第二章對稱加密和消息的機密性(Ⅰ)

1內(nèi)容回顧1，passiveattack以及activeattack的基本含義；2，被動攻擊的兩種形式；3，主動攻擊的四種形式；4，六種securityservices的基本含義；2內(nèi)容回顧被動攻擊和主動攻擊

被動攻擊試圖獲取和使用系統(tǒng)中的信息，但是不會對系統(tǒng)的資源產(chǎn)生破壞。

主動攻擊試圖改變系統(tǒng)的資源或者偽裝成系統(tǒng)中的合法用戶進行操作。3內(nèi)容回顧數(shù)據(jù)機密性(私密性)認(rèn)證(確保通信實體就是它所聲稱的那個實體)數(shù)據(jù)完整性(確保數(shù)據(jù)沒有被更改)不可抵賴性訪問控制(防止對資源的非授權(quán)使用)可用性服務(wù)(持久性、不可刪除性)

拒絕服務(wù)攻擊病毒刪除文件安全服務(wù)5概要傳統(tǒng)（對稱）加密原理密碼體制密碼分析經(jīng)典的Feistel密碼結(jié)構(gòu)6概要傳統(tǒng)（對稱）加密原理密碼體制密碼分析經(jīng)典的Feistel密碼結(jié)構(gòu)7對稱加密原理

9對稱加密原理

明文：這是原始消息或數(shù)據(jù)，作為算法的輸入。如下圖：10對稱加密原理

加密算法加密算法對明文進行各種替換和轉(zhuǎn)換。如下圖所示：11對稱加密原理

密文這是產(chǎn)生的已被打亂的消息輸出。

它取決于明文和私鑰。

對于一個給定的消息，兩個不同的密鑰會產(chǎn)生兩個不同的密文。如下圖所示：13對稱加密原理

解密算法本質(zhì)上是加密算法的的反向運行。

它使用密文和相同的密鑰產(chǎn)生原始明文。如下圖所示：14對稱加密原理

對稱加密(傳統(tǒng)加密

)的安全使用有兩個要求：需要一個強（strong）加密算法；保證密鑰安全。15對稱加密原理

保證密鑰安全發(fā)送者和接收者必須通過一個安全的方式獲得密鑰并且保證密鑰安全。如果其他人發(fā)現(xiàn)了密鑰并且知道了算法，所有使用這個密鑰的通信都是可讀的。17對稱加密原理

總結(jié)有必要指出，對稱加密的安全取決于密鑰的保密性而非算法的保密性。使用對稱加密時，最主要的安全問題是密鑰的保密性。18概要傳統(tǒng)(對稱)

加密原理密碼體制

密碼分析經(jīng)典的Feistel密碼結(jié)構(gòu)19密碼體制操作類型

所有的加密算法都基于兩個通用法則替換

(Substitution)，明文中的每個元素(比特、字母、一組比特或者一組字母)都被映射到另外一個元素。變換、移項(Transposition)，明文中每個元素都被再排列。21密碼體制使用的密鑰數(shù)對稱加密

如果發(fā)送者和接收者都使用同一密鑰，該體制就是對稱、單鑰、私鑰或者說傳統(tǒng)加密。非對稱加密

如果發(fā)送者和接收者使用不同的密鑰，

該體制就是非對稱、雙鑰或者說公鑰加密。22密碼體制明文的處理方式分組密碼分組密碼一次處理一個輸入元素組，產(chǎn)生與該輸入分組對應(yīng)的一個輸出組。流密碼

流密碼在運行過程中連續(xù)地處理輸入元素，每次列入一個輸出元素。23密碼分析什么是密碼分析：

試圖找出明文或者密鑰的工作被稱為密碼分析。

破譯者使用的策略取決于加密方案的固有性質(zhì)以及破譯者掌握的信息。25密碼分析對加密消息的攻擊類型：

唯密文攻擊（Ciphertextonly）已知明文攻擊（Knownplaintext）選擇明文攻擊（Chosenplaintext）選擇密文攻擊（Chosenciphertext）選擇文本攻擊（Chosentext）以上各種攻擊類型的分類是基于密碼分析者掌握的信息的數(shù)量。26唯密文:

因此，攻擊者必須依靠對密文本身的分析，

通常是對它進行各種統(tǒng)計分析。要使用這個方法，攻擊者必須對隱蔽明文的類型有一個大致的了解，例如是英語或者法語文本、一個會計文本等等。密碼分析唯密文攻擊是最容易抵抗的，因為攻擊者所掌握的用于密碼分析的信息量最少。29已知明文：

密碼分析在許多情況下，攻擊者擁有更多的信息。攻擊者可能知道特定的明文消息以及與它們對應(yīng)的密文。30選擇明文：

密碼分析通常，如果攻擊者能夠選擇加密的消息，那么攻擊者就會有目的地選取能夠揭示密鑰結(jié)構(gòu)的消息樣本。31選擇密文：

它在密碼破譯中是不常用的，但畢竟是一種可能的攻擊途徑。密碼分析32選擇文本：

它在密碼破譯中也是不常用的，但是它也是一種可能的攻擊途徑。purport:聲稱密碼分析33計算安全：

當(dāng)加密方案產(chǎn)生的密文滿足下面條件之一或全部條件時，則稱該方案是計算安全的（computationallysecure）。破解密文的代價超出被加密信息的價值。破解密文需要的時間超出信息的有用壽命。密碼分析34計算安全:

問題的關(guān)鍵是，我們很難定量的評估成功破譯密文需要付出的努力。但是，假設(shè)算法沒有內(nèi)在的數(shù)學(xué)弱點，那么就只剩下窮舉攻擊方法了，

我們就能夠?qū)ζ涑杀竞蜁r間做出合理的評估。密碼分析35窮舉搜索密鑰需要的平均時間：

窮舉方法嘗試所有可能的密鑰直到把密文翻譯成可理解的明文。平均而言，一般需要嘗試所有可能密鑰的一般才能成功。下面的表格給出了不同密鑰長度所需的時間。密碼分析36窮舉搜索密鑰需要的平均時間

密鑰長度

(比特)可選密鑰數(shù)以1μs加密106

次的速率需要的時間32232=4.3x1092.15微秒56256=7.2x101610小時1282128=3.4x10385.4x1018

年1682168=3.7x10505.9x1030

年37概要傳統(tǒng)(對稱)加密原理密碼體制密碼分析經(jīng)典的Feistel密碼結(jié)構(gòu)

38Feistel密碼結(jié)構(gòu)事實上，幾乎所有的對稱加密算法（包括DES），其結(jié)構(gòu)有IBM的HorstFeistel在1973年首次詳細描述。Fesitel網(wǎng)絡(luò)的實現(xiàn)取決于一下參數(shù)和設(shè)計屬性：39Feistel密碼結(jié)構(gòu)分組大?。˙lockSize）密鑰大?。↘eySize）迭代輪數(shù)（Numberofrounds）子密鑰產(chǎn)生算法（Subkeygenerationalgorithm）輪函數(shù)（Roundfunction）快速軟件加密/解密（Fastsoftwareencryption/decryption）易于分析（Easeofanalysis）40Feistel網(wǎng)絡(luò)n

輪見課本，34頁，

圖2.2解密過程和加密過程在本質(zhì)上是一致的，但是在解密時反序使用子密鑰41分組大小：

越大的分組意味著越高的安全性(所有其他條件都相同)，但是降低了加密/解密速度。128比特大小的分組是一個合理的折衷并且?guī)缀跏悄壳胺纸M密碼設(shè)計的普遍選擇。Feistel密碼結(jié)構(gòu)42密鑰大小：

越長的密鑰意味著越高的安全性，但可能會降低加密/解密的速度。現(xiàn)代算法最普遍的密鑰長度為128比特。Feistel密碼結(jié)構(gòu)43迭代輪數(shù)：

feistel密碼結(jié)構(gòu)的本質(zhì)是單輪處理不能提供充分的安全性，多輪處理能提供更高的安全性。典型的大小是16。Feistel密碼結(jié)構(gòu)44子密鑰產(chǎn)生算法：

此算法的復(fù)雜度越高，密碼破譯的難度就越大。輪函數(shù)：

同樣，

越高的復(fù)雜度意味著密碼破譯時遇到的就會阻力越大。Feistel密碼結(jié)構(gòu)45快速軟件加密/解密：

在很多情況下，

加密嵌入在應(yīng)用或者實體模塊中以避免用硬件實現(xiàn)。因此，軟件執(zhí)行速度成為一個重要因素。Feistel網(wǎng)絡(luò)結(jié)構(gòu)46易于分析:

如果算法能夠被簡明清楚地解釋，則容易分析該算法的弱點并因此給出對其強度更高級別的保障。例如，DES

不具有容易分析的性質(zhì)。Feistel密碼結(jié)構(gòu)47將明文分組分成兩半：L0

和R0將它們分別通過n輪處理將密鑰分成n個子密鑰，每輪一個在第i輪:對當(dāng)前的左半部分Li–1

執(zhí)行代換，即將它與輪函數(shù)F(Ki,Ri–1)做異或。F即為輪函數(shù)。交換左右兩半部分(這是一個置換(permutation))?，F(xiàn)代分組密碼的基礎(chǔ)。Feistel密碼結(jié)構(gòu)48

Ri=Li-1

F(Ki,Ri–1)

Li=Ri-1Ki

子密鑰，由全局密鑰K產(chǎn)生Li-1Ri-149算法密鑰大小(比特)分組大小(比特)迭代輪數(shù)應(yīng)用DES566416SET,Kerberos3DES1686448Financialkeymanagement,PGP,S/MIMEIDEA128648PGPBlowfish最大支持4486416各種軟件封裝RC5最大支持204864最大支持255各種軟件封裝AES128,192,或25612810,12,或14可能取代D