現(xiàn)代密碼學(xué)考試總結(jié)材料

1、word密碼主要功能：1 .某某性：指保證信息不泄露給非授權(quán)的用戶或?qū)嶓w，確保存儲(chǔ)的信息和傳輸?shù)男畔H能被授權(quán)的各方得到，而非授權(quán)用戶即使得到信息也無法知曉信息內(nèi)容，不能使用。2 .完整性：是指信息未經(jīng)授權(quán)不能進(jìn)展改變的特征，維護(hù)信息的一致性，即信息在生成、傳輸、存儲(chǔ)和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改（插入、替換、刪除、重排序等），如果發(fā)生，能夠與時(shí)發(fā)現(xiàn)。3 .認(rèn)證性：是指確保一個(gè)信息的來源或源本身被正確地標(biāo)識(shí)，同時(shí)確保該標(biāo)識(shí)的真實(shí)性，分為實(shí)體認(rèn)證和消息認(rèn)證。消息認(rèn)證：向接收方保證消息確實(shí)來自于它所宣稱的源；實(shí)體認(rèn)證：參與信息處理的實(shí)體是可信的，即每個(gè)實(shí)體確實(shí)是它所宣稱的那個(gè)實(shí)體，使

2、得任何其它實(shí)體不能假冒這個(gè)實(shí)體。4 .不可否認(rèn)性：是防止發(fā)送方或接收方抵賴所傳輸?shù)男畔?，要求無論發(fā)送方還是接收方都不能抵賴所進(jìn)展的行為。因此，當(dāng)發(fā)送一個(gè)信息時(shí)，接收方能證實(shí)該信息確實(shí)是由所宣稱的發(fā)送方發(fā)來的；當(dāng)接收方收到一個(gè)信息時(shí)，發(fā)送方能夠證實(shí)該信息確實(shí)送到了指定的接收方。信息安全：指信息網(wǎng)絡(luò)的硬件、軟件與其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露、否認(rèn)等，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全的理論根底是密碼學(xué)，根本解決，密碼學(xué)理論對(duì)稱密碼技術(shù)一一分組密碼和序列密碼一一某某性；消息認(rèn)證碼一一完整性，認(rèn)證性；數(shù)字簽名技術(shù)一一完整性，認(rèn)證性，不可否認(rèn)性；1

3、949年Shannon發(fā)表題為某某系統(tǒng)的通信理論1976年后，美國數(shù)據(jù)加密標(biāo)準(zhǔn)DES的公布使密碼學(xué)的研究公開，密碼學(xué)得到了迅速開展。1976年，Diffe和Hellman發(fā)表了密碼學(xué)的新方向，提出了一種新的密碼設(shè)計(jì)思想，從而開創(chuàng)了公鑰密碼學(xué)的新紀(jì)元。置換密碼置換密碼的特點(diǎn)是保持明文的所有字符不變，只是利用置換打亂了明文字符的位置和次序。列置換密碼和周期置換密碼使用密碼設(shè)備必備四要素：安全、性能、本錢、方便。密碼體制的根本要求：1 .密碼體制既易于實(shí)現(xiàn)又便于使用，主要是指加密函數(shù)和解密函數(shù)都可以高效地計(jì)算。2 .密碼體制的安全性是依賴密鑰的安全性，密碼算法是公開的。3 .密碼算法安全強(qiáng)度高，也就

4、是說，密碼分析者除了窮舉搜索攻擊外再找不到更好的攻擊方法。4 .密鑰空間應(yīng)足夠大，使得試圖通過窮舉密鑰空間進(jìn)展搜索的方式在計(jì)算上不可行。密碼算法公開的意義：有利于增強(qiáng)密碼算法的安全性；有利于密碼技術(shù)的推廣應(yīng)用；有利于增加用戶使用的信心；有利于密碼技術(shù)的開展。嫡的性質(zhì)：H(X,Y尸H(Y)+H(X|Y)=H(X)+H(Y|X)H(K|C尸H(K)+H(P)-H(C)密碼攻擊類型惟密文攻擊(CiphertextOnlyAttack)(僅僅搭線竊聽)密碼分析者除了擁有截獲的密文外密碼算法是公開的，以下同，沒有其它可以利用的信息。明文攻擊(KnownPlaintextAttack)(有內(nèi)奸)密碼分析者

5、不僅掌握了相當(dāng)數(shù)量的密文，還有一些的明-密文對(duì)可供利用。選擇明文攻擊(ChosenPlaintextAttack)(暫時(shí)控制加密機(jī))密碼分析者不僅能夠獲得一定數(shù)量的明-密文對(duì)，還可以選擇任何明文并在使用同一未知密鑰的情況下能得到相應(yīng)的密文。選擇密文攻擊(ChosenCiphertextAttack)(暫時(shí)控制解密機(jī))密碼分析者能選擇不同被加密的密文，并還可得到對(duì)應(yīng)的明文，密碼分析者的任務(wù)是推出密鑰與其它密文對(duì)應(yīng)的明文。選擇文本攻擊(ChosenTextAttack)(暫時(shí)控制加密機(jī)和解密機(jī))它是選擇明文攻擊和選擇密文攻擊的組合，即密碼分析者在掌握密碼算法的前提下，不僅能夠選擇明文并得到對(duì)應(yīng)的密

6、文，而且還能選擇密文得到對(duì)應(yīng)的明文。攻擊密碼體制的常用方法窮舉攻擊統(tǒng)計(jì)分析攻擊數(shù)學(xué)分析攻擊密碼體制安全性：無條件安全性，計(jì)算安全性，可證明安全性分組密碼的要求：分組長度要足夠大密鑰量要足夠大密碼變換足夠復(fù)雜加密和解密運(yùn)算簡(jiǎn)單無數(shù)據(jù)擴(kuò)展或壓縮分組密碼的設(shè)計(jì)思想擴(kuò)散和混亂擴(kuò)散：是指要將算法設(shè)計(jì)成明文每一比特的變化盡可能多地影響到輸出密文序列的變化，以便隱蔽明文的統(tǒng)計(jì)特性。形象地稱為雪崩效應(yīng)。擴(kuò)散的另一層意思是密鑰每一位的影響盡可能迅速地?cái)U(kuò)展到較多的密文比特中去。混亂：指在加解密變換過程中明文、密鑰以與密文之間的關(guān)系盡可能地復(fù)雜化，以防密碼破譯者采用解析法(即通過建立并求解一些方程)進(jìn)展破譯攻擊。分

7、組密碼算法應(yīng)有復(fù)雜的非線性因素。輪函數(shù)根本準(zhǔn)如此：非線性，可逆性，雪崩效應(yīng)DES分組加密算法：明文和密文為64位分組長度。密鑰長度：56位采用混亂和擴(kuò)散的組合，每個(gè)組合先代換后置換，共16輪?；パa(bǔ)性會(huì)使DES在選擇明文攻擊下所需的工作量減半。如果給定初始密鑰k,經(jīng)子密鑰產(chǎn)生器產(chǎn)生的各個(gè)子密鑰都一樣，即有k1=k2=-=k16,如此稱給定的初始密鑰k為弱密鑰。假設(shè)k為弱密鑰，如此對(duì)任意的64bit信息有：Ek(Ek(m)戶m和Dk(Dk(m)尸m。假設(shè)給定初始密鑰k,產(chǎn)生的16個(gè)子密鑰只有兩種，且每種都出現(xiàn)8次，如此稱k為半弱密鑰。半弱密鑰的特點(diǎn)是成對(duì)出現(xiàn)，且具有下述性質(zhì)：假設(shè)ki和k2為一對(duì)半

8、弱密鑰，m為明文組，如此有：Ek2(Eki(m)=Eki(Ek2(m)=m。差分分析：是分析一對(duì)給定明文的異或?qū)?yīng)位不同的個(gè)數(shù)稱為差分與對(duì)應(yīng)密文對(duì)的異或之間的統(tǒng)計(jì)相關(guān)性。3DESW點(diǎn)：優(yōu)點(diǎn)：1.密鑰長度增加到112位或168位，克制了DES面臨的窮舉攻擊。2 .相對(duì)于DES增強(qiáng)了抗差分分析和線性分析等的能力。3 .由于DES已經(jīng)大規(guī)模使用，升級(jí)到3DES比更新新算法本錢小得多。4 .DES比其它任何加密算法受到的分析時(shí)間都長的多，相應(yīng)地，3DES元分析能力更強(qiáng)。不足：1.3DES處理速度較慢。2.雖然密鑰長度增加了，但明文分組長度沒變，與密鑰長度的增長不匹配。AES分組長度、密鑰長度、輪數(shù)的關(guān)

9、系：分組長度：128位密鑰長度，輪數(shù)：128,10;192,12;256,14每輪由四個(gè)階段組成：字節(jié)代換、行位移、列混淆、輪密鑰加。DES是面向比特的運(yùn)算，AES是面向字節(jié)的運(yùn)算。二重DES并不像人們相像那樣可提高密鑰長度到112比特，而相當(dāng)57比特。分組密碼的操作模式ECB模式操作簡(jiǎn)單，主要用于內(nèi)容較短且隨機(jī)的報(bào)文的加密傳遞；一樣明文在一樣密鑰下得出一樣的密文，即明文中的重復(fù)內(nèi)容可能將在密文中表現(xiàn)出來，易實(shí)現(xiàn)統(tǒng)計(jì)分析攻擊、分組重放攻擊和代換攻擊；依賴性：各組的加密都獨(dú)立于其它分組，可實(shí)現(xiàn)并行處理；錯(cuò)誤傳播：?jiǎn)蝹€(gè)密文分組中有一個(gè)或多個(gè)比特錯(cuò)誤只會(huì)影響該分組的解密結(jié)果。CBC瘠文分組和明文分組

10、異或彳#到下一個(gè)密文分組)一種反應(yīng)機(jī)制在分組密碼中的應(yīng)用，每個(gè)密文分組不僅依賴于產(chǎn)生它的明文分組，還依5 / 17word賴于它前面的所有分組；一樣的明文，即使一樣的密鑰下也會(huì)得到不同的密文分組，隱藏了明文的統(tǒng)計(jì)特性；依賴性：對(duì)于一個(gè)正確密文分組的正確解密要求它之前的那個(gè)密文分組也正確，不能實(shí)現(xiàn)并行處理；錯(cuò)誤傳播：密文分組中的一個(gè)單比特錯(cuò)誤會(huì)影響到本組和其后分組的解密，錯(cuò)誤傳播為兩組；初始化向量IV不需要某某，它可以明文形式與密文一起傳送。CTR:效率高：能夠并行處理多塊明（密）文，可用來提供像流水線、每個(gè)時(shí)鐘周期的多指令分派等并行特征；預(yù)處理：根本加密算法的執(zhí)行并不依靠明文或密文的輸入，可預(yù)

11、先處理，當(dāng)給出明文或密文時(shí)，所需的計(jì)算僅是進(jìn)展一系列的異或運(yùn)算；隨機(jī)訪問：密文的第i個(gè)明文組能夠用一種隨機(jī)訪問的方式處理；簡(jiǎn)單性：只要某某現(xiàn)加密算法而不要某某現(xiàn)解密算法，像AES這類加解密算法不同就更能表現(xiàn)CTR的簡(jiǎn)單性。CFB:消息被看作bit流，不需要整個(gè)數(shù)據(jù)分組在承受完后才能進(jìn)行加解密；可用于自同步序列密碼；具有CBC莫式的優(yōu)點(diǎn)；對(duì)信道錯(cuò)誤較敏感且會(huì)造成錯(cuò)誤傳播；數(shù)據(jù)加解密的速率降低，其數(shù)據(jù)率不會(huì)太高。OFB:OFB模式是CFBII式的一種改良，克制由錯(cuò)誤傳播帶來的問題，但對(duì)密文被篡改難于進(jìn)6/17word展檢測(cè)；OFB模式不具有自同步能力，要求系統(tǒng)保持嚴(yán)格的同步，否如此難于解密；初始向

12、量IV無需某某，但各條消息必須選用不同的IV?？偨Y(jié)：ECB是最快、最簡(jiǎn)單的分組密碼模式，但它的安全性最弱，一般不推薦使用ECB加密消息,但如果是加密隨機(jī)數(shù)據(jù)，如密鑰，ECB如此是最好的選擇。CBC適合文件加密，而且有少量錯(cuò)誤時(shí)不會(huì)造成同步失敗，是軟件加密的最好選擇。CTR結(jié)合ECB和CBC勺優(yōu)點(diǎn)，最近為人們所重視，在ATM網(wǎng)絡(luò)和IPSec中起了重要作用。CFB通常是加密字符序列所選擇的模式，它也能容忍少量錯(cuò)誤擴(kuò)展，且具有同步恢復(fù)功能。OFB是在極易出錯(cuò)的環(huán)境中選用的模式，但需有高速同步機(jī)制。序列密碼屬于對(duì)稱密碼體制，又稱為流密碼。特點(diǎn)：1 .加解密運(yùn)算只是簡(jiǎn)單的模二加（異或）運(yùn)算。2 .密碼安

13、全強(qiáng)度主要依賴密鑰序列的安全性。密鑰序列產(chǎn)生器（KG服本要求：種子密鑰K的長度足夠長，一般應(yīng)在128位以上（抵御窮舉攻擊）；密鑰序列產(chǎn)生器KG生成的密鑰序列ki具極大周期；密鑰序列ki具有均勻的n-元分布，即在一個(gè)周期內(nèi)，某特定形式的n-長bit串與其求反,兩者出現(xiàn)的頻數(shù)大抵相當(dāng)；由密鑰序列ki提取關(guān)于種子密鑰K的信息在計(jì)算上不可行；雪崩效應(yīng)。即種子密鑰K任一位的改變要引起密鑰序列ki在全貌上的變化；密鑰序列ki不可預(yù)測(cè)的。密文與相應(yīng)的明文的局部信息，不能確定整個(gè)密鑰序列ki。只要選擇適宜的反應(yīng)函數(shù)才可使序列的周期達(dá)到最大值2n-1,周期達(dá)到最大值的序列稱為m序列。m-序列特性：0,1平衡性：

14、在一個(gè)周期內(nèi)，0、1出現(xiàn)的次數(shù)分別為2n1-1和2n-1。游程特性：在一個(gè)周期內(nèi)，總游程數(shù)為2n1;對(duì)1WiWn-2,長為i的游程有2n-i-1個(gè)，且0、1游程各半；長為n-1的0游程一個(gè)，長為n的1游程一個(gè)。非線性序列：為了使密鑰流生成器輸出的二元序列盡可能隨機(jī)，應(yīng)保證其周期盡可能大、線性復(fù)雜度和不可預(yù)測(cè)性盡可能高。RC4是RSA數(shù)據(jù)安全公司開發(fā)的可變密鑰長度的序列密碼，是世界上使用最廣泛的序列密碼之一.為了保證安全強(qiáng)度，目前的RC4至少使用128位種子密鑰。序列密碼特點(diǎn)：安全強(qiáng)度取決于密鑰序列的隨機(jī)性；線性反應(yīng)移位存放器理論上能夠產(chǎn)生周期為2n-1的偽隨機(jī)序列，有較理想的數(shù)學(xué)分析；為了使密

15、鑰流盡可能復(fù)雜，其周期盡可能長，復(fù)雜度和不可預(yù)測(cè)盡可能高，常使用多個(gè)LFSR構(gòu)造非線性組合系統(tǒng)；在某些情況下，譬如緩沖不足或必須對(duì)收到字符進(jìn)展逐一處理時(shí)，序列密碼就顯得更加必要和恰當(dāng)。在硬件實(shí)施上，不需要有很復(fù)雜的硬件電路，實(shí)時(shí)性好，加解密速度快，序列密碼比分組密碼更有優(yōu)勢(shì)。公鑰密碼之前：都是基于代換和換位這兩個(gè)根本方法，建立在字符或位方式的操作上。公鑰密碼算法是建立在數(shù)學(xué)函數(shù)根底上的，而不是建立在字符或位方式的操作上的，是以非對(duì)稱的形式使用加密密鑰和解密密鑰，這兩個(gè)密鑰的使用對(duì)密鑰管理、認(rèn)證等都有著深刻的實(shí)際意義。對(duì)稱密碼缺陷：秘鑰分配問題，秘鑰管理問題，數(shù)字簽名問題；背包算法是第一個(gè)公開秘

16、鑰算法。RSA:RSA雖稍后于MH背包公鑰系統(tǒng)，但它是到目前為止應(yīng)用最廣的一種公鑰密碼。RSA的理論根底是數(shù)論的歐拉定理，它的安全性依賴于大整數(shù)的素因子分解的困難性。歐拉定理：假設(shè)整數(shù)a和n互素，如此逑=1(modn)RSA秘鑰長度1024位。曰Gamal公鑰密碼基于有限域上離散對(duì)數(shù)問題的公鑰密碼體制?；谟邢抻虻碾x散對(duì)數(shù)公鑰密碼又稱ElGamal（厄格王爾）算法。ElGamal算法的安全性依賴于計(jì)算有限域上的離散對(duì)數(shù)。ElGamal算法的離散對(duì)數(shù)問題等同RSA的大數(shù)分解問題。ElGamal算法既可用于數(shù)字簽名又可用于加密，但更多地應(yīng)用在數(shù)字簽名中。目前密鑰長度1024位是安全的。ECC安全性

17、能更高160位等同RSA的1024位公鑰密碼學(xué)解決了秘鑰分發(fā)和不可否認(rèn)問題。公鑰證書較好地解決了公鑰的真實(shí)性問題。舊E便于身份加密）基于身份的密碼系統(tǒng)中，用戶的公鑰是一些公開的可以唯一確定用戶身份的信息，一般這些信息稱為用戶的身份（ID）。在實(shí)際應(yīng)用中，用戶的身份可以是某某、某某、IP地址、電子地址等作為公鑰。用戶的私鑰通過一個(gè)被稱作私鑰生成器PKG（PrivateKeyGenerator）的可信任第三方進(jìn)展計(jì)算得到。在這個(gè)系統(tǒng)中，用戶的公鑰是一些公開的身份信息，其他用戶不需要在數(shù)據(jù)庫中查找用戶的公鑰，也不需要對(duì)公鑰的真實(shí)性進(jìn)展檢驗(yàn)。優(yōu)點(diǎn)：公鑰的真實(shí)性容易實(shí)現(xiàn)，大大簡(jiǎn)化了公鑰的管理。不足：身份

18、確認(rèn)本來就是一件復(fù)雜的事情，尤其用戶數(shù)量很大時(shí)難以保證。也就是說，HE適合應(yīng)用于用戶群小的場(chǎng)合?？尚诺谌饺绾伟踩貙⒂脩舻乃借€送到用戶的手中。用戶私鑰由可信第三方生成和掌握，不具備唯一性，實(shí)現(xiàn)不可否認(rèn)性時(shí)易引發(fā)爭(zhēng)議。公鑰密碼的優(yōu)點(diǎn)(與對(duì)稱密碼相比)1 .密鑰分發(fā)簡(jiǎn)單；2 .需秘密保存的密鑰量減少；3 .可以實(shí)現(xiàn)數(shù)字簽名和認(rèn)證的功能。公鑰密碼的不足(與對(duì)稱密碼相比)公鑰密碼算法比對(duì)稱密碼算法慢；公鑰密碼算法提供更多的信息對(duì)算法進(jìn)展攻擊，如公鑰密碼算法對(duì)選擇明文攻擊是脆弱的，尤其明文集比擬小時(shí)；有數(shù)據(jù)擴(kuò)展；公鑰密碼算法一般是建立在對(duì)一個(gè)特定的數(shù)學(xué)難題求解上，往往這種困難性只是一種設(shè)想。哈希函數(shù)：

19、單向性，輸出長度固定，：數(shù)據(jù)指紋，實(shí)現(xiàn)數(shù)據(jù)完整性和數(shù)字簽名。性質(zhì)：輸入：消息是任意有限長度。輸出：哈希值是固定長度。容易計(jì)算：對(duì)于任意給定的消息，容易計(jì)算其哈希值。正向容易單向性：對(duì)于給定的哈希值h,要找到M使彳導(dǎo)H(M)=h在計(jì)算上是不可行的。逆向不可行安全性：抗弱碰撞性：對(duì)于給定的消息M1,要發(fā)現(xiàn)另一個(gè)消息M2,滿足H(M1)=H(M2)在計(jì)算上是不可行的?？箯?qiáng)碰撞性：找任意一對(duì)不同的消息M1,M2，使H(M1)=H(M2)在計(jì)算上是不可行的。隨機(jī)性：當(dāng)一個(gè)輸入位發(fā)生變化時(shí)，輸出位將發(fā)生很大變化。(雪崩效應(yīng))。MD:MD2(1989)、MD4(1990)和MD5(1991)都產(chǎn)生一個(gè)128

20、位的信息摘要。SHA-1承受任何有限長度的輸入消息，并產(chǎn)生長度為160比特的Hash值。消息驗(yàn)證的目的：驗(yàn)證信息的來源是真實(shí)的，而不是冒充的，此為消息源認(rèn)證。驗(yàn)證消息的完整性，即驗(yàn)證信息在傳送或存儲(chǔ)過程中是否被修改。哈希函數(shù)分類：改動(dòng)檢測(cè)碼MDC不帶密鑰的哈希函數(shù)，主要用于消息完整性。消息認(rèn)證碼MAC帶密鑰的哈希函數(shù)，主要用于消息源認(rèn)證和消息完整性。HMACM法公式：HMACK,M=HKopadIHKipadIMK一代表認(rèn)證密碼HMA值要應(yīng)用在身份驗(yàn)證中，它的使用方法是這樣的：(1)客戶端發(fā)出登錄請(qǐng)求假設(shè)是瀏覽器的GET請(qǐng)求(2)服務(wù)器返回一個(gè)隨機(jī)值，并在會(huì)話中記錄這個(gè)隨機(jī)值(3)客戶端將該隨

21、機(jī)值作為密鑰，用戶密碼進(jìn)展HMAC1算，然后提交給服務(wù)器(4)服務(wù)器讀取用戶數(shù)據(jù)庫中的用戶密碼和步驟2中發(fā)送的隨機(jī)值做與客戶端一樣的HMAC運(yùn)算，然后與用戶發(fā)送的結(jié)果比擬，如果結(jié)果一致如此驗(yàn)證用戶合法在這個(gè)過程中，可能遭到安全攻擊的是服務(wù)器發(fā)送的隨機(jī)值和用戶發(fā)送的HMAC吉果，而對(duì)于截獲了這兩個(gè)值的黑客而言這兩個(gè)值是沒有意義的，絕無獲取用戶密碼的可能性，隨機(jī)值的引入使HMA6在當(dāng)前會(huì)話中有效，大大增強(qiáng)了安全性和實(shí)用性。數(shù)字簽名與消息認(rèn)證不同：數(shù)字簽名也是一種消息認(rèn)證技術(shù)，它屬于非對(duì)稱密碼體制，消息認(rèn)證碼屬于對(duì)稱密碼體制，所以消息認(rèn)證碼的處理速度比數(shù)字簽名快得多。但是，消息認(rèn)證碼無法實(shí)現(xiàn)不可否認(rèn)

22、性。數(shù)字簽名的安全要求簽名是可以被驗(yàn)證的承受者能夠核實(shí)簽名者對(duì)消息的簽名。簽名是不可偽造的除了簽名者，任何人(包括承受者)不能偽造消息的簽名。簽名是不可重用的同一消息不同時(shí)刻其簽名是有區(qū)別的。簽名是不可抵賴的簽名者事后不能抵賴對(duì)消息的簽名，出現(xiàn)爭(zhēng)議時(shí)，第三方可解決爭(zhēng)端。數(shù)字簽名的組成：明文空間，密文空間，秘鑰空間，簽名算法，驗(yàn)證算法數(shù)字簽名常見的實(shí)現(xiàn)算法基于RSA的簽名算法基于離散對(duì)數(shù)的簽名算法基于ECC勺簽名算法RSAa字簽名算法(初始化)1 .選取兩個(gè)大(滿足安全要求)素?cái)?shù)p和q,兩個(gè)數(shù)長度接近且相差很大，強(qiáng)素?cái)?shù)。2 .計(jì)算n=p*q,()(n)=(p-1)(q-1)3 .隨機(jī)選取整數(shù)e(

23、1<e<()(n),滿足gcd(e,()(n)=14 .計(jì)算d,滿足d*e=1mod()(n)注：n公開，p和q某某。e為公鑰，d為私鑰。簽名算法1 .利用一個(gè)安全的Hash函數(shù)h來產(chǎn)生消息摘要h(m)。2 .用簽名算法計(jì)算簽名s=Signk(m)三h(m)dmodn。驗(yàn)證算法1 .首先利用一個(gè)安全的Hash函數(shù)h計(jì)算消息摘要h(m)。2 .用檢驗(yàn)等式h(m)modn=semodn是否成立，假設(shè)相等簽名有效，否如此，簽名無效。假設(shè)直接對(duì)消息進(jìn)展私鑰加密，攻擊者獲得兩個(gè)簽名后可以偽造m1*m2的有效簽名s1*s2同態(tài)性Elgamal簽名算法(舉例)初始化：假設(shè)A選取素?cái)?shù)p=19,Zp

24、*的生成元g=2。選取私鑰x=15,計(jì)算y三gxmodp三215mod19=12,如此A的公鑰是(p=19,g=2,y=12)。簽名過程：設(shè)消息m的Hash值h(m)=16,如此A選取隨機(jī)數(shù)k=11,計(jì)算r=gkmodp=211mod19=15,k-1mod(p-1)=5。最后計(jì)算簽名s=h(m)-xrk-1mod(p-1)三5(16-15X15)mod18=17。得到A對(duì)m的簽名為(15,17)。驗(yàn)證過程：承受者B得到簽名(15,17)后計(jì)算yrrsmodp=12151517mod19=5,gh(m)modp=216mod19=5。驗(yàn)證等式y(tǒng)rrs=gh(m)(modp)相等，因此B承受簽名

25、。Elgamal簽名算法(安全性)不能泄露隨機(jī)數(shù)k。不能使用一樣的k對(duì)兩個(gè)不同消息進(jìn)展簽名。簽名者屢次簽名日所選取多個(gè)k之間無關(guān)聯(lián)。整個(gè)密碼系統(tǒng)的安全性并不取決對(duì)密碼算法的某某，而是由密鑰的某某性決定的。解決的核心問題是密鑰管理問題，而不是密碼算法問題。密鑰的管理水平直接決定了密碼的應(yīng)用水平。密鑰管理就是在授權(quán)各方之間實(shí)現(xiàn)密鑰關(guān)系的建立和維護(hù)的一整套技術(shù)和程序。密鑰管理括密鑰的生成、存儲(chǔ)、建立(分配和協(xié)商)、使用、備份/恢復(fù)、更新、撤銷/存檔/銷毀等。典型的密鑰層次結(jié)構(gòu)主密鑰：對(duì)應(yīng)于層次化密鑰結(jié)構(gòu)中的最高層次，它是對(duì)密鑰加密密鑰進(jìn)展加密的密鑰，主密鑰應(yīng)受到嚴(yán)格的保護(hù)。密鑰加密密鑰：一般是用來對(duì)

26、傳輸?shù)臅?huì)話密鑰進(jìn)展加密時(shí)采用的密鑰。密鑰加密密鑰所保護(hù)的對(duì)象是實(shí)際用來保護(hù)通信或文件數(shù)據(jù)的會(huì)話密鑰。會(huì)話密鑰：在一次通信或數(shù)據(jù)交換的任務(wù)中，用戶之間所使用的密鑰，是由通信用戶之間進(jìn)展協(xié)商得到的。它一般是動(dòng)態(tài)地、僅在需要進(jìn)展數(shù)據(jù)加密時(shí)產(chǎn)生，并在任務(wù)完成后立即進(jìn)展銷毀，也稱為數(shù)據(jù)加密密鑰。密鑰的生成一般首先通過密鑰生成器借助于某種隨機(jī)源產(chǎn)生具有較好統(tǒng)計(jì)分析特性的序列，以保障生成密鑰的隨機(jī)性和不可預(yù)測(cè)性.密鑰存儲(chǔ)目的是確某某鑰的秘密性、真實(shí)性以與完整性。密鑰更新情況：密鑰有效期完畢；密鑰的安全受到威脅；通信成員中提出更新密鑰。對(duì)稱密碼其實(shí)就一個(gè)密鑰（即一個(gè)密鑰可推出另一個(gè)密鑰），因此，密鑰的秘密性、

27、真實(shí)性、完整性都必須保護(hù)。公鑰的秘密性不用確保，但其真實(shí)性、完整性都必須嚴(yán)格保護(hù)。公鑰密碼體制的私鑰的秘密性、真實(shí)性、完整性都必須保護(hù)。中間人攻擊：1 .C將公共目錄中B的公鑰替換成自己的公鑰。2 .A將他認(rèn)為的B的公鑰提取出來，而實(shí)際上那是C的公鑰。3 .C現(xiàn)在可以讀取A送給B的加密信息。4 .C將A的信息解密并閱讀，然后他又用真實(shí)的B的公鑰加密該信息并將加密結(jié)果發(fā)送給B。數(shù)字證書實(shí)現(xiàn)公鑰的真實(shí)性。數(shù)字證書也稱為公鑰證書，是將證書持有者的身份信息和其所擁有的公鑰進(jìn)展綁定的文件。證書用途：簽名證書：簽名證書主要用于對(duì)用戶信息進(jìn)展簽名，以保證信息的不可否認(rèn)性。私鑰不需備份加密證書：加密證書主要用

28、于對(duì)用戶傳送信息的密鑰進(jìn)展加密，以保證信息的某某性。私鑰需要備份CRL證書撤銷列表在線證書狀態(tài)協(xié)議OCSP其目的為了克制基于CRL的撤銷方案的局限性，為證書狀態(tài)查詢提供即時(shí)的最新響應(yīng)。OCSP1用證書序列號(hào)、CA名稱和公開密鑰的散列值作為關(guān)鍵字查詢目標(biāo)的證書。為防止攻擊者得到密鑰，必須時(shí)常更新密鑰，密碼系統(tǒng)的強(qiáng)度依賴于密鑰分配技術(shù)。密鑰分配中心模式KDC生成回話密鑰：前提條件：密鑰分配中心與每個(gè)用戶之間有共享密鑰。1. A向密鑰分配中心KDC(KeyDistributeCenter)發(fā)出會(huì)話密鑰請(qǐng)求。請(qǐng)求內(nèi)容包括A與B的身份以與一次性隨機(jī)數(shù)N1。2. KDC為A的請(qǐng)求發(fā)出應(yīng)答。應(yīng)答內(nèi)容包括：一

29、次性會(huì)話密鑰Ks、A的請(qǐng)求、用B與KDC的共享密鑰加密一次性會(huì)話密鑰Ks和A的身份，其中應(yīng)答信息是用A與KDC的共享密鑰加密。3. A存儲(chǔ)會(huì)話密鑰Ks,并向B轉(zhuǎn)發(fā)用B與KDC的共享密鑰加密的一次性會(huì)話密鑰Ks和A的身份。4. B使用會(huì)話密鑰Ks加密另一個(gè)一次性隨機(jī)數(shù)N2,并將加密結(jié)果發(fā)送給A.5. A使用會(huì)話密鑰Ks加密f(N2),并將加密結(jié)果發(fā)送給B.基于公鑰密鑰分配會(huì)話密鑰：前提條件：通信雙方在CA中擁有自己的證書。1. A向B發(fā)出會(huì)話密鑰請(qǐng)求，請(qǐng)求內(nèi)容包括A的身份、一次性隨機(jī)數(shù)N1以與利用B的公鑰加密一次性會(huì)話密鑰Ks。2. B使用會(huì)話密鑰Ks加密一次性隨機(jī)數(shù)N1,并將加密結(jié)果發(fā)送給Ao3. A使用會(huì)話密鑰Ks加密f(N1),并將加密結(jié)