b第二周 對(duì)稱密碼學(xué)(第2、3、6章)

1、1華南理工大學(xué)經(jīng)貿(mào)學(xué)院本科課程電子商務(wù)安全與保密第2章 對(duì)稱密碼學(xué) 2信息論的概念n公式：公式：H(x)=n含義：含義：不確定性，即一條信息當(dāng)中的信息量不確定性，即一條信息當(dāng)中的信息量。/越越大越好大越好n一個(gè)只有一個(gè)字符的語(yǔ)言（熵一個(gè)只有一個(gè)字符的語(yǔ)言（熵-(1)*log2 (1) =0=0）n完全隨機(jī)語(yǔ)言完全隨機(jī)語(yǔ)言: - -(1/26)*log2 (1/26) - -log2 (1/26) 4.4.xx xx /一個(gè)字母對(duì)任意字母的映射一個(gè)字母對(duì)任意字母的映射n直觀來(lái)說(shuō)直觀來(lái)說(shuō):從一個(gè)信息元推斷其它信息元的可能性從一個(gè)信息元推斷其它信息元的可能性,熵熵越小越小,可能性越大可能性越大n例：

2、如果信息不是男就是女，例：如果信息不是男就是女， 那么那么H(m)-1/2log2(1/2)+ (-1/2)log2(1/2)=1n聯(lián)合熵聯(lián)合熵n條件熵條件熵 BxxPxP)(log)(23n信息率：信息率：r=H(M)/N，N是消息的長(zhǎng)度，是消息的長(zhǎng)度，H(M)是信是信息熵息熵n絕對(duì)信息率絕對(duì)信息率R=log2Ln語(yǔ)言的多余度語(yǔ)言的多余度D=R-r /越少越好，減少被推測(cè)可能越少越好，減少被推測(cè)可能例：英語(yǔ)的信息率估計(jì)是例：英語(yǔ)的信息率估計(jì)是1.2，絕對(duì)信息率是，絕對(duì)信息率是4.7(L=26)，則冗余度估計(jì)是則冗余度估計(jì)是3.5n唯一解距離：進(jìn)行強(qiáng)力攻擊時(shí)，可能解出唯一有意唯一解距離：進(jìn)行強(qiáng)

3、力攻擊時(shí)，可能解出唯一有意義的明文所需要的最少密文量，定義為義的明文所需要的最少密文量，定義為U=H(M)/D， H(M)是信息熵，是信息熵，D是多余度是多余度/越長(zhǎng)越好，與冗余度成反比越長(zhǎng)越好，與冗余度成反比問(wèn)：為什么密鑰要定期更換？問(wèn)：為什么密鑰要定期更換？信息論的概念4密碼學(xué)的Shannon模型 Z Z,Z 5密碼學(xué)的Shannon模型nX,明文（明文（plain-text）：）： 作為加密輸入的原始信息。作為加密輸入的原始信息。nY,密文（密文（cipher-text）：對(duì)明文變換的結(jié)果。）：對(duì)明文變換的結(jié)果。nE,加密（加密（encrypt）：是一組含有參數(shù)的變換，將可識(shí)）：是一組含

4、有參數(shù)的變換，將可識(shí)別的明文變?yōu)槊芪?。密文可識(shí)別別的明文變?yōu)槊芪?。密文可識(shí)別閾下信道。閾下信道。nD,解密（解密（decrypt）：加密的逆變換。）：加密的逆變換。nZ,密鑰（密鑰（key）：是參與加密解密變換的參數(shù)。）：是參與加密解密變換的參數(shù)。n一密碼系統(tǒng)算法明文空間密文空間密鑰空間一密碼系統(tǒng)算法明文空間密文空間密鑰空間n系統(tǒng)分析者試圖從密文破解出明文者系統(tǒng)分析者試圖從密文破解出明文者n上述過(guò)程的數(shù)字表示：上述過(guò)程的數(shù)字表示：Y=E(X,Z), X=D(Y,Z )6密碼分析理論nKerckhoffs假設(shè)假設(shè)n假定：密碼分析者知道對(duì)方所使用的密碼系統(tǒng)假定：密碼分析者知道對(duì)方所使用的密碼系統(tǒng)n

5、包括明文的統(tǒng)計(jì)特性、加密體制（操作方式、處理包括明文的統(tǒng)計(jì)特性、加密體制（操作方式、處理方法和加方法和加/解密算法解密算法 ）、密鑰空間及其統(tǒng)計(jì)特性。）、密鑰空間及其統(tǒng)計(jì)特性。n不知道（解密）密鑰。不知道（解密）密鑰。n在設(shè)計(jì)一個(gè)密碼系統(tǒng)時(shí)，目標(biāo)是在在設(shè)計(jì)一個(gè)密碼系統(tǒng)時(shí)，目標(biāo)是在Kerckhoffs 假設(shè)的前假設(shè)的前提下實(shí)現(xiàn)安全提下實(shí)現(xiàn)安全 。/產(chǎn)業(yè)化至關(guān)重要產(chǎn)業(yè)化至關(guān)重要n雪崩效應(yīng)雪崩效應(yīng)n明文或密鑰的微小改變將對(duì)密文產(chǎn)生很大的明文或密鑰的微小改變將對(duì)密文產(chǎn)生很大的影響是任何加密算法需要的一個(gè)號(hào)性質(zhì)。特影響是任何加密算法需要的一個(gè)號(hào)性質(zhì)。特別地，明文或密鑰的某一位變化會(huì)導(dǎo)致密文別地，明文或密

6、鑰的某一位變化會(huì)導(dǎo)致密文的很多位發(fā)生變化，這被稱為雪崩效應(yīng)。的很多位發(fā)生變化，這被稱為雪崩效應(yīng)。n越大越好越大越好7密碼分析8密碼學(xué)的Shannon模型9密碼學(xué)的Shannon模型10密碼體制的安全性密碼體制的安全性n無(wú)條件安全或完善保密性（無(wú)條件安全或完善保密性（unconditionally security）：）：n不論提供的密文有多少，密文中所包含的信息都不足以惟一地確不論提供的密文有多少，密文中所包含的信息都不足以惟一地確定其對(duì)應(yīng)的明文；定其對(duì)應(yīng)的明文；n具有無(wú)限計(jì)算資源（諸如時(shí)間、空間、資金和設(shè)備等）的密碼分具有無(wú)限計(jì)算資源（諸如時(shí)間、空間、資金和設(shè)備等）的密碼分析者也無(wú)法破譯某個(gè)

7、密碼系統(tǒng)。析者也無(wú)法破譯某個(gè)密碼系統(tǒng)。n要構(gòu)造一個(gè)完善保密系統(tǒng)，其密鑰量的對(duì)數(shù)（密鑰空間為均勻分布的條要構(gòu)造一個(gè)完善保密系統(tǒng)，其密鑰量的對(duì)數(shù)（密鑰空間為均勻分布的條件下）必須不小于明文集的熵。件下）必須不小于明文集的熵。 /不確定性不能減少不確定性不能減少n從熵的基本性質(zhì)可推知，保密系統(tǒng)的密鑰量越小，其密文中含有從熵的基本性質(zhì)可推知，保密系統(tǒng)的密鑰量越小，其密文中含有的關(guān)于明文的信息量就越大。的關(guān)于明文的信息量就越大。/容易從密文猜出明文容易從密文猜出明文 n存在完善保密系統(tǒng)存在完善保密系統(tǒng) 如：一次一密（如：一次一密（one-time pad）方案；）方案；/量子密碼。量子密碼。n實(shí)際上安全

8、或計(jì)算安全性（實(shí)際上安全或計(jì)算安全性（computational security）n計(jì)算上是安全：即使算出和估計(jì)出破譯它的計(jì)算量下限，利用已計(jì)算上是安全：即使算出和估計(jì)出破譯它的計(jì)算量下限，利用已有的最好的方法破譯該密碼系統(tǒng)所需要的努力超出了破譯者的破有的最好的方法破譯該密碼系統(tǒng)所需要的努力超出了破譯者的破譯能力（諸如時(shí)間、空間、資金等資源）。譯能力（諸如時(shí)間、空間、資金等資源）。 n從理論上證明破譯它的計(jì)算量不低于解已知難題的計(jì)算量，因此從理論上證明破譯它的計(jì)算量不低于解已知難題的計(jì)算量，因此（在現(xiàn)階段）是安全的（在現(xiàn)階段）是安全的11擴(kuò)散和混淆12擴(kuò)散和混淆13DES的安全性基于基于19

9、97年的技術(shù)統(tǒng)計(jì)分析的攻擊結(jié)果年的技術(shù)統(tǒng)計(jì)分析的攻擊結(jié)果n數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)據(jù)加密標(biāo)準(zhǔn)n64位分組和位分組和56位密鑰位密鑰n1977年倍年倍NBS采納為標(biāo)準(zhǔn)采納為標(biāo)準(zhǔn)n1999年規(guī)定只用于遺留系統(tǒng)和年規(guī)定只用于遺留系統(tǒng)和3DES14 15 16IDEA 算法nIDEA 國(guó)際數(shù)據(jù)加密算法（國(guó)際數(shù)據(jù)加密算法（International Data Encryption Algorithm）n瑞士聯(lián)邦理工學(xué)院：瑞士聯(lián)邦理工學(xué)院：Xuejia Lai & James Massey , 1990；n1991 改進(jìn)，加強(qiáng)了對(duì)差分密碼分析的抗擊能力；改進(jìn)，加強(qiáng)了對(duì)差分密碼分析的抗擊能力；n明文分組與密文分組的長(zhǎng)

10、度均為明文分組與密文分組的長(zhǎng)度均為64位，密鑰長(zhǎng)度位，密鑰長(zhǎng)度為為128位。位。 n在目前常用的安全電子郵件加密方案在目前常用的安全電子郵件加密方案PGP中中使用使用17Rijndael算法n由由Square算法發(fā)展演變而來(lái)。算法發(fā)展演變而來(lái)。n已被美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所選定作為高級(jí)已被美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所選定作為高級(jí)加密算法加密算法AES,Advanced Encryption Standardn取代取代DESn迭代分組密碼算法迭代分組密碼算法(類似流密碼類似流密碼:每一輪有內(nèi)部每一輪有內(nèi)部狀態(tài)狀態(tài))n密鑰密鑰128/192/256，分組，分組128/192/256，循環(huán)次，循環(huán)次數(shù)數(shù)10

11、/12/14。n速度快、對(duì)內(nèi)存要求小，操作簡(jiǎn)單。速度快、對(duì)內(nèi)存要求小，操作簡(jiǎn)單。n算法的抗攻擊能力強(qiáng)。算法的抗攻擊能力強(qiáng)。n高級(jí)加密標(biāo)準(zhǔn)（高級(jí)加密標(biāo)準(zhǔn)（AES）算法算法Rijndael的設(shè)的設(shè)計(jì)計(jì).清華大學(xué)出版社清華大學(xué)出版社.18其他算法nBLOWFISHnBruce Schneier 1995發(fā)表發(fā)表, 64位分組位分組, 最大到最大到448位位可變長(zhǎng)密鑰。可變長(zhǎng)密鑰。Fast, compact, simple, variably secure.nRC2 、RC4、RC5、RC6算法算法 由由Rivest發(fā)明發(fā)明19分組密碼的工作模式 已經(jīng)提出的分組密碼工作模式有：已經(jīng)提出的分組密碼工作模

12、式有：n電碼本（電碼本（ECB）模式）模式 /原始模式原始模式n密碼分組鏈接（密碼分組鏈接（CBC）模式；）模式；n密碼反饋（密碼反饋（CFB）模式；）模式；n輸出反饋（輸出反饋（OFB）模式；）模式；這是最簡(jiǎn)單的方式： 以分組64bit為例:明文接受64bit的分組，每個(gè)明文分組都用同一個(gè)密鑰加密，每個(gè)64bit的明文分組就有一個(gè)唯一的密文.特點(diǎn)：同一個(gè)64bit明文分組多次出現(xiàn)，產(chǎn)生的密文就總是一樣的，它可用于少量的數(shù)據(jù)加密，比如加密一個(gè)密鑰，對(duì)于大報(bào)文用ECB方式就不安全.ECB模式（電子密碼本）ECB模式iKiiKiC = E (P) P = D(C) ECB模式ECB模式的優(yōu)缺點(diǎn) n

13、模式操作簡(jiǎn)單n明文中的重復(fù)內(nèi)容將在密文中表現(xiàn)出來(lái)，特別對(duì)于圖像數(shù)據(jù)和明文變化較少的數(shù)據(jù)n適于短報(bào)文的加密傳遞ECB模式目的：同一個(gè)明文分組重復(fù)出現(xiàn)時(shí)產(chǎn)生不同的密文分組 原理： Pn 加密算法的輸入 是當(dāng)前的明文分組 Cn-1 和前一密文分組 的異或 K 第一個(gè)明文分 組和一個(gè)初始向量 Cn 進(jìn)行異或XORDES 加密CBC模式（密碼分組鏈接）初始向量 時(shí)刻t1 t2 tn IV P1 P2 PnK K K C1 C2 Cn-1 CnORDESXORXORDESDESiKii-1iKii-1C = E (PC ) P = D (C ) CCBC模式CBC模式CBC模式CBC模式的特點(diǎn)n同一個(gè)明文分組重復(fù)出現(xiàn)時(shí)產(chǎn)生不同的密文分組n加密函數(shù)的輸入是當(dāng)前的明文分組和前一個(gè)密文分組的異或；對(duì)每個(gè)分組使用相同的密鑰。n將明文分組序列的處理連接起來(lái)了。每個(gè)明文分組的加密函數(shù)的輸入與明文分組之間不再有固定的關(guān)系n有助于將CBC模式用于加密長(zhǎng)消息 CBC模式OFB模式（輸出反饋）CFB模式（密碼反饋）CTR模式（計(jì)數(shù)器）CTR模式的特點(diǎn)n使用與明文分組規(guī)模相同的計(jì)數(shù)器長(zhǎng)度 n處理效率高（并行處理）n預(yù)處理可以極大地提高吞吐量n可以隨機(jī)地對(duì)任意一個(gè)密文分組進(jìn)行解密處理，對(duì)該密文分組的處理與其它密文無(wú)關(guān)n實(shí)現(xiàn)的簡(jiǎn)單性n適于對(duì)實(shí)時(shí)性和速度要求較高的場(chǎng)合CTR模式33鏈到鏈加密方式n在物理層或數(shù)據(jù)鏈