重庆大学信息安全导论密码学总复习.docx

1、重庆大学信息安全导论密码学总复习密码系统的平安性不在于算法的保密，而在于当对手获知了算法和密文后分析出密钥或明文的难度。Vernam密码的缺点P45雪崩效应P54在密码学中，雪崩效应是指加密算法的一个理想的属性，通常分组密码和加密散列函数。雪崩效应是显而易见的，如果当一个输入稍微改变例如，变换一个位，那么输出显著变化例如，一半的输出位变换在质量块密码的情况下，这样一个在关键或明文密文应该引起剧烈变化小的变化；混淆：使得密钥和密文之间的关系尽可能的复杂; 扩散：明文统计中的冗余度在密文统计中消散;P48分组密码与流密码的不同之处在于输出的每一位数字不是只与相应时刻输入的明文数字有关，而是与一组长

2、为m的明文数字在分组密码中，大小为mm 1的一组明文符号被一起加密，产生一组相同大小的密文。 即使密钥由多个值组成，单个密钥也用于加密整个块。在流密码中，明文数字一次一个地被加密，并且连续数字的变换在加密期间变化。无条件平安、计算平安P23P24 可证明平安：破译密码的难度与数学上某个困难问题的难度相同。 实际平安：包括可证明平安和计算平安P-BOXP46乘积密码：DES加密：Initial：初始置换在扩展置换之后，DES对扩展的右局部和轮回密钥使用XOR运算。 注意，扩展的右局部和轮密钥都是48位长度。 还要注意，该轮密钥仅在该轮操作中使用。S-box做真正的混合混淆。DES使用8个S-bo

3、xes，每个都有6位输入和4位输出。64位包括8位奇偶校验位DES密钥-每轮轮密钥的转换过程：64位-56位过程，是舍弃了8位奇偶校验位AES的评价标准： NIST于1997年发出了AES的请求，NIST定义的选择AES的标准分为三个方面： 平安、本钱、实施。 1998年6月接受了15名候选人 其中5个于1999年8月被列入名单：1、MARSIBM:扩展Feistel密码，128 位分组，128-1248位密钥。复杂、快速。平安系数高。2、RC6USA：128位分组，128-256位密钥。非常简单，非常快。平安系数低。3、RijndaelBelgium：128位分组，128 - 256位密钥。

4、干净、快。平安系数良好。4、SerpentEuro：慢、干净。平安系数非常高。5、TwofishUSA：复杂、非常快。平安系数高其中的一个Rijndael在2000年10月被选为AES，2001年11月作为FIPS PUB 197标准发布AESP99P 根本描述：分组大小：128位密钥大小：128 / 192 / 256位16 / 24 / 32字节轮数：10 / 12 / 14轮密钥大小：128位不是Feistel密码AES密钥拓展：AES可以在软件，硬件和固件中实现。实现可以使用表查找过程或使用一个定义良好的代数结构的例程。在AES中使用的算法很简单，可以使用廉价的处理器和最小量的存储器很

5、轻松的实现。AES的平安系数：AES是在DES之后设计的。大多数对DES的攻击已经在AES上测试过。暴力攻击：由于更大尺寸的密钥，AES绝比照DES更平安。统计攻击：许多测试未能对密文进行统计分析。差分和线性攻击：目前还没有对AES的差分和线性攻击。更先进的对称加密算法1、国际数据加密算法：2、3、先进的分组密码的特点：Variability可变性：密钥长度、分组大小、轮数、S盒、轮函数复杂的循环密钥生成密钥有更多角色去执行：S盒、循环移位分组密码操作模式：对称密钥加密可以使用现代分组密码来完成。已经设计了操作模式以使用DES或AES对任何大小的文本进行加密。在实质实质上中，操作模式是用于增强

6、密码算法或使算法适应具体应用的算法的技术，诸如将分组密码应用于数据块组成的序列或者数据流。1、电子本模式ECB：最简单的模式每个明文块使用相同的密钥独立编码独立地对ECB的总结：相同的明文块，如果它在消息中出现屡次，总是产生相同的密文。无法阻止长消息的修改攻击无错误传播：传输中的单个位错误可能在相应块中的多个位中产生错误。但是，错误对其他块没有任何影响。为什么？因为ECB一次处理一个明文分块，每个明文块使用相同的密钥独立编码用法：ECB模式是传输少量数据例如加密/解密密钥或密码的理想选择。2、密文分组链接模式：发送一个冗长的消息，我们会用所谓的密文分组链接模式CBCCBC解密：可以证明加密和解

7、密是互逆的：Pi = DK(Ci)Ci-1 = DK(EK(PiCi-1)Ci-1 = PiCi-1Ci-1IV：初始向量：为了产生第一块密文，初始化向量IV与第一个明文块进行异或。IV必须为发送者和接收者所共享。典型应用：通用块定向传输、消息认证3、密文反响模式CFB密码反响模式：错误传播消息认证在可靠的通道典型应用:通用面向流的传输4、输出反响模式OFB无错误传播。OFB作为流密码，可以在不可靠信道中使用5、计数器模式CTR在计数器CTR模式下，没有反响。 密钥流中的伪随机使用计数器来实现。流密码P162：概述逐个处理消息作为流，产生伪随机密钥流，与明文逐位XOR流密钥的随机性完全破坏了消

8、息中的统计的性质Ci = Pi XOR StreamKeyi但不能重用流密钥，否那么可以恢复明文属性一些需要考虑的方面是：长时间没有重复加密序列周期长统计学上随机取决于足够长的密钥复杂性正确设计，可以像具有相同大小密钥的块密码一样平安。但通常更简单，更快RC4概述RC4是面向字节的流密码，其中明文的字节与密钥的字节一起XOR以产生密文的字节。可变的密钥大小，面向字节操作的流密码广泛应用(webSSL/TLS，无线WEP)关键的形式随机排列的所有8 位值。使用scramble(搅乱)输入信息置换一次处理一个字节RC4于1987年提出，和DES算法一样，是一种对称加密算法，也就是说使用的密钥为单钥

9、或称为私钥。但不同于DES的是，RC4不是对明文进行分组处理，而是字节流的方式依次加密明文中的每一个字节，解密的时候也是依次对密文中的每一个字节进行解密。 RC4算法的特点是算法简单，运行速度快，而且密钥长度是可变的，可变范围为1-256字节(8-2048比特)，在如今技术支持的前提下，当密钥长度为128比特时，用暴力法搜索密钥已经不太可行，所以可以预见RC4的密钥范围任然可以在今后相当长的时间里抵御暴力搜索密钥的攻击。实际上，如今也没有找到对于128bit密钥长度的RC4加密算法的有效攻击方法。在介绍RC4算法原理之前，先看看算法中的几个关键变量： 1、密钥流：RC4算法的关键是根据明文和密

10、钥生成相应的密钥流，密钥流的长度和明文的长度是对应的，也就是说明文的长度是500字节，那么密钥流也是500字节。当然，加密生成的密文也是500字节，因为密文第i字节=明文第i字节密钥流第i字节； 2、状态向量S：长度为256，S0,S1.S255。每个单元都是一个字节0255，算法运行的任何时候，S都包括0-255的8比特数的排列组合，只不过值的位置发生了变换； 3、临时向量T：长度也为256，每个单元也是一个字节。如果密钥的长度是256字节，就直接把密钥的值赋给T，否那么，轮转地将密钥的每个字节赋给T； 4、密钥K：长度为1-256字节，注意密钥的长度keylen与明文长度、密钥流的长度没有

11、必然关系，通常密钥的长度趣味16字节128比特。一个例子：产生一个k，向量S交换一次，直到产生和明文一样多的k：密钥分发的历史：在第二次世界大战期间，德国高级指挥官不得不向所有的谜运营商分发每月的日记账。此外，U型船，倾向于长时间离开基地，不得不以某种方式获得正常供给的钥匙。美国政府密钥由COMSEC管理和分发。在20世纪70年代，COMSEC每天负责运输吨钥匙。当运载COMSEC材料的船舶进入船坞时，密码管理机构将在船上行进，收集堆叠的卡片，纸带，软盘，然后将其运送到预定的收件人。会话密钥使用由KDC和最终用户共享的主密钥以加密形式传输。对于每个最终用户，存在与KDC共享的唯一主密钥，并且主

12、密钥必须以某种方式递送。Diffie-HellmanDiffie出生于1944年，像孩子一样被数学迷住，1965年毕业于麻省理工学院，数学专业1991年之前，是北方电信网络平安系统研究经理Diffie对密钥分发问题特别感兴趣，到20世纪70年代初，他已经成熟为少数真正独立的平安专家之一，而不是受雇于政府或任何大公司。 表演讲。他谈到了用于攻击关键分发问题的各种策略策略，但他的观众没有积极的反响。当完成他的谈话，迪菲被告知，有人最近访问实验室，并做了一个讲座，解决密钥分配的问题。演讲者的名字是斯坦福大学教授马丁赫尔曼Martin HellmanHellman出生于1945年在犹太附近犹太人他的同

13、事批评他，他很疯狂地与美国国家平安局和他们的数十亿美元的预算竞争当迪菲打 给他时，赫尔曼从来没有听说过这个陌生人，但勉强地同意在下午晚些时候约会半小时。迪菲是在午夜左右离开赫尔曼的房子Diffie然后入学作为Hellman的研究生，因为Hellman没有大量的资金雇用他作为研究员。加/解密不等于上/解锁，因为加/解密有顺序区分，必须是先进后出的。Fx(Fy(M) Fy(Fx(M)Diffie-Hellman密钥体制缺点：1、比方Alice想要发送一封电子邮件给Bob，但Bob可能睡着了。如果Alice想要加密她的消息，那么她需要与Bob在线同意密钥，或者当Bob唤醒时，她必须等待12个小时。2

14、、不能抵御中间人攻击所以需要引入认证以上我们讨论的全是对称加密的密钥分配。Diffie已经提出了一种新型的密码，它包含了一个所谓的非对称密钥。加密和解密的密钥不同。爱丽丝可以创立自己的一对密钥：加密密钥、解密密钥Alice保持解密密钥的秘密，所以它通常被称为Alice的私钥。她发布加密密钥，使每个人都可以访问它，这通常被称为爱丽丝的公钥。这个系统的巨大优势是，没有浪费时间，鲍勃不得不等待从爱丽丝获得信息，然后才能加密和发送消息给她。Alice不必将公共加密密钥平安地传输到Bob：完全相反，她现在可以尽可能广泛地公开她的公开加密密钥，以便整个世界可以使用它来发送她的加密消息。同时，即使整个世界都

15、知道爱丽丝的公共密钥，他们也不能使用爱丽丝的公共密钥解密消息。只有Alice可以使用她自己的私钥解密它们。Diffie实际上没有这个公钥/私钥方案的具体例如。然而，他的想法是革命性的。Hellman和Diffie在1975年至1976年发表了他们的研究。他们和许多其他密码学家继续他们的研究，试图找到一个特殊的单向函数，使非对称密码成为现实。然而，他们没有发现。因为不知道生成n的p、q，所以基于大数的因式分解很难，所以攻击者很难算出d1994年，Peter Shor表示量子计算机可以考虑多项式时间多项式时间，打破RSA。如果n是300位或更短，那么可以在个人计算机上在几个小时内计算截至2008年

16、，通用因式分解算法所考虑的最大数字为663位长参见RSA-200，使用了最先进的分布式实现。下一个记录可能是768位模数从最早的开始到现代，实际上所有的密码系统都是基于替代和排列的根本工具。公钥算法基于数学函数，而不是基于替换和置换。公钥密码可以用于：加密/解密、电子签名、密钥交换/管理。应该提到一些关于PKC公钥密码体制的常见误解：PKC比对称密钥加密更平安PKC是一种通用技术，所以传统密码已过时当使用PKC时，密钥分发是没有意义的MAC和加密之间的区别：MAC功能与加密类似：发送方和接收方共享公共密钥不同：MAC功能不必是可逆的可逆；MAC功能不提供数字签名机制使用哈希函数的原因：P241

17、P242哈希函数的要求1.Hx可以应用于任何大小的数据x的块2.Hx产生固定长度的输出3.对于任何给定的x，Hx是相对容易计算的，使得硬件和软件实现都可行4.单向性质：对于任何给定代码h，计算上不可能找到x使得Hx= h。5.弱碰撞阻力：对于任何给定块x，计算上不可能找到6.抗冲突性：计算上不可能找到任何对x，y，使得Hx= Hy哈希算法：P248P249涉及重复使用压缩函数f。需要两个输入：来自上一步的n位结果链接变量和b位分组。最后产生n位输出MD5：P251它采用任意长度的消息作为输入但阻塞它们各512位，并产生128位消息摘要作为输出数字签名或数字签名方案是用于展示数字消息或文档的真实

18、性真实性的数学方案。有效的数字签名给予接收者相信该消息是由发送者创立的并且在传输中没有被改变的理由。数字签名通常用于软件分发，金融交易，以及在其他需要检测修改的情况下。数字签名提供平安效劳：消息认证；消息完整性；不可否认性；保密性；Kerberos：概述Kerberos发音为/krbrs/是计算机网络认证协议，其允许通过非平安网络通信的节点以平安的方式相互证明其身份。它也是由MIT发布的一套实现此协议的免费软件MIT开发了Kerberos以保护雅典娜工程提供的网络效劳存在协议的几个版本; 版本1-3仅在MIT内部发生。版本4是在20世纪80年代末出版的版本5在1993年作为RFC 1510出现

19、一个数字签名需要一个公钥系统。她的签名私钥；验证者验证的签名者的公钥。Kerberos效劳器；许多客户；多个应用效劳器这个Kerberos环境要求Kerberos效劳器必须有用户的ID和用户密码Kerberos效劳器必须共享一个密钥，每个效劳器。这样的环境被称为一个域是ITU-T国际电信联盟为一个公共密钥根底设施PKI标准公钥根底设施为单一登录SSO和特权权益管理根底设施PMI。X.509证书的规定，在其他的事情中，公钥证书的标准格式证书、证书撤销列表撤回，属性证书和证书路径验证确认算法。PGP是一个提供加密隐私和身份验证的计算机程序。通常用于对电子邮件进行签名，加密和解密，以增加电子邮件通信的平安性。它是由Philip Zimmermann在1991年创立的。PGP和其他类似产品遵循OpenPGP标准RFC 4880用于加密和解密数据。