信息保密技術(shù)課件

1、信息安全與技術(shù)清華大學(xué)出版社第3章 信息保密技術(shù)隨著計(jì)算機(jī)和通信網(wǎng)絡(luò)的廣泛應(yīng)用，特別是電子商務(wù)的快速發(fā)展，信息的安全性受到人們的普遍重視，大量的敏感信息（如銀行帳號(hào)、商務(wù)交易、網(wǎng)上報(bào)稅以及個(gè)人信息等）需要通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸，這些信息對(duì)用戶(hù)來(lái)講需要保密，因此，密碼技術(shù)是信息安全的基礎(chǔ)，是保護(hù)數(shù)據(jù)不可或缺的重要工具，在信息安全領(lǐng)域占有重要地位。第1節(jié)密碼學(xué)的發(fā)展歷程人類(lèi)早在遠(yuǎn)古時(shí)期就有了相互隱瞞信息的想法，自從有了文字來(lái)表達(dá)人們的思想開(kāi)始，人類(lèi)就懂得了如何用文字與他人分享信息以及用文字秘密傳遞信息的方法，這就催生了信息保密科學(xué)的誕生和發(fā)展。密碼學(xué)的發(fā)展可以追溯到四千年前，其發(fā)展歷史比較悠久。密碼學(xué)的

2、發(fā)展大致經(jīng)歷了手工加密、機(jī)械加密和計(jì)算機(jī)加密三個(gè)階段。1手工加密階段2機(jī)械加密階段3計(jì)算機(jī)加密階段第2節(jié) 密碼學(xué)中的基本術(shù)語(yǔ) 密碼學(xué)的英文為Cryptography，該詞來(lái)源于古希臘語(yǔ)的Kryptos和Graphein，希臘語(yǔ)的原意是密寫(xiě)術(shù)，即將易懂的信息（如文字）通過(guò)一些變換轉(zhuǎn)換成難以理解的信息（如令人費(fèi)解的符號(hào)）。密碼學(xué)研究進(jìn)行保密通信和如何實(shí)現(xiàn)信息保密的問(wèn)題，具體指通信保密傳輸和信息存儲(chǔ)加密等。它以認(rèn)識(shí)密碼變換的本質(zhì)、研究密碼保密與破譯的基本規(guī)律為對(duì)象，主要以可靠的數(shù)學(xué)方法和理論為基礎(chǔ)，對(duì)解決信息安全中的機(jī)密性、數(shù)據(jù)完整性、認(rèn)證和身份識(shí)別，對(duì)信息的可控性及不可抵賴(lài)性等問(wèn)題提供系統(tǒng)的理論、

3、方法和技術(shù)。密碼學(xué)包括兩個(gè)分支：密碼編碼學(xué)和密碼分析學(xué)。密碼編碼學(xué)研究對(duì)信息進(jìn)行編碼，實(shí)現(xiàn)對(duì)信息的隱藏；密碼分析學(xué)研究加密消息的破譯或消息的偽造。下面是密碼學(xué)中一些常用的術(shù)語(yǔ)：（1）明文（Plaintext/Message）：指待加密的信息，用P或M表示。明文可以是文本文件、圖形、數(shù)字化存儲(chǔ)的語(yǔ)音流或數(shù)字化的視頻圖像的比特流等。（2）密文（Cipertext）：指明文經(jīng)過(guò)加密處理后的形式，用C表示。（3）加密（Encryption）：指用某種方法偽裝消息以隱藏它的內(nèi)容的過(guò)程。（4）加密算法（Encryption Algorithm）：指將明文變換為密文的變換函數(shù)，通常用E表示。（5）解密（De

4、cryption）：指把密文轉(zhuǎn)換成明文的過(guò)程。（6）解密算法（Decryption Algorithm）：指將密文變換為明文的變換函數(shù)，通常用D表示。（7）密鑰（Key）：變換函數(shù)所用的一個(gè)控制參數(shù)。加密和解密算法的操作通常是在一組密鑰控制下進(jìn)行的，分別稱(chēng)為加密密鑰和解密密鑰，通常用K表示。（8）密碼分析（Cryptanalysis）：指截獲密文者試圖通過(guò)分析截獲的密文從而推斷出原來(lái)的明文或密鑰的過(guò)程。（9）被動(dòng)攻擊（Passive Attack）：指對(duì)一個(gè)保密系統(tǒng)采取截獲密文并對(duì)其進(jìn)行分析和攻擊。這種攻擊對(duì)密文沒(méi)有破壞作用。（10）主動(dòng)攻擊（Active Attack）：指攻擊者非法侵入一個(gè)

5、密碼系統(tǒng)，采用偽造、修改、刪除等手段向系統(tǒng)注入假消息進(jìn)行欺騙。這種攻擊對(duì)密文具有破壞作用。（11）密碼系統(tǒng)（Cryptosystem）：指用于加密和解密的系統(tǒng)。加密時(shí)，系統(tǒng)輸入明文和加密密鑰，加密變換后，輸出密文；解密時(shí)，系統(tǒng)輸入密文和解密密鑰，解密變換后，輸出明文。（12）密碼體制：密碼系統(tǒng)采用的基本工作方式稱(chēng)為密碼體制。密碼體制的要素是密碼算法和密鑰。根據(jù)密鑰的使用方式和密碼算法的加密方式可以對(duì)密碼系統(tǒng)進(jìn)行不同的分類(lèi)。第3節(jié)古典密碼體制 古典密碼時(shí)期一般認(rèn)為是從古代到19世紀(jì)末，這個(gè)時(shí)期生產(chǎn)力水平低，加密、解密方法主要以紙、筆或者簡(jiǎn)單的器械來(lái)實(shí)現(xiàn)，在這個(gè)時(shí)期提出和使用的密碼稱(chēng)為古典密碼。古

6、典密碼是密碼學(xué)發(fā)展的初級(jí)階段。盡管古典密碼大都較簡(jiǎn)單，但由于其安全性差，目前應(yīng)用很少。研究古典密碼的原理，有助于理解、構(gòu)造和分析近代密碼。替代（Substitution）和置換（Permutation）是古典密碼中用到的兩種基本處理技巧，它們?cè)诂F(xiàn)代密碼學(xué)中也得到了廣泛使用。一、替代密碼 替代密碼（Substitution Cipher）是明文中的每一個(gè)字符被替換成密文中的另一個(gè)字符。接收者對(duì)密文做反向替換就可以恢復(fù)出明文。古典密碼學(xué)中采用代換運(yùn)算的典型密碼算法有單表密碼、多表密碼等。1單表密碼單表密碼全稱(chēng)單表替代密碼。單表替代密碼是對(duì)明文中的所有字母都使用同一個(gè)映射，即 為了保證加密的可逆性，

7、一般要求映射是一一映射。單表代換最典型的例子就是著名的凱撒密碼，一般意義上的單表替代也稱(chēng)移位密碼、乘法密碼、仿射密碼、使用密鑰詞（組）的單表替代和隨機(jī)替代等。下面通過(guò)凱撒密碼和使用密鑰詞組的單表替代為例進(jìn)行介紹。（1）凱撒密碼凱撒密碼是把字母表中的每個(gè)字母用該字母后面第3個(gè)字母進(jìn)行替代，如表3-2所示。為便于區(qū)分，我們用小寫(xiě)字母表示明文，大寫(xiě)字母表示密文。例3-1 明文：this is a book。 密文：WKLV LV D ERRN。明文和密文空間是26個(gè)字母的循環(huán)，所以z后面的字母是a。如果為每個(gè)字母分配一個(gè)數(shù)值(a=0，b=l，z=25)，則該算法能夠表示如下：其中代表密文，代表明文。

8、（2）使用密鑰詞（組）的單表替代這種密碼選用一個(gè)英文短語(yǔ)或單詞串作為密鑰，去掉其中重復(fù)的字母得到一個(gè)無(wú)重復(fù)字母的字母串，然后再將字母表中的其他字母依次寫(xiě)于此字母串之后，就可構(gòu)造出一個(gè)字母替代表。這種單表替代泄露給破譯者的信息更少，而且密鑰可以隨時(shí)更改，增加了靈活性。例3-2 設(shè)密鑰為：time。密碼表如表3-3所示。因此，如果明文為“code”，則對(duì)應(yīng)的密文為：“MNEA”。例3-3 設(shè)密鑰為：timeiup。密碼表如表3-4所示。因此，如果明文為“code”，則對(duì)應(yīng)的密文為MHEI”。單表替代密碼的密鑰量很小，不能抵抗窮盡搜索攻擊。并且很容易受到統(tǒng)計(jì)分析的攻擊。因?yàn)槿绻艽a分析者知道明文的某

9、些性質(zhì)（如非壓縮的英文），則分析者就能夠利用該語(yǔ)言的規(guī)律性進(jìn)行分析，從這一點(diǎn)意義上講，漢語(yǔ)在加密方面的特性要優(yōu)于英語(yǔ)，因?yàn)闈h語(yǔ)常用字有3 000多個(gè)，而英語(yǔ)只有26個(gè)字母。2多表密碼單表替代密碼的明文中單字母出現(xiàn)頻率分布與密文中的相同，為了克服這個(gè)缺點(diǎn)，多表替代密碼使用從明文字母到密文字母的多個(gè)映射來(lái)隱藏單字母出現(xiàn)的頻率分布，其中每個(gè)映射是簡(jiǎn)單替代密碼中的一對(duì)一映射（即處理明文消息時(shí)使用不同的單字母替代）。多表替代密碼將明文字符劃分為長(zhǎng)度相同的消息單元，稱(chēng)之為明文組，對(duì)不同明文組進(jìn)行不同的替代，即使用了多張單字母替代表，從而使同一個(gè)字符對(duì)應(yīng)不同的密文，改變了單表代替中密文與明文字母的唯一對(duì)應(yīng)性

10、，使密碼分析更加困難。多字母代替的優(yōu)點(diǎn)是很容易將字母的自然頻度隱蔽或均勻化，從而可以抗擊統(tǒng)計(jì)概率分析。Playfair密碼、Vigenere密碼、Hill密碼都是這一類(lèi)型的密碼。（1）Playfair密碼Playfair密碼出現(xiàn)于1854年，它將明文中的雙字母組合作為一個(gè)單元對(duì)待，并將這些單元轉(zhuǎn)換為密文雙字母組合。Playfair密碼基于一個(gè)字母矩陣，該矩陣使用一個(gè)關(guān)鍵詞（密鑰）來(lái)構(gòu)造，其構(gòu)造方法是：從左至右、從上至下依次填入關(guān)鍵詞的字母（去除重復(fù)的字母），然后再以字母表順序依次填入其他字母。字母I和J被算為一個(gè)字母（即J被當(dāng)做I處理）。例3-4 密鑰是monarchy。解：構(gòu)造的字母矩陣如表

11、3-5所示。表3-5 字母矩陣表MONARCHYBDEFGI/JKLPQSTUVWXZ如果明文是：P= armuhsea先將明文分成兩個(gè)一組： ar mu hs ea 根據(jù)表3-5的對(duì)應(yīng)密文為： RM CM BP IM(JM)Playfair密碼與簡(jiǎn)單的單一字母替代法密碼相比有了很大的進(jìn)步。首先，雖然僅有26個(gè)字母，但有676（）種雙字母組合，因此識(shí)別各種雙字母組合要比簡(jiǎn)單的單一字母替代法密碼困難得多；其次，各個(gè)字母組的頻率要比單字母范圍大，這使得頻率分析更加困難。盡管如此，Playfair密碼還是相對(duì)容易攻破的，因?yàn)樗匀皇乖S多明文語(yǔ)言的結(jié)構(gòu)保存完好。幾百字的密文通常就足以用統(tǒng)計(jì)分析破譯了。

12、區(qū)別Playfair密碼和單表密碼的有效方法是：計(jì)算在文本中每個(gè)字母出現(xiàn)的數(shù)量，并與字母e（最為常用的字母）出現(xiàn)的數(shù)量相除，設(shè)e的相對(duì)頻率為1，則其他字母的相對(duì)頻率可以得出，如t的相對(duì)頻率為0.67，然后畫(huà)一個(gè)圖線，水平軸上的點(diǎn)對(duì)應(yīng)于以遞減頻率順序排列的字母。為了歸一化該圖線，在密文中出現(xiàn)的每個(gè)字母的數(shù)量再次被e在明文中出現(xiàn)的次數(shù)相除。因此結(jié)果圖線顯示了由加密屏蔽的字母的頻率分布的程度，這使得分解替代密碼十分容易。如果該頻率分布信息全部隱藏在該加密過(guò)程中，頻率的明文圖線將是平坦的，使用單字母統(tǒng)計(jì)分析方法將很難破譯該密碼。（2）Vigenere密碼Vigenere密碼是16世紀(jì)法國(guó)著名密碼學(xué)家B

13、laise de Vigenere于1568年發(fā)明的，它是最著名的多表替代密碼的例子。Vigenere密碼使用一個(gè)詞組作為密鑰，密鑰中每一個(gè)字母用來(lái)確定一個(gè)替代表，每一個(gè)密鑰字母被用來(lái)加密一個(gè)明文字母，第一個(gè)密鑰字母加密明文的第一個(gè)字母，第二個(gè)密鑰字母加密明文的第二個(gè)字母，等所有密鑰字母使用完后，密鑰又再循環(huán)使用。為了幫助理解該算法，需要構(gòu)造一個(gè)表（如圖3-3所示），26個(gè)密文都是水平排列的，最左邊一列為密鑰字母，最上面一行為明文字母。 （3）Hill密碼Hill密碼是由數(shù)學(xué)家Lester Hill于1929年研制的，它也是一種多表密碼，實(shí)際上它是仿射密碼技術(shù)的特例。其基本加密思想將個(gè)明文字母

14、通過(guò)線性變換，將它們轉(zhuǎn)換為個(gè)密文字母。解密只需做一次逆變換即可。Hill密碼特點(diǎn)：可以較好地抑制自然語(yǔ)言的統(tǒng)計(jì)特性，不再有單字母替換的一一對(duì)應(yīng)關(guān)系，對(duì)抗“惟密文攻擊”有較高安全強(qiáng)度。密鑰空間較大，在忽略密鑰矩陣K可逆限制條件下， 。易受已知明文攻擊及選擇明文攻擊。二、置換密碼 置換密碼（Permutation Cipher）加密過(guò)程中明文的字母保持相同，但順序被打亂了，又被稱(chēng)為換位密碼。在這里我們介紹一種較常見(jiàn)的置換處理方法是：將明文按行寫(xiě)在一張格紙上，然后再按列的方式讀出結(jié)果，即為密文；為了增加變換的復(fù)雜性，可以設(shè)定讀出列的不同次序（該次序即為算法的密鑰）。在置換密碼中，明文的字母相同，但出

15、現(xiàn)的順序被打亂了，經(jīng)過(guò)多步置換會(huì)進(jìn)一步打亂字母順序。但由于密文字符與明文字符相同，密文中字母的出現(xiàn)頻率與明文中字母的出現(xiàn)頻率相同，密碼分析者可以很容易地辨別。如果將置換密碼與其他密碼技術(shù)結(jié)合，則可以得出十分有效的密碼編碼方案第4節(jié) 對(duì)稱(chēng)密碼體制 對(duì)稱(chēng)密碼體制（Symmetric Encryption）也稱(chēng)為秘密密鑰密碼體制、單密鑰密碼體制或常規(guī)密碼體制，其模型如圖所示。如果一個(gè)密碼算法的加密密鑰和解密密鑰相同，或由其中一個(gè)很容易推導(dǎo)出另一個(gè)，該算法就是對(duì)稱(chēng)密碼算法，滿足關(guān)系： M=DK (C)=DK(EK(M) 。圖 對(duì)稱(chēng)密碼模型一個(gè)攻擊者（密碼分析者）能基于不安全的公開(kāi)信道觀察密文，但不能接

16、觸到明文或密鑰，他可以試圖恢復(fù)明文或密鑰。假定他知道加密算法和解密算法，只對(duì)當(dāng)前這個(gè)特定的消息感興趣，則努力的焦點(diǎn)是通過(guò)產(chǎn)生一個(gè)明文的估計(jì)值來(lái)恢復(fù)明文。如果他也對(duì)讀取未來(lái)的消息感興趣，他就需要試圖通過(guò)產(chǎn)生一個(gè)密鑰的估計(jì)值來(lái)恢復(fù)密鑰，這是一個(gè)密碼分析的過(guò)程。對(duì)稱(chēng)密碼體制的安全性主要取決于兩個(gè)因素：第一，加密算法必須足夠安全，使得不必為算法保密，僅根據(jù)密文就能破譯出消息是計(jì)算上不可行的；第二，密鑰的安全性，即密鑰必須保密并保證有足夠大的密鑰空間。對(duì)稱(chēng)密碼體制要求基于密文和加密/解密算法的知識(shí)能破譯出消息的做法是計(jì)算上不可行的。對(duì)稱(chēng)密碼算法的優(yōu)缺點(diǎn)如下：（1）優(yōu)點(diǎn)：加密、解密處理速度快，保密度高等。

17、（2）缺點(diǎn)：密鑰是保密通信安全的關(guān)鍵，發(fā)信方必須安全、妥善地把密鑰護(hù)送到收信方，不能泄露其內(nèi)容。如何才能把密鑰安全地送到收信方，是對(duì)稱(chēng)密碼算法的突出問(wèn)題。對(duì)稱(chēng)密碼算法的密鑰分發(fā)過(guò)程復(fù)雜，所花代價(jià)高；多人通信時(shí)密鑰組合的數(shù)量會(huì)出現(xiàn)爆炸性膨脹，使密鑰分發(fā)更加復(fù)雜化，若有個(gè)用戶(hù)進(jìn)行兩兩通信，總共需要的密鑰數(shù)為個(gè)；通信雙方必須統(tǒng)一密鑰，才能發(fā)送保密的信息。如果發(fā)信者與收信人素不相識(shí)，這就無(wú)法向?qū)Ψ桨l(fā)送秘密信息了。除了密鑰管理與分發(fā)問(wèn)題，對(duì)稱(chēng)密碼算法還存在數(shù)字簽名困難問(wèn)題（通信雙方擁有同樣的消息，接收方可以偽造簽名，發(fā)送方也可以否認(rèn)發(fā)送過(guò)某消息）。對(duì)稱(chēng)密碼體制分為兩類(lèi)：一類(lèi)是對(duì)明文的單個(gè)位（或字節(jié)）進(jìn)行

18、運(yùn)算的算法，稱(chēng)為序列密碼算法，也稱(chēng)為流密碼算法（Stream cipher）；另一類(lèi)算法是把明文信息劃分成不同的塊（或小組）結(jié)構(gòu)，分別對(duì)每個(gè)塊（或小組）進(jìn)行加密和解密，稱(chēng)為分組密碼算法（Block cipher）。一、序列密碼 序列密碼分為同步序列密碼和自同步序列密碼兩種。同步序列密碼要求發(fā)送方和接收方必須是同步的，在同樣的位置用同樣的密鑰才能保證正確地解密。如果在傳輸過(guò)程中密文序列有被篡改、刪除、插入等錯(cuò)誤導(dǎo)致同步失效，則不可能成功解密，只能通過(guò)重新同步來(lái)實(shí)現(xiàn)解密、恢復(fù)密文。在傳輸期間，一個(gè)密文位的改變只影響該位的恢復(fù)，不會(huì)對(duì)后繼位產(chǎn)生影響。自同步序列密碼的密鑰的產(chǎn)生與密鑰和已產(chǎn)生的固定數(shù)量

19、的密文位有關(guān)，因此，密文中產(chǎn)生的一個(gè)錯(cuò)誤會(huì)影響到后面有限位的正確解密。所以，自同步密碼的密碼分析比同步密碼的密碼分析更加困難。序列密碼具有實(shí)現(xiàn)簡(jiǎn)單、便于硬件計(jì)算、加密與解密處理速度快、低錯(cuò)誤（沒(méi)有或只有有限位的錯(cuò)誤）傳播等優(yōu)點(diǎn)，但同時(shí)也暴露出對(duì)錯(cuò)誤的產(chǎn)生不敏感的缺點(diǎn)。序列密碼涉及大量的理論知識(shí)，許多研究成果并沒(méi)有完全公開(kāi)，這也許是因?yàn)樾蛄忻艽a目前主要用于軍事和外交等機(jī)要部門(mén)的緣故。目前，公開(kāi)的序列密碼主要有RC4、SEAL等。1偽隨機(jī)序列在序列密碼中，一個(gè)好的密鑰流序列應(yīng)該滿足：具有良好的偽隨機(jī)性，如極大的周期、極大的線性復(fù)雜度、序列中0和1的分布均勻；產(chǎn)生的算法簡(jiǎn)單；硬件實(shí)現(xiàn)方便。2線性反饋

20、移位寄存器通常，產(chǎn)生密鑰流序列的硬件是反饋移位寄存器。一個(gè)反饋移位寄存器由兩部分組成：移位寄存器和反饋函數(shù)（如圖所示）。anan-1a2a1反饋函數(shù)移位寄存器輸出位圖3-6 反饋移位寄存器3RC4RC4是由麻省理工學(xué)院的Ron Rivest教授在1987年為RSA公司設(shè)計(jì)的一種可變密鑰長(zhǎng)度、面向字節(jié)流的序列密碼。RC4是目前使用最廣泛的序列密碼之一，已應(yīng)用于Microsoft Windows、Lotus Notes和其他應(yīng)用軟件中，特別是應(yīng)用到SSL協(xié)議和無(wú)線通信方面。RC4算法很簡(jiǎn)單，它以一個(gè)數(shù)據(jù)表為基礎(chǔ)，對(duì)表進(jìn)行非線性變換，從而產(chǎn)生密碼流序列。RC4包含兩個(gè)主要算法：密鑰調(diào)度算法（Key-

21、Scheduling Algorithm，KSA）和偽隨機(jī)生成算法（Pseudo Random Generation Algorithm，PRGA）。二、分組密碼 分組密碼的本質(zhì)就是由密鑰控制的從明文空間（長(zhǎng)為的比特串的集合）到密文空間（長(zhǎng)為的比特串的集合）的一個(gè)一對(duì)一映射。為了保證密碼算法的安全強(qiáng)度，加密變換的構(gòu)造應(yīng)遵循下列幾個(gè)原則：（1）分組長(zhǎng)度足夠大。當(dāng)分組長(zhǎng)度較小時(shí)，容易受到暴力窮舉攻擊，因此要有足夠大的分組長(zhǎng)度來(lái)保證足夠大的明文空間，避免給攻擊者提供太多的明文統(tǒng)計(jì)特征信息。（2）密鑰量空間足夠大，以抵抗攻擊者通過(guò)窮舉密鑰破譯密文或者獲得密鑰信息。（3）加密變換足夠復(fù)雜，以加強(qiáng)分組密碼

22、算法自身的安全性，使攻擊者無(wú)法利用簡(jiǎn)單的數(shù)學(xué)關(guān)系找到破譯缺口。（4）加密和解密運(yùn)算簡(jiǎn)單，易于實(shí)現(xiàn)。分組加密算法將信息分成固定長(zhǎng)度的二進(jìn)制位串進(jìn)行變換。為便于軟、硬件的實(shí)現(xiàn)，一般應(yīng)選取加法、乘法、異或和移位等簡(jiǎn)單的運(yùn)算，以避免使用逐比特的轉(zhuǎn)換。（5）加密和解密的邏輯結(jié)構(gòu)最好一致。如果加密、解密過(guò)程的算法邏輯部件一致，那么加密、解密可以由同一部件實(shí)現(xiàn)，區(qū)別在于所使用的密鑰不同，以簡(jiǎn)化密碼系統(tǒng)整體結(jié)構(gòu)的復(fù)雜性。三、數(shù)據(jù)加密標(biāo)準(zhǔn)DES 20世紀(jì)60年代末，IBM公司開(kāi)始研制計(jì)算機(jī)密碼算法，在1971年結(jié)束時(shí)提出了一種稱(chēng)為L(zhǎng)uciffer的密碼算法，它是當(dāng)時(shí)最好的算法，也是最初的數(shù)據(jù)加密算法。1973年

23、美國(guó)國(guó)家標(biāo)準(zhǔn)局（NBS，現(xiàn)在的美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所，NIST）征求國(guó)家密碼標(biāo)準(zhǔn)方案，IBM就提交了這個(gè)算法。1977年7月15日，該算法被正式采納作為美國(guó)聯(lián)邦信息處理標(biāo)準(zhǔn)生效，成為事實(shí)上的國(guó)際商用數(shù)據(jù)加密標(biāo)準(zhǔn)被使用，即數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）。當(dāng)時(shí)規(guī)定其有效期為5年，后經(jīng)幾次授權(quán)續(xù)用，真正有效期限長(zhǎng)達(dá)20年。在這20年中，DES算法在數(shù)據(jù)加密領(lǐng)域發(fā)揮了不可替代的作用。 進(jìn)入20世紀(jì)90年代以后，由于DES密鑰長(zhǎng)度偏短等缺陷，不斷受到諸如差分密碼分析（由以色列密碼專(zhuān)家Shamir提出）和線性密碼分析（由日本密碼學(xué)家Matsui等人提出）等各種攻擊

24、威脅，使其安全性受到嚴(yán)重的挑戰(zhàn)，而且不斷傳出被破解的消息。鑒于此，美國(guó)國(guó)家保密局經(jīng)多年授權(quán)評(píng)估后認(rèn)為，DES算法已沒(méi)有安全性可言。于是NIST決定在1998年12月以后不再使用DES來(lái)保護(hù)官方機(jī)密，只推薦作為一般商業(yè)使用。1999年又頒布新標(biāo)準(zhǔn)，并規(guī)定DES只能用于遺留密碼系統(tǒng)，但可以使用加密的3DES加密算法。但不管怎樣，DES的出現(xiàn)推動(dòng)了分組密碼理論的研究，起到了促進(jìn)分組密碼發(fā)展的重要作用，而且它的設(shè)計(jì)思想對(duì)掌握分組密碼的基本理論和工程應(yīng)用有著重要的參考價(jià)值。1DES算法加密過(guò)程DES對(duì)64位的明文分組進(jìn)行操作。通過(guò)一個(gè)初始置換，將明文分組分成左半部分和右半部分，各32位長(zhǎng)。然后進(jìn)行16輪

25、完全相同的運(yùn)算，這些運(yùn)算被稱(chēng)為函數(shù)，在運(yùn)算過(guò)程中數(shù)據(jù)與密鑰結(jié)合。經(jīng)過(guò)16輪后，左、右半部分合在一起，經(jīng)過(guò)一個(gè)末置換（初始置換的逆置換），這樣該算法就完成了。DES算法的加密過(guò)程如圖3-9所示。64位明文初始置換IP乘積變換逆初始置換IP-164位密文圖3-9 DES算法DES算法的特點(diǎn)如下所述：分組加密算法。以64位為分組，64位一組的明文從算法一端輸入，64位密文從另一端輸出；對(duì)稱(chēng)算法。加密和解密用同一密鑰；有效密鑰長(zhǎng)度為56位。密鑰通常表示為64位數(shù)，但每個(gè)第8位用作奇偶校驗(yàn)，可以忽略；替代和置換。DES算法是兩種加密技術(shù)的組合先替代后置換；易于實(shí)現(xiàn)。DES算法只是使用了標(biāo)準(zhǔn)的算術(shù)和邏輯運(yùn)

26、算，其作用的數(shù)最多也只有64位，因此用20世紀(jì)70年代末期的硬件技術(shù)很容易實(shí)現(xiàn)。DES算法的安全隱患：現(xiàn)在來(lái)看，DES算法具有以下三點(diǎn)安全隱患：（1）密鑰太短。DES的初始密鑰實(shí)際長(zhǎng)度只有56位，批評(píng)者擔(dān)心這個(gè)密鑰長(zhǎng)度不足以抵抗窮舉搜索攻擊，窮舉搜索攻擊破解密鑰最多嘗試的次數(shù)為次，不太可能提供足夠的安全性。1998年前只有DES破譯機(jī)的理論設(shè)計(jì)，1998年后出現(xiàn)實(shí)用化的DES破譯機(jī)。（2）DES的半公開(kāi)性。DES算法中的8個(gè)盒替換表的設(shè)計(jì)標(biāo)準(zhǔn)（指詳細(xì)準(zhǔn)則）自DES公布以來(lái)仍未公開(kāi)，替換表中的數(shù)據(jù)是否存在某種依存關(guān)系，用戶(hù)無(wú)法確認(rèn)。（3）DES迭代次數(shù)偏少。DES算法的16輪迭代次數(shù)被認(rèn)為偏少，

27、在以后的DES改進(jìn)算法中，都不同程度地進(jìn)行了提高。第5節(jié) 非對(duì)稱(chēng)密碼體制 1976年Diffie與Hellman在IEEE期刊上提出了劃時(shí)代的公開(kāi)密鑰密碼系統(tǒng)的概念，這個(gè)觀念為密碼學(xué)的研究開(kāi)辟了一個(gè)新的方向，有效地解決了秘密密鑰密碼系統(tǒng)通訊雙方密鑰共享困難的缺點(diǎn)，并引進(jìn)了創(chuàng)新的數(shù)字簽名的觀念。非對(duì)稱(chēng)密碼系統(tǒng)（Asymmetric Encryption）可為加解密或數(shù)字簽名系統(tǒng)。由于加密或簽名驗(yàn)證密鑰是公開(kāi)的，故稱(chēng)為公鑰（public key），而解密或簽名產(chǎn)生密鑰是秘密的，故稱(chēng)為私鑰（private key）。因?yàn)楣€與私鑰不同，且公鑰與私鑰必須存在成對(duì)（key pair）與唯一對(duì)應(yīng)的數(shù)學(xué)關(guān)系

28、，使得由公鑰去推導(dǎo)私鑰在計(jì)算上不可行，因此非對(duì)稱(chēng)密碼系統(tǒng)又稱(chēng)為公開(kāi)密鑰系統(tǒng)或雙鑰系統(tǒng)，其模型如圖所示。公鑰密碼體制的公鑰密碼算法是基于數(shù)學(xué)問(wèn)題求解的困難性而提出的算法，它不再是基于替代和置換的方法。圖 非對(duì)稱(chēng)密碼模型公鑰密碼體制的產(chǎn)生主要基于以下兩個(gè)原因：一是為了解決常規(guī)密鑰密碼體制的密鑰管理與分配的問(wèn)題；二是為了滿足對(duì)數(shù)字簽名的需求。因此，公鑰密碼體制在消息的保密性、密鑰分配和認(rèn)證領(lǐng)域有著重要的意義。在公鑰密碼體制中，公鑰是可以公開(kāi)的信息，而私鑰是需要保密的。加密算法和解密算法也都是公開(kāi)的。用公鑰對(duì)明文加密后，僅能用與之對(duì)應(yīng)的私鑰解密，才能恢復(fù)出明文，反之亦然。公鑰密碼體制的優(yōu)缺點(diǎn)：優(yōu)點(diǎn)：網(wǎng)

29、絡(luò)中的每一個(gè)用戶(hù)只需要保存自己的私鑰，個(gè)用戶(hù)僅需產(chǎn)生對(duì)密鑰。密鑰少，便于管理；密鑰分配簡(jiǎn)單，不需要秘密的通道和復(fù)雜的協(xié)議來(lái)傳送密鑰。公鑰可基于公開(kāi)的渠道（如密鑰分發(fā)中心）分發(fā)給其他用戶(hù)，而私鑰則由用戶(hù)自己保管；可以實(shí)現(xiàn)數(shù)字簽名。缺點(diǎn)：與對(duì)稱(chēng)密碼體制相比，公鑰密碼體制的加密、解密處理速度較慢，同等安全強(qiáng)度下公鑰密碼體制的密鑰位數(shù)要求多一些。公鑰密碼體制比較流行的主要有兩類(lèi)：一類(lèi)是基于因子分解難題的，其中最典型的是RSA密碼算法；另一類(lèi)是基于離散對(duì)數(shù)難題的，如EIGamal公鑰密碼體制和橢圓曲線公鑰密碼體制。一、RSA密碼算法 RSA密碼算法是美國(guó)麻省理工學(xué)院的Rivest、Shamir和Adleman三位學(xué)者于1978年提出的。RSA密