第六讲 序列密码基础 武汉大学密码学
武汉大学《密码学》课件第六讲 工作模式
M1 , M2 , … , Mn-1 , Mn 是 明 文 , 其 中 M1 , M2,…,Mn-1是标准块,Mn 的可能是标准块,也 可能是短块。设其长度等于u,u小于等于分组长 度。
29
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式
z 2000年美国学者J0hn Black和Phllip Rogaway提出 X CBC模式,作为CBC模式的扩展,被美国政府 纳作为标准。
z X CBC主要是解决了CBC要求明文数据的长度是 码分组长度的整数倍的限制,可以处理任意长的数 据。如果用分组密码是安全的,则密钥序列就是安 全的。
23
二、分组密码的工作模式
z X CBC模式的主要缺点: 有填充,不适合文件和数据库加密。
使用3个密钥,需要传输填充长度,控制复杂。
28
二、分组密码的工作模式
6、CTR(Counter Mode Encryption)模式 z CTR模式是Diffie和Hellman于1979年提出的,在征
集AES工作模式的活动中由California大学的Phillip Rogaway等人的推荐。
CTR模式的优点是安全、高效、可并行、适合任意长度 的数据;
Oi的计算可预处理高速进行; 由于采用了摸2加实现加密,是对合运算,解密运算与加
密运算相同。 适合随机存储数据的解密。
z CTR模式的缺点:
没有错误传播,因此不易确保数据完整性。
33
三、短块加密
z分组密码一次只能对一个固定长度的明文
(密文)块进行加(解)密。
z称长度小于分组长度的数据块为短块。 z必须采用合适的技术解决短块加密问题。 z短块处理技术:
武汉大学密码学课件-张焕国教授
二、分组密码的工作模式
2、密文反馈链接模式(CBC)
①明密文链接方式(Plaintext and Ciphertext Block Chaining)
• 设 明文 M=(M1 ,M2 ,…,Mn ),
密钥为K,
密文 C = ( C1 ,C2 ,…,Cn ),
其中 Ci=
E(Mi ⊕Z ,K), E(Mi ⊕Mi-1 ⊕Ci-1,K),
二、分组密码的工作模式
5、X CBC (Extended Cipher Block
Chaining Encryption)模式
• X CBC模式的主要优点:
• 可以处理任意长度的数据。 • 适于计算产生检测数据完整性的消息认证码
MAC。
• X CBC模式的主要缺点:
• 有填充,不适合文件和数据库加密。 • 使用3个密钥,需要传填充长度,复杂。
Cn =
E(Mn ⊕Cn -1 ⊕K2,K1), 当Mn 不是短块;
E(PAD(Mn)⊕Cn -1 ⊕K3,K1),当Mn是短块。
二、分组密码的工作模式
5、X CBC (Extended Cipher Block
Chaining Encryption)模式
• X CBC与CBC区别:
♣CBC要求最后一个数据块是标准块,不是短 块。 ♣ X CBC既允许最后一个数据块是标准块,也 允许是短块。 ♣最后一个数据块的加密方法与 CBC不同。 ♣ 因为有填充,需要传输填充长度信息。
一、计算机数据的特殊性
1、存在明显的数据模式:
• 根据明文相同、密钥相同,则密文相同的道 理,这些固有的数据模式将在密文中表现出 来。
• 掩盖明文数据模式的方法: 预处理技术(随机掩盖) 链接技术
武汉大学密码学课件-张焕国教授
密码学(第四讲)中国商用密码SMS4张焕国武汉大学计算机学院目录1、密码学密码学的基本概念的基本概念2、古典、古典密码密码3、数据加密标准(、数据加密标准(DES DES))4、高级高级数据加密标准(数据加密标准(AES AES))5、中国商用密码(中国商用密码(SMS4SMS4))6、分组密码的应用技术7、序列密码8、习题课:复习对称密码9、公开密钥密码(、公开密钥密码(11)目录公开密钥密码(22)1010、11、数字签名(1)12、数字签名(2)13、、HASH函数131414、15、15PKI技术1616、、PKI17、习题课:复习公钥密码18、总复习一、我国的密码分级:①核心密码:用于保护党、政、军的核心机密。
②普通密码:用于保护国家和事企业单位的低于核心机密而高于商业机密的密码信息。
③商用密码:用于保护国家和事企业单位的非机密的敏感信息。
④个人密码:用于保护个人的隐私信息。
前三种密码均由国家密码管理局统一管理。
一、我国的密码政策二、我国商的业密码政策①统一领导:国家密码管理局统一领导。
②集中管理:国家密码管理局办公室集中管理。
③定点研制:研制只允许定点单位进行。
④专控经营:经许可的单位才能经营。
⑤满足使用:国内各单位都可申请使用。
一、我国的密码政策一、我国商用密码概况⑴密码的公开设计原则密码的安全应仅依赖于对密钥的保密,不依赖于对算法的保密。
⑵公开设计原则并不要求使用时公开所有的密码算法核心密码不能公布算法;核心密码的设计也要遵循公开设计原则。
⑶商用密码应当公开算法①美国DES 开创了公开商用密码算法的先例;②美国经历DES (公开)→EES (保密)→AES (公开)。
③欧洲也公布③欧洲也公布商用商用密码算法密码算法二、我国商用密码SMS4⑷我国的商用密码概况●我国在密码技术方面具有优势:密码理论、密码分析●长期以来不公开密码算法,只提供密码芯片少数专家设计,难免有疏漏;难于标准化,不利于推广应用。
[整理版]武汉大学密码学课件-张焕国传授
![[整理版]武汉大学密码学课件-张焕国传授](https://img.taocdn.com/s3/m/d9b142c732d4b14e852458fb770bf78a65293a1f.png)
密码学(第八讲)复习对称密码学张焕国武汉大学计算机学院目录2密码3)4、高级)5)67、8、习题课:复习对称密码91)目录1010、11、1)122)13、函数13、、认证1414、15、15、、PKI技术16、161718/综合实验要求②偶数号的题目中的一部分由辅导老师在作业课上讲解,一部分点学生上台解答。
③第一讲复习题②密码的基本思想是什么?③密码分析有哪些类型?④什么是密码分析?什么是密码分析?密码分析有哪些类型?⑤⑥计算机的程序文件和数据库文件加密容易受到什么攻击?为什么?第二讲复习题①214365 ,k1 2 3 4 5 63 5 1 64 2P =第二讲复习题对明文④以英文为例,用加法密码,取密钥常数k= 7,k= 7,对明文INFORMATION SECURITY,进行加密,求出密文。
⑤p的i和,若p(i)=j,p(j)=i 。
⑥⑦第三讲复习题统:•具有文件加密和解密功能;••采用密文反馈链接和密文挪用短块处理技术;•具有较好的人机界面。
第三讲复习题①分析DES的弱密钥和半弱密钥。
②分析DES的互补对称性。
③证明DES的可逆性。
④证明DES的对合性。
⑤画出3密钥3DES第四讲复习题AES作为加密算法开发出文件加密软件系统:•具有文件加密和解密功能;••采用密文反馈链接和密文挪用短块处理技术;•具有较好的人机界面第四讲复习题1、对比、对比AES AES和和DES DES有什么不同?有什么不同?2、AES AES的解密算法与加密算法有什么不同?的解密算法与加密算法有什么不同?3、在、在GF GF((28)中,中,0101的逆元素是什么?的逆元素是什么?4、对于字节、对于字节““0000””和“0101””计算计算S S 盒的输出。
5、证明、证明c(x)c(x)与与d(x)d(x)互逆,模互逆,模x x 4+1+1。
6、证明证明::x i mod (x 4+1)=x i mod 4第四讲复习题①复习有限域理论②证明:C(x)=03x3+01x2+01x+02D(x)=0Bx3+0Dx2+09x+0E互逆。
[密码学——基础理论与应用][李子臣][电子课件] 第6讲---祖冲之序列密码算法
![[密码学——基础理论与应用][李子臣][电子课件] 第6讲---祖冲之序列密码算法](https://img.taocdn.com/s3/m/ace9007058fb770bf78a55fe.png)
2020\3\17 Tuesday
密码学---基础理论与应用
13
密钥和初始向量会扩展成16个长度为31位的整数, 加载到每个记忆单元si中。 在LFSR里,si=ki‖di‖IVi(0≤i≤15),其中ki和IVi长度 为8位一个字节,di长度为15位。
128位的密钥K和初始向量IV表示成16个字串级联的 形式k=k0‖k1‖K2‖…‖k15,IV=IV0‖IV1‖IV2‖…‖Iv15 ,16 个di已知字符串级联成一个240位的长字符串 D=d0‖d1‖d2‖L‖d15。
d8 1001101011110002, d9 0101111000100112, d10 1101011110001002, d11 0011010111100012, d12 1011110001001102, d13 0111100010011012, d14 1111000100110102, d15 1000111101011002.
第六章 祖冲之序列密码 (ZUC)
2020\3\17 Tuesday
密码学---基础理论与应用
1
目录
6.1 ZUC算法的概念与原理 6.2 ZUC机密性算法和完整性算法 6.3 ZUC算法的安全性分析 6.4 ZUC算法案例
2020\3\17 Tuesday
密码学---基础理论与应用
2
祖冲之序列密码算法(简称ZUC算法)是由我国自 主设计的密码算法,包括祖冲之算法、加密算法 128-EEA3和完整性算法128-EIA3。
11
接着算法进入产生密钥流阶段,也就是说,将下 面的操作运行一次就会输出一个32位的字Z:
KeystreamGeneration()
(1)Bitreorganization();
武汉大学《密码学》课件第十三讲 HASH函数
与AES配套 增强安全性
z 与SHA-1比较:
结构相同 逻辑函数相同 摸算术相同
27
三、SHA-2 HASH函数
1、 SHA-2的概况
SHA参数比较
Hash码长度 消息长度 分组长度 字长度 迭代步骤数 安全性
SHA-1 160 <264 512 32 80 80
SHA-256 256 <264 512 32 64 128
SHA-384 384 <2128 1024 64 80 192
SHA-512 512 <2128 1024 64 80 256
注:1、所有的长度以比特为单位。
2、安全性是指对输出长度为n比特hash函数的生日攻击产生碰撞的工作量大约为2n/2
。
28
三、SHA-2 HASH函数
2、 SHA-512
注意:在① 、②步后,数据长度为1024的N倍。 将数据分成N块,每块1024位,进行迭代处理。
30
三、SHA-2 HASH函数
L位 消息
N×1024位
L 10…0 消息长度
1024位 M1
1024位 M2
1024位 MN
512位 IV F
+ H1 F
+ H2
z F块处理 z +为摸264加
⑹压缩函数
z 每轮对A,B,C,D,E进行20次迭代,四轮共80次迭代。 t为迭代次数编号,所以 0≤t≤79 。
z 其中,ft(B,C,D) = 第t步使用的基本逻辑函数; <<s 表示 32位的变量循环左移s位 W t表示从当前分组BLK导出的32位的字 K t表示加法常量,共使用4个不同的加法常量 +为 模232加法
《密码学基础》课件第3章
(2) 无错误传播性。密文字符在传输过程中被修改(未被删 除)并不影响其他密文字符的解密。
(3) 主动攻击。一个主动攻击者对密文字符进行的插入、 删除或重放操作都会立即破坏系统的同步性,从而可能被解密 器检测出来。同时,主动攻击者可能会有选择地对密文字符进 行改动,并准确地知道这些改动对明文的影响。所以必须采用 其他的附加技术保证被加密数据的完整性。
3.1 序列密码的基本原理 3.2 反馈移位寄存器 3.3 基于LFSR的密钥流生成器 3.4 非线性反馈移位寄存器 习题
3.1 序列密码的基本原理
3.1.1 序列密码的设计思想 序列密码每次只对明文中的单个位(有时对字节)进行运算
(加密变换),加密过程所需的密钥流由种子密钥通过密钥流生 成器产生。随着数字电子技术的发展,密钥流可以方便地利用 以移位寄存器为基础的电路来产生,这促使线性和非线性移位 寄存器理论迅速发展,加上有效的数学工具,从而使得序列密 码理论迅速发展。序列密码的主要原理是通过随机数发生器产 生性能优良的伪随机序列(密钥流),使用该序列加密信息流(逐 比特加密),得到密文序列。由于每一个明文都对应一个随机的 加密密钥,因此序列密码在理论上属于无条件安全的密码体制。 序列密码的基本加密过程如图3-1所示。
n121 )
2 n
(n02
n12 ) 1
当n≥21时,该统计量近似服从自由度为2的χ2分布。
(3-6)
(3) 扑克测试。令m是一个满足[n/m]≥5×2m的正整数, 且令k=[n/m]。将序列s分成k个互不相交的部分,每个部分 的长度为m,令ni为第i种长度为m的序列出现的次数,1≤i≤2m。 该测试的目的是确定每个长度为m的序列在s中出现的次数是否
图3-3
i1 F ( i , ci , ci1 ,, cin1, k)
武汉大学密码学课件-张焕国教授
以其为连接多项式的线性移位寄存器的输出序列
为100110101111000··· ,它是周期为2 4-1=15的m
序列。
0001 0101
0010 1011
0100 0111
g0=1 g1=1 g2=0
S0
S1
S2
g3=0 S3
g4=1 1001 1111 0011 1110 0110 1100
1101 1000
18、总复习/检查:综合实验
一、序列密码的基本概念
①明文、密文、密钥以位(字符)为单位加
解密;
②模型
种子密钥
明文: m1,m2,…
密钥序列 产生器
密钥序列: k1,k2,… 密文: c1,c2,…
Ci = mi⊕ki
一、序列密码的基本概念
③人们用序列密码模仿 “一次一密 ” 密码; ④加密运算最简单,而且是对合运算; ⑤安全取决于密钥序列产生算法; ⑥理论和技术都十分成熟; ⑦核心密码的主流密码。
• 一般模型
F(s0,s1,…,sn-1)
输出
S0 S1
Sn-2 Sn-1
二、线性移位寄存器序列密码
1、线性移位寄存器(Linear Sift Registor) • 图中s0 ,s1 ,...,sn-1 组成左移移位寄存器,
并称每一时刻移位寄存器的取值为一个状态。
• 移位寄存器的输出同时要送入sn-1,其值要通过函
1010
二、线性移位寄存器序列密码
1、线性移位寄存器
• m序列具有良好的随机性:
游程:称序列中连续的i个1为长度等于i 的1游程,同样,称序列中连续的i个0为 长度等于i的0游程。 ①在一个周期内,0和 1出现的次数接近 相等,即0出现的次数为2 n - 1 -1,1出现 的次数为2 n-1 ;
武汉大学《密码学》课件第十四讲 认证
26
四、报文认证
3、报文内容的认证
z 报文内容认证使接收方能够确认报文内容的真实 性,这可以通过验证消息认证码 的正确性来实现。
z 消息认证码MAC(Message Authentication Code) 是消息内容和密钥的公开函数,其输出是固定长度 的短数据块:
MAC=C(M,K)
27
四、报文认证
12
二、身份认证
1. 口令
z 利用数字签名方法验证口令 : ④ 份当有且效仅。当IDi= IDi*, Ni*=Ti+1时系统才确认用户身 ⑤ 它安不全存性储分于析系:统口中令,是所用以户任的何保人密都的不解可密能密得钥K到d;i ,
由虽于然K从e终i存端储到于系系统统的中通,道但上是传由输K的ei不是能签推名出数K据di ;而 播K不Tid,攻是i;且K击由d仅。i本于当但身系N必,统i*须=所为T对以每i+T1攻用i是实击户才施者设接保也置收护不了访。能已问通访,过问所截次以取数可获标以得志抗重
2
内容简介
第十讲 公钥密码(2) 第十一讲 数字签名(1) 第十二讲 数字签名(2) 第十三讲 HASH函数 第十四讲 认证 第十五讲 密码协议 第十六讲 密钥管理(1) 第十七讲 密钥管理(2) 第十八讲 复习
3
教材与主要参考书
教材
参考书
4
一、认证的概念
z 认证(Authentication)又称鉴别,确认,它是证实 某人某事是否名符其实或是否有效的一个过程。
① 采用传统密码 z 设A为发送方,B为接收方。A和B共享保密的密
钥KS。A的标识为IDA,报文为M,在报文中增加 标识IDA ,那么B认证A的过程如下:
A→B:< IDA ,E(IDA||M ,KS) > z B收到报文后用KS解密,若解密所得的发送方标
武汉大学密码学课件-张焕国教授
五、公钥基础设施PKI
1、签证机构CA
• 在PKI中,CA负责签发证书、管理和撤销证书。 CA严格遵循证书策略机构所制定的策略签发证 书。CA是所有注册用户所信赖的权威机构。
• CA在给用户签发证书时要加上自己的签名,以 确保证书信息的真实性。为了方便用户对证书 的验证,CA也给自己签发证书。这样,整个公 钥的分配都通过证书形式进行。
• 公钥定义为Q点,
Q=dG 。
二、公钥密码的密钥产生
• 对于椭圆曲线密码,其用户的私钥d和公 钥Q的生成并不困难。
• 困难的是其系统参数<p,a,b,G,n>的选取。 也就是椭圆曲线的选取。
• 一般认为,目前椭圆曲线的参数n和p的规 模应大于160位。
• 参数的越大,越安全,但曲线选择越困难, 资源的消耗也越多。
三、公钥密码的密钥分配
• 如果公钥的真实性和完整性受到危害,则 基于公钥的各种应用的安全将受到危害。
• C冒充A欺骗B的攻击方法: ①攻击者C在PKDB中用自己的公钥KeC替换用户A
的公钥KeA 。 ②C用自己的解密钥签名一个消息冒充A发给B。 ③B验证签名:因为此时PKDB中A的公开钥已经
替换为C的公开钥,故验证为真。 于是B以为攻击者C就是A。
五、公钥基础设施PKI
3、证书的签发
• 经过RA的注册批准后,便可向CA申请签发证 书。与注册方式一样,向CA申请签发证书可以 在线申请,也可以离线申请。特别是在 INTERNET环境中可以WEB浏览器方式在线申 请签发证书,越来越受到欢迎。
五、公钥基础设施PKI
3、证书的签发
CA签发证书的过程如下: • 用户向CA提交RA的注册批准信息及自己的身
• 为了方便证书的查询和使用,CA采用证书目录 的方式集中存储和管理证书。通常采用建立目 录服务器证书库的方式为用户提供证书服务。
武汉大学《密码学》课件第三讲 DES
两位发生变化(这里x是一个长度为6的比特串); P4:对任何S盒和任一输入x,以及e,f∈{0,1},有
S(x)≠S(x⊕11ef00),其中x是一个长度为6的比特串; P5:对任何S盒,当它的任一输入比特位保持不变,其它5
1 58 50 42 34 26 18 7 62 54 46 38 30 22
10 2 59 51 43 35 27 14 6 61 53 45 37 29
19 11 3 60 52 44 36 21 13 5 28 20 12 4
③说明:矩阵中第一个数字47,表明原密钥中的第47位移到C0 中的第一位。
1 15 23 26 5 18 31 10
2 8 24 14 32 27 3 9
19 13 30 6 22 11 4 25
29
八、DES的解密过程
DES的加密算法是对合运算,因此解密和加密可共 用同一个算法。
不同点:子密钥使用的顺序不同。 第一次解密迭代使用子密钥 K16 ,第二次解密迭代
密码学
第三讲 数据加密标准(DES)
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
内容简介
第一讲 信息安全概论 第二讲 密码学的基本概念 第三讲 数据加密标准(DES) 第四讲 高级数据加密标准(AES) 第五讲 中国商用密码(SMS4) 第六讲 分组密码的应用技术 第七讲 序列密码 第八讲 复习 第九讲 公钥密码(1)
23
七、加密函数 f
④代替函数组S(S盒) zS盒的一般性质
S盒是DES中唯一的非线性变换,是DES安全的关键。 在保密性方面,起混淆作用。 共有8个S盒,并行作用。 每个S盒有6个输入,4个输出,是非线性压缩变换。 设输入为b1b2b3b4b5b6 ,则以b1b6组成的二进制数为行
武汉大学《密码学》课件第二讲 密码学的基本概论
z 迭代:设计一个轮函数,然后迭代。 z 乘积:将几种密码联合应用。
28
三、古典密码
虽然用近代密码学的观点来看,许多古 典密码是很不安全的。但是我们不能忘记古 典密码在历史上发挥的巨大作用。
另外,编制古典密码的基本方法对于编制 近代密码仍然有效。 z 古典密码编码方法:
置换,代替,加法
③商用密码:
用于保护国家和事企业单位的非机密的敏感信息。
④个人密码:
用于保护个人的隐私信息。 前三种密码均由国家密码管理局统一管理!
6
一、我国的密码政策
我国商用密码政策:
①统一领导:
国家密码管理局统一领导。
②集中管理:
国家密码管理局办公室集中管理。
③定点研制:
只允许定点单位进行研制。
④专控经营:
经许可的单位才能经营。
显然,理论上,对于任何可实用密码只要有足够 的资源,都可以用穷举攻击将其改破。
20
二、密码学的基本概念
5、密码分析 z穷举攻击 实例
1997年美国一个密码分析小组宣布:1万多人参 加,通过INTERNET网络,利用数万台微机,历 时4个多月,通过穷举攻破了DES的一个密文。
美国现在已有DES穷举机,多CPU并行处理,24 小时穷举出一个密钥。
性传输密钥,利用模2加进行加密,而且按一次一密方式 工作
16
二、密码学的基本概念
3、密码体制的分类
z 从是否基于数学划分 ⑵基于非数学的密码 ②DNA密码
基于生物学中的困难问题 由于不基于计算,所以无论计算机的计算能力多么强大,
与DNA密码都是无关的 尚不成熟
17
二、密码学的基本概念
E0
E1
武汉大学《密码学》课件第十讲 公钥密码(2)
13
二、EIGamal公钥密码
⑸ ElGamal密码的应用
z 由于ElGamal密码的安全性得到世界公认,所以得 广泛的应用。著名的美国数字签名标准DSS,采用 ElGamal密码的一种变形。
y =αx mod p,1≤x≤p-1,
6
一、离散对数问题
2、离散对数问题
③求对数 x 的运算为 x=logαy,1≤x≤p-1
由于上述运算是定义在有限域Fp 上的,所以称为离散 对数运算。
z 从x计算y是容易的。可是从y计算x就困难得多,利 用目前最好的算法,对于小心选择的p将至少需用 O(p ½)次以上的运算,只要p足够大,求解离散对数 问题是相当困难的。
8
二、EIGamal公钥密码
⑵ 加密
z 将 明 文 消 息 M ( 0≤M≤p-1) 加 密 成 密 文 的 过 程 如 下:
①随机地选取一个整数k,2≤k≤p-2。 ②计算: U =y k mod p;
C1=αk mod p;
C2=UM mod p; ③取 C=(C1 ,C2)作为的密文。
9
二、EIGamal公钥密码
z 椭圆曲线密码已成为除RSA密码之外呼声最高的公 钥密码之一。
z 它密钥短,软件实现规模小、硬件实现电路节省。 z 由于椭圆曲线离散对数问题尚没有发现亚指数算
法 , 所 以 普 遍 认 为 , 椭 圆 曲 线 密 码 比 RSA 、 ElGamal密码更安全。160位长的椭圆曲线密码的安 全性相当于1024位的RSA密码,而且运算速度也较 快。
武汉大学密码学课件-张焕国教授
密码学(第一讲)的基本概念密码学的基本概念张焕国武汉大学计算机学院目录1、密码学密码学的基本概念的基本概念2、古典、古典密码密码3、数据加密标准(、数据加密标准(DES DES))4、高级高级数据加密标准(数据加密标准(AES AES))5、中国商用密码(、中国商用密码(SMS4SMS4))6、分组密码的应用技术7、序列密码8、习题课:复习对称密码9、公开密钥密码(、公开密钥密码(11)目录公开密钥密码(22)1010、11、数字签名(1)12、数字签名(2)13、、HASH函数131414、15、15PKI技术1616、、PKI17、习题课:复习公钥密码18、总复习一、信息安全学科概论1、信息安全学科建设z20012001年经教育部批准武汉大学创建了全国第一个信息安年经教育部批准武汉大学创建了全国第一个信息安全本科专业;z20072007年全国信息安全本科专业已达年全国信息安全本科专业已达7070多所高校多所高校;z20032003年经国务院学位办批准武汉大学建立年经国务院学位办批准武汉大学建立::信息安全硕士点;博士点;博士后流动站z20072007年年1月成立国家信息安全教指委z20062006年武汉大学信息安全专业获湖北省年武汉大学信息安全专业获湖北省““品牌专业品牌专业””z 武汉大学成为我国信息安全科学研究和人才培养的重要基地。
一、信息安全学科概论2、信息安全学科特点z信息安全学科是交叉学科:计算机、通信、数学、物理、生物、管理、法律等;z具有理论与实际相结合的特点;z信息安全技术强调整体性、系统性、底层性;z对信息安全来说,法律、管理、教育的作用很大,必须高度重视。
z人才是关键,人的综合素质是关键的关键!3、武汉大学的办专业思路以学信息安全为主,兼学计算机、通信,同时加强数学、物理、法律等基础,掌握信息安全的基本理论与技能,培养良好的品德素质。
一、信息安全学科概论二、信息安全的基本概念1、信息安全事关国家安全信息成为社会发展的重要战略资源,,信息成为社会发展的重要战略资源信息技术改变着人们的生活和工作方式。
6.2 线性反馈移位寄存器
7.1 保密通信
1. 2.
链路加密
端-端加密
14
7.2 密码模式
电码本(ECB)
密文分组链接 (CBC)
密文反馈 (CFB)
输出反馈 (OFB)
15
ECB
TIME = 1 P1 K DES加密 K C1 (a) 加密 TIME = 1 P1 K DES解密 C1 (b) 解密 K TIME = 2 P2 DES加密 C2 · · · K TIME = N PN DES加密 CN
( OFB
)
单向函数
h=H(m),m为任意长消息,h为固定长度。 性质: 1. mh;
2.
hm很困难;
3. 给定m,很难找出另一个m’,使得H(m’) =H(m)。 h称为数字指纹,消息摘要,数字摘要。
21
MD5 Message Digest 5 512bit=1632bit( M0~M15) MD5128bit=432bit(A,B,C,D) 填充:L(m)+padding+64bit=512K
64
K
DES加密
64
···
选择 | 丢弃 j位 | 64-j位
j
选择 | 丢弃 j位 | 64-j位
j
选择 | 丢弃 j位 | 64-j位
j
+
j P1 (b) 加密
j
C1
+
j P2
j
C2
+
j PM
j
CM
18
IV
移位寄存器 64-j位 | j位
移位寄存器 64-j位 | j位
OFB
[密码学——基础理论与应用][李子臣][电子课件] 第6讲---祖冲之序列密码算法
③ s16=(v+u)mod(231-1);//其中u为w>>1,w为非线性函数F的输出; ④ If s16=0,then set s16=231-1; ⑤ (s1,s2,…,s15,s16)→(s0,s1,…,s14,s15)。
密码学---基础理论与应用
3
2011年,我国推荐ZUC算法的128-EEA3加密算法和 128-EIA3完整性算法成为3GPP LTE保密性和完整性 算法标准,即第四代移动通信加密标准,这是第一个 成为国际标准的我国自主研制的密码算法,对我国电 子信息产业具有非常重要的意义。
2012年,ZUC算法被发布为国家密码行业标准( GM/T 0001—2012)。
25
(1)初始化模式 LFSRWithInitialisationMode( )
在初始化模式下,LFSR接收一个31位的输入字u,而u是通过 去掉非线性函数F输出的32位字w的最右边的位获得的。也就 是u=w>>1,即循环右移1位。初始化模式详细步骤如下。
LFSRWithInitialisationMode(u)
2020\3\17 Tuesday
密码学---基础理论与应用
6
祖冲之序列密码结构图
2020\3\17 Tuesday
密码学---基础理论与应用
7
6.1.2 算法原理
ZUC算法以高安全性作为优先目标,同时兼顾高的软 硬件实现性能,在整体结构上分为上中下三层: LFSR、BR、非线性函数F。
序列密码
序列密码内容提要(或本章引言)使用流密码对某一消息m执行加密操作时一般是先将m分成连续的符号(一般为比特串),m=m1m2m3……;然后使用密钥流k=k1k2k3……中的第i 个元素k i对明文消息的第i个元素m i执行加密变换,i=1,2,3,……;所有的加密输出连接在一起就构成了对m执行加密后的密文。
序列密码以其易于实现、加解密快速、无错误传播、应用协议简单等优点,在政府、军事、外交等重要部门的保密通信以及各种移动通信系统中被广泛使用。
本章重点♦一次一密加密体制;♦线性反馈移位寄存器;♦基于线性反馈移位寄存器的伪随机序列生成器;♦伪随机序列的安全性;♦m序列;♦RC4、A5算法。
2.1 概述 (2级标题)按照对明文消息加密方式的不同,对称密码体制一般可以分为两类:分组密码(block cipher)和流密码(stream cipher)z分组密码:对于某一消息m,使用分组密码对其执行加密操作时一般是先对m进行填充得到一个长度是固定分组长度s的整数倍的明文串M;然后将M划分成一个个长度为s的分组;最后对每个分组使用同一个密钥执行加密变换。
z流密码(也称序列密码):使用流密码对某一消息m执行加密操作时一般是先将m分成连续的符号(一般为比特串),m=m1m2m3……;然后使用密钥流k=k1k2k3……中的第i个元素k i对明文消息的第i个元素m i执行加密变换,i=1,2,3,……;所有的加密输出连接在一起就构成了对m执行加密后的密文。
与分组密码相比,序列密码受政治的影响很大,目前应用领域主要还是在军事、外交等部门。
虽然也有公开设计和研究成果发表,但作为密码学的一个分支,流密码的大多设计与分析成果还是保密的。
目前可以公开见到、较有影响的流密码方案包括A5、SEAL、RC4、PIKE等。
本章主要讨论流密码加密体制,关于分组密码的知识将在下一章给出。
容易想到,使用流密码对消息m执行加密时,最简单的做法就是让密钥流中的第i个比特与明文串中的对应比特直接做XOR运算,即图2-1 简单的流密码加密结构对应的解密运算即为:图2-2 简单的流密码解密结构由于实现XOR逻辑运算非常简单,因此这样的加解密操作将是快速有效的。
【密码学】序列密码
【密码学】序列密码序列密码就是对密⽂进⾏逐⼀的加密或者解密和分组密码⽐起来,分组密码是⼀组⼀组加密,序列密码就是逐个加密序列密码的安全性能主要取决于密钥流或者密钥流产⽣器的特性。
优点:实现简单、加密和解密速度快、安全性能较好、没有或少有差错传播序列密码的基本结构1.同步序列密码 同步序列密码的原理: 种⼦密钥k经过由安全信道传送给收、发双⽅后,由密钥流产⽣器⽣成加密和解密所需要的密钥流,⽽加、解密本⾝就是简单的模2加法运算。
同步序列密码的特点: ①密钥流仅仅依赖于种⼦密钥和密钥流产⽣器的结构,⽽与明⽂流(或密⽂流)⽆关。
②如果密钥流完全随机产⽣且长度⾄少和明⽂流⼀样长,则可实现绝对安全的“⼀次⼀密”。
但实际上,这很难做到。
③⽆差错传播。
因为密钥流独⽴于密⽂流,所以⼀个密⽂的传输错误不会影响下⼀个密⽂的解密。
④为了保障接收端能够正确解密,要求收、发双⽅必须严格同步。
2.⾃同步序列密码 ⾃同步序列密码的简介: 与同步序列密码需要收、发双⽅严格同步不同,⾃同步序列密码能够依靠⾃⾝的能⼒“⾃动地”实现收、发双⽅的同步,因⽽是⼀种不需要外部同步的序列密码系统。
⾃同步序列密码的特点: ①密钥流不仅依赖于种⼦密钥和密钥流产⽣器的结构,还与密⽂流(或明⽂流)有关。
初始向量IV在这⾥相当于初始密⽂的作⽤,要求收、发双⽅必须相同。
②⾃同步。
解密只取决于先前特定数量的密⽂字符,因此,即使出现删除、插⼊等⾮法攻击,收⽅最终都能够⾃动重建同步解密,因⽽收、发双⽅不再需要外部同步。
③有差错传播。
因为密钥流与密⽂流有关,所以⼀个密⽂的传输错误会影响下⾯有限个密⽂的解密。
密钥流产⽣器密钥流产⽣器是决定序列密码安全性能的主要因素,因⽽线性反馈寄存器是密钥流产⽣器最基本也是最重要的部件。
1.线性反馈移位寄存器定义:如果将移位寄存器的某些级的输出通过异或(模2加)运算函数运算后反馈回它的第⼀级输⼊端,便构成了线性反馈移位寄存器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
m1,m2,…
k1,k2,… c ,c ,… 1 2
k1,k2,…
m1,m2,…
( c2 丢失)
⊕k = k1, k2, k3, … kn-2, kn-1 (密钥正确) ) m = m1,×, ×, … ×, × ( m1 后明文全错 10
一、序列密码的基本概念
除、重播等主动攻击。 z 另一个优点是没有错误传播,当通信中某些密文字 符产生了错误(0错成1或1错成0,不是插入和删 除),只影响相应字符的解密,不影响其它字符。 z 注意:错误与失步是不同的概念! 设密文错误 c = c1 , c2, c3 , … cn-1 , cn ( c2 错) ⊕ k= k1, k2, k3, … kn-1, kn (密钥正确) m=m1,×, m3, … mn-1, mn (仅 m2 错)
28
三、线性移位寄存器序列密码
1、线性移位寄存器
z 设F(s0,s1 ,...,sn-1 )为线性函数,则可写成 F(s0,s1,...,sn-1) = g0s0+g1s1+,...,+gn-1sn-1 其中,g0,g1,...,gn-1为反馈系数。 z 在 GF(2) 的 情 况 下 , 式 中 的 + 即 为 ⊕ , 反 馈 系 数 gi ∈GF(2),如果gi=0,则表示式中的gisi 项不存在,因 此表示si不连接。同理,gi=1表示si连接。故gi的作用 相当于一个开关。
19
二、随机序列的安全性
① 单比特频率检测
对于二元序列,统计被测序列中0和1出现的频率。如果0和1 出现的频率相等或接近相等,则认为是合格的。 对于二元序列,统计被测序列中0游程和1游程的数目。如果 游程和1游程的数目相等或接近相等,则认为是合格的。 定义:称二元序列中连续i个1组成的子序列为长度等于i的1 程,连续i个0组成的子序列为长度等于i的0游程。 举例:序列为100110101111000,则其中包含2个长度为1的0 游程和1游程、包含1个长度为2的0游程和1游程、包含1个长 度为4的1游程、包含1个长度为3的0游程,游程总数为8。
优点是真随机的。 缺点是其序列的统计随机特性往往不够好。
23
二、随机序列的安全性
z 第三种方法是将前两种方法相结合。
采用一个物理的随机源产生原始的随机序列, 再接一个基于数学算法的随机化处理器。 物理随机源的输出作为种子,输入给基于数学算法的随 机化处理器作进一步的随机化处理,其输出可得到良好 的随机序列。
2
目录
第十讲 第十一讲 第十二讲 第十三讲 第十四讲 第十五讲 第十六讲 第十七讲 第十八讲 公钥密码基础 中国商用公钥密码SM2加密算法 数字签名基础 中国商用公钥密码SM2签名算法 认证 密码协议 密钥管理:对称密码密钥管理 密钥管理:公钥密码密钥管理 复习
3
教材与主要参考书
教材 参考书
4
本讲内容
z 统计上的预期性
序列的一些统计指标应达到预期值。 例如,二元序列中0和1的频率应是相等的或接近 相等的,0游程和1游程的频率的数量也应是相等 的或接近相等的。
z 可伸缩性
z 如果序列是随机的,那么任何从中抽取的子序列 也应该是随机的。 z 如果任何抽取的子序列不随机,那么这个序列也 不是随机的。
8
一、序列密码的基本概念
z 举例:输出反馈模式 (OFB)
种子R0 K 移位寄存器 E 密文 明文 S 密文
9
S
一、序列密码的基本概念
①同步序列密码
发送端 种子密钥k
密钥序 产生算
接收端 种子密钥k
密钥序 产生算
Ci = mi⊕ki 设密文失步 c = c1, c3, c4, … cn-1 , cn
P ⎧ 1 ⎪ R(τ ) = ⎨ ⎪ ⎩−1 / p
τ =0
0<τ ≤ p −1
则称其自相关系数达到最佳值。
21
二、随机序列的安全性
③ 自相关检测 自相关函数反映了一个周期序列在一个周期内平均每位的 相同程度。 如果一个序列的自相关函数达到最佳值,则表明其具有良 好的随机性。 举例,设一个周期 p =15的序列为1 0 0 1 1 0 1 0 1 1 1 1 0 0 01 0 0 1 1 0 1 0 1 1 1 1 0 0 0……。取出一个周期子段为1 0 0 1 1 0 1 0 1 1 1 1 0 0 0。令τ =0,则R(τ ) =0。令τ =1,又得到 一个周期子段0 0 1 1 0 1 0 1 1 1 1 0 0 0 1。简单计算可得 A=7,D=8,R(τ ) = -1/15。由此可知,这个序列的自相关函 数达到最佳值,它具有良好的随机性。
22
二、随机序列的安全性
2、随机序列的产生
z 第一种方法是基于数学算法来产生随机序列。早期人们采 用线性算法,后来发现不安全,现在都是采用非线性算法 来产生随机序列。
优点是可以得到统计随机特性很好的随机序列,且可以人为有意识 地重复产生,适于序列密码应用。 缺点是不是真随机的。
z
第二种方法是基于物理学来产生随机序列。早期最典型的 是抛撒硬币或掷骰子。今天广泛采用基于电子噪声来产生 随机序列。
12
一、序列密码的基本概念
②自同步序列密码
发送端 种子密钥k 接收端 种子密钥k
密钥序 产生算 n位存储
密钥序 产生算 n位存储
k1,k2,… m1,m2,… c1,c2,…
k1,k2,… m1,m2,…
13
Ci 的错误将影响n位
二、随机序列的安全性
z 序列密码的安全,取决于密钥序列的安全性 1. 随机序列的安全性
密码学
第六讲 序列密码基础
张焕国 武汉大学计算机学院 空天信息安全与可信计算教育部重点实验室
目录
第一讲 第二讲 第三讲 第四讲 第五讲 第六讲 第七讲 第八讲 第九讲 信息安全概论 密码学的基本概念 数据加密标准(DES) 高级数据加密标准(AES) 中国商用密码SMS4与分组密码应用技术 序列密码基础 祖冲之密码 中国商用密码HASH函数SM3 复习
一、序列密码的基本概念 二、随机序列的安全性 三、线性移位寄存器序列密码 四、非线性序列密码
5
一、序列密码的基本概念
①定义:明文、密文、密钥以位(或字符)为单位进 行加解密。
z 为了安全,密钥必须有足够的长度、随机性,且经常更换。 z 为此,用一个短的种子密钥,通过算法产生好的密钥序列。
②模型
种子密钥
S0 S1 Sn-2 Sn-1
输出
27
三、线性移位寄存器序列密码
1、线性移位寄存器(Linear Shift Registor)
z 图中s0 ,s1 ,...,sn-1 组成左移移位寄存器,并称每一 时刻移位寄存器的取值为一个状态。 z 移位寄存器的输出同时要送入sn-1,其值要通过函数 F(s0 ,s1 ,...,sn-1 )计算产生。 z 称函数 F(s0 ,s1 ,...,sn-1 )为反馈函数。 z 如果反馈函数 F(s0 ,s1 ,...,sn-1 )是s0 ,s1 ,...,sn-1 的线性函 数,则称为线性移位寄存器,否则称为非线性移位寄 存器。
18
二、随机序列的安全性
z 伪随机序列的测试
我们尚不能从理论上证明一个序列是随机序列。 密码界采用的办法是对序列进行一系列的随机性指标测 试,如果被测序列通过了这些测试,我们就认为它是随机 的。 2009年2月国家密码管理局颁布了《随机性测试规范》, 范给出了15项随机性检测。 美国NIST也有类似规范。
z 在密码学中,对随机序列的基本要求是具有良好的随机性。
长周期性、非线性、统计上的预期性、可伸缩性 不可预测性等
z 一个有限长度的数字序列一定是可重复的,即有周期的。例 如,长度为n的二元序列,其重复周期一定小于等于2n。 z 我们希望密钥的重复周期能够等于2n。当n足够大时,2n是一 很大的数。因为序列的重复周期很长,从而使密钥空间很大。
16
二、随机序列的安全性
z 不可预测性
一是指,人们不能人为有意识地重复产生该随机序列, 二是指,不能由已知的序列数据求出未知的序列数据。 第一个性质决定是“真”还是“伪”。 第二个性质决定是“随机”还是“不随机”。 其他性质决定随机性是“好”还是“不好”。 真随机序列具有上述两方面的不可预测性。 伪随机序列,具有第二个性质,但不具有第一个性质。 伪随机序列是可以人为有意识地重复的。 序列密码只能使用好的伪随机序列!
17
z 真随机性和伪随机性
二、随机序列的安全性
z 伪随机序列的不可预测性
伪随机序列是可以人为有意识地重复的。 其不可预测性主要强调不可由已知的序列数据求出未知的 序列数据。 为此,把不可预测性划分为前向不可预测性和后向不可预 测性。 所谓前向不可预测性是指,如果不知道产生该序列的种 子,那么不管知道序列中前面的多少比特都无法预测序列 中的下一比特。 所谓后向不可预测性是指,从产生出的序列不能推断出产 生它的种子值。
1、线性移位寄存器(Linear Shift Registor) z 例3 增加运算,构成线性移位寄存器 ⊕
输出 运算部分
⊕
Sn-1
输入 移位 脉冲
S0
S1
Sn-2
移位寄存器
26
三、线性移位寄存器序列密码
1、线性移位寄存器(Linear Shift Registor) z 一般模型
F(s0,s1,…,sn-1)
物理随机源
数学随机化处理器
序列输出
24
三、线性移位寄存器序列密码
1、线性移位寄存器(Linear Shift Registor) z 例1 移位寄存器
输出
S0
S1
Sn-2
Sn -1