第6章 公钥密码体系
合集下载
信息安全概论 ppt 公钥密码体制
Plain Text
Alice
Secret Key
Bob
公钥密码体制 6
公钥体制的主要特点:
加密和解密能力分开
多个用户加密的消息只能由一个用户解读,(用亍公共网络中实现 保密通信)
只能由一个用户加密消息而使多个用户可以解读(可用亍认证系统
中对消息进行数字签字)。 无需事先分配密钥 密钥持有量大大减少 提供了对称密码技术无法戒很难提供的服务:如不哈希凼数联合运
基本思想和要求
用户拥有自己的密钥对(KU,KR),即(公开密钥,私有密钥)
公钥KU公开,私钥KR保密 AB:Y=EKUb(X) B:DKRb(Y)= DKRb(EKUb(X))=X
公钥密码体制 5
Bob:
Plain Text E
Cipher Text Network
Cipher Text D
mk(n) + 1=mk(p-1)(q-1)+1 m mod n, 对仸意0mn
公钥密码体制
20
4.1 一些数学基础
原根(Primitive root)
Euler定理表明:对两个互素的整数a,n
a(n) 1 mod n
定义:存在最小正整数m(n) (m|(n)),使得am 1 mod n,若
3)数字签名的问题:传统加密算法无法实现抗抵赖的需求。
公钥密码体制
3
公钥密码体制的起源
公钥密码体制的起源
1976年,Standford Uni. Diffie博士和其导师Hellman 在IEEE Trans. on IT 上収表划时代的文献:
第6章-公钥基础设施--PKI
2020/7/15
15
9、CRL(证书作废列表)的获取
❖每一CA均可以产生CRL。CRL可以定期产生, 或在每次由证书作废请求后产生。CA应将它 产生的CRL发布到目录服务器上
❖自动发送到下属各实体
❖各PKI实体从目录服务器获得相应的CRL
2020/7/15
16
10、密钥更新 ❖ 在密钥泄漏的情况下,将产生新的密钥和新的证书。 ❖ 在并未泄漏的情况下,密钥也应该定时更换。
2020/7/15
26
PKI提供的附加服务
❖ 4 不可否认性服务
❖ 不可否认性服务提供一种防止实体对其行为进行抵 赖的机制,它从技术上保证实体对其行为的认可。 实体的行为多种多样,抵赖问题随时都可能发生, 在各种实体行为中,人们更关注发送数据、收到数 据、传输数据、创建数据、修改数据、以及认同实 体行为等的不可否认性。在PKI中,由于实体的各 种行为只能发生在它被信任之后,所以可通过时间 戳标记和数字签名来审计实体的各种行为。通过这 种审计将实体的各种行为与时间和数字签名绑定在 一起使实体无法抵赖其行为。
❖ 在VPN中使用PKI技术能增强VPN的身份认证 能力,确保数据的完整性和不可否认性。使用 PKI技术能够有效建立和管理信任关系,利用 数字证书既能阻止非法用户访问VPN,又能够 限制合法用户对VPN的访问,同时还能对用户 的各种活动进行严格审计。
2020/7/15
14
8、密钥的恢复
❖在密钥泄漏/证书作废后,为了恢复PKI中实体的业务 处理,泄密实体将获得一对新的密钥,并要求CA产生 新的证书。
❖在泄密实体是CA的情况下,它需要重新签发以前用泄 密密钥签发的证书,每一个下属实体将产生新的密钥 对,获得用CA新私钥签发的新的证书。而用泄密密钥 签发的旧证书将作废,并被放置入CRL。
公钥密码体制
{1,3,6,13,27,52, …} 而 {1,3,4,9,15,25} 不是。
如果序列为超递增序列,则背包问题则是P类问题。
14
MH背包密码的基本思想
利用实际上存在两类不同的背包问题,一类在线性时间 内可解(超递增背包问题),而另一类不能(普通背包问题)。 易解的背包问题可以转化成难解的背包问题。公钥使用难解 的背包问题,它可很容易地被用来加密明文但不能用来解密 密文。私钥使用易解的背包问题,它给出一个解密的简单方 法。不知道私钥的人要破解密文就不得不解一个难解的背包 问题。
i=1
利用已知u并根据uv=1 (mod p) ,可求得v。
下面作变换称为墨科-赫尔曼(Merkle-Hellman)变换:
ak≡ubk(mod p),k=1,2,…,n 非超递增序列{ai}和p作为公钥; 超递增序列{bi}和v作为私钥;
12
背包问题
已知一长度 b 的背包及长度分别为 a1,a2,… ,an 的 n 个物品。假定这些物品的半径和背包相同,若从这 n 个物品 中选出若干物品使得恰好装满这个背包。
公式化的描述为:给定一个正整数集A={a1,a2,…,an},已 知b是A的某子集中元素的和。问题是,找到一个n元的0 、1
向量X=(x1,x2,…,xn)使得:
n
∑ aixi = b
i =1
这是一个NP问题。
其中a1, a2, … , an 和 b 都是正整数。
13
超递增序列
如果序列 a1, a2, … , an 满足条件:
i −1
∑ ai > a j (i = 2,3,..., n) j =1
则称该序列为超递增序列。 例如: {1,2,4,8, … ,2n }
如果序列为超递增序列,则背包问题则是P类问题。
14
MH背包密码的基本思想
利用实际上存在两类不同的背包问题,一类在线性时间 内可解(超递增背包问题),而另一类不能(普通背包问题)。 易解的背包问题可以转化成难解的背包问题。公钥使用难解 的背包问题,它可很容易地被用来加密明文但不能用来解密 密文。私钥使用易解的背包问题,它给出一个解密的简单方 法。不知道私钥的人要破解密文就不得不解一个难解的背包 问题。
i=1
利用已知u并根据uv=1 (mod p) ,可求得v。
下面作变换称为墨科-赫尔曼(Merkle-Hellman)变换:
ak≡ubk(mod p),k=1,2,…,n 非超递增序列{ai}和p作为公钥; 超递增序列{bi}和v作为私钥;
12
背包问题
已知一长度 b 的背包及长度分别为 a1,a2,… ,an 的 n 个物品。假定这些物品的半径和背包相同,若从这 n 个物品 中选出若干物品使得恰好装满这个背包。
公式化的描述为:给定一个正整数集A={a1,a2,…,an},已 知b是A的某子集中元素的和。问题是,找到一个n元的0 、1
向量X=(x1,x2,…,xn)使得:
n
∑ aixi = b
i =1
这是一个NP问题。
其中a1, a2, … , an 和 b 都是正整数。
13
超递增序列
如果序列 a1, a2, … , an 满足条件:
i −1
∑ ai > a j (i = 2,3,..., n) j =1
则称该序列为超递增序列。 例如: {1,2,4,8, … ,2n }
IPv6技术第6章ppt课件
精选课件ppt
2
6.1 IPv6安全问题
❖ 6.1.1 IPv6安全问题概述
IPv6的安全脆弱性可以分为四类:
❖ ⑴实现和部署上的漏洞和不足,与IPv6协议有关的设计、算法和 软硬件的实现离不开人的工作
❖ ⑵非IP层攻击,IPv6的安全仅作用在IP层,其它层出现对IPv6网 络的攻击仍然存在。
❖ ⑶IPv4向IPv6过渡时期的安全脆弱性,IPv4网络和IPv6网络并存 的环境以及过渡技术存在安全隐患。
精选课件ppt
4
网络安全的特征
❖ 身份可认证性;机密性;完整性;可控性;可审查 性。
❖ 网络安全需要考虑到三个方面:
⑴安全攻击,是任何危及网络系统信息安全的活动; ⑵安全机制,用来保护网络系统不受截听,阻止安全攻
击,恢复受到攻击的系统; ⑶安全服务,提供加强网络信息传输安全的服务,利用
一种或多种安全机制阻止对网络的攻击。
明文M H
密钥K
明文M 发送 明文M
MD 得出报文摘要
加密的报文摘 要
图6.4 用报文摘要实现报文鉴别
精选课件ppt
收方算出的
报文摘要
H
MD
密钥K 比较
MD 得 出 解 密 的 报文摘要
13
6.2 Internet的安全技术
❖ 6.2.1 数据包过滤和防火墙
防火墙所起的作用是:
❖①限制访问者进入一个被严格控制的点; ❖②防止进攻者接近受到保护的设备; ❖③限制人们离开一个严格控制的点。
与操作系统OS集成实施
❖ ⑵将IPsec作为协议栈中的一块(BITS)来实现
这种方法将特殊的IPsec代码插入到网络协议栈中,在网 络协议栈的网络层和数据链路层之间实施
第六章电子商务安全保障体系总结
第六章电子商务安全保障系统本章概要电子商务的安全控制安全电子交易的数据加密安全电子交易的认证技术与数字证书安全电子交易(SET )标准安全电子交易的操作技术和网络建设的安全性学习目标掌握电子商务的安全控制的要乞降安全交易标准和实行方法认识安全电子交易的数据加密,理解一般的数据加密模型掌握认证技术与数字证书和安全电子交易的有关知识掌握网络建设的安全性中的网络安全面对的威迫和网络安全体制的实现知识构造图6、 1 电子商务的安全控制1、电子商务的安全控制电子商务顺利展开的中心和重点问题是保证交易的安全性,这是网上交易的基础,也是电子商务技术的难点。
用户关于安全的需要主要包含以下五个方面,(见下列图)所示。
交易的不能否定性主要包含1、源点不能否定性,即信息发送者过后没法否定其发送的信息;2、接受不能否定性,即信息接收方没法否定其遇到信息;3、回执不能否定性,即发送责任回执的各个环节均没法推辞其应负的责任。
2、电子商务安全交易标准与实行方法最近几年来,信息技术业界与金融行业为适应电子商务需要,共同研究公布了一些 Internet 标准,以保障交易的安全性,(见下列图)所示。
安全电子交易协议涵盖了信誉卡在电子商务交易中的交易协议、信息保密、资料完好及数字认证、数字署名等。
这一标准被公以为全世界网际网络的标准,其交易形态成为将来“电子商务”的规范。
安全超文本传输协议依赖密钥加密,保障Web 站点间的交易信息传输的安全性。
安全交易技术协议由 Microsoft 公司提出的安全交易协议, STT 将认证和解密在阅读器中分别开,用以提升安全控制能力。
安全套接层协议由 Netscape 公司提出的安全交易协议,供给加密、认证服务和报文完好性。
6、 2 安全电子交易的数据加密1、数据加密技术综述加密技术与密码学密切相连,利用密码技术能够把某些重要信息或数据从一个可理解的明文形式变换成为一种错杂的、不行理解的密文形式,称为加密过程;密文经过线路传递到达目的端后,用户按特定的解密方法将密文复原为明文,称为解密的过程。
第6章--IPv6安全机制
3. SA用到的主要参数
SA用到的主要参数: ⑥隧道目的地; ⑦路径MTU; ⑧AH信息(包括认证算法、密钥、密钥生存期,以及与 AH一起使用的其他参数); ⑨ESP信息(包括加密和认证算法、密钥、密钥生存期 、初始值,以及与ESP一起使用的其他参数)
6.2.4 IPSec操作模式
传输模式保护IP协议包(分组)的有效荷载(数据 部分)
6.2.1 IPSec协议概述
IPSec提供的安全服务是基于IP层的 IPSec是一种基于一组独立的共享密钥机制, 来 实现认证、完整性验证和加密服务的网络安全 协议
6.2.1 IPSec协议概述
IPSec通过设计安全传输协议身份认证首部( AH)、封装安全荷载(ESP), 以及密钥交换 协议(Internet Key Exchange, IKE)来实现网 络安全功能和目标 IPSec提供的网络安全功能
6.6.1 邻居缓存欺骗攻击
6.6.2 邻居不可达检测攻击
但检测主机开始进行邻居不可达检测的时候, 攻击主机可以发送虚假的邻居通告报文, 详细 的邻居通告报文信息
6.6.2 邻居不可达检测攻击
重复地址检测的过程
攻击主机可以通过伪造一个NA告诉受攻击主机申请的IPv6地 址已被占用, 使得受攻击主机不得使用该IPv6地址进行网络通 信, 从而达到欺骗请求主机
6. 过渡机制带来的安全问题 隧道帮助了入侵者避开进入过滤检测 特别是自动隧道机制,容易引入DoS、地址盗用 和服务欺骗
6.2 IPSec协议
6.2.1 IPSec协议概述 6.2.2 IPSec体系结构 6.2.3 IPsec安全关联 6.2.4 IPSec操作模式 6.2.5 IPSec模块对IP分组的处理 6.2.6 IPSec部署 6.2.7 IPSec存在问题分析
公钥密码系统
导读
❖本章我们将讨论解密密钥与加密密钥不同 的情况。非对称密码系统的解密密钥与加 密密钥是不同的,一个称为公开密钥,另 一个称为私人密钥(或秘密密钥),因此 这种密码体系也称为公钥密码体系。公钥 密码除可用于加密外,还可用于数字签名。 《 中 华 人 民 共 和 国 电 子 签 名 法 》 已 于 2005 年4月1日实行。
k1
k2
28
Company Logo
中间人攻击
❖ Alice用密钥k1给Bob发送消息;Carol截获消 息后用k1解密就可读取消息;然后将获得的明文 消息用k2加密(加密前可能会对消息作某些修改) 后发送给Bob。
❖ 对Bob发送给Alice的消息,Carol同样可以读 取和修改。造成中间人攻击的原因是DiffieHellman密钥交换不认证对方。利用数字签名 可以挫败中间人攻击。
(2) Bob发送公开值给Alice,Carol截获它然后把 自己的公开值(a’和p’)发送给Alice。
(3) Alice和Carol计算出二人之间的共享密钥k1。 (4) Bob和Carol计算出另外一对共享密钥k2。
27
Company Logo
中间人攻击
a,p
a',p'
Alice
Carol
Bob
Bob
X
产生随机数y
计算X=ax mod p
计算Y=ay mod p
计算k=Yx mod p
Y
计算k'=Xy mod p
26
Company Logo
中间人攻击
❖ Diffie-Hellman密钥交换容易遭受中间人攻击:
(1) Alice发送公开值(a和p)给Bob,攻击者Carol 截获这些值并把自己产生的公开值发送给Bob。
❖本章我们将讨论解密密钥与加密密钥不同 的情况。非对称密码系统的解密密钥与加 密密钥是不同的,一个称为公开密钥,另 一个称为私人密钥(或秘密密钥),因此 这种密码体系也称为公钥密码体系。公钥 密码除可用于加密外,还可用于数字签名。 《 中 华 人 民 共 和 国 电 子 签 名 法 》 已 于 2005 年4月1日实行。
k1
k2
28
Company Logo
中间人攻击
❖ Alice用密钥k1给Bob发送消息;Carol截获消 息后用k1解密就可读取消息;然后将获得的明文 消息用k2加密(加密前可能会对消息作某些修改) 后发送给Bob。
❖ 对Bob发送给Alice的消息,Carol同样可以读 取和修改。造成中间人攻击的原因是DiffieHellman密钥交换不认证对方。利用数字签名 可以挫败中间人攻击。
(2) Bob发送公开值给Alice,Carol截获它然后把 自己的公开值(a’和p’)发送给Alice。
(3) Alice和Carol计算出二人之间的共享密钥k1。 (4) Bob和Carol计算出另外一对共享密钥k2。
27
Company Logo
中间人攻击
a,p
a',p'
Alice
Carol
Bob
Bob
X
产生随机数y
计算X=ax mod p
计算Y=ay mod p
计算k=Yx mod p
Y
计算k'=Xy mod p
26
Company Logo
中间人攻击
❖ Diffie-Hellman密钥交换容易遭受中间人攻击:
(1) Alice发送公开值(a和p)给Bob,攻击者Carol 截获这些值并把自己产生的公开值发送给Bob。
《公钥密码体系》课件
03
保障国家安全
公钥密码体系在国家安全领域 中也有广泛应用,如军事通信
、政府机密保护等。
公钥密码体系的历史与发展
03
起源
公钥密码体系起源于20世纪70年代,最 早的公钥密码体系是RSA算法。
发展历程
未来展望
随着计算机科学和数学的发展,公钥密码 体系不断得到改进和完善,出现了多种新 的算法和应用。
随着互联网和物联网的普及,公钥密码体 系将面临更多的挑战和机遇,需要不断探 索和创新。
性能问题
1 2 3
加密和解密速度
公钥密码体系的加密和解密速度通常较慢,需要 优化算法和提高计算能力,以提高加密和解密的 速度。
资源消耗
公钥密码体系通常需要较大的计算资源和存储空 间,需要优化算法和资源利用方式,以降低资源 消耗。
适应性
公钥密码体系需要适应不同的应用场景和需求, 需要开发适用于不同场景的公钥密码算法和解决 方案。
人工智能与机器学习
人工智能和机器学习技术在公钥密码体系中也有着广阔的应用前景。这些技术可以帮助自动识别和防御 网络攻击,提高公钥密码体系的安全性和可靠性。
应用领域拓展
物联网安全
随着物联网技术的普及,公钥密 码体系在物联网安全领域的应用 将越来越广泛。物联网设备需要 使用公钥密码算法进行身份认证 和数据加密,以确保设备之间的 通信安全。
非对称加密算法可以支持多种加密模式,如对称加密算法中的块加 密和流加密模式。
数字签名
验证数据完整性和身份
数字签名使用私钥对数据进行加密,生成一个数字签名。 接收者使用公钥解密数字签名,验证数据的完整性和发送 者的身份。
防止数据被篡改
数字签名可以防止数据在传输过程中被篡改,因为任何对 数据的修改都会导致数字签名无效。
公钥密码体制 PPT课件
其他任何人都可以获得Ea,因此,任何人 都可以对s解密(加密、验证);只有A才有 Da,因此,只有A才可以加密(解密、签 名)
公钥密码体制 – RSA体制
RSA公钥密码体制 – 简介
1978年,Rivest、Shamir、Adleman一 起提出RSA公钥密码体制
RSA基于大整数分解难题 n是由两个素数相乘得到,已知n,不存在
RSA公钥密码体制 – 算法
加密:
◦ 设消息m < n, c = m e mod n
解密:
◦ m = c d mod n
解密证明:
◦ c d mod n = m ed mod n = m 1 mod φ(n) mod n = m k* φ(n) + 1 mod n
◦ m与n互素时,由欧拉定理 m k* φ(n) + 1 mod n = m k* φ(n) * m mod n = = m (φ(n))k * m mod n = m mod n , (m φ(n) mod n = 1)
公钥密码体制概念
公钥密码体制的建立是依据数学难问题 寻找一个单向陷门函数f:XY,其中
计算y = f(x)很容易,但如果不知道陷 门,则计算x = f-1(y)很难 现阶段公开且未解决的数学难题:
◦ 大整数分解难题(RSA) ◦ Zp域上的离散对数问题(DH) ◦ EC上点域的离散对数问题(EC)
安全的RSA通常认为需要使用1024比 特以上
国际上建议采用2048、4096比特密钥 长度
RSA用于密钥交换的功能正在被ECDH 所取代
RSA用于数字签名的功能正在被 ECDSA所取代
RSA公钥密码体制 – 数学基础
模运算 缩余系 费马小定理 a p-1 = 1 mod p 欧拉函数 φ(n) 欧拉定理 a φ(n) = 1 mod n 中国剩余定理(加速解密) 二次剩余(RSA参数选取) 欧几里德算法(逆的计算) 模幂的计算
公钥密码体制 – RSA体制
RSA公钥密码体制 – 简介
1978年,Rivest、Shamir、Adleman一 起提出RSA公钥密码体制
RSA基于大整数分解难题 n是由两个素数相乘得到,已知n,不存在
RSA公钥密码体制 – 算法
加密:
◦ 设消息m < n, c = m e mod n
解密:
◦ m = c d mod n
解密证明:
◦ c d mod n = m ed mod n = m 1 mod φ(n) mod n = m k* φ(n) + 1 mod n
◦ m与n互素时,由欧拉定理 m k* φ(n) + 1 mod n = m k* φ(n) * m mod n = = m (φ(n))k * m mod n = m mod n , (m φ(n) mod n = 1)
公钥密码体制概念
公钥密码体制的建立是依据数学难问题 寻找一个单向陷门函数f:XY,其中
计算y = f(x)很容易,但如果不知道陷 门,则计算x = f-1(y)很难 现阶段公开且未解决的数学难题:
◦ 大整数分解难题(RSA) ◦ Zp域上的离散对数问题(DH) ◦ EC上点域的离散对数问题(EC)
安全的RSA通常认为需要使用1024比 特以上
国际上建议采用2048、4096比特密钥 长度
RSA用于密钥交换的功能正在被ECDH 所取代
RSA用于数字签名的功能正在被 ECDSA所取代
RSA公钥密码体制 – 数学基础
模运算 缩余系 费马小定理 a p-1 = 1 mod p 欧拉函数 φ(n) 欧拉定理 a φ(n) = 1 mod n 中国剩余定理(加速解密) 二次剩余(RSA参数选取) 欧几里德算法(逆的计算) 模幂的计算
第四讲公钥密码体制补充内容(第6章)
认证Diffie-Hellman密钥交换(续)
Bob 可以用 Alice 的公开验证算法来确定 sig ( y A ) 是否真是 Alice 对 y A 的签名。同样,Bob 对 y B 签名并把 y B 和 sig ( y B ) 同时送给 Alice,她 能够利用 Bob 的公开验证算法来判断 sig ( y B ) 是否 Bob 对 y B 的签名。 这样双方都能够确定他们从对 方那里所收到的消息有没有被窜改过。因此, Alice(或 Bob)就不会受到欺骗:收到了 Eve 的 消息用来生成密钥,却误以为这些消息来自 Bob (或 Alice) 。
第四讲 公钥密码体制 (补充内容)
北京科技大学应用学院 卫宏儒 Weihr168@
主要内容
一、公钥密码系统原理 二、RSA算法 三、Diffie-Hellman密钥交换 和EIGamal算法
四、椭圆曲线密码 五、公钥密码系统的密钥管理
背
景
对称密钥密码体制的一个缺点是它需要在 Alice 和 Bob 之间首先在传输密文之前使用一个安 全的通道交换密钥。实际上,这可能是很难达到的。 例如:假定 Alice 和 Bob 居住相距遥远,他们决定 用 Email 通信,在这种情况下,Alice 和 Bob 可能 无法获得一个相当安全的通道。
Diffie, The first ten years of public—key cryptography. In Contemporary Cryptology, The Science of Information Intefrity, pages 135—175. IEEE Press, 1992.]关于 RSA
Diffie-Hellman第一个提出了公钥密码算法。 这个算法本身基于计算离散对数的难度,其目 的是实现两个用户之间安全地交换密钥以便于 后续的数据加密。直到现在, Diffie-Hellman 密钥交换算法仍然在许多商用产品中使用。 如果Alice和Bob希望使用Diffie-Hellman密钥 交换协议在一个不安全的信道上交换密钥,他 们可以这样做:
第6章 公钥密码体制
Char 7 pp.23
公钥密码的保密与认证图
Char 7 pp.24
公钥密码保密与认证过程分析
对于单次加密只提供认证或保密的问题,可以采用两次运用 公钥密码的方式即提供加密又提供认证:Z=EKUb[EKRa(X)] X=DKUa[DKRb(Z)] 发送方首先用其私钥对消息加密,得到数字签名,然后再用 接收方的公钥加密,所得密文只有被拥有私钥的接收方解密。 这样可保证消息的保密性。 缺点:在每次通信中要执行四次复杂的公钥算法。
Information Security:Principles & Applications
第6章 公钥密码体制
本章概要
公钥密码的概念、特点和应用范围。
数论基础
RSA算法加、解密过程。
其它公钥算法简介。
教学要求:原理要清楚,数论不深究。
Char 7 pp.2
Information Security:Principles & Applications
Char 7 pp.28
公钥密码算法应满足条件
假设消息源为A,要发送的消息为M,消息接收方为B。B的公钥KUb,私 钥KRb。 B产生一对密钥(公钥KUb ,私钥KRb )在计算上是容易的。 已知公钥KUb和要加密的消息M,发送方A产生相应的密文在计算上是 容易的:C=EKUb(M) 接收方B使用其私钥对接收方的密文解密以恢复明文在计算上是容易的: M=DKRb(C)= DKRb[EKUb(M)] 已知公钥时,攻击者要确定私钥,在计算上是不可行的。 已知公钥和密文,攻击者要恢复明文M在计算上是不可行的。 加密和解密函数的顺序可以交换: M= DKUb [EKRb(M)]=EKUb [DKRb (M)] 目前只有两个满足这些条件的算法:RSA、椭圆密码体制
第6章公钥密码体制
两两互素,a1, a2 ,, ar 是任意r个整数,则r
个同余方程组 x ai mod mi(其中 1 i r)模 M m1m2 mr 有 惟一解,且该解的表达式为:
r
x
ai M i yi (mod m)
i 1
其中,M i
M
mi
,y i
M
1 i
mod mi
, 1i r 。
26
如何产生足够大的随机素数
足 gcd(e, f (n)) 1 ; 4. 计算解密密钥 d e1 mod f (n) ; 5. 公布整数 n 和加密密钥 e。
21
• 证明 M ' Cd mod n (M e mod n)d mod n M 在条件 ed 1mod(n) 下成立。其中(n) 是欧拉函数,
表示不超过n且与n互素的整数个数。 证明: M ' C d mod n
若 gcd(a, m) 1, 则 b c mod m
• 加法逆元 :设 a Zn,如果存在x Zn 满足x a 0(modn), 则称x是a的模n加法逆元。
• 乘法逆元 :设 a Zn,如果存在 x Zn满足ax 1(modn), 则称x是a的模n乘法逆元,记为 a-1 (mod n)。
1.正向计算容易。即如果知道了密钥KUb和消息x,容易计
算 y fKUb (x)
2.在不知道密钥KRb的情况下,反向计算是不可行的。即
如果只知道消息y而不知道密钥KRb ,则计算
x
f
1 K
Rb
( y)
是不可行的。
3.在知道密钥KRb的情况下,反向计算是容易的。即如果
同时知道消息y和密钥KRb
,则计算
返回
11
RSA算法
个同余方程组 x ai mod mi(其中 1 i r)模 M m1m2 mr 有 惟一解,且该解的表达式为:
r
x
ai M i yi (mod m)
i 1
其中,M i
M
mi
,y i
M
1 i
mod mi
, 1i r 。
26
如何产生足够大的随机素数
足 gcd(e, f (n)) 1 ; 4. 计算解密密钥 d e1 mod f (n) ; 5. 公布整数 n 和加密密钥 e。
21
• 证明 M ' Cd mod n (M e mod n)d mod n M 在条件 ed 1mod(n) 下成立。其中(n) 是欧拉函数,
表示不超过n且与n互素的整数个数。 证明: M ' C d mod n
若 gcd(a, m) 1, 则 b c mod m
• 加法逆元 :设 a Zn,如果存在x Zn 满足x a 0(modn), 则称x是a的模n加法逆元。
• 乘法逆元 :设 a Zn,如果存在 x Zn满足ax 1(modn), 则称x是a的模n乘法逆元,记为 a-1 (mod n)。
1.正向计算容易。即如果知道了密钥KUb和消息x,容易计
算 y fKUb (x)
2.在不知道密钥KRb的情况下,反向计算是不可行的。即
如果只知道消息y而不知道密钥KRb ,则计算
x
f
1 K
Rb
( y)
是不可行的。
3.在知道密钥KRb的情况下,反向计算是容易的。即如果
同时知道消息y和密钥KRb
,则计算
返回
11
RSA算法
公钥密码概述
P), 易见,K = K =g xy (mod P)
▪ 由(4)知,Alice和Bob已获得了相同的秘密值K ▪ 双方以K作为加解密钥以传统对称密钥算法进行保密通信
D-H协议分析
优点: (1) 任何两个人都可协商出会话密钥,不需事先拥
有对方的公开或秘密的信息. (2) 每次密钥交换后不必再保留秘密信息,减少了
Diffie-Hellman密钥交换算法
Diffie-Hellman公钥技术
Diffie-Hellman公钥密码技术又称为 Diffie-Hellman密码交换协议,它是 Whitefield Diffie和Martin Hellman在 1976年提出的,是至今仍然流行的一种公 钥技术.(见教材P143)
y=f(x)推测x是不可行的
Diffie-Hellman密钥交换算法
▪ Diffie和Hellman在其里程碑意义的文章中,虽然给出
了密码的思想,但是没有给出真正意义上的公钥密码 实例,也既没能找出一个真正带陷门的单向函数
▪ 然而,他们给出单向函数的实例,并且基于此提出
Diffie-Hellman密钥交换算法
▪ 满足下列条件的函数f:
(1) 给定x,计算y=f(x)是容易的 (2) 给定y, 计算x使y=f(x)是困难的 (3) 存在z,已知z 时, 对给定的任何y,若相应的x 存在,则计算x使y=f(x)是容易的
▪ 所谓计算x= f-1(Y)困难是指计算上相当复杂,已无
实际意义
单向陷门函数说明
▪ 仅满足(1)、(2)两条的称为单向函数;第(3)条称为陷门性,
ALL : DKUa (Y ) DKUb (EKRa ( X )) X
▪ 鉴别+保密
A B : Z EKUb (DKRa ( X )) B : EKUa (DKRb (Z )) X
▪ 由(4)知,Alice和Bob已获得了相同的秘密值K ▪ 双方以K作为加解密钥以传统对称密钥算法进行保密通信
D-H协议分析
优点: (1) 任何两个人都可协商出会话密钥,不需事先拥
有对方的公开或秘密的信息. (2) 每次密钥交换后不必再保留秘密信息,减少了
Diffie-Hellman密钥交换算法
Diffie-Hellman公钥技术
Diffie-Hellman公钥密码技术又称为 Diffie-Hellman密码交换协议,它是 Whitefield Diffie和Martin Hellman在 1976年提出的,是至今仍然流行的一种公 钥技术.(见教材P143)
y=f(x)推测x是不可行的
Diffie-Hellman密钥交换算法
▪ Diffie和Hellman在其里程碑意义的文章中,虽然给出
了密码的思想,但是没有给出真正意义上的公钥密码 实例,也既没能找出一个真正带陷门的单向函数
▪ 然而,他们给出单向函数的实例,并且基于此提出
Diffie-Hellman密钥交换算法
▪ 满足下列条件的函数f:
(1) 给定x,计算y=f(x)是容易的 (2) 给定y, 计算x使y=f(x)是困难的 (3) 存在z,已知z 时, 对给定的任何y,若相应的x 存在,则计算x使y=f(x)是容易的
▪ 所谓计算x= f-1(Y)困难是指计算上相当复杂,已无
实际意义
单向陷门函数说明
▪ 仅满足(1)、(2)两条的称为单向函数;第(3)条称为陷门性,
ALL : DKUa (Y ) DKUb (EKRa ( X )) X
▪ 鉴别+保密
A B : Z EKUb (DKRa ( X )) B : EKUa (DKRb (Z )) X
公钥密码体制RSA介绍
3
1
公钥密码体制概述
公钥密码体制的要求 用户:产生密钥对K=(PK, SK)在计算上是可行的 发送方:已知公钥与明文,产生密文是容易的 接收方:利用私钥解密密文在计算上是可行的 攻击者:利用公钥求解私钥在计算上是不可行的 攻击者:已知公钥与密文,在不知道私钥的情况下, 恢复明文在计算上是不可行的
4
Zn上的模n运算 设n的二进制表示有 0≤m1, m2≤n-1. 上的模 运算:设 的二进制表示有k, ≤ 运算 的二进制表示有
m1+m2 (mod n): O(k) m1-m2 (mod n): O(k) m1×m2 (mod n): O(k2) (m1) -1 (mod n): O(k3) (m1)c (mod n): O(k2 ×logc) (平方-乘算法).
18
RSA的安全参数 RSA的安全参数
p和q要足够大 n=pq 为1024位, 或2048位. 和 要足够大 要足够大: 位 位 p和q应为强素数 和 应为强素数 应为强素数(strong prime). 如果素数p 满足以下条件, 则称为强素数. (1) p -1有大素数因子r; (2) p+1有大素数因子s; (3) r-1有大素数因子t. 例如: 理想的强素数为: r=2t+1; p=2r+1=4t+3; p=2s-1.
9
2
RSA密码体制 RSA密码体制
例4.1 设p=11, q=13. 令 n=11×13=143 , × φ(n)=(p-1)(q-1)=(11-1)(13-1)=120, 取公钥: PK=(n, e)=(143, e=17), 计算: d=e-1=17-1=113 (mod 120) (因为: 17×113=1921=16×120+1). 私钥: SK=(p, q , d) =(11, 13, 113). 对于明文: m=24, 密文: c=EPK(m)=2417=7 (mod 143). 对于密文: c=7, 解密: m=DSK(c)=7113=24 (mod 143 ).
公钥密码体制综述
公钥密码体制综述[摘要]随着通信的飞速发展,信息安全也越来越显得重要。
计算机密码体制的基本思想就是将要保护的信息变成伪装信息,只有合法的接收者才能从中得到真实的信息。
密码体制有对称密钥体制和非对称密钥体制之分,本文所重点讲述的RSA公钥体制便为非对称密钥体制,也叫做公开密钥体系。
[关键词]RSA 公钥密码体制安全性RSA密码系统是较早提出的一种公开钥密码系统。
1978年,美国麻省理工学院(MIT)的Rivest,Shamir和Adleman在题为《获得数字签名和公开钥密码系统的方法》的论文中提出了基于数论的非对称(公开钥)密码体制,称为RSA密码体制。
RSA是建立在“大整数的素因子分解是困难问题”基础上的,是一种分组密码体制。
一、对称密码体制对称密码体制是一种传统密码体制,也称为私钥密码体制。
在对称加密系统中,加密和解密采用相同的密钥。
因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。
二、非对称密码体制非对称密码体制也叫公钥加密技术,该技术就是针对私钥密码体制的缺陷被提出来的。
在公钥加密系统中,加密和解密是相对独立的,加密和解密会使用两把不同的密钥,加密密钥(公开密钥)向公众公开,谁都可以使用,解密密钥(秘密密钥)只有解密人自己知道,非法使用者根据公开的加密密钥无法推算出解密密钥,顾其可称为公钥密码体制。
采用分组密码、序列密码等对称密码体制时,加解密双方所用的密钥都是秘密的,而且需要定期更换,新的密钥总是要通过某种秘密渠道分配给使用方,在传递的过程中,稍有不慎,就容易泄露。
公钥密码加密密钥通常是公开的,而解密密钥是秘密的,由用户自己保存,不需要往返交换和传递,大大减少了密钥泄露的危险性。
同时,在网络通信中使用对称密码体制时,网络内任何两个用户都需要使用互不相同的密钥,只有这样,才能保证不被第三方窃听,因而N个用户就要使用N(N–1)/2个密钥。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
猜想:攻破RSA与分解n是多项式等价 的。然而,这个猜想至今没有给出可信的 证明!!!
(1)素因子p,q应当是强素数, p是强素数:存在大素数p1,p1|p-1,同时r1 , r2是 大素数, r1 | p1 -1 ,r2| p1 -1. 选择强素数的目的是因为选择的p,q如果p-1,q-1 的素因子都很小,则n=pq存在p-1或p+1分 解法
公钥密码体制的要求:
1. 产生一对密钥是计算可行的
2.
3. 4. 5. 6.
已知公钥和明文,产生密文是计算可行的
接收方利用私钥来解密密文是计算可行的 对于攻击者,利用公钥来推断私钥是计算不可行的 已知公钥和密文,恢复明文是计算不可行的 (可选)加密和解密的顺序可交换
公钥密码的安全性依赖于从已知的公钥, 加密算法和密文中无法求出明文或秘钥。 Diffie和Hellman提出了一种陷门单向函 数概念,为建立公钥密码体制找到了一 种途径。
e2 2
p
em m
em em e2 pm ) ( p1e1 ) ( p2 ) ( pm ) e2 1 2
p
e1 1 1
( p1 1) p
( p2 1)
p
em 1 m
( pm 1)
欧拉函数
练习: (300) ?
(300) (22 52 3) (22 ) (52 ) (3)
欧拉函数 (n)
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
计数: [1, pk ]中与pk 互素的数的个数
除去[1, p k ]中p的倍数,剩下的都与p k 互素 p,2p, , p k 1 p是[1, p k ]中所有p的倍数,共有 p k 1个。 所以与p k 互素的数的个数有p k-p k 1个
模幂运算-平方和乘算法
m mod N , c (ck 2 ci 2i
i 0
k 1
z 1 for i=k-1 downto 0 { z=z2 mod N if ci 1 then z=z*m mod N } return (z)
平方和乘算法的复杂度:执行次数至少要k次模乘,最多 需要2k次模乘
单向函数
函数f 若满足下列条件 1)对任意给定的x,容易计算f(X)=y 2)对任意给定的y,求出x使得f(x)=y是 困难的。
求离散对数问题 y=gx mod p 若给出p,g,y求x称为求离散对数问题 因子分解问题 n=pq 若给定n,求p,q称为因子分解问题 背包问题 给定一个有限个自然数序列集合B=(b1,b2,……,bn)及二进制数序列 x=(x1,x2,……,xn),S= x1 b1 + x2 b2 +…… + xn bn 给定B,S,求x序列,称为求背包问题
(2)因子p,q的差必须足够大。 如果p,q比较接近,则由p,q的平均值可得
Q pq 2
2
pq n
再利用
pq pq 2 n Q n 2 2
2
可得
pq Q 2 p q Q2 n 2
进而求出p,q
例如p 101, q 103, n 10403 则 n 101.995 取Q 102, 而102 10403 1 ,因此
2
pq 102 2 p q 1 2
(3)RSA的加解密密钥不能太小,存在低指数 攻击
已经证明了当d的二进制长度小于模数n长度的1/4时, 可以利用连分数法在多项式时间内求解n。
解密:为从c中恢复明文m,A利用解密密钥d,计算
m=cd mod n
例如在上面的例子中,假设m=19,则 c=195 =19 ×(192)2=19 × 3612=19 × 42 mod 119 =304=66 mod 119 因此密文为c=66
对于密文c=66,其解密过程如下 m=6677=(662)38 × 66 mod 119 =7238 × 66 mod 119 =4738 × 66 mod 119 =6719 × 66 mod 119 =(672)9 × 67 × 66 mod 119 =869 × 19 mod 119 =(862)4 × 86 × 19 mod 119 =184 × 87 mod 119 =18 × 87 mod 119 =19 mod 119
模幂运算
1513 mod 53, c (c3c2 c1c0 ) (1101) 2 23 2 2 1 Step1 z 1 Step 2 z z 2 m c3 mod N z 12 151 mod 53 15 Step3 z z 2 m c2 mod N z 152 151 mod 53 36 Step 4 z z 2 m c1 mod N z 36 2 150 mod 53 24 Step5 z z 2 m c0 mod N z 242 151 mod 53 1 1513 mod 53 1
RSA公钥密码体制
1 、1977年由Rivest、Shamir和 Adleman发明 并于1978年公布。 2 、明文和密文在0~n-1之间,n是一个正整数 3 、应用最广泛的公钥密码算法 4 、只在美国申请专利,且已于2000年9月到期
欧拉函数 (n)
在[1, n]中,不大于n而且与n互素的正整数 的个数,记作(n)
单向陷门函数:
单向陷门函数是满足下列条件的函数f: 1. 给定x,计算y=f(x)是容易的; 2. 给定y, 计算x使x=f-1(y)是不可行的; 3. 存在陷门t,已知t时,对给定的任何y,若相应 的原象x存在,则计算x是容易的。
通过陷门单向函数建立公钥密码
f(x)是单向陷门函数,陷门为t。 那 么设计公钥密码系统时f(x)作为公钥,陷 门t作为私钥,任何人都可将明文m利用 公钥f(x)加密得到密文y=f(m),而任何人 不知道私钥即陷门,由密文y都无法求出 m,因为f(x)是单向的,但拥有私钥,便 可容易求出m
如果解密指数d被泄露,则就可以分解出n, 因此就必须重新选取n,而不能只是重新 选取e,d.
RSA的实现
可供选择的大素数是否多 随机选择大素数是否容易 模幂运算能否快速实现
模幂运算
m c mod N , c (c3c2 c1c0 ) 2 c3 23 c2 2 2 c1 2 c0 m m
n 1, (n) ?
欧拉函数
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
3、若(m1, m2 ) 1 ,则 (m1m2 ) (m1 ) (m2 )
n 1, (n) ? n p p
e1 1 e2 (n) ( p1e1 p2
计算机安全与保密
公钥密码体系
杭州电子科技大学
对称算法的不足
密钥必须通过某一信道协商,对这个信 道的安全性的要求比正常的传送消息的 信道的安全性要高
1. 公钥密码背景
密码分析 用户A 明文M 加密
k1
密文C E (M , k1 )
解密
k2
M D(C , k2 )
用户B
公钥空间
私钥空间
公钥密码体制的特点: 1. 加密密钥与解密密钥在本质上是不同的,即已知一个密钥并不 能轻易地求出另一个密钥。 2. 不需要增加分发密钥的额外信道。
256 255
由此可见,大素数的分布是相当多的
素数判定
确定性素数判定:判定结果一定正确
概率性素数判定:判定结果在某个概率 上是正确的。 概率性素数判定算法内部使用了一个随 机数,在复杂度理论中也称此类算法为 随机算法
Miller-Rabin素数判定算法
定义 设n 2是一个奇数,设n 1 2 s m,其中s是非负整数, m 0是奇数,设0 b n, 如果 b m 1mod n 或者存在一个r , 0 r s,使得b 2 则称n是以b为基的强伪素数 例:n 91,91 1 2 45 945 1mod 91 91是以9为基的强伪素数
r
m
1mod n
c c3 23 c2 22 c1 2 c0
m
c3 23
m
c2 22
m c1 2 m c0 mod N
(m
c3 22
m
c2 21
m c1 ) 2 m c0 mod N
((m c3 2 m c2 ) 2 m c1 ) 2 m c0 mod N (((12 m c3 ) 2 m c2 ) 2 m c1 ) 2 m c0 mod N Step1 z 1 Step 2 z z 2 m c3 mod N Step3 z z 2 m c2 mod N Step 4 z z 2 m c1 mod N Step5 z z 2 m c0 mod N
解密的正确性:
费马小定理: 若(a,n)=1,则a(n)=1 mod n 2. 推论1:若n=pq,p≠q都是素数,k是任意整数,则 m(n)+1=m(p-1)(q-1)+1=m mod n 3. 推论2: mk(p-1)(q-1)+1=m mod n 由于ed=1 mod(n),则存在整数k,满足 ed=1+k(n)=1+k(p-1)(q-1) 因此 cd=med=mk(p-1)(q-1)+1=m mod n 所以解密成功。
①
例如取p=7,q=17,则
n=pq=7×17=119 (n)=(7-1)(17-1)=6 × 16=96
任取e=5,则d=77.注意5 × 77=385=1 mod96
2.
(1)素因子p,q应当是强素数, p是强素数:存在大素数p1,p1|p-1,同时r1 , r2是 大素数, r1 | p1 -1 ,r2| p1 -1. 选择强素数的目的是因为选择的p,q如果p-1,q-1 的素因子都很小,则n=pq存在p-1或p+1分 解法
公钥密码体制的要求:
1. 产生一对密钥是计算可行的
2.
3. 4. 5. 6.
已知公钥和明文,产生密文是计算可行的
接收方利用私钥来解密密文是计算可行的 对于攻击者,利用公钥来推断私钥是计算不可行的 已知公钥和密文,恢复明文是计算不可行的 (可选)加密和解密的顺序可交换
公钥密码的安全性依赖于从已知的公钥, 加密算法和密文中无法求出明文或秘钥。 Diffie和Hellman提出了一种陷门单向函 数概念,为建立公钥密码体制找到了一 种途径。
e2 2
p
em m
em em e2 pm ) ( p1e1 ) ( p2 ) ( pm ) e2 1 2
p
e1 1 1
( p1 1) p
( p2 1)
p
em 1 m
( pm 1)
欧拉函数
练习: (300) ?
(300) (22 52 3) (22 ) (52 ) (3)
欧拉函数 (n)
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
计数: [1, pk ]中与pk 互素的数的个数
除去[1, p k ]中p的倍数,剩下的都与p k 互素 p,2p, , p k 1 p是[1, p k ]中所有p的倍数,共有 p k 1个。 所以与p k 互素的数的个数有p k-p k 1个
模幂运算-平方和乘算法
m mod N , c (ck 2 ci 2i
i 0
k 1
z 1 for i=k-1 downto 0 { z=z2 mod N if ci 1 then z=z*m mod N } return (z)
平方和乘算法的复杂度:执行次数至少要k次模乘,最多 需要2k次模乘
单向函数
函数f 若满足下列条件 1)对任意给定的x,容易计算f(X)=y 2)对任意给定的y,求出x使得f(x)=y是 困难的。
求离散对数问题 y=gx mod p 若给出p,g,y求x称为求离散对数问题 因子分解问题 n=pq 若给定n,求p,q称为因子分解问题 背包问题 给定一个有限个自然数序列集合B=(b1,b2,……,bn)及二进制数序列 x=(x1,x2,……,xn),S= x1 b1 + x2 b2 +…… + xn bn 给定B,S,求x序列,称为求背包问题
(2)因子p,q的差必须足够大。 如果p,q比较接近,则由p,q的平均值可得
Q pq 2
2
pq n
再利用
pq pq 2 n Q n 2 2
2
可得
pq Q 2 p q Q2 n 2
进而求出p,q
例如p 101, q 103, n 10403 则 n 101.995 取Q 102, 而102 10403 1 ,因此
2
pq 102 2 p q 1 2
(3)RSA的加解密密钥不能太小,存在低指数 攻击
已经证明了当d的二进制长度小于模数n长度的1/4时, 可以利用连分数法在多项式时间内求解n。
解密:为从c中恢复明文m,A利用解密密钥d,计算
m=cd mod n
例如在上面的例子中,假设m=19,则 c=195 =19 ×(192)2=19 × 3612=19 × 42 mod 119 =304=66 mod 119 因此密文为c=66
对于密文c=66,其解密过程如下 m=6677=(662)38 × 66 mod 119 =7238 × 66 mod 119 =4738 × 66 mod 119 =6719 × 66 mod 119 =(672)9 × 67 × 66 mod 119 =869 × 19 mod 119 =(862)4 × 86 × 19 mod 119 =184 × 87 mod 119 =18 × 87 mod 119 =19 mod 119
模幂运算
1513 mod 53, c (c3c2 c1c0 ) (1101) 2 23 2 2 1 Step1 z 1 Step 2 z z 2 m c3 mod N z 12 151 mod 53 15 Step3 z z 2 m c2 mod N z 152 151 mod 53 36 Step 4 z z 2 m c1 mod N z 36 2 150 mod 53 24 Step5 z z 2 m c0 mod N z 242 151 mod 53 1 1513 mod 53 1
RSA公钥密码体制
1 、1977年由Rivest、Shamir和 Adleman发明 并于1978年公布。 2 、明文和密文在0~n-1之间,n是一个正整数 3 、应用最广泛的公钥密码算法 4 、只在美国申请专利,且已于2000年9月到期
欧拉函数 (n)
在[1, n]中,不大于n而且与n互素的正整数 的个数,记作(n)
单向陷门函数:
单向陷门函数是满足下列条件的函数f: 1. 给定x,计算y=f(x)是容易的; 2. 给定y, 计算x使x=f-1(y)是不可行的; 3. 存在陷门t,已知t时,对给定的任何y,若相应 的原象x存在,则计算x是容易的。
通过陷门单向函数建立公钥密码
f(x)是单向陷门函数,陷门为t。 那 么设计公钥密码系统时f(x)作为公钥,陷 门t作为私钥,任何人都可将明文m利用 公钥f(x)加密得到密文y=f(m),而任何人 不知道私钥即陷门,由密文y都无法求出 m,因为f(x)是单向的,但拥有私钥,便 可容易求出m
如果解密指数d被泄露,则就可以分解出n, 因此就必须重新选取n,而不能只是重新 选取e,d.
RSA的实现
可供选择的大素数是否多 随机选择大素数是否容易 模幂运算能否快速实现
模幂运算
m c mod N , c (c3c2 c1c0 ) 2 c3 23 c2 2 2 c1 2 c0 m m
n 1, (n) ?
欧拉函数
1、p为素数,(p)=p 1 2、p为素数,(p k ) p k 1 ( p 1)
3、若(m1, m2 ) 1 ,则 (m1m2 ) (m1 ) (m2 )
n 1, (n) ? n p p
e1 1 e2 (n) ( p1e1 p2
计算机安全与保密
公钥密码体系
杭州电子科技大学
对称算法的不足
密钥必须通过某一信道协商,对这个信 道的安全性的要求比正常的传送消息的 信道的安全性要高
1. 公钥密码背景
密码分析 用户A 明文M 加密
k1
密文C E (M , k1 )
解密
k2
M D(C , k2 )
用户B
公钥空间
私钥空间
公钥密码体制的特点: 1. 加密密钥与解密密钥在本质上是不同的,即已知一个密钥并不 能轻易地求出另一个密钥。 2. 不需要增加分发密钥的额外信道。
256 255
由此可见,大素数的分布是相当多的
素数判定
确定性素数判定:判定结果一定正确
概率性素数判定:判定结果在某个概率 上是正确的。 概率性素数判定算法内部使用了一个随 机数,在复杂度理论中也称此类算法为 随机算法
Miller-Rabin素数判定算法
定义 设n 2是一个奇数,设n 1 2 s m,其中s是非负整数, m 0是奇数,设0 b n, 如果 b m 1mod n 或者存在一个r , 0 r s,使得b 2 则称n是以b为基的强伪素数 例:n 91,91 1 2 45 945 1mod 91 91是以9为基的强伪素数
r
m
1mod n
c c3 23 c2 22 c1 2 c0
m
c3 23
m
c2 22
m c1 2 m c0 mod N
(m
c3 22
m
c2 21
m c1 ) 2 m c0 mod N
((m c3 2 m c2 ) 2 m c1 ) 2 m c0 mod N (((12 m c3 ) 2 m c2 ) 2 m c1 ) 2 m c0 mod N Step1 z 1 Step 2 z z 2 m c3 mod N Step3 z z 2 m c2 mod N Step 4 z z 2 m c1 mod N Step5 z z 2 m c0 mod N
解密的正确性:
费马小定理: 若(a,n)=1,则a(n)=1 mod n 2. 推论1:若n=pq,p≠q都是素数,k是任意整数,则 m(n)+1=m(p-1)(q-1)+1=m mod n 3. 推论2: mk(p-1)(q-1)+1=m mod n 由于ed=1 mod(n),则存在整数k,满足 ed=1+k(n)=1+k(p-1)(q-1) 因此 cd=med=mk(p-1)(q-1)+1=m mod n 所以解密成功。
①
例如取p=7,q=17,则
n=pq=7×17=119 (n)=(7-1)(17-1)=6 × 16=96
任取e=5,则d=77.注意5 × 77=385=1 mod96
2.