高級(jí)密碼協(xié)議課件

安全協(xié)議與標(biāo)準(zhǔn)linfb@2007,11安全協(xié)議與標(biāo)準(zhǔn)linfb@1高級(jí)密碼協(xié)議密碼協(xié)議和數(shù)學(xué)難解問(wèn)題 ↓D-H、RSA、秘密分享、門限密碼 ↓比特承諾和網(wǎng)絡(luò)棋牌游戲 ↓安全多方計(jì)算 ↓ECC ↓量子計(jì)算與密碼學(xué) ↓側(cè)信道攻擊 ↓高級(jí)密碼協(xié)議密碼協(xié)議和數(shù)學(xué)難解問(wèn)題 ↓2協(xié)議（算法）協(xié)議是一系列步驟，它包括兩方或多方，設(shè)計(jì)它的目的是要完成一項(xiàng)任務(wù)。（1）協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。（2）協(xié)議中的每人都必須同意遵循它。（3）協(xié)議必須是無(wú)歧意的，每一步必須明確定義，并且不會(huì)引起誤解。（4）協(xié)議必須是完整的，對(duì)每種可能的情況必須規(guī)定具體的動(dòng)作。協(xié)議（算法）3密碼學(xué)算法和協(xié)議的背景：某些數(shù)學(xué)難解問(wèn)題大數(shù)分解難題IFP-Integerfactorizationproblem離散對(duì)數(shù)難題DLP-DiscretelogarithmproblemECDLP

密碼學(xué)算法和協(xié)議的背景：某些數(shù)學(xué)難解問(wèn)題大數(shù)分解難題4Diffie-Hellman密鑰交換協(xié)議DH76，Diffie-Hellman基于DLP問(wèn)題步驟選取大素?cái)?shù)q和它的一個(gè)生成元g，這些參數(shù)公開(kāi)A選擇隨機(jī)數(shù)Xa，B選擇隨機(jī)數(shù)Xb

A計(jì)算Ya＝g^Xamodq，B計(jì)算Yb＝g^Xbmodq交換Ya，YbA計(jì)算K＝Y(jié)b^Xamodq，B計(jì)算K'＝Y(jié)a^Xbmodq事實(shí)上，K＝K'Diffie-Hellman密鑰交換協(xié)議DH76，Diff5RSA算法找素?cái)?shù)，選取兩個(gè)512bit的隨機(jī)素?cái)?shù)p,q計(jì)算模n＝pq，Euler函數(shù)φ(n)=(p-1)(q-1)找ed≡1modφ(n)選取數(shù)e，用擴(kuò)展Euclid算法求數(shù)d發(fā)布公鑰(e,n)，保密私鑰(d,n)加密明文分組m(視為整數(shù)須小于n) c=memodn解密

m=cdmodnRSA算法找素?cái)?shù)，選取兩個(gè)512bit的隨機(jī)素?cái)?shù)p,q6RSAproblemRSA問(wèn)題 TheRSAproblemistofindintegerPsuchthatPe≡C(mod

N),givenintegersN,eandCsuchthatNistheproductoftwolargeprimes,2<e<Niscoprimetoφ(N),and0<=C<N.開(kāi)e次方e=3，65537RSAproblemRSA問(wèn)題7Diffie-HellmanproblemGivenanelementgandthevaluesofgx

andgy,whatisthevalueofgxy?ComputationalDiffie-HellmanassumptionItisanopenproblemtodeterminewhetherthediscretelogassumptionisequivalenttoCDH,thoughincertainspecialcasesthiscanbeshowntobethecase.DecisionalDiffie-Hellmanassumption(ga,gb,gab)?(ga,gb,gc)Diffie-HellmanproblemGivenan8秘密(密鑰)分割秘密分割（多人共同持有秘密）0.秘密K需要t個(gè)人聯(lián)合打開(kāi)1.產(chǎn)生隨機(jī)數(shù)R1、R2、…、Rt-1、 Rt=K⊕R1⊕R2…⊕Rt-12.t個(gè)人分別持有Ri3.恢復(fù)秘密 K＝R1⊕R2…⊕Rt-1⊕Rt秘密(密鑰)分割秘密分割（多人共同持有秘密）9秘密的門限共享(m，n)門限方案秘密的恢復(fù)需要n個(gè)人中的m個(gè)參與即可Lagrange插值方案以(3，n)門限方案為例: 取多項(xiàng)式f(x)=ax2+bx+K，a、b是隨機(jī)數(shù)，K是秘密對(duì)于成員i＝1…n，給予f(xi)=axi2+bxi+K，一般取xi＝i恢復(fù)秘密時(shí)只需n中的三個(gè)(x、y)點(diǎn)即重構(gòu)f(x)秘密的門限共享(m，n)門限方案10門限密碼學(xué)(ThresholdCryptography)一組人用門限方法共同持有一個(gè)私鑰，要對(duì)某個(gè)消息簽名:(1)可以恢復(fù)私鑰，然后簽名。這樣私鑰就公開(kāi)暴露在組人面前，以后就不能用了。(2)不恢復(fù)私鑰而簽名。這樣私鑰可以繼續(xù)使用。門限密碼學(xué)(ThresholdCryptography)11時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存在。版權(quán)或?qū)＠麪?zhēng)端即是誰(shuí)有產(chǎn)生爭(zhēng)議的工作的最早的副本，誰(shuí)就將贏得官司。對(duì)于紙上的文件，公證人可以對(duì)文件簽名，律師可以保護(hù)副本。如果產(chǎn)生了爭(zhēng)端，公證人或律師可以證明某封信產(chǎn)生于某個(gè)時(shí)間。 在數(shù)字世界中，事情要復(fù)雜得多。沒(méi)有辦法檢查竄改簽名的數(shù)字文件。他們可以無(wú)止境地復(fù)制和修改而無(wú)人發(fā)現(xiàn)。在計(jì)算機(jī)文件上改變?nèi)掌跇?biāo)記是輕而易舉的事，沒(méi)有人在看到數(shù)字文件后說(shuō)：“是的，這個(gè)文件是在1952年12月4日以前創(chuàng)建的?！?AppliedCryptography,SecondEdition權(quán)威機(jī)構(gòu)：CA、公證處時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存在。12高級(jí)密碼協(xié)議課件13inPGPfmtinPGPfmt14實(shí)驗(yàn)：時(shí)間戳服務(wù)“聯(lián)合信任”公司的時(shí)間戳服務(wù)/index.html實(shí)驗(yàn)：時(shí)間戳服務(wù)“聯(lián)合信任”公司的時(shí)間戳服務(wù)15盲簽名BlindSignatureA持有消息m，B持有私鑰d，計(jì)算s≡mdmodn，但是不泄露各自的輸入。A讓B簽署經(jīng)隨機(jī)盲化掩飾后的消息 m’≡m*remodnB計(jì)算 s’≡m’dmodnA從而仍可得到B對(duì)m的簽名 s≡s’*reverse(r)≡(m*re)d*r-1 ≡md*red-1≡mdmodn盲簽名BlindSignatureA持有消息m，B持有私16信息隱藏學(xué)/隱寫術(shù)Steganography演示軟件DstegoGoogle(“Dstego”)能把秘密藏到聲音、圖像，甚至可執(zhí)行文件中閾下信道Subliminalchannel數(shù)字水印Digitalwatermarking信息隱藏學(xué)/隱寫術(shù)Steganography演示軟件Ds17網(wǎng)絡(luò)游戲棋類游戲很容易網(wǎng)絡(luò)化牌類游戲則需要處理額外問(wèn)題如何洗牌/發(fā)牌？一個(gè)簡(jiǎn)單的操作：擲色子更簡(jiǎn)單的：拋硬幣網(wǎng)絡(luò)游戲棋類游戲很容易網(wǎng)絡(luò)化18拋硬幣Alice和Bob想拋擲一個(gè)公平的硬幣，但又沒(méi)有實(shí)際的物理硬幣可拋。Alice提出一個(gè)用思維來(lái)拋擲公平硬幣的簡(jiǎn)單方法。“首先，你想一個(gè)隨機(jī)比特，然后我再想一個(gè)隨機(jī)比特，我們將這兩個(gè)比特進(jìn)行異或?！盇lice建議道。……

拋硬幣Alice和Bob想拋擲一個(gè)公平的硬幣，但又沒(méi)有實(shí)際的19好的思路首先，Bob確定一個(gè)比特，但這次他不立即宣布，只是將它寫在紙上，并裝入信封中。接下來(lái)，Alice公布她選的比特。最后，Alice和Bob從信封中取出Bob的比特并計(jì)算隨機(jī)比特。只要至少一方誠(chéng)實(shí)地執(zhí)行協(xié)議，這個(gè)比特的確是真正隨機(jī)的。好的思路首先，Bob確定一個(gè)比特，但這次他不立即宣布，只是將20信封加密這種技術(shù)叫比特承諾（BitCommitment）投幣入井協(xié)議（FlippingCoinsintoaWell）“金簪子掉進(jìn)井里”信封加密21采用單向函數(shù)的拋幣協(xié)議如果Alice和Bob對(duì)使用一個(gè)單向函數(shù)達(dá)成一致意見(jiàn)，協(xié)議非常簡(jiǎn)單：（1）Alice選擇一個(gè)隨機(jī)數(shù)x，她計(jì)算y=f（x），這里f（x）是單向函數(shù)；（2）Alice將y送給Bob；（3）Bob猜測(cè)x是偶數(shù)或奇數(shù)，并將猜測(cè)結(jié)果發(fā)給Alice；（4）如果Bob的猜測(cè)正確，拋幣結(jié)果為正面;如果Bob的猜測(cè)錯(cuò)誤，則拋幣的結(jié)果為反面。Alice公布此次拋幣的結(jié)果，并將x發(fā)送給Ｂob；（5）Bob確信y=f（x）。采用單向函數(shù)的拋幣協(xié)議如果Alice和Bob對(duì)使用一個(gè)單向函22三方智力撲克Alice、Bob和Carol都產(chǎn)生一個(gè)公鑰/私鑰密鑰對(duì)。加密可交換性質(zhì),即mk1,k2=mk2,k1Alice產(chǎn)生52個(gè)消息(可驗(yàn)證的唯一的隨機(jī)串)，每個(gè)代表一副牌中的一張牌。Alice用她的公鑰加密所有這些消息，并將它們發(fā)送給Bob。Bob，由于不能閱讀任何消息，他隨機(jī)地選擇5張牌。他用他的公鑰加密，并把它們回送給Alice。Bob將余下的47張牌送給Carol。Carol，由于不能閱讀任何消息，也隨機(jī)選5個(gè)消息。她用她的公鑰加密，并把它們送給Alice。三方智力撲克Alice、Bob和Carol都產(chǎn)生一個(gè)公鑰/私23-Alice也不能閱讀回送給她的消息，她用她的私鑰對(duì)它們解密，然后送給Bob或Carol（依據(jù)來(lái)自誰(shuí)而定）。Bob和Carol用他們的密鑰解密并獲得他們的牌。Carol從余下的42張牌中隨機(jī)取5張，把它們發(fā)送給Alice。Alice用她的私鑰解密消息獲得她的牌。在游戲結(jié)束時(shí)，Alice，Bob和Carol都出示他們的牌以及他們的密鑰，以便每人都確信沒(méi)有人作弊。-Alice也不能閱讀回送給她的消息，她用她的私鑰對(duì)它們解密24百萬(wàn)富翁問(wèn)題百萬(wàn)富翁問(wèn)題 兩個(gè)百萬(wàn)富翁想知道誰(shuí)更富有，但不想泄露有關(guān)財(cái)富多少的任何信息。 如果不借助于第三方，他們自己能做到嗎？“Twomillionaireswishtoknowwhoisricher;however,theydonotwanttofindoutinadvertentlyanyadditionalinformationabouteachother’swealth.Howcantheycarryoutsuchaconversation?” ---[Yao82]百萬(wàn)富翁問(wèn)題百萬(wàn)富翁問(wèn)題25網(wǎng)絡(luò)游戲問(wèn)題：從[Gold87]演繹軍棋(暗棋)普通軍棋需要第三人為裁判網(wǎng)絡(luò)軍棋使用服務(wù)器(可信第三方)為裁判? 能否避免使用第三方網(wǎng)絡(luò)游戲問(wèn)題：從[Gold87]演繹軍棋(暗棋)26*專利：自裁判軍棋自裁判軍棋此軍棋可實(shí)現(xiàn)不用裁判即可下暗棋的功能， 能達(dá)到與網(wǎng)絡(luò)軍棋相同的效果/content.asp?id=3218&random=.2393專利樣本*專利：自裁判軍棋自裁判軍棋27年齡比較概念假設(shè)A、B年齡a,b，且無(wú)意于撒謊 準(zhǔn)備適當(dāng)多的(比如100個(gè))信封順序排好B回避，A把前a個(gè)信封中做記號(hào)A回避，B把第b個(gè)信封取出，把其余信封收起來(lái)A和B共同打開(kāi)此信封，有記號(hào)則說(shuō)明a>=b，無(wú)記號(hào)則b>a年齡比較概念28比較是否相等a.比較兩個(gè)大文件是否等同比如網(wǎng)絡(luò)文件共享或同步，避免傳輸而比較兩個(gè)大文件內(nèi)容是否一致(BT/eMule)方法是比較兩個(gè)文件的Hash值(如果不想泄露自己大文件的Hash值，歸為b)b.比較兩個(gè)小文件(短消息)不能公布內(nèi)容，也不能公布Hash值如果公布其Hash值，則容易受到枚舉攻擊參見(jiàn)《應(yīng)用密碼學(xué)》6.2保密的多方計(jì)算-協(xié)議#3”保密的多方計(jì)算約會(huì)服務(wù)（SecureMultipartyComputationDatingService）”比較是否相等a.比較兩個(gè)大文件是否等同29求和/平均值一群人怎樣才能計(jì)算出他們的平均薪水，而又不讓任何人知道其他人的薪水呢？Alice在她的薪水上加一個(gè)秘密隨機(jī)數(shù)，然后把它送給BobBob把他的薪水加上，并把它送給Carol。Carol把她的薪水相加，并把它送給Dave。Dave把他的薪水相加，并把它送給Alice。Alice減去那個(gè)隨機(jī)數(shù)以恢復(fù)每個(gè)人薪水之總和。Alice把這個(gè)結(jié)果除以人數(shù)(4)，并宣布結(jié)果。求和/平均值一群人怎樣才能計(jì)算出他們的平均薪水，而又不讓任何30tocheckiftheyloveeachotherAlice有保密輸入a，Bob有保密輸入b:

a:=1若A喜歡B/否則0

b:=1若B喜歡A/否則0目標(biāo)(在盡可能保護(hù)隱私的前提下)計(jì)算

f(a,b):=a^b

保護(hù)隱私的效果 如果f(a,b)=1，則沒(méi)有隱私 如果f(a,b)=0，則如果對(duì)方是0則其不知道自己是否是1，即保護(hù)了自己的隱私。tocheckiftheyloveeachoth31SMPC問(wèn)題定義參與者Pi持有輸入Xi

計(jì)算函數(shù)

(Y1,Y2,…,Yi,…)=F(X1,X2,…,Xi,…)

參與者Pi得到輸出YiPi不知道Xi/Yi之外的其他值假設(shè)各方輸入時(shí)是誠(chéng)實(shí)的。如果有可信第三方，則可以讓它來(lái)幫助計(jì)算。但是安全多方計(jì)算考慮不用可信第三方時(shí)的情況，并考慮抵抗部分成員合謀試圖知道其他人的輸入。SMPC問(wèn)題定義參與者Pi持有輸入Xi32所有密碼協(xié)議都是多方安全計(jì)算的特例門限簽名/解密、群密鑰協(xié)商、身份鑒別、傳輸加密等。電子商務(wù)中的問(wèn)題，比如拍賣、投票、電子現(xiàn)金等。在互聯(lián)網(wǎng)上保護(hù)隱私方面。所有密碼協(xié)議都是多方安全計(jì)算的特例門限簽名/解密、群密鑰協(xié)商33對(duì)密文查詢比如Gmail可以存放3G的郵件，Google公司顯然企圖從中搜集用戶喜好和動(dòng)向（他們叫數(shù)據(jù)挖掘），從而發(fā)送定向廣告。 為了挫敗Gmail的企圖以及其他的安全考慮，使用PGP處理郵件。問(wèn)題是如何查詢？查找某封信，只記得該信內(nèi)容是討論如何做“酸菜魚”的。標(biāo)簽label對(duì)密文查詢比如Gmail可以存放3G的郵件，Google公司34如何保護(hù)用戶隱私Google可能會(huì)記錄用戶的查詢關(guān)鍵字歷史，從而服務(wù)于。。。如何保護(hù)自己的查詢關(guān)鍵字不被記錄。PrivateInformationRetrieval(PIR)查詢數(shù)據(jù)庫(kù)，而不暴露查詢的具體項(xiàng)另一種形式允許查詢數(shù)據(jù)庫(kù)，而不暴露數(shù)據(jù)庫(kù)如何保護(hù)用戶隱私Google可能會(huì)記錄用戶的查詢關(guān)鍵字歷史，35CED：DLPAlice想讓Bob幫忙計(jì)算e，而不泄露x和e x≡g^emodpA計(jì)算 x’≡x*g^rmodpB求e’

x’≡g^e’

modpA計(jì)算 e=(e’-r)modp-1因?yàn)?x’≡g^e’

modp x*g^r≡g^e’modp x≡g^(e’-r)modpCED：DLPAlice想讓Bob幫忙計(jì)算e，而不泄露x和e36一般思路借助別人的計(jì)算能力，計(jì)算自己的函數(shù)，而不泄漏某些相關(guān)的信息。自己計(jì)算F(X) X----------->F(X)-------------->Y如果借助另外的幫助

X---g(X) h(Y′)---->Y | |

X′------>F′(X′)----->Y′一般思路借助別人的計(jì)算能力，計(jì)算自己的函數(shù)，而不泄漏某些相關(guān)37RSA提速利用外部計(jì)算能力加密

C=M^e解密 M=C^dM=1 ForeachbitofD=dk…d2d1 ifdi=1then M=M*C%N

C=C^2%N EndForRSA提速利用外部計(jì)算能力加密38橢圓曲線* 尋找離散對(duì)數(shù)問(wèn)題的背景群：從Zp*到ECEllipticCurve

y2＋axy＋by＝x3＋cx2＋dx＋e其中a、b、c、d、e是滿足某個(gè)簡(jiǎn)單條件的實(shí)數(shù)另有O點(diǎn)被定義為無(wú)窮點(diǎn)/零點(diǎn)點(diǎn)加法，P＋Q＝R定義為過(guò)P、Q和橢圓曲線相交的第三點(diǎn)的X軸對(duì)稱點(diǎn)R橢圓曲線* 尋找離散對(duì)數(shù)問(wèn)題的背景群：從Zp*到EC39EC圖示P+Q=RO點(diǎn)累加P+P=2PP+P+P=3PP+…+P=kPEC圖示P+Q=R40素域上的EC在有限域Zp上的簡(jiǎn)化EC y2≡x3＋ax＋bmodp其中4a3＋27b2modp≠0這是一個(gè)離散點(diǎn)的集合* 直觀解釋把開(kāi)放二維平面折疊到p×p的方框內(nèi)，并且只考慮整數(shù)點(diǎn)素域上的EC在有限域Zp上的簡(jiǎn)化EC41y2≡x3＋18x＋15mod23

y2≡x3＋18x＋15mod2342ECDLP在D-H密鑰交換中(群Zp*中) 使用了y＝gxmodp中x的計(jì)算困難性在EC點(diǎn)加法群中 Q＝kP中的k計(jì)算也是極其困難的 (kP表示k個(gè)P相加：P+…+P)ECDLP在D-H密鑰交換中(群Zp*中)43ECDSADSA/DSS，基于DLP問(wèn)題的簽名算法/標(biāo)準(zhǔn)Lucifer/DES，Rijndael/AESECDSA，基于ECDLP問(wèn)題的DSA算法ECDSADSA/DSS，基于DLP問(wèn)題的簽名算法/標(biāo)準(zhǔn)44P1363IEEEP1363isanIEEEstandardizationprojectforpublic-keycryptography.Itincludesspecificationsfor:*Traditionalpublic-keycryptography(IEEEStd1363-2000and1363a-2004)*Lattice-basedpublic-keycryptography(P1363.1)*Password-basedpublic-keycryptography(P1363.2)*Identity-basedpublic-keycryptographyusingpairings(P1363.3)P1363IEEEP1363isanIEEEsta451363/atheunderlyingcomputationallydifficultproblem:discretelogarithminthegroupofremaindersmoduloaprime(DL)discretelogarithminthegroupofpointsonanellipticcurveoverafinitefield(EC)integerfactorization(IF)FortheDLfamily,thestandardwillinclude:Diffie-HellmankeyagreementallowinguptotwokeypairsfromeachpartyMenezes-Qu-Vanstonekeyagreement,whichrequirestwokeypairsfromeachpartyDSASignatures,withSHA-1andRIPEMD-160ashashfunctionsNyberg-RueppelSignatureswithappendix,withSHA-1/RIPE-160ashashfunctionsFortheECfamily,thestandardwillmirrortheDLfamily;FortheIFfamily,thestandard:RSAencryptionwithOptimalAsymmetricEncryptionPadding(OAEP)RSAsignaturewithappendixusingahashfunctionandANSIX9.31paddingRabin-Williams(evenexponent)equivalentsoftheaboveRSAsignatures

1363/atheunderlyingcomputati46P1363.1IEEEP1363.1willspecifycryptographictechniquesbasedonhardproblemsoverlattices.ItisalsointendedthatP1363.1provideasecond-generationframeworkforthedescriptionofcryptographictechniques,ascomparedtotheinitialframeworkprovidedin1363-2000anddraftP1363a.Itisnotthepurposeofthisprojecttomandateanyparticularsetofpublic-keytechniquesorsecurityrequirements(includingkeysizes)forthisoranyfamily.Rather,thepurposeistoprovide:areferenceforspecificationofavarietyoftechniquesfromwhichapplicationsmayselect,therelevantnumber-theoreticbackground,andextensivediscussionofsecurityandimplementationconsiderationssothatasolutionprovidercanchooseappropriatesecurityrequirementsforitself.P1363.1IEEEP1363.1willspeci47P1363.2Memorizedsecretsareanimportantfactorinhumanauthentication.P1363.2willspecifypublic-keycryptographictechniquesspecificallydesignedtosecurelyperformpassword-basedauthenticationandkeyexchange.Thesetechniquesprovideawaytoauthenticatepeopleanddistributehigh-qualitycryptographickeysforpeople,whilepreventingoff-linebrute-forceattacksassociatedwithpasswords.Rather,thepurposeistoprovide: (1)areferenceforspecificationofavarietyoftechniquesfromwhichapplicationsmayselect, (2)theappropriatetheoreticbackground,and (3)extensivediscussionofsecurityandimplementationconsiderationssothatasolutionprovidercanchooseappropriatesecurityrequirements.P1363.2Memorizedsecretsarea48P1363.3IEEEP1363.3willspecifyIdentity-BasedCryptographictechniquesbasedonPairings.TheseofferadvantagesoverclassicpublickeytechniquesspecifiedinIEEE1363.Examplesarethelackofarequirementtoexchangeorlookuppublickeysofarecipientandthesimplifieduseofshort-livedkeys.Itisnotthepurposeofthisprojecttomandateanyparticularsetofidentity-basedpublic-keytechniques,orparticularattributesofpublic-keytechniquessuchaskeysizes.Rather,thepurposeistoprovideareferenceforspecificationsofavarietyoftechniquesfromwhichapplicationsmayselect.P1363.3IEEEP1363.3willspeci49CerticomCerticomCorp.isacryptographycompanyfoundedin1985byGordonAgnew.TheCerticomintellectualpropertyportfolioincludesover350patentsandpatentspendingworldwidethatcoverkeyaspectsofellipticcurvecryptography(ECC):softwareoptimizations,efficienthardwareimplementations,methodstoenhancethesecurity,andvariouscryptographicprotocols.TheNationalSecurityAgency(NSA)haslicensed26ofCerticom'sECCpatentsasawayofclearingthewayfortheimplementationofellipticcurvestoprotectUSandalliedgovernmentinformation.whueccCerticomCerticomCorp.isacr50Lattice-basedLattice-based51phDLattice-basedphDLattice-based52量子技術(shù)量子量子比特(qubit)量子通信量子密碼學(xué)量子計(jì)算機(jī)1994年，彼得·秀爾（PeterShor）提出量子質(zhì)因子分解算法1994年，貝爾實(shí)驗(yàn)室的專家彼得·修爾（PeterShor）證明量子電腦能做出對(duì)數(shù)運(yùn)算量子技術(shù)量子53糾纏Quantumentanglement光子有一奇異的特性—“混雜”特性，即從同一個(gè)光源分出的光束具有相同的物理性質(zhì)，尤如“雙胞胎”一樣。1982年，法國(guó)奧賽光學(xué)研究所的科學(xué)家就在實(shí)驗(yàn)室實(shí)現(xiàn)了光子“混雜”，1997年，他們又使用光纖再次完成了這一實(shí)驗(yàn)。瑞士研究人員在近期也進(jìn)行了類似的實(shí)驗(yàn)，他們將聚集在一個(gè)非線性晶體上的激光束分成兩束，第一束被導(dǎo)向一個(gè)實(shí)驗(yàn)室，另一束則通過(guò)一個(gè)2公里長(zhǎng)的光纖、被導(dǎo)向另一個(gè)實(shí)驗(yàn)室，兩個(gè)實(shí)驗(yàn)室相距55米。研究人員在一個(gè)實(shí)驗(yàn)室內(nèi)將第三束光與“雙胞胎”光束中的一束相互作用，他們觀察到在另一個(gè)實(shí)驗(yàn)室的另一束光也發(fā)生著這種變化。這一實(shí)驗(yàn)證實(shí)了光子的“混雜”特性：一個(gè)唯一、相同的物體同時(shí)處于兩個(gè)不同的地方，使得在一個(gè)地方對(duì)光子的操作可以反射到處于另一個(gè)地方的“雙胞胎”光子上并表現(xiàn)出來(lái)。實(shí)驗(yàn)的成功，使光子“混雜”特性從實(shí)驗(yàn)室研究走向?qū)嶋H應(yīng)用邁出了新的一步，使量子遠(yuǎn)距離輸運(yùn)變成可能。糾纏Quantumentanglement光子有一奇異的54測(cè)不準(zhǔn)海森堡測(cè)不準(zhǔn)原理在一個(gè)量子力學(xué)系統(tǒng)中，一個(gè)粒子的位置和它的動(dòng)量不可被同時(shí)確定。（測(cè)量手段必然引入干擾）測(cè)不準(zhǔn)海森堡測(cè)不準(zhǔn)原理55量子密鑰分發(fā)協(xié)議BB84B92量子密鑰分發(fā)協(xié)議BB8456一次一密(one-timepad)vs.量子計(jì)算按照信息論觀點(diǎn)，one-timepad能抵抗量子計(jì)算一次一密(one-timepad)vs.量子計(jì)算按照信57TODO：量子計(jì)算量子計(jì)算機(jī)Foraquantumcomputer,however,PeterShordiscoveredanalgorithmin1994thatsolvesitinpolynomialtime.量子密碼學(xué)“海森堡測(cè)不準(zhǔn)”“單量子不可復(fù)制”實(shí)驗(yàn)室階段TODO：量子計(jì)算量子計(jì)算機(jī)58側(cè)信道攻擊TODO側(cè)信道攻擊TODO59Q&A

Q&A60安全協(xié)議與標(biāo)準(zhǔn)linfb@2007,11安全協(xié)議與標(biāo)準(zhǔn)linfb@61高級(jí)密碼協(xié)議密碼協(xié)議和數(shù)學(xué)難解問(wèn)題 ↓D-H、RSA、秘密分享、門限密碼 ↓比特承諾和網(wǎng)絡(luò)棋牌游戲 ↓安全多方計(jì)算 ↓ECC ↓量子計(jì)算與密碼學(xué) ↓側(cè)信道攻擊 ↓高級(jí)密碼協(xié)議密碼協(xié)議和數(shù)學(xué)難解問(wèn)題 ↓62協(xié)議（算法）協(xié)議是一系列步驟，它包括兩方或多方，設(shè)計(jì)它的目的是要完成一項(xiàng)任務(wù)。（1）協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。（2）協(xié)議中的每人都必須同意遵循它。（3）協(xié)議必須是無(wú)歧意的，每一步必須明確定義，并且不會(huì)引起誤解。（4）協(xié)議必須是完整的，對(duì)每種可能的情況必須規(guī)定具體的動(dòng)作。協(xié)議（算法）63密碼學(xué)算法和協(xié)議的背景：某些數(shù)學(xué)難解問(wèn)題大數(shù)分解難題IFP-Integerfactorizationproblem離散對(duì)數(shù)難題DLP-DiscretelogarithmproblemECDLP

密碼學(xué)算法和協(xié)議的背景：某些數(shù)學(xué)難解問(wèn)題大數(shù)分解難題64Diffie-Hellman密鑰交換協(xié)議DH76，Diffie-Hellman基于DLP問(wèn)題步驟選取大素?cái)?shù)q和它的一個(gè)生成元g，這些參數(shù)公開(kāi)A選擇隨機(jī)數(shù)Xa，B選擇隨機(jī)數(shù)Xb

A計(jì)算Ya＝g^Xamodq，B計(jì)算Yb＝g^Xbmodq交換Ya，YbA計(jì)算K＝Y(jié)b^Xamodq，B計(jì)算K'＝Y(jié)a^Xbmodq事實(shí)上，K＝K'Diffie-Hellman密鑰交換協(xié)議DH76，Diff65RSA算法找素?cái)?shù)，選取兩個(gè)512bit的隨機(jī)素?cái)?shù)p,q計(jì)算模n＝pq，Euler函數(shù)φ(n)=(p-1)(q-1)找ed≡1modφ(n)選取數(shù)e，用擴(kuò)展Euclid算法求數(shù)d發(fā)布公鑰(e,n)，保密私鑰(d,n)加密明文分組m(視為整數(shù)須小于n) c=memodn解密

m=cdmodnRSA算法找素?cái)?shù)，選取兩個(gè)512bit的隨機(jī)素?cái)?shù)p,q66RSAproblemRSA問(wèn)題 TheRSAproblemistofindintegerPsuchthatPe≡C(mod

N),givenintegersN,eandCsuchthatNistheproductoftwolargeprimes,2<e<Niscoprimetoφ(N),and0<=C<N.開(kāi)e次方e=3，65537RSAproblemRSA問(wèn)題67Diffie-HellmanproblemGivenanelementgandthevaluesofgx

andgy,whatisthevalueofgxy?ComputationalDiffie-HellmanassumptionItisanopenproblemtodeterminewhetherthediscretelogassumptionisequivalenttoCDH,thoughincertainspecialcasesthiscanbeshowntobethecase.DecisionalDiffie-Hellmanassumption(ga,gb,gab)?(ga,gb,gc)Diffie-HellmanproblemGivenan68秘密(密鑰)分割秘密分割（多人共同持有秘密）0.秘密K需要t個(gè)人聯(lián)合打開(kāi)1.產(chǎn)生隨機(jī)數(shù)R1、R2、…、Rt-1、 Rt=K⊕R1⊕R2…⊕Rt-12.t個(gè)人分別持有Ri3.恢復(fù)秘密 K＝R1⊕R2…⊕Rt-1⊕Rt秘密(密鑰)分割秘密分割（多人共同持有秘密）69秘密的門限共享(m，n)門限方案秘密的恢復(fù)需要n個(gè)人中的m個(gè)參與即可Lagrange插值方案以(3，n)門限方案為例: 取多項(xiàng)式f(x)=ax2+bx+K，a、b是隨機(jī)數(shù)，K是秘密對(duì)于成員i＝1…n，給予f(xi)=axi2+bxi+K，一般取xi＝i恢復(fù)秘密時(shí)只需n中的三個(gè)(x、y)點(diǎn)即重構(gòu)f(x)秘密的門限共享(m，n)門限方案70門限密碼學(xué)(ThresholdCryptography)一組人用門限方法共同持有一個(gè)私鑰，要對(duì)某個(gè)消息簽名:(1)可以恢復(fù)私鑰，然后簽名。這樣私鑰就公開(kāi)暴露在組人面前，以后就不能用了。(2)不恢復(fù)私鑰而簽名。這樣私鑰可以繼續(xù)使用。門限密碼學(xué)(ThresholdCryptography)71時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存在。版權(quán)或?qū)＠麪?zhēng)端即是誰(shuí)有產(chǎn)生爭(zhēng)議的工作的最早的副本，誰(shuí)就將贏得官司。對(duì)于紙上的文件，公證人可以對(duì)文件簽名，律師可以保護(hù)副本。如果產(chǎn)生了爭(zhēng)端，公證人或律師可以證明某封信產(chǎn)生于某個(gè)時(shí)間。 在數(shù)字世界中，事情要復(fù)雜得多。沒(méi)有辦法檢查竄改簽名的數(shù)字文件。他們可以無(wú)止境地復(fù)制和修改而無(wú)人發(fā)現(xiàn)。在計(jì)算機(jī)文件上改變?nèi)掌跇?biāo)記是輕而易舉的事，沒(méi)有人在看到數(shù)字文件后說(shuō)：“是的，這個(gè)文件是在1952年12月4日以前創(chuàng)建的?！?AppliedCryptography,SecondEdition權(quán)威機(jī)構(gòu)：CA、公證處時(shí)間戳服務(wù)在很多情況中，人們需要證明某個(gè)文件在某個(gè)時(shí)期存在。72高級(jí)密碼協(xié)議課件73inPGPfmtinPGPfmt74實(shí)驗(yàn)：時(shí)間戳服務(wù)“聯(lián)合信任”公司的時(shí)間戳服務(wù)/index.html實(shí)驗(yàn)：時(shí)間戳服務(wù)“聯(lián)合信任”公司的時(shí)間戳服務(wù)75盲簽名BlindSignatureA持有消息m，B持有私鑰d，計(jì)算s≡mdmodn，但是不泄露各自的輸入。A讓B簽署經(jīng)隨機(jī)盲化掩飾后的消息 m’≡m*remodnB計(jì)算 s’≡m’dmodnA從而仍可得到B對(duì)m的簽名 s≡s’*reverse(r)≡(m*re)d*r-1 ≡md*red-1≡mdmodn盲簽名BlindSignatureA持有消息m，B持有私76信息隱藏學(xué)/隱寫術(shù)Steganography演示軟件DstegoGoogle(“Dstego”)能把秘密藏到聲音、圖像，甚至可執(zhí)行文件中閾下信道Subliminalchannel數(shù)字水印Digitalwatermarking信息隱藏學(xué)/隱寫術(shù)Steganography演示軟件Ds77網(wǎng)絡(luò)游戲棋類游戲很容易網(wǎng)絡(luò)化牌類游戲則需要處理額外問(wèn)題如何洗牌/發(fā)牌？一個(gè)簡(jiǎn)單的操作：擲色子更簡(jiǎn)單的：拋硬幣網(wǎng)絡(luò)游戲棋類游戲很容易網(wǎng)絡(luò)化78拋硬幣Alice和Bob想拋擲一個(gè)公平的硬幣，但又沒(méi)有實(shí)際的物理硬幣可拋。Alice提出一個(gè)用思維來(lái)拋擲公平硬幣的簡(jiǎn)單方法?！笆紫?，你想一個(gè)隨機(jī)比特，然后我再想一個(gè)隨機(jī)比特，我們將這兩個(gè)比特進(jìn)行異或?！盇lice建議道。……

拋硬幣Alice和Bob想拋擲一個(gè)公平的硬幣，但又沒(méi)有實(shí)際的79好的思路首先，Bob確定一個(gè)比特，但這次他不立即宣布，只是將它寫在紙上，并裝入信封中。接下來(lái)，Alice公布她選的比特。最后，Alice和Bob從信封中取出Bob的比特并計(jì)算隨機(jī)比特。只要至少一方誠(chéng)實(shí)地執(zhí)行協(xié)議，這個(gè)比特的確是真正隨機(jī)的。好的思路首先，Bob確定一個(gè)比特，但這次他不立即宣布，只是將80信封加密這種技術(shù)叫比特承諾（BitCommitment）投幣入井協(xié)議（FlippingCoinsintoaWell）“金簪子掉進(jìn)井里”信封加密81采用單向函數(shù)的拋幣協(xié)議如果Alice和Bob對(duì)使用一個(gè)單向函數(shù)達(dá)成一致意見(jiàn)，協(xié)議非常簡(jiǎn)單：（1）Alice選擇一個(gè)隨機(jī)數(shù)x，她計(jì)算y=f（x），這里f（x）是單向函數(shù)；（2）Alice將y送給Bob；（3）Bob猜測(cè)x是偶數(shù)或奇數(shù)，并將猜測(cè)結(jié)果發(fā)給Alice；（4）如果Bob的猜測(cè)正確，拋幣結(jié)果為正面;如果Bob的猜測(cè)錯(cuò)誤，則拋幣的結(jié)果為反面。Alice公布此次拋幣的結(jié)果，并將x發(fā)送給Ｂob；（5）Bob確信y=f（x）。采用單向函數(shù)的拋幣協(xié)議如果Alice和Bob對(duì)使用一個(gè)單向函82三方智力撲克Alice、Bob和Carol都產(chǎn)生一個(gè)公鑰/私鑰密鑰對(duì)。加密可交換性質(zhì),即mk1,k2=mk2,k1Alice產(chǎn)生52個(gè)消息(可驗(yàn)證的唯一的隨機(jī)串)，每個(gè)代表一副牌中的一張牌。Alice用她的公鑰加密所有這些消息，并將它們發(fā)送給Bob。Bob，由于不能閱讀任何消息，他隨機(jī)地選擇5張牌。他用他的公鑰加密，并把它們回送給Alice。Bob將余下的47張牌送給Carol。Carol，由于不能閱讀任何消息，也隨機(jī)選5個(gè)消息。她用她的公鑰加密，并把它們送給Alice。三方智力撲克Alice、Bob和Carol都產(chǎn)生一個(gè)公鑰/私83-Alice也不能閱讀回送給她的消息，她用她的私鑰對(duì)它們解密，然后送給Bob或Carol（依據(jù)來(lái)自誰(shuí)而定）。Bob和Carol用他們的密鑰解密并獲得他們的牌。Carol從余下的42張牌中隨機(jī)取5張，把它們發(fā)送給Alice。Alice用她的私鑰解密消息獲得她的牌。在游戲結(jié)束時(shí)，Alice，Bob和Carol都出示他們的牌以及他們的密鑰，以便每人都確信沒(méi)有人作弊。-Alice也不能閱讀回送給她的消息，她用她的私鑰對(duì)它們解密84百萬(wàn)富翁問(wèn)題百萬(wàn)富翁問(wèn)題 兩個(gè)百萬(wàn)富翁想知道誰(shuí)更富有，但不想泄露有關(guān)財(cái)富多少的任何信息。 如果不借助于第三方，他們自己能做到嗎？“Twomillionaireswishtoknowwhoisricher;however,theydonotwanttofindoutinadvertentlyanyadditionalinformationabouteachother’swealth.Howcantheycarryoutsuchaconversation?” ---[Yao82]百萬(wàn)富翁問(wèn)題百萬(wàn)富翁問(wèn)題85網(wǎng)絡(luò)游戲問(wèn)題：從[Gold87]演繹軍棋(暗棋)普通軍棋需要第三人為裁判網(wǎng)絡(luò)軍棋使用服務(wù)器(可信第三方)為裁判? 能否避免使用第三方網(wǎng)絡(luò)游戲問(wèn)題：從[Gold87]演繹軍棋(暗棋)86*專利：自裁判軍棋自裁判軍棋此軍棋可實(shí)現(xiàn)不用裁判即可下暗棋的功能， 能達(dá)到與網(wǎng)絡(luò)軍棋相同的效果/content.asp?id=3218&random=.2393專利樣本*專利：自裁判軍棋自裁判軍棋87年齡比較概念假設(shè)A、B年齡a,b，且無(wú)意于撒謊 準(zhǔn)備適當(dāng)多的(比如100個(gè))信封順序排好B回避，A把前a個(gè)信封中做記號(hào)A回避，B把第b個(gè)信封取出，把其余信封收起來(lái)A和B共同打開(kāi)此信封，有記號(hào)則說(shuō)明a>=b，無(wú)記號(hào)則b>a年齡比較概念88比較是否相等a.比較兩個(gè)大文件是否等同比如網(wǎng)絡(luò)文件共享或同步，避免傳輸而比較兩個(gè)大文件內(nèi)容是否一致(BT/eMule)方法是比較兩個(gè)文件的Hash值(如果不想泄露自己大文件的Hash值，歸為b)b.比較兩個(gè)小文件(短消息)不能公布內(nèi)容，也不能公布Hash值如果公布其Hash值，則容易受到枚舉攻擊參見(jiàn)《應(yīng)用密碼學(xué)》6.2保密的多方計(jì)算-協(xié)議#3”保密的多方計(jì)算約會(huì)服務(wù)（SecureMultipartyComputationDatingService）”比較是否相等a.比較兩個(gè)大文件是否等同89求和/平均值一群人怎樣才能計(jì)算出他們的平均薪水，而又不讓任何人知道其他人的薪水呢？Alice在她的薪水上加一個(gè)秘密隨機(jī)數(shù)，然后把它送給BobBob把他的薪水加上，并把它送給Carol。Carol把她的薪水相加，并把它送給Dave。Dave把他的薪水相加，并把它送給Alice。Alice減去那個(gè)隨機(jī)數(shù)以恢復(fù)每個(gè)人薪水之總和。Alice把這個(gè)結(jié)果除以人數(shù)(4)，并宣布結(jié)果。求和/平均值一群人怎樣才能計(jì)算出他們的平均薪水，而又不讓任何90tocheckiftheyloveeachotherAlice有保密輸入a，Bob有保密輸入b:

a:=1若A喜歡B/否則0

b:=1若B喜歡A/否則0目標(biāo)(在盡可能保護(hù)隱私的前提下)計(jì)算

f(a,b):=a^b

保護(hù)隱私的效果 如果f(a,b)=1，則沒(méi)有隱私 如果f(a,b)=0，則如果對(duì)方是0則其不知道自己是否是1，即保護(hù)了自己的隱私。tocheckiftheyloveeachoth91SMPC問(wèn)題定義參與者Pi持有輸入Xi

計(jì)算函數(shù)

(Y1,Y2,…,Yi,…)=F(X1,X2,…,Xi,…)

參與者Pi得到輸出YiPi不知道Xi/Yi之外的其他值假設(shè)各方輸入時(shí)是誠(chéng)實(shí)的。如果有可信第三方，則可以讓它來(lái)幫助計(jì)算。但是安全多方計(jì)算考慮不用可信第三方時(shí)的情況，并考慮抵抗部分成員合謀試圖知道其他人的輸入。SMPC問(wèn)題定義參與者Pi持有輸入Xi92所有密碼協(xié)議都是多方安全計(jì)算的特例門限簽名/解密、群密鑰協(xié)商、身份鑒別、傳輸加密等。電子商務(wù)中的問(wèn)題，比如拍賣、投票、電子現(xiàn)金等。在互聯(lián)網(wǎng)上保護(hù)隱私方面。所有密碼協(xié)議都是多方安全計(jì)算的特例門限簽名/解密、群密鑰協(xié)商93對(duì)密文查詢比如Gmail可以存放3G的郵件，Google公司顯然企圖從中搜集用戶喜好和動(dòng)向（他們叫數(shù)據(jù)挖掘），從而發(fā)送定向廣告。 為了挫敗Gmail的企圖以及其他的安全考慮，使用PGP處理郵件。問(wèn)題是如何查詢？查找某封信，只記得該信內(nèi)容是討論如何做“酸菜魚”的。標(biāo)簽label對(duì)密文查詢比如Gmail可以存放3G的郵件，Google公司94如何保護(hù)用戶隱私Google可能會(huì)記錄用戶的查詢關(guān)鍵字歷史，從而服務(wù)于。。。如何保護(hù)自己的查詢關(guān)鍵字不被記錄。PrivateInformationRetrieval(PIR)查詢數(shù)據(jù)庫(kù)，而不暴露查詢的具體項(xiàng)另一種形式允許查詢數(shù)據(jù)庫(kù)，而不暴露數(shù)據(jù)庫(kù)如何保護(hù)用戶隱私Google可能會(huì)記錄用戶的查詢關(guān)鍵字歷史，95CED：DLPAlice想讓Bob幫忙計(jì)算e，而不泄露x和e x≡g^emodpA計(jì)算 x’≡x*g^rmodpB求e’

x’≡g^e’

modpA計(jì)算 e=(e’-r)modp-1因?yàn)?x’≡g^e’

modp x*g^r≡g^e’modp x≡g^(e’-r)modpCED：DLPAlice想讓Bob幫忙計(jì)算e，而不泄露x和e96一般思路借助別人的計(jì)算能力，計(jì)算自己的函數(shù)，而不泄漏某些相關(guān)的信息。自己計(jì)算F(X) X----------->F(X)-------------->Y如果借助另外的幫助

X---g(X) h(Y′)---->Y | |

X′------>F′(X′)----->Y′一般思路借助別人的計(jì)算能力，計(jì)算自己的函數(shù)，而不泄漏某些相關(guān)97RSA提速利用外部計(jì)算能力加密

C=M^e解密 M=C^dM=1 ForeachbitofD=dk…d2d1 ifdi=1then M=M*C%N

C=C^2%N EndForRSA提速利用外部計(jì)算能力加密98橢圓曲線* 尋找離散對(duì)數(shù)問(wèn)題的背景群：從Zp*到ECEllipticCurve

y2＋axy＋by＝x3＋cx2＋dx＋e其中a、b、c、d、e是滿足某個(gè)簡(jiǎn)單條件的實(shí)數(shù)另有O點(diǎn)被定義為無(wú)窮點(diǎn)/零點(diǎn)點(diǎn)加法，P＋Q＝R定義為過(guò)P、Q和橢圓曲線相交的第三點(diǎn)的X軸對(duì)稱點(diǎn)R橢圓曲線* 尋找離散對(duì)數(shù)問(wèn)題的背景群：從Zp*到EC99EC圖示P+Q=RO點(diǎn)累加P+P=2PP+P+P=3PP+…+P=kPEC圖示P+Q=R100素域上的EC在有限域Zp上的簡(jiǎn)化EC y2≡x3＋ax＋bmodp其中4a3＋27b2modp≠0這是一個(gè)離散點(diǎn)的集合* 直觀解釋把開(kāi)放二維平面折疊到p×p的方框內(nèi)，并且只考慮整數(shù)點(diǎn)素域上的EC在有限域Zp上的簡(jiǎn)化EC101y2≡x3＋18x＋15mod23

y2≡x3＋18x＋15mod23102ECDLP在D-H密鑰交換中(群Zp*中) 使用了y＝gxmodp中x的計(jì)算困難性在EC點(diǎn)加法群中 Q＝kP中的k計(jì)算也是極其困難的 (kP表示k個(gè)P相加：P+…+P)ECDLP在D-H密鑰交換中(群Zp*中)103ECDSADSA/DSS，基于DLP問(wèn)題的簽名算法/標(biāo)準(zhǔn)Lucifer/DES，Rijndael/AESECDSA，基于ECDLP問(wèn)題的DSA算法ECDSADSA/DSS，基于DLP問(wèn)題的簽名算法/標(biāo)準(zhǔn)104P1363IEEEP1363isanIEEEstandardizationprojectforpublic-keycryptography.Itincludesspecificationsfor:*Traditionalpublic-keycryptography(IEEEStd1363-2000and1363a-2004)*Lattice-basedpublic-keycryptography(P1363.1)*Password-basedpublic-keycryptography(P1363.2)*Identity-basedpublic-keycryptographyusingpairings(P1363.3)P1363IEEEP1363isanIEEEsta1051363/atheunderlyingcomputationallydifficultproblem:discretelogarithminthegroupofremaindersmoduloaprime(DL)discretelogarithminthegroupofpointsonanellipticcurveoverafinitefield(EC)integerfactorization(IF)FortheDLfamily,thestandardwillinclude:Diffie-HellmankeyagreementallowinguptotwokeypairsfromeachpartyMenezes-Qu-Vanstonekeyagreement,whichrequirestwokeypairsfromeachpartyDSASignatures,withSHA-1andRIPEMD-160ashashfunctionsNyberg-RueppelSignatureswithappendix,withSHA-1/RIPE-160ashashfunctionsFortheECfamily,thestandardwillmirrortheDLfamily;FortheIFfamily,thestandard:RSAencryptionwithOptimalAsymmetricEncryptionPadding(OAEP)RSAsignaturewithappendixusingahashfunctionandANSIX9.31paddingRabin-Williams(evenexponent)equivalentsoftheaboveRSAsignatures

1363/atheunderlyingcomputati106P1363.1IEEEP1363.1willspecifycryptographictechniquesbasedonhardproblemsoverlattices.ItisalsointendedthatP1363.1provideasecond-generationframeworkforthedescriptionofcryptographictechniques,ascomparedtotheinitialframeworkprovidedin1363-2000anddraftP1363a.Itisnotthepurposeofthisprojecttomandateanyparticularsetofpublic-keytechniquesorsecurityrequirements(includingkeysizes)forthisoranyfamily.Rather,thepurposeistoprovide:areferenceforspecificationofavarietyoftechniquesfromwhichapplicationsmayselect,therelevantnumber-theoreticbackground,andextensivediscussionofsecurityandimplementationconsiderationssothatasolutionprovidercanchooseappropriatesecurityrequirementsforitself.P1363.1IEEEP1363.1willspeci107P1363.2Memorizedsecretsareanimportantfactorinhumanauthentication.P1363.2willspecifypublic-keycryptographictechniquesspecificallydesignedtosecurelyperformpassword-basedauthenticationandkeyexchange.Thesetechniquesprovideawaytoauthenticatepeopleanddistributehigh-qualitycryptographickeysforpeople,whilepreventingoff-linebrute-forceattacksassociatedwithpasswords.Rather,thepurposeistoprovide: (1)areferenceforspecifi