經(jīng)典密碼基礎(chǔ)及密鑰管理

1、計算機網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)安全主講：周藝華Email:高校信息安全專業(yè)系列課程高校信息安全專業(yè)系列課程計算機網(wǎng)絡(luò)安全計算機網(wǎng)絡(luò)安全 第四章第四章 經(jīng)典密碼基礎(chǔ)經(jīng)典密碼基礎(chǔ)4.1 概述概述基本概念基本概念密碼學(xué)：密碼學(xué)：研究密碼技術(shù)的學(xué)科。密碼學(xué)包含兩個分支：密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)：密碼編碼學(xué)：主要研究如何對信息進行編碼，實現(xiàn)對信息進行隱藏的技術(shù)。密碼分析學(xué)：密碼分析學(xué)：主要研究加密消息的破譯，在未知密鑰的情況下從密文推出明文或密鑰的技術(shù)。4.1 概述概述2.2.基本術(shù)語基本術(shù)語明文（明文（Message）：）：加密輸入的原始信息，即信息的原始形式。通常用m或p表示。密文（密文（Cry

2、pto Message）：）：明文經(jīng)加密變換后的結(jié)果，即信息被加密處理后的形式，通常用c表示。加密算法（加密算法（ Encryption Algorithm）：）：將明文變換為密文的變換函數(shù)，通常用E表示。解密算法（解密算法（ Encryption Algorithm） ：將密文恢復(fù)將密文恢復(fù)為明文的變換函數(shù)，通常用為明文的變換函數(shù)，通常用D表示表示。4.1 概述概述加密密鑰（加密密鑰（Encryption Key）：）：用于在加密過程中使用的密鑰，稱為加密密鑰。常用K表示。解密密鑰（解密密鑰（Decryption Key）：）：用于在解密過程中使用的密鑰，稱為解密密鑰。常用K表示。私有密鑰（

3、私有密鑰（Private Key）：）：用于個人使用的密鑰。常用SK表示。公開密鑰（公開密鑰（Public Key）：）：其密鑰是公開的，無論什么人均可擁有。常用PK表示。)()(21CDMMECKK4.1 概述概述3.3.基本密碼通信系統(tǒng)基本密碼通信系統(tǒng)加密器)(1MECK解密器)(2CDMK密鑰產(chǎn)生1K密鑰產(chǎn)生2K非法入侵者密碼分析明文M接收者MMC4.1 概述概述說明：說明：合法接收者：可得到攻擊者:利用其選定的函數(shù)H和密鑰 K3對截獲的密文進行變換得：一般MM，若M=M則攻擊者破譯成功。MMEDCDMKKK)()(122)(3CHMK在對稱密碼體制下，加密和解密用相同的密鑰。由于加密和

4、解密密鑰相同，所以密鑰不能公開，所以又稱為秘密密鑰密碼體制。在非對稱密碼體制下，加密和解密用不同的密鑰，所以又稱為雙密鑰體制，由于加密和解密是用4.密碼體制分類密碼體制分類 以密鑰為標準的劃分：對稱密碼體制和非對稱密碼體制。以密鑰為標準的劃分：對稱密碼體制和非對稱密碼體制。4.1 概述概述不同的密鑰，且加密密鑰是公開的，所以又稱為公開密鑰體制。 對稱密碼體制的優(yōu)點：對稱密碼體制的優(yōu)點：加解密速度快，易于硬件實現(xiàn)，密鑰相對較短 對稱密碼體制的缺點：對稱密碼體制的缺點： 1）密鑰的秘密分發(fā)問題； 2）密鑰分發(fā)的復(fù)雜性非常高； 3）數(shù)字簽名困難問題。4.1 概述概述非對稱密碼體制的缺點：非對稱密碼體

5、制的缺點：加密速度慢，同等安全強度下密鑰的位數(shù)要多一些。非對稱密碼體制的優(yōu)點：非對稱密碼體制的優(yōu)點：1）密鑰管理簡單；2）密鑰分發(fā)簡單；3）可以實現(xiàn)數(shù)字簽名。 通常在網(wǎng)絡(luò)中加密普遍采用對稱密碼體制和非對稱密碼體制結(jié)合在一起使用。4.2 最基本的加密算法最基本的加密算法 1.替代密碼替代密碼其原理是用一些符號代替明文的一些符號。4.2 最基本的加密算法最基本的加密算法4.2 最基本的加密算法最基本的加密算法2. 置換密碼置換密碼其原理是按照某一規(guī)則重新排列信息中的比特或字符的順序。例子：假定有一個密鑰是TYPE的列換位密碼，把明文 can you understand 寫成一個如下的44矩陣：按

6、照密鑰TYPE所確定的順序：ynsdnurncodtauea4.2 最基本的加密算法最基本的加密算法 密密 鑰鑰 T Y P E 順順 序序 3 4 2 1 c a n y o u u n d e r s t a n d4.3 對稱密碼算法對稱密碼算法4.3.1 4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES DES 1.DES 1.DES （data encryption standarddata encryption standard）的歷的歷史：史：由美國IBM公司研制的數(shù)據(jù)加密算法，1975年3月17日首次被公布在聯(lián)邦記錄中。1977年1月15日被正式批準并作為美國聯(lián)邦信息處理標準，即FI

7、PS-46。經(jīng)1994年1月評估，美國已決定1998年12月以后將不再使用DES。 盡管如此， DES對于掌握分組密碼的基本理論、設(shè)計思想和實際應(yīng)用仍然有著重要的參考價值。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES64比特明文DES算法加密64比特密文64比特密鑰（含8bit校驗位）DES算法基本原理算法基本原理 DES的算法如下圖：4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES2.DES算法的設(shè)計思想算法的設(shè)計思想擴散：擴散：是指將密鑰和明文的任何一位都影響密文的許是指將密鑰和明文的任何一位都影響密文的許多位。通過密鑰對密文的影響防止對密鑰進行多位。通過密鑰對密文的影響防止對密鑰進行分段破譯，而

8、明文對密文的影響用于隱藏明文分段破譯，而明文對密文的影響用于隱藏明文的統(tǒng)計特性。的統(tǒng)計特性。實現(xiàn)方法：重復(fù)地使用置換操作。實現(xiàn)方法：重復(fù)地使用置換操作?；煜夯煜菏侵赴衙芪牡慕y(tǒng)計特性與和密鑰之間的依賴關(guān)是指把密文的統(tǒng)計特性與和密鑰之間的依賴關(guān)系盡量復(fù)雜化，從而使統(tǒng)計分析攻擊不能奏效。系盡量復(fù)雜化，從而使統(tǒng)計分析攻擊不能奏效。實現(xiàn)方法：采用復(fù)雜的替代操作。實現(xiàn)方法：采用復(fù)雜的替代操作。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES3.DES算法設(shè)計中的基本變換和操作算法設(shè)計中的基本變換和操作置換置換(P)：重新排列輸入中的比特位置：重新排列輸入中的比特位置4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES

9、 擴展置換：在置換的同時對輸入比特進行擴展擴展置換：在置換的同時對輸入比特進行擴展4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES選擇置換：在置換的同時對輸入比特進行壓縮。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES循環(huán)移位：將輸入中的比特進行循環(huán)移位循環(huán)移位：將輸入中的比特進行循環(huán)移位作為輸出。作為輸出。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES交換交換(SW):將輸入的左右兩部分的比特進行將輸入的左右兩部分的比特進行互換互換替代：替代：4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES4.DES算法的描述算法的描述DES加密算法如下頁圖所示,由初始置換函數(shù)IP，子密鑰產(chǎn)生函數(shù)Ki，密碼函數(shù)（完成非線性變換

10、），逆初始置換函數(shù)IP-1四部分組成。（1 1）初始置換函數(shù)）初始置換函數(shù)IPIPDES對64位明文分組進行操作。首先，64位明文分組x經(jīng)過一個初始置換函數(shù)IP，產(chǎn)生64位的輸出x0，再將分組x0分成左半部分L0和右半部分R0，即： x0=IP(x)=L0R0 置換表如表2-1所示。此表順序為從上到下，從左至右。如初始置換把明文的第58位換至第1位，把第50位換至第二位，以此類推。64bit明文輸入明文輸入IP輸出輸出32bitL032bitR0L16=R15),(15161516RKFLR),(0101RKFLRL15=R14L1R0),(14151415RKFLRIP-1FFFK1(48b

11、it)K2(48bit)K16(48bit),(11iiiiRKFLR12344.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES58 50 42 34 26 18 10 260 52 44 36 28 20 12 462 54 46 38 30 22 14 664 56 48 40 32 24 16 857 49 41 33 25 17 9 159 51 43 35 27 19 11 361 53 45 37 29 21 13 563 55 47 39 31 23 15 7表2-1 IP初始置換4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES（2 2）獲取子密鑰）獲取子密鑰 DES加密算法的密鑰長度為56位

12、，但一般表示為64位，其中，每個第8位用于奇偶校驗。在DES加密算法中，將用戶提供的64位初始密鑰經(jīng)過一系列的處理得到K1，K2，K16，分別作為116輪運算的16個子密鑰?，F(xiàn)在來看如何獲得這16個子密鑰。 首先，將64位密鑰去掉8個校驗位，用密鑰置換PC1置換剩下的56位密鑰；再將56位分成前28位C0和后28位D0兩部分，即PC1(K56)=C0D0。密鑰置換PC-1如表2-2所示。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES表2-2 密鑰置換PC157 49 41 33 25 17 91 58 50 42 34 26 1810 2 59 51 43 35 2719 11 3 60 52 4

13、4 3663 55 47 39 31 23 157 62 54 46 38 30 2214 6 61 53 45 37 2921 13 5 28 20 12 4 4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES 接下來，根據(jù)輪數(shù)，這兩部分分別循環(huán)左移1位或2位。具體每輪移位的位數(shù)如表2-3所示。 表2-3 每輪移動的位數(shù) 輪次輪次 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 位數(shù)位數(shù) 1 1 2 2 2 2 2 2 1 2 2 2 2 2 2 1移動后，將兩部分合并成56位后通過壓縮置換PC2后得到48位子密鑰，即Ki=PC-2(CiDi)。壓縮置換如表2-4所示。

14、4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES表2-4 壓縮置換PC2 14 17 11 24 1 53 28 15 6 21 1023 19 12 4 26 816 7 27 20 13 241 52 31 37 47 5530 40 51 45 33 4844 49 39 56 34 5346 42 50 36 29 32圖4-4 子密鑰產(chǎn)生 56位密鑰PC-1C0D0左移左移C1D1PC-2K1左移左移CiDiPC-2Ki左移左移C16D16PC-2K164.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES（3 3）密碼函數(shù)）密碼函數(shù)F F1) 函數(shù)F的操作步驟 密碼函數(shù)F的輸入是32比特數(shù)據(jù)和48比

15、特的子密鑰，其操作步驟如圖2-5所示。v 擴展置換擴展置換(E)(E)：將數(shù)據(jù)的右半部分Ri從32位擴展為48位。位選擇函數(shù)(也稱E盒)如表2-5所示。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES圖2-5 F(Ri, Ki)計算 Ri1(32比特)E48比特S1S2S3S4S5S6S7S8Ki(48比特)P32比特輸出4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES表2-5 擴展置換(E) 32 1 2 3 4 54 5 6 7 8 98 9 10 11 12 1312 13 14 15 16 1716 17 18 19 20 2120 21 22 23 24 2524 25 26 27 28 292

16、8 29 30 31 32 14.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DESv異或異或: :擴展后的48位輸出E(Ri)與壓縮后的48位密鑰Ki作異或運算。vS S盒替代盒替代: :將異或得到的48位結(jié)果分成八個6位的塊，每一塊通過對應(yīng)的一個S盒產(chǎn)生一個4位的輸出。八個S盒如表2-6所示。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DESS盒的具體置換過程為：某個Si盒的6位輸入的第1位和第6位形成一個2位的二進制數(shù)(從0-3)，對應(yīng)表中的某一行；同時，輸入的中間4位構(gòu)成4位二進制數(shù)(從0-15)對應(yīng)表中的某一列(注意：行和列均從0開始計數(shù))。例如，第8個S盒的輸入為001011，前后2位形成的二進制數(shù)為

17、01，對應(yīng)第8個S盒的第1行；中間4位為0101，對應(yīng)同一S盒的第5列。從表2-6中可得S8盒的第1行第5列的數(shù)為3，于是就用0011代替原輸入001011。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES表 2-6 S 盒 S1盒14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 70 15 7 4 14 2 13 1 10 6 12 11 9 5 3 84 1 14 8 13 6 2 11 15 12 9 7 3 10 5 015 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13S2盒15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 1

18、03 13 4 7 15 2 8 14 12 0 1 10 6 9 11 50 14 7 11 10 4 13 1 5 8 12 6 9 3 2 1513 8 10 1 3 15 4 2 11 6 7 12 0 5 14 94.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DESS3盒10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 813 7 0 9 3 4 6 10 2 8 5 14 12 11 15 113 6 4 9 8 15 3 0 11 1 2 12 5 10 14 71 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12S4盒7 13 14 3 0 6

19、 9 10 1 2 8 5 11 12 4 1513 8 11 5 6 15 0 3 4 7 2 12 1 10 14 910 6 9 0 12 11 7 13 15 1 3 14 5 2 8 43 15 0 6 10 1 13 8 9 4 5 11 12 7 2 14S5盒2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 914 11 2 12 4 7 13 1 5 0 15 10 3 9 8 64 2 1 11 10 13 7 8 15 9 12 5 6 3 0 1411 8 12 7 1 14 2 13 6 15 0 9 10 4 5 34.3.1 數(shù)據(jù)加密標準數(shù)據(jù)

20、加密標準DESS6盒12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 1110 15 4 2 7 12 9 5 6 1 13 14 0 11 3 89 14 15 5 2 8 12 3 7 0 4 10 1 13 11 64 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13S7盒4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 113 0 11 7 4 9 1 10 14 3 5 12 2 15 8 61 4 11 13 12 3 7 14 10 15 6 8 0 5 9 26 11 13 8 1 4 10 7 9 5 0 15

21、14 2 3 12S8盒13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 71 15 13 8 10 3 7 4 12 5 6 11 0 14 9 27 11 4 1 9 12 14 2 0 6 10 13 15 3 5 82 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11輸入：輸入： 001011001011首尾兩位01中間四位0101輸出結(jié)果00114.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DESvP P盒置換：盒置換：將八個S盒的輸出連在一起生成一個32位的輸出，輸出結(jié)果再通過置換P產(chǎn)生一個32位的輸出即：F(Ri, Ki)。表2-7為P盒置換。至

22、此，密碼函數(shù)F的操作就完成了。 最后，將P盒置換的結(jié)果與最初的64位分組的左半部分異或，然后左、右半部分交換，接著開始下一輪計算。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES 表2-7 P盒置換 16 7 20 2129 12 28 171 15 23 265 18 31 102 8 24 1432 27 3 919 13 30 622 11 4 254.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES2) 2) 函數(shù)函數(shù)F F的設(shè)計的設(shè)計函數(shù)F是DES加密的核心，它依賴于S盒的設(shè)計。這也適用于其它的對稱分組加密算法。v F F的設(shè)計準則。的設(shè)計準則。非線性：輸入和輸出之間不存在任何線性關(guān)系或近似線性關(guān)系

23、，避免攻擊者用線性函數(shù)來逼進F的設(shè)計，從而推導(dǎo)出密鑰或明文內(nèi)容。嚴格雪崩準則(SAC)：算法具有良好的雪崩效應(yīng)，輸入當(dāng)中的一個比特發(fā)生變化都應(yīng)當(dāng)使輸出產(chǎn)生盡可能多的比特變化。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES比特獨立準則(BIC)：BIC的意思是當(dāng)單個輸入比特位i發(fā)生變化時，輸出比特位j,k的變化應(yīng)當(dāng)互相獨立，且對任意的i,j,k均應(yīng)成立。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES（4 4）逆初始置換函數(shù)）逆初始置換函數(shù)IPIP-1-1 逆初始置換是初始置換的逆變換。對L0和R0進行16輪完全相同的運算后，將得到的兩部分數(shù)據(jù)合在一起，經(jīng)過一個逆初始置換函數(shù)置換函數(shù)就可得到64位的密文c

24、，即： c=IP-1(R16L16) 表2-8列出了該變換。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES表2-8 逆初始置 換IP-140 8 48 16 56 24 64 3239 7 47 15 55 23 63 3138 6 46 14 54 22 62 3037 5 45 13 53 21 61 2936 4 44 12 52 20 60 2835 3 43 11 51 19 59 2734 2 42 10 50 18 58 2633 1 41 9 49 17 57 254.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES5. DES工作模式工作模式 DES密碼算法提供一種對明文分組進行加密運算的

25、手段，在實際應(yīng)用中（如對大塊數(shù)據(jù)進行加密等），DES算法作為一種基本構(gòu)件，采用不同的操作方式或組合方式才能真正起到保護數(shù)據(jù)的作用。DES主要有四種工作模式：電子密碼本(ECB)、密文分組鏈接(CBC)、密文反饋(CFB)和輸出反饋(OFB)。這四種工作模式同樣適用于其它分組密碼。 (1) (1) 電子密碼本電子密碼本ECB(Electronic Codebook)ECB(Electronic Codebook)模式模式 4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES最簡單的方式最簡單的方式 將明文劃分為定長分組，用同一密鑰分別對各個分將明文劃分為定長分組，用同一密鑰分別對各個分組加密組加密 解密過

26、程類似解密過程類似P1P2P3C1C2C3DESKDESKDESK圖26 電子密碼本ECB模式4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES特點特點 簡單簡單缺點：不夠安全缺點：不夠安全相同的明文分組將產(chǎn)生相同的密文分組相同的明文分組將產(chǎn)生相同的密文分組如果明文結(jié)構(gòu)化很強（如明文分組重復(fù)出現(xiàn)），密碼如果明文結(jié)構(gòu)化很強（如明文分組重復(fù)出現(xiàn)），密碼分析員就可以利用這種統(tǒng)計規(guī)律進行攻擊和篡改分析員就可以利用這種統(tǒng)計規(guī)律進行攻擊和篡改適用于加密少量的數(shù)據(jù)適用于加密少量的數(shù)據(jù)因為明文到密文的映射是固定的，類似于一個大的電因為明文到密文的映射是固定的，類似于一個大的電子密碼本（各種可能明文到密文的映射），因此

27、叫電子密碼本（各種可能明文到密文的映射），因此叫電子密碼本方式。子密碼本方式。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES(2) (2) 密文分組鏈接密文分組鏈接CBC(Ciper Block Chaining)CBC(Ciper Block Chaining)模模式式原理：原理： 將明文分組序列的處理過程連接起來 將前一個分組的處理結(jié)果引入到當(dāng)前分組的計算過程，目的隱藏明文的統(tǒng)計特性方法方法將當(dāng)前明文分組與前一個密文分組異或后，再進行加密4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DESC1C2C3P1P2P3DESKDESKKDESIV圖27 密文分組鏈接CBC模式（加密）4.3.1 數(shù)據(jù)加密標準數(shù)

28、據(jù)加密標準DESP1P2P3C1C2C3圖28 密文分組鏈接CBC模式（解密）DESKIVDESKDESK特點：特點： 隱藏明文的結(jié)構(gòu)和統(tǒng)計特征 適用于長報文的加密4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES(3) (3) 密文反饋密文反饋CFB(Ciper FeedBack)CFB(Ciper FeedBack)模式模式（如圖（如圖2 29 9）原理：將分組密碼用于構(gòu)成流密碼原理：將分組密碼用于構(gòu)成流密碼 一次加密一個單位（若干比特或字節(jié)）一次加密一個單位（若干比特或字節(jié)）(4) (4) 輸出反饋輸出反饋OFB(Output FeedBack)OFB(Output FeedBack)模式模式（

29、如圖（如圖2 21010）原理：與原理：與CFBCFB類似，差異在于反饋點不同，類似，差異在于反饋點不同，反饋的內(nèi)容與輸入的明文無關(guān)。反饋的內(nèi)容與輸入的明文無關(guān)。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES64PB164jjCB1IVj64jj64jj64jj64jjPB2CB2PB3CB3DESKDESKDESKjjjjj64移位寄存器圖29 密文反饋CFB模式4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES64PB164jjCB1IVj64jj64jj64jj64jjPB2CB2PB3CB3DESKDESKDESKjjjjj64移位寄存器圖210 輸出反饋OFB模式4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密

30、標準DES6. 多重多重DES（1 1）二重）二重DESDES二重DES是多重使用DES時最簡單的形式，如圖211所示。其中明文為P，兩個加密密鑰為K1和K2，密文為：解密時，以相反順序使用兩個密鑰：21 KKCEEP12 KKPDDC4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES圖圖211 二重二重DES4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES安全性：安全性：二重及多重二重及多重DESDES的等價問題？的等價問題？213 KKKEEPEP3K1992年證明使用二重DES產(chǎn)生的映射不會等價于單重DES加密。4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES中途相遇攻擊問題：中途相遇攻擊問題：如果有：那么

31、：21 KKCEEP12 KKXEPDC在實施中途相遇攻擊時，如果已知兩個明文密文對，則找到正確密鑰的概率為1-2-16。中途相遇攻擊中途相遇攻擊. .12 KKXEPDC)(1PEK1K2K)(2CDK4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES(2)(2)兩個密鑰的三重兩個密鑰的三重DESDES抵抗中途相遇攻擊的一種方法是使用3個不同的密鑰做3次加密，從而可使已知明文攻擊的代價增加到2112。但密鑰長度增加到563=168比特。一種實用的方法是僅使用兩個密鑰做3次加密，實現(xiàn)方式為加密解密加密，簡記為EDE( encryptdecryptencrypt)，見圖212，即：此方案已在密鑰管理標準

32、ANS X.917和ISO 8732中被采用。121 KKKCEDEP4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES圖圖2-12 2-12 兩個密鑰的三重兩個密鑰的三重DESDES4.3.1 數(shù)據(jù)加密標準數(shù)據(jù)加密標準DES三個密鑰的三重DES密鑰長度為168比特，加密方式為三個密鑰的三重DES已在因特網(wǎng)的許多應(yīng)用（如PGP和S/MIME）中被采用。(3) (3) 三個密鑰的三重三個密鑰的三重DESDES321 KKKCEDEP4.4 非對稱密碼算法非對稱密碼算法4.4.1 4.4.1 概述概述 非對稱密鑰體制的概念是由Stanford大學(xué)的研究人員Diffie與Hellman于1976年在其密碼學(xué)

33、的新方向中提出的。在這種體制中，采用兩個相關(guān)密鑰將加密和解密能力分開，其中一個密鑰是公開的，稱為公開密鑰，用于加密；另一個密鑰是為用戶專用，因而是保密的，稱為私有密鑰，用于解密。因為加密是公開的，又稱公開密鑰體制。 4.4.1 4.4.1 概述概述1.非對稱密碼體制（公開密鑰體制）產(chǎn)生的原因密鑰管理問題密鑰管理問題 怎樣得到通信密鑰？ N個人相互保密通信，需要保管大量的密鑰：網(wǎng)絡(luò)中共有密鑰N(N-1)/24.4.1 4.4.1 概述概述2.公開密鑰體制的特點公鑰密碼算法的基本工具是數(shù)學(xué)函數(shù)，而不是替代和置換。加密與解密兩個密鑰是不同的。僅知道加密算法和加密密鑰的情況下，要推斷解密密鑰在計算上是

34、不可行的。數(shù)字簽名問題考慮的是如何為數(shù)字化的消息或文件提供一種類似于為書面文件手書簽字的方法。4.4.1 4.4.1 概述概述3.公開密鑰體制的基本應(yīng)用（1）基于公開密鑰的保密通信Alice的公鑰Joy明文輸入 加密算法，如RSA傳輸密文解密算法明文輸出Alice的私鑰Bob的公鑰環(huán)TedAliceMike4.4.1 4.4.1 概述概述（2）基于公開密鑰的鑒別/認證Bob的公鑰Joy明文輸入 加密算法，如RSA傳輸密文解密算法明文輸出Bob的私鑰Alice的公鑰環(huán)TedBobMike4.4.2 RSA算法算法Whitefield Diffie和Martin Hellman 于1976年提出了

35、公鑰密碼系統(tǒng)的思想，然而他們并沒有給出一個實用的公鑰密碼系統(tǒng)。Diffie-Hellman的文章發(fā)表兩年后，MIT的Ronald Rivist、Adi Shamir和Len Adlemar開發(fā)出了第一個公鑰密碼體制。RSA密碼算法的思想：基于大整數(shù)因子分解的困難性，即求一對大素數(shù)的乘積很容易，但要對這個乘積進行因式分解則是幾千年來數(shù)論專家的一道難題。4.4.2 RSA算法算法1.算法描述算法描述（1 1）密鑰的產(chǎn)生）密鑰的產(chǎn)生 生成兩個保密的大素數(shù)p和q。 (不能公開） 計算這兩個素數(shù)的乘積n=pq。（可以公開）計算小于n并且與n互素的整數(shù)的個數(shù)，即歐拉函數(shù)(n)=(p-1)(q-1) 。選取

36、一個隨機數(shù)e，且1e(n)，并且e和(n)互素，即gcd(e,(n)=1。 （可以公開）計算d，滿足de1 mod (n),即d是e在模(n)下的乘法逆元，因e與(n)互素，由模運算可知，它的乘法逆元一定存在。 （不能公開）保密d、p和q，PKe,n,SKd,n。4.4.2 RSA算法算法（2 2）加密）加密加密時首先將明文比特串分組，使得每個分組對應(yīng)的十進制數(shù)小于n，即分組長度小于log2n。然后對每個明文分組m，作加密運算： c=me mod n（3 3）解密）解密對密文分組的解密運算為： m=cd mod n4.4.2 RSA算法算法2.RSA的安全性的安全性RSA的安全性是基于分解大整

37、數(shù)的困難性假定。如果RSA的模數(shù)n被成功地分解為pq，則立即獲得(n)=(p-1)(q-1)，從而能夠確定e模(n)的乘法逆元d，即de-1 mod (n)，因此攻擊成功。在對大數(shù)進行因數(shù)分解所花的時間上。一個b位的二進制的數(shù)n的因數(shù)分解大約需要機器周期數(shù)為： expln(n)ln(ln(n)1/2 若機器周期為1s,則b為不同的數(shù)值時分解n=2b所需的時間為： b(bit)100200300500750100030秒秒3天天9年年1兆年兆年2*109年年6*1015年年4.4.2 RSA算法算法隨著人類計算能力和分解算法的不斷提高，原來被認為是不可能分解的大數(shù)已被成功分解。例如RSA-129

38、（即n為129位十進制數(shù)，大約428個比特）已在網(wǎng)絡(luò)上通過分布式計算歷時8個月于1994年4月被成功分解，RSA-130 已于1996年4月被成功分解。因此，在使用RSA算法時對其密鑰的選取要特別注意其大小。估計在未來一段比較長的時期，密鑰長度介于1024比特至2048比特之間的RSA是安全的。4.4.2 RSA算法算法2.RSA的性能的性能軟件實現(xiàn)：比DES慢1000倍硬件實現(xiàn)：比DES慢100倍安全強度：DES密鑰長度（密鑰長度（bit)RSA密鑰長度（密鑰長度（bit）56384645121121792表211 同等強度的DES與RSA比較2.2.算法密鑰生成算法密鑰生成選取一個素數(shù)p計

39、算一個 的一個隨機乘法生成元g隨機選取一個xp計算4.4.3 離散（離散（DL）對數(shù)算法）對數(shù)算法1.ElGamal1.ElGamal公鑰算法概述公鑰算法概述1985年，由ElGamal提出可用于加密和數(shù)字簽名設(shè)計上的安全性基礎(chǔ)依賴于計算有限域上離散對數(shù)的困難性*pZpgyxmod4.4.3 離散（離散（DL）對數(shù)算法）對數(shù)算法p,g,y作為算法的加密密鑰（公鑰）x作為算法的解密密鑰（私鑰）pgckmod1pmyckmod2pccmxmod/123.3.加密加密對明文m進行以下計算：選擇一個隨機整數(shù)k其結(jié)果c1,c2就是m對應(yīng)的密文c，密文c的長度比明文增加了一倍4.4.解密解密對密文c1,c

40、2計算4.4.3 離散（離散（DL）對數(shù)算法）對數(shù)算法驗證如下（mod p）)(mod/)()/(/12pmgmggmycckxkxxkkx4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法1.橢圓曲線密碼體制概述橢圓曲線密碼體制概述ECCElliptic Curve Cryptography1985年Koblitz, Miller分別提出對RSA的地位提出了挑戰(zhàn)采用更小的密鑰長度取得與RSA相同的安全性更小的處理開銷數(shù)學(xué)描述復(fù)雜、深奧4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法ECC密鑰長度（bit)RSA密鑰長度（bit)破解時間（MIPS年）RSA/ECC密鑰尺寸比例1

41、065121045：1160102410117：12102048102010：160021000107835：1表表212 RSA/ECC等價強度的密鑰尺寸大小比較等價強度的密鑰尺寸大小比較4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法2.橢圓曲線的概念及分類橢圓曲線的概念及分類橢圓曲線不是橢圓，而是一個平面上的三次曲線， 是人們在研究如何計算橢圓的弧長時遇到的，因為這些曲線方程類似于計算一個橢圓周長的方程 ，所以稱為橢圓曲線。 通常，橢圓曲線是一個具有兩個變元x和y的三次方程，它是滿足：的所有點（x，y）的集合，外加一個無窮元點O(認為其y坐標無窮大)。其形狀如圖216所示edxc

42、xxbyaxyy2324.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法圖216 橢圓曲線的兩個例子4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法（1 1）實數(shù)域上的橢圓曲線）實數(shù)域上的橢圓曲線實數(shù)域上的橢圓曲線是對于固定的a,b值，滿足形如方程：的所有點（x，y）的集合，外加一個無窮遠點O。其中a，b是實數(shù)，且滿足(確保曲線是光滑的，即所有的點都沒有兩個或兩個以上的切線)，x和y在實數(shù)域取值。027432babaxxy324.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法（2 2）有限域）有限域F Fp p上的橢圓曲線上的橢圓曲線 有限域F Fp p上的橢圓曲線是對于固

43、定的a,b值，滿足形如方程：的所有點（x，y）的集合，外加一個無窮遠點O。其中a，b，x，y均在有限域Fp，即0,p-1上取值，且滿足 ，p是素數(shù)（大于3）。這類橢圓曲線常用Ep（a，b）表示。 很顯然，此類橢圓曲線只有有限個點N（稱為橢圓曲線的階，包括無窮遠點），N越大，安全性越高。 此類橢圓曲線一般適宜用軟件實現(xiàn)。 027432ba)(mod32pbaxxy4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法y2=x3+x+1 (mod 23)的圖像4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法（3 3）有限域）有限域上的橢圓曲線上的橢圓曲線 有限域 上的橢圓曲線是對于固定的

44、a,b值，滿足形如方程：的所有點（x，y）的集合，外加一個無窮遠點O。其中a，b，x，y均在有限域 上取值，且滿足 ，這類橢圓曲線常用 表示。 此類橢圓曲線只有有限個點。 域 上的元素是m位的二進制串，因此，此類橢圓曲線一般適宜用硬件實現(xiàn)。 027432babaxxxyy32mF2mF2mF2),(2baEmmF24.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法3.橢圓曲線的加法規(guī)則橢圓曲線的加法規(guī)則（橢圓曲線上點與點之間的關(guān)系）只要非負整數(shù)a和b，滿足橢圓曲線上的點（x，y）與一個稱為無窮遠點的O組成的群具有重要的“加法規(guī)則”屬性，即對于橢圓曲線上的任意兩個點：P1=(x1,y1)和

45、P2(x2,y2),存在第三個點P3=(x3,y3)=P1+P2也在該橢圓曲線上。0)(mod27432pba加法規(guī)則： O是加法單位元（additive identity)，即O= -O；對于一個在橢圓曲線上任何的點P，有P+O=P。三點共線：如果一個橢圓曲線上的三個點處于一條直線上，那么它們的和為O ,如下頁左圖。4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法加法逆元：它們與曲線在無窮遠點（即O點）相交，即),(1yxP 和),(2yxP的加法逆元是因此：有12122121PPPPOPPOOPPP1P24.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法兩個不同且不互逆的點相

46、加：如圖，顯然:yxR (x3, y3)P (x1, y1)Q (x2, y2)ORRRQPORQP即：4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法兩個相同的點相加：即沿P點作切線。顯然：yxR( x3, y3)P( x1, y1)OPPPRPPP232同里可計算：4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法4.橢圓曲線密碼體制橢圓曲線密碼體制（1 1）橢圓曲線離散對數(shù)問題）橢圓曲線離散對數(shù)問題已知橢圓曲線E和基點G，隨即選擇一個整數(shù)k，容易計算Q=kG，但給定Q和G計算k相當(dāng)困難。（2 2）系統(tǒng)建立和密鑰生成）系統(tǒng)建立和密鑰生成系統(tǒng)建立（參數(shù)生成）系統(tǒng)建立（參數(shù)生成）

47、選取一個基域Fp和定義在該域上的橢圓曲線Ep(a,b)及其上的一個擁有素數(shù)階n的點G（xG,yG）,其中有限域Fp，橢圓曲線參數(shù)a,b,點G和階n均是公開參數(shù)。4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法密鑰的生成密鑰的生成 在區(qū)間在區(qū)間1,n-11,n-1中隨機選取一個整數(shù)中隨機選取一個整數(shù)k k作為私鑰作為私鑰 計算計算Q=kG,Q=kG,即由私鑰計算出公鑰即由私鑰計算出公鑰 實體的公開密鑰為點實體的公開密鑰為點Q,Q,私鑰是整數(shù)私鑰是整數(shù)k k。離散對數(shù)的難。離散對數(shù)的難解性保證了在已知公鑰的情況下不能計算出私鑰解性保證了在已知公鑰的情況下不能計算出私鑰k k（3 3）橢圓曲

48、線加）橢圓曲線加/ /解密解密4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法用戶用戶A A選選n nA A作為私鑰，并以作為私鑰，并以P PA A=n=nA AG G作為公開鑰。作為公開鑰。加密：加密：任一用戶任一用戶B B若想向若想向A A發(fā)送消息發(fā)送消息m m，應(yīng)先將，應(yīng)先將m m編碼為橢圓曲線編碼為橢圓曲線上的一個點上的一個點P Pm m，然后將，然后將P Pm m看作明文加密成密文消息看作明文加密成密文消息C Cm m?？蛇x取一隨機正整數(shù)可選取一隨機正整數(shù)k k，產(chǎn)生以下點對作為密文：，產(chǎn)生以下點對作為密文： ,2121CCCkPPCkGCmAmmAAmAAmAPkGnGkn

49、PkGnkPPCnC12解密：解密：A A解密時解密時, ,以密文點對中的第二個點減去用自己的秘密鑰與以密文點對中的第二個點減去用自己的秘密鑰與第一個點的倍乘，即：第一個點的倍乘，即：4.4.3 橢圓曲線（橢圓曲線（EC）加密算法）加密算法安全性保證：安全性保證：攻擊者若想由攻擊者若想由C Cm m得到得到P Pm m，就必須知道，就必須知道n nA A。而要。而要得到得到n nA A，只有通過橢圓曲線上的兩個已知點，只有通過橢圓曲線上的兩個已知點G G和和P PA A ，這意，這意味著必須求橢圓曲線上的離散對數(shù)，因此不可行。味著必須求橢圓曲線上的離散對數(shù)，因此不可行。4.4.3 橢圓曲線（橢

50、圓曲線（EC）加密算法）加密算法（4 4）橢圓曲線密碼體制的應(yīng)用：密鑰分發(fā)）橢圓曲線密碼體制的應(yīng)用：密鑰分發(fā)例：（略）分發(fā)問題體制中難以解決的密鑰很好的解決了對稱密鑰）（因為和鑰為各自分別產(chǎn)生的共享密和公開做為私鑰，公鑰的隨機數(shù)選擇一個小于公開做為私鑰，公鑰的隨機數(shù)選擇一個小于通信：想與假設(shè)ABABBABAABBABBBAAAPnGnnGnnPnPnKPnKBAGnPnnBGnPnnABA)(,:4.5 密鑰管理密鑰管理1.密鑰管理的必要性密鑰管理的必要性(1)密鑰管理是信息系統(tǒng)安全性的重要因素密鑰管理是信息系統(tǒng)安全性的重要因素 信息加密系統(tǒng)的安全性取決于：信息加密系統(tǒng)的安全性取決于： 算法的

51、安全性算法的安全性 密鑰使用和管理的安全性。密鑰使用和管理的安全性。 算法確定的條件下，保密系統(tǒng)的安全性取決于算法確定的條件下，保密系統(tǒng)的安全性取決于密鑰使用和管理的安全性密鑰使用和管理的安全性。(2)保護好密鑰比保護好算法要容易得多。保護好密鑰比保護好算法要容易得多。 算法是公開的，密鑰是保密的。算法是公開的，密鑰是保密的。(3)可以使用不同的密鑰保護不同的秘密?？梢允褂貌煌拿荑€保護不同的秘密。一個秘密信息的密鑰被攻擊，不會影響到其他的一個秘密信息的密鑰被攻擊，不會影響到其他的秘密信息。秘密信息。 4.5.1 密鑰管理概述密鑰管理概述包括密鑰的生成、存儲、分配、使用、備份包括密鑰的生成、存

52、儲、分配、使用、備份/恢恢復(fù)、更新、撤銷、銷毀等。其中復(fù)、更新、撤銷、銷毀等。其中分配分配和和存儲存儲是最棘是最棘手的問題。手的問題。2.密鑰管理的含義密鑰管理的含義密鑰管理處理從密鑰產(chǎn)生到最終銷毀的整個過程密鑰管理處理從密鑰產(chǎn)生到最終銷毀的整個過程的有關(guān)問題。的有關(guān)問題。(1)密鑰的生成密鑰的生成 好的密鑰：好的密鑰：應(yīng)當(dāng)具有良好的隨機性和密碼特性，避免應(yīng)當(dāng)具有良好的隨機性和密碼特性，避免弱密鑰的出現(xiàn)。弱密鑰的出現(xiàn)。 4.5.1 密鑰管理概述密鑰管理概述 怎樣產(chǎn)生好的密鑰？怎樣產(chǎn)生好的密鑰？ 真正隨機、等概：如擲硬幣、擲骰子、從隨機表中真正隨機、等概：如擲硬幣、擲骰子、從隨機表中選取等。選取

53、等。 通過密鑰生成器借助某種噪聲源（光標或鼠標的位通過密鑰生成器借助某種噪聲源（光標或鼠標的位置、內(nèi)存的狀態(tài)、上次按下的鍵、聲音大?。┊a(chǎn)生置、內(nèi)存的狀態(tài)、上次按下的鍵、聲音大?。┊a(chǎn)生具有較好統(tǒng)計分布特性的序列，然后再對這些序列具有較好統(tǒng)計分布特性的序列，然后再對這些序列進行各種隨機性檢驗。進行各種隨機性檢驗。 采用密鑰揉搓或雜湊技術(shù)，將易記的長句子，經(jīng)單采用密鑰揉搓或雜湊技術(shù)，將易記的長句子，經(jīng)單向函數(shù)變換成偽隨機數(shù)串。向函數(shù)變換成偽隨機數(shù)串。4.5.1 密鑰管理概述密鑰管理概述(2)密鑰的安全存儲密鑰的安全存儲（對靜態(tài)密鑰的保護）（對靜態(tài)密鑰的保護） 基于口令的軟保護基于口令的軟保護基于用戶

54、口令，使用對稱密鑰算法來加密密鑰。基于用戶口令，使用對稱密鑰算法來加密密鑰。一般步驟為一般步驟為 輸入口令輸入口令 用用RNG或或PRNG生成一個生成一個“鹽值鹽值”SALT 用一個混合算法將用一個混合算法將SALT和口令混合在一起，大多數(shù)情和口令混合在一起，大多數(shù)情況下混合算法的處理結(jié)果是一個消息摘要。況下混合算法的處理結(jié)果是一個消息摘要。 從上一步的隨機輸出的結(jié)果中選取一定的位數(shù)作為密從上一步的隨機輸出的結(jié)果中選取一定的位數(shù)作為密鑰加密密鑰，加密其他密鑰。鑰加密密鑰，加密其他密鑰。 扔掉生成的密鑰，保護好口令和扔掉生成的密鑰，保護好口令和SALT以備解密。以備解密。 引入引入SALT的目的

55、：防止預(yù)計算。的目的：防止預(yù)計算。4.5.1 密鑰管理概述密鑰管理概述口令口令混合器混合器密鑰加密密鑰密鑰加密密鑰SALTPRNGKEK4.5.1 密鑰管理概述密鑰管理概述 基于硬件的物理保護基于硬件的物理保護 將密鑰存儲于與計算機相分離的某種物理設(shè)備中，將密鑰存儲于與計算機相分離的某種物理設(shè)備中，以實現(xiàn)密鑰的物理隔離保護。以實現(xiàn)密鑰的物理隔離保護。實現(xiàn)方式：實現(xiàn)方式：將密鑰存儲于磁條卡中。將密鑰存儲于磁條卡中。將密鑰存儲于帶將密鑰存儲于帶ROM芯片的智能卡中。芯片的智能卡中。將密鑰存儲于專用將密鑰存儲于專用USB磁盤中。磁盤中。 將密鑰分成兩部分，一半存入終端，一半存入將密鑰分成兩部分，一半

56、存入終端，一半存入ROM密鑰卡上。密鑰卡上。 優(yōu)點：優(yōu)點：平常攻擊者不能訪問到他們，因為他們并不與因特網(wǎng)平常攻擊者不能訪問到他們，因為他們并不與因特網(wǎng)連接，可以防止遠程攻擊。連接，可以防止遠程攻擊。4.5.1 密鑰管理概述密鑰管理概述這些物理設(shè)備本身還可受到口令或這些物理設(shè)備本身還可受到口令或PIN的保護，具有的保護，具有防御功能。防御功能。如果有人試圖物理地訪問其存儲空間，設(shè)備將自動如果有人試圖物理地訪問其存儲空間，設(shè)備將自動銷毀。銷毀。即使這些物理設(shè)備最終也要連接到計算機，并最終即使這些物理設(shè)備最終也要連接到計算機，并最終連接到網(wǎng)絡(luò)，但連接時間較短，不容易收到攻擊。連接到網(wǎng)絡(luò)，但連接時間較

57、短，不容易收到攻擊。(3)密鑰的更換密鑰的更換 密鑰的使用時間越長，泄漏的機會越大；一旦泄密鑰的使用時間越長，泄漏的機會越大；一旦泄漏，密鑰使用越久，損失越大，因此，密鑰要定期更漏，密鑰使用越久，損失越大，因此，密鑰要定期更換。換。4.5.1 密鑰管理概述密鑰管理概述密鑰更換的頻率依賴于：密鑰更換的頻率依賴于： 被保護數(shù)據(jù)的敏感性；安全性越高，密鑰更換越頻繁。被保護數(shù)據(jù)的敏感性；安全性越高，密鑰更換越頻繁。 被保護數(shù)據(jù)的有效期：如，密鑰加密密鑰就無需頻繁被保護數(shù)據(jù)的有效期：如，密鑰加密密鑰就無需頻繁更換，因為他們只是偶爾用作密鑰交換。更換，因為他們只是偶爾用作密鑰交換。 密鑰算法的力量：用密鑰

58、算法的力量：用DES算法的系統(tǒng)與用算法的系統(tǒng)與用AES算法的算法的系統(tǒng)相比，密鑰應(yīng)該更換的更頻繁。系統(tǒng)相比，密鑰應(yīng)該更換的更頻繁。(4)密鑰的銷毀密鑰的銷毀 銷毀的原因：銷毀的原因： 別人可用他來讀原來曾用他加密的文件。別人可用他來讀原來曾用他加密的文件。 舊密鑰有利于分析密碼體制舊密鑰有利于分析密碼體制 銷毀的方法銷毀的方法4.5.1 密鑰管理概述密鑰管理概述(5)密鑰的吊銷密鑰的吊銷 如果密鑰丟失或因其他原因在密鑰未過期之前，需如果密鑰丟失或因其他原因在密鑰未過期之前，需要將它從正常運行使用的集合中除去，稱為密鑰吊銷。要將它從正常運行使用的集合中除去，稱為密鑰吊銷。 采用證書的公鑰可以通過

59、公布一個公鑰撤銷列表來采用證書的公鑰可以通過公布一個公鑰撤銷列表來實現(xiàn)。實現(xiàn)。 用高質(zhì)量碎紙機粉碎記錄密鑰的紙張。用高質(zhì)量碎紙機粉碎記錄密鑰的紙張。對于硬盤、對于硬盤、EEPROM要進行多次沖寫等。要進行多次沖寫等。4.5.2 密鑰的協(xié)商與分發(fā)密鑰的協(xié)商與分發(fā)密鑰協(xié)商密鑰協(xié)商 1.密鑰協(xié)商與分發(fā)的基本概念密鑰協(xié)商與分發(fā)的基本概念A(yù)B協(xié)商的結(jié)果：參與雙方（或多方）都可得到相同的協(xié)商的結(jié)果：參與雙方（或多方）都可得到相同的密鑰，任何其他非參與方都不能得到密鑰。密鑰，任何其他非參與方都不能得到密鑰。 是指保密雙方（或多方）通過公開信道的通信來共同是指保密雙方（或多方）通過公開信道的通信來共同形成秘密

60、密鑰的過程。一個密鑰協(xié)商方案中，密鑰的形成秘密密鑰的過程。一個密鑰協(xié)商方案中，密鑰的值是某個函數(shù)值，其輸入是兩個（或多個）成員提供。值是某個函數(shù)值，其輸入是兩個（或多個）成員提供。4.5.2 密鑰的協(xié)商與分發(fā)密鑰的協(xié)商與分發(fā)密鑰分發(fā)密鑰分發(fā) ABC是指保密通信中的一方或可信第三方生成并選擇秘是指保密通信中的一方或可信第三方生成并選擇秘密密鑰，然后把該密鑰發(fā)送給通信參與的其他一方密密鑰，然后把該密鑰發(fā)送給通信參與的其他一方或多方的機制?；蚨喾降臋C制。4.5.2 密鑰的協(xié)商與分發(fā)密鑰的協(xié)商與分發(fā) 秘密密鑰的分發(fā)秘密密鑰的分發(fā) 公開密鑰的分發(fā)公開密鑰的分發(fā)2.密鑰分發(fā)的方式密鑰分發(fā)的方式3.秘密密鑰