密碼學(xué)課件 分組密碼的使用

密碼學(xué)導(dǎo)論IntroductiontoCryptology主講教師：李衛(wèi)海第5章分組密碼的使用分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對(duì)稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對(duì)稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)NIST800-38A為將分組密碼應(yīng)用于各種實(shí)際場(chǎng)合，NIST在800-38A中推薦5種工作模式模式描述典型應(yīng)用電碼本(ECB)用相同的密鑰分別對(duì)明文組加密單個(gè)數(shù)據(jù)的安全傳輸密文分組鏈接(CBC)加密算法的輸入是上一個(gè)密文組和本次明文組的異或普通目的的面向分組的傳輸認(rèn)證密文反饋(CFB)上一塊密文作為加密算法的輸入，產(chǎn)生j位偽隨機(jī)數(shù)與明文異或普通目的的面向分組的傳輸認(rèn)證輸出反饋(OFB)與CFB基本相同，只是加密算法的輸入是上一次DES的輸出噪聲頻道上的數(shù)據(jù)流的傳輸（如衛(wèi)星通信）計(jì)數(shù)器(CTR)每個(gè)明文分組都與一個(gè)加密計(jì)數(shù)器相異或。對(duì)每個(gè)后續(xù)分組計(jì)數(shù)器遞增普通目的的面向分組的傳輸用于高速需求電碼本模式(ECB)Electronic

Codebook

Book消息分組，各組獨(dú)自加密就像一個(gè)巨大的密碼本，對(duì)每個(gè)分組進(jìn)行代換Count=1Count=2Count=N加密P1KC1加密P2KC2加密PNKCN解密C1KP1解密C2KP2解密CNKPN加密解密……

電碼本模式(ECB)Electronic

Codebook

Book優(yōu)點(diǎn)：可以并行運(yùn)算適用于隨機(jī)存儲(chǔ)的數(shù)據(jù)傳輸錯(cuò)誤不擴(kuò)散，只影響所在塊的正確解密缺點(diǎn)：當(dāng)明文分組重復(fù)時(shí)，密文也重復(fù)格式化數(shù)據(jù)，將產(chǎn)生大量重復(fù)的密文若明文分組差別很小，對(duì)其破譯就變?yōu)榫幋a本的破譯問題主要用于發(fā)送很少明文分組時(shí)例如，用主密鑰加密會(huì)話密鑰EPiKDCiKPi分組重放攻擊ECB模式最嚴(yán)重的問題是允許對(duì)手選取部分分組進(jìn)行重放攻擊特別是針對(duì)按分組格式化的數(shù)據(jù)例如：Email中，若發(fā)件人和收件人姓名、郵箱各自獨(dú)占一個(gè)或幾個(gè)分組時(shí)，你的情書會(huì)發(fā)生什么？若銀行帳號(hào)和用戶名占用單獨(dú)一個(gè)或幾個(gè)分組時(shí)，你的錢會(huì)去到哪里？即使在消息中插入時(shí)間戳，只要時(shí)間戳獨(dú)占分組，就可以進(jìn)行交織攻擊必須輔助以消息認(rèn)證來保證完整性收件人A地址主題內(nèi)容內(nèi)容收件人B地址主題內(nèi)容內(nèi)容密文分組鏈接模式(CBC) Cipher

Block

Chaining上一次密文分組與本次明文分組異或，再加密IV是一個(gè)初始向量Count=1Count=2Count=N加密加密P1KC1加密P2KC2加密PNKCN…IVCN-1解密C1KP1解密C2KP2解密CNKPN解密…IVcN-1

密文分組鏈接模式(CBC) Cipher

Block

Chaining關(guān)于初始向量IVIV是公開的，等同于前面有一個(gè)虛擬分組若IV是固定的，則對(duì)相同的消息，將得到相同的密文對(duì)于字典攻擊，攻擊者需要對(duì)每個(gè)可能的密鑰和IV對(duì)都建立一本字典字典只需建立在一個(gè)分組之上原則上要求用同一個(gè)密鑰加密的消息所使用的IV不重復(fù)攻擊者可以通過篡改接收方的IV，來任意改變接收方的第一分組明文，而不被發(fā)覺建議IV用ECB加密傳輸，或附加其他認(rèn)證技術(shù)密文分組鏈接模式(CBC) Cipher

Block

Chaining前面的明文通過鏈接影響后面所有的密文擴(kuò)散，密文分組依賴于它之前的所有明文分組可用于大量數(shù)據(jù)加密傳輸、認(rèn)證注意：第一分組密文不受擴(kuò)散影響錯(cuò)誤傳播：密文錯(cuò)誤將導(dǎo)致的明文錯(cuò)誤范圍如某密文分組在傳輸中出錯(cuò)，錯(cuò)誤將影響本分組和下一分組解密的明文，之后自動(dòng)恢復(fù)正確解密（錯(cuò)誤恢復(fù)）Ci-1EPiKCi-1DCiKPi密文分組鏈接模式(CBC) Cipher

Block

Chaining多重加密時(shí)的CBC單循環(huán)CBC三循環(huán)CBCEDEPnCnK1,K2Cn-1EPnCnK1An-1DK2EK1AnBn-1Cn-1Bn密文反饋模式(CFB)Cipher

FeedBack用加密算法產(chǎn)生偽隨機(jī)序列，每次加密s位明文密文反饋s位進(jìn)入b位移位寄存器值，做為輸入CM-1加密P1KC1…IV選取s位b位加密P2K選取s位b位加密C2PMK選取s位b位加密CMs位s位s位s位s位s位s位s位解密C1KP1…IV選取s位b位加密C2K選取s位b位加密P2K選取s位b位加密PMCMCM-1

密文反饋模式(CFB)Cipher

FeedBack標(biāo)準(zhǔn)中，反饋位數(shù)取1、8、64、128記為CFB-1，CFB-8，CFB-64，CFB-128優(yōu)缺點(diǎn)：不使用解密算法可以使用計(jì)算量不對(duì)稱的密碼算法適用于數(shù)據(jù)以比特/字節(jié)為單位準(zhǔn)備好的場(chǎng)合數(shù)據(jù)流需要暫停以等待加密過程完成，速度受限傳輸誤碼將影響本分組及之后的若干分組，直至誤碼移出

移位寄存器，之后自同步適用于低誤碼率網(wǎng)絡(luò)中流數(shù)據(jù)加密、認(rèn)證PiK選s位b位ECi-1CiK選s位b位EPiCi-1Cis位s位s位s位輸出反饋模式(OFB)Output

FeedBack與CFB類似，但反饋數(shù)據(jù)是偽隨機(jī)序列OM-1加密P1KC1…IV選取s位b位加密P2K選取s位b位加密C2PMK選取s位b位加密CMs位s位s位s位s位s位s位s位解密C1KP1…IV選取s位b位加密C2K選取s位b位加密P2K選取s位b位加密PMCMOM-1

輸出反饋模式(OFB)Output

FeedBack優(yōu)缺點(diǎn)：反饋與明文無關(guān)，傳輸誤碼僅影響本比特位，不影響其它

比特，不傳遞收發(fā)雙方需要同步研究表明，應(yīng)當(dāng)只使用全分組反饋，例如

OFB-64/128當(dāng)反饋量與分組大小m相同時(shí)，產(chǎn)生密鑰流平均周期為2m-1當(dāng)反饋量小于分組大小m時(shí)，產(chǎn)生密鑰流平均周期僅為2m/2是一種Vernam密碼的變形同一密鑰下，IV不應(yīng)當(dāng)重復(fù)使用可以通過修改密文直接篡改明文適用于噪聲環(huán)境下流數(shù)據(jù)加密PiK選s位b位EOi-1CiK選s位b位EPiOi-1Cis位s位s位s位

插入攻擊針對(duì)OFB、流密碼等采用偽隨機(jī)密鑰流與明文異或的加密方式假設(shè)攻擊者可以在明文中插入一個(gè)已知位，并用同一密鑰流再次加密則攻擊者可以依次恢復(fù)k2,p2,k3,p3,…甚至無需預(yù)先知道插入位的確切位置，只需從密文相異處開始即可永遠(yuǎn)不要用同一個(gè)密鑰流加密兩條消息，IV不可重復(fù)密鑰流k1k2k3…原始明文p1p2p3…密文c1c2c3…插入明文p1p1'p2…密文c1c2'c3'…計(jì)數(shù)器模式(CTR)Counter與OFB類似，但無反饋，也無移位寄存器，加密算法的輸入是計(jì)數(shù)器CounterCounter+1Counter+N-1加密加密P1KC1加密P2KC2加密PNKCN…CounterCounter+1Counter+N-1解密加密C1KP1加密C2KP2加密CNKPN…

計(jì)數(shù)器模式(CTR)Counter優(yōu)缺點(diǎn)：高效可并行進(jìn)行各加密單元可預(yù)先處理可應(yīng)對(duì)突發(fā)高速鏈接可隨機(jī)解密任何密文分組無需順序解密可證明與其他模式同樣安全結(jié)構(gòu)簡單，不需要解密算法同一密鑰下，計(jì)數(shù)器值不應(yīng)重復(fù)使用可用于高速網(wǎng)絡(luò)數(shù)據(jù)加密其他分組密碼工作模式分組鏈接模式BC明文與前面所有的密文分組進(jìn)行異或擴(kuò)散密碼分組鏈接模式明文分組與前一個(gè)明文分組及其密文分組相異或帶校驗(yàn)和的密碼分組鏈接最后一個(gè)明文分組與前面的所有明文分組相異或帶非線性函數(shù)的輸出反饋每個(gè)分組使用一個(gè)子密鑰，子密鑰由原始密鑰反復(fù)加密得到明文分組鏈接明文反饋鏈接等等交錯(cuò)技術(shù)在多數(shù)分組鏈接模式中，某一分組的加密/解密依賴于前一分組運(yùn)算的結(jié)果，不利于并行處理交錯(cuò)技術(shù)是將明文分組劃分為多個(gè)交錯(cuò)的序列，分別進(jìn)行分組鏈接，從而實(shí)現(xiàn)并行處理例：當(dāng)加密器包含四個(gè)加密芯片時(shí)，可以將明文分組劃分為p1,p5,p9,…;p2,p6,p10,…;p3,p7,p11,…;p4,p8,p12,…四個(gè)序列，使用四個(gè)不同的IV進(jìn)行并行處理，每個(gè)芯片負(fù)責(zé)一個(gè)序列的加密P1P5P9P13P2P3P4P6P10P14P7P11P15P8P12P16……………………核1核2核3核4明文填充明文末尾可能有不足一個(gè)分組的數(shù)據(jù)，需要填充在消息開頭標(biāo)明消息實(shí)際長度，末尾隨機(jī)填充約定消息結(jié)束標(biāo)志：文中不能出現(xiàn)該標(biāo)志，操作較麻煩，一般不同末尾填充固定格式數(shù)字例如：[b1b2b300005]表示末尾填充了5個(gè)字節(jié)這可能導(dǎo)致需要一個(gè)新的分組：當(dāng)恰好不需要填充時(shí)，仍需補(bǔ)充一個(gè)完成分組，以避免歧義其他填充方式PaddingOracle攻擊

解密C1P1解密C2P2IVX明文填充密文挪用模式CBC-CTSX不傳輸加密加密PN0...0KCN-1加密PN-1KCNXCN-2解密解密PNKCN-1解密PN-1K

XCNXCN-2明文填充另一種處理末尾不完整分組的方案加密加密PNKCN加密PN-1KCN-1選左側(cè)j位CN-2解密加密PNKCN解密PN-1KCN-1選左側(cè)j位CN-2這種模式下，攻擊者可以通過篡改CN中特定位來改變明文特定位，而不引起大范圍的錯(cuò)誤?？勺兎纸M密碼通過可變反饋，構(gòu)造概率型密碼加密加密PjKCjNoncej哈希解密解密CjKPjNoncej哈?？勺兎纸M密碼加密AES加密PjK1CjNonceiAES加密K2αj解密AES解密CjK1PjNonceiAES加密K2αj面向分組存儲(chǔ)設(shè)備的XTS-AES模式不同位置j的相同明文，加密得到不同密文分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對(duì)稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)密鑰管理概念密鑰管理原則：密鑰難以竊取在一定條件下即使竊得密鑰也無用超過使用時(shí)間和范圍限制密鑰分配和更新對(duì)用戶透明密鑰管理內(nèi)容：產(chǎn)生密鑰、分配密鑰、驗(yàn)證密鑰、使用密鑰、更新密鑰、銷毀密鑰、存儲(chǔ)密鑰、備份密鑰、密鑰有效期、泄漏密鑰處理、密鑰證書、……密鑰管理：產(chǎn)生密鑰密碼系統(tǒng)的安全性在算法層面取決于算法強(qiáng)度和密鑰長度算法強(qiáng)度更重要，但很難評(píng)估選擇那些久經(jīng)考驗(yàn)的算法正確的使用這些算法密鑰長度容易描述，給出安全性的上限僅從密鑰長度考慮，多長的密鑰可以提供足夠的安全？假設(shè)密碼算法足夠好，僅可進(jìn)行窮舉法攻擊密鑰的長度L，窮舉攻擊所需時(shí)間至多2L對(duì)稱密碼密鑰長度的選擇密鑰長度越大越好？加密更安全密鑰管理更加困難生成密鑰的成本增加密鑰分配管理更困難分配、更新、存儲(chǔ)等等密碼算法的計(jì)算成本增加運(yùn)算量增加硬件成本增加消息傳輸?shù)难舆t增加在保證安全的前提下，傾向于選擇較短的密鑰專用硬件窮舉攻擊硬件攻擊的花費(fèi)需要專用硬件設(shè)備和大規(guī)模并行運(yùn)算摩爾定律：大約每18個(gè)月計(jì)算機(jī)的計(jì)算能力就翻一番推論：每5年同等性能計(jì)算機(jī)的價(jià)格會(huì)下降到原來的10%是否進(jìn)行硬件攻擊，取決于消息的價(jià)值DES的例子我們很難評(píng)估敵人投入的硬件成本網(wǎng)絡(luò)協(xié)作窮舉攻擊大規(guī)模網(wǎng)絡(luò)合作結(jié)點(diǎn)數(shù)量：數(shù)百？數(shù)萬？數(shù)百萬？1997年對(duì)DES的攻擊，78000個(gè)IP地址參與，96天搜索了1/4的密鑰空間運(yùn)氣，是破譯者的天使我們不講運(yùn)氣，算概率假設(shè)一臺(tái)機(jī)器一天內(nèi)破譯的概率是p，那么M臺(tái)機(jī)器合作在一天內(nèi)破譯的概率是Mp對(duì)DES，假設(shè)一臺(tái)設(shè)備每秒嘗試100個(gè)密鑰，一天嘗試8.64×106，破譯概率p≈2.4×10-10。中國10億臺(tái)PC或智能手機(jī)合作，一天破譯的概率是24%若M個(gè)用戶獨(dú)立隨機(jī)測(cè)試密鑰，則攻擊減慢，一天內(nèi)破譯的概率降為1-(1-p)M上述概率變?yōu)?1%，仍很可觀有人提意制作無惡意的病毒，利用機(jī)器空閑時(shí)間完成協(xié)作破譯，并通過網(wǎng)絡(luò)擴(kuò)散破譯結(jié)果新興技術(shù)窮舉攻擊神經(jīng)網(wǎng)絡(luò)/遺傳技術(shù)/機(jī)器學(xué)習(xí)/AI/大數(shù)據(jù)：作用不大它們擅于處理那些解會(huì)逐漸變好的問題密碼問題通常沒有提供太多“學(xué)習(xí)”的機(jī)會(huì)生物工程技術(shù)生物芯片：讓單個(gè)生物細(xì)胞具有窮舉和檢驗(yàn)密鑰的能力科幻？規(guī)模仍然很小恐龍，約1014個(gè)細(xì)胞——246個(gè)海藻，體積約10-15m3，制備1m3的海藻大約將覆蓋深1m、518平方公里的海洋——234個(gè)新興技術(shù)窮舉攻擊量子計(jì)算技術(shù)可以同時(shí)測(cè)試2N個(gè)密鑰量子計(jì)算機(jī)的難點(diǎn)量子位數(shù)的物理控制量子位的初值設(shè)定，與結(jié)果的讀取通用量子門電路的設(shè)計(jì)量子門的運(yùn)算速度必須比“退相干”快得多。量子的“退相干”會(huì)使得量子計(jì)算機(jī)極不穩(wěn)定設(shè)每個(gè)量子門存在很小的錯(cuò)誤概率p，整個(gè)系統(tǒng)由N個(gè)量子門組成，則成功運(yùn)行一次所需實(shí)驗(yàn)次數(shù)為(1/(1-p))N若p=0.01，N=10000，則成功運(yùn)行一次需要實(shí)驗(yàn)1043次短期內(nèi)似乎還難以真正威脅到現(xiàn)代密碼系統(tǒng)熱力學(xué)的局限性熱力學(xué)第二定律：封閉系統(tǒng)的熱力學(xué)變化趨勢(shì)是熵增加熵增加，即所有粒子狀態(tài)的隨機(jī)性更均勻信息的表達(dá)是隨機(jī)性的減少，需要提供額外的能量蘭道爾原理Landauer'sprinciple：通過改變系統(tǒng)的狀態(tài)，記錄或消除1位信息所需的能量不少于kTln2≈kTT是系統(tǒng)的絕對(duì)溫度k是Boltzman常數(shù)，k=1.38×10-16erg/K布雷莫曼極限Bremermann‘sLimit：單位質(zhì)量物質(zhì)在單位時(shí)間內(nèi)釋放能量可記錄或消除的比特?cái)?shù)為1.36×1050bits/second/kilogram熱力學(xué)的局限性用理想計(jì)算機(jī)進(jìn)行窮舉在宇宙環(huán)境溫度(3.2K)下設(shè)置或清除1位將消耗4.4×10-16erg能量若工作于更低的環(huán)境下，則必須有額外的能量來運(yùn)行熱泵太陽每年輻射1.21×1041erg，可改變2.7×1056

位，即窮舉187位若考慮到宇宙中所有的輻射能量，則可以窮舉219位可以斷言：對(duì)256位密鑰進(jìn)行窮舉是絕對(duì)行不通的此結(jié)論是針對(duì)傳統(tǒng)計(jì)算機(jī)得出的密鑰管理：密鑰生成生成密鑰時(shí)，還必須考慮：密鑰生成算法要足夠安全，其安全性不應(yīng)低于密碼算法的安全性避免選擇弱密鑰——字典攻擊便于記憶的，往往是便于攻擊的使用通行短語增加難度ppnn13%dkstFeb.1st 娉娉裊裊十三余，豆蔻梢頭二月初RMdkwtg.TH19XCF 人面不知何處去，桃花依舊笑春風(fēng)hold?fish:palm 魚與熊掌不可兼得使用長密鑰——HASH——實(shí)際密鑰密鑰管理：密鑰生成ManuelBlum（1995年圖靈獎(jiǎng)獲得者）提出一種方案，為將要登錄的網(wǎng)站設(shè)置一種“人類可計(jì)算”的密碼設(shè)置一個(gè)固定的6×6的個(gè)人私鑰矩陣，將26個(gè)字母、10個(gè)數(shù)字填充進(jìn)去（像是hill密碼的矩陣初始化）設(shè)置一個(gè)固定算法，例如：假定要登錄的網(wǎng)站是amazon在矩陣中先找到第一個(gè)字母‘a(chǎn)’，用它北面的字母進(jìn)行替代；再在矩陣中找到第二個(gè)字母‘m’，用東面的字母進(jìn)行替代；接下來第三個(gè)字母用南面的字母進(jìn)行替代；第四個(gè)字母用西面的字母進(jìn)行替代；以此類推直至將整個(gè)網(wǎng)站名編碼。編碼結(jié)果就是密鑰。例如：amazon可能被替換為5FHX7E更進(jìn)一步：當(dāng)用‘a(chǎn)’北面的字母替換a時(shí)，也將矩陣中這兩個(gè)字母對(duì)調(diào)，那么....復(fù)雜到什么程度是人可以勝任的？人方便勝任的？密鑰管理：分配密鑰密鑰分發(fā)可以采用的多種方法A產(chǎn)生密鑰，并由人員送給B由一個(gè)可信第三方產(chǎn)生密鑰，并由人員分發(fā)給A和B若A和B都與可信第三方C有一個(gè)秘密信道，則可由C中轉(zhuǎn)、或分發(fā)來完成密鑰分配分散式密鑰管理的困難目標(biāo)是每個(gè)成員都能夠與其他成員以安全方式通信預(yù)先給每兩個(gè)成員間都分配一對(duì)密鑰是不可取的數(shù)量龐大：N個(gè)成員需要的密鑰數(shù)量是[N(N-1)]/2維護(hù)困難：存儲(chǔ)、更新不支持成員的變動(dòng)動(dòng)態(tài)密鑰分配機(jī)制需要考慮如何安全地分配密鑰密鑰需要經(jīng)常更換密碼系統(tǒng)的安全漏洞往往出在密鑰分配方案上集中式密鑰分配中心(KDC)密鑰分配中心KDC是可信的KDC負(fù)責(zé)給需要的用戶分發(fā)臨時(shí)會(huì)話密鑰每個(gè)用戶與KDC共享一個(gè)密鑰（主密鑰），用于加密密鑰（會(huì)話密鑰）密鑰的層次式化管理主密鑰用于用戶與KDC之間聯(lián)絡(luò)，傳遞會(huì)話密鑰KDC負(fù)責(zé)完成密鑰的中繼或分發(fā)用戶之間用會(huì)話密鑰加密需要傳輸?shù)臄?shù)據(jù)每次通信都產(chǎn)生一個(gè)新的會(huì)話密鑰，過后作廢主密鑰一般利用非對(duì)稱密碼途徑分發(fā)，采用非密碼

手段保存……KDC用戶主密鑰會(huì)話密鑰KDC的層次化KDC的問題：KDC的工作量與用戶數(shù)量有關(guān)KDC可能受到攻擊KDC的層次化控制建立一系列KDC，各個(gè)KDC之間存在層次關(guān)系使得主密鑰分配所涉及的工作量減至最小將出錯(cuò)或受到破壞的KDC的危害限制在它的本地區(qū)域………………………KDC用戶一個(gè)簡單的密鑰分配方案A和B各自擁有與KDC共享的主密鑰KA和KB：A向KDC發(fā)出請(qǐng)求，要求得到與B通信的會(huì)話密鑰KDC用KA加密傳送給A如下內(nèi)容：一次性會(huì)話密鑰KS原始請(qǐng)求報(bào)文用KB加密的要發(fā)給B的會(huì)話密鑰KS和A的標(biāo)識(shí)符IDAA得到會(huì)話密鑰KS并將有關(guān)信息發(fā)給BA和B之間進(jìn)行認(rèn)證，并正式秘密通信一種對(duì)用戶透明的密鑰管理方案密鑰管理：驗(yàn)證密鑰Bob收到Alice的密鑰時(shí)，如何確認(rèn)它來自Alice？Alice親自送來，沒有問題Alice通過可靠信使送來，Bob必須相信該信使由Alice主密鑰加密，Bob必須相信主密鑰沒有外泄由Alice數(shù)字簽名，Bob必須相信Alice的公鑰數(shù)據(jù)真實(shí)由可信第三方數(shù)字簽名，Bob必須相信可信第三方的公鑰數(shù)據(jù)真實(shí)Bob需要驗(yàn)證收到的密鑰是正確的附帶一個(gè)用該密鑰加密的密文來驗(yàn)證密鑰的正確性對(duì)比密鑰的哈希值結(jié)合身份認(rèn)證密鑰管理：使用密鑰重復(fù)使用同一密鑰是不安全的給攻擊這提供大量密文素材容易導(dǎo)致泄漏可能存在重播攻擊密鑰的層次化管理會(huì)話密鑰(工作密鑰sessionkey)用于加密本次會(huì)話的明文密鑰丟失，僅影響本次會(huì)話；更換密鑰，防止對(duì)方以后竊取信息。主密鑰構(gòu)成密鑰管理系統(tǒng)之核心，用來分配會(huì)話密鑰會(huì)話密鑰按照某種密鑰協(xié)議來生成，受主密鑰保護(hù)密鑰的連通與分割所有應(yīng)用都使用同一個(gè)密鑰是不安全的應(yīng)根據(jù)用途不同而定義不同類型密鑰數(shù)據(jù)加密密鑰個(gè)人標(biāo)識(shí)號(hào)PIN加密密鑰文件加密密鑰等等密鑰的連通：密鑰共享的范圍密鑰的分割：適用范圍和時(shí)間限制按范圍分割按時(shí)間分割分割實(shí)現(xiàn)：靜態(tài)/動(dòng)態(tài)密鑰的連通與分割在密鑰中嵌入標(biāo)記，限制密鑰的使用方式如DES的8位非密鑰比特1比特指示此密鑰是主密鑰還是會(huì)話密鑰1比特指示此密鑰是否可以用于加密1比特指示此密鑰是否可以用于解密其余比特用作其它用途控制向量的方案控制向量長度沒有限制，可實(shí)現(xiàn)任意復(fù)雜的控制控制向量始終是明文，可多次運(yùn)用或疊加非線性密鑰空間如何防止敵方繳獲我方密鑰設(shè)備后，實(shí)施黑盒分析？方法：讓敵人使用這些設(shè)備時(shí)得不到“好”的加密算法中要求使用有特殊形式的密鑰，否則用弱算法執(zhí)行加密即不同密鑰的安全強(qiáng)度不同！一種實(shí)現(xiàn)方法：密鑰分為兩部分，前一部分是密鑰本身，后一部分是用密鑰本身加密某個(gè)固定字符串得到的密文設(shè)備執(zhí)行時(shí)，先用前面的密鑰本身解密后面的字符串，若解密結(jié)果與固定字符串相同，則正常工作；否則就用一個(gè)弱加密算法若前部分密鑰128位，字符串64位，則密鑰總長度192位有效好密鑰共2128個(gè)，敵方從2192個(gè)密鑰中隨機(jī)選擇一個(gè)，選中好密鑰的機(jī)會(huì)為2-64密鑰本身識(shí)別串密鑰管理：更新密鑰從舊密鑰出發(fā)獲得新密鑰用舊密鑰計(jì)算用舊密鑰協(xié)商注意舊密鑰的泄露會(huì)危及新密鑰重新認(rèn)證雙方身份并分配密鑰舊密鑰必須妥善銷毀密鑰管理：銷毀密鑰舊密鑰必須安全地銷毀記憶在腦中：必須忘記寫在紙上：必須燒毀或粉碎（用優(yōu)質(zhì)粉碎機(jī)），必要時(shí)粉碎后燒毀存儲(chǔ)在EEPROM中：多次擦寫存儲(chǔ)在EPROM或PROM中：粉碎存儲(chǔ)在硬盤中：多次擦寫密鑰存儲(chǔ)位置，或粉碎密鑰管理：存儲(chǔ)密鑰用戶記憶，需要時(shí)輸入系統(tǒng)難記，輸入慢，可能出錯(cuò)密鑰加密存儲(chǔ)在硬盤上加密密鑰一部分存在硬盤上，一部分以口令輸入基于口令的密碼PBE：將h(口令)視為密鑰加密密鑰（KEK），用于加密會(huì)話密鑰，將密文存儲(chǔ)在表中，丟棄h(口令)。解密時(shí)重建h(口令)，解密獲得會(huì)話密鑰保存在即插即用物理設(shè)備中要確保不會(huì)丟失要確保只能被特定設(shè)備/軟件讀出目前最好的辦法：將密鑰和密碼算法集成在即插即用設(shè)備上，輸入明文，輸出密文密鑰管理：備份密鑰密鑰的保存集中保存分散保存密碼丟失了，怎么辦？密碼保管人可能出意外，保存密碼的設(shè)備可能出意外密鑰托管，由特定安全官掌管備份的密鑰安全官可靠么？安全官也可能出意外密鑰備份數(shù)量與保密性是相互矛盾的備份越多越可靠，但泄露的風(fēng)險(xiǎn)也越大密鑰分片/分享是一種解決方案密鑰托管——美國Clipper計(jì)劃法院授權(quán)的搭線竊聽是防止犯罪的有效方法之一公民使用弱的密碼系統(tǒng)？公民事先把私鑰交給政府？Clipper計(jì)劃中的密鑰托管所有數(shù)字通信(包括音、視頻)的加密都必須使用經(jīng)政府批準(zhǔn)、統(tǒng)一生產(chǎn)的防篡改的加密芯片實(shí)現(xiàn)每個(gè)加密芯片有唯一ID號(hào)和設(shè)備唯一密鑰KUKU分兩個(gè)部分，與ID號(hào)一起由兩個(gè)托管機(jī)構(gòu)存儲(chǔ)芯片加密數(shù)據(jù)時(shí)，先用KU加密會(huì)話密鑰，并發(fā)布當(dāng)法院授權(quán)竊聽時(shí)，從托管機(jī)構(gòu)收集并重建KU，解密會(huì)話密鑰，進(jìn)而解密消息密鑰管理：密鑰有效期為什么要有效期？密鑰使用時(shí)間過長，計(jì)算能力的提升，可能使得“不會(huì)被破譯的密鑰”被破譯密鑰使用時(shí)間過長，攻擊者可能找到破解的方法密鑰使用時(shí)間越長，泄漏的機(jī)會(huì)越大同一密鑰加密的消息越多，破譯越容易若密鑰已泄漏，則用得時(shí)間越長，損失越大密鑰使用越久，破譯它的誘惑就越大例外：加密密鑰的密鑰無需頻繁更換加密文件的密鑰不能經(jīng)常更換這些密鑰必須妥善保管密鑰管理：密鑰有效期、密碼生命期密碼生命期包括加密方使用期限（OUP）和解密方使用期限（RUP）加密方使用期限是指可用于數(shù)據(jù)加密的時(shí)間段解密方使用期限是指數(shù)據(jù)保持被該密鑰加密的密文形式直到解密的時(shí)間段若考慮到網(wǎng)絡(luò)傳輸延遲，RUP可能比OUP晚開始一段時(shí)間一般RUP的結(jié)束時(shí)間遠(yuǎn)遠(yuǎn)超出OUP的結(jié)束時(shí)間密碼生命期從OUP的開始一直延伸到RUP的結(jié)束OUPRUP密碼生命期會(huì)話密鑰的使用壽命會(huì)話密鑰更換越頻繁就越安全但頻繁更換密鑰會(huì)影響網(wǎng)絡(luò)性能：通信時(shí)間，網(wǎng)路容量對(duì)于面向連接的協(xié)議每次會(huì)話使用新的密鑰若會(huì)話時(shí)間很長，或通信量很大，需要周期性的改變會(huì)話密鑰對(duì)于無連接的協(xié)議每次交互使用新的密鑰或者每隔固定時(shí)間更新會(huì)話密鑰或者對(duì)于一定數(shù)量的交互使用一個(gè)會(huì)話密鑰分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對(duì)稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)密碼系統(tǒng)的選擇加密算法的選擇公開發(fā)表的加密算法政府指定的加密算法著名廠家產(chǎn)品？專家推薦的加密算法？密碼算法的實(shí)現(xiàn)方式軟件加密是可怕的在內(nèi)存中有密鑰的副本；多線程操作系統(tǒng)，進(jìn)程被掛起；內(nèi)存被存在硬盤頁面文件上硬件加密相對(duì)更安全存儲(chǔ)數(shù)據(jù)的加密硬盤級(jí)加密：密鑰管理簡單，不支持隨機(jī)文件解密，加解密工作量大文件級(jí)加密：靈活，單一密鑰則給攻擊者的素材太多，多密鑰則管理麻煩安全隱患從同一局域網(wǎng)上其他工作站發(fā)起的竊聽使用撥號(hào)或外部路由進(jìn)入局域網(wǎng)進(jìn)行竊聽潛入配線室竊聽在外部鏈路上對(duì)通信業(yè)務(wù)的監(jiān)聽和修改密碼技術(shù)對(duì)通信網(wǎng)絡(luò)的保護(hù)基本方法：鏈路加密、端到端加密鏈路加密每個(gè)鏈接獨(dú)立加密結(jié)點(diǎn)需要解密、加密操作，結(jié)點(diǎn)處消息為明文需要更多加/解密設(shè)備及成對(duì)的密鑰端到端加密在初始源與最終目的之間加密每個(gè)終端需要加/解密設(shè)備和共享密鑰存儲(chǔ)轉(zhuǎn)發(fā)通信網(wǎng)絡(luò)中的加密覆蓋范圍OSI框架七層協(xié)議TCP/IP協(xié)議鏈路加密端到端加密圖解七層協(xié)議圖解七層協(xié)議圖解七層協(xié)議存儲(chǔ)轉(zhuǎn)發(fā)通信網(wǎng)絡(luò)中的加密覆蓋范圍將加密設(shè)備用于端到端協(xié)議例如：網(wǎng)絡(luò)層，TCP層可以提供整個(gè)網(wǎng)絡(luò)的端對(duì)端的安全性不能用于網(wǎng)絡(luò)之間的服務(wù)將加密設(shè)備用于應(yīng)用層越高的層次，所需加密的信息越少，而安全性越高但涉及的實(shí)體太多，所需的密鑰也太多流量分析攻擊使用端到端加密時(shí)，必須保留數(shù)據(jù)包頭不加密，保證網(wǎng)絡(luò)能夠獲得正確的路由信息通信內(nèi)容可以保護(hù)，通信流量模式無法保護(hù)，可以獲得哪些通信實(shí)體參與了通信過程，甚至他們的身份、關(guān)系等通信雙方的通信頻率消息格式、長度、數(shù)量，并可由此推斷是否有重要消息被傳輸特定通信雙方特定會(huì)話內(nèi)容所涉及的事件曙光網(wǎng)絡(luò)流量識(shí)別分析系統(tǒng)SUNA流量分析攻擊的防御一種辦法是在傳輸層或應(yīng)用層把所有數(shù)據(jù)單元都填充到一個(gè)統(tǒng)一的長度，以防止攻擊者獲得端用戶之間交換的數(shù)據(jù)量信息流量填充（trafficpadding）可以保護(hù)數(shù)據(jù)流量信息代價(jià)是持續(xù)的通信另一種方案：端到端加密全程保護(hù)數(shù)據(jù)內(nèi)容，并提供認(rèn)證鏈路加密保護(hù)數(shù)據(jù)包頭信息，但網(wǎng)絡(luò)全局流量仍可被監(jiān)聽分組密碼的使用分組密碼工作模式密碼功能的應(yīng)用對(duì)稱密碼系統(tǒng)的密鑰管理秘密分享技術(shù)秘密分享的作用為防止密鑰丟失（或被毀），應(yīng)建立副本備份備份越多，越容易泄露備份越少，越容易丟失（或被毀）重要機(jī)構(gòu)必須由數(shù)個(gè)人共同合作才能完成某件工作例如：打開銀行金庫的大門，啟動(dòng)核導(dǎo)彈發(fā)射程序秘密分享：不增加備份數(shù)量的情況下，增加可靠性由n個(gè)用戶中的t個(gè)用戶相互協(xié)作，完成某些重要任務(wù)（t，n）門限方案Shamir于1979年提出將一個(gè)秘密K分解成n個(gè)影子（shadow,或稱為分享）k1,k2,…,kn設(shè)計(jì)一個(gè)算法，使得只要有t個(gè)ki，計(jì)算K是容易的；從任何少于t個(gè)ki，計(jì)算K是不可能的。當(dāng)t=n時(shí)，有時(shí)又稱作秘密分割此時(shí)，算法可以簡單的用異或?qū)崿F(xiàn)引入n-1個(gè)隨機(jī)數(shù)，將它們、以及它們與秘密的總的異或值作為影子拉格朗日插值多項(xiàng)式法

(LagrangeInterpolatingPolynomialScheme)選擇一個(gè)域GF(p)，素?cái)?shù)p>K,p>n每個(gè)影子由t-1次的隨機(jī)多項(xiàng)式導(dǎo)出：h(x)=(at-1xt-1+…+a1x1+a0)modp常數(shù)項(xiàng)a0即為秘密K，即a0=K其他系數(shù)為隨機(jī)數(shù)給定h(x)，則秘密K=h(0)，分享ki=h(xi)，i=1,…,nx1,x2,…,xw無需保密，常取1,2,3,…拉格朗日插值多項(xiàng)式的重建只需要t個(gè)點(diǎn)就可以唯一地重組t-1次的多項(xiàng)式，恢復(fù)秘密t-1次多項(xiàng)式必須要t個(gè)點(diǎn)才可以唯一確定任意給定t個(gè)影子，k1,k2,…,kt，多項(xiàng)式h(x)可以由拉格朗日插值多項(xiàng)式給出：所有運(yùn)算在GF(p)里進(jìn)行，除是由乘模p的逆實(shí)現(xiàn)的拉格朗日插值多項(xiàng)式的證明假設(shè)已有t個(gè)影子k1,k2,…,kt設(shè)多項(xiàng)式為h(x)，則采用基分解的處理方法，先求解如下方程組拉格朗日插值多項(xiàng)式的證明考慮第一個(gè)方程組有類似地可以解出所有方程組代回原同余方程組，即得證拉格朗日插值多項(xiàng)式例

高級(jí)門限方案可以構(gòu)造復(fù)雜的共享方案若某人比其他人重要，可以分配給他更多的影子可以按各人的重要程度分配不同數(shù)量的影子設(shè)想需要在兩個(gè)敵對(duì)代表團(tuán)之間共享秘密設(shè)A代表團(tuán)7人，B代表團(tuán)12人，需要由來自A團(tuán)的2人和來自B團(tuán)的3人一起才能恢復(fù)秘密多項(xiàng)式構(gòu)造為一個(gè)三次多項(xiàng)式，它是一個(gè)一次多項(xiàng)式（給A團(tuán)分配影子）和一個(gè)二次多項(xiàng)式（給B團(tuán)分配影子）的乘積其它門限方案實(shí)現(xiàn)方法矢量方案將秘密映射為t維空間中的一個(gè)點(diǎn)每個(gè)影子是包含這個(gè)點(diǎn)的(t-1)維超平面方程任意t個(gè)超平面的交點(diǎn)即是秘密Karnin-Greene-Hellman矩陣方案選擇n+1個(gè)t維向量V0,V1,V2,…,Vn（公開），使得任意t個(gè)向量所構(gòu)成的矩陣的秩為t。向量U是t維行向量。秘密為U·V0，影子是乘積U·Vi(1<i<n)任意t個(gè)影子能夠用來解t元線性方程組，確定U。特定情景中的秘密分享有騙子的秘密共享情景1：重構(gòu)秘密時(shí)，合法用戶故意輸入錯(cuò)誤影子某個(gè)拒絕總統(tǒng)命令不愿意發(fā)射導(dǎo)彈的將領(lǐng)，在輸入影子時(shí)故意輸入錯(cuò)誤數(shù)字，使得秘密不能恢復(fù)。普通方案無法發(fā)現(xiàn)究竟是誰在破壞情景2：重構(gòu)秘密時(shí)，非法用戶在參與過程中竊取他人影子非法用戶可以偷看別人的影子，可以在算法中設(shè)法推演出他人影子的信息，可以當(dāng)t個(gè)合法用戶恢復(fù)秘密后構(gòu)建自己的合法影子不暴露影子的秘密共享重建秘密時(shí)不直接展示各人的影子例如，當(dāng)秘密是所有人共同數(shù)字簽名的私鑰時(shí)，每個(gè)人獨(dú)立簽名后，文件就已經(jīng)用共同的私鑰簽名了特定情景中的秘密分享沒有仲裁者的秘密共享在某種場(chǎng)合下，沒有可信的仲裁者來制造影子如果有人知道核彈發(fā)射的最終密碼，并由他來為其他將領(lǐng)分配影子，則這個(gè)人有機(jī)會(huì)獨(dú)自發(fā)射核彈需要一種算法，由合法參與者來共同生成影子，但沒有人知道秘密設(shè)想秘密是在某個(gè)設(shè)備中秘密生成，參與者可以用它來計(jì)算，但不能讀取秘密可驗(yàn)證的秘密共享影子持有人如何知道自己的影子是正確的？合法參與者如何驗(yàn)證某個(gè)可疑對(duì)象的影子正確與否？通過重建秘密可以驗(yàn)證，但那樣秘密就泄露了特定情景中的秘密分享帶預(yù)防的秘密共享對(duì)于已構(gòu)建的(t,n)方案，如果想提高為(t',n)方案，如何做？帶除名的秘密共享對(duì)于已構(gòu)建的(t,n)方案，如果想除名一個(gè)參與者，如何做？完作業(yè)1. 填滿下表中的剩余位置：2. 在DES的ECB模式中，若在密文的傳輸過程中，某一塊發(fā)生了錯(cuò)誤，則只有相應(yīng)的明文組會(huì)有影響。然而，在CBC模式中，這種錯(cuò)誤具有擴(kuò)散性。比如，密文分組C1發(fā)生的錯(cuò)誤將會(huì)影響明文分組P1和P2。a. P2以后的哪些分組會(huì)受到影響？b. 假設(shè)P1在加密前就有一位發(fā)生了錯(cuò)誤，則這個(gè)錯(cuò)誤要影響多少個(gè)密文分組？對(duì)接收者解密后的結(jié)果有什么影響？操作模式加密解密ECBCj=E(K,Pj)j=1,…,NPj=D(K,Cj)j=1,…,NCBCC1=E(K,[P1⊕IV])Cj=E(K,[P