现代密码学课件

现代密码学现代密码学 高等院校信息安全专业系列教材杨波 主编 现代密码学 高等院校信息安全专业系列教材杨波 主总总 目目 录录第第1章章 引言引言第第2章章 流密码流密码第第3章章 分组密码体制分组密码体制第第4章章 公钥密码公钥密码第第5章章 密钥分配与密钥管理密钥分配与密钥管理第第6章章 消息认证和杂凑算法消息认证和杂凑算法第第7章章 数字签字和密码协议数字签字和密码协议第第8章章 网络加密与认证网络加密与认证总 目 录第1章 引言第第1章章 引言引言1.1 信息安全面临的威胁信息安全面临的威胁1.2 信息安全的模型信息安全的模型1.3 密码学基本概念密码学基本概念第1章 引言1.1 信息安全面临的威胁信息在社会中的地位和作用越来越重要，已成为社会信息在社会中的地位和作用越来越重要，已成为社会发展的重要战略资源，信息技术改变着人们的生活和发展的重要战略资源，信息技术改变着人们的生活和工作方式，信息产业已成为新的经济增长点，社会的工作方式，信息产业已成为新的经济增长点，社会的信息化已成为当今世界发展的潮流和核心。与此同时信息化已成为当今世界发展的潮流和核心。与此同时信息的安全问题也已成为世人关注的社会问题。人们信息的安全问题也已成为世人关注的社会问题。人们对信息安全的认识随着网络的发展经历了一个由简单对信息安全的认识随着网络的发展经历了一个由简单到复杂的过程。到复杂的过程。1.1 信息的安全威胁信息的安全威胁 1.1.1 安全威胁安全威胁信息在社会中的地位和作用越来越重要，已成为社会发展的重要战略20世纪世纪70年代，主机时代的信息安全是面向单机的，年代，主机时代的信息安全是面向单机的，由于早期的用户主要是军方，信息安全的主要内容是由于早期的用户主要是军方，信息安全的主要内容是信息的保密性。信息的保密性。20世纪世纪80年代，微机和局域网的兴起带来了信息在微年代，微机和局域网的兴起带来了信息在微机间的传输和用户间的共享问题，丰富了信息安全的机间的传输和用户间的共享问题，丰富了信息安全的内涵，使人们认识到数据完整性、可用性的重要性。内涵，使人们认识到数据完整性、可用性的重要性。安全服务、安全机制等基本框架，成为信息安全的重安全服务、安全机制等基本框架，成为信息安全的重要内容。要内容。20世纪70年代，主机时代的信息安全是面向单机的，由于早期的20世纪世纪90年代，因特网爆炸性的发展把人类带进了一年代，因特网爆炸性的发展把人类带进了一个新的生存空间。因特网具有高度分布、边界模糊、个新的生存空间。因特网具有高度分布、边界模糊、层次欠清、动态演化，而用户又在其中扮演主角的特层次欠清、动态演化，而用户又在其中扮演主角的特点，如何处理好这一复杂而又巨大的系统的安全，成点，如何处理好这一复杂而又巨大的系统的安全，成为信息安全的主要问题。由于因特网的全球性、开放为信息安全的主要问题。由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展，使得任何人性、无缝连通性、共享性、动态性发展，使得任何人都可以自由地接入，其中有善者，也有恶者。恶者会都可以自由地接入，其中有善者，也有恶者。恶者会采用各种攻击手段进行破坏活动。信息安全面临的攻采用各种攻击手段进行破坏活动。信息安全面临的攻击可能会来自独立的犯罪者、有组织的犯罪集团和国击可能会来自独立的犯罪者、有组织的犯罪集团和国家情报机构。对信息的攻击具有以下新特点：家情报机构。对信息的攻击具有以下新特点：无边无边界性、突发性、蔓延性和隐蔽性。因此要了解信息安界性、突发性、蔓延性和隐蔽性。因此要了解信息安全，首先应该知道信息安全面临哪些威胁。全，首先应该知道信息安全面临哪些威胁。20世纪90年代，因特网爆炸性的发展把人类带进了一个新的生存信息安全所面临的威胁来自很多方面，并且随着时间信息安全所面临的威胁来自很多方面，并且随着时间的变化而变化。这些威胁可以宏观地分为人为威胁和的变化而变化。这些威胁可以宏观地分为人为威胁和自然威胁。自然威胁。自然威胁可能来自于各种自然灾害、恶劣的场地环境、自然威胁可能来自于各种自然灾害、恶劣的场地环境、电磁辐射和电磁干扰、网络设备自然老化等。这些事电磁辐射和电磁干扰、网络设备自然老化等。这些事件有时会直接威胁信息的安全，影响信息的存储媒质。件有时会直接威胁信息的安全，影响信息的存储媒质。信息安全所面临的威胁来自很多方面，并且随着时间的变化而变化。本节主要讨论人为威胁，也就是对信息的人为攻击。本节主要讨论人为威胁，也就是对信息的人为攻击。这些攻击手段都是通过寻找系统的弱点，以便达到破这些攻击手段都是通过寻找系统的弱点，以便达到破坏、欺骗、窃取数据等目的，造成经济上和政治上不坏、欺骗、窃取数据等目的，造成经济上和政治上不可估量的损失。人为攻击可分为被动攻击和主动攻击，可估量的损失。人为攻击可分为被动攻击和主动攻击，如图如图1.1所示。所示。本节主要讨论人为威胁，也就是对信息的人为攻击。这些攻击手段都图图1.1 攻击类型分类攻击类型分类现代密码学课件1.被动攻击被动攻击被动攻击即窃听，是对系统的保密性进行攻击，如搭被动攻击即窃听，是对系统的保密性进行攻击，如搭线窃听、对文件或程序的非法拷贝等，以获取他人的线窃听、对文件或程序的非法拷贝等，以获取他人的信息。被动攻击又分为两类，一类是获取消息的内容，信息。被动攻击又分为两类，一类是获取消息的内容，很容易理解；第二类是进行业务流分析，假如我们通很容易理解；第二类是进行业务流分析，假如我们通过某种手段，比如加密，使得敌手从截获的消息无法过某种手段，比如加密，使得敌手从截获的消息无法得到消息的真实内容，然而敌手却有可能获得消息的得到消息的真实内容，然而敌手却有可能获得消息的格式、确定通信双方的位置和身份以及通信的次数和格式、确定通信双方的位置和身份以及通信的次数和消息的长度，这些信息可能对通信双方来说是敏感的。消息的长度，这些信息可能对通信双方来说是敏感的。被动攻击因不对消息做任何修改，因而是难以检测的，被动攻击因不对消息做任何修改，因而是难以检测的，所以抗击这种攻击的重点在于预防而非检测。所以抗击这种攻击的重点在于预防而非检测。1.被动攻击2.主动攻击主动攻击这种攻击包括对数据流的某些篡改或产生某些这种攻击包括对数据流的某些篡改或产生某些假的数据流。主动攻击又可分为以下三个子类：假的数据流。主动攻击又可分为以下三个子类：中断：是对系统的可用性进行攻击，如破坏计算机中断：是对系统的可用性进行攻击，如破坏计算机硬件、网络或文件管理系统。硬件、网络或文件管理系统。篡改：是对系统的完整性进行攻击，如修改数据文篡改：是对系统的完整性进行攻击，如修改数据文件中的数据、替换某一程序使其执行不同的功能、修件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。改网络中传送的消息内容等。伪造：是对系统的真实性进行攻击。如在网络中插伪造：是对系统的真实性进行攻击。如在网络中插入伪造的消息或在文件中插入伪造的记录。入伪造的消息或在文件中插入伪造的记录。2.主动攻击绝对防止主动攻击是十分困难的，因为需要随时随地绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信线路进行物理保护，因此抗击主动对通信设备和通信线路进行物理保护，因此抗击主动攻击的主要途径是检测，以及对此攻击造成的破坏进攻击的主要途径是检测，以及对此攻击造成的破坏进行恢复。行恢复。绝对防止主动攻击是十分困难的，因为需要随时随地对通信设备和通信息安全的人为威胁主要来自用户（恶意的或无恶意信息安全的人为威胁主要来自用户（恶意的或无恶意的）和恶意软件的非法侵入。入侵信息系统的用户也的）和恶意软件的非法侵入。入侵信息系统的用户也称为黑客，黑客可能是某个无恶意的人，其目的仅仅称为黑客，黑客可能是某个无恶意的人，其目的仅仅是破译和进入一个计算机系统；或者是某个心怀不满是破译和进入一个计算机系统；或者是某个心怀不满的雇员，其目的是对计算机系统实施破坏；也可能是的雇员，其目的是对计算机系统实施破坏；也可能是一个犯罪分子，其目的是非法窃取系统资源（如窃取一个犯罪分子，其目的是非法窃取系统资源（如窃取信用卡号或非法资金传送），对数据进行未授权的修信用卡号或非法资金传送），对数据进行未授权的修改或破坏计算机系统。改或破坏计算机系统。1.1.2 入侵者和病毒入侵者和病毒信息安全的人为威胁主要来自用户（恶意的或无恶意的）和恶意软件恶意软件指病毒、蠕虫等恶意程序，可分为两类，如恶意软件指病毒、蠕虫等恶意程序，可分为两类，如图图1.2所示，一类需要主程序，另一类不需要。前者所示，一类需要主程序，另一类不需要。前者是某个程序中的一段，不能独立于实际的应用程序或是某个程序中的一段，不能独立于实际的应用程序或系统程序；后者是能被操作系统调度和运行的独立程系统程序；后者是能被操作系统调度和运行的独立程序。序。恶意软件指病毒、蠕虫等恶意程序，可分为两类，如图1.2所示，图图1.2 恶意程序分类恶意程序分类现代密码学课件对恶意软件也可根据其能否自我复制来进行分类。不对恶意软件也可根据其能否自我复制来进行分类。不能自我复制的一般是程序段，这种程序段在主程序被能自我复制的一般是程序段，这种程序段在主程序被调用执行时就可激活。能够自我复制的或者是程序段调用执行时就可激活。能够自我复制的或者是程序段（病毒）或者是独立的程序（蠕虫、细菌等），当这（病毒）或者是独立的程序（蠕虫、细菌等），当这种程序段或独立的程序被执行时，可能复制一个或多种程序段或独立的程序被执行时，可能复制一个或多个自己的副本，以后这些副本可在这一系统或其他系个自己的副本，以后这些副本可在这一系统或其他系统中被激活。以上仅是大致分类，因为逻辑炸弹或特统中被激活。以上仅是大致分类，因为逻辑炸弹或特洛伊木马可能是病毒或蠕虫的一部分。洛伊木马可能是病毒或蠕虫的一部分。对恶意软件也可根据其能否自我复制来进行分类。不能自我复制的一安全业务指安全防护措施，有以下安全业务指安全防护措施，有以下5种。种。1.保密业务保密业务保护数据以防被动攻击。保护方式可根据保护范围的保护数据以防被动攻击。保护方式可根据保护范围的大小分为若干级，其中最高级保护可在一定时间范围大小分为若干级，其中最高级保护可在一定时间范围内保护两个用户之间传输的所有数据，低级保护包括内保护两个用户之间传输的所有数据，低级保护包括对单个消息的保护或对一个消息中某个特定域的保护。对单个消息的保护或对一个消息中某个特定域的保护。保密业务还包括对业务流实施的保密，防止敌手进行保密业务还包括对业务流实施的保密，防止敌手进行业务流分析以获得通信的信源、信宿、次数、消息长业务流分析以获得通信的信源、信宿、次数、消息长度和其他信息。度和其他信息。1.1.3 安全业务安全业务安全业务指安全防护措施，有以下5种。1.1.3 安全业务2.认证业务认证业务用于保证通信的真实性。在单向通信的情况下，认证用于保证通信的真实性。在单向通信的情况下，认证业务的功能是使接收者相信消息确实是由它自己所声业务的功能是使接收者相信消息确实是由它自己所声称的那个信源发出的。在双向通信的情况下，例如计称的那个信源发出的。在双向通信的情况下，例如计算机终端和主机的连接，在连接开始时，认证服务则算机终端和主机的连接，在连接开始时，认证服务则使通信双方都相信对方是真实的（即的确是它所声称使通信双方都相信对方是真实的（即的确是它所声称的实体）；其次，认证业务还保证通信双方的通信连的实体）；其次，认证业务还保证通信双方的通信连接不能被第三方介入，以假冒其中的一方而进行非授接不能被第三方介入，以假冒其中的一方而进行非授权的传输或接收。权的传输或接收。2.认证业务3.完整性业务完整性业务和保密业务一样，完整性业务也能应用于消息流、单和保密业务一样，完整性业务也能应用于消息流、单个消息或一个消息的某一选定域。用于消息流的完整个消息或一个消息的某一选定域。用于消息流的完整性业务目的在于保证所接收的消息未经复制、插入、性业务目的在于保证所接收的消息未经复制、插入、篡改、重排或重放，即保证接收的消息和所发出的消篡改、重排或重放，即保证接收的消息和所发出的消息完全一样；这种服务还能对已毁坏的数据进行恢复，息完全一样；这种服务还能对已毁坏的数据进行恢复，所以这种业务主要是针对对消息流的篡改和业务拒绝所以这种业务主要是针对对消息流的篡改和业务拒绝的。应用于单个消息或一个消息某一选定域的完整性的。应用于单个消息或一个消息某一选定域的完整性业务仅用来防止对消息的篡改。业务仅用来防止对消息的篡改。3.完整性业务4.不可否认业务不可否认业务用于防止通信双方中的某一方对所传输消息的否认，用于防止通信双方中的某一方对所传输消息的否认，因此，一个消息发出后，接收者能够证明这一消息的因此，一个消息发出后，接收者能够证明这一消息的确是由通信的另一方发出的。类似地，当一个消息被确是由通信的另一方发出的。类似地，当一个消息被接收后，发出者能够证明这一消息的确已被通信的另接收后，发出者能够证明这一消息的确已被通信的另一方接收了。一方接收了。4.不可否认业务5.访问控制访问控制访问控制的目标是防止对网络资源的非授权访问，控访问控制的目标是防止对网络资源的非授权访问，控制的实现方式是认证，即检查欲访问某一资源的用户制的实现方式是认证，即检查欲访问某一资源的用户是否具有访问权。是否具有访问权。5.访问控制信息安全的基本模型可以用图信息安全的基本模型可以用图1.3来表示。来表示。1.2 信息安全的模型信息安全的模型信息安全的基本模型可以用图1.3来表示。1.2 信息安全的图图1.3 信息安全的基本模型信息安全的基本模型现代密码学课件通信双方欲传递某个消息，需通过以下方式建立一个通信双方欲传递某个消息，需通过以下方式建立一个逻辑上的信息通道：逻辑上的信息通道：首先在网络中定义从发送方到首先在网络中定义从发送方到接收方的一个路由，然后在该路由上共同执行通信协接收方的一个路由，然后在该路由上共同执行通信协议。议。如果需要保护所传信息以防敌手对其保密性、认证性如果需要保护所传信息以防敌手对其保密性、认证性等构成的威胁，则需要考虑通信的安全性。安全传输等构成的威胁，则需要考虑通信的安全性。安全传输技术有以下两个基本成分：技术有以下两个基本成分：通信双方欲传递某个消息，需通过以下方式建立一个逻辑上的信息通 消息的安全传输，消息的安全传输，包括对消息的加密和认证。加包括对消息的加密和认证。加密的目的是将消息搞乱以使敌手无法读懂，认证的目密的目的是将消息搞乱以使敌手无法读懂，认证的目的是检查发送者的身份。的是检查发送者的身份。通信双方共享的某些秘密信息，如加密密钥。通信双方共享的某些秘密信息，如加密密钥。为获得消息的安全传输，可能还需要一个可信的第三为获得消息的安全传输，可能还需要一个可信的第三方，其作用可能是负责向通信双方发布秘密信息或者方，其作用可能是负责向通信双方发布秘密信息或者在通信双方有争议时进行仲裁。在通信双方有争议时进行仲裁。消息的安全传输，包括对消息的加密和认证。加密的目的是将安全的网络通信必须考虑以下安全的网络通信必须考虑以下4个方面：个方面：加密算法。加密算法。用于加密算法的秘密信息。用于加密算法的秘密信息。秘密信息的分布和共享。秘密信息的分布和共享。使用加密算法和秘密信息以获得安全服务所需的使用加密算法和秘密信息以获得安全服务所需的协议。协议。安全的网络通信必须考虑以下4个方面：以上考虑的是信息安全的一般模型，然而还有其他一以上考虑的是信息安全的一般模型，然而还有其他一些情况。图些情况。图1.4表示保护信息系统以防未授权访问的表示保护信息系统以防未授权访问的一个模型。一个模型。以上考虑的是信息安全的一般模型，然而还有其他一些情况。图1.图图1.4 信息系统的保护模型信息系统的保护模型现代密码学课件对付未授权访问的安全机制可分为两道防线：对付未授权访问的安全机制可分为两道防线：第一第一道称为守卫者，它包括基于通行字的登录程序和屏蔽道称为守卫者，它包括基于通行字的登录程序和屏蔽逻辑程序，分别用于拒绝非授权用户的访问、检测和逻辑程序，分别用于拒绝非授权用户的访问、检测和拒绝病毒；第二道防线由一些内部控制部件构成，用拒绝病毒；第二道防线由一些内部控制部件构成，用于管理系统内部的各项操作和分析所存有的信息，以于管理系统内部的各项操作和分析所存有的信息，以检查是否有未授权的入侵者。检查是否有未授权的入侵者。对付未授权访问的安全机制可分为两道防线：第一道称为守卫者，上面介绍了信息安全面临的威胁以及信息安全的一般上面介绍了信息安全面临的威胁以及信息安全的一般模型。信息安全可分为系统安全（包括操作系统安全、模型。信息安全可分为系统安全（包括操作系统安全、数据库系统安全等）、数据安全（包括数据的安全存数据库系统安全等）、数据安全（包括数据的安全存储、安全传输）和内容安全（包括病毒的防护、不良储、安全传输）和内容安全（包括病毒的防护、不良内容的过滤等）内容的过滤等）3个层次，是一个综合、交叉的学科个层次，是一个综合、交叉的学科领域，要利用数学、电子、信息、通信、计算机等诸领域，要利用数学、电子、信息、通信、计算机等诸多学科的长期知识积累和最新发展成果。信息安全研多学科的长期知识积累和最新发展成果。信息安全研究的内容很多，它涉及安全体系结构、安全协议、密究的内容很多，它涉及安全体系结构、安全协议、密码理论、信息分析、安全监控、应急处理等，其中密码理论、信息分析、安全监控、应急处理等，其中密码技术是保障数据安全的关键技术。码技术是保障数据安全的关键技术。上面介绍了信息安全面临的威胁以及信息安全的一般模型。信息安全通信双方采用保密通信系统可以隐蔽和保护需要发送通信双方采用保密通信系统可以隐蔽和保护需要发送的消息，使未授权者不能提取信息。发送方将要发送的消息，使未授权者不能提取信息。发送方将要发送的消息称为明文，明文被变换成看似无意义的随机消的消息称为明文，明文被变换成看似无意义的随机消息，称为密文，这种变换过程称为加密；其逆过程，息，称为密文，这种变换过程称为加密；其逆过程，即由密文恢复出原明文的过程称为解密。对明文进行即由密文恢复出原明文的过程称为解密。对明文进行加密操作的人员称为加密员或密码员。密码员对明文加密操作的人员称为加密员或密码员。密码员对明文进行加密时所采用的一组规则称为加密算法。进行加密时所采用的一组规则称为加密算法。1.3 密码学基本概念密码学基本概念 1.3.1 保密通信系统保密通信系统通信双方采用保密通信系统可以隐蔽和保护需要发送的消息，使未授传送消息的预定对象称为接收者，接收者对密文进行传送消息的预定对象称为接收者，接收者对密文进行解密时所采用的一组规则称为解密算法。加密和解密解密时所采用的一组规则称为解密算法。加密和解密算法的操作通常都是在一组密钥控制下进行的，分别算法的操作通常都是在一组密钥控制下进行的，分别称为加密密钥和解密密钥。传统密码体制所用的加密称为加密密钥和解密密钥。传统密码体制所用的加密密钥和解密密钥相同，或实质上等同，即从一个易于密钥和解密密钥相同，或实质上等同，即从一个易于得出另一个，称其为单钥或对称密码体制。若加密密得出另一个，称其为单钥或对称密码体制。若加密密钥和解密密钥不相同，从一个难于推出另一个，则称钥和解密密钥不相同，从一个难于推出另一个，则称为双钥或非对称密码体制。密钥是密码体制安全保密为双钥或非对称密码体制。密钥是密码体制安全保密的关键，它的产生和管理是密码学中的重要研究课题。的关键，它的产生和管理是密码学中的重要研究课题。传送消息的预定对象称为接收者，接收者对密文进行解密时所采用的在信息传输和处理系统中，除了预定的接收者外，还在信息传输和处理系统中，除了预定的接收者外，还有非授权者，他们通过各种办法（如搭线窃听、电磁有非授权者，他们通过各种办法（如搭线窃听、电磁窃听、声音窃听等）来窃取机密信息，称其为截收者。窃听、声音窃听等）来窃取机密信息，称其为截收者。截收者虽然不知道系统所用的密钥，但通过分析可能截收者虽然不知道系统所用的密钥，但通过分析可能从截获的密文推断出原来的明文或密钥，这一过程称从截获的密文推断出原来的明文或密钥，这一过程称为密码分析，从事这一工作的人称为密码分析员，研为密码分析，从事这一工作的人称为密码分析员，研究如何从密文推演出明文、密钥或解密算法的学问称究如何从密文推演出明文、密钥或解密算法的学问称为密码分析学。对一个保密通信系统采取截获密文进为密码分析学。对一个保密通信系统采取截获密文进行分析的这类攻击称为被动攻击。现代信息系统还可行分析的这类攻击称为被动攻击。现代信息系统还可能遭受的另一类攻击是主动攻击，非法入侵者、攻击能遭受的另一类攻击是主动攻击，非法入侵者、攻击者或黑客主动向系统窜扰，采用删除、增添、重放、者或黑客主动向系统窜扰，采用删除、增添、重放、伪造等窜改手段向系统注入假消息，达到利己害人的伪造等窜改手段向系统注入假消息，达到利己害人的目的。这是现代信息系统中更为棘手的问题。目的。这是现代信息系统中更为棘手的问题。在信息传输和处理系统中，除了预定的接收者外，还有非授权者，他保密通信系统可用图保密通信系统可用图1.5表示，它由以下几部分组成：表示，它由以下几部分组成：明文消息空间明文消息空间M，密文消息空间密文消息空间C，密钥空间密钥空间K1和和K2，在单钥体制下在单钥体制下K1=K2=K，此时密钥此时密钥K需经安全的密需经安全的密钥信道由发送方传给接收方；加密变换钥信道由发送方传给接收方；加密变换Ek1：MC，其中其中k1K1，由加密器完成；解密变换由加密器完成；解密变换Dk2：CM，其中其中k2K2，由解密器实现。称总体由解密器实现。称总体(M,C,K1,K2,EK1,DK2)为保密通信系统。对于给定明文消为保密通信系统。对于给定明文消息息mM，密钥密钥k1K1，加密变换将明文加密变换将明文m变换为密变换为密文文c，即即c=f(m,k1)=Ek1(m)mM,k1K1保密通信系统可用图1.5表示，它由以下几部分组成：明文消息接收方利用通过安全信道送来的密钥接收方利用通过安全信道送来的密钥k（kK，单钥单钥体制下）或用本地密钥发生器产生的解密密钥体制下）或用本地密钥发生器产生的解密密钥k2（k2K2，双钥体制下）控制解密操作双钥体制下）控制解密操作D，对收对收到的密文进行变换得到恢复的明文消息，即：到的密文进行变换得到恢复的明文消息，即：m=Dk2(c)mM,k2K2而密码分析者，则用其选定的变换函数而密码分析者，则用其选定的变换函数h，对截获的对截获的密文密文c进行变换，得到的明文是明文空间中的某个元进行变换，得到的明文是明文空间中的某个元素素,即即m=h(c)一般一般mm。如果如果m=m，则分析成功。则分析成功。接收方利用通过安全信道送来的密钥k（kK，单钥体制下）或用图图1.5 保密通信系统模型保密通信系统模型现代密码学课件为了保护信息的保密性，抗击密码分析，保密系统应为了保护信息的保密性，抗击密码分析，保密系统应当满足下述要求：当满足下述要求：系统即使达不到理论上是不可破的，即系统即使达不到理论上是不可破的，即prm=m=0，也应当为实际上不可破的。就是说，也应当为实际上不可破的。就是说，从截获的密文或某些已知的明文密文对，要决定密钥从截获的密文或某些已知的明文密文对，要决定密钥或任意明文在计算上是不可行的。或任意明文在计算上是不可行的。系统的保密性不依赖于对加密体制或算法的保密，系统的保密性不依赖于对加密体制或算法的保密，而依赖于密钥。这是著名的而依赖于密钥。这是著名的Kerckhoff原则。原则。加密和解密算法适用于所有密钥空间中的元素。加密和解密算法适用于所有密钥空间中的元素。系统便于实现和使用。系统便于实现和使用。为了保护信息的保密性，抗击密码分析，保密系统应当满足下述要求密码体制从原理上可分为两大类，即单钥体制和双钥密码体制从原理上可分为两大类，即单钥体制和双钥体制。体制。1.3.2 密码体制分类密码体制分类密码体制从原理上可分为两大类，即单钥体制和双钥体制。1.3.单钥体制的加密密钥和解密密钥相同。采用单钥体制单钥体制的加密密钥和解密密钥相同。采用单钥体制的系统的保密性主要取决于密钥的保密性，与算法的的系统的保密性主要取决于密钥的保密性，与算法的保密性无关，即由密文和加解密算法不可能得到明文。保密性无关，即由密文和加解密算法不可能得到明文。换句话说，算法无需保密，需保密的仅是密钥。根据换句话说，算法无需保密，需保密的仅是密钥。根据单钥密码体制的这种特性，单钥加解密算法可通过低单钥密码体制的这种特性，单钥加解密算法可通过低费用的芯片来实现。密钥可由发送方产生然后再经一费用的芯片来实现。密钥可由发送方产生然后再经一个安全可靠的途径（如信使递送）送至接收方，或由个安全可靠的途径（如信使递送）送至接收方，或由第三方产生后安全可靠地分配给通信双方。如何产生第三方产生后安全可靠地分配给通信双方。如何产生满足保密要求的密钥以及如何将密钥安全可靠地分配满足保密要求的密钥以及如何将密钥安全可靠地分配给通信双方是这类体制设计和实现的主要课题。密钥给通信双方是这类体制设计和实现的主要课题。密钥产生、分配、存储、销毁等问题，统称为密钥管理。产生、分配、存储、销毁等问题，统称为密钥管理。这是影响系统安全的关键因素，即使密码算法再好，这是影响系统安全的关键因素，即使密码算法再好，若密钥管理问题处理不好，就很难保证系统的安全保若密钥管理问题处理不好，就很难保证系统的安全保密。密。单钥体制的加密密钥和解密密钥相同。采用单钥体制的系统的保密性单钥体制对明文消息的加密有两种方式：单钥体制对明文消息的加密有两种方式：一是明文一是明文消息按字符（如二元数字）逐位地加密，称之为流密消息按字符（如二元数字）逐位地加密，称之为流密码；另一种是将明文消息分组（含有多个字符），逐码；另一种是将明文消息分组（含有多个字符），逐组地进行加密，称之为分组密码。单钥体制不仅可用组地进行加密，称之为分组密码。单钥体制不仅可用于数据加密，也可用于消息的认证。于数据加密，也可用于消息的认证。单钥体制对明文消息的加密有两种方式：一是明文消息按字符（如双钥体制是由双钥体制是由Diffie和和Hellman于于1976年首先引入的。年首先引入的。采用双钥体制的每个用户都有一对选定的密钥：一个采用双钥体制的每个用户都有一对选定的密钥：一个是可以公开的，可以像电话号码一样进行注册公布；是可以公开的，可以像电话号码一样进行注册公布；另一个则是秘密的。因此双钥体制又称为公钥体制。另一个则是秘密的。因此双钥体制又称为公钥体制。双钥密码体制的主要特点是将加密和解密能力分开，双钥密码体制的主要特点是将加密和解密能力分开，因而可以实现多个用户加密的消息只能由一个用户解因而可以实现多个用户加密的消息只能由一个用户解读，或由一个用户加密的消息而使多个用户可以解读。读，或由一个用户加密的消息而使多个用户可以解读。前者可用于公共网络中实现保密通信，而后者可用于前者可用于公共网络中实现保密通信，而后者可用于实现对用户的认证。详细介绍在第实现对用户的认证。详细介绍在第3章。章。双钥体制是由Diffie和Hellman于1976年首先引入表表1.1是攻击者对密码系统的是攻击者对密码系统的4种攻击类型，类型的划种攻击类型，类型的划分由攻击者可获取的信息量决定。其中，最困难的攻分由攻击者可获取的信息量决定。其中，最困难的攻击类型是惟密文攻击，这种攻击的手段一般是穷搜索击类型是惟密文攻击，这种攻击的手段一般是穷搜索法，即对截获的密文依次用所有可能的密钥试译，直法，即对截获的密文依次用所有可能的密钥试译，直到得到有意义的明文。只要有足够多的计算时间和存到得到有意义的明文。只要有足够多的计算时间和存储容量，原则上穷搜索法总是可以成功的。但实际中，储容量，原则上穷搜索法总是可以成功的。但实际中，任何一种能保障安全要求的实用密码都会设计得使这任何一种能保障安全要求的实用密码都会设计得使这一方法在实际上是不可行的。敌手因此还需对密文进一方法在实际上是不可行的。敌手因此还需对密文进行统计测试分析，为此需要知道被加密的明文的类型，行统计测试分析，为此需要知道被加密的明文的类型，比如英文文本、法文文本、比如英文文本、法文文本、MD-DOS执行文件、执行文件、Java源列表等。（见源列表等。（见9页表页表1.1）1.3.3 密码攻击概述密码攻击概述表1.1是攻击者对密码系统的4种攻击类型，类型的划分由攻击者惟密文攻击时，敌手知道的信息量最少，因此最易抵惟密文攻击时，敌手知道的信息量最少，因此最易抵抗。然而，很多情况下，敌手可能有更多的信息，也抗。然而，很多情况下，敌手可能有更多的信息，也许能截获一个或多个明文及其对应的密文，也许知道许能截获一个或多个明文及其对应的密文，也许知道消息中将出现的某种明文格式。例如消息中将出现的某种明文格式。例如ps格式文件开始格式文件开始位置的格式总是相同的，电子资金传送消息总有一个位置的格式总是相同的，电子资金传送消息总有一个标准的报头或标题。这时的攻击称为已知明文攻击，标准的报头或标题。这时的攻击称为已知明文攻击，敌手也许能够从已知的明文被变换成密文的方式得到敌手也许能够从已知的明文被变换成密文的方式得到密钥。密钥。惟密文攻击时，敌手知道的信息量最少，因此最易抵抗。然而，很多与已知明文攻击密切相关的一种攻击法称为可能字攻与已知明文攻击密切相关的一种攻击法称为可能字攻击。例如对一篇散文加密，敌手可能对消息含义知之击。例如对一篇散文加密，敌手可能对消息含义知之甚少。然而，如果对非常特别的信息加密，敌手也许甚少。然而，如果对非常特别的信息加密，敌手也许能知道消息中的某一部分。例如，发送一个加密的账能知道消息中的某一部分。例如，发送一个加密的账目文件，敌手可能知道某些关键字在文件报头的位置。目文件，敌手可能知道某些关键字在文件报头的位置。又如，一个公司开发的程序的源代码中，可能在某个又如，一个公司开发的程序的源代码中，可能在某个标准位置上有该公司的版权声明。标准位置上有该公司的版权声明。与已知明文攻击密切相关的一种攻击法称为可能字攻击。例如对一篇如果攻击者能在加密系统中插入自己选择的明文消息，如果攻击者能在加密系统中插入自己选择的明文消息，则通过该明文消息对应的密文，有可能确定出密钥的则通过该明文消息对应的密文，有可能确定出密钥的结构，这种攻击称为选择明文攻击。结构，这种攻击称为选择明文攻击。选择密文攻击是指攻击者利用解密算法，对自己所选选择密文攻击是指攻击者利用解密算法，对自己所选的密文解密出相应的明文。的密文解密出相应的明文。如果攻击者能在加密系统中插入自己选择的明文消息，则通过该明文p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe写在最后经常不断地学习,你就什么都知道。你知道得越多,你就越有力量写46Thank You在别人的演说中思考，在自己的故事里成长Thinking In Other PeopleS Speeches，Growing Up In Your Own Story讲师：XXXXXX XX年XX月XX日Thank You47