b第二周对称密码学(第2、3、6章)讲述课件

,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,华南理工大学经贸学院本科课程,电子商务安全与保密,第,2,章 对称密码学,2,信息论的概念,公式：,H(x)=,含义：,不确定性，即一条信息当中的信息量,。,/,越大越好,一个只有一个字符的语言（熵-(1)*,log,2,(1),=0,）,完全随机语言:, -,(1/26)*,log,2,(1/26), -,log,2,(1/26),4.,xx,/,一个字母对任意字母的映射,直观来说:从一个信息元推断其它信息元的可能性,熵越小,可能性越大,例：如果信息不是男就是女，,那么,H(m),-,1/2log,2,(1/2)+ (-1/2)log,2,(1/2)=1,联合熵,条件熵,3,信息率：,r=H(M)/N,，,N,是消息的长度，,H(M),是信息熵,绝对信息率,R=log,2,L,语言的多余度,D=R-r,/,越少越好，减少被推测可能,例：英语的信息率估计是,1.2,，绝对信息率是,4.7(L=26),，则冗余度估计是,3.5,唯一解距离：进行强力攻击时，可能解出唯一有意义的明文所需要的最少密文量，定义为,U=H(M)/D,，,H(M),是信息熵，,D,是多余度,/,越长越好，与冗余度成反比,问：为什么密钥要定期更换？,信息论的概念,4,密码学的,Shannon,模型,Z,Z,Z,5,密码学的,Shannon,模型,X,明文（,plain-text,）： 作为加密输入的原始信息。,Y,密文（,cipher-text,）：对明文变换的结果。,E,加密（,encrypt,）：是一组含有参数的变换，将可识别的明文变为密文。密文可识别阈下信道。,D,解密（,decrypt,）：加密的逆变换。,Z,密钥（,key,）：是参与加密解密变换的参数。,一密码系统算法明文空间密文空间密钥空间,系统分析者试图从密文破解出明文者,上述过程的数字表示：,Y=E(X,Z), X=D(Y,Z,),6,密码分析理论,Kerckhoffs,假设,假,定：密码分析者知道对方所使用的密码系统,包括明文的统计特性、加密体制（操作方式、处理方法和加,/,解密算法 ）、密钥空间及其统计特性。,不知道（解密）密钥。,在设计一个密码系统时，目标是在,Kerckhoffs,假设的前提下实现安全 。,/,产业化至关重要,雪崩效应,明文或密钥的微小改变将对密文产生很大的影响是任何加密算法需要的一个号性质。特别地，明文或密钥的某一位变化会导致密文的很多位发生变化，这被称为雪崩效应。,越大越好,7,（,1,）唯密文攻击（,Cipher Text-Only Attack,）,密码分析者有一些消息的密文，这些消息都用同一加密算法加密。密码分析者的任务是恢复尽可能多的明文，或者最好是能推算出加密消息的密钥，以便可采用相同的密钥解出其他被加密的消息。,（,2,）已知明文攻击（,Known-Plaintext Attack,）,密码分析者不仅可得到一些消息的密文，而且也知道这些消息的明文。分析者的任务就是用加密信息推出用来加密的密钥或推导出一个算法，此算法可以对用同一密钥加密的任何新的消息进行解密。,密码分析,8,（,3,）选择明文攻击（,Chosen-Plaintext Attack,）,分析者不仅可得到一些消息的密文和相应的明文，而且也可选择被加密的明文。这比已知明文攻击更有效。因为密码分析者能选择特定的明文块去加密，那 些块可能产生更多关于密钥的信息，分析者的任务是推出用来加密消息的密钥或导出一个算法，此算法可,以对用同一密钥加密的任何新的消息进行解密。,（,4,）选择密文攻击（,Chosen-Cipher Text Attack,）,密码分析者能选择不同的被加密的密文，并可得到对应的解密的明文，密码分析者的任务是推出密钥。,密码学的,Shannon,模型,9,攻击类型,攻击者掌握的内容,唯密文攻击,加密算法、截获的部分密文,已知明文攻击,加密算法、部分密文、多个明文,-,密文对,选择明文攻击,加密算法、部分密文、选择的明文消息及加密得到的密文,选择密文攻击,加密算法、部分密文、选择的密文消息及相应解密明文,（,5,）适用性选择密文攻击（,Adaptive Chosen-Cipher Text Attack,CCA2,）,在,CCA,的基础上，密码分析者除了对“目标密文”解密以外，永远能够得到解密服务。能在使用解密机的过程,中,根据解密机的反馈适应性地构造密文再进行解密,。与,CCA2,不同，,CCA,要求在得到目标密文以后，解密服务立即停止。,密码学的,Shannon,模型,10,密码体制的安全性,无条件安全或完善保密性（,unconditionally security,）,：,不论提供的密文有多少，密文中所包含的信息都不足以惟一地确定其对应的明文；,具有无限计算资源（诸如时间、空间、资金和设备等）的密码分析者也无法破译某个密码系统。,要构造一个完善保密系统，其密钥量的对数（密钥空间为均匀分布的条件下）必须不小于明文集的熵。,/,不确定性不能减少,从熵的基本性质可推知，保密系统的密钥量越小，其密文中含有的关于明文的信息量就越大。,/,容易从密文猜出明文,存在完善保密系统,如：一次一密（,one-time pad,）方案；,/,量子密码。,实际上安全或计算安全性（,computational security）,计算上是安全：即使算出和估计出破译它的计算量下限，利用已有的最好的方法破译该密码系统所需要的努力超出了破译者的破译能力（诸如时间、空间、资金等资源）。,从理论上证明破译它的计算量不低于解已知难题的计算量，因此（在现阶段）是安全的,11,书本：混淆,(confusion),和扩散,(diffusion),的不同翻译,扩散和混淆是,提出的设计密码体制的两种基本方法，其目的是为了抵抗对手对密码体制的统计分析，可抵抗对手从密文的统计特性推测明文和密钥。常用的方法对应是替代（如凯撒密码）和置换（如,DES,）,/The basic techniques for this are called confusion(,混淆,) and diffusion(,扩散,). These roughly correspond to substitution(,替代,) and permutation(,置换,),扩散对应的方法是置换；混淆对应的方法是替代。,扩散和混淆,12,代替：每个明文元素或者元素组倍唯一地替换为相应的密文元素或者元素组,置换：明文元素的序列被替换为该序列的一个置换。也就是说，序列里没有元素被增删改，但序列里元素出现的顺序被改变了,扩散：为避免密码分析者对密钥逐段破译，密码的设计应该保证密钥的每位数字能够影响密文中的多位数字 ；同时，为了避免避免密码分析者利用明文的统计特性，密码的设计应该使,明文,中的每,1,个,bit,影响密文的多个,bit,，或说密文中每,1,个,bit,受明文中多个,bit,影响，从而隐藏明文的统计特性。,混淆：为了避免密码分析者利用明文与密文之间的依赖关系进行破译，将密文和,密钥,之间的统计关系变得尽可能复杂。,扩散和混淆,13,DES,的安全性,基于,1997,年的技术统计分析的攻击结果,数据加密标准,64,位分组和,56,位密钥,1977,年倍,NBS,采纳为标准,1999,年规定只用于遗留系统和,3DES,14,多重,DES,多重,DES,就是使用多个密钥利用,DES,对明文进行多次加密,多重,DES,可以增加密钥量。,1,、双重,DES,K1,，,K2,是两个长度为,56bit,的密钥。明文,X,，密文,Y,加密变换：,Y=DES,K2,（,DES,K1,（,X,）,解密变换：,X=DES,K1,-1,（,DES,K2,-1,（,Y,）,双重,DES,所用密钥长度为,112bit,，强度极大增加。,15,2,、三重,DES,K1,，,K2,，,K3,是两个长度为,56bit,的密钥。明文,X,，密文,Y,加密变换：,Y=DES,K3,（,DES,K2,-1,（,DES,K1,（,X,）,解密变换：,X=DES,K1,-1,（,DES,K2,（,DES,K3,-1,（,Y,）,三重,DES,所用密钥长度为,168bit,。,如果,K1=K2,或,K2=K3,，则三重,DES,退化为使用一个,56bit,密钥的单重,DES,。,这个过程称为,EDE,，即加密,解密,加密（,Encrypt Decrypt Encrypt,）。所以，可以使,K1=K3,来用三重,DES,方法执行常规的,DES,加密。,三重,DES,目前还被当作一个安全有效的加密算法使用。,三重,DES,已在因特网的许多应用（,PGP,、,S/MIME,）中被采用。,16,IDEA,算法,IDEA,国际数据加密算法（,International Data Encryption Algorithm,）,瑞士联邦理工学院：,Xuejia Lai & James Massey , 1990；,1991,改进，加强了对差分密码分析的抗击能力；,明文分组与密文分组的长度均为,64,位，密钥长度为,128,位。,在目前常用的安全电子邮件加密方案,PGP,中使用,17,Rijndael,算法,由,Square,算法发展演变而来。,已被美国国家标准技术研究所选定作为高级加密算法,AES,Advanced Encryption Standard,取代,DES,迭代分组密码算法(类似流密码:每一轮有内部状态),密钥,128/192/256,，分组,128/192/256,，循环次数,10/12/14。,速度快、对内存要求小，操作简单。,算法的抗攻击能力强。,高级加密标准（,AES）,算法,Rijndael,的设计.清华大学出版社.,18,其他算法,BLOWFISH,Bruce Schneier 1995,发表, 64,位分组,最大到,448,位可变长密钥。,Fast, compact, simple, variably secure.,RC2,、,RC4,、,RC5,、,RC6,算法 由,Rivest,发明,19,分组密码的工作模式,已经提出的分组密码工作模式有：,电码本（,ECB,）模式,/,原始模式,密码分组链接（,CBC,）模式；,密码反馈（,CFB,）模式；,输出反馈（,OFB,）模式；,这是最简单的方式：,以分组,64bit,为例,:,明文接受64,bit,的分组，每个明文分组都用同一个密钥加密，每个64,bit,的明文分组就有一个唯一的密文,.,特点：同一个64,bit,明文分组多次出现，产生的密文就总是一样的，它可用于少量的数据加密，比如加密一个密钥，对于大报文用,ECB,方式就不安全,.,ECB,模式（,电子密码本,）,ECB模式,ECB模式,ECB模式的优缺点,模式操作简单,明文中的重复内容将在密文中表现出来，特别对于图像数据和明文变化较少的数据,适于短报文的加密传递,ECB,模式,目的：同一个明文分组重复出现时产生不同的密文分组,原理：,Pn,加密算法的输入,是当前的明文分组,Cn-1,和前一密文分组,的异或,K,第一个明文分,组和一个初始向量,Cn,进行异或,XOR,DES,加密,CBC,模式（,密码分组链接,）,初始向量 时刻,t1 t2 tn,IV P1 P2 Pn,K K K,C1 C2 Cn-1 Cn,OR,DES,XOR,XOR,DES,DES,CBC,模式,CBC,模式,CBC,模式,CBC模式的特点,同一个明文分组重复出现时产生不同的密文分组,加密函数的输入是当前的明文分组和前一个密文分组的异或；对每个分组使用相同的密钥。,将明文分组序列的处理连接起来了。每个明文分组的加密函数的输入与明文分组之间不再有固定的关系,有助于将,CBC,模式用于加密长消息,CBC,模式,OFB,模式（,输出反馈,）,CFB,模式（,密码反馈,）,CTR,模式（,计数器,）,CTR模式的特点,使用与明文分组规模相同的计数器长度,处理效率高（并行处理）,预处理可以极大地提高吞吐量,可以随机地对任意一个密文分组进行解密处理，对该密文分组的处理与其它密文无关,实现的简单性,适于对实时性和速度要求较高的场合,CTR,模式,33,链到链加密方式,在物理层或数据链路层实施加密机制。,34,节点加密,与链路加密不同，节嗲加密不允许消息在网络节点以明文形式存在,这一过程在节点的一个安全模块中进行,节点加密要求包头和路由信息与明文形式传输，因而收到业务分析攻击,35,端到端加密方式,在应用层实施加密机制。,人有了知识，就会具备各种分析能力，,明辨是非的能力。,所以我们要勤恳读书，广泛阅读，,古人说“书中自有黄金屋。,”通过阅读科技书籍，我们能丰富知识，,培养逻辑思维能力；,通过阅读文学作品，我们能提高文学鉴赏水平，,培养文学情趣；,通过阅读报刊，我们能增长见识，扩大自己的知识面。,有许多书籍还能培养我们的道德情操，,给我们巨大的精神力量，,鼓舞我们前进,。,