b第二周 對稱密碼學(第2、3、6章)

1、1華南理工大學經(jīng)貿(mào)學院本科課程電子商務安全與保密第2章 對稱密碼學 2信息論的概念n公式：公式：H(x)=n含義：含義：不確定性，即一條信息當中的信息量不確定性，即一條信息當中的信息量。/越越大越好大越好n一個只有一個字符的語言（熵一個只有一個字符的語言（熵-(1)*log2 (1) =0=0）n完全隨機語言完全隨機語言: - -(1/26)*log2 (1/26) - -log2 (1/26) 4.4.xx xx /一個字母對任意字母的映射一個字母對任意字母的映射n直觀來說直觀來說:從一個信息元推斷其它信息元的可能性從一個信息元推斷其它信息元的可能性,熵熵越小越小,可能性越大可能性越大n例：

2、如果信息不是男就是女，例：如果信息不是男就是女， 那么那么H(m)-1/2log2(1/2)+ (-1/2)log2(1/2)=1n聯(lián)合熵聯(lián)合熵n條件熵條件熵 BxxPxP)(log)(23n信息率：信息率：r=H(M)/N，N是消息的長度，是消息的長度，H(M)是信是信息熵息熵n絕對信息率絕對信息率R=log2Ln語言的多余度語言的多余度D=R-r /越少越好，減少被推測可能越少越好，減少被推測可能例：英語的信息率估計是例：英語的信息率估計是1.2，絕對信息率是，絕對信息率是4.7(L=26)，則冗余度估計是則冗余度估計是3.5n唯一解距離：進行強力攻擊時，可能解出唯一有意唯一解距離：進行強

3、力攻擊時，可能解出唯一有意義的明文所需要的最少密文量，定義為義的明文所需要的最少密文量，定義為U=H(M)/D， H(M)是信息熵，是信息熵，D是多余度是多余度/越長越好，與冗余度成反比越長越好，與冗余度成反比問：為什么密鑰要定期更換？問：為什么密鑰要定期更換？信息論的概念4密碼學的Shannon模型 Z Z,Z 5密碼學的Shannon模型nX,明文（明文（plain-text）：）： 作為加密輸入的原始信息。作為加密輸入的原始信息。nY,密文（密文（cipher-text）：對明文變換的結(jié)果。）：對明文變換的結(jié)果。nE,加密（加密（encrypt）：是一組含有參數(shù)的變換，將可識）：是一組含

4、有參數(shù)的變換，將可識別的明文變?yōu)槊芪摹Ｃ芪目勺R別別的明文變?yōu)槊芪?。密文可識別閾下信道。閾下信道。nD,解密（解密（decrypt）：加密的逆變換。）：加密的逆變換。nZ,密鑰（密鑰（key）：是參與加密解密變換的參數(shù)。）：是參與加密解密變換的參數(shù)。n一密碼系統(tǒng)算法明文空間密文空間密鑰空間一密碼系統(tǒng)算法明文空間密文空間密鑰空間n系統(tǒng)分析者試圖從密文破解出明文者系統(tǒng)分析者試圖從密文破解出明文者n上述過程的數(shù)字表示：上述過程的數(shù)字表示：Y=E(X,Z), X=D(Y,Z )6密碼分析理論nKerckhoffs假設(shè)假設(shè)n假定：密碼分析者知道對方所使用的密碼系統(tǒng)假定：密碼分析者知道對方所使用的密碼系統(tǒng)n

5、包括明文的統(tǒng)計特性、加密體制（操作方式、處理包括明文的統(tǒng)計特性、加密體制（操作方式、處理方法和加方法和加/解密算法解密算法 ）、密鑰空間及其統(tǒng)計特性。）、密鑰空間及其統(tǒng)計特性。n不知道（解密）密鑰。不知道（解密）密鑰。n在設(shè)計一個密碼系統(tǒng)時，目標是在在設(shè)計一個密碼系統(tǒng)時，目標是在Kerckhoffs 假設(shè)的前假設(shè)的前提下實現(xiàn)安全提下實現(xiàn)安全 。/產(chǎn)業(yè)化至關(guān)重要產(chǎn)業(yè)化至關(guān)重要n雪崩效應雪崩效應n明文或密鑰的微小改變將對密文產(chǎn)生很大的明文或密鑰的微小改變將對密文產(chǎn)生很大的影響是任何加密算法需要的一個號性質(zhì)。特影響是任何加密算法需要的一個號性質(zhì)。特別地，明文或密鑰的某一位變化會導致密文別地，明文或密

6、鑰的某一位變化會導致密文的很多位發(fā)生變化，這被稱為雪崩效應。的很多位發(fā)生變化，這被稱為雪崩效應。n越大越好越大越好7密碼分析8密碼學的Shannon模型9密碼學的Shannon模型10密碼體制的安全性密碼體制的安全性n無條件安全或完善保密性（無條件安全或完善保密性（unconditionally security）：）：n不論提供的密文有多少，密文中所包含的信息都不足以惟一地確不論提供的密文有多少，密文中所包含的信息都不足以惟一地確定其對應的明文；定其對應的明文；n具有無限計算資源（諸如時間、空間、資金和設(shè)備等）的密碼分具有無限計算資源（諸如時間、空間、資金和設(shè)備等）的密碼分析者也無法破譯某個

7、密碼系統(tǒng)。析者也無法破譯某個密碼系統(tǒng)。n要構(gòu)造一個完善保密系統(tǒng)，其密鑰量的對數(shù)（密鑰空間為均勻分布的條要構(gòu)造一個完善保密系統(tǒng)，其密鑰量的對數(shù)（密鑰空間為均勻分布的條件下）必須不小于明文集的熵。件下）必須不小于明文集的熵。 /不確定性不能減少不確定性不能減少n從熵的基本性質(zhì)可推知，保密系統(tǒng)的密鑰量越小，其密文中含有從熵的基本性質(zhì)可推知，保密系統(tǒng)的密鑰量越小，其密文中含有的關(guān)于明文的信息量就越大。的關(guān)于明文的信息量就越大。/容易從密文猜出明文容易從密文猜出明文 n存在完善保密系統(tǒng)存在完善保密系統(tǒng) 如：一次一密（如：一次一密（one-time pad）方案；）方案；/量子密碼。量子密碼。n實際上安全

8、或計算安全性（實際上安全或計算安全性（computational security）n計算上是安全：即使算出和估計出破譯它的計算量下限，利用已計算上是安全：即使算出和估計出破譯它的計算量下限，利用已有的最好的方法破譯該密碼系統(tǒng)所需要的努力超出了破譯者的破有的最好的方法破譯該密碼系統(tǒng)所需要的努力超出了破譯者的破譯能力（諸如時間、空間、資金等資源）。譯能力（諸如時間、空間、資金等資源）。 n從理論上證明破譯它的計算量不低于解已知難題的計算量，因此從理論上證明破譯它的計算量不低于解已知難題的計算量，因此（在現(xiàn)階段）是安全的（在現(xiàn)階段）是安全的11擴散和混淆12擴散和混淆13DES的安全性基于基于19

9、97年的技術(shù)統(tǒng)計分析的攻擊結(jié)果年的技術(shù)統(tǒng)計分析的攻擊結(jié)果n數(shù)據(jù)加密標準數(shù)據(jù)加密標準n64位分組和位分組和56位密鑰位密鑰n1977年倍年倍NBS采納為標準采納為標準n1999年規(guī)定只用于遺留系統(tǒng)和年規(guī)定只用于遺留系統(tǒng)和3DES14 15 16IDEA 算法nIDEA 國際數(shù)據(jù)加密算法（國際數(shù)據(jù)加密算法（International Data Encryption Algorithm）n瑞士聯(lián)邦理工學院：瑞士聯(lián)邦理工學院：Xuejia Lai & James Massey , 1990；n1991 改進，加強了對差分密碼分析的抗擊能力；改進，加強了對差分密碼分析的抗擊能力；n明文分組與密文分組的長

10、度均為明文分組與密文分組的長度均為64位，密鑰長度位，密鑰長度為為128位。位。 n在目前常用的安全電子郵件加密方案在目前常用的安全電子郵件加密方案PGP中中使用使用17Rijndael算法n由由Square算法發(fā)展演變而來。算法發(fā)展演變而來。n已被美國國家標準技術(shù)研究所選定作為高級已被美國國家標準技術(shù)研究所選定作為高級加密算法加密算法AES,Advanced Encryption Standardn取代取代DESn迭代分組密碼算法迭代分組密碼算法(類似流密碼類似流密碼:每一輪有內(nèi)部每一輪有內(nèi)部狀態(tài)狀態(tài))n密鑰密鑰128/192/256，分組，分組128/192/256，循環(huán)次，循環(huán)次數(shù)數(shù)10

11、/12/14。n速度快、對內(nèi)存要求小，操作簡單。速度快、對內(nèi)存要求小，操作簡單。n算法的抗攻擊能力強。算法的抗攻擊能力強。n高級加密標準（高級加密標準（AES）算法算法Rijndael的設(shè)的設(shè)計計.清華大學出版社清華大學出版社.18其他算法nBLOWFISHnBruce Schneier 1995發(fā)表發(fā)表, 64位分組位分組, 最大到最大到448位位可變長密鑰。可變長密鑰。Fast, compact, simple, variably secure.nRC2 、RC4、RC5、RC6算法算法 由由Rivest發(fā)明發(fā)明19分組密碼的工作模式 已經(jīng)提出的分組密碼工作模式有：已經(jīng)提出的分組密碼工作模

12、式有：n電碼本（電碼本（ECB）模式）模式 /原始模式原始模式n密碼分組鏈接（密碼分組鏈接（CBC）模式；）模式；n密碼反饋（密碼反饋（CFB）模式；）模式；n輸出反饋（輸出反饋（OFB）模式；）模式；這是最簡單的方式： 以分組64bit為例:明文接受64bit的分組，每個明文分組都用同一個密鑰加密，每個64bit的明文分組就有一個唯一的密文.特點：同一個64bit明文分組多次出現(xiàn)，產(chǎn)生的密文就總是一樣的，它可用于少量的數(shù)據(jù)加密，比如加密一個密鑰，對于大報文用ECB方式就不安全.ECB模式（電子密碼本）ECB模式iKiiKiC = E (P) P = D(C) ECB模式ECB模式的優(yōu)缺點 n

13、模式操作簡單n明文中的重復內(nèi)容將在密文中表現(xiàn)出來，特別對于圖像數(shù)據(jù)和明文變化較少的數(shù)據(jù)n適于短報文的加密傳遞ECB模式目的：同一個明文分組重復出現(xiàn)時產(chǎn)生不同的密文分組 原理： Pn 加密算法的輸入 是當前的明文分組 Cn-1 和前一密文分組 的異或 K 第一個明文分 組和一個初始向量 Cn 進行異或XORDES 加密CBC模式（密碼分組鏈接）初始向量 時刻t1 t2 tn IV P1 P2 PnK K K C1 C2 Cn-1 CnORDESXORXORDESDESiKii-1iKii-1C = E (PC ) P = D (C ) CCBC模式CBC模式CBC模式CBC模式的特點n同一個明文分組重復出現(xiàn)時產(chǎn)生不同的密文分組n加密函數(shù)的輸入是當前的明文分組和前一個密文分組的異或；對每個分組使用相同的密鑰。n將明文分組序列的處理連接起來了。每個明文分組的加密函數(shù)的輸入與明文分組之間不再有固定的關(guān)系n有助于將CBC模式用于加密長消息 CBC模式OFB模式（輸出反饋）CFB模式（密碼反饋）CTR模式（計數(shù)器）CTR模式的特點n使用與明文分組規(guī)模相同的計數(shù)器長度 n處理效率高（并行處理）n預處理可以極大地提高吞吐量n可以隨機地對任意一個密文分組進行解密處理，對該密文分組的處理與其它密文無關(guān)n實現(xiàn)的簡單性n適于對實時性和速度要求較高的場合CTR模式33鏈到鏈加密方式n在物理層或數(shù)據(jù)鏈