x2,r2) H(x1,r1) (4):(x2,r2)
2019/4/1 15
一、杂凑函数
方案分析: Alice发送y1给Bob,Bob发送y2给Alice ,这叫做 承诺。 Alice发送(x1, r1)给Bob,Bob发送(x2, r2)给Alice , 这叫做践诺。 当承诺值确定以后,无法改变践诺值。 当对方发送来了承诺值以后,己方无法计算出对 方的践诺值,因而无法“随机应变地”确定自 己的践诺值,以重合或避开对方的践诺值。 综上所述,杂凑函数阻止了双方作弊。
2019/4/1 6
一、杂凑函数
(单向性的准确解释:或许已经知道了许多对 (x*, y*),满足y*=H(x*);或许一个新的y确实存在 一个x满足y=H(x);然而实际找到这样的x却很困 难,在计算上行不通。 无碰撞性的准确解释:或许已经知道了许多对 (x*, y*),满足y*=H(x*);或许确实存在(x1,x2)满 足: x1≠x2,H(x1)= H(x2),实际找到这样的(x1,x2) 却很困难,在计算上行不通。 )
201682728在上述方案中密文变成了消息m解密方程变成了签名方程sdm明文变成了签名值s加密方程变成了验证方程mes任何人只要拥有alice的公钥z都可以对签名消息ms进行验证
第五章:数字签名
一、杂凑函数 二、数字签名的基本概念 三、几种常用的数字签名 四、特殊用途的数字签名
2019/4/1
1
一、杂凑函数
2019/4/1
14
一、杂凑函数
Alice (1):y1=H(x1,r1) Bob
(2):y2=H(x2,r2) (5): (6): 验证 验证 是否 是否 (3):(x1,r1) y2= y1= H(x2,r2) H(x1,r1) (4):(x2,r2)
2019/4/1 15
一、杂凑函数
方案分析: Alice发送y1给Bob,Bob发送y2给Alice ,这叫做 承诺。 Alice发送(x1, r1)给Bob,Bob发送(x2, r2)给Alice , 这叫做践诺。 当承诺值确定以后,无法改变践诺值。 当对方发送来了承诺值以后,己方无法计算出对 方的践诺值,因而无法“随机应变地”确定自 己的践诺值,以重合或避开对方的践诺值。 综上所述,杂凑函数阻止了双方作弊。
2019/4/1 6
现代密码学杨波课后习题讲解[优质PPT]
![现代密码学杨波课后习题讲解[优质PPT]](https://img.taocdn.com/s3/m/876699d0ec3a87c24028c4c4.png)
解:由已知可得相应的密钥流序列为 1010110110⊕0100010001 =1110100111,又因为是3级线性 反馈移位寄存器,可得以下方程:
a1 a2 a3
1 1 1
a4a5a6 c3c2c1a2
a3
a3 a4
a4
a5
将值代入得:
010 c3c2c11
习题
习题
5.在实现 IDEA 时,最困难的部分是模 216+1 乘法运算。以下关系 给出了实现模乘法的一种有效方法,其中 a 和 b 是两个 n 比特的 非 0 整数。 a bm o d(2 n 1 ) (a bm (a o b d m 2 o nd ) 2 n () a b d (ia v b 2 d n i)v 2 n 2 )n 1 ,,((a ab bm m o o d d2 2 nn )) ((aa bb dd iv iv 22 n)n)
习题
4. 用推广的 Euclid 算法求 67 mod 119 的逆元。 Euclid算法(辗转相除法) 推广的Euclid(P97) 解:
因此 671m od11916 ,
习题
5. 求 gcd(4655, 12075) 。
解: 12075 = 2×4655 + 2765 4655 = 1×2765 + 1890 2765 = 1×1890 + 875 1890 = 2×875 + 140 875 = 6×140 + 35 140 = 4×35+0
6 4 13 2 24] = THE NATIONAL SECURITY AGENCY
习题
2. 设由仿射变换对一个明文加密得到的密文为 edsgickxhuklzveqzvkxwkzukvcuh,又已知明文的前两个字 符是“if”。对该密文解密。
a1 a2 a3
1 1 1
a4a5a6 c3c2c1a2
a3
a3 a4
a4
a5
将值代入得:
010 c3c2c11
习题
习题
5.在实现 IDEA 时,最困难的部分是模 216+1 乘法运算。以下关系 给出了实现模乘法的一种有效方法,其中 a 和 b 是两个 n 比特的 非 0 整数。 a bm o d(2 n 1 ) (a bm (a o b d m 2 o nd ) 2 n () a b d (ia v b 2 d n i)v 2 n 2 )n 1 ,,((a ab bm m o o d d2 2 nn )) ((aa bb dd iv iv 22 n)n)
习题
4. 用推广的 Euclid 算法求 67 mod 119 的逆元。 Euclid算法(辗转相除法) 推广的Euclid(P97) 解:
因此 671m od11916 ,
习题
5. 求 gcd(4655, 12075) 。
解: 12075 = 2×4655 + 2765 4655 = 1×2765 + 1890 2765 = 1×1890 + 875 1890 = 2×875 + 140 875 = 6×140 + 35 140 = 4×35+0
6 4 13 2 24] = THE NATIONAL SECURITY AGENCY
习题
2. 设由仿射变换对一个明文加密得到的密文为 edsgickxhuklzveqzvkxwkzukvcuh,又已知明文的前两个字 符是“if”。对该密文解密。
现代密码技术ppt课件
.
(舍弃了第
9,18,22,25,35,38,43,54 比特位)
总结:DES一轮迭代的过程
.
DES解密操作
由迭代操作的定义,显然可以得到 Ri-1=Li Li-1=Ri⊕f(Li,ki)
若记加密算法每一轮的操作为Ti,我们
可以方便的得出解密算法: DES-1=IP-1∘T1∘T2∘…T15∘T16∘IP
3次循环以后密文有21个比特不同,16次循环 后有34个比特不同 ➢ 如果用只差一比特的两个密钥加密同样明文: 3次循环以后密文有14个比特不同,16次循环 后有35个比特不同
.
3.1 数据加密标准DES
DES的强度
▪ 56位密钥长度问题 ➢ 56-bit 密钥有256 = 72,057,584,037,927,936 ≈ 7.2亿亿 之多
《计算机网络安全》
Chapter 3
现代密码技术
DES、RSA
.
3.1 数据加密标准DES
▪ 19世纪70年代,DES(the Data Encryption Standard)最初由IBM公司提出。
▪ DES是一种分组密码,它采用56比特长的密 钥将64比特的数据加密成64比特的密文。
▪ DES完全公开了加密、解密算法。因而是一 个最引人注目的分组密码系统。
(1)初始置换与逆置换
58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 IP: 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7
(舍弃了第
9,18,22,25,35,38,43,54 比特位)
总结:DES一轮迭代的过程
.
DES解密操作
由迭代操作的定义,显然可以得到 Ri-1=Li Li-1=Ri⊕f(Li,ki)
若记加密算法每一轮的操作为Ti,我们
可以方便的得出解密算法: DES-1=IP-1∘T1∘T2∘…T15∘T16∘IP
3次循环以后密文有21个比特不同,16次循环 后有34个比特不同 ➢ 如果用只差一比特的两个密钥加密同样明文: 3次循环以后密文有14个比特不同,16次循环 后有35个比特不同
.
3.1 数据加密标准DES
DES的强度
▪ 56位密钥长度问题 ➢ 56-bit 密钥有256 = 72,057,584,037,927,936 ≈ 7.2亿亿 之多
《计算机网络安全》
Chapter 3
现代密码技术
DES、RSA
.
3.1 数据加密标准DES
▪ 19世纪70年代,DES(the Data Encryption Standard)最初由IBM公司提出。
▪ DES是一种分组密码,它采用56比特长的密 钥将64比特的数据加密成64比特的密文。
▪ DES完全公开了加密、解密算法。因而是一 个最引人注目的分组密码系统。
(1)初始置换与逆置换
58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 IP: 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7
密码学应用ppt课件
➢要考虑防止签名的复制、重用。
22
第五章 密码学的应用
四、数字签名
数字签名(Digital Signature)
信息发送者使用公开密钥算法技术,产生别人 无法伪造的一段数字串。
发送者用自己的私有密钥加密数据传给接收者, 接收者用发送者的公钥解开数据后,就可确定 消息来自于谁,同时也是对发送者发送的信息 的真实性的一个证明。发送者对所发信息不能 抵赖。
17
第五章 密码学的应用
二、数字指纹
哈希函数的安全因素:
一致性:相同的输入产生相同的输出。
随机性:消息摘要外观是随机的,以防被猜出 源消息。
唯一性:几乎不可能找到两个消息产生相同的 消息摘要。
单向性:即如果给出输出,则很难确定出输入 消息。
18
第五章 密码学的应用
二、数字指纹
基本过程是:
1.发送者写一消息,并作为单向哈希函数的 输入。
消息摘要4(MD4)算法
消息摘要5(MD5)算法
安全哈希函数(SHA)
20
第五章 密码学的应用
三、MD5算法
MD5报文摘要算法RFC1321由Rivest于1992年提出。 可对任意长的报文进行运算,得出128位的MD代码。
MD5算法是对杂凑压缩信息块按512位进行处理的, 首先它对杂凑信息进行填充,使信息的长度等于512 的倍数。从八十年代末到九十年代,Rivest开发了好几 种 RSA 公 司 专 有 的 报 文 摘 要 算 法 , 包 括 MD、MD2、 MD5等。据称,可以花费一千万美元去制造一台专 门的机器,针均用24天才能找到一个碰 撞。,MD5被认为仍是一个安全的。
用于鉴别
由于网上的通信双方互不见面,必须在相互通 信时(交换敏感信息时)确认对方的真实身份。即消 息的接收者应该能够确认消息的来源;入侵者不可能 伪装成他人。
现代密码学清华大学出版社课堂课件ppt课件
•单击此处编辑母版标题样式 无条件安全 • 如果算法产生的密文不能给出唯一决定相应明 文的足够信息,无论截获多少密文,花费多少时 间都不能解密密文。 • 单击此处编辑母版副标题样式 • Shannon指出,仅当密钥至少和明文一样长时 达到无条件安全(即一次一密) • 计算安全 – 破译密文的代价超过被加密信息的价值 – 破译密文所花时间超过信息的有效期
1.1 信息的安全威胁
因特网的开放性和共享性,给人们提供了方便 也带来了危险。
图1.1 攻击类型分类
单击此处编辑母版标题样式
• 单击此处编辑母版副标题样式
图1.2 恶意程序分类
安全业务
安全业务指安全防护措施,有以下5种。 1. 保密业务 2. 认证业务 3. 完整性业务 4. 不可否认业务 5. 访问控制
• 2.1 流密码的基本概念 单击此处编辑母版标题样式 • 流密码 关键密钥流产生器 • •同步流密码 单击此处编辑母版副标题样式 • 自同步流密码 • 有限状态自动机 • 密钥流序列具有如下性质: 极大的周期、良好的统计特性、抗线性分析、抗 统计分析。 • 密钥流产生器:驱动部分和非线性组合部分
应用中对于分组码的要求 单击此处编辑母版标题样式
• 安全性
• 运行速度 • 单击此处编辑母版副标题样式 • 存储量(程序的长度、数据分组长度、高速缓存大 小) • 实现平台(硬、软件、芯片)
• 运行模式
称明文分组到密文分组的可逆变换为代换 单击此处编辑母版标题样式
• 设计的算法应满足下述要求: • 分组长度n要足够大,使分组代换字母表中的元素 • 单击此处编辑母版副标题样式 个数2n足够大,防止明文穷举攻击法奏效。 • 密钥量要足够大(即置换子集中的元素足够多), 尽可能消除弱密钥并使所有密钥同等地好,以防 止密钥穷举攻击奏效。 • 由密钥确定置换的算法要足够复杂: 充分实现明文与密钥的扩散和混淆,没有简单的 关系可循,要能抗击各种已知的攻击。
现代密码学第5章
1.PKA||IDA
2.PKE||IDA
A
攻击者E
B
4. EPKA [KS ]
3. EPKE [KS ]
3/26/2020
21
用公钥加密分配单钥密码体制 的密钥
具有保密性和认证性的密钥分配
1.
EPKB [N1 || IDA ]
2. EPKA [N1 || N2 ]
A
B
3. EPKB [N2 ]
4. EPKB [ESK A [KS ]]
-CA的私钥 时戳T保证证书的新鲜性,防止重放旧证书。
3/26/2020
19
证书的产生过程
产生密钥
公开钥
秘密钥 用户的计算机
姓名 证书
3/26/2020
CA的公开钥
CA的秘密钥 签字 CA的计算机
20
用公钥加密分配单钥密码体制 的密钥
简单分配
1.PKA||IDA
A
B
2. EPKA [KS ]
易受到主动攻击
用户B
3/26/2020
23
密钥托管
Key Escrow
3/26/2020
24
密钥托管
也称托管加密,其目的在于保证个人没 有绝对的银丝和绝对不可跟踪的匿名性。
实现手段是把已加密的数据和数据恢复 密钥联系起来。
由数据恢复密钥可以得到解密密钥,由 所信任的委托人持有。
提供了一个备用的解密途径,不仅对政 府有用,也对用户自己有用。
3/26/2020
39
噪声源技术 (了解)
噪声源输出的随机数序列按照产生的方法可以分为: 伪随机序列:用数学方法和少量的种子密钥产生的周 期很长的随机序列。
伪随机序列一般都有良好的能经受理论检验的随机统计特性,但 是当序列的长度超过了唯一解距离时,就成了一个可预测 的序列。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
① A选取密钥并通过物理手段发送给B ② 第三方选取密钥并通过物理手段发送给A和B ③ A,B事先已有一密钥,其中一方选取新密钥,用
已有密钥加密新密钥发送给另一方 ④ A和B分别与第三方C有一保密信道,C为A,B选
取密钥,分别在两个保密信道上发送给A和B
2019/11/12
4
密钥分配的基本方法
如果有n个用户,需要两两拥有共享密钥, 一共需要n(n-1)/2的密钥
7
会话密钥的有效期
密钥更换越频繁,安全性越高。 缺点是延迟用户的交互,造成网络负担。 决定会话的有效期,应权衡利弊。 面向连接的协议,每次建立连接时应使用新的
会话密钥。 无连接的协议,无法明确确定更换密钥的频率,
安全起见,每次交换都用新的密钥。经济的做 法在一固定周期内对一定数目的业务使用同一 会话密钥。
2019/11/12
16
公钥的分配-公钥管理机构
公钥管理机构为用户建立维护动态的公 钥目录。
每个用户知道管理机构的公开钥。 只有管理机构知道自己的秘密钥。
2019/11/12
17
公钥管理机构分配公钥
1.Request||Time1
公钥管理机构
4.RequesRqeu|e |Tsi1 tm ] e
19
证书的产生过程
产生密钥
公开钥
秘密钥 用户的计算机
姓名 证书
2019/11/12
CA的公开钥
CA的秘密钥 签字 CA的计算机
20
用公钥加密分配单钥密码体制 的密钥
简单分配
1.PKA||IDA
A
B
2. EPKA[KS]
易受到主动攻击
1.PKA||IDA
公钥证书由证书管理机构CA(Certificate Authority)为用户建立。
证书的形式为 C AE SC K [A T,ID A ,PK K ] T-时间,PKA-A的公钥,IDA-A的身份,SKCA
-CA的私钥 时戳T保证证书的新鲜性,防止重放旧证书。
2019/11/12
采用第4中方法,只需要n个密钥
2019/11/12
5
一个实例
KS:一次性会话密钥 N1,N2:随机数 KA,KB:A与B和KDC的共享密钥 f:某种函数变换
1. Request||N1
KDC
2.
E K A [K s|r | eq |N |1|u E |K B e (K s s ,ItA D )]
有KDC产生加密密钥 时加在密钥之中
h为hash函数,Km是 主密钥,KS为会话密 钥
控制矢量CV明文发 送
2019/11/12
H h (CV ) K in K m H K out E K m H [ K S ] K S D K in [ K out ]
优点: 1.CV长度没有限制 2.CV以明文形式存在
3. EKS[f (N2)]
2019/11/12
10
密钥的控制使用
根据用途不同分为
会话密钥(数据加密密钥) 主密钥(密钥加密密钥),安全性高于会话
密钥 根据用途不同对密钥使用加以控制
2019/11/12
11
单钥体制的密钥控制技术-密 钥标签z
用于DES的密钥控制,8个校验位作为密钥标签
公用的公钥动态目录表,目录表的建立、维护 以及公钥的分布由可信的实体和组织承担。
管理员为每个用户都在目录表里建立一个目录, 目录中包括两个数据项:一是用户名,而是用 户的公开密钥。
每一用户都亲自或以某种安全的认证通信在管 理者处为自己的公开密钥注册。
用户可以随时替换自己的密钥。 管理员定期公布或定期更新目录。 用户可以通过电子手段访问目录。
13
公钥加密体制的密钥管理
Key Management of Public Key Cryptography
2019/11/12
14
公钥的分配-公开发布
用户将自己的公钥发给每一个其他用户 方法简单,但没有认证性,因为任何人
都可以伪造这种公开发布
2019/11/12
15
公钥的分配-公用目录表
现代密码学第5章
内容提要
单钥加密体制的密钥分配 公钥加密体制的密钥管理 密钥托管 随机数的产生 秘密分割
2019/11/12
2
单钥加密体制的密钥分配
Key Distribution of symmetric cryptography
2019/11/12
3
密钥分配的基本方法
两个用户在使用单钥体制进行通信时,必须 预先共享秘密密钥,并且应当时常更新,用 户A和B共享密钥的方法主要有:
5. E SA KU [PA K ||Rqeu||e Tsi2tm ] e
3. EPB K[ID A||N1]
A
6. EPK A[N1||N2]
B
7. EPKB[N2]
有可能称为系统的瓶颈,目录容易受到敌手的串扰
2019/11/12
18
公钥证书
用户通过公钥证书交换各自公钥,无须与公 钥管理机构联系
1比特表示这个密钥是会话密钥还是主密钥 1比特表示这个密钥能否用于加密 1比特表示这个密钥能否用于解密 其余比特保留
长度有限,限制了灵活性和功能 标签以密文传送,只有解密后才能使用,限制
了密钥使用的控制方式。
2019/11/12
12
单钥体制的密钥控制技术-控 制矢量
对每一密钥指定相应 的控制矢量,分为若 干字段,说明在不同 情况下是否能够使用
2019/11/12
8
无中心的密钥控制
有KDC时,要求所有用户信任KDC,并且 要求KDC加以保护。
无KDC时没有这种限制,但是只适用于 用户小的场合
2019/11/12
9
无中心的密钥控制
用户A和B建立会话密钥的过程
1. Request||N1
A
2. E K A [K s|r | eq |N |1|u E |K B e (K s s ,ItA D )] B
3.
EKB[Ks ||IDA]
A
4. EKS[N2]
B
5. EKS[f (N2)]
2019/11/12
6
密钥的分层控制
用户数目很多并且分布地域很广,一个 KDC无法承担,需要采用多个KDC的分 层结构。
本地KDC为本地用户分配密钥。 不同区域内的KDC通过全局KDC沟通。
2019/11/12
已有密钥加密新密钥发送给另一方 ④ A和B分别与第三方C有一保密信道,C为A,B选
取密钥,分别在两个保密信道上发送给A和B
2019/11/12
4
密钥分配的基本方法
如果有n个用户,需要两两拥有共享密钥, 一共需要n(n-1)/2的密钥
7
会话密钥的有效期
密钥更换越频繁,安全性越高。 缺点是延迟用户的交互,造成网络负担。 决定会话的有效期,应权衡利弊。 面向连接的协议,每次建立连接时应使用新的
会话密钥。 无连接的协议,无法明确确定更换密钥的频率,
安全起见,每次交换都用新的密钥。经济的做 法在一固定周期内对一定数目的业务使用同一 会话密钥。
2019/11/12
16
公钥的分配-公钥管理机构
公钥管理机构为用户建立维护动态的公 钥目录。
每个用户知道管理机构的公开钥。 只有管理机构知道自己的秘密钥。
2019/11/12
17
公钥管理机构分配公钥
1.Request||Time1
公钥管理机构
4.RequesRqeu|e |Tsi1 tm ] e
19
证书的产生过程
产生密钥
公开钥
秘密钥 用户的计算机
姓名 证书
2019/11/12
CA的公开钥
CA的秘密钥 签字 CA的计算机
20
用公钥加密分配单钥密码体制 的密钥
简单分配
1.PKA||IDA
A
B
2. EPKA[KS]
易受到主动攻击
1.PKA||IDA
公钥证书由证书管理机构CA(Certificate Authority)为用户建立。
证书的形式为 C AE SC K [A T,ID A ,PK K ] T-时间,PKA-A的公钥,IDA-A的身份,SKCA
-CA的私钥 时戳T保证证书的新鲜性,防止重放旧证书。
2019/11/12
采用第4中方法,只需要n个密钥
2019/11/12
5
一个实例
KS:一次性会话密钥 N1,N2:随机数 KA,KB:A与B和KDC的共享密钥 f:某种函数变换
1. Request||N1
KDC
2.
E K A [K s|r | eq |N |1|u E |K B e (K s s ,ItA D )]
有KDC产生加密密钥 时加在密钥之中
h为hash函数,Km是 主密钥,KS为会话密 钥
控制矢量CV明文发 送
2019/11/12
H h (CV ) K in K m H K out E K m H [ K S ] K S D K in [ K out ]
优点: 1.CV长度没有限制 2.CV以明文形式存在
3. EKS[f (N2)]
2019/11/12
10
密钥的控制使用
根据用途不同分为
会话密钥(数据加密密钥) 主密钥(密钥加密密钥),安全性高于会话
密钥 根据用途不同对密钥使用加以控制
2019/11/12
11
单钥体制的密钥控制技术-密 钥标签z
用于DES的密钥控制,8个校验位作为密钥标签
公用的公钥动态目录表,目录表的建立、维护 以及公钥的分布由可信的实体和组织承担。
管理员为每个用户都在目录表里建立一个目录, 目录中包括两个数据项:一是用户名,而是用 户的公开密钥。
每一用户都亲自或以某种安全的认证通信在管 理者处为自己的公开密钥注册。
用户可以随时替换自己的密钥。 管理员定期公布或定期更新目录。 用户可以通过电子手段访问目录。
13
公钥加密体制的密钥管理
Key Management of Public Key Cryptography
2019/11/12
14
公钥的分配-公开发布
用户将自己的公钥发给每一个其他用户 方法简单,但没有认证性,因为任何人
都可以伪造这种公开发布
2019/11/12
15
公钥的分配-公用目录表
现代密码学第5章
内容提要
单钥加密体制的密钥分配 公钥加密体制的密钥管理 密钥托管 随机数的产生 秘密分割
2019/11/12
2
单钥加密体制的密钥分配
Key Distribution of symmetric cryptography
2019/11/12
3
密钥分配的基本方法
两个用户在使用单钥体制进行通信时,必须 预先共享秘密密钥,并且应当时常更新,用 户A和B共享密钥的方法主要有:
5. E SA KU [PA K ||Rqeu||e Tsi2tm ] e
3. EPB K[ID A||N1]
A
6. EPK A[N1||N2]
B
7. EPKB[N2]
有可能称为系统的瓶颈,目录容易受到敌手的串扰
2019/11/12
18
公钥证书
用户通过公钥证书交换各自公钥,无须与公 钥管理机构联系
1比特表示这个密钥是会话密钥还是主密钥 1比特表示这个密钥能否用于加密 1比特表示这个密钥能否用于解密 其余比特保留
长度有限,限制了灵活性和功能 标签以密文传送,只有解密后才能使用,限制
了密钥使用的控制方式。
2019/11/12
12
单钥体制的密钥控制技术-控 制矢量
对每一密钥指定相应 的控制矢量,分为若 干字段,说明在不同 情况下是否能够使用
2019/11/12
8
无中心的密钥控制
有KDC时,要求所有用户信任KDC,并且 要求KDC加以保护。
无KDC时没有这种限制,但是只适用于 用户小的场合
2019/11/12
9
无中心的密钥控制
用户A和B建立会话密钥的过程
1. Request||N1
A
2. E K A [K s|r | eq |N |1|u E |K B e (K s s ,ItA D )] B
3.
EKB[Ks ||IDA]
A
4. EKS[N2]
B
5. EKS[f (N2)]
2019/11/12
6
密钥的分层控制
用户数目很多并且分布地域很广,一个 KDC无法承担,需要采用多个KDC的分 层结构。
本地KDC为本地用户分配密钥。 不同区域内的KDC通过全局KDC沟通。
2019/11/12