現(xiàn)代密碼學(xué)考試總結(jié)

現(xiàn)代密碼學(xué)考試總結(jié)現(xiàn)代密碼學(xué)考試總結(jié)現(xiàn)代密碼學(xué)考試總結(jié)xxx公司現(xiàn)代密碼學(xué)考試總結(jié)文件編號：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計，管理制度密碼主要功能：機密性：指保證信息不泄露給非授權(quán)的用戶或?qū)嶓w，確保存儲的信息和傳輸?shù)男畔H能被授權(quán)的各方得到，而非授權(quán)用戶即使得到信息也無法知曉信息內(nèi)容，不能使用。完整性：是指信息未經(jīng)授權(quán)不能進行改變的特征，維護信息的一致性，即信息在生成、傳輸、存儲和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改(插入、替換、刪除、重排序等)，如果發(fā)生，能夠及時發(fā)現(xiàn)。認(rèn)證性：是指確保一個信息的來源或源本身被正確地標(biāo)識，同時確保該標(biāo)識的真實性，分為實體認(rèn)證和消息認(rèn)證。消息認(rèn)證：向接收方保證消息確實來自于它所宣稱的源；實體認(rèn)證：參與信息處理的實體是可信的，即每個實體的確是它所宣稱的那個實體，使得任何其它實體不能假冒這個實體。不可否認(rèn)性：是防止發(fā)送方或接收方抵賴所傳輸?shù)男畔ⅲ鬅o論發(fā)送方還是接收方都不能抵賴所進行的行為。因此，當(dāng)發(fā)送一個信息時，接收方能證實該信息的確是由所宣稱的發(fā)送方發(fā)來的；當(dāng)接收方收到一個信息時，發(fā)送方能夠證實該信息的確送到了指定的接收方。信息安全：指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露、否認(rèn)等，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。信息安全的理論基礎(chǔ)是密碼學(xué)，根本解決，密碼學(xué)理論對稱密碼技術(shù)——分組密碼和序列密碼——機密性；消息認(rèn)證碼——完整性，認(rèn)證性；數(shù)字簽名技術(shù)——完整性，認(rèn)證性，不可否認(rèn)性；1949年Shannon發(fā)表題為《保密系統(tǒng)的通信理論》1976年后，美國數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）的公布使密碼學(xué)的研究公開，密碼學(xué)得到了迅速發(fā)展。1976年，Diffe和Hellman發(fā)表了《密碼學(xué)的新方向》，提出了一種新的密碼設(shè)計思想，從而開創(chuàng)了公鑰密碼學(xué)的新紀(jì)元。置換密碼置換密碼的特點是保持明文的所有字符不變，只是利用置換打亂了明文字符的位置和次序。列置換密碼和周期置換密碼使用密碼設(shè)備必備四要素：安全、性能、成本、方便。密碼體制的基本要求：密碼體制既易于實現(xiàn)又便于使用，主要是指加密函數(shù)和解密函數(shù)都可以高效地計算。密碼體制的安全性是依賴密鑰的安全性，密碼算法是公開的。密碼算法安全強度高，也就是說，密碼分析者除了窮舉搜索攻擊外再找不到更好的攻擊方法。密鑰空間應(yīng)足夠大，使得試圖通過窮舉密鑰空間進行搜索的方式在計算上不可行。密碼算法公開的意義：有利于增強密碼算法的安全性；有利于密碼技術(shù)的推廣應(yīng)用；有利于增加用戶使用的信心；有利于密碼技術(shù)的發(fā)展。熵的性質(zhì)：H(X,Y)=H(Y)+H(X|Y)=H(X)+H(Y|X)H(K|C)=H(K)+H(P)-H(C)密碼攻擊類型惟密文攻擊(CiphertextOnlyAttack)(僅僅搭線竊聽)密碼分析者除了擁有截獲的密文外（密碼算法是公開的，以下同），沒有其它可以利用的信息。已知明文攻擊(KnownPlaintextAttack)(有內(nèi)奸)密碼分析者不僅掌握了相當(dāng)數(shù)量的密文，還有一些已知的明-密文對可供利用。選擇明文攻擊(ChosenPlaintextAttack)(暫時控制加密機)密碼分析者不僅能夠獲得一定數(shù)量的明-密文對，還可以選擇任何明文并在使用同一未知密鑰的情況下能得到相應(yīng)的密文。選擇密文攻擊(ChosenCiphertextAttack)(暫時控制解密機)密碼分析者能選擇不同被加密的密文，并還可得到對應(yīng)的明文，密碼分析者的任務(wù)是推出密鑰及其它密文對應(yīng)的明文。選擇文本攻擊(ChosenTextAttack)(暫時控制加密機和解密機)它是選擇明文攻擊和選擇密文攻擊的組合，即密碼分析者在掌握密碼算法的前提下，不僅能夠選擇明文并得到對應(yīng)的密文，而且還能選擇密文得到對應(yīng)的明文。攻擊密碼體制的常用方法窮舉攻擊統(tǒng)計分析攻擊數(shù)學(xué)分析攻擊密碼體制安全性：無條件安全性，計算安全性，可證明安全性分組密碼的要求：分組長度要足夠大密鑰量要足夠大密碼變換足夠復(fù)雜加密和解密運算簡單無數(shù)據(jù)擴展或壓縮分組密碼的設(shè)計思想（擴散和混亂）擴散：是指要將算法設(shè)計成明文每一比特的變化盡可能多地影響到輸出密文序列的變化，以便隱蔽明文的統(tǒng)計特性。形象地稱為雪崩效應(yīng)。擴散的另一層意思是密鑰每一位的影響盡可能迅速地擴展到較多的密文比特中去?；靵y：指在加解密變換過程中明文、密鑰以及密文之間的關(guān)系盡可能地復(fù)雜化，以防密碼破譯者采用解析法(即通過建立并求解一些方程)進行破譯攻擊。分組密碼算法應(yīng)有復(fù)雜的非線性因素。輪函數(shù)基本準(zhǔn)則：非線性，可逆性，雪崩效應(yīng)DES分組加密算法：明文和密文為64位分組長度。密鑰長度：56位采用混亂和擴散的組合，每個組合先代換后置換，共16輪?；パa性會使DES在選擇明文攻擊下所需的工作量減半。如果給定初始密鑰k，經(jīng)子密鑰產(chǎn)生器產(chǎn)生的各個子密鑰都相同，即有k1=k2=…=k16，則稱給定的初始密鑰k為弱密鑰。若k為弱密鑰，則對任意的64bit信息有：Ek(Ek(m))=m和Dk(Dk(m))=m。若給定初始密鑰k，產(chǎn)生的16個子密鑰只有兩種，且每種都出現(xiàn)8次，則稱k為半弱密鑰。半弱密鑰的特點是成對出現(xiàn)，且具有下述性質(zhì)：若k1和k2為一對半弱密鑰，m為明文組，則有：Ek2(Ek1(m))=Ek1(Ek2(m))=m。差分分析：是分析一對給定明文的異或（對應(yīng)位不同的個數(shù)稱為差分）與對應(yīng)密文對的異或之間的統(tǒng)計相關(guān)性。3DES特點：優(yōu)點：1.密鑰長度增加到112位或168位，克服了DES面臨的窮舉攻擊。2.相對于DES，增強了抗差分分析和線性分析等的能力。3.由于DES已經(jīng)大規(guī)模使用，升級到3DES比更新新算法成本小得多。4.DES比其它任何加密算法受到的分析時間都長的多，相應(yīng)地，3DES抗分析能力更強。不足：1.3DES處理速度較慢。2.雖然密鑰長度增加了，但明文分組長度沒變，與密鑰長度的增長不匹配。AES分組長度、密鑰長度、輪數(shù)的關(guān)系：分組長度：128位密鑰長度，輪數(shù)：128，10；192,12；256,14每輪由四個階段組成：字節(jié)代換、行位移、列混淆、輪密鑰加。DES是面向比特的運算，AES是面向字節(jié)的運算。二重DES并不像人們相像那樣可提高密鑰長度到112比特，而相當(dāng)57比特。分組密碼的操作模式ECB：模式操作簡單，主要用于內(nèi)容較短且隨機的報文的加密傳遞；相同明文（在相同密鑰下）得出相同的密文，即明文中的重復(fù)內(nèi)容可能將在密文中表現(xiàn)出來，易實現(xiàn)統(tǒng)計分析攻擊、分組重放攻擊和代換攻擊；鏈接依賴性：各組的加密都獨立于其它分組，可實現(xiàn)并行處理；錯誤傳播：單個密文分組中有一個或多個比特錯誤只會影響該分組的解密結(jié)果。CBC(密文分組和明文分組異或得到下一個密文分組)一種反饋機制在分組密碼中的應(yīng)用，每個密文分組不僅依賴于產(chǎn)生它的明文分組，還依賴于它前面的所有分組；相同的明文，即使相同的密鑰下也會得到不同的密文分組，隱藏了明文的統(tǒng)計特性；鏈接依賴性：對于一個正確密文分組的正確解密要求它之前的那個密文分組也正確，不能實現(xiàn)并行處理；錯誤傳播：密文分組中的一個單比特錯誤會影響到本組和其后分組的解密，錯誤傳播為兩組；初始化向量IV不需要保密，它可以明文形式與密文一起傳送。CTR:效率高：能夠并行處理多塊明(密)文，可用來提供像流水線、每個時鐘周期的多指令分派等并行特征；預(yù)處理：基本加密算法的執(zhí)行并不依靠明文或密文的輸入，可預(yù)先處理，當(dāng)給出明文或密文時，所需的計算僅是進行一系列的異或運算；隨機訪問：密文的第i個明文組能夠用一種隨機訪問的方式處理；簡單性：只要求實現(xiàn)加密算法而不要求實現(xiàn)解密算法，像AES這類加解密算法不同就更能體現(xiàn)CTR的簡單性。CFB:消息被看作bit流，不需要整個數(shù)據(jù)分組在接受完后才能進行加解密；可用于自同步序列密碼；具有CBC模式的優(yōu)點；對信道錯誤較敏感且會造成錯誤傳播；數(shù)據(jù)加解密的速率降低，其數(shù)據(jù)率不會太高。OFB:OFB模式是CFB模式的一種改進，克服由錯誤傳播帶來的問題，但對密文被篡改難于進行檢測；OFB模式不具有自同步能力，要求系統(tǒng)保持嚴(yán)格的同步，否則難于解密；初始向量IV無需保密，但各條消息必須選用不同的IV?？偨Y(jié)：ECB是最快、最簡單的分組密碼模式，但它的安全性最弱，一般不推薦使用ECB加密消息，但如果是加密隨機數(shù)據(jù)，如密鑰，ECB則是最好的選擇。CBC適合文件加密，而且有少量錯誤時不會造成同步失敗，是軟件加密的最好選擇。CTR結(jié)合ECB和CBC的優(yōu)點，最近為人們所重視，在ATM網(wǎng)絡(luò)和IPSec中起了重要作用。CFB通常是加密字符序列所選擇的模式，它也能容忍少量錯誤擴展，且具有同步恢復(fù)功能。OFB是在極易出錯的環(huán)境中選用的模式，但需有高速同步機制。序列密碼屬于對稱密碼體制，又稱為流密碼。特點：加解密運算只是簡單的模二加(異或)運算。密碼安全強度主要依賴密鑰序列的安全性。密鑰序列產(chǎn)生器(KG)基本要求：種子密鑰K的長度足夠長，一般應(yīng)在128位以上(抵御窮舉攻擊)；密鑰序列產(chǎn)生器KG生成的密鑰序列{ki}具極大周期；密鑰序列{ki}具有均勻的n-元分布，即在一個周期內(nèi)，某特定形式的n-長bit串與其求反，兩者出現(xiàn)的頻數(shù)大抵相當(dāng)；由密鑰序列{ki}提取關(guān)于種子密鑰K的信息在計算上不可行；雪崩效應(yīng)。即種子密鑰K任一位的改變要引起密鑰序列{ki}在全貌上的變化；密鑰序列{ki}不可預(yù)測的。密文及相應(yīng)的明文的部分信息，不能確定整個密鑰序列{ki}。只要選擇合適的反饋函數(shù)才可使序列的周期達到最大值2n-1，周期達到最大值的序列稱為m序列。m-序列特性：0,1平衡性：在一個周期內(nèi)，0、1出現(xiàn)的次數(shù)分別為2n-1-1和2n-1。游程特性：在一個周期內(nèi)，總游程數(shù)為2n-1；對1≤i≤n-2，長為i的游程有2n-i-1個，且0、1游程各半；長為n-1的0游程一個，長為n的1游程一個。非線性序列：為了使密鑰流生成器輸出的二元序列盡可能隨機，應(yīng)保證其周期盡可能大、線性復(fù)雜度和不可預(yù)測性盡可能高。RC4是RSA數(shù)據(jù)安全公司開發(fā)的可變密鑰長度的序列密碼，是世界上使用最廣泛的序列密碼之一.為了保證安全強度，目前的RC4至少使用128位種子密鑰。序列密碼特點：安全強度取決于密鑰序列的隨機性；線性反饋移位寄存器理論上能夠產(chǎn)生周期為2n-1的偽隨機序列，有較理想的數(shù)學(xué)分析；為了使密鑰流盡可能復(fù)雜，其周期盡可能長，復(fù)雜度和不可預(yù)測盡可能高，常使用多個LFSR構(gòu)造非線性組合系統(tǒng)；在某些情況下，譬如緩沖不足或必須對收到字符進行逐一處理時，序列密碼就顯得更加必要和恰當(dāng)。在硬件實施上，不需要有很復(fù)雜的硬件電路，實時性好，加解密速度快，序列密碼比分組密碼更有優(yōu)勢。公鑰密碼之前：都是基于代換和換位這兩個基本方法，建立在字符或位方式的操作上。公鑰密碼算法是建立在數(shù)學(xué)函數(shù)基礎(chǔ)上的，而不是建立在字符或位方式的操作上的，是以非對稱的形式使用加密密鑰和解密密鑰，這兩個密鑰的使用對密鑰管理、認(rèn)證等都有著深刻的實際意義。對稱密碼缺陷：秘鑰分配問題，秘鑰管理問題，數(shù)字簽名問題；背包算法是第一個公開秘鑰算法。RSA:RSA雖稍后于MH背包公鑰系統(tǒng)，但它是到目前為止應(yīng)用最廣的一種公鑰密碼。RSA的理論基礎(chǔ)是數(shù)論的歐拉定理，它的安全性依賴于大整數(shù)的素因子分解的困難性。歐拉定理：若整數(shù)a和n互素，則a≡1(modn) RSA秘鑰長度1024位。ElGamal公鑰密碼基于有限域上離散對數(shù)問題的公鑰密碼體制。基于有限域的離散對數(shù)公鑰密碼又稱ElGamal(厄格瑪爾)算法。ElGamal算法的安全性依賴于計算有限域上的離散對數(shù)。ElGamal算法的離散對數(shù)問題等同RSA的大數(shù)分解問題。ElGamal算法既可用于數(shù)字簽名又可用于加密，但更多地應(yīng)用在數(shù)字簽名中。目前密鑰長度1024位是安全的。ECC安全性能更高（160位等同RSA的1024位）公鑰密碼學(xué)解決了秘鑰分發(fā)和不可否認(rèn)問題。公鑰證書較好地解決了公鑰的真實性問題。IBE(基于身份加密) 基于身份的密碼系統(tǒng)中，用戶的公鑰是一些公開的可以唯一確定用戶身份的信息，一般這些信息稱為用戶的身份(ID)。在實際應(yīng)用中，用戶的身份可以是姓名、電話號碼、身份證號碼、IP地址、電子郵件地址等作為公鑰。用戶的私鑰通過一個被稱作私鑰生成器PKG(PrivateKeyGenerator)的可信任第三方進行計算得到。 在這個系統(tǒng)中，用戶的公鑰是一些公開的身份信息，其他用戶不需要在數(shù)據(jù)庫中查找用戶的公鑰，也不需要對公鑰的真實性進行檢驗。優(yōu)點： 公鑰的真實性容易實現(xiàn)，大大簡化了公鑰的管理。不足： 身份確認(rèn)本來就是一件復(fù)雜的事情，尤其用戶數(shù)量很大時難以保證。也就是說，IBE適合應(yīng)用于用戶群小的場合。 可信第三方如何安全地將用戶的私鑰送到用戶的手中。用戶私鑰由可信第三方生成和掌握，不具備唯一性，實現(xiàn)不可否認(rèn)性時易引發(fā)爭議。 公鑰密碼的優(yōu)點(與對稱密碼相比)密鑰分發(fā)簡單；需秘密保存的密鑰量減少；可以實現(xiàn)數(shù)字簽名和認(rèn)證的功能。公鑰密碼的不足(與對稱密碼相比) 公鑰密碼算法比對稱密碼算法慢；公鑰密碼算法提供更多的信息對算法進行攻擊，如公鑰密碼算法對選擇明文攻擊是脆弱的，尤其明文集比較小時； 有數(shù)據(jù)擴展；公鑰密碼算法一般是建立在對一個特定的數(shù)學(xué)難題求解上，往往這種困難性只是一種設(shè)想。哈希函數(shù)：單向性，輸出長度固定，：數(shù)據(jù)指紋，實現(xiàn)數(shù)據(jù)完整性和數(shù)字簽名。性質(zhì)：輸入：消息是任意有限長度。輸出：哈希值是固定長度。容易計算：對于任意給定的消息，容易計算其哈希值。（正向容易）單向性：對于給定的哈希值h，要找到M使得H(M)＝h在計算上是不可行的。（逆向不可行）安全性：抗弱碰撞性：對于給定的消息M1，要發(fā)現(xiàn)另一個消息M2，滿足H(M1)＝H(M2)在計算上是不可行的?？箯娕鲎残裕赫胰我庖粚Σ煌南1，M2，使H(M1)＝H(M2)在計算上是不可行的。隨機性：當(dāng)一個輸入位發(fā)生變化時，輸出位將發(fā)生很大變化。(雪崩效應(yīng))。MD:MD2(1989)、MD4(1990)和MD5(1991)都產(chǎn)生一個128位的信息摘要。SHA-1接受任何有限長度的輸入消息，并產(chǎn)生長度為160比特的Hash值。消息驗證的目的：驗證信息的來源是真實的，而不是冒充的，此為消息源認(rèn)證。驗證消息的完整性，即驗證信息在傳送或存儲過程中是否被修改。哈希函數(shù)分類：改動檢測碼MDC：不帶密鑰的哈希函數(shù)，主要用于消息完整性。消息認(rèn)證碼MAC：帶密鑰的哈希函數(shù)，主要用于消息源認(rèn)證和消息完整性。HMAC:算法公式：HMAC（K，M）=H（K⊕opad∣H（K⊕ipad∣M））K—代表認(rèn)證密碼HMAC主要應(yīng)用在身份驗證中，它的使用方法是這樣的：(1)客戶端發(fā)出登錄請求（假設(shè)是瀏覽器的GET請求）(2)服務(wù)器返回一個隨機值，并在會話中記錄這個隨機值(3)客戶端將該隨機值作為密鑰，用戶密碼進行HMAC運算，然后提交給服務(wù)器(4)服務(wù)器讀取用戶數(shù)據(jù)庫中的用戶密碼和步驟2中發(fā)送的隨機值做與客戶端一樣的HMAC運算，然后與用戶發(fā)送的結(jié)果比較，如果結(jié)果一致則驗證用戶合法在這個過程中，可能遭到安全攻擊的是服務(wù)器發(fā)送的隨機值和用戶發(fā)送的HMAC結(jié)果，而對于截獲了這兩個值的黑客而言這兩個值是沒有意義的，絕無獲取用戶密碼的可能性，隨機值的引入使HMAC只在當(dāng)前會話中有效，大大增強了安全性和實用性。數(shù)字簽名與消息認(rèn)證不同：數(shù)字簽名也是一種消息認(rèn)證技術(shù)，它屬于非對稱密碼體制，消息認(rèn)證碼屬于對稱密碼體制，所以消息認(rèn)證碼的處理速度比數(shù)字簽名快得多。但是，消息認(rèn)證碼無法實現(xiàn)不可否認(rèn)性。數(shù)字簽名的安全要求簽名是可以被驗證的接受者能夠核實簽名者對消息的簽名。簽名是不可偽造的 除了簽名者，任何人(包括接受者)不能偽造消息的簽名。簽名是不可重用的 同一消息不同時刻其簽名是有區(qū)別的。簽名是不可抵賴的 簽名者事后不能抵賴對消息的簽名，出現(xiàn)爭議時，第三方可解決爭端。數(shù)字簽名的組成：明文空間，密文空間，秘鑰空間，簽名算法，驗證算法數(shù)字簽名常見的實現(xiàn)算法 基于RSA的簽名算法基于離散對數(shù)的簽名算法基于ECC的簽名算法RSA數(shù)字簽名算法(初始化)1.選取兩個大(滿足安全要求)素數(shù)p和q，兩個數(shù)長度接近且相差很大，強素數(shù)。2.計算n=p*q,φ(n)=(p-1)(q-1)3.隨機選取整數(shù)e(1<e<φ(n))，滿足gcd(e,φ(n))=14.計算d，滿足d*e≡1（modφ(n)）注：n公開，p和q保密。e為公鑰，d為私鑰。簽名算法1.利用一個安全的Hash函數(shù)h來產(chǎn)生消息摘要h(m)。2.用簽名算法計算簽名s=Signk(m)≡h(m)dmodn。驗證算法1.首先利用一個安全的Hash函數(shù)h計算消息摘要h(m)。2.用檢驗等式h(m)modn≡semodn是否成立，若相等簽名有效，否則，簽名無效。假如直接對消息進行私鑰加密，攻擊者獲得兩個簽名后可以偽造m1*m2的有效簽名s1*s2（同態(tài)性）Elgamal簽名算法(舉例)初始化：假設(shè)A選取素數(shù)p=19，Zp*的生成元g=2。選取私鑰x=15，計算y≡gxmodp≡215mod19=12，則A的公鑰是(p=19,g=2,y=12)。簽名過程：設(shè)消息m的Hash值h(m)=16，則A選取隨機數(shù)k=11，計算r≡gkmodp≡211mod19≡15，k-1mod(p-1)=5。最后計算簽名s≡[h(m)-xr]k-1mod(p-1)≡5(16-15×15)mod18=17。得到A對m的簽名為(15,17)。驗證過程：接受者B得到簽名(15,17)后計算yrrsmodp≡12151517mod19=5，gh(m)modp≡216mod19=5。驗證等式y(tǒng)rrs≡gh(m)(modp)相等，因此B接受簽名。Elgamal簽名算法(安全性)不能泄露隨機數(shù)k。不能使用相同的k對兩個不同消息進行簽名。簽名者多次簽名時所選取多個k之間無關(guān)聯(lián)。整個密碼系統(tǒng)的安全性并不取決對密碼算法的保密，而是由密鑰的保密性決定的。解決的核心問題是密鑰管理問題，而不是密碼算法問題。密鑰的管理水平直接決定了密碼的應(yīng)用水平。密鑰管理就是在授權(quán)各方之間實現(xiàn)密鑰關(guān)系的建立和維護的一整套技術(shù)和程序。密鑰管理括密鑰的生成、存儲、建立(分配和協(xié)商)、使用、備份/恢復(fù)、更新、撤銷/存檔/銷毀等。典型的密鑰層次結(jié)構(gòu)主密鑰：對應(yīng)于層次化密鑰結(jié)構(gòu)中的最高層次，它是對密鑰加密密鑰進行加密的密鑰，主密鑰應(yīng)受到嚴(yán)格的保護。密鑰加密密鑰：一般是用來對傳輸?shù)臅捗荑€進行加密時采用的密鑰。密鑰加密密鑰所保護的對象是實際用來保護通信或文件數(shù)據(jù)的會話密鑰。會話密鑰：在一次通信或數(shù)據(jù)交換的任務(wù)中，用戶之間所使用的密鑰，是由通信用戶之間進行協(xié)商得到的。它一般是動態(tài)地、僅在需要進行數(shù)據(jù)加密時產(chǎn)生，并在任務(wù)完成后立即進行銷毀，也稱為數(shù)據(jù)加密密鑰。密鑰的生成一般首先通過密鑰生成器借助于某種隨機源產(chǎn)生具有較好統(tǒng)計分析特性的序列，以保障生成密鑰的隨機性和不可預(yù)測性.密鑰存儲目的是確保密鑰的秘密性、真實性以及完整性。密鑰更新情況：密鑰有效期結(jié)束；密鑰的安全受到威脅；通信成員中提出更新密鑰。對稱密碼其實就一個密鑰(即已知一個密鑰可推出另一個密鑰)，因此，密鑰的秘密性、真實性、完整性都必須保護。公鑰的秘密性不用確保，但其真實性、完整性都必須嚴(yán)格保護。公鑰密碼體制的私鑰的秘密性、真實性、完整性都必須保護。中間人攻擊：1.C將公共目錄中B的公鑰替換成自己的公鑰。2.A將他認(rèn)為的B的公鑰提取出來，而實際上那是C的公鑰。3.C現(xiàn)在可以讀取A送給B的加密信息。4.C將A的信息解密并閱讀，然后他又用真實的B的公鑰加密該信息并將加密結(jié)果發(fā)送給B。數(shù)字證書實現(xiàn)公鑰的真實性。數(shù)字證書也稱為公鑰證書，是將證書持有者的身份信息和其所擁有的公鑰進行綁定的文件。證書用途：簽名證書：簽名證書主要用于對用戶信息進行簽名，以保證信息的不可否認(rèn)性。（私鑰不需備份）加密證書：加密證書主要用于對用戶傳送信息的密鑰進行加密，以保證信息的保密性。（私鑰需要備份）CRL：證書撤銷列表在線證書狀態(tài)協(xié)議OCSP：其目的為了克服基于CRL的撤銷方案的局限性，為證書狀態(tài)查詢提供即時的最新響應(yīng)。OCSP使用證書序列號、CA名稱和公開密鑰的散列值作為關(guān)鍵字查詢目標(biāo)的證書。為防止攻擊者得到密鑰，必須時常更新密鑰，密碼系統(tǒng)的強度依賴于密鑰分配技術(shù)。密鑰分配中心模式（KDC生成回話密鑰）：前提條件：密鑰分配中心與每個用戶之間有共享密鑰。A向密鑰分配中心KDC(KeyDistributeCenter)發(fā)出會話密鑰請求。請求內(nèi)容包括A與B的身份以及一次性隨機數(shù)N1。KDC為A的請求發(fā)出應(yīng)答。應(yīng)答內(nèi)容包括：一次性會話密鑰Ks、A的請求、用B與KDC的共享密鑰加密一次性會話密鑰Ks和A的身份，其中應(yīng)答信息是用A與KDC的共享密鑰加密。A存儲會話密鑰Ks，并向B轉(zhuǎn)發(fā)用B與KDC的共享密鑰加密的一次性會話密鑰Ks和A的身份。B使用會話密鑰Ks加密另一個一次性隨機數(shù)N2,并將加密結(jié)果發(fā)送給A.A使用會話密鑰Ks加密f(N2),并將加密結(jié)果發(fā)送給B.基于公鑰密鑰分配（會話密鑰）：前提條件：通信雙方在CA中擁有自己的證書。A向B發(fā)出會話密鑰請求，請求內(nèi)容包括A的身份、一次性隨機數(shù)N1以及利用B的公鑰加密一次性會話密鑰Ks。B使用會話密鑰Ks加密一次性隨機數(shù)N1,并將加密結(jié)果發(fā)送給A。A使用會話密鑰Ks加密f(N1)