網絡信息安全內容整理

2023/5/251/411.3安全攻擊對任何機構的信息資源進行破壞的行為即安全攻擊信息安全就是要檢測和防范這種攻擊行為通常threat和attack指的是同樣的事情安全攻擊的行為范圍很廣通常有兩大類安全攻擊被動攻擊：對傳輸進行竊聽和監(jiān)測，通信和信息不受影響，用戶感覺不到攻擊存在，攻擊通常是竊聽或流量分析，判斷通信性質主動攻擊：攻擊者破壞通信過程，攔截、修改、偽造、丟棄信息、拒絕服務或假冒合法用戶目前一頁\總數八十五頁\編于九點2023/5/252/41PassiveAttack--releaseofcontents

被動攻擊之消息內容的泄漏目前二頁\總數八十五頁\編于九點2023/5/253/41PassiveAttack—trafficanalysis

被動攻擊之流量分析目前三頁\總數八十五頁\編于九點2023/5/254/41ActiveAttack—Masquerade

主動攻擊之偽裝目前四頁\總數八十五頁\編于九點2023/5/255/41ActiveAttack—Replay

主動攻擊之重放目前五頁\總數八十五頁\編于九點2023/5/256/41ActiveAttack—Modificationofmessages主動攻擊之消息修改目前六頁\總數八十五頁\編于九點2023/5/257/41ActiveAttack—DenialofService

主動攻擊之拒絕服務目前七頁\總數八十五頁\編于九點2023/5/258/72網絡信息安全

Chapter2

ClassicalEncryptionTechniques目前八頁\總數八十五頁\編于九點2023/5/259/72理論安全，或無條件安全TheoreticalSecure(orPerfectSecure)

攻擊者無論截獲多少密文，都無法得到足夠的信息來唯一地決定明文。Shannon用理論證明：欲達理論安全，加密密鑰長度必須大于等于明文長度，密鑰只用一次，用完即丟，即一次一密，One-timePad，不實用。實際安全，或計算上安全PracticalSecure(orComputationallySecure)

如果攻擊者擁有無限資源，任何密碼系統(tǒng)都是可以被破譯的；但是，在有限的資源范圍內，攻擊者都不能通過系統(tǒng)的分析方法來破解系統(tǒng)，則稱這個系統(tǒng)是計算上安全的或破譯這個系統(tǒng)是計算上不可行(ComputationallyInfeasible)。理論安全和實際安全目前九頁\總數八十五頁\編于九點2023/5/2510/72對稱密碼體制(SymmetricSystem,One-keySystem,Secret-keySystem)

加密密鑰和解密密鑰相同，或者一個密鑰可以從另一個導出，能加密就能解密，加密能力和解密能力是結合在一起的，開放性差。非對稱密碼體制(AsymmetricSystem,Two-keySystem,Public-keySystem)

加密密鑰和解密密鑰不相同，從一個密鑰導出另一個密鑰是計算上不可行的，加密能力和解密能力是分開的，開放性好。對稱密碼體制和非對稱密碼體制目前十頁\總數八十五頁\編于九點2023/5/2511/72序列密碼如果密文不僅與最初給定的算法和密鑰有關，同時也與明文位置有關(是所處位置的函數)，則稱為序列密碼體制。加密以明文比特為單位，以偽隨機序列與明文序列模2加后，作為密文序列。分組密碼如果經過加密所得到的密文僅與給定的密碼算法和密鑰有關，與被處理的明文數據在整個明文中的位置無關，則稱為分組密碼體制。通常以大于等于64位的數據塊為單位，加密得相同長度的密文。序列密碼體制和分組密碼體制目前十一頁\總數八十五頁\編于九點2023/5/2512/72確定型密碼體制和概率密碼體制確定型：當明文和密鑰確定后，密文也就唯一地確定了。概率型：當明文和密鑰確定后，密文通過客觀隨機因素從一個密文集合中產生，密文形式不確定，稱為概率型密碼體制。單向函數型密碼體制和雙向變換型密碼體制單向函數型密碼體制適用于不需要解密的場合，容易將明文加密成密文，如哈希函數；雙向變換型密碼體制可以進行可逆的加密、解密變換。其他加密體制目前十二頁\總數八十五頁\編于九點2023/5/2513/72現(xiàn)代密碼學的基本原則設計加密系統(tǒng)時，總是假定密碼算法是可以公開的，需要保密的是密鑰。一個密碼系統(tǒng)的安全性不在算法的保密，而在于密鑰，即Kerckhoff原則。對加密系統(tǒng)的要求系統(tǒng)應該是實際上安全的(practicalsecure)，截獲密文或已知明文－密文對時，要決定密鑰或任意明文在計算上是不可行的。加密解密算法適用于密鑰空間中的所有元素。系統(tǒng)易于實現(xiàn)，使用方便。系統(tǒng)的安全性不依賴于對加密體制或加密算法的保密，而依賴于密鑰。系統(tǒng)的使用不應使通信網絡的效率過分降低?，F(xiàn)代密碼學基本原則目前十三頁\總數八十五頁\編于九點2023/5/2514/72傳統(tǒng)密碼的簡化模型目前十四頁\總數八十五頁\編于九點2023/5/2515/72傳統(tǒng)密碼體制的模型Y=Ek(X)X=Dk(Y)目前十五頁\總數八十五頁\編于九點2023/5/2516/36網絡信息安全

Chapter3

BlockCipherandDataEncryptionStandard目前十六頁\總數八十五頁\編于九點2023/5/25CryptographyandNetworkSecurity-217/36第3章分組密碼和數據加密標準分組密碼是一種加密解密算法，將輸入明文分組當做一個整體處理，輸出一個等長的密文分組。許多分組密碼都采用Feistel結構，這樣的結構由許多相同的輪函數組成。每一輪里，對輸入數據的一半進行代換，接著用一個置換來交換數據的兩個部分，擴展初始的密鑰使得每一輪使用不同的子密鑰。DES是應用最為廣泛的分組密碼，它擴展了經典的Feistel結構。DES的分組和密鑰分別是64位和56位的。差分分析和線性分析是兩種重要的密碼分析方法。DES對這兩種攻擊有一定的免疫性。目前十七頁\總數八十五頁\編于九點2023/5/25CryptographyandNetworkSecurity-218/36乘積密碼的設計思想ClaudeShannonandSubstitution-PermutationCiphers

1949年，ClaudeShannon

引進了substitution-permutation(S-P)networks的思想，即現(xiàn)代的乘積加密器，形成了現(xiàn)代分組加密的基礎。S-PNetworks是基于替代和置換這兩個基本操作的。提供了對明文信息處理所做的confusion和diffusion

。Shannon認為，為了對付基于統(tǒng)計分析的密碼破譯，必須對明文作confusion(混淆)和diffusion(擴散)處理，以減少密文的統(tǒng)計特性，為統(tǒng)計分析制造障礙。diffusion–明文統(tǒng)計結構擴散消失到大批密文統(tǒng)計特性中，使明文和密文之間統(tǒng)計關系盡量復雜；confusion–混淆，使密文和加密密鑰之間的關系盡量復雜。目前十八頁\總數八十五頁\編于九點2023/5/25CryptographyandNetworkSecurity-219/36目前十九頁\總數八十五頁\編于九點2023/5/2520/51網絡信息安全

Chapter4

FiniteFields目前二十頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐0421/514.1群,環(huán)和域Groups,Rings,andFields群G,記作{G,?},定義一個二元運算?的集合，G中每一個序偶(a,b)通過運算生成G中元素(a?b)，滿足下列公理：(A1)封閉性Closure:如果a和b都屬于G,則a?b也屬于G.(A2)結合律Associative:對于G中任意元素a,b,c，都有a?(b?c)=(a?b)?c成立(A3)單位元Identityelement:G中存在一個元素e，對于G中任意元素a，都有a?e=e?a=a成立(A4)逆元Inverseelement:對于G中任意元素a,G中都存在一個元素a’，使得a?a’=a’?a=e成立目前二十一頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐0422/51交換群和循環(huán)群交換群AbelianGroup：還滿足以下條件的群稱為交換群(又稱阿貝爾群)(A5)交換律Commutative：對于G中任意的元素a,b，都有a?b=b?a成立當群中的運算符是加法時，其單位元是0；a的逆元是-a,并且減法用以下的規(guī)則定義：a–b=a+(-b)循環(huán)群CyclicGroup如果群中的每一個元素都是一個固定的元素a(a∈G)的冪ak(k為整數)，則稱群G為循環(huán)群。元素a生成了群G，或者說a是群G的生成元。目前二十二頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐0423/51環(huán)(Rings)環(huán)R,由{R,+,x}表示,是具有加法和乘法兩個二元運算的元素的集合，對于環(huán)中的所有a,b,c,都服從以下公理：(A1-A5),單位元是0，a的逆是-a.(M1),乘法封閉性,如果a和b屬于R,則ab也屬于R(M2),乘法結合律,對于R中任意a,b,c有a(bc)=(ab)c.(M3),乘法分配律,a(b+c)=ab+acor(a+b)c=ac+bc(M4),乘法交換律,ab=ba，交換環(huán)(M5),乘法單位元,R中存在元素1使得所有a有a1=1a.(M6),無零因子,如果R中有a,b且ab=0,則a=0orb=0.滿足M4的是交換環(huán)；滿足M5和M6的交換環(huán)是整環(huán)目前二十三頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐0424/51域(Fields)域F,可以記為{F,+,x},是有加法和乘法的兩個二元運算的元素的集合，對于F中的任意元素a,b,c,滿足以下公理：(A1-M6),F是一個整環(huán)(M7),乘法逆元,對于F中的任意元素a(除0以外),F中都存在一個元素a-1,使得aa-1=(a-1)a=1.域就是一個集合，在其上進行加減乘除而不脫離該集合,除法按以下規(guī)則定義:a/b=a(b-1).有理數集合,實數集合和復數集合都是域；整數集合不是域，因為除了1和-1有乘法逆元，其他元素都無乘法逆元目前二十四頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐0425/51(a1opa2)modn=[(a1modn)]op(a2modn)]modn①反身性：a=amodn②對稱性：若a=bmodn，則b=amodn③傳遞性:若a=bmodn且b=cmodn，則a=cmodn④如果a=bmodn且c=dmodn，則

a+c=(b+d)modna-c=(b-d)modna?c=(b?d)modn⑤(a+b)modn=(amodn+bmodn)modn(a-b)modn=(amodn-bmodn)modn(a?b)modn=(amodn?bmodn)modn

模算術運算目前二十五頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐0426/51

(a+b)modn=(amodn+bmodn)modn

證明：定義(amodn)=ra,(bmodn)=rb于是存在整數j,k使得a=ra+jn,b=rb+kn.那么(a+b)modn=(ra+jn+rb+kn)modn=(ra+rb+(k+j)n)modn=(ra+rb)modn=[(amodn)+(bmodn)]modn

模算術運算目前二十六頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0627/58網絡信息安全

Chapter6

MoreonSymmetricCiphers

目前二十七頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0628/576.1.1雙重DES多次加密的最簡單形式是進行兩次加密，每次使用不同的密鑰C=EK2(EK1(P))P=DK1(DK2(C))這種方法的密鑰長度是56x2=112位雖然雙重DES對應的映射與單DES對應的映射不同，但是有中途相遇攻擊“meet-in-the-middle”只要連續(xù)使用密碼兩次，這種攻擊總是有效因為X=EK1(P)=DK2(C)用所有可能的密鑰加密明文P并把結果存儲起來然后用所有可能的密鑰解密密文C，尋找匹配的X值因此復雜度只有O(256)目前二十八頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0629/57雙重DES和三重DES雙重DES(DoubleDES)給定明文P和加密密鑰K1和K2,加密：C=EK2[EK1[P]]解密：P=DK1[DK2[C]]密鑰長度為56x2=112位存在中途相遇攻擊問題目前二十九頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0630/576.2分組密碼的工作模式目前三十頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0831網絡信息安全

Chapter8

IntroductiontoNumberTheory目前三十一頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0832/688.2

費馬定理和歐拉定理定理8.1

費馬定理Fermat’sTheorem若p是素數,a是正整數且不能被p整除,則ap-1modp=1證明：因為{amodp,2amodp,...,(p-1)amodp}是{1,2,...,(p-1)}的置換形,所以,(aｘ2aｘ...ｘ(p-1)a)≡(1ｘ2ｘ...ｘ(p-1))(modp)≡(p-1)!modp.但是,aｘ2aｘ...ｘ(p-1)a=(p-1)!ap-1,因此(p-1)!ap-1≡(p-1)!modp,兩邊去掉(p-1)!,即得ap-1modp=1.例如：a=7,p=19,ap-1modp=718mod19=?72=49≡11mod1974=121≡7mod1978=49≡11mod19716=121≡7mod19ap-1=718=716x72≡7x11≡1mod19目前三十二頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0833/688.2

費馬定理和歐拉定理用a乘以集合中所有元素并對p取模，則得到集合X={amodp,2amodp,…,(p-1)amodp}。因為p不能整除a，所以X的元素都不等于0，而且各元素互不相等。假設ja≡ka(modp),其中1≤j<k≤p-1,因為a和p互素，所以兩邊可以把a消去，則推出j≡k(modp)，而這是不可能的。因此X的p-1個元素都是正整數且互不相等。所以說X和{1,2,…,p-1}構成相同，只是元素順序不同。目前三十三頁\總數八十五頁\編于九點34（1）計算610mod11若p是素數,a是正整數且不能被p整除,則ap-1modp=1解法：我們可得610mod11=1。這是p=11時，可以使用費馬小定理的第一個版本直接計算得到。費馬小定理（范例）目前三十四頁\總數八十五頁\編于九點35（2）計算312mod11ap≡amodp,p是素數解法：此處指數（12）和模數（11）是不同的。費馬小定理（范例）目前三十五頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0836/68歐拉函數φ(n)的證明定理8.2p和q是素數,n=p*q,φ(n)=φ(p)φ(q)=(p-1)(q-1)顯然，對于素數p，φ(p)=p-1證明：考慮余數集合{0,1,…,(pq-1)}中不與n互素的余數集合是{p,2p,…,(q-1)p},{q,2q,…,(p-1)q}和0,所以φ(n)=pq-[(q-1)+(p-1)+1]=pq-(p+q)+1=(p-1)(q-1)=φ(p)φ(q)目前三十六頁\總數八十五頁\編于九點37歐拉定理對任意互質的a和n有：目前三十七頁\總數八十五頁\編于九點38（1）若

n

是素數，根據

和費馬小定理，則上式成立；

若p是素數,a是正整數且不能被p整除,則ap-1modp=1（2）所有小于n，且與

n

互質的正整數的集合歐拉定理（證明）

目前三十八頁\總數八十五頁\編于九點39歐拉定理（證明）即每一個元素都有gcd(xi,n)=1。用a與R中的每個元素模n相乘：S是R的一個排列，因為(1)a與n互素，且xi與n互素，所以axi必與n互素，這樣S中所有元素均小于n且與n互素。(2)S中沒有重復元素，所以集合S是集合R的一個置換。目前三十九頁\總數八十五頁\編于九點40歐拉定理（證明）目前四十頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0841/688.4ChineseRemainderTheorem

中國余數定理CRT說明某一范圍內的整數可通過它對兩兩互素的整數取模所得的余數來重構Z10(0,1,…,9)中的10個整數可通過它們對2和5(10的素因子)取模所得的兩個余數來重構.假設數x的余數r2=0且r5=3,即xmod2=0,xmod5=3,則x是Z10中的偶數且被5除余3,唯一解x=8.一種CRT的表示形式令M=mi,其中mi兩兩互素,1<=i,j<=k,i≠j,gcd(mi,mj)=1將Zm中的任一整數對應一個k元組,該k元組的元素均在Zmi中,對應關系為A?(a1,a2,…,ak),其中A∈Zm,對1<=i<=k,ai∈Zmi,且ai=Amodmi目前四十一頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0842/688.4ChineseRemainderTheorem

斷言一對任何A，0≤A≤M，有唯一的k元組(a1,a2,…,ak)與之對應，其中0≤ai<mi，并且對任何這樣的k元組(a1,a2,…,ak)，ZM中有唯一的A與之對應。

目前四十二頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0843/688.4ChineseRemainderTheorem

由A到(a1,a2,…,ak)的轉換顯然是唯一確定的。即只需取ai=Amodmi。對給定的(a1,a2,…,ak)，可如下計算A。目前四十三頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0844/68孫子定理(孫子算經,3-5世紀)今有物不知其數,三三數之剩二,五五數之剩三,七七數之剩二,問物幾何。

xmod3=2 n=3*5*7=105 xmod5=3 d1=3,d2=5,d3=7 xmod7=2 x1=2,x2=3,x3=2目前四十四頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0845/68孫子定理(孫子算經,3-5世紀)今有物不知其數,三三數之剩二,五五數之剩三,七七數之剩二,問物幾何。

xmod3=2 n=3*5*7=105 xmod5=3 d1=3,d2=5,d3=7 xmod7=2 x1=2,x2=3,x3=2(1)求yi，()yimoddi=1

()y1mod3=1 ()y2mod5=1 ()y3mod7=1

得：35y1mod3=1 y1=2 21y2mod5=1 y2=1 15y3mod7=1 y3=1(2)x=(35×2×2＋21×1×3＋15×1×2)mod105=23目前四十五頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0946/32網絡信息安全

Chapter9

Public-keyCryptographyandRSA目前四十六頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0947/32公開密鑰加密過程目前四十七頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0948/32公開密鑰認證過程目前四十八頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0949/32算法流程隨機選擇兩個秘密大素數p和q；計算公開模數n=p*q；計算秘密的歐拉指數函數φ(n)=(p-1)(q-1)；選擇一個與φ(n)互素的數，作為e或d；用Euclid算法計算模φ(n)的乘法逆元素，即根據edmodφ(n)=1,求d或e；加密：C=Memodn解密：M=Cdmodn=(Memodn)dmodn=M這里，φ(n)為歐拉函數,即集合(1,2,...,n-1)中與n互素的數的個數。RSA密碼體制基本原理目前四十九頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0950/32目前五十頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0951/32目前五十一頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0952/32一個例子p=17,q=11,e=7,M=88求公鑰KU和私鑰KR分別為多少？加密計算后所得到的C為多少？并驗證解密運算后，是否能恢復出明文M。目前五十二頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0953/32一個例子p=17,q=11,n=pq=17x11=187,φ(n)=(p-1)(q-1)=16x10=160選擇e=7,gcd(7,160)=1,23x7=161,所以d=23公鑰KU={7,187},私鑰KR={23,187},M=88加密計算C=887mod

187887mod187=[(884mod187)x882mod187)x881mod187)]mod187881mod187=88882mod187=7744mod187=77884mod187=59969536mod187=132887mod187=(88x77x132)mod187=894432mod187=11解密計算M=1123mod

187=88目前五十三頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-0954/32RSA密碼體制基本原理RSA算法滿足公開密鑰加密的要求,必須符合下列條件：有可能找到e,d,n的值,使得對所有M<n有Medmodn=M對于所有M<n的值,要計算Me和Cd是相對容易的在給定e和n時,計算d是不可行的幾個關系φ(n)=φ(pq)=φ(p)φ(q)=(p-1)(q-1),p,qareprimeedmodφ(n)=1,ed=kφ(n)+1,即ed≡1modφ(n),d≡e-1modφ(n)目前五十四頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1055/59網絡信息安全

Chapter10KeyManagement;OtherPublicKeyCryptosystem目前五十五頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1056/60公開密碼的主要作用之一就是解決密鑰分配問題，公鑰密碼實際上可以用于以下兩個不同的方面公鑰的分配公鑰密碼用于傳統(tǒng)密碼體制的密鑰分配幾種公鑰分配方法公開發(fā)布、公開可訪問的目錄公鑰授權、公鑰證書公鑰的公開發(fā)布用戶將他的公鑰發(fā)送給另一通信方，或者廣播給通信各方，比如在電子郵件后附上PGP密鑰，或者發(fā)布到郵件列表上最大問題在于任何人都可以偽造這種公鑰的發(fā)布10.1.1密鑰管理之公鑰的分配目前五十六頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1057/60自由的公鑰發(fā)布目前五十七頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1058/60維護一個動態(tài)可訪問的公鑰目錄可以獲得更大程度的安全性一個可信實體或組織負責這個公開目錄的維護和分配目錄包含{name,public-key}等項每一通信方通過目錄管理員以安全的方式注冊一個公鑰通信方在任何時刻可以用新的密鑰替代當前的密鑰目錄定期更新目錄可通過電子方式訪問一旦攻擊者獲得目錄管理員私鑰，則可傳遞偽造的公鑰，可以假冒任何通信方以竊取消息，或者修改已有的記錄公開可訪問的目錄目前五十八頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1059/60公開可訪問的目錄目前五十九頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1060/60A發(fā)送帶有時間戳的消息給公鑰管理員,請求B的當前公鑰管理員給A發(fā)送用其私鑰KRauth加密的消息,A用管理員的公鑰解密，可以確信該消息來自管理員：B的公鑰KUb，用來加密；原始請求，A可以驗證其請求未被修改；原始時間戳,A可以確定收到的不是來自管理員的舊消息。A保存B的公鑰,并用它對包含A的標識IDA和Nonce1的消息加密,然后發(fā)送給BB以同樣方式從管理員處得到A的公鑰B用KUa對A的N1和B的N2加密,發(fā)送給AA用B的公鑰對N2加密并發(fā)送給B,使B相信其通信伙伴是A公鑰授權目前六十頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1061/60公鑰分配方案目前六十一頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1062/60有了公鑰證書使得不通過實時訪問公鑰授權部門而實現(xiàn)公鑰交換成為可能公鑰證書將一個通信方的身份與他的公開密鑰綁定在一起，通常還包括有效期和使用方法等證書的所有內容必須經由可信公鑰授權方或者證書授權方簽名后方可生效知道公鑰授權當局公開密鑰的任何人都可以驗證一個用戶的公開密鑰證書的有效性

對于申請者A，管理員提供的證書為：CA=

EKRauth

[T,IDA,KUa]其他人讀取并驗證：DKUauth[CA]=DKUauth[EKRauth

[T,IDA,KUa]]=(T,IDA,KUa)10.1.2公鑰證書目前六十二頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1063/60公鑰證書的交換目前六十三頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1064/60采用前述方法獲得的公開密鑰可以用于保密和認證之需公鑰密碼算法速度較慢，因此更適合作為傳統(tǒng)密碼中實現(xiàn)秘密密鑰分配的一種手段因此，需要產生會話密碼來加密已經有一些方法用來協(xié)商適當的會話密鑰10.1.3利用公鑰密碼分配傳統(tǒng)密碼體制的密鑰目前六十四頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1065/6010.2Diffie-Hellman密鑰交換Diffie和Hellman在1976年首次提出了公鑰算法，給出了公鑰密碼學的定義，該算法通常被稱為Diffie-Hellman密鑰交換算法Diffie-Hellman密鑰交換算法是一種公鑰分發(fā)機制它不是用來加密消息的所生成的是通信雙方共享的會話密鑰，必須保密，其值取決于通信雙方的私鑰和公鑰信息Diffie-Hellman密鑰交換算法是基于有限域GF中的指數運算的(模一素數或多項式)Diffie-Hellman密鑰交換算法的安全性依賴于求解離散對數問題DLP目前六十五頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1066/60Diffie-HellmanKeyExchange通信雙方約定一個大素數(或多項式)p,和模p的一個素根α各方產生公開密鑰選擇一個秘密鑰(數值)，如xA<p，xB<p

計算公鑰,如yA=αxAmodp,yB=αxBmodp,并相互交換雙方共享的會話密鑰KAB可以如下算出KAB=αxA.xBmodp=yAxBmodp(whichBcancompute)=yBxAmodp(whichAcancompute)KAB是雙方用對稱密碼通信時共享的密鑰如果雙方繼續(xù)通信，可以繼續(xù)使用這個密鑰，除非他們要選擇新的密鑰攻擊者如果想要獲得x,則必須解決DLP問題目前六十六頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1067/6010.2.2Diffie-Hellman密鑰交換協(xié)議本協(xié)議不能抵抗中間人攻擊目前六十七頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1068/60中間人攻擊假定A和B希望交換密鑰，而D是攻擊者，攻擊過程如下：目前六十八頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1069/60假設A和B互相通信，共享大素數p，本原元素α，0≤m≤p-1加密：A選擇k∈[0,p-1],k的作用其實即為xA,A訪問公共區(qū)域找到B的公開密鑰YB=αxBmodp,計算：K=(YB)kmodp,即K=αxBkmodpc1=αkmodpc2=mKmodp密文即為(c1,c2)解密：B首先恢復K：K=c1xBmodp=αkxBmodp然后恢復m：m=c2/Kmodp=c2K-1modp基于DLP的概率密碼系統(tǒng)

ElGamalCryptosystem目前六十九頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1070/60例：P=17,α=3,xA=2,xB=5,m=11,m從A發(fā)送到B,A選擇k=7.求：密文(c1,c2)并解密ElGamalCryptosystem目前七十頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1071/60例：P=17,α=3,xA=2,xB=5,m=11,m從A發(fā)送到B,A選擇k=7.求：密文(c1,c2)并解密加密：YA=αxAmodP=32mod17=9 YB=αxBmodP=35mod17=5 K=(YB)kmodP=57mod17=10 c1=αkmodP=37mod17=11 c2=mKmodP=10x11mod17=8 所以，密文C=(c1,c2)=(11,8)解密：K=c1xBmodP=115mod17=10 c2=mKmodP=10mmod17=8 m=c2/KmodP=c2K-1modP KK-1modP=1，即10K-1mod17=1，得K-1=12

所以，明文m=c2K-1modP=8x12mod17=11ElGamalCryptosystem目前七十一頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1172/35網絡信息安全

Chapter11MessageAuthenticationandHashFunctions目前七十二頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1173/35MAC加密所得的消息校驗和

MAC=CK(M)使用一個秘密密鑰K，濃縮一個變長的消息M，產生一個固定長度的認證子MAC是一種多對一的函數定義域由任意長的消息組成，值域由所有可能的MAC和密鑰組成。若使用n位長的MAC,則有2n個可能的MAC,有N條可能的消息,N>>2n.若密鑰長度為k,則有2k種可能的密鑰。如N為100,n為10,共有2100不同的消息,210種不同的MAC,平均而言同一MAC可由2100/210=290條不同的消息產生。若密鑰長度為5，則從消息集合到MAC值的集合有25=32不同映射?？梢宰C明，由于認證函數的數學性質，與加密相比，認證函數更不易被攻破MAC:消息認證碼的特點目前七十三頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1174/35目前七十四頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1175/35

散列函數

HashFunction一個散列函數以變長的報文M作為輸入，產生定長的散列碼H(M)，作為輸出，亦稱作報文摘要MessageDigest.散列碼是報文所有比特的函數值，具有差錯檢測能力，報文任意一比特的改變都將引起散列碼的改變不同的散列碼使用方式對附加了散列碼的報文進行加密使用常規(guī)加密方法僅對散列碼加密使用公開密鑰方法僅對散列碼加密，提供數字簽名同時提供保密和簽名，可以分別使用常規(guī)方法加密報文及使用公開密鑰方法加密散列碼其他對避免加密的方法重視的原因加密過程很慢，硬件開銷大目前七十五頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1176/351.H可以應用于任意大小的數據塊2.H產生固定長度的輸出3.對任意給定的明文x，計算H(x)容易，可由硬件或軟件實現(xiàn)4.對任意給定的散列碼h，找到滿足H(x)=h的x，在計算上不可行，單向性5.對任何給定的分組x，找到滿足y≠x且H(x)=H(y)的y，在計算上不可行，抗弱碰撞性6.找到任何滿足H(x)=H(y)的偶對(x,y)，在計算上不可行，抗強碰撞性對散列函數的要求h=H(M)目前七十六頁\總數八十五頁\編于九點2023/5/25現(xiàn)代密碼學理論與實踐-1177/35條件1,2,3是所謂單向性問題(One-way)條件4,5是對使用的哈希值的數字簽名方法所做的安全保障，否則攻擊者可由已知的明文及相關的數字簽名任意偽造對其他明文的簽名條件6主要用于防范所謂的生日攻擊法能滿足條件1-5