第2章密碼學基礎導學問題什么是密碼？什么是密碼學？密碼學主要是用于保密通信嗎？

2.1.1小節(jié)一個密碼體制有哪些基本組成？為什么要引入密鑰？根據密鑰的不同，密碼體制可以分為哪幾類？

2.1.2小節(jié)針對密碼體制的數學形態(tài)、軟件形態(tài)和硬件形態(tài)，密碼算法面臨的安全問題有哪些？

2.1.3小節(jié)、2.7節(jié)和2.9節(jié)密碼體制的安全設計方法和設計原則有哪些？

2.1.3小節(jié)對稱密碼算法的特點是什么？對稱密碼算法有哪些？其基本原理和安全性是怎樣的？

2.2節(jié)對稱密碼算法的缺陷是什么？公鑰密碼算法是如何解決這些問題的？

2.3.1小節(jié)有哪些常用的公鑰密碼算法？算法的基本原理是什么？其安全性是如何保證的？

2.3.2小節(jié)密鑰是密碼體制中的一個要素，對于密碼的安全性有著至關重要的作用，如果保證密鑰的安全？在實際應用中，密鑰有哪些分類？

2.4.1小節(jié)和2.4.2小節(jié)2導學問題怎樣分發(fā)和獲取用戶的公鑰？如何建立和維護用戶與其公鑰的對應關系，獲得公鑰后如何鑒別該公鑰的真實性？通信雙方如果發(fā)生爭議如何仲裁？

小2.4.3節(jié)什么是哈希函數？哈希函數有什么作用？常見的哈希函數有哪些？其基本原理和安全性是怎么的？

2.5節(jié)什么是數字簽名和消息認證？數字簽名和消息認證有什么作用？常見的數字簽名算法有哪些？針對特殊的應用，有哪些特殊的數字簽名算法？

2.6節(jié)在實際應用開發(fā)中，密碼算法都能直接拿來使用嗎？密碼算法在應用中面臨哪些安全問題？

2.7.1小節(jié)我國有哪些商用密碼算法？在一般的應用開發(fā)中可以哪些密碼函數庫提高開發(fā)的效率？

2.7.2小節(jié)和2.7.3小節(jié)信息隱藏是與密碼相關聯的安全技術，什么是信息隱藏？它和密碼技術的相同點異同點是什么？有哪些基本的信息隱藏技術？

2.8節(jié)密碼學目前面臨哪些挑戰(zhàn)？由此衍生出哪些研究和應用新領域？

2.9節(jié)32.1密碼學基本概念2.1.1密碼學基本內容2.1.2密碼體制的基本組成及分類2.1.3密碼體制的安全性4計算機系統(tǒng)安全原理與技術（第4版）2.1.1密碼學基本內容51.密碼學發(fā)展簡史在西方和我國，密碼最早的系統(tǒng)性應用都是在軍事領域。20世紀50年代，隨著計算機的出現，密碼學開始與計算機緊密結合。20世紀70年代以來，計算機網絡和信息數字化技術迅速發(fā)展，尤其是隨著互聯網的誕生，密碼學經歷了革命性改變：從傳統(tǒng)的基于手寫文字通信的密碼學，到基于電報通信的密碼學，發(fā)展到基于數字化信息和網絡通信的密碼學。1977年，數據加密標準（DataEncryptionStandard，DES），并廣泛應用于商用數據加密，這在安全保密研究史上是第一次，極大地推動了密碼學的應用和發(fā)展。1995年NIST又公布實施了高級加密標準（AdvancedEncryptionStandard，AES）計算機系統(tǒng)安全原理與技術（第4版）2.1.1密碼學基本內容61.密碼學發(fā)展簡史20世紀90年代開始，人們通過因特網進行保密通信、交換數據和資料、簽署文件和合同、支付和收取賬款的需求不斷出現，于是公鑰密碼成為密碼學發(fā)展的新方向。如今，密碼學的研究與應用已經滲透到人類幾乎所有的社會活動領域。計算機系統(tǒng)安全原理與技術（第4版）2.1.1密碼學基本內容72.現代密碼學基本內容傳統(tǒng)的密碼學主要用于保密通信，其基本目的是使得兩個在不安全信道中通信的實體，以一種使其敵手不能明白和理解通信內容的方式進行通信。現代密碼技術及應用已經涵蓋數據處理過程的各個環(huán)節(jié)，如數據加密、密碼分析、數字簽名、身份認證、秘密分享等。通過以密碼學為核心的理論與技術來保證數據的保密性、完整性、不可否認性和可認證性等多種安全屬性?；诹孔恿W原理的量子密碼、基于分子生物技術的DNA密碼、基于量子計算機所不擅長計算之數學問題的密碼以及混沌密碼等，成為密碼學的新主題計算機系統(tǒng)安全原理與技術（第4版）2.1.2密碼體制的基本組成及分類81.密碼體制的基本組成一個基于密碼技術的保密通信基本模型1）明文M：指人們可以讀懂內容的原始消息，即待加密的消息（Message），也有稱明文P（PlainText）。2）密文C：明文變換成一種在通常情況下無法讀懂的、隱蔽后的信息稱為密文（CypherText，Cypher亦為Cipher）。3）加密E：由明文到密文的變換過程稱為加密（Encryption）。4）解密D：由密文到明文的變換過程稱為解密（Decryption）。5）密鑰K：密鑰K（Key）是指在密碼算法中引進的控制參數，對一個算法采用不同的參數值，其加解密結果就不同。加密算法的控制參數稱為加密密鑰，解密算法的控制參數稱為解密密鑰。計算機系統(tǒng)安全原理與技術（第4版）為什么引入密鑰？2.1.2密碼體制的基本組成及分類92.密碼體制的分類對稱密碼體制，也稱單鑰或私鑰密碼體制，其加密密鑰和解密密鑰相同或實質上等同（Ke=Kd），即由其中一個很容易推出另一個。非對稱密碼體制，也稱公鑰或雙密鑰密碼體制，其加密密鑰和解密密鑰不同（這里不僅Ke≠Kd，在計算上Kd不能由Ke推出），這樣將Ke公開也不會損害Kd的安全。計算機系統(tǒng)安全原理與技術（第4版）2.1.3密碼體制的安全性101.密碼體制常見攻擊方法窮舉攻擊，又稱作蠻力（BruteForce）攻擊，是指密碼分析者用試遍所有密鑰的方法來破譯密碼。統(tǒng)計分析攻擊，是指密碼分析者通過分析密文的統(tǒng)計規(guī)律來破譯密碼。數學分析攻擊，是指密碼分析者針對加密算法的數學依據，通過數學求解的方法來破譯密碼。社會工程攻擊，通過威脅、勒索、行賄或者折磨密鑰擁有者，直到他給出密鑰。計算機系統(tǒng)安全原理與技術（第4版）如何抵抗以上4類常見攻擊？2.1.3密碼體制的安全性11統(tǒng)計分析攻擊，是指密碼分析者通過分析密文的統(tǒng)計規(guī)律來破譯密碼?；靵y性（Confusion）。當明文中的字符變化時，截取者不能預知密文會有什么變化，這種特性稱為混亂性。混亂性好的算法，其明文、密鑰和密文之間有著復雜的函數關系。這樣，截取者就要花很長時間才能確定明文、密鑰和密文之間的關系，從而要花很長的時間才能破譯密碼。擴散性（Diffusion）。密碼還應該把明文的信息擴展到整個密文中去，這樣，明文的變化就可以影響到密文的很多部分，這種特性稱為擴散性。擴散性好的算法可以將明文中單一字母包含的信息散布到整個輸出中去，這意味著截取者需要獲得很多密文，才能去推測加密算法。如何抵抗？雪崩效應：改變輸入的1位，要導致平均大約一半的輸出位被改變2.1.3密碼體制的安全性121.密碼體制常見攻擊方法根據密碼分析者可利用的數據來分類，可將密碼體制的攻擊方法分為以下4種唯密文（CiphertextOnly）攻擊：密碼分析者已知加密算法，僅根據截獲的密文進行分析得出明文或密鑰。已知明文（KnownPlaintext）攻擊：密碼分析者已知加密算法，根據得到的一些密文和對應的明文進行分析得出密鑰。選擇明文（ChosenPlaintext）攻擊：密碼分析者已知加密算法，不僅可得到一些密文和對應的明文，還可設法讓對手加密一段選定的明文，并獲得加密后的密文，從而分析得到密鑰。2.1.3密碼體制的安全性132.評估密碼體制安全性的3種方法1）無條件安全性2）計算安全性3）可證明安全性對于實際使用的密碼體制而言，由于至少存在一種破譯方法，即暴力攻擊法，因此都不能滿足無條件安全性，只能達到計算安全性。計算機系統(tǒng)安全原理與技術（第4版）2.1.3密碼體制的安全性143.密碼體制的設計原則1）密碼算法安全強度高2）密鑰空間足夠大3）密碼體制的安全不依賴于對加密算法的保密，而依賴于可隨時改變的密鑰——柯克霍夫原則（Kerckhoffs’Principle）計算機系統(tǒng)安全原理與技術（第4版）影響密碼安全性的基本因素有哪些？通常說密碼算法是安全的是指哪方面安全？2.2對稱密碼算法152.2.1對稱密碼算法的特點和分類2.2.2高級加密標準AES計算機系統(tǒng)安全原理與技術（第4版）2.2.1對稱密碼算法的特點和分類161.對稱密碼算法的特點加密過程與解密過程使用相同或容易相互推導得出的密鑰，即加密和解密兩方的密鑰是“對稱”的。實際上，加密和解密可以不是同一個密鑰，也就是說上鎖和開鎖可以不是同一把鑰匙，當然這種密鑰有一些特殊要求，下一節(jié)詳細介紹這類非對稱密碼算法。要加強對密鑰的管理。在通信雙方傳輸時，尤其需要保證密鑰不會泄漏。計算機系統(tǒng)安全原理與技術（第4版）2.2.1對稱密碼算法的特點和分類172.對稱密碼算法的分類（1）分組密碼分組密碼，也叫塊密碼（BlockCipher），是將明文數據分成多個等長的數據塊（這樣的數據塊就是分組），對每個塊以同樣的密鑰和同樣的處理過程進行加密或解密。加解密過程一般采用混淆和擴散功能部件的多次迭代。分組密碼不用產生很長的密鑰，適應能力強，多用于大數據量的加密場景。DES（DataEncryptionStandard）IDEA（InternationalDataEncryptionAlgorithm）計算機系統(tǒng)安全原理與技術（第4版）2.2.1對稱密碼算法的特點和分類182.對稱密碼算法的分類（1）分組密碼DES以64位作為一個分組，AES以128位作為一個分組計算機系統(tǒng)安全原理與技術（第4版）要保密傳輸的消息不是正好一個分組，怎么辦？GBT17964—2008信息安全技術分組密碼算法的工作模式2.2.1對稱密碼算法的特點和分類192.對稱密碼算法的分類（1）序列密碼為了模仿一次一密獲得安全性較高的密碼。序列密碼，也叫流密碼（StreamCipher），是將明文數據的每一個字符或位逐個與密鑰的對應分量進行加密或解密計算。序列密碼需要快速產生一個足夠長的密鑰，因為，有多長的明文就要有多長的密鑰。為此，序列密碼的一個主要任務是快速產生一個足夠長的“密鑰流”。序列密碼的強度依靠密鑰序列的隨機性和不可預測性。序列密碼適用于實時性要求高的場景，如電話、視頻通信等。RC系列算法計算機系統(tǒng)安全原理與技術（第4版）2.2.2高級加密標準AES201.對稱密碼算法的分類（1）AES概述2001年，NIST采納了由密碼學家Rijmen和Daemen設計的Rijindael算法，稱其為高級加密標準（AdvancedEncryptionStandard，AES）。集安全性、效率、可實現性及靈活性于一體。AES已經成為對稱加密算法中最流行的算法之一。AES算法是限定分組長度為128位、密鑰長度可變（128/192/256位）的多輪替換-置換迭代型算法，其中替換提供混亂性，置換提供了擴散性。不同的密鑰長度可以滿足不同等級的安全需求。根據密鑰的長度，算法分別被稱為AES-128、AES-192和AES-256。加密和解密的輪數由明文塊和密鑰塊的長度決定。計算機系統(tǒng)安全原理與技術（第4版）2.2.2高級加密標準AES21AES算法中有兩個重要概念：（1）狀態(tài)矩陣State即一個4×N狀態(tài)矩陣，明文和密鑰都用狀態(tài)矩陣表示，逐列填充矩陣的各位，矩陣中每個元素1個字節(jié)。明文狀態(tài)矩陣為4×Nb，Nb=分組長度/32。若分組長度128位，則Nb=4，對于一組數據（16字節(jié)）b0,b1,…,b15，逐列填充結果如圖所示，接下來的加密操作都在這個狀態(tài)矩陣上進行。密鑰狀態(tài)矩陣類似生成計算機系統(tǒng)安全原理與技術（第4版）2.2.2高級加密標準AES22AES算法中有兩個重要概念：（2）加密輪數NrNr的值取決于明文分組和密鑰分組的長度，即Nb和Nk的值。對于128位明文分組長度和128位初始密鑰長度，加密和解密輪數為10。計算機系統(tǒng)安全原理與技術（第4版）2.2.2高級加密標準AES232.AES算法步驟計算機系統(tǒng)安全原理與技術（第4版）2.2.2高級加密標準AES243.AES算法評價安全性好。到目前為止，對AES最大的威脅是旁路攻擊，即不直接攻擊加密系統(tǒng)，而是通過搜集和分析密碼系統(tǒng)運行設備（通常是計算機）所發(fā)出的計時信息、電能消耗、電磁泄露，甚至發(fā)出的聲音，來發(fā)現破解密碼的重要線索。適用性好。由于AES對內存的需求低，因而適合應用于計算資源或存儲資源受限制的環(huán)境中。計算機系統(tǒng)安全原理與技術（第4版）2.3公鑰密碼算法252.3.1對稱密碼體制的缺陷與公鑰密碼體制的產生2.3.2常用公鑰密碼算法計算機系統(tǒng)安全原理與技術（第4版）2.3.1對稱密碼體制的缺陷與公鑰密碼體制的產生261.對稱密鑰密碼體制的功能和缺陷功能：1）保護信息的機密性2）認證發(fā)送方之身份3）確保信息的完整性缺陷：1）密鑰管理的困難性2）陌生人之間的保密通信3）無法達到不可否認服務計算機系統(tǒng)安全原理與技術（第4版）2.3.1對稱密碼體制的缺陷與公鑰密碼體制的產生272.公鑰密碼體制的產生1976年，美國斯坦福大學電氣工程系的Diffie和Hellman發(fā)表了劃時代的論文NewDirectioninCryptography。文中提出了Diffie-Hellman密鑰交換協議，通訊雙方可以在不安全的環(huán)境中通過交換信息安全地傳送密鑰。2016年，Diffie和Hellman由于“使得公鑰密碼技術在實際中可用的創(chuàng)造性貢獻”被授予2015年美國計算機協會頒發(fā)的圖靈獎計算機系統(tǒng)安全原理與技術（第4版）2.3.1對稱密碼體制的缺陷與公鑰密碼體制的產生282.公鑰密碼體制的產生Diffie和Hellman提出的公鑰密碼體制的思想是：產生一對可以互逆變換的密鑰Kd與Ke，但是即使知道Kd，還是無法得知Ke，這樣就可將Kd公開，但只有接收方知道Ke。在此情況下，任何人均可利用Kd加密，而只有知道Ke的接收方才能解密；或是只有接收方一人才能加密（加密與解密其實都是一種動作），任何人均能解密。計算機系統(tǒng)安全原理與技術（第4版）公鑰密碼體制的核心是什么？構造一個單向陷門函數（One-wayTrapdoorFunction）：1）大整數因子分解計算問題（IntegerFactorizationProblem，IFP）：又稱素因數分解難題（PrimeFactorizationProblem），即計算兩個大素數的乘積容易，而對乘積進行因子分解計算困難。2）離散對數計算問題（DiscreteLogarithmProblem，DLP）：計算大素數的冪乘容易，而對數計算困難。2.3.1對稱密碼體制的缺陷與公鑰密碼體制的產生293.公鑰密碼體制的內容1）接收方B產生一對公鑰（PKB）和私鑰（SKB）。2）B將公鑰PKB放在一個公開的寄存器或文件中，通常放入管理密鑰的密鑰分發(fā)中心。私鑰SKB則被用戶保存。3）A如果要向B發(fā)送消息M，則首先必須得到并使用B的公鑰加密M，表示為C=EPKB(M)，其中C是密文，E是加密算法。4）B收到A的密文后，用自己的私鑰解密得到明文信息，表示為M＝DSKB(C)，其中D是解密算法。計算機系統(tǒng)安全原理與技術（第4版）2.3.1對稱密碼體制的缺陷與公鑰密碼體制的產生303.公鑰密碼體制的內容公鑰密碼體制的特點如下。產生的密鑰對是很容易計算得到的。發(fā)送方A用接收方的公鑰對消息加密在計算上是容易的。接收方B用自己的私鑰對密文解密在計算上是容易的。密碼分析者或者攻擊者由公鑰求對應的私鑰在計算上是不可行的。密碼分析者或者攻擊者由密文和對應的公鑰恢復明文在計算上是不可行的。加密和解密操作的次序可以互換。計算機系統(tǒng)安全原理與技術（第4版）2.3.1對稱密碼體制的缺陷與公鑰密碼體制的產生313.公鑰密碼體制的內容公鑰密碼體制具有下列功能。保護信息的機密性。簡化密鑰分配及管理。保密通信系統(tǒng)中的每一人只需要一對公鑰和私鑰。密鑰交換。發(fā)送方和接收方可以利用公鑰密碼體制傳送會話密鑰。實現不可否認。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法321.RSA算法（1）算法概述1978年，美國麻省理工學院的Rivest、Shamir和Adleman聯名發(fā)表了論文AMethodforObtainingDigitalSignaturesandPublic-KeyCryptosystems，首次提出了一種能夠完全實現Diffie-Hellman公鑰分配的實用方法，后被稱為RSA算法。RSA就取自三位作者姓氏的首字母。2002年，Rivest、Shamir和Adleman由于“巧妙地實現了公鑰密碼系統(tǒng)”被授予2002年美國計算機協會頒發(fā)的圖靈獎。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法331.RSA算法（1）算法概述RSA公鑰密碼算法是目前應用最廣泛的公鑰密碼算法之一。RSA算法是第一個能同時用于加密和數字簽名的算法，易于理解和操作。RSA是人們研究得最深入的公鑰算法，從提出到現在已有30多年，經歷了各種攻擊的考驗，被普遍認為是當前最優(yōu)秀的公鑰方案之一。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法341.RSA算法（2）算法步驟1）生成公鑰和私鑰。①用計算機隨機生成兩個大素數p和q（保密），然后計算這兩個素數的乘積n=pq（公開）。②計算小于n并且與n互質的整數的個數，即歐拉函數

(n)=(p–1)(q–1)（保密）。利用p和q有條件的生成加密密鑰e，這里的條件是：隨機整數e滿足1<e<

(n)，并且e和

(n)互質，即gcd(e,

(n))=1（公開）。③計算與n互質的解密密鑰d。計算公式為de=1mod

(n)（保密）。④銷毀p、q、

(n)；公開公鑰{e，n}，保管好私鑰{d，n}。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法351.RSA算法（2）算法步驟

2）加密和解密。

利用RSA加密的第一步是將明文數字化，并取長度小于log2n位的數字作明文塊。

加密方法：C=E(M)≡Memodn

解密方法：M=D(C)≡Cdmodn計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法361.RSA算法計算機系統(tǒng)安全原理與技術（第4版）練一練：令p=47，q=71，利用RSA算法加密和解密的示例練一練：令p=47，q=71，求用RSA算法生成的公鑰和私鑰練一練：RSATool驗證2.3.2常用公鑰密碼算法371.RSA算法（3）RSA算法的安全性RSA算法是基于群Zn中大整數因子分解的困難性建立的。國際數學界和密碼學界已經證明，企圖利用公鑰和密文推斷出明文，或者企圖利用公鑰推斷出私鑰的難度等同于分解兩個大素數的乘積，這是一個困難問題。RSA算法保證產生的密文是統(tǒng)計獨立而且分布均勻的。也就是說，不論給出多少明文和對應的密文，也無法知道已知的明文和密文的對應關系來破解下一份密文。研究結果表明，破解RSA的最好方法還是對大數n進行分解，即通過n來找p和q。量子計算機的研制和應用將成為RSA算法的安全威脅。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法381.RSA算法（4）RSA算法的實現與應用在實際應用中，RSA算法很少用于加密大塊的數據通常在混合密碼系統(tǒng)中用于加密會話密鑰，或者用于數字簽名和身份認證。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法392.ECC算法（1）算法概述為了安全使用RSA，RSA中密鑰的長度需要不斷增加，這加大了RSA應用處理的負擔。1985年，N.Koblitz和V.Miller分別獨立提出了橢圓曲線密碼算法（EllipticCurveCryptography，ECC）ECC是RSA的強有力的競爭者。與RSA相比，ECC能用更少的密鑰位獲得更高的安全性，而且處理速度快，存儲空間占用少，帶寬要求低。它在許多計算資源受限的環(huán)境，如移動通信、無線設備等，得到廣泛應用。國際標準化組織頒布了多種ECC算法標準，如IEEEP1363定義了橢圓曲線公鑰算法。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法402.ECC算法（2）算法步驟1）生成公鑰和私鑰。

①

選擇參數p，確定一條橢圓曲線：y2=x3+ax+b

(modp)，構造一個橢圓曲線可交換群（Abel群）Ep(a,b)。

②

取橢圓曲線上一點，作為基點G。

③

任選小于n的整數k作為私鑰，其中n是點G的階，即nG=O∞。

④

生成公鑰K=kG。

其中，Ep(a,b)、K、G公開。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法412.ECC算法（2）算法步驟2）加密和解密。加密方法：首先將明文編碼到橢圓曲線Ep(a,b)上一點M，并產生一個隨機整數r；然后計算點C1=M+rK和C2=rG，從而得到密文C1、C2。解密方法：計算C1-kC2。由于C1-kC2=M+rK-krG=M+rK-r(kG)=M+rK-rK=M，因此再對M進行解碼就可以得到明文。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法422.ECC算法計算機系統(tǒng)安全原理與技術（第4版）練一練：利用ECC算法加密和解密的示例練一練：ECCTool驗證2.3.2常用公鑰密碼算法432.ECC算法（3）ECC算法的安全性ECC的安全性基于橢圓曲線離散對數問題的難解性。在實際使用中，為了實現同樣的加密強度，ECC所需要的密鑰長度短得多。例如，可以證明，對于256位密鑰長度的ECC來說，其安全強度相當于3072位密鑰長度的RSA。ECC和RSA的計算基礎分別是離散對數問題和大整數分解問題，從理論上講，這兩個計算問題是相互對應的，即它們或者同時有解、或者同時無解。就這一點來說，ECC和RSA是同一安全等級的。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法442.ECC算法(4)ECC算法的實現與應用基于有限域GF(p)上的橢圓曲線是對于固定的a和b，滿足形如方程：y2=x3+ax+b

(modp)的所有點的集合外加一個零點或無窮遠點O∞。其中a、b、x、y均在GF(p)上取值，p為素數。該橢圓曲線只有有限個點數N，其范圍由Hasse定理確定。這類橢圓曲線適合于軟件實現?；谟邢抻騁F(2m)上的橢圓曲線是對于固定的a和b，滿足形如方程：y2+xy=x3+ax+b

的所有點的集合外加一個零點或無窮遠點O∞。該橢圓曲線只有有限個點，域GF(2m)上的元素是m位的串。這類橢圓曲線適合于硬件實現。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法452.ECC算法(4)ECC算法的實現與應用應用廣泛：安全電子交易（SecureElectronicTransactions，SET）協議、安全套接層/傳輸層安全（SecureSocketsLayer/TransportLayerSecurity，SSL/TLS）協議、安全殼（SecureShell，SSH）協議蘋果公司用它為iMessage服務提供簽名大多數比特幣程序使用OpenSSL開源密碼算法庫進行橢圓曲線計算，以創(chuàng)建密鑰對來控制比特幣的獲取。普遍認ECC將替代RSA成為通用的公鑰密碼算法。ECC還面臨著很多理論及技術上的問題計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法463.ElGamal算法（1）算法概述1984年斯坦福大學的TatherElGamal，基于Diffie-Hellman密鑰交換協議，提出的一種基于離散對數計算困難問題的公鑰密碼體制。1985年，ElGamal利用ElGamal算法設計出ElGamal數字簽名方案，該數字簽名方案是經典數字簽名方案之一，具有高度的安全性與實用性。其修正形式已被NIST作為數字簽名標準（DigitalSignatureStandard，DSS）。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法473.ElGamal算法（2）算法步驟1）生成公鑰和私鑰。①隨機選擇一個大素數p，要求p-1有大素數因子。g為p的本原元。p和g公開。②隨機選擇一個整數x作為私鑰，2≤x≤p-2。③計算y=gx

modp，y為公鑰。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法483.ElGamal算法（2）算法步驟2）加密和解密。加密方法：被加密信息為m，隨機選擇一個整數k，k<p且gcd（k,p-1）=1；

計算：C1=gk（modp），C2=yk?m（modp）

（C1，C2）為密文，可知利用ElGamal算法生成的密文大小是明文大小的2倍。解密方法：計算m=C2?(C1x)-1modp，即得出明文。計算機系統(tǒng)安全原理與技術（第4版）2.3.2常用公鑰密碼算法493.ElGamal算法計算機系統(tǒng)安全原理與技術（第4版）練一練：利用ElGamal算法加密和解密的示例2.3.2常用公鑰密碼算法503.ElGamal算法（3）ElGamal算法的安全性EIGamal算法的安全性依賴于計算有限域上離散對數這一難題。（4）ElGamal算法的實現與應用ElGamal的一個不足之處是它的密文成倍擴張。盡管該方案在實際應用中是簡單可行的，但是隨著社會對安全性要求的日益提高，已經不能充分地滿足社會的需求。計算機系統(tǒng)安全原理與技術（第4版）2.4密鑰管理512.4.1密鑰管理的概念2.4.2公鑰的管理計算機系統(tǒng)安全原理與技術（第4版）2.4.1密鑰管理的概念52管理的重要性：由于密碼技術都依賴于密鑰，因此密鑰的安全管理是密碼技術應用中非常重要的環(huán)節(jié)。管理的方法：如何在不安全的環(huán)境中，為用戶分發(fā)密鑰信息，使得密鑰能夠安全、正確并有效地使用；在安全策略的指導下處理密鑰自產生到最終銷毀的整個生命周期，包括密鑰的產生、分配、使用、存儲、備份/恢復、更新、撤銷和銷毀等。計算機系統(tǒng)安全原理與技術（第4版）如何安全傳遞對稱密碼體制中的密鑰？非對稱密碼體制中的公鑰面臨什么安全問題？混合密碼系統(tǒng)2.4.2公鑰的管理53公鑰密碼技術很好地解決了密鑰傳送問題，不過在公鑰密碼體制實際應用中還必須解決一系列的問題：怎樣分發(fā)和獲取用戶的公鑰？如何建立和維護用戶與其公鑰的對應關系，獲得公鑰后如何鑒別該公鑰的真實性？通信雙方如果發(fā)生爭議如何仲裁？計算機系統(tǒng)安全原理與技術（第4版）假定用戶A想給用戶B發(fā)送一個消息M，出于機密性和不可否認性的考慮，A需要在發(fā)送前對消息進行簽名和加密，那么A是先簽名后加密好還是先加密后簽名好呢？2.4.2公鑰的管理54計算機系統(tǒng)安全原理與技術（第4版）假定用戶A想給用戶B發(fā)送一個消息M，出于機密性和不可否認性的考慮，A需要在發(fā)送前對消息進行簽名和加密，那么A是先簽名后加密好還是先加密后簽名好呢？考慮下面的重放攻擊情況，假設Alice決定發(fā)送消息：M=“Iloveyou”

先簽名再加密發(fā)送給B。

出于惡意，B收到后解密獲得簽名的消息ESKA(M)，并將其加密，將該消息發(fā)送給C，C以為A愛上了他。明文MA簽名A加密明文MA簽名明文MA簽名B加密明文MA簽名2.4.2公鑰的管理55計算機系統(tǒng)安全原理與技術（第4版）假定用戶A想給用戶B發(fā)送一個消息M，出于機密性和不可否認性的考慮，A需要在發(fā)送前對消息進行簽名和加密，那么A是先簽名后加密好還是先加密后簽名好呢？再考慮下面的中間人攻擊情況，A將一份重要的研究成果發(fā)送給B。這次她的消息是先加密再簽名，即發(fā)送給B。然而C截獲了A和B之間的所有通信內容并進行中間人攻擊。C使用A的公鑰來計算出EPKB(M)，并且用自己的私鑰簽名后發(fā)給B，從而使得B認為該成果是C的。明文MA加密A簽名明文MA加密明文MA加密B簽名明文MA加密2.4.2公鑰的管理56計算機系統(tǒng)安全原理與技術（第4版）假定用戶A想給用戶B發(fā)送一個消息M，出于機密性和不可否認性的考慮，A需要在發(fā)送前對消息進行簽名和加密，那么A是先簽名后加密好還是先加密后簽名好呢？為了解決上述的問題，就必須有一個權威的第三方機構對用戶的公私鑰進行集中管理，確保能夠安全高效地生成、分發(fā)、保存、更新用戶的密鑰，提供有效的密鑰鑒別手段，防止被攻擊者篡改和替換。公鑰基礎設施（PublicKeyInfrastructure，PKI）是目前建立這種公鑰管理權威機構中最成熟的技術。PKI是在公鑰密碼理論技術基礎上發(fā)展起來的一種綜合安全平臺，能夠為所有網絡應用透明地提供加密和數字簽名等密碼服務所必需的密鑰和證書管理，從而達到在不安全的網絡中保證通信信息的安全、真實、完整和不可否認等目的。2.5哈希函數572.5.1哈希函數的概念、特性及應用2.5.2常用哈希函數計算機系統(tǒng)安全原理與技術（第4版）2.5.1哈希函數的概念、特性及應用581.哈希函數的概念哈希（Hash））函數又稱為散列函數、消息摘要（MessageDigest）函數、雜湊函數。哈希函數可以把滿足要求的任意長度的輸入轉換成固定長度的輸出。它是一種單向密碼體制，即從明文到密文的不可逆映射，只有加密過程，沒有解密過程。與對稱密碼算法和公鑰密碼算法不同，哈希函數沒有密鑰。計算機系統(tǒng)安全原理與技術（第4版）2.5.1哈希函數的概念、特性及應用592.哈希函數的特性1）易壓縮。對任意大小的信息產生很小長度的哈希值。例如產生160位的哈希值，即20個字節(jié)。而且對同一個源數據反復執(zhí)行哈希函數得到的哈希值保持一致。2）不可預見。產生的哈希值的長度和內容與原始信息的大小和內容沒有任何聯系，但是源數據的一個微小變化都會影響哈希值的內容。3）不可逆。哈希函數是單向的，從源數據很容易計算其哈希值，但是無法通過生成的哈希值恢復源數據。4）抗碰撞。尋找兩個不同輸入得到相同的哈希值在計算上是不可行的。5）高靈敏。對于輸入數據某幾位的變化會引起所生成的哈希值幾乎所有位的變化。計算機系統(tǒng)安全原理與技術（第4版）2.5.1哈希函數的概念、特性及應用603.哈希函數的應用數據完整性驗證計算機系統(tǒng)安全原理與技術（第4版）2.5.1哈希函數的概念、特性及應用613.哈希函數的應用數據完整性驗證數字簽名消息認證保護用戶口令區(qū)塊鏈計算機系統(tǒng)安全原理與技術（第4版）2.5.2常用哈希函數621.哈希函數設計的基本思想哈希函數首要的功能就是要把原有的大文件信息用若干位字符來記錄，還要保證文件中的每一個字節(jié)都會對最終結果產生影響。計算機系統(tǒng)安全原理與技術（第4版）求模運算哈希函數的基本原理：通過加入更多的循環(huán)和計算來達到哈希函數的那些特性要求2.5.2常用哈希函數632.MD5MD系列算法都是由RonRivest設計的，包括MD2、MD3、MD4和MD5。MD5對于任意長度的輸入消息產生128位長度的哈希值。MD5曾有著廣泛的應用，一度被認為是非常安全的。在2004年8月召開的國際密碼學會議上，我國的王小云教授公布了一種尋找MD5碰撞的新方法。目前利用該方法用普通PC數分鐘內就可以找到MD5的碰撞?？梢哉fMD5已被攻破。計算機系統(tǒng)安全原理與技術（第4版）2.5.2常用哈希函數643.SHA-1（1）算法概述SHA由美國國家標準與技術研究院NIST設計，并于1993年作為聯邦信息處理標準FIPS180發(fā)布。隨后該版本的SHA（后被稱為SHA-0）被發(fā)現存在缺陷，修訂版于1995年發(fā)布（FIPS180-1），稱之為SHA-1。該算法輸入消息的最大長度為264-1位，輸入的消息按512位的分組進行處理，輸出是一個160位的哈希值。計算機系統(tǒng)安全原理與技術（第4版）2.5.2常用哈希函數653.SHA-1（2）算法步驟①明文信息轉化為位字符串。②填充消息。③添加原始消息長度。④初始化哈希值緩存區(qū)。⑤主循環(huán)計算哈希值。

以512位為一個分組進行處理，主循環(huán)的次數為消息的分組數L。每次主循環(huán)分成4輪，每輪進行20步操作，共80步，如圖所示。⑥輸出哈希值。計算機系統(tǒng)安全原理與技術（第4版）2.5.2常用哈希函數663.SHA-1（3）算法的安全性2017年2月23日，谷歌在Blog上宣布實現了SHA-1的碰撞。由Stevens等人參與完成的論文TheFirstCollisionforFullSHA-1展示了從應用角度破解SHA-1的方法。他們成功構造了兩個PDF文件（有意義、可以真正打開的文件），使得SHA-1結果相同。計算機系統(tǒng)安全原理與技術（第4版）/question/56234281?from=profile_question_card2.5.2常用哈希函數674.SHA-2（1）算法概述2002年開始，NIST陸續(xù)發(fā)布了SHA-2系列的哈希算法，其輸出長度可取224、256、384和512位，分別稱為SHA-224、SHA-256、SHA-384、SHA-512。逐步轉向SHA-2版本。SHA-2系列算法比之前的哈希算法具有更強的安全強度和更靈活的輸出長度計算機系統(tǒng)安全原理與技術（第4版）2.5.2常用哈希函數684.SHA-2（2）算法步驟①消息填充。②初始化哈希值緩存區(qū)。③主循環(huán)計算哈希值。④輸出哈希值。計算機系統(tǒng)安全原理與技術（第4版）2.5.2常用哈希函數695.SHA-32012年，NIST還選擇了Keccak（讀作“ket-chak”）算法作為新的哈希標準，該算法被稱為SHA-3。SHA-3并不是要取代SHA-2，因為SHA-2目前并沒有出現明顯的弱點。設計者宣稱這個算法比其他哈希算法具有更強的安全性和軟硬件實現性能。計算機系統(tǒng)安全原理與技術（第4版）2.5.2常用哈希函數706.RIPEMD160RIPEMD使用MD4的設計原理，并針對MD4的算法缺陷進行改進，1996年首次發(fā)布RIPEMD-128版本，它在性能上與SHA-1類似。目前，RIPEMD家族具有4個成員：RIPEMD-128、RIPEMD-160、RIPEMD-256、RIPEMD-320。RIPEMD-160是RIPEMD中最常見的版本。RIPEMD-160輸出160位的哈希值，對160位哈希函數的暴力碰撞搜索攻擊需要280次計算，其計算強度大大提高。計算機系統(tǒng)安全原理與技術（第4版）2.6數字簽名和消息認證712.6.1數字簽名的概念、特性及應用2.6.2數字簽名算法2.6.3消息認證計算機系統(tǒng)安全原理與技術（第4版）2.6.1數字簽名的概念、特性及應用721.數字簽名的概念在傳統(tǒng)的以書面文件為基礎的日常事務處理中，通常采用書面簽名的形式，如手寫簽名、印章、手印等，來確保當事人的身份真實和不可否認。數字簽名（DigitalSignatures）是一種以電子形式存在于數據信息之中的，或作為附件，或邏輯上與之有關聯的數據，可用于接收者驗證數據的完整性和數據發(fā)送者的身份，也可用于第三方驗證簽名和所簽名數據的真實性。計算機系統(tǒng)安全原理與技術（第4版）2.6.1數字簽名的概念、特性及應用732.數字簽名的特性數字簽名主要有以下特性：不可否認。簽署人不能否認自己的簽名。不可偽造。任何人不能偽造數字簽名?？烧J證。簽名接收者可以驗證簽名的真?zhèn)?，也可以通過第三方仲裁來解決爭議和糾紛。簽名接收者還可通過驗證簽名，確保信息未被篡改。數字簽名可用于接收者驗證數據的完整性和數據發(fā)送者的身份，也可用于第三方驗證簽名和所簽名數據的真實性。計算機系統(tǒng)安全原理與技術（第4版）2.6.1數字簽名的概念、特性及應用743.數字簽名的實現（1）基于公鑰密碼體制的數字簽名計算機系統(tǒng)安全原理與技術（第4版）問題？如何解決？2.6.1數字簽名的概念、特性及應用753.數字簽名的實現（2）基于公鑰密碼體制和哈希函數的數字簽名計算機系統(tǒng)安全原理與技術（第4版）還存在什么安全屬性缺陷？2.6.1數字簽名的概念、特性及應用763.數字簽名的實現（2）基于公鑰密碼體制和哈希函數的數字簽名計算機系統(tǒng)安全原理與技術（第4版）密鑰分發(fā)中心KDC起什么作用？2.6.1數字簽名的概念、特性及應用774.數字簽名的應用按照對消息的處理方式，數字簽名的實際應用可以分為：直接對消息簽名，它是消息經過密碼變換后被簽名的消息整體。對壓縮消息的簽名，它是附加在被簽名消息之后或某一特定位置上的一段簽名信息。若按明文和密文的對應關系劃分，以上每一種又可以分為兩個子類。確定性（Deterministic）數字簽名，明文與密文一一對應，對一個特定消息的簽名，簽名保持不變，如基于RSA算法的簽名。隨機化（Randomized）或概率式數字簽名，它對同一消息的簽名是隨機變化的，取決于簽名算法中的隨機參數的取值。一個明文可能有多個合法數字簽名，如ElGamal簽名。比特幣區(qū)塊鏈中，每個交易都需要用戶使用私鑰簽名，只有采用該用戶公鑰驗證通過的交易，比特幣網絡才會承認。計算機系統(tǒng)安全原理與技術（第4版）2.6.2數字簽名算法781.數字簽名標準和算法數字簽名標準（DigitalSignatureStandard，DSS）由NIST于1991年8月提出，于1994年底正式成為美國聯邦信息處理標準FIPS186。DSS最初只包括數字簽名算法（DigitalSignatureAlgorithm，DSA），后來經過一系列修改，目前的標準為2013年公布的擴充版FIPS186-4其中還包含了基于RSA的數字簽名算法和基于ECC的橢圓曲線數字簽名算法（EllipticCurveDigitalSignatureAlgorithm，ECDSA）。計算機系統(tǒng)安全原理與技術（第4版）2.6.2數字簽名算法791.數字簽名標準和算法計算機系統(tǒng)安全原理與技術（第4版）使用RSA公鑰密碼算法和SHA哈希函數如何進行數字簽名？DSA的簽名和驗證過程？橢圓曲線數字簽名算法（EllipticCurveDigitalSignatureAlgorithm，ECDSA）的簽名和驗證過程？2.6.2數字簽名算法802.特殊數字簽名算法（1）盲簽名（BlindSignature）消息擁有者的目的是讓簽名人對該消息進行簽名，但又不想讓簽名人知道該消息的具體內容；而簽名人并不關心消息中說些什么，只是保證自己在某一時刻以公證人的資格證實這個消息的存在。（2）代理簽名（ProxySignature）原始簽名人授權他的簽名權給代理簽名人，然后讓代理簽名人代表原始簽名人生成有效的簽名。（3）群簽名（GroupSignature）一個群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名。與其他數字簽名一樣，群簽名是可以公開驗證的，而且可以只用單個群公鑰來驗證。也可以作為群標志來展示群的主要用途，種類等。計算機系統(tǒng)安全原理與技術（第4版）2.6.3消息認證81常見的信息保護手段大致可以分為保密和認證兩大類。目前的認證技術分為用戶認證和消息認證兩種方式。用戶認證用于鑒別用戶的身份是否合法，本書將在第4章中介紹。消息認證主要是指接收方能驗證消息發(fā)送方的真實性及所發(fā)消息的內容未被篡改，也可以驗證消息的順序和及時性。作用：消息認證可以應對網絡通信中存在的針對消息內容的攻擊，如偽造消息、篡改消息內容、改變消息順序、消息重放或者延遲。計算機系統(tǒng)安全原理與技術（第4版）2.6.3消息認證82消息認證與數字簽名的區(qū)別：當收發(fā)者之間沒有利害沖突時，消息認證對于防止第三者的破壞來說是足夠了。但當收者和發(fā)者之間有利害沖突時，單純用消息認證技術就無法解決他們之間的糾紛，此時需借助數字簽名技術。消息認證過程中，消息認證碼MAC（MessageAuthenticationCode）是一個重要概念，產生消息認證碼是消息認證的關鍵。消息認證碼通?？梢酝ㄟ^常規(guī)加密和哈希函數產生。計算機系統(tǒng)安全原理與技術（第4版）消息認證碼舉例？哈希函數在消息認證中的作用？2.7密碼算法的選擇與實現832.7.1密碼算法應用中的問題2.7.2我國商用密碼算法2.7.3常用密碼函數庫計算機系統(tǒng)安全原理與技術（第4版）2.7.1密碼算法應用中的問題84密碼算法在應用中存在3個主要問題：密碼算法及產品受到各國政府的控制和管理密碼算法的后門問題側信道攻擊計算機系統(tǒng)安全原理與技術（第4版）側信道攻擊？第3章會介紹旁路（SideChannel）攻擊2.7.2我國商用密碼算法85SM1分組密碼算法分組長度和密鑰長度均為128比特，主要用于數據加密算法安全保密強度及相關軟硬件實現性能與AES相當算法不公開，僅以IP核的形式存在于芯片中SM2橢圓曲線公鑰密碼算法算法包括3部分：數字簽名算法、密鑰交換協議和公鑰加密算法在我們國家商用密碼體系中被用來替換RSA算法。其可證安全性達到了公鑰密碼算法的最高安全級別其實現效率相當于或略優(yōu)于一些國際標準的同類橢圓曲線密碼算法SM3雜湊（哈希）算法生成長度為256比特的哈希值。在SM2、SM9標準中使用，用于數字簽名和數據完整性保護等壓縮函數整體結構與SHA-256相似，但是增加了多種新的設計技術，能夠有效地避免密碼分析計算機系統(tǒng)安全原理與技術（第4版）2.7.2我國商用密碼算法86SM4分組密碼算法分組長度和密鑰長度均為128比特，用于無線局域網產品中的數據加密能夠抵抗目前已知的所有攻擊，擁有足夠的安全冗余度SM7分組密碼算法分組長度和密鑰長度均為128比特目前沒有公開發(fā)布適用于非接IC卡應用包括身份識別類、票務類，以及支付與通卡類等應用SM9非對稱密碼算法基于用戶的身份標識生成用戶的公私密鑰對，主要用于數字簽名、數據加密、密鑰交換以及身份認證等。密鑰長度為256位算法的應用與管理不需要數字證書、證書庫或密鑰庫，省去了證書管理等工作，從而優(yōu)于傳統(tǒng)意義上的公鑰密碼體制。計算機系統(tǒng)安全原理與技術（第4版）2.7.2我國商用密碼算法87祖沖之（ZUC）序列密碼算法在128位種子密鑰和128位初始向量控制下輸出32位的密鑰字流。能夠抵抗現有已知的序列密碼分析方法，具有非常高的安全性。計算機系統(tǒng)安全原理與技術（第4版）2.7.2我國商用密碼算法88祖沖之（ZUC）序列密碼算法在128位種子密鑰和128位初始向量控制下輸出32位的密鑰字流能夠抵抗現有已知的序列密碼分析方法，具有非常高的安全性計算機系統(tǒng)安全原理與技術（第4版）SM2/3/9算法是我國自主設計、具有獨特優(yōu)勢的安全高效密碼算法，相繼納入國際標準并發(fā)布，標志著我國密碼算法國際標準體系已初步成型，這是我國密碼國際標準化工作取得的又一重大突破，為有效保障網絡空間安全貢獻了中國智慧，提供了中國方案?！吨腥A人民共和國密碼法》2019年10月26日頒布，自2020年1月1日起施行?！渡逃妹艽a管理條例》1999年10月7日國務院令第273號發(fā)布并施行。2.7.3常用密碼函數庫89MIRACL（MultiprecisionIntegerandRationalArithmeticC/C++Library）/miracl/MIRACLOpenSSL

.NET基礎類庫中的加密服務提供類Java安全開發(fā)包計算機系統(tǒng)安全原理與技術（第4版）90計算機系統(tǒng)安全原理與技術（第4版）算法驗證實驗：RSA/ECC/DSATool應用訪問看雪學院的密碼學工具主頁/win/cryptography.htm，下載密碼學相關工具RSA/ECC/DSATool進行算法驗證算法編程實驗：基于Python密碼模塊的密碼算法編程實現1.Python提供哪些密碼算法模塊2.如何利用Python密碼模塊進行密碼算法的編程實現算法應用實驗：CrypTool開源密碼算法學習工具使用官網：/en/開源軟件CrypTool提供一套應用密碼學實驗，其中涵蓋古典密碼學、現代密碼學、身份認證與數字簽名三大部分的實驗項目。算法編程實驗：基于.NET基礎類庫中的加密服務提供類的密碼算法編程實現應用實例：無線網絡中的密碼應用91（1）無線加密協議WEP（WirelessEncryptionProtocol）WEP有時候也稱為“有線等效加密協議”（WireEquivalentPrivacy，簡寫同樣是WEP），是為了使無線網絡能夠達到如有線網絡等同的安全而設計的協議。使用RC4加密算法對信息進行加密，并使用CRC-32驗證完整性。由于存在多方面的安全漏洞，WEP已被WPA或WPA2安全標準替代。計算機系統(tǒng)安全原理與技術（第4版）應用實例：無線網絡中的密碼應用92（2）Wi-Fi訪問控制協議（Wi-FiProtectedAccess），包括WPA和WPA2兩個標準。WPA使用128位的密鑰和一個48位的初始化向量（IV）組成的完整密鑰，使用RC4加密算法來加密。WPA