工業(yè)互聯(lián)網(wǎng)安全技術(shù) 課件 第3章 密碼學(xué)基礎(chǔ)

工業(yè)互聯(lián)網(wǎng)安全技術(shù)第3章密碼學(xué)基礎(chǔ)3.1密碼學(xué)與密碼系統(tǒng)3.2密碼體制的分類3.3

數(shù)據(jù)完整性算法第1章緒論學(xué)習(xí)要求

知識(shí)要點(diǎn)能力要求密碼學(xué)與密碼系統(tǒng)（1）了解密碼學(xué)的發(fā)展（2）掌握密碼系統(tǒng)密碼體制（1）熟悉AES對(duì)稱密碼體制的加密過程（2）熟悉RSA和ECC兩種非對(duì)稱加密體制的加密過程數(shù)據(jù)完整性（1）掌握散列算法、數(shù)字簽名的目的（2）了解散列算法、數(shù)字簽名的過程3.1.1密碼學(xué)概述密碼學(xué)概述在現(xiàn)實(shí)世界中存在許多種信息安全威脅，如竊聽、偽造、篡改、抵賴和拒絕服務(wù)等，直接針對(duì)信息系統(tǒng)的保密性、完整性、可用性、認(rèn)證性和不可否認(rèn)性。經(jīng)典的信息安全三要素為機(jī)密性、完整性和可用性，而隨著時(shí)代的發(fā)展，信息安全的基本屬性得到了擴(kuò)展，包括5個(gè)基本屬性，即機(jī)密性、完整性、可用性、認(rèn)證性和不可否認(rèn)性。3.1.1密碼學(xué)概述密碼學(xué)概述

密碼學(xué)可分為密碼編碼學(xué)和密碼分析學(xué)密碼編碼學(xué)研究安全性高的密碼算法和協(xié)議，以對(duì)信息進(jìn)行加密和認(rèn)證。密碼分析學(xué)則研究如何破譯密碼或偽造認(rèn)證信息密碼編碼學(xué)和密碼分析學(xué)是對(duì)立統(tǒng)一的，總是有新的密碼編碼方式出現(xiàn)以對(duì)抗新出現(xiàn)的密碼分析方法，同時(shí)也總是有新的密碼分析方法出現(xiàn)以破解改進(jìn)了的密碼編碼方式，這一過程也推動(dòng)了密碼學(xué)的發(fā)展。3.1.1密碼學(xué)概述密碼學(xué)概述

從古典密碼學(xué)發(fā)展到如今的現(xiàn)代密碼學(xué)已有數(shù)千年的歷史，其發(fā)展可分為三個(gè)階段，古典密碼學(xué)，近代密碼學(xué)，現(xiàn)代密碼學(xué)。古典密碼學(xué)

古典密碼學(xué)的核心手段主要有兩種，即代換和置換。代換是將明文中的字符用其他字符代替。置換則是將明文中的字符順序重新排列3.1.1密碼學(xué)概述近代密碼學(xué)近代密碼學(xué)可以看作是現(xiàn)代密碼學(xué)的一部分，發(fā)展時(shí)期大概可從18世紀(jì)末到20世紀(jì)中期，其中主要發(fā)展是在第二次世界大戰(zhàn)時(shí)期。1918年，在第一次世界大戰(zhàn)快要結(jié)束時(shí)，德國(guó)人亞瑟·謝爾比烏斯發(fā)明了恩尼格瑪密碼機(jī)，其采用的是多表代替的加密方式。3.1.2密碼系統(tǒng)密碼系統(tǒng)也稱為密碼體制，一個(gè)簡(jiǎn)單的密碼系統(tǒng)模型如圖。密碼系統(tǒng)可由一個(gè)五元組（M,C,K,E,D）表示，該五元組的具體內(nèi)容如下：明文：待傳輸?shù)奈醇用軘?shù)據(jù)，通常用M表示全體明文集合。密文：明文經(jīng)加密得到的數(shù)據(jù)，通常用C表示全體密文集合。密鑰：用以加密和解密的秘密參數(shù)，通常用K表示全體密鑰集合。加密算法：使用加密密鑰將明文轉(zhuǎn)化為密文的規(guī)則，通常用E表示。解密算法：使用解密密鑰將密文轉(zhuǎn)化為明文的規(guī)則，通常用D表示。第3章密碼學(xué)基礎(chǔ)3.1密碼學(xué)與密碼系統(tǒng)3.2密碼體制的分類3.3

數(shù)據(jù)完整性算法3.2.1對(duì)稱密碼體制對(duì)稱密碼體制如果一個(gè)密碼體制的加密密鑰和解密密鑰相同，或者雖然不相同，但是可以由其中任意一個(gè)密鑰很容易地推出另一個(gè)密鑰，則稱該密碼體制為對(duì)稱密碼體制。其特點(diǎn)為：一是加密密鑰和解密密鑰相同，或本質(zhì)相同；二是密鑰必須嚴(yán)格保密。在對(duì)稱加密體制中，加密算法和解密算法是公開的，加密信息的傳遞可以使用一個(gè)不安全的信道，但是傳遞密鑰時(shí)必須提供一個(gè)安全可靠的信道，故其安全性主要取決于密鑰的安全性。常用的對(duì)稱密碼算法有：數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）、擴(kuò)展的DES加密算法（二重和三重DES）和高級(jí)加密標(biāo)準(zhǔn)（AES）。

3.2.1對(duì)稱密碼體制對(duì)稱密碼體制數(shù)據(jù)加密標(biāo)準(zhǔn)DES

DES使用56位密鑰，對(duì)64位數(shù)據(jù)分組進(jìn)行加密，加密后密文長(zhǎng)度也為64位，解密亦然。DES可以分成以下幾個(gè)部分：初始IP置換、子密鑰生成、f函數(shù)、16次迭代和末置換。3.2.1對(duì)稱密碼體制對(duì)稱密碼體制二重DES

DES存在密鑰較短的問題，從而不能滿足當(dāng)前的安全要求。但為了利用DES的軟件和硬件成果，從而提出了多重DES，實(shí)際中常用的是二重DES和三重DES，其中二重DES是多重DES的最簡(jiǎn)單形式。3.2.1對(duì)稱密碼體制對(duì)稱密碼體制三重DES

雖然二重DES采用兩個(gè)密鑰進(jìn)行兩次加密，但當(dāng)遭到中途相遇攻擊時(shí)，其密鑰強(qiáng)度會(huì)退化到與DES相當(dāng)?shù)乃?，為了解決這個(gè)問題，可以使用三重DES。三重DES有幾種模式，最容易想到的是使用三個(gè)不同的密鑰進(jìn)行三次加密，但一種常用的三重DES模式為使用兩個(gè)不同的密鑰。3.2.1對(duì)稱密碼體制對(duì)稱密碼體制AES：高級(jí)加密標(biāo)準(zhǔn)

AES的輸入輸出分組數(shù)據(jù)長(zhǎng)度均為128位，密鑰長(zhǎng)度可變，可設(shè)定位128位，196位和256位。AES加密算法中迭代輪數(shù)取決于密鑰長(zhǎng)度，若密鑰長(zhǎng)度位128位，則=10；若密鑰長(zhǎng)度為196位，則=12；若密鑰長(zhǎng)度為256位，則=14。AES算法包括密鑰擴(kuò)展、輪密鑰加變換、S盒代替、行變換、列變換。3.2.1對(duì)稱密碼體制AES：高級(jí)加密標(biāo)準(zhǔn)S盒替換

S盒為一個(gè)16×16的矩陣，其功能是完成一個(gè)字節(jié)到另一個(gè)字節(jié)的映射，這種變換是非線性的。要描述S盒非常簡(jiǎn)單，但它其實(shí)是一個(gè)復(fù)雜的代數(shù)結(jié)構(gòu)。S盒的輸入為1個(gè)字節(jié)8位，按照高4位為行，低4位為列在S盒中查取對(duì)應(yīng)的數(shù)據(jù)作為輸出，顯然，輸出也為1個(gè)字節(jié)8位。S盒替換表3.2.1對(duì)稱密碼體制AES：高級(jí)加密標(biāo)準(zhǔn)行移位

行移位的輸入是一個(gè)4×4的矩陣，每一個(gè)元素代表一個(gè)字節(jié)，故輸入為16個(gè)字節(jié)。對(duì)于每一次行移位，都有第一行不變，第二行循環(huán)左移一個(gè)元素，第三行循環(huán)左移兩個(gè)元素，第三行循環(huán)左移三個(gè)元素。3.2.1對(duì)稱密碼體制AES：高級(jí)加密標(biāo)準(zhǔn)列混合

與行移位相同，列混合的輸入也是一個(gè)4×4的矩陣。列混合的操作如圖所示。與一般的矩陣相乘不同，此時(shí)的乘法和加法是定義在有限域GF(28)，考慮一種簡(jiǎn)單的運(yùn)算說明。3.2.1對(duì)稱密碼體制AES：高級(jí)加密標(biāo)準(zhǔn)密鑰擴(kuò)展

輸入的密鑰長(zhǎng)度為128位，先將密鑰按列分為四組，每組4個(gè)字節(jié)，分別為W0，W1，W2，W3。接下來需要擴(kuò)充40個(gè)新列，以遞歸方式產(chǎn)生。3.2.1對(duì)稱密碼體制加密模式電子密碼本模式（ECB）首先將明文按一定的位長(zhǎng)進(jìn)行分組，如果最后一個(gè)分組長(zhǎng)度小于指定位長(zhǎng)，則按相應(yīng)規(guī)則填充，得到明文分組（以下明文分組方法相同），再對(duì)每個(gè)明文分組使用相同的密鑰分別加密。ECB加密模式加密過程簡(jiǎn)單，且能夠并行處理。但ECB加密模式存在一個(gè)嚴(yán)重的問題，即如果明文分組相同，則加密后的密文分組也相同，進(jìn)而可以找到明文分組的規(guī)律，存在一定的風(fēng)險(xiǎn)。3.2.1對(duì)稱密碼體制加密模式密碼分組鏈模式（CBC）

明文分組與前一個(gè)密文分組進(jìn)行異或運(yùn)算后，再使用相同密鑰加密，如果當(dāng)前明文分組為第一個(gè)明文分組，則與初始化向量進(jìn)行異或運(yùn)算，因此每個(gè)密文分組都依賴于它前面的所有密文分組。CBC的加密和解密如圖3-11所示。CBC加密模式?jīng)]有EBC加密模式的問題，無法直接從密文分組找出明文分組的規(guī)律，并且對(duì)于相同的明文，使用不同的初始化向量也會(huì)得到不同的密文。但是CBC加密模式的加密過程不能并行處理，使得加密速度較慢。3.2.1對(duì)稱密碼體制加密模式密碼反饋模式（CFB）

對(duì)前一個(gè)密文分組加密，加密后的結(jié)果再與明文分組進(jìn)行異或運(yùn)算，如果當(dāng)前沒有前一個(gè)密文分組，則用初始化向量加密，再與明文分組進(jìn)行異或運(yùn)算。與CBC加密模式相同，每個(gè)密文分組都依賴于它前面的所有密文分組。特點(diǎn)與CBC加密模式相似，可以隱藏明文的規(guī)律，但不可并行加密。3.2.1對(duì)稱密碼體制加密模式輸出反饋模式（OFB）

對(duì)初始化向量進(jìn)行若干次加密，每次加密后與相應(yīng)的明文分組進(jìn)行異或運(yùn)算。OFB加密模式的密文分組不會(huì)影響下一個(gè)密文分組，故不會(huì)進(jìn)行錯(cuò)誤傳播，但每次應(yīng)使用不同的初始向量，避免“已知明文”攻擊。3.2.1對(duì)稱密碼體制加密模式計(jì)時(shí)器模式（CTR）

與OFB加密模式類似，CTR加密模式對(duì)一個(gè)遞增的加密計(jì)數(shù)器加密，加密后的結(jié)果與明文分組進(jìn)行異或運(yùn)算。CTR加密模式的每個(gè)明文分組的加密是獨(dú)立的，進(jìn)而可以并行處理，并且在保證計(jì)數(shù)器長(zhǎng)時(shí)間內(nèi)不產(chǎn)生重復(fù)值的情況下，對(duì)于相同的明文分組，加密后的密文分組不同。3.2.2非對(duì)稱密碼體制非對(duì)稱密碼體制與對(duì)稱密碼體制相反，非對(duì)稱密碼體制的加密密鑰和解密密鑰不同，并且很難由加密密鑰推出解密密鑰。加密密鑰可以公開，稱為公鑰，而解密密鑰只能為私人擁有，稱為私鑰。接下來以RSA和ECC為例介紹非對(duì)稱密碼體制算法。

3.2.2

非對(duì)稱密碼體制

3.2.2

非對(duì)稱密碼體制

橢圓曲線圖像3.2.2

非對(duì)稱密碼體制非對(duì)稱密碼體制ECC對(duì)于加法，如圖橢圓曲線為例，點(diǎn)A和B在橢圓曲線上，現(xiàn)要計(jì)算A+B，則需要先作過A和B的直線，在大多數(shù)情況下，過A和B的直線都會(huì)與橢圓曲線相交于第三點(diǎn)T，再作T關(guān)于X軸對(duì)稱的點(diǎn)得到C，根據(jù)對(duì)稱性，C也在橢圓曲線上。此時(shí)即得到A+B的值C，記為。對(duì)于這種形式的加法定義，T的存在很重要，加法操作需要這樣一個(gè)點(diǎn)。在橢圓曲線上求A+B3.2.2

非對(duì)稱密碼體制非對(duì)稱密碼體制ECC如圖，A和B重合為一個(gè)點(diǎn)，此時(shí)需要在點(diǎn)A處作切線，同樣地與橢圓曲線相交于第三點(diǎn)T，再作關(guān)于X軸對(duì)稱的點(diǎn)得到C，即為結(jié)果，記為A+A=C。與普通運(yùn)算法則相同，實(shí)際上A+A=C=2A，這個(gè)過程也叫做點(diǎn)的自累，這是橢圓曲線乘法的基礎(chǔ)，當(dāng)不斷累加這個(gè)過程，實(shí)際上就是在進(jìn)行橢圓曲線的乘法。在橢圓曲線上求A+B3.2.2

非對(duì)稱密碼體制非對(duì)稱密碼體制ECC此時(shí)繼續(xù)計(jì)算3A，由于，與前述加法過程計(jì)算相同，顯然作過A和2A的直線與橢圓曲線相交于第三點(diǎn)，再關(guān)于X軸對(duì)稱即可得，如圖所示。

接下來介紹ECC的具體流程如下：在橢圓曲線上求A+B

3.2.2

非對(duì)稱密碼體制

第3章密碼學(xué)基礎(chǔ)3.1密碼學(xué)與密碼系統(tǒng)3.2密碼體制的分類3.3

數(shù)據(jù)完整性算法3.3.1散列算法散列算法散列算法也稱散列函數(shù)、hash函數(shù)，散列算法是一種將任意長(zhǎng)度的輸入m變換成固定長(zhǎng)度的輸出H(m)的不可逆單向函數(shù)，輸出H(m)就是散列值。對(duì)于散列算法，其應(yīng)當(dāng)具有以下幾點(diǎn)性質(zhì)：對(duì)于任意的輸入m，能夠產(chǎn)生較短的輸出H(m)，并且輸入的散列計(jì)算是容易的。輸出對(duì)輸入必須具有敏感性，即輸入數(shù)據(jù)的任一點(diǎn)改變都會(huì)帶來輸出的改變。雖然存在兩個(gè)不同的報(bào)文x和y使得H(x)=H(y)，但找到這樣的兩個(gè)報(bào)文在計(jì)算上是不可能的。不能由輸出H(m)反求出m。

3.3.1散列算法散列算法散列算法不是加密算法，但在密碼學(xué)中有廣泛應(yīng)用。散列算法在數(shù)字簽名中發(fā)揮了重要作用。數(shù)字簽名通常使用非對(duì)稱加密，并且由于消息的散列值通常比消息本身短得多，因此對(duì)消息的散列值進(jìn)行數(shù)字簽名比直接對(duì)消息本身進(jìn)行數(shù)字簽名高效得多。散列算法用于消息鑒別碼（messageauthenticationcode，MAC），即判斷消息在發(fā)送途中是否被修改?？紤]Alice向Bob發(fā)送消息m，此時(shí)有密鑰k只有他們兩人知道。Alice使用散列算法得到散列值H(m+k)后將(m,H(m+k))一起發(fā)送給Bob，Bob收到后使用同樣的散列算法計(jì)算m+k的散列值，如果二者的散列值相同，則消息未被修改；否則消息被修改了。

3.3.1散列算法散列算法下面介紹兩種廣泛使用的散列算法MD5和SHA–1

MD5為了克服MD4的缺陷和增強(qiáng)安全性，RSA算法的作者之一Rivest對(duì)MD4進(jìn)行了改進(jìn)，得到了MD5。MD5和MD4設(shè)計(jì)思想相似，但MD5更復(fù)雜。MD5獲得一個(gè)任意長(zhǎng)度的信息后產(chǎn)生一個(gè)128位的信息摘要。其算法原理如下：MD5首先對(duì)信息進(jìn)行填充，然后以512位分組來處理輸入的信息，每一分組又被劃分為16個(gè)32位子分組，經(jīng)過一系列處理后，算法的輸出由4個(gè)32位分組組成，將這4個(gè)32位分組級(jí)聯(lián)后即得到128位散列值。3.3.1散列算法

MD5

填充（數(shù)據(jù)預(yù)處理）數(shù)據(jù)長(zhǎng)度的一致性有利于數(shù)據(jù)處理，故首先對(duì)輸入數(shù)據(jù)m進(jìn)行填充，使得填充后數(shù)據(jù)長(zhǎng)度對(duì)512取余的結(jié)果為448，即填充后數(shù)據(jù)長(zhǎng)度為位，K為大于零的整數(shù)。具體填充操作是：輸入數(shù)據(jù)m后面先補(bǔ)一個(gè)1，然后一直補(bǔ)0直到滿足長(zhǎng)度要求。值得注意的是即使輸入數(shù)據(jù)m的長(zhǎng)度對(duì)512取余的結(jié)果已經(jīng)是448，也要進(jìn)行填充操作，此時(shí)補(bǔ)一個(gè)1和511個(gè)0。填充完成后再級(jí)聯(lián)一個(gè)64位數(shù)據(jù)（輸入數(shù)據(jù)m的長(zhǎng)度的二進(jìn)制表示）。此時(shí)，數(shù)據(jù)的長(zhǎng)度是512的整數(shù)倍。3.3.1散列算法

MD5

初始向量

MD5指定了4個(gè)32位的初始值a、b、c、d作為寄存器中最初的數(shù)據(jù)，用16進(jìn)制表示，分別為：a=01234567，b=89abcdef，c=fedcba98，d=76543210。這4個(gè)值共128位，形成MD5的初始向量，即作為最初的輸入用于第一次主循環(huán)。3.3.1散列算法

MD5

主循環(huán)先將4個(gè)初始值放入另外4個(gè)寄存器A、B、C、D中，以便執(zhí)行最后的模加運(yùn)算，然后開始第一次主循環(huán)。將填充后數(shù)據(jù)按512位分組，則主循環(huán)的次數(shù)即為分組數(shù)，且每一次主循環(huán)的輸入為相應(yīng)的512位分組。每一次主循環(huán)包括四輪，四輪中只有一個(gè)函數(shù)不同，其余均相同。每一輪又包括16次操作，將512位的分組分為16個(gè)字，每個(gè)字32位，則16次操作的輸入為這16個(gè)字。MD5一次主循環(huán)過程MD5每一輪過程3.3.1散列算法散列算法

SHA-11993年美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所發(fā)布了安全散列標(biāo)準(zhǔn)SHA0，但很快就被撤回了，并于1995年發(fā)布了修改版SHA-1。SHA-1在設(shè)計(jì)上與MD5類似，但SHA-1生成的消息摘要長(zhǎng)度為160位，抗窮舉搜索能力更強(qiáng)。SHA-1的填充方式和消息分組與MD5幾乎相同，每個(gè)主循環(huán)也是包括四輪，但每輪進(jìn)行20次操作，包括非線性運(yùn)算、移位和加法運(yùn)算，此時(shí)的操作與MD5有一些區(qū)別。3.3.1散列算法

3.3.2

數(shù)字簽名數(shù)字簽名在日常生活中，手寫簽名是需要的并且被廣泛使用的。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，大量電子文本代替了傳統(tǒng)的紙質(zhì)文本，那么一種發(fā)揮和手寫簽名相同功能的數(shù)字簽名也應(yīng)運(yùn)而生。數(shù)字簽名作為一種對(duì)手寫簽名的模仿，其應(yīng)當(dāng)有以下三點(diǎn)特征：

身份驗(yàn)證：數(shù)字簽名可以被確認(rèn)，即接受簽名的一方能驗(yàn)證簽名

數(shù)據(jù)完整性：除了簽名者，其他人不能對(duì)數(shù)據(jù)進(jìn)行更改

不可否認(rèn)性：簽名者事后不能否認(rèn)自己所做的簽名，即使其想否認(rèn)自己的簽名，公正的第三方也能做出正確的判斷。3.3.2

數(shù)字簽名數(shù)字簽名其他人不能偽造數(shù)字簽名，這意味著簽名者有一個(gè)只有其自己知道的秘密，另一方面，數(shù)字簽名需要被驗(yàn)證，并且此驗(yàn)證是公開的。通過前面對(duì)非對(duì)稱加密的介紹可以發(fā)現(xiàn)，其滿足這兩方面的要求，一把鑰匙是簽名者自己知道的秘密，另一把鑰匙用于公開的驗(yàn)證，實(shí)際上也確實(shí)是采用非對(duì)稱加密進(jìn)行數(shù)字簽名。數(shù)字簽名的原理并不復(fù)雜，其一次簽名和驗(yàn)證過程如下：假設(shè)有簽名者用戶A和驗(yàn)證者用戶B。數(shù)據(jù)首先被使用散列算法生成固定長(zhǎng)度的摘要，簽名者再使用其私鑰對(duì)摘要進(jìn)行加密得到，此即為簽名過程。隨后簽名者將和一起發(fā)送給驗(yàn)證者B。驗(yàn)證者B收到簽名者發(fā)送的數(shù)據(jù)后，對(duì)使用同樣散列算法生成摘要，再與使用公鑰解密數(shù)據(jù)后的數(shù)據(jù)進(jìn)行對(duì)比，若兩者相同，則驗(yàn)證成功，簽名