信息安全與信息加密

1、7.1信息安全含義 7.2信息加密概述 7.3 對稱密鑰密碼算法 7.3.1 流密碼（序列密碼） 7.3.2 分組密碼 7.3.3 DES算法 7.4 公鑰密碼算法 7.4.1 公鑰密碼體制及其設計的基本原理 7.4.2 RSA加密系統(tǒng)7.5 數(shù)字簽名技術 第7章 信息安全與信息加密17.6 識別協(xié)議 7.6.1 識別協(xié)議概述 7.6.2 Feige-Fiat-Shamir識別協(xié)議 7.6.3 改進的Feige-Fiat-Shamir識別協(xié)議7.7 密鑰管理 7.7.1 密鑰管理的意義 7.7.2 密鑰分類與產(chǎn)生 7.7.3 密鑰分配 7.7.4 密鑰保護和秘密共享7.8 PGP密鑰管理技術第

2、7章 信息安全與信息加密2（1）掌握信息安全及信息加密的含義；（2）理解對稱密鑰密碼算法和公鑰密碼算法的基本 特點和基本原理；（3）理解和掌握DSE和RSA加密算法；（4）理解和掌握數(shù)字簽名技術；（5）了解密鑰管理及其技術；（6）了解和掌握PGP程序的相關技術及應用。學習目標3信息安全一般是指信息在通信、存貯或處理過程中是否得到妥善的、完好無損的保護，表現(xiàn)在信息不能被竊取、丟失、修改、錯誤投遞等，并可以追溯發(fā)信人。信息安全分為“信息體安全”和“信息智安全”(1) 信息體安全是指信息本身在網(wǎng)絡域及其界面具有完整、真實、不可盜用、不可錯用以及可溯源的屬性。(2) 信息智安全是指信息內(nèi)涵，即信息體所

3、攜帶的“智能或知識”與網(wǎng)絡智安全和社會意識形態(tài)的相容性。7.1 信息安全含義47.2.1 密碼技術簡史 古希臘 古埃及、巴比倫和美索不達米亞 羅馬 帝國時代 德國 現(xiàn)在。7.2.2 密碼的基本概念安全問題： 一是數(shù)據(jù)的保密性，即防止非法地獲悉數(shù)據(jù)； 二是數(shù)據(jù)的完整性，即防止非法地修改數(shù)據(jù)?，F(xiàn)代密碼學 加密、明文、明文空間、密文、密文空間、解密、 密鑰、密碼體制。7.2 信息加密57.2.2 密碼的基本概念密碼系統(tǒng)的兩個基本單元是算法和密鑰。算法是相對穩(wěn)定的，視為常量。密鑰則是不固定的，視為變量。密鑰安全性是系統(tǒng)安全的關鍵。 簡單加密和解密過程如下圖： 7.2 信息加密加密解密原來的明文接收方明

4、文發(fā)送方第三方密文67.2.2 密碼的基本概念密碼通信通常會受到未授權(quán)者或非法入侵者的攻擊。分為被動攻擊和主動攻擊:被動攻擊是指未授權(quán)者通過各種可能的手段獲取密文，并通過各種分析手段推斷出明文的過程，稱為破譯。主動攻擊是指非法入侵者通過各種手段進入密碼通信系統(tǒng)，并通過可能的方法刪改、偽造信息，達到破壞密碼通信系統(tǒng)的目的。7.2 信息加密77.2.2 密碼的基本概念破譯或攻擊密碼的方法：窮舉法和分析法。窮舉法是指用各種可能的密鑰去試譯密文，直到得到有意義的明文的方法分析法是指通過數(shù)學關系式或統(tǒng)計規(guī)律找出明文或與明文相關的有用信息的破譯方法。密碼的可破與不可破。如果一個密碼在規(guī)定的時間內(nèi)，通過密文

5、能確定明文或密鑰，或通過一定量的明文與密文的對應關系能確定密鑰，則稱這個密碼是可破的；否則，稱密碼是不可破的。7.2 信息加密87.2.2 密碼的基本概念一個密碼通信系統(tǒng)可用下圖表示： 7.2 信息加密圖7.2 密碼通信系統(tǒng)框圖97.2.3 密碼技術的分類1按應用技術或歷史發(fā)展階段劃分 （1）手工密碼 （2）機械密碼 （3）電子機內(nèi)亂密碼 （4）計算機密碼 2按保密程度劃分 （1）理論上保密的密碼 （2）實際上保密的密碼 （3）不保密的密碼 3按密鑰方式劃分 （1）對稱式密碼 （2）非對稱式密碼 4按明文形態(tài)分 （1）模擬型密碼 （2）數(shù)字型密碼 7.2 信息加密107.2.3 密碼技術的分類

6、三種基本原理：移位、代替和置換。 與信息管理密切相關的安全理論 ：(1)分組密碼算法 將明文按一定的位長分組，輸出也是固定長度的密文。(2)公開密鑰密碼算法 加密密鑰和解密密鑰相分離，將加密密鑰和算法公諸于眾， 只保密解密密鑰。(3)非密碼的安全理論和技術 包括信息隱形、量子密碼和基于生物特征的識別理論與技術。7.2 信息加密117.2.4 密碼系統(tǒng)的設計原則(1) 易操作原則。對合法的通信雙方來說加密和解密變 換是容易的。 (2) 不可破原則。指該密碼體制在理論上或?qū)嶋H上是不 可破解的。 (3) 整體安全原則。部分信息丟失不會影響整個系統(tǒng)的 安全性。(4) 柯克霍夫斯原則。密碼系統(tǒng)中的算法即

7、使為密碼分 析員所知，也應該無助于用來推導明文或密鑰。(5) 與計算機和通信系統(tǒng)匹配原則。要求密碼系統(tǒng)不是 孤立存在的，可以在計算機或通信系統(tǒng)中使用。7.2 信息加密127.2.5 傳統(tǒng)的加密技術(1) 代碼加密 使用通信雙方預先設定的一組代碼。 (2) 替換加密 明文中的每個字母或每組字母被替換成另一個或一組字母。(3) 變位加密 將字符重新排序。(4) 一次一密亂碼本加密 使用隨機密鑰字母集。 特點：一次性；隨機性；長度相等；同步性； 不可破譯性。7.2 信息加密13根據(jù)密鑰的特點，密碼體制分為:（1）對稱密鑰密碼體制 加密密鑰與解密密鑰是相同的或從一個容易推出另一個。（2）公鑰密碼體制

8、加密密鑰與解密密鑰是不同的或從一個很難推出另一個。根據(jù)加密的不同方式，對稱密鑰密碼可分為：（1）流密碼 將明文按字符一個一個地加密。（2）分組密碼 將明文分成若干個組，每組含多個字符，一組一組地加密。7.3 對稱密鑰密碼算法 147.3.1 流密碼（序列密碼）1流密碼簡述在流密碼中，將明文m寫成連續(xù)的符號，利用密鑰流中的第i個元素 ki 對應明文中的第i個元素 mi 進行加密，若加密變換為E，則加密后的密文為： 設與加密變換E對應的解密變換為D，其中D滿足： 則通過解密運算可譯得明文為:7.3 對稱密鑰密碼算法 157.3.1 流密碼（序列密碼）1流密碼簡述流密碼通信框圖如圖7.3所示。7.3

9、 對稱密鑰密碼算法 加密算法E密文ci=Ek(mi)解密算法D明文mi=Dk(ci)明文mi密鑰ki密鑰ki圖7.3 流密碼通信模式框圖16例7.1 設明文、密鑰、密文都是F2上的二元數(shù)字序列，明文 m=m1m2，密鑰為k=k1k2，若加密變換與解密變換都是 F2中的模2加法，試寫出加密過程與解密過程。 解 經(jīng)加密變換得密文： C = Ek (m) = Ek1(m1)Ek2(m2) = (k1+m1) (k2+m2) 經(jīng)解密變換得： Dk (C) = Dk (k1+m1)(k2+m2) = (k1+k1+m1)(k2+k2+m2) 由于kiF2，則 ki+ki=0，i=1,2,，故 Dk (C

10、)= m1m2 = m 。 密文C 可由明文m與密鑰k進行模2加獲得。因此要用該密碼系統(tǒng)通信就要求每發(fā)送一條消息都要產(chǎn)生一個新的密鑰并在一個安全的信道上傳送，習慣上人們稱這種通信系統(tǒng)為“一次一密系統(tǒng)”。7.3 對稱密鑰密碼算法 177.3.1 流密碼（序列密碼）2密鑰流生成器構(gòu)造密鑰流生成器是流密碼最核心的內(nèi)容。由于大部分密碼是基于世界上公開的數(shù)學難題，所以造成大多數(shù)密鑰流生成器的不安全性。在流密碼中，如果密鑰流經(jīng)過d個符號之后重復，則稱該流密碼是周期的，否則稱之為非周期的。密鑰流元素kj 的產(chǎn)生由第 j 時刻流密碼的內(nèi)部狀態(tài)sj 和實際密鑰 k 所決定，記為kj = f (k, sj)。加密

11、變換Ekj與解密變換Dkj都是時變的，其時變性由加密器或解密器中的記憶文件來保證。7.3 對稱密鑰密碼算法 187.3.1 流密碼（序列密碼）2密鑰流生成器加密器中存儲器的狀態(tài)s 隨時間變化而變化，這種變化可用狀態(tài)轉(zhuǎn)移函數(shù) fs 表示。如果 fs 與輸入的明文無關，則密鑰流 kj = f (k，sj) 與明文無關， j=1，2，從而 j 時刻輸出的密文 cj = Ekj(mj) 與 j 時刻之前的明文也無關，稱此種流密碼為同步流密碼。在同步流密碼中，只要發(fā)送端和接收端有相同的實際密鑰和內(nèi)部狀態(tài)，就能產(chǎn)生相同的密鑰流，此時稱發(fā)送端和接收端的密鑰生成器是同步的。一旦不同步，解密工作立即失敗。如果狀

12、態(tài)轉(zhuǎn)移函數(shù) fs 與輸入的明文符號有關，則稱該流密碼為自同步流密碼。7.3 對稱密鑰密碼算法 197.3.1 流密碼（序列密碼）2密鑰流生成器目前應用最廣泛的流密碼是同步流密碼。一個同步流密碼是否具有很高的密碼強度主要取決于密鑰流生成器的設計。 密鑰流生成器的目的是由一個短的隨機密鑰(也稱實際密鑰或種子密鑰) k 生成一個長的密鑰流，用這個長的密鑰流對明文加密或?qū)γ芪慕饷?，從而使一個短的密鑰可用來加密更長的明文或解密更長的密文的目的。 7.3 對稱密鑰密碼算法 207.3.1 流密碼（序列密碼）3收縮密鑰流生成器n 級移位寄存器 （見下圖）開始時，設第1級內(nèi)容是 an-1，第2級內(nèi)容是 an-

13、2 , , 第n 級內(nèi)容是 a0，則稱這個寄存器的初始狀態(tài)是 (a0, a1, , an-1)。當加上一個脈沖時，每個寄存器的內(nèi)容移給下一級，第 n 級內(nèi)容輸出，同時將各級內(nèi)容送給運算器 f (x0, x1, , xn-1) ，并將運算器的結(jié)果 an= f (a0 , a1 , , an-1) 反饋到第一級去。這樣這個移位寄存器的狀態(tài)就是 (a1 , a2 , , an)，而輸出是a0 。不斷地加脈沖，上述 n 級移位寄存器的輸出就是一個二元(或q元)序列： a0 , a1, a2 , 7.3 對稱密鑰密碼算法 寄存器 1寄存器 2寄存器 3寄存器 nf (x0, x1, , xn-1)217

14、.3.1 流密碼（序列密碼）3收縮密鑰流生成器移位寄存器產(chǎn)生的序列都是周期序列，周期都不大于2n。例7.2 右圖是一個4級線性移位寄存器。給定初狀態(tài) (0001) ， 求該移位寄存器產(chǎn)生的周期序列。 解 易見 f (x0，x1，x2，x3) = x0 + x1， 因此對 k4 有 ak = ak-3+ ak-4 從而該4級移位寄存器產(chǎn)生的序列是周期15的序列： 1111 由例7.2知，移位寄存器(簡記SR，Shifted Register)可由短的序列生成具有一定規(guī)律的長序列。這種序列便可以作為密鑰流序列，但抗攻擊能力較差。7.3 對稱密鑰密碼算法 +227.3.1 流密碼（序列密碼）3收縮密

15、鑰流生成器收縮密鑰流生成器（見右圖）通常的密鑰流生成器都是由若干個移位寄存器并聯(lián)，并且與特殊的電子電路組合而成。上圖為由兩個移位寄存器構(gòu)成的收縮密鑰流生成器，通過 SR1 的輸出選擇 SR2 的輸出來生成密鑰流，其工作模式如下：輸入?yún)?shù)：兩個移位寄存器的級數(shù)及反饋函數(shù)密鑰：兩個移位寄存器的初始狀態(tài) (1) 移位SR1 并產(chǎn)生 yi(1) ；同時移位SR2 并產(chǎn)生 yi(2) ； (2) 如果 yi(1) =1，則輸出密鑰元素ki = yi(2) ； 如果 yi(1) =0，則刪去 yi(2)，i =1, 2, ，不輸出。由此收縮生成器產(chǎn)生的密鑰流為ki | i1。7.3 對稱密鑰密碼算法 SR

16、 1SR 2yi (1)輸出kiyi (2)237.3.2 分組密碼1. 分組密碼體系的概念分組密碼將明文按一定的位長分組，輸出是固定長度的密文。 分組密碼的優(yōu)點是：密鑰可以在一定時間內(nèi)固定，不必每次變換，因此給密鑰配發(fā)帶來了方便。2. 分組密碼通信模式（見圖7.7）7.3 對稱密鑰密碼算法 加密算法解密算法明文x=(x1, x2, )密文y=(y1, y2, , yn )明文x=(x1, x2, )密鑰k=(k1, k2, )密鑰k=(k1, k2, )圖7.7 分組密碼通信模式圖247.3.2 分組密碼2. 分組密碼通信模式分組密碼與流密碼的不同之處在于輸出的每一位數(shù)字不是只與相應時刻輸入

17、的明文數(shù)字有關，而是與一組長為m的明文數(shù)字有關。在分組密碼通信中，通常明文與密文長度相等，稱該長度為分組長度。7.3 對稱密鑰密碼算法 257.3.3 DES算法DES (Data Encryption Standard) 是由IBM公司在20世紀70年代研制的，經(jīng)過政府的加密標準篩選后，于1976年11月被美國政府采用，隨后被美國國家標準局和美國國家標準協(xié)會(ANSI)所認可。 DES算法具有以下特點： （1）DES算法是分組加密算法：以64位為分組。 （2）DES算法是對稱算法：加密和解密用同一密鑰。 （3）DES算法的有效密鑰長度為56位。 （4）換位和置換。 （5）易于實現(xiàn)。7.3 對

18、稱密鑰密碼算法 267.3.3 DES算法1. DES的基本原理DES采用傳統(tǒng)的換位和置換的方法進行加密，在56bit密鑰的控制下，將64bit明文塊變換為64bit密文塊，加密過程包括16輪的加密迭代，每輪都采用一種乘積密碼方式(代替和移位).總體過程如下：在初始置換IP后，明文組被分為左右兩部分，每部分32位，以 L0 , R0 表示；經(jīng)過16輪運算，將數(shù)據(jù)和密鑰結(jié)合；16輪后，左、右兩部分連接在一起；經(jīng)過末置換(初始置換的逆置換)，算法完成。(見圖7.8)DES加密算法又可以簡單地用下式表示： Ek (m) = IP -1T16T15 T1IP (m)7.3 對稱密鑰密碼算法 27圖7.

19、8 DES加密算法原理287.3.3 DES算法2. 初始變換和逆初始變換初始變換是一個位變換，是將順序排列的64bit根據(jù)表7.1進行處理，即將順序排列的64bit序列 t1t2t3t64 變換成 t58t50t15t7 。逆初始變換用表7.2進行，它是表7.1的逆過程。5850423426181026052443628201246254463830221466456484032241685749413325179159514335271911361534537292113563554739312315740848165624643239747155523633138646145422623

20、0375451353216129364441252206028353431151195927342421050185826331419491757257.3 對稱密鑰密碼算法 表7.1 初始變換表表7.2 逆初始變換表 297.3.3 DES算法3. g 函數(shù)的設計函數(shù)g(Ri-1，Ki) 的結(jié)構(gòu)如圖7.9所示。首先用位選擇表7.3中的E表將Ri-1擴展成48位二進制塊E(Ri-1)，即 Ri-1 = r1 r2r31 r32 ， E(Ri) = r32 r1r31 r32 r1然后與Ki進行異或運算，接著將所得的48位數(shù)分成8個6位數(shù)，記為Bi (i=1, 2, 8)，此處，每個6位子塊都是

21、選擇函數(shù)S的輸入（即后面介紹的S盒），其輸出是一個4位二進制塊S(B)。 E(Ri-1) Ki =B1 B2B8把這些子塊合成32 位二進制塊之后，用換位表P (表7.4) 將它變換成 P(S1(B1)S8(B8) ，這就是函數(shù) g(Ri-1, Ki) 的輸出。 7.3 對稱密鑰密碼算法 303212345456789891011121312131415161716171819202120212223242524252627282928293031321表7.3 位選擇表 E 表 表7.4 換位表 P 表 16720212912281711523265183110282414322739191

22、33062211425圖7.9 函數(shù)g(Ri, Ki) 的結(jié)構(gòu)A(32位) 加密時A=Ri-1解密時A=Li選擇運算E48位結(jié)果Ki選擇函數(shù) (S1S8 )32位結(jié)果置換運算Pg(A, Ki )32位317.3.3 DES算法4. 選擇函數(shù)S盒的算法每個Sj 將一個6位塊 Bj =b1b2b3b4b5b6 轉(zhuǎn)換為一個4位塊，根據(jù)表7.5選擇函數(shù)組 S1, S8。與b1b6相對應的整數(shù)確定表中的列號，用與b2b3b4b5相對應的整數(shù)確定表中的行號，則Sj(Bj)的值就是位于該行和該列的數(shù)的4位二進制表示形式。 7.3 對稱密鑰密碼算法 32S1S2S3S4S5S6S7S8D01230123012

23、301230123012301230123014041515130131013131713103214411121094413161317214151121131480761013861512112811513311041121511121371488471090413141190421121041522111113813414314821471111499035061121171525121471384817421413461510363860612107410197291541216109451526911241534159615111107131421285093415312106111

24、321381341563890713111372691215817101171487811174141251007103138618138531013101471421383101559125111211414159851560671131410910120159106121170861381152714509151310141231559562106129321127125214823531512031341956036109111211714131061271412351214111510594141077128151411130125931012690111251111151213361

25、014016520145015313951000935411105121027093471113010155201435140356511214215142414821480553118689312956157801310515981712159414961431186131621272811表7.5 選擇函數(shù)S盒表例7.3 S盒應用實例：設B1=101100， 則S1(B1)的值位于列號為2的列和行號為6的行，即等于2， 因此S1(B1)的輸出是0010。337.3.3 DES算法5. 子密鑰 Ki 的產(chǎn)生是由初始密鑰推導出子密鑰 Ki 的過程。初始密鑰K是一個64位二進制塊，其中 8位是奇

26、偶校驗位，分別位于第8,16, 32,40,48,64位。置換選擇函數(shù)PC-1將這些奇偶校驗位去掉，并把剩下的 56位進行換7.3 對稱密鑰密碼算法 密鑰(64位)57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 2719 11 3 60 52 44 36 63 55 47 39 31 23 15 7 62 54 46 38 30 2214 6 61 53 45 37 29 21 13 5 28 20 12 4C0(28位)D0(28位)位，換位后的結(jié)果被分成兩半，如圖7.10 所示。347.3.3 DES算法5. 子密鑰 Ki

27、的產(chǎn)生令Ci 和Di 分別表示推導Ki 時所用的C和D的值，有如下的變換公式： Ci =LSi (Ci-1) ， Di =LSi (Di-1)此處是LSi 循環(huán)左移位變換，其中 LS1、LS2、LS9 和LS16 是循環(huán)左移1位變換，其余的LSi 是循環(huán)左移2位變換。圖7.10的C0和D0是C和D的初始值，顯然， C0 =K57 K49K44 K36 ， D0 =K63 K55 K12 K47.3 對稱密鑰密碼算法 357.3.3 DES算法5. 子密鑰 Ki 的產(chǎn)生按圖7.11置換選擇函數(shù)PC-2，最后通過置換選擇函數(shù)PC-2，得出： Ki =PC-2(Ci，Di)7.3 對稱密鑰密碼算法

28、圖7.11 置換選擇函數(shù)PC-2Ci(28位)Di(28位)14 17 11 24 1 5 3 28 15 6 21 1023 19 12 4 26 816 7 27 20 13 241 52 31 37 47 5530 40 51 45 33 4844 49 39 56 34 5346 42 50 36 29 32Ki(48位)367.3.3 DES算法6. DES 解密算法算法：N(Ek) = IP -1T1T2 T16IP Ek (m)DES的缺點主要有： DES的56位的密鑰長度可能太??； DES的迭代次數(shù)太大； S盒(即代替函數(shù)S)中可能有不安全因素； DES的一些關鍵部分應保密(如

29、S盒設計)。DES的安全性完全依賴于所用的密鑰。 7.3 對稱密鑰密碼算法 377.4.1 公鑰密碼體制及其設計的基本原理1. 設計公鑰密碼體制的基本原理 在公鑰密碼中，解密密鑰和加密密鑰不同，從一個難于推出另一個，解密和加密是可分離的，加密密鑰是可以公開的。 核心問題是找一個陷門單向函數(shù)。 7.4 公鑰密碼算法 387.4.1 公鑰密碼體制及其設計的基本原理1. 設計公鑰密碼體制的基本原理 如果函數(shù) f(x) 滿足以下條件： (1) 對 f(x) 的定義域中的任意 x，都容易計算函數(shù)值 f(x); (2) 對于 f(x) 的值域中的幾乎所有的 y，即使已知 f 要計算 f -1(y)也是不可

30、行的； 則稱 f(x)是單向函數(shù)(One-way Function)。若給定某些輔助信息時又容易計算單向函數(shù) f 的逆 f -1 ，則稱 f(x)是一個陷門單向函數(shù)。這一輔助信息就是秘密的解密密鑰。這就是設計公鑰密碼體制的基本原理。 7.4 公鑰密碼算法 397.4.1 公鑰密碼體制及其設計的基本原理2. 公鑰密碼體制公鑰密碼體制稱為雙密鑰密碼體制或非對稱密碼體制.將序列密碼和分組密碼等稱為單密鑰密碼體制或?qū)ΨQ密鑰密碼體制。單鑰加密中使用的密鑰稱為秘密密鑰(Secret Key)。公開密鑰加密中使用的兩個密鑰分別稱為公開密鑰(Public Key) 和私有密鑰(Private Key)。 公開

31、密鑰的應用 ： (1)加密和解密；(2)數(shù)字簽名；(3)密鑰交換。 7.4 公鑰密碼算法 407.4.1 公鑰密碼體制及其設計的基本原理3. 公開密鑰密碼系統(tǒng)原理 公開密鑰算法用一個密鑰進行加密，而用另一個不同但是相關的密鑰進行解密： 僅僅知道密碼算法和加密密鑰而要確定解密密 鑰，在計算上是不可能的； 兩個相關密鑰中任何一個都可以用作加密而讓另 外一個解密。4.公鑰密碼體制的安全性（計算安全性） 是由公鑰密碼算法中求陷門單向函數(shù)的逆的復雜性 決定的。 7.4 公鑰密碼算法 417.4.2 RSA加密系統(tǒng)1. RSA算法簡單描述實現(xiàn)步驟： B尋找出兩個大素數(shù) p 和 q。 B計算出 n = pq

32、 和 (n) = (p-1)(q-1)。 B選擇一個隨機數(shù) b (0b(n)，滿足 (b, (n) =1 (即 b 和 (n) 互素)。 B使用Euclidean (歐幾里得)算法計算 a = b-1(mod (n)。 B在目錄中公開n和b作為他的公開密鑰，保密 p、q 和 a。 加密時，對每一明文m 計算密文：c = mb (mod n) 解密時，對每一密文c 計算明文： m = c a (mod n) 7.4 公鑰密碼算法 427.4.2 RSA加密系統(tǒng)RSA算法主要用于數(shù)據(jù)加密和數(shù)字簽名。RSA算法用于數(shù)字簽名時，公鑰和私鑰的角色可變換，即將消息用 a 加密簽名，用 b 驗證簽名。2RS

33、A算法實例（見例7.4）7.4 公鑰密碼算法 43例7. 4 假定用戶B選擇兩個素數(shù) p =3，q =11，則 n=pq=33， (n) =(3-1)(11-1) =20。取 b =3，顯然 (b, (n) = (3, 20) =1， 再由Euclidean算法，對 aZ33=0,1,32，a =b-1(mod20), 在本例中求出 a =7 或 a =27。一般地，a的值不是唯一的，這里選 a =7，即B公開 n =33 和 b =3，保密 p =3，q=11 和 a =7。 現(xiàn)在用戶A想把明文 m =19 發(fā)送給B。 A加密明文 m =19，得密文： c =Ek (m) m b (mod

34、n) 193(mod 33) =28 A在公開信道上將加密后的密文c =28發(fā)送給B，當B收到密文 c =28時，解密可得： m=c a (mod n) = 287 (mod 33) = 19 從而B得到A發(fā)送的明文 m =19。 7.4 公鑰密碼算法 447.4.2 RSA加密系統(tǒng)RSA算法的基本原理可歸納如下： 設 p,q 是兩個不同的奇素數(shù),n= pq,則 (n)=(p-1)(q-1), 密鑰 k =(n, p, q, a, b) | ab1(mod (n)，a, bZn , (b, (n)=1，0b(n)， 對每一個 k = (n, p, q, a, b)， 定義加密變換為：Ek (x

35、) x b (mod n)，xZn 定義解密變換為：Dk (y) y a (mod n)，yZnRSA密碼體制是公開加密密鑰 n 與 b，保密解密密鑰 a以及輔助信息 p 與 q。7.4 公鑰密碼算法 457.4.2 RSA加密系統(tǒng)3RSA的安全性RSA算法的理論基礎是一種特殊的可逆模指數(shù)運算，它的安全性是基于分解大整數(shù) n的困難性。 三種可能攻擊RSA算法的方法是： 強行攻擊：這包含對所有的私有密鑰都進行嘗試; 數(shù)學攻擊：因子分解； 定時攻擊：這依賴于解密算法的運行時間。要求：不要隨便提交；不要隨便共享 n； 利用隨機信息。7.4 公鑰密碼算法 467.5.1 數(shù)字簽名概述數(shù)字簽名就是防止他

36、人對傳輸?shù)奈募M行破壞以及如何確定發(fā)信人的身份的手段。數(shù)字簽名主要利用公鑰密碼技術。數(shù)字簽名經(jīng)過長時間的研究，已經(jīng)有了自己的研究體系，形成了自己的理論框架。 目前已有 RSA、橢圓曲線等經(jīng)典簽名，也有盲簽名、代理簽名、群簽名、不可否認簽名、公平盲簽名、門限簽名、具有消息恢復功能的簽名等與具體應用環(huán)境密切相關的特殊簽名。 7.5 數(shù)字簽名技術 477.5.2 數(shù)字簽名的概念和特點1. 數(shù)字簽名的特點作用： 第一，信息是由簽名者發(fā)送的； 第二，信息自簽發(fā)后到收到為止未曾做過任何修改; 第三，如果 A 否認對信息的簽名，可以通過仲裁解 決 A 和 B 之間的爭議。數(shù)字簽名特殊性：隨文本的變化而變化；

37、與文本信息是不可分割的。 完善的數(shù)字簽名應具備簽字方不能抵賴、他人不能偽造、在公證人面前能夠驗證真?zhèn)蔚哪芰Α?7.5 數(shù)字簽名技術 487.5.2 數(shù)字簽名的概念和特點2. 數(shù)字簽名的形式化定義個簽名方案由簽署算法與驗證算法兩部分構(gòu)成，可用五元關系組（P，A，K，S，V）進行形式化表示。簽名者收到(x, s)后，計算Verk(x, y)，若 y=Sigk(x)，則Verk(x, y) =真；若 ySigk(x)，則Verk(x, y)=假。 3. 數(shù)字簽名的功能 (1)身份認證 (2)保密 (3)完整性 (4)不可抵賴 4電子簽名的法律地位7.5 數(shù)字簽名技術 497.5.3 數(shù)字簽名方案的分

38、類1基于數(shù)學難題的分類 （1）基于離散對數(shù)問題的簽名方案 （2）基于素因子分解問題的簽名方案（3）上述兩種的結(jié)合簽名方案 2基于簽名用戶的分類（1）單個用戶簽名的數(shù)字簽名方案（2）多個用戶的數(shù)字簽名方案。7.5 數(shù)字簽名技術 507.5.3 數(shù)字簽名方案的分類3基于數(shù)字簽名所具有特性的分類 （1）不具有自動恢復特性的數(shù)字簽名方案 （2）具有消息自動恢復特性的數(shù)字簽名方案4基于數(shù)字簽名所涉及的通信角色分類（1）直接數(shù)字簽名（2）需仲裁的數(shù)字簽名7.5 數(shù)字簽名技術 517.5.4 數(shù)字簽名的使用模式目前使用的電子簽名主要有三種模式： (1) 智慧卡式 (2) 密碼式 (3) 生物測定式實際應用過

39、程中，大都是將以上兩種或三種數(shù)字簽名技術結(jié)合在一起，這樣可提高電子簽名的安全和可靠性。7.5 數(shù)字簽名技術 527.5.5 數(shù)字簽名使用原理7.5 數(shù)字簽名技術 53數(shù)字簽名和驗證的步驟：明文數(shù)字摘要1加密后的數(shù)字簽名Hash函數(shù)發(fā)送方私鑰加密明文密文會話密鑰加密（對稱加密）會話密鑰加密后的會話密鑰接收方公鑰加密數(shù)字摘要1發(fā)送方公鑰解密明文數(shù)字摘要2Hash函數(shù)會話密鑰原文接收方私鑰解密是否相同？相同不相同文件內(nèi)容完整文件內(nèi)容被篡改解密比較發(fā)送方接收方547.5.6 常規(guī)數(shù)字簽名方法1RSA簽名方案RSA簽名方案是利用RSA公鑰密碼體制建立的一種實用的數(shù)字簽名方案。簽名算法 驗證算法 2OSS

40、簽名方案 OSS簽名方案也是一種公鑰體制的簽名方案，這種方案是由Ong，Schnorr和Shamir三人在1985年提出的。簽名算法 驗證算法7.5 數(shù)字簽名技術 557.5.7 數(shù)字簽名的發(fā)展與挑戰(zhàn)目前幾乎所有的公鑰密碼體制都是基于以下三種數(shù)學疑難問題之一：(1) 背包問題(2) 離散對數(shù)問題 (3) 因子分解問題數(shù)字簽名方案基于如此狹窄的數(shù)學基礎令人擔憂，以上數(shù)學難題取得突破性進展，所有公開密鑰體制以及以公開密鑰體制為基礎的數(shù)字簽名方案將不再安全。目前只有使用充分大的數(shù)來保證其安全性。 7.5 數(shù)字簽名技術 567.6.1 識別協(xié)議概述 識別協(xié)議所要解決的問題：使用戶A既能進入計算機又不泄

41、露用戶A的任何識別信息？一個安全的識別協(xié)議至少應滿足以下兩個條件：(1) 用戶A能向驗證者B證明他的確是A；(2) 用戶A向驗證者B證明自己的身份時，沒有讓驗證 者B獲得任何有用的信息，B不能模仿A向其他人證明他 是用戶A。從實用角度講，一個安全識別協(xié)議的設計應該越簡 單越好，而且需要的計算量和儲存量都要盡可能小，最好能在一個智能卡上實現(xiàn)。 7.6 識別協(xié)議 577.6.2 Feige-Fiat-Shamir 識別協(xié)議識別協(xié)議一般是由數(shù)字簽名方案改進而成的，相 反，每一個識別協(xié)議都可派生一個數(shù)字簽名方案。 Feige-Fiat-Shamir識別協(xié)議是由一個屬于仲裁數(shù)字簽名方案改進而成的。具體識

42、別協(xié)議 以及過程見課本p224。7.6.3 改進的Feige-Fiat-Shamir 識別協(xié)議為了減少數(shù)據(jù)交換次數(shù)，增加每輪簽字的數(shù)量， Feige，F(xiàn)iat和Shamir三位設計者在1988年給出了改進后的識別協(xié)議。 具體見課本p225 226 7.6 識別協(xié)議 587.7.1 密鑰管理的意義密碼體制、數(shù)字簽名以及識別協(xié)議的安全性算法的 安全性的前提是秘密密鑰是安全的，其他人是不知道的。一旦秘密密鑰丟失或出錯，密碼體制、數(shù)字簽名和識別協(xié)議就不安全了。因此密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是極為重要。密鑰管理包括密鑰的產(chǎn)生、存儲、分配、保護、保密等內(nèi)容。 7.7 密鑰管理 597.7.2 密鑰分類與產(chǎn)生密鑰的主要種類：用戶密鑰、會話密鑰、密鑰加密密鑰和主機主密鑰。各類密鑰可由密鑰生成器產(chǎn)生。密鑰生成器 的算法安全性要求：（1）具有隨機性，避免可預測性；（2）即使有一個或數(shù)個泄露，還能有足夠的安全性；（3）動態(tài)性。 7.7 密鑰管理 607