第十一章-保密通信的信息理論

第十一章保密通信的信息理論本章主要內(nèi)容

保密系統(tǒng)的數(shù)學(xué)模型

數(shù)據(jù)加密標(biāo)準(zhǔn)

國(guó)際數(shù)據(jù)加密算法

保密通信基礎(chǔ)知識(shí)

公鑰加密方法

信息安全與數(shù)字簽名現(xiàn)代密碼學(xué)

密碼技術(shù)最早出現(xiàn)并且至今仍是對(duì)數(shù)據(jù)、數(shù)字信息進(jìn)行保密的最有效的安全技術(shù)。1949年香農(nóng)（Shannon）發(fā)表了“保密系統(tǒng)的通信理論”的著名論文，將信息理論引入了密碼學(xué)，提出了通用的密鑰密碼系統(tǒng)模型，引進(jìn)了不確定性、剩余度和唯一解距離作為度量密碼系統(tǒng)安全性的測(cè)度，對(duì)完全保密、純密碼、理論安全性和實(shí)用安全性等新概念作了論述，為傳統(tǒng)的秘密鑰密碼學(xué)研究奠定了理論基礎(chǔ)。1976年，狄非（Diffie）和赫爾曼（Hellman）在“密碼學(xué)的新方向”一文中，提出了將加密密鑰和解密密鑰分開(kāi)，且加密密鑰公開(kāi)，解密密鑰保密的公鑰密碼體制，導(dǎo)致了密碼學(xué)上的一場(chǎng)革命，開(kāi)創(chuàng)了現(xiàn)代密碼學(xué)的新領(lǐng)域。11.1保密學(xué)的基本概念

保密學(xué)是研究密碼系統(tǒng)或通信系統(tǒng)的安全問(wèn)題的科學(xué)。它包含密碼學(xué)和密碼分析學(xué)兩個(gè)分支。密碼學(xué)是研究和設(shè)計(jì)各種密碼體制，使信息得到安全地隱藏。密碼分析學(xué)是在束知密鑰情況下研究分析破譯密碼，使獲取已隱藏的信息。密碼體制的基本思想是隱藏和偽裝需要保密的信息，使非受權(quán)者不能獲取信息。明文(或消息)——需要采用某種方法對(duì)其進(jìn)行變換來(lái)隱藏載荷著信息的消息或字符串。

密文(或稱(chēng)密報(bào))——明文經(jīng)過(guò)某種變換后成為一種載荷著不能被非受權(quán)者所理解的隱藏信息的消息或字符串。

加密——明文變換成密文的這種變換操作過(guò)程。

解密——利用密鑰從密文恢復(fù)成明文的操作過(guò)程，即加密的逆過(guò)程。

加密者——對(duì)明文進(jìn)行加密操作的人員。

接收者——預(yù)定接收密文的人員。接收者知道密鑰是非常關(guān)鍵的。

加密算法——加密者對(duì)明文進(jìn)行加密所采用的一組法則，又稱(chēng)為加密編碼。解密算法——利用密鑰將密文進(jìn)行解密所采用的一組法則，叉稱(chēng)為解密密碼。

加密密鑰——加密算法通常在一組密鑰的控制下進(jìn)行，這組密鑰稱(chēng)加密密鑰。

解密密鑰——解密算法也在一組密鑰的控制下進(jìn)行，這組密組稱(chēng)為解密密鑰。單鑰密碼體制——在加密和解密過(guò)程中，加密密鑰和解密密鑰相同，或從一個(gè)易得出另一個(gè)的密碼體制。

雙鑰密碼體制——在加密和解密過(guò)程中，加密密鑰和解密密鑰不相同，而且從一個(gè)難以得出另一個(gè)的密碼體制。它使加密能力和解密能力分開(kāi)。

截取者——凡截取已加密了的消息的任何人，是非受權(quán)的、截取機(jī)密的人。一般情況，截取者不知道密鑰。

密碼分析——在未知密鑰的情況下，但通過(guò)分析從截獲的密文中推斷出明文的過(guò)程稱(chēng)為密碼分析。稱(chēng)試圖對(duì)密碼進(jìn)行分析為攻擊。密鑰體制可根據(jù)所采用的密鑰類(lèi)型分為對(duì)稱(chēng)（單密鑰）體制(One-keyorSymmetricCryptosystem)和非對(duì)稱(chēng)（雙鑰密）體制(Two-keyorAsymmetricCryptosystem)。

私鑰密碼體制原理示意圖

（1）在密碼技術(shù)中，加密和解密實(shí)質(zhì)上是某種“密碼算法”，按密碼算法進(jìn)行變換的控制參數(shù)就是“密鑰”。（2）一個(gè)好的密碼系統(tǒng)必須具有抗破譯的能力，使這種破譯不可能，或者即使理論上可破譯，而實(shí)際上這種破譯很困難。（3）對(duì)信息的加密方式來(lái)看，可分為分組密碼和序列密碼兩大類(lèi)。（4）從密鑰體制來(lái)看，可分為秘密鑰密碼體制和公開(kāi)鑰密碼體制。9．2保密系統(tǒng)的數(shù)學(xué)模型

保密系統(tǒng)模型如圖11.1所示。

信源是產(chǎn)生消息的源，設(shè)離散無(wú)記憶信源為其輸出的消息為L(zhǎng)長(zhǎng)的信源序列，即S=(s1s2…sL)si∈A稱(chēng)為明文。稱(chēng)SL為消息空間或明文空間。密鑰源是產(chǎn)生密鑰序列的源。通常密鑰是離散的。設(shè)密鑰符號(hào)集為B={b1,b2,…，bt)，并設(shè)P(bi)≥0,一般設(shè)計(jì)密鑰源是無(wú)記憶等概分布信源，即各密鑰符號(hào)是獨(dú)立等概分布的。密鑰源產(chǎn)生長(zhǎng)為r的序列稱(chēng)為密鑰序列，即k=(k1k2…kr)ki∈B。k∈Br,共有tr個(gè)密鑰序列，稱(chēng)Br為密鑰空間。一般明文空間和密鑰空間是彼此統(tǒng)計(jì)獨(dú)立的。合法接收者知道密鑰序列k和密鑰空間，而截取者是不知道密鑰K和密鑰空間的加密編碼器是對(duì)明文S進(jìn)行加密變換，它將明文空間輸出的明文S在密鑰ke控制下變換成密文c，即其中Eke表示在ke控制下的加密變換。c的全體稱(chēng)為密文空間Cn。一般密文符號(hào)集與明文符號(hào)集相同,ci∈A而且n=L，即長(zhǎng)度相等。

解密譯碼器是合法接收者(信宿)對(duì)接收的密文進(jìn)行解密變換。因?yàn)樗烂荑€kd和解密變換D，很容易從密文中恢復(fù)出明文，即對(duì)于單密鑰體制，其加密密鑰ke和解密密鑰kd相等。所以有一般密鑰通過(guò)保密信道傳送給合法的接收者(信宿)或者發(fā)送者與接收者事先商定好。

截取者接收到密文c，即使他知道加密算法，但因不知道特定的密鑰k，就無(wú)法獲取信息?？梢?jiàn)，所用的特定的密鑰很重要，必須要保密好。另外也不能使截取者從密文中獲得密鑰。密碼系統(tǒng)的安全性有兩種標(biāo)準(zhǔn)，一種是理論保密性，另一種是實(shí)際保密性。理論保密性是指截取者在具有無(wú)限的時(shí)間和計(jì)算資源條件下，密碼系統(tǒng)抗破譯的能力。實(shí)際保密性是指截取者在一定的計(jì)算資源及其他限制的條件下，密碼系統(tǒng)抗破譯的能力?，F(xiàn)代密碼系統(tǒng)應(yīng)當(dāng)滿(mǎn)足：

1)系統(tǒng)即使迭不到理論上不可破，也應(yīng)當(dāng)是實(shí)際上不可破的。

2)系統(tǒng)的保密性不依賴(lài)于對(duì)加密、解密算法和系統(tǒng)的保密，而僅僅依賴(lài)于密鑰的保密性。

3)加密、解密運(yùn)算簡(jiǎn)單快捷，易于實(shí)現(xiàn)。

4)加密和解密算法適用于所有密鑰空間的元素。11．3古典密碼體制

11.3.1單表密碼單表密碼是一種簡(jiǎn)單的代換密碼。它對(duì)所有的明文字符都采用一個(gè)固定的明文字符集到密文字符集的映射。即映射函數(shù)設(shè)明文s=(s1s2s3…)則相應(yīng)密文為C=Ek(s)=f(s1)f(s2)f(s3)…此時(shí)密鑰就是一個(gè)固定的代換字母表。那么，對(duì)密文C=(c1c2…)的解密譯碼過(guò)程為s=Dk(c)=f-1(c1)f-1(c2)f-1(c3)…[例11.1]設(shè)明文字符集為26個(gè)英文字母A={A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z}.一個(gè)固定的代換字母表為A'={X,G,U,A,C,D,T,B,P,H,S,R,L,M,V,Q,Y,W,I,Z,E,J,O,K,N,F}若有明文為S=Thisisabook則密文c=Ek(s)=ZBPIPIXGVVS對(duì)于這種26個(gè)英文字母的信源，采用這種簡(jiǎn)單的代換密碼，不同的代換字母表共可以有26!種。密鑰

9．3．2移位代換密碼

移位代換密碼又稱(chēng)加法密碼，它是單表密碼中的一種。在高盧戰(zhàn)爭(zhēng)中凱撒(caesar)使用過(guò)的凱撒密碼就是這種加法密碼。設(shè)明文字符集A={a0,a1,…,aq-1)，密鑰為k，其加密變換為

這種移位代換密碼，密鑰k可取1至q共q種，可獲q種不同的代換字母表。

[11．2]設(shè)明文字符集為26個(gè)英文字母，q=26，進(jìn)行移位代換密碼。這就是凱撒密碼。若選取密鑰k=4，則有下述代換對(duì)應(yīng)表：A:abcdefghIjklmnopqrstuvwxyzA’:EFGHIJKLMNOPQRSTUVWXYZABCD所得密文字母集為明文字母集向左位移k位。若明文為則密文

因?yàn)閷?duì)于凱撒密碼來(lái)言，q=26，所以共有26個(gè)代換字母表。11．3．3乘數(shù)密碼

乘數(shù)密碼類(lèi)似于前面的加法密碼。它的加密變換為其中ij都是明文字符集中的下標(biāo)。式(11.10)表示密文代換表中字符是按明文字符集的下標(biāo)每隔k位挑選出一個(gè)字符排列而成的，所以又稱(chēng)采樣密碼。當(dāng)然我們希望密文代換表與明文字符集是一一對(duì)應(yīng)的，即明文中不同的字符應(yīng)在密文代換表中代換成不同的字符，否則解密就不是惟一的，就會(huì)有錯(cuò)誤產(chǎn)生。例如設(shè)A={a0,a1,a2,a3,a4,a5}，若k={0,1,…5}，可得如下不同的密文代換表：k=1，5才能得到一一對(duì)應(yīng)的代換表，而k=0，2，3，4都不可用。所以，乘數(shù)密碼中密鑰有嚴(yán)格選擇要求，要求k和q是互素的。這樣，密鑰k所選擇的范圍減少，其能采用的代換字母表大大少于加法密碼[例11.3]設(shè)明文字符集為26個(gè)英文字母，對(duì)它作k=5的乘數(shù)密碼-可得明文和密文字母對(duì)應(yīng)表：A:abcdefghIjklmnopqrstuvwxyzA’:AFKPUZEJOTYDINSXCHMRWBGLQV

若明文為S=thismessageisfake則密文C=RJOMIUMMAEUOMZAYU對(duì)于q=26，K只能取1、3、5、7、9、11、15、17、19、21、23、25共12種?？梢?jiàn)，乘數(shù)密碼的密鑰數(shù)量比加法密碼的密鑰數(shù)量要少，是具極低保密性的碼。

仿射密碼仿射密碼:是將乘數(shù)密碼和加法密碼相組合。明文是先用乘數(shù)密碼的代換字符表變換后，再用移位代換字符表變換得密文。即仿射密碼的變換為當(dāng)k1=0為加法密碼，k2=0是乘數(shù)密碼。若采用仿射密碼密鑰數(shù)量就有26×12=312種，即使去掉恒等的一種，還有311種，這使仿射密碼的保密性提高。11.3.4固定周期d的位移置換這種置換變換不是用一固定的代換字符表，所以它不是單表代換。它是將明文每長(zhǎng)度為d劃分為一組，在每組內(nèi)進(jìn)行置換，而置換方式各組都相同。若最后長(zhǎng)度不足d的就加添字母x。

一般情況，當(dāng)周期為d時(shí)，置換表共有d!個(gè)。

[例11.4]26個(gè)英文字母組成的明文字符集，取d=6，各段位置下標(biāo)號(hào)按下述置換表置換若明文S=Thisme|ssagei|sfakex密文C=SEMITHGIEASSKXRASF利用式(9．12)進(jìn)行反變換，得解密譯碼變換表11.3.5多表代換密碼

多表代換密碼是以一系列代換表依此對(duì)明文的字符進(jìn)行代換的加密方法。通常采用的代換表數(shù)量有限，而是周期地重復(fù)使用。1.維吉尼亞密碼這是一種以移位代換為基礎(chǔ)的周期代換密碼。周期為d，即由d個(gè)字符序列組成的密鑰,然后以d為周期而加密。明文字符A={a0,a1,…,aq-1}；密鑰為k={k1,k2,…,kd},kL∈A；令i為明文字符集的下標(biāo)；令L1,L2,..,Ld為密鑰字符k1,k2,…,kd的下標(biāo)；則加密變換為[例11.6]26個(gè)英文字母組成的明文字符集A，q=26.選用密鑰字為k=RADIO,d=5,可得L1,L2,L3,L4,L5。就可用密鑰字對(duì)明文進(jìn)行加密變換，若有明文s=thismessageisfake下標(biāo)i=197818124181806481850104密鑰k=RADIORADIORADIORA下標(biāo)L=170381417038141703817140

J=107110021182182021821131414密文c=KHLAAVSVIUVIVNOBE2.博福特和變異博福特密碼博福特和變異博福特密碼類(lèi)似與維吉尼亞密碼，其加密變換為或3.滾動(dòng)密鑰密碼對(duì)于周期代換密碼，隨周期d增大使保密性增加。當(dāng)d和明文序列一樣長(zhǎng)時(shí)就稱(chēng)滾動(dòng)密鑰密碼。如果所采用的密鑰序列k=(k1,k2,…,kd)．d=L不重復(fù)相同(L為明文長(zhǎng)度)，這就是一次一密鑰體制。4．佛納姆密碼

當(dāng)明文字符集A={0，1}為二元符號(hào)時(shí)，滾動(dòng)密鑰密碼成為佛納姆密碼。這時(shí)密鑰符號(hào)集也為二元符號(hào)，密鑰序列為二元序列k=k1k2…ki…ki∈[0，1]明文為s=s1s2…si…si∈[0，1]密文為c=c1c2…ci…ci∈[0，1]加密變換為ci

=si+

ki(模2運(yùn)算)（i=1,2,…）解密度換為si

=ci+

ki(模2運(yùn)算)（i=1,2,…）[例11．6]若明文字母h，其二元明文序列S=00101相應(yīng)的密鑰序列k=11010，則有顯然有11．4完全保密性密碼系統(tǒng)的安全性是密碼學(xué)中研究的主要問(wèn)題。一個(gè)密碼系統(tǒng)希望是安全的就是指截取者無(wú)法破譯獲得所發(fā)送的信息。一般截取者在以下三個(gè)條件下進(jìn)行破譯工作的：

(1)唯密文破譯破譯者僅能從截獲得到的密文中進(jìn)行分析，得出明文或密鑰。(2)已知明文破譯破譯者除了有截獲的密文外，還知道一些明文一密文對(duì)，可利用分析.(3)選擇明文破譯破譯者可以用他所選擇的任何明文一密文對(duì)來(lái)進(jìn)行分析，確定未知的密鑰。現(xiàn)將分析，在這些破譯條件下，系統(tǒng)的安全性問(wèn)題，即應(yīng)滿(mǎn)足什么條件，系統(tǒng)才是安全的．在第11．2節(jié)中，圖11．1已給出了保密系統(tǒng)的數(shù)字模型。因此，可以計(jì)算系統(tǒng)中各部分的熵。明文的墑密鑰的熵密文的熵

已知密文條件下關(guān)于明文的疑義度是H(SL|Cn)

，它表示在已知密文條件下對(duì)明文存在的不確定性；已知密文條件下關(guān)于密鑰的疑義度是H(Br|Cn)

，它表示在已知密文條件下對(duì)密鑰的不確定性。從唯密文破譯角度來(lái)看，破譯者就是希望從截取的密文中提取有關(guān)明文或密鑰的信息

從截取的密文中提取有關(guān)明文的信息是

(11.18)從截取的密文中提取有關(guān)密鑰的信息是對(duì)合法的接收者來(lái)說(shuō)，他是在已知密文和密鑰條件下提取明文信息的。由于加密變換的可逆性，合法接收者在知道密鑰和密文條件下，關(guān)于明文不存在任何不確定性，所以越大越小定義9．1若對(duì)保密系統(tǒng)(SL,Cn,Br,Ek,Dk)滿(mǎn)足

I(SL;Cn)=0(11．22)則稱(chēng)此系統(tǒng)為完全的保密系統(tǒng)或稱(chēng)無(wú)條件的保密系統(tǒng)。由式(11．22)可知，當(dāng)破譯者從密文中得不到任何有關(guān)明文的信息時(shí)，他是無(wú)法破譯的。顯然，這種安全性是對(duì)唯密文破譯而言的，它不一定能保證已知明文或選擇明文破譯條件下也是安全的。

由式(11．18)可知要式I(SL;Cn)=0滿(mǎn)足，即要求由熵的表達(dá)式可知，也就是要求它表示密文與明文是完全統(tǒng)計(jì)獨(dú)立的，所以從密文中不能獲得任何關(guān)于明文的信息。定理11.1對(duì)于任何保密系統(tǒng)，有(11.25)一般密鑰空間Br中密鑰是等概分布的，H(Br)與密鑰空間的密鑰量有關(guān)。密鑰量越大，H(Br)越大;密鑰量越小，H(Br)越小定理9.1說(shuō)明若密鑰量越小，H(Br)越小，I(SL;Cn)越大而越接近H(SL)。使破譯者從密文中能獲得關(guān)于明文的信息量越大，就容易破譯。因此，從設(shè)計(jì)密碼系統(tǒng)角度來(lái)看，必須要使密鑰空間的密鑰量盡可能大。定理11.2完全保密系統(tǒng)存在的必要條件是

H(Br)≥H(SL)

由定理11.2可知，要構(gòu)造完全保密系統(tǒng)，必須密鑰空間的熵大于明文空間的熵。當(dāng)密鑰空間等概分布時(shí)，也就是說(shuō)必須密鑰量的對(duì)數(shù)大于明文空間的熵。所以，從唯密文破譯角度看，密鑰空間密鑰量越大，系統(tǒng)就越安全。

若密鑰序列為二元序列，即密鑰符號(hào)集B={0,1}，由式(11.29)得H(SL)≤H(Br)=rH(B)=r若密鑰符號(hào)集B={b1，b2，…，bt}，可得H(SL)≤H(Br)=rH(B)=rlogt可見(jiàn)，實(shí)現(xiàn)完全保密所需的密鑰量是有下限的。一般信源是有剩余的，明文信源空間的信息熵0≤

H(SL)=H(S1S2…SL)=≤Llogq當(dāng)信源有記憶時(shí)，H(SL)將大大減?。?/p>

正因?yàn)槊魑拇嬖谑Ｓ喽?，所以?shí)現(xiàn)完全保密所需的密鑰量的下限可以減少。另外，由于明文存在剩余度，也就是明文字母出現(xiàn)概率不均勻，或者字母之間有依賴(lài)關(guān)系，這就給破譯者帶來(lái)一定便利。例如，英文26個(gè)字母中E出現(xiàn)概率最高，又英文語(yǔ)句中雙字母TH、HE、IN、ER…等出現(xiàn)的概率高，三字母THE、ING、AND、HER…等出現(xiàn)的概率高等。破譯者在英文字母密文的破譯中就可利用這種關(guān)系，較容易地進(jìn)行猜測(cè)破譯，獲取正確的明文。現(xiàn)我們定義L長(zhǎng)明文序列的剩余度為D。L長(zhǎng)明文序列平均每個(gè)字母的剩余度根據(jù)第8章，我們巳知可以對(duì)信源進(jìn)行無(wú)失真壓縮編碼，可以使編碼后新信源的剩余度減少，甚至達(dá)到剩余度接近等于零。由此可見(jiàn)，在加密處理以前，先將明文信源進(jìn)行不失真的數(shù)據(jù)壓縮，用最少的碼元來(lái)表述明文信源，這樣不但可以使所需密鑰量降低，而且減少和去掉了明文之間的依賴(lài)關(guān)系，給破譯者增加了破譯的困難。這也是香農(nóng)(Shannon)最先指出的一個(gè)重要結(jié)論。定理11.3存在有完全的保密系統(tǒng).若密鑰不重復(fù)使用，采用一次一密鑰體制，則在已知明文密文對(duì)情況下雖可破譯出所對(duì)應(yīng)的密鑰，但這密鑰對(duì)以后收到密文的破譯是無(wú)效的。這樣，佛納姆密碼體制就是安全的。在實(shí)際應(yīng)用中，為安全起見(jiàn)，要求密鑰是完全隨機(jī)方式產(chǎn)生的。而密鑰通過(guò)可靠安全的途徑送到接收者，并每次將使用過(guò)后的密鑰都立即銷(xiāo)毀。11．5理論保密性

本節(jié)討論在唯密文破譯條件下，破譯一種密碼體制時(shí)理論上破譯者必須處理的密文量至少需多少。也就是研究在理論上是否存在理想的保密系統(tǒng)的問(wèn)題。

對(duì)于密碼系統(tǒng)來(lái)說(shuō)，傳輸?shù)拿芪腃=(c1c2…cn)ci∈A。已知密文條件下關(guān)于密鑰的疑義度為

根據(jù)條件熵的性質(zhì)有由此可知，n越大，疑義度越小。一般情況，隨著截獲密文的增加，對(duì)密鑰或明文的疑義度減少，獲得有關(guān)密鑰或明文的信息量就增加。當(dāng)n充分大時(shí)，使H(BrICn)→0時(shí)，就可惟一地確定密鑰空間Br，從而實(shí)現(xiàn)破譯。因而使H(BrICn)

≈0的最小n是密碼學(xué)中一個(gè)有重要意義的量。

定義11.2一個(gè)密碼系統(tǒng)在唯密文攻擊下的惟一解距離n0為

n0就是使H(BrICn)達(dá)到近似等于零的最小整數(shù)。惟一解距離就是破譯者惟一地確定加密所用密鑰至少所需要的密文量。當(dāng)截獲者截獲的密文量大于n0，原則上就可以惟一地確定密碼系統(tǒng)所用的密鑰，就可以破譯。因此，惟一解距離n0是度量密碼系統(tǒng)安全性的一個(gè)指標(biāo)。若對(duì)于一個(gè)密碼系統(tǒng)，能使

limH(BrICn)≠0(n→∞)，則對(duì)系統(tǒng)而言，截獲了許多密文并不能消除關(guān)于密鑰的不確定性，系統(tǒng)無(wú)法破譯，這是很理想的保密系統(tǒng)，也就是這系統(tǒng)是具有理論保密性的。

定理11.4若保密系統(tǒng)(SL,Cn,Br,Ek,Dk)采用隨機(jī)密碼方法，將L(=n)長(zhǎng)的明文加密成n長(zhǎng)的密文，則因?yàn)榧用芫幋a是隨機(jī)的，即密鑰是隨機(jī)產(chǎn)生的，而且密鑰空問(wèn)是等概率分布的。因此，經(jīng)過(guò)密鑰加密后，L長(zhǎng)的密文序列中字符之間可認(rèn)為近似統(tǒng)計(jì)獨(dú)立，完全隨機(jī)的。所以有因?yàn)樗砸驗(yàn)?11.53)

由式(11.53)可知，當(dāng)密鑰空間給定后，隨著截獲密文長(zhǎng)度L增加，疑義度H(BrICn)近似線(xiàn)性下降，直到疑義度變得相當(dāng)小。由式(11.53)和惟一解距離的定義，可得其中如為長(zhǎng)Ｌ明文序列平均每個(gè)字母的剩余度。圖9．2給出了H(Ｂｒ)與密文量L的典型變化特性?？梢?jiàn)，當(dāng)=0，即明文源無(wú)剩余度時(shí)，惟一解距離n0→∞。這就是說(shuō)截獲者截獲了無(wú)數(shù)多的密文，還不能惟一地確定密碼系統(tǒng)所用的密鑰，系統(tǒng)無(wú)法破譯。這時(shí)密碼系統(tǒng)是具有理論保密性的。雖然，這系統(tǒng)不一定滿(mǎn)足式(11.29)，不是完全保密系統(tǒng)。但它此時(shí)H(Br|Cn)≈H(Br)，截獲了無(wú)數(shù)多密文后，對(duì)于密鑰的疑義度仍等于密鑰空間的密鑰量的對(duì)數(shù)，所以破譯很困難，近似無(wú)法破譯。實(shí)際情況，明文源是有剩余的，≠0。所以．在對(duì)明文消息加密之前，先進(jìn)行壓縮編碼來(lái)減少明文的剩余度，然后再加密，這對(duì)于提高系統(tǒng)的安全性是有著重要的作用。因此，明文信源的壓縮編碼是強(qiáng)化保密系統(tǒng)安全性的重要措施.實(shí)際情況中，明文源的剩余度為有限值，而密鑰空間密鑰量和H(Br)有限，所以惟一解距離n0是個(gè)有限值，理論上是可破譯的。[例11.7]英文字母的單表代換密碼。它密鑰量=26！，所以計(jì)算得英文信源所以所以[例11.8]英文字母的凱撒密碼，它密鑰量=26。當(dāng)然，從理論上說(shuō)凱撒密碼只需截獲2個(gè)密文字母都可以破譯。但實(shí)際情況下，截獲密文要大于1.4個(gè)字母才能破譯。[例11.9]固定周期d的位移置換密碼，其密鑰量=d!，得對(duì)于英文字母信源各例求得的n0是在理論意義上的，也就是理論上說(shuō)當(dāng)截獲密文>n0時(shí)應(yīng)可破譯。它忽略了實(shí)際破譯的兩種情況：第一，理論上是假設(shè)了破譯者能利用明文源的全部統(tǒng)計(jì)知識(shí)，(計(jì)算用的是H∞)，而實(shí)際上如自然語(yǔ)言是很復(fù)雜的，實(shí)際破譯所需截獲的密文>>n0;第二，理論上沒(méi)有涉及實(shí)際破譯所花需的工作量、時(shí)間和計(jì)算量。從實(shí)際破譯來(lái)說(shuō)，要使工作量、計(jì)算量和破譯時(shí)間減少，也要截獲大量的密文。

9．6實(shí)際保密性上一節(jié)是研究密碼系統(tǒng)的理論安全性問(wèn)題。假定破譯者能充分地利用信源的全部統(tǒng)計(jì)知識(shí)，并且具備無(wú)限的計(jì)算能力、時(shí)間、人力和設(shè)備等資源，則只需截獲密文量大于n0時(shí)，原則上就可以惟一確定系統(tǒng)所用密鑰而破譯。而實(shí)際情況下，破譯者所能利用的資源、破譯時(shí)間、計(jì)算能力和人力等都受到很多限制。一旦破譯一種密碼所需付出的代價(jià)超過(guò)破譯該密碼所得信息的價(jià)值，或者破譯成功的時(shí)間超出了所得信息的有效期，則這種破譯也是徒勞的。所以，研究保密系統(tǒng)的實(shí)際意義上的保密問(wèn)題是很重要的。實(shí)際保密性:保密系統(tǒng)在破譯者的時(shí)間、能力、物力等資源受限制條件下的安全性稱(chēng)為實(shí)際保密性。如果一個(gè)保密系統(tǒng)的破譯所需花費(fèi)的努力超過(guò)破譯者具有的條件，則此系統(tǒng)實(shí)際上是安全保密的。

密碼系統(tǒng)的理論安全性通常是在理想的、易于數(shù)學(xué)分析的假設(shè)下，關(guān)于密碼安全性的測(cè)度。忽略了破譯者所處的實(shí)際情況。在實(shí)際條件限制下，一個(gè)在理論上不完全保密的系統(tǒng)可能提供實(shí)際上的安全保密性。反之，也可能一個(gè)理論上是安全保密的系統(tǒng)，在實(shí)際上卻很脆弱、易于攻破的。例如，在英文字母單表代換密碼中，如果=0，則系統(tǒng)理論上是安全保密的。這是在唯密文破譯意義上得到的。實(shí)際情況中，破譯者常常能獲得一些明文密文對(duì)，就能破譯這密碼。又例如，一次一密鑰體制，密鑰量很大，H(Br)很大，所以系統(tǒng)理論上是安全的。但這種情況密鑰量至少和明文一樣多，密鑰傳送、密鑰的管理都很困難，實(shí)際上密鑰系統(tǒng)易于攻破。所以，實(shí)際保密系統(tǒng)不能單純追求理論保密性。

一般消息的保密都有一個(gè)最小保障時(shí)間。如果在這時(shí)間內(nèi)破譯者不能破譯的話(huà)，則系統(tǒng)的安全性能滿(mǎn)足實(shí)際需要，系統(tǒng)具有實(shí)際安全性。估計(jì)一個(gè)保密系統(tǒng)的實(shí)際保密性，主要考慮兩個(gè)因素。

第一是，破譯者的計(jì)算能力。這計(jì)算能力取決于破譯者所具備的設(shè)備、資金等資源。如果破譯者進(jìn)行破譯所需運(yùn)算的運(yùn)算量、運(yùn)算時(shí)間和存儲(chǔ)量等都受資源的限制，使在系統(tǒng)的保障時(shí)間內(nèi)無(wú)法破譯，這系統(tǒng)實(shí)際是安全的。

第二是，破譯者的破譯算法的有效性。如果破譯者掌握的破譯算法很拙劣，就需花費(fèi)很長(zhǎng)的時(shí)間和很大的精力來(lái)進(jìn)行破譯，這對(duì)系統(tǒng)來(lái)說(shuō)，就具有實(shí)際的保密性。例如，單表代換密碼對(duì)英文字母(q=26)進(jìn)行加密，其共有26!個(gè)單表代換的密鑰。如果破譯者破譯時(shí)，簡(jiǎn)單地采用每張代換表對(duì)密文進(jìn)行比較、試驗(yàn)，這就需花很長(zhǎng)很長(zhǎng)的時(shí)間才能破譯。假設(shè)以每微秒試驗(yàn)一張代換表的速度進(jìn)行試驗(yàn)，又假設(shè)通過(guò)試驗(yàn)一半密鑰就能找到正確的密鑰，這就大約需6.4×1012年(2×1026／(602×24×365×106))。當(dāng)然，實(shí)際破譯者不會(huì)采用這種完全試湊法的。他往往是利用英文信源的統(tǒng)計(jì)特性，進(jìn)行統(tǒng)計(jì)分析，這樣即使截取到很短的密文也能很快破譯。因此，破譯者總是不斷地尋找新的破譯算法，提高他的破譯效率。因此，保密系統(tǒng)的設(shè)計(jì)者要設(shè)計(jì)一個(gè)實(shí)際安全的保密系統(tǒng)，就必須研究、分析破譯者可能采用哪些破譯方法，估計(jì)這些破譯方法的工作量和有效性，使這些破譯方法的運(yùn)算工作量很大、時(shí)間很長(zhǎng)。也就相當(dāng)于設(shè)計(jì)一個(gè)密碼系統(tǒng)，使破譯密碼的難度等價(jià)于解某個(gè)已知數(shù)學(xué)難題，這就能使密碼系統(tǒng)做到實(shí)際上是安全的。公開(kāi)密鑰密碼系統(tǒng)的思想就是基于實(shí)際安全性提出的，把密碼破譯歸納為解數(shù)學(xué)難題，因而一個(gè)密碼系統(tǒng)的實(shí)際安全性的大小就取決于求解這些數(shù)學(xué)問(wèn)題的難易程度了。數(shù)學(xué)問(wèn)題的算法求解的復(fù)雜性可通過(guò)計(jì)算復(fù)雜性理論來(lái)描述，因此計(jì)算復(fù)雜性理論為破譯密碼的計(jì)算復(fù)雜度提供了實(shí)際的度量方法。而計(jì)算復(fù)雜性理論中的一些典型數(shù)學(xué)問(wèn)題又給人們提供了設(shè)計(jì)實(shí)際安全的密碼系統(tǒng)的基礎(chǔ)。所以，信息論和計(jì)算復(fù)雜性理論是現(xiàn)代密碼系統(tǒng)設(shè)計(jì)和分析的重要基礎(chǔ)。從本章討論的結(jié)論可知，要使通信系統(tǒng)做到傳輸信息有效、可靠和保密，必須首先對(duì)信源進(jìn)行數(shù)據(jù)壓縮，然后對(duì)壓縮的數(shù)據(jù)進(jìn)行加密，再將加密后的數(shù)據(jù)進(jìn)行信道糾錯(cuò)編碼，最后送入信道。信道輸出的消息經(jīng)過(guò)糾錯(cuò)譯碼、解密譯碼、壓縮解碼三步反變換后送到信宿。公鑰密碼體制原理示意圖公開(kāi)密鑰加密法

原理框圖

兩個(gè)密鑰。一個(gè)公開(kāi)作為加密密鑰，另一個(gè)為用戶(hù)專(zhuān)用，作為解密密鑰。公開(kāi)密鑰密碼體制

公鑰密碼技術(shù)是由Diffe和Hellman于1976年首次提出的一種密碼技術(shù)。

特點(diǎn)：有兩個(gè)不同的密鑰，將加密功能和解密功能分開(kāi)。公鑰——私鑰

基本特性：給定公鑰，要確定出私鑰是計(jì)算上不可行的。

公鑰密碼技術(shù)可以簡(jiǎn)化密鑰的管理，并且可通過(guò)公開(kāi)系統(tǒng)如公開(kāi)目錄服務(wù)來(lái)分配密鑰。

信息安全與數(shù)字簽名

信息安全就是在網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)中的數(shù)據(jù)受到指定保護(hù)，不因偶然和惡意的原因而遭到破壞、更改、泄露，使信息系統(tǒng)能連續(xù)、可靠、正常地運(yùn)行，或因破壞后還能迅速恢復(fù)正常使用的安全過(guò)程。

五種通用的安全業(yè)務(wù)：

認(rèn)證（authentication）業(yè)務(wù)

訪問(wèn)控制（accesscontrol）業(yè)務(wù)

保密（confidentiality）業(yè)務(wù)

數(shù)據(jù)完整性(dataintegrity)業(yè)務(wù)

不可否認(rèn)(no-repudiation)業(yè)務(wù)

數(shù)字簽名數(shù)字簽名必須保證以下三點(diǎn)：

接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；

發(fā)送者事后不能抵賴(lài)對(duì)報(bào)文的簽名；

接收者不能偽造對(duì)報(bào)文的簽名。目前有兩大類(lèi)加密算法：一類(lèi)是秘密密鑰加密方法，代表是DES算法；另一類(lèi)是公開(kāi)密鑰加密算法，代表是RSA算法。因此介紹對(duì)應(yīng)的兩類(lèi)數(shù)字簽名算法?？荚囈c(diǎn)第一章信息的定義（與物質(zhì)、能量的關(guān)系；與消息、信號(hào)的關(guān)系；

香農(nóng)定義；）信息論研究的對(duì)象、目的、內(nèi)容第二章自信息的計(jì)算；信息熵的計(jì)算；（離散信源；

離散信源的N次擴(kuò)展信源；馬爾科夫信源）信息熵的性質(zhì)；信源的剩余度的計(jì)算；習(xí)題：課后2；3；4；7；7；20；23；24第三章平均互信息的性質(zhì)與計(jì)算；信道容量的計(jì)算；（對(duì)稱(chēng)信道；準(zhǔn)對(duì)稱(chēng)信道；一般信道）數(shù)據(jù)處理定理；習(xí)題:1;3;4;10;第五章等長(zhǎng)碼編碼定理；變長(zhǎng)碼編碼定理（香農(nóng)第一定理的意義）唯一可譯碼的判斷；（克拉夫特不等式；尾隨后綴法）平均碼長(zhǎng)的求法；習(xí)題：3；8；第六章錯(cuò)誤概率與譯碼規(guī)則；最大似然譯碼規(guī)則和最小錯(cuò)誤概率譯碼規(guī)則，會(huì)求錯(cuò)誤概率有噪信道編碼定理（香農(nóng)第二定理）的內(nèi)容、意義習(xí)題；1；3第八章會(huì)編霍夫曼碼（二元，三元），費(fèi)諾碼；掌握MH碼、算術(shù)碼的編碼原理；了解游程編碼，LZ碼習(xí)題：4；5；11；第十一章保密學(xué)的基本概念古典密碼學(xué)的種類(lèi)完全、理論、實(shí)際保密性的含義

其中一個(gè)變換應(yīng)用于數(shù)據(jù)起源項(xiàng)，稱(chēng)為明文，所產(chǎn)生的相應(yīng)數(shù)據(jù)項(xiàng)稱(chēng)為密文。而另一個(gè)變換應(yīng)用于密文，恢復(fù)出明文。這兩個(gè)變換分別稱(chēng)為加密變換和解密變換。習(xí)慣上，也使用加密和解密這兩個(gè)術(shù)語(yǔ)。

加密變換將明文數(shù)據(jù)和一個(gè)稱(chēng)作加密密鑰的獨(dú)立數(shù)據(jù)值作為輸入。類(lèi)似地，解密變換將密文數(shù)據(jù)和一個(gè)稱(chēng)作解密密鑰的獨(dú)立數(shù)據(jù)值作為輸入。這些數(shù)據(jù)看上去像隨機(jī)比特向量。

明文是沒(méi)有受到保護(hù)的數(shù)據(jù)。密文可在一個(gè)不可信任的環(huán)境中傳送，因?yàn)槿绻艽a體制是安全的，那么任何不知道解密密鑰的人都不可能從密文推斷出明文。密鑰體制可根據(jù)所采用的密鑰類(lèi)型分為對(duì)稱(chēng)（單密鑰）體制(One-keyorSymmetricCryptosystem)和非對(duì)稱(chēng)（雙鑰密）體制(Two-keyorAsymmetricCryptosystem)。

私鑰密碼體制原理示意圖公鑰密碼體制原理示意圖

（1）在密碼技術(shù)中，加密和解密實(shí)質(zhì)上是某種“密碼算法”，按密碼算法進(jìn)行變換的控制參數(shù)就是“密鑰”。（2）一個(gè)好的密碼系統(tǒng)必須具有抗破譯的能力，使這種破譯不可能，或者即使理論上可破譯，而實(shí)際上這種破譯很困難。（3）對(duì)信息的加密方式來(lái)看，可分為分組密碼和序列密碼兩大類(lèi)。（4）從密鑰體制來(lái)看，可分為秘密鑰密碼體制和公開(kāi)鑰密碼體制。

現(xiàn)代密碼設(shè)計(jì)應(yīng)遵循的一些原則（1）系統(tǒng)即使達(dá)不到理論上不可破，也應(yīng)當(dāng)是實(shí)用上不可破的；（2）系統(tǒng)的保密性不依賴(lài)于對(duì)加密、解密算法及系統(tǒng)的保密，僅依賴(lài)于密鑰的保密性；（3）加密、解密運(yùn)算簡(jiǎn)單快速，易于實(shí)現(xiàn)；（4）密文相對(duì)于明文擴(kuò)張?。唬?）錯(cuò)誤傳播擴(kuò)散??；（6）密鑰量適中，分配管理容易。

密碼學(xué)中熵的概念密碼學(xué)和信息論一樣，都是把信源看成是符號(hào)（文字、語(yǔ)言等〕的集合，并且它按一定的概率產(chǎn)生離散符號(hào)序列。香農(nóng)對(duì)密碼學(xué)的重大貢獻(xiàn)之一在于他指出：冗余度越小，破譯的難度就越大。所有實(shí)際密碼體制的密文總是會(huì)暴露某些有關(guān)明文的信息。在一般情況下，被截獲的密文越長(zhǎng)，明文的不確定性就越小，最后會(huì)變?yōu)榱?。理論上可破譯。但實(shí)際把明文計(jì)算出來(lái)的時(shí)空也許超過(guò)實(shí)際上可供使用的資源。重要的不是密碼體制的絕對(duì)安全性，而是它在計(jì)算上的安全性。香農(nóng)提出了兩種隱蔽明文信息中冗余度的基本技術(shù)：混亂和擴(kuò)散。最容易的混亂是替代；產(chǎn)生擴(kuò)散最簡(jiǎn)單的方法是通過(guò)換位。數(shù)據(jù)加密標(biāo)準(zhǔn)DES

換位和替代密碼可使用簡(jiǎn)單的硬件來(lái)實(shí)現(xiàn)。如圖所示：換位盒（P盒）

替代盒（S盒）

單獨(dú)使用P盒或位數(shù)較少的S盒，可以比較容易地檢測(cè)出它們的輸入輸出對(duì)應(yīng)關(guān)系。交替使用這兩者,則可以大大提高安全性。如圖所示：(15位的P盒與5個(gè)并置的3位S盒所組成的7層硬件密碼產(chǎn)生器)。算法描述初始置換第1輪第2輪第16輪32bit對(duì)換逆初始置換64bit密文64bit明文置換選擇2置換選擇2循環(huán)左移循環(huán)左移置換選擇2循環(huán)左移置換選擇156bit密鑰K1K2K16加密流程：

1.對(duì)明文比特進(jìn)行初始置換

2.將所得的結(jié)果進(jìn)行完全相同的依賴(lài)于密鑰的

16輪處理

3.最后應(yīng)用一個(gè)末尾置換獲得密文

依賴(lài)于密鑰的計(jì)算：

將64比特的數(shù)據(jù)分成兩半。其中一半作為一個(gè)

復(fù)雜函數(shù)的輸入，并且將其輸出結(jié)果與另一半進(jìn)行

異或。

復(fù)雜函數(shù)：包括8個(gè)稱(chēng)為S-盒的非線(xiàn)性代換。

DES的安全性主要依賴(lài)于S-盒，而且S-盒是其唯一的非線(xiàn)性部分。

DES密碼的安全性1997年1月28日，美國(guó)的RSA數(shù)據(jù)安全公司在RSA安全年會(huì)上公布了一項(xiàng)“秘密鑰挑戰(zhàn)”競(jìng)賽，懸賞1萬(wàn)美元破譯密鑰長(zhǎng)度為56比特的DES。這場(chǎng)競(jìng)賽的目的是調(diào)查Internet上分布計(jì)算的能力，并測(cè)試DES的相對(duì)強(qiáng)度。

美國(guó)克羅拉多州的程序員Verser從1997年3月13日起，用了96天的時(shí)間，在Internet上數(shù)萬(wàn)名志愿者的協(xié)同工作下，于6月17日成功地找到了DES的密鑰。這一事件表明依靠Internet的分布計(jì)算能力，用窮盡搜索方法破譯DES已成為可能。

1998年7月17日電子邊境基金會(huì)（EFF）使用一臺(tái)25萬(wàn)美金的電腦在56小時(shí)內(nèi)破解了56比特的DES。1999年1月RSA數(shù)據(jù)安全會(huì)議期間，電子邊境基金會(huì)用22小時(shí)15分鐘就宣告完成RSA公司發(fā)起的DES的第三次挑戰(zhàn)。國(guó)際數(shù)據(jù)加密算法（IDEA）IDEA使用128位密鑰，整個(gè)算法和DES相似，也是將明文劃分成一個(gè)個(gè)64位分組，經(jīng)過(guò)8輪迭代體制和一次變換，得出64位的密文。同一個(gè)算法即可用于加密，也可用于解密。

乘加單元

加密過(guò)程：

公開(kāi)密鑰加