b第二周對稱密碼學(第2、3、6章)剖析.ppt

1 華南理工大學經(jīng)貿(mào)學院本科課程 電子商務安全與保密 第2章對稱密碼學 2 信息論的概念 公式 H x 含義 不確定性 即一條信息當中的信息量 越大越好一個只有一個字符的語言 熵 1 log2 1 0 完全隨機語言 1 26 log2 1 26 log2 1 26 4 xx 一個字母對任意字母的映射直觀來說 從一個信息元推斷其它信息元的可能性 熵越小 可能性越大例 如果信息不是男就是女 那么H m 1 2log2 1 2 1 2 log2 1 2 1聯(lián)合熵條件熵 3 信息率 r H M N N是消息的長度 H M 是信息熵絕對信息率R log2L語言的多余度D R r 越少越好 減少被推測可能例 英語的信息率估計是1 2 絕對信息率是4 7 L 26 則冗余度估計是3 5唯一解距離 進行強力攻擊時 可能解出唯一有意義的明文所需要的最少密文量 定義為U H M D H M 是信息熵 D是多余度 越長越好 與冗余度成反比問 為什么密鑰要定期更換 信息論的概念 4 密碼學的Shannon模型 Z Z Z 5 密碼學的Shannon模型 X 明文 plain text 作為加密輸入的原始信息 Y 密文 cipher text 對明文變換的結果 E 加密 encrypt 是一組含有參數(shù)的變換 將可識別的明文變?yōu)槊芪?密文可識別 閾下信道 D 解密 decrypt 加密的逆變換 Z 密鑰 key 是參與加密解密變換的參數(shù) 一密碼系統(tǒng) 算法 明文空間 密文空間 密鑰空間系統(tǒng)分析者 試圖從密文破解出明文者上述過程的數(shù)字表示 Y E X Z X D Y Z 6 密碼分析理論 Kerckhoffs假設假定 密碼分析者知道對方所使用的密碼系統(tǒng)包括明文的統(tǒng)計特性 加密體制 操作方式 處理方法和加 解密算法 密鑰空間及其統(tǒng)計特性 不知道 解密 密鑰 在設計一個密碼系統(tǒng)時 目標是在Kerckhoffs假設的前提下實現(xiàn)安全 產(chǎn)業(yè)化至關重要雪崩效應明文或密鑰的微小改變將對密文產(chǎn)生很大的影響是任何加密算法需要的一個號性質 特別地 明文或密鑰的某一位變化會導致密文的很多位發(fā)生變化 這被稱為雪崩效應 越大越好 7 1 唯密文攻擊 CipherText OnlyAttack 密碼分析者有一些消息的密文 這些消息都用同一加密算法加密 密碼分析者的任務是恢復盡可能多的明文 或者最好是能推算出加密消息的密鑰 以便可采用相同的密鑰解出其他被加密的消息 2 已知明文攻擊 Known PlaintextAttack 密碼分析者不僅可得到一些消息的密文 而且也知道這些消息的明文 分析者的任務就是用加密信息推出用來加密的密鑰或推導出一個算法 此算法可以對用同一密鑰加密的任何新的消息進行解密 密碼分析 8 3 選擇明文攻擊 Chosen PlaintextAttack 分析者不僅可得到一些消息的密文和相應的明文 而且也可選擇被加密的明文 這比已知明文攻擊更有效 因為密碼分析者能選擇特定的明文塊去加密 那些塊可能產(chǎn)生更多關于密鑰的信息 分析者的任務是推出用來加密消息的密鑰或導出一個算法 此算法可以對用同一密鑰加密的任何新的消息進行解密 4 選擇密文攻擊 Chosen CipherTextAttack 密碼分析者能選擇不同的被加密的密文 并可得到對應的解密的明文 密碼分析者的任務是推出密鑰 密碼學的Shannon模型 9 5 適用性選擇密文攻擊 AdaptiveChosen CipherTextAttack CCA2 在CCA的基礎上 密碼分析者除了對 目標密文 解密以外 永遠能夠得到解密服務 能在使用解密機的過程中 根據(jù)解密機的反饋適應性地構造密文再進行解密 與CCA2不同 CCA要求在得到目標密文以后 解密服務立即停止 密碼學的Shannon模型 10 密碼體制的安全性 無條件安全或完善保密性 unconditionallysecurity 不論提供的密文有多少 密文中所包含的信息都不足以惟一地確定其對應的明文 具有無限計算資源 諸如時間 空間 資金和設備等 的密碼分析者也無法破譯某個密碼系統(tǒng) 要構造一個完善保密系統(tǒng) 其密鑰量的對數(shù) 密鑰空間為均勻分布的條件下 必須不小于明文集的熵 不確定性不能減少從熵的基本性質可推知 保密系統(tǒng)的密鑰量越小 其密文中含有的關于明文的信息量就越大 容易從密文猜出明文存在完善保密系統(tǒng)如 一次一密 one timepad 方案 量子密碼 實際上安全或計算安全性 computationalsecurity 計算上是安全 即使算出和估計出破譯它的計算量下限 利用已有的最好的方法破譯該密碼系統(tǒng)所需要的努力超出了破譯者的破譯能力 諸如時間 空間 資金等資源 從理論上證明破譯它的計算量不低于解已知難題的計算量 因此 在現(xiàn)階段 是安全的 11 書本 混淆 confusion 和擴散 diffusion 的不同翻譯擴散和混淆是C E Shannon提出的設計密碼體制的兩種基本方法 其目的是為了抵抗對手對密碼體制的統(tǒng)計分析 可抵抗對手從密文的統(tǒng)計特性推測明文和密鑰 常用的方法對應是替代 如凱撒密碼 和置換 如DES Thebasictechniquesforthisarecalledconfusion 混淆 anddiffusion 擴散 Theseroughlycorrespondtosubstitution 替代 andpermutation 置換 擴散對應的方法是置換 混淆對應的方法是替代 擴散和混淆 12 代替 每個明文元素或者元素組倍唯一地替換為相應的密文元素或者元素組置換 明文元素的序列被替換為該序列的一個置換 也就是說 序列里沒有元素被增刪改 但序列里元素出現(xiàn)的順序被改變了擴散 為避免密碼分析者對密鑰逐段破譯 密碼的設計應該保證密鑰的每位數(shù)字能夠影響密文中的多位數(shù)字 同時 為了避免避免密碼分析者利用明文的統(tǒng)計特性 密碼的設計應該使明文中的每1個bit影響密文的多個bit 或說密文中每1個bit受明文中多個bit影響 從而隱藏明文的統(tǒng)計特性 混淆 為了避免密碼分析者利用明文與密文之間的依賴關系進行破譯 將密文和密鑰之間的統(tǒng)計關系變得盡可能復雜 擴散和混淆 13 DES的安全性 基于1997年的技術統(tǒng)計分析的攻擊結果 數(shù)據(jù)加密標準64位分組和56位密鑰1977年倍NBS采納為標準1999年規(guī)定只用于遺留系統(tǒng)和3DES 14 多重DES多重DES就是使用多個密鑰利用DES對明文進行多次加密 多重DES可以增加密鑰量 1 雙重DESK1 K2是兩個長度為56bit的密鑰 明文X 密文Y加密變換 Y DESK2 DESK1 X 解密變換 X DESK1 1 DESK2 1 Y 雙重DES所用密鑰長度為112bit 強度極大增加 15 2 三重DESK1 K2 K3是兩個長度為56bit的密鑰 明文X 密文Y加密變換 Y DESK3 DESK2 1 DESK1 X 解密變換 X DESK1 1 DESK2 DESK3 1 Y 三重DES所用密鑰長度為168bit 如果K1 K2或K2 K3 則三重DES退化為使用一個56bit密鑰的單重DES 這個過程稱為EDE 即加密 解密 加密 EncryptDecryptEncrypt 所以 可以使K1 K3來用三重DES方法執(zhí)行常規(guī)的DES加密 三重DES目前還被當作一個安全有效的加密算法使用 三重DES已在因特網(wǎng)的許多應用 PGP S MIME 中被采用 16 IDEA算法 IDEA國際數(shù)據(jù)加密算法 InternationalDataEncryptionAlgorithm 瑞士聯(lián)邦理工學院 XuejiaLai JamesMassey 1990 1991改進 加強了對差分密碼分析的抗擊能力 明文分組與密文分組的長度均為64位 密鑰長度為128位 在目前常用的安全電子郵件加密方案PGP中使用 17 Rijndael算法 由Square算法發(fā)展演變而來 已被美國國家標準技術研究所選定作為高級加密算法AES AdvancedEncryptionStandard取代DES迭代分組密碼算法 類似流密碼 每一輪有內部狀態(tài) 密鑰128 192 256 分組128 192 256 循環(huán)次數(shù)10 12 14 速度快 對內存要求小 操作簡單 算法的抗攻擊能力強 高級加密標準 AES 算法 Rijndael的設計 清華大學出版社 18 其他算法 BLOWFISHBruceSchneier1995發(fā)表 64位分組 最大到448位可變長密鑰 Fast compact simple variablysecure RC2 RC4 RC5 RC6算法由Rivest發(fā)明 19 分組密碼的工作模式 已經(jīng)提出的分組密碼工作模式有 電碼本 ECB 模式 原始模式密碼分組鏈接 CBC 模式 密碼反饋 CFB 模式 輸出反饋 OFB 模式 這是最簡單的方式 以分組64bit為例 明文接受64bit的分組 每個明文分組都用同一個密鑰加密 每個64bit的明文分組就有一個唯一的密文 特點 同一個64bit明文分組多次出現(xiàn) 產(chǎn)生的密文就總是一樣的 它可用于少量的數(shù)據(jù)加密 比如加密一個密鑰 對于大報文用ECB方式就不安全 ECB模式 電子密碼本 ECB模式 ECB模式 ECB模式的優(yōu)缺點 模式操作簡單明文中的重復內容將在密文中表現(xiàn)出來 特別對于圖像數(shù)據(jù)和明文變化較少的數(shù)據(jù)適于短報文的加密傳遞 ECB模式 目的 同一個明文分組重復出現(xiàn)時產(chǎn)生不同的密文分組原理 Pn加密算法的輸入是當前的明文分組Cn 1和前一密文分組的異或K第一個明文分組和一個初始向量Cn進行異或 XOR DES加密 CBC模式 密碼分組鏈接 初始向量時刻t1t2tnIVP1P2PnKKKC1C2Cn 1Cn OR DES XOR XOR DES DES CBC模式 CBC模式 CBC模式 CBC模式的特點 同一個明文分組重復出現(xiàn)時產(chǎn)生不同的密文分組加密函數(shù)的輸入是當前的明文分組和前一個密文分組的異或 對每個分組使用相同的密鑰 將明文分組序列的處理連接起來了 每個明文分組的加密函數(shù)的輸入與明文分組之間不再有固定的關系有助于將CBC模式用于加密長消息 CBC模式 OFB模式 輸出反饋 CFB模式 密碼反饋 CTR模式 計數(shù)器 CTR模式的特點 使用與明文分組規(guī)模相同的計數(shù)器長度處