1、7.1 引 論,密碼學(xué)主要包含兩部?jī)?nèi)容，即編碼學(xué)和密碼分析學(xué)。 編碼學(xué)是通過編碼技術(shù)改變被保護(hù)信息的形式，使得編碼后的信息除了指定接收者外其他人無法理解的一門學(xué)問，即加密算法的設(shè)計(jì)和研究。 密碼分析，是研究如何攻破一個(gè)密碼系統(tǒng)，恢復(fù)被隱藏的信息之本來面目，也就是密碼破譯技術(shù)。 這兩部分內(nèi)容是矛盾的兩方面。 7.1.1密碼系統(tǒng) 所謂密碼系統(tǒng)應(yīng)包含5個(gè)要素：明文信息空間、密文信息空間、密鑰空間、加密變換E和解密變換D。,7.1 引 論,明文：加密前的原始信息。 密文：加密后的信息。 加密：將明文進(jìn)行數(shù)據(jù)變換形成密文的過程。 解密：將密文進(jìn)行數(shù)據(jù)變換恢復(fù)成明文的過程。 密鑰：控制加密和解密運(yùn)算的符號(hào)

2、序列。 密碼系統(tǒng)要求：使用方便，而且系統(tǒng)的保密不依賴于對(duì)加密算法和脫密算法的保密，而只依賴于密鑰的保密。因此，當(dāng)密文和對(duì)應(yīng)的明文被非法截取后，仍不容易確定解密變換。其次，從截取的密文中極難確定其對(duì)應(yīng)的明文。,7.1 引 論,7.1.2密碼的功能 密碼技術(shù)應(yīng)用于：信息的保密、應(yīng)用于身份的確認(rèn)、數(shù)據(jù)的完整性等諸多領(lǐng)域。 1通信中的數(shù)據(jù)保護(hù) 密碼技術(shù)應(yīng)用于通信線路上信息的保護(hù)。一方面，防止傳輸中的信息被非法竊聽導(dǎo)致失密，另一方面，防止信息的內(nèi)容被惡意攻擊者非法地篡改，并且在發(fā)生此類事件后能迅速發(fā)現(xiàn)。 2存儲(chǔ)信息的保護(hù) 信息用密碼技術(shù)加密處理后進(jìn)行存儲(chǔ)，保證只有掌握解密密鑰的合法用戶才能夠存取數(shù)據(jù)，得

3、到正確的明文，在許多用戶系統(tǒng)中，保護(hù)個(gè)人秘密、防止文件被破壞。,7.1 引 論,3通信雙方的身份驗(yàn)證 密碼技術(shù)不僅廣泛應(yīng)用于防止傳輸中的信息和記錄存儲(chǔ)的信息不被攻擊者非法竊聽、瀏覽和篡改，同時(shí)，也可以用于識(shí)別通信雙方的真實(shí)性。 這種對(duì)存取數(shù)據(jù)和發(fā)來電文的對(duì)方的合法性進(jìn)行確證的方法叫“驗(yàn)證”。 4非否認(rèn)性 密碼技術(shù)還應(yīng)用于不可否認(rèn)性服務(wù)。它包含對(duì)源和目的雙方的證明，通常的情況下，不可否認(rèn)服務(wù)是一種數(shù)字簽名服務(wù)。 除此之外，密碼技術(shù)還廣泛地應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的其它方面。,7.1 引 論,7.1.3密碼的分類 一般情況下，密碼方法都是一些基本方法的組合。它們通常分為三類：移位法、代替法、代數(shù)法

4、 1、移位法是將明文中的字母重新排列，字母本身并不改變，但相對(duì)的位置發(fā)生了一定的變化。 2、代替法是將明文中的字母用其它字母進(jìn)行代替，而原來的位置并不產(chǎn)生變化。 3、代數(shù)法首先將明文轉(zhuǎn)換成數(shù)，或直接將明文信息用二進(jìn)制數(shù)表示作為運(yùn)算對(duì)象，然后再進(jìn)行特定的運(yùn)算產(chǎn)生密文。,7.1 引 論,7.1.4密碼分析 密碼分析學(xué)，在密碼學(xué)中的地位和作用同樣是相當(dāng)重要的，它是密碼學(xué)發(fā)展的主要?jiǎng)恿χ?，密碼分析的結(jié)果是檢驗(yàn)加密算法的有效性和優(yōu)劣的尺度。 密碼分析人員一般需要憑借經(jīng)驗(yàn)，通過統(tǒng)計(jì)分析等方法，而不是通過邏輯導(dǎo)出。 密碼分析學(xué)通常采用兩種方法：演繹法和歸納法。 近年來，使用計(jì)算機(jī)進(jìn)行密碼分析從很大程序上提

5、高了破譯的能力。,7.2 傳統(tǒng)密碼學(xué),對(duì)一些古典密碼系統(tǒng)進(jìn)行介紹。增加感性認(rèn)識(shí)，為進(jìn)一步介紹現(xiàn)代密碼技術(shù)打下基礎(chǔ)。 7.2.1換位法 所謂換位法又稱為置換法。它是將明文信息中的字符重新進(jìn)行排列以達(dá)到加密目的的方法。 1柵欄加密法 所謂柵欄加密法是將明文按照一定的柵欄深度d，順序排成柵欄型。然后自左到右自上而下重新組合成新的信息串作為對(duì)應(yīng)的密文。 很顯然，對(duì)于同樣的明文，由于柵欄深度d的不同，可以組成不同的密文。因此，柵欄的深度即為密鑰。,7.2 傳統(tǒng)密碼學(xué),倘若已知密鑰d，如何恢復(fù)明文信息呢？ 我們假設(shè)密文中的字符個(gè)數(shù)為N，密鑰（柵欄深度）d表示為d個(gè)字符，兩個(gè)節(jié)頂之間的字符個(gè)數(shù)叫節(jié)長(zhǎng)i，最后

6、一個(gè)節(jié)所含的字符數(shù)稱為節(jié)尾長(zhǎng)r，柵欄的頂部結(jié)點(diǎn)的個(gè)數(shù)稱為節(jié)頂數(shù)t，有： t = Ni N = (t1)*i+r 通過上述公式，我們能夠計(jì)算出必要的參數(shù)將密文恢復(fù)為明文信息。,7.2 傳統(tǒng)密碼學(xué),2矩陣換位法 在矩陣換位法中，采用將明文按行依次組成m*n的矩陣，給定一個(gè)置換f，f（j1，j2）中j1表示明文中的列號(hào)，j2表示置換后對(duì)應(yīng)的列號(hào)。對(duì)原矩陣進(jìn)行變換。依次排列得到對(duì)應(yīng)的密文。 在這種加密方法中，只要給定了矩陣的行數(shù)m和列數(shù)n和置換f，那么就很容易對(duì)相應(yīng)的密文進(jìn)行解密了。,7.2 傳統(tǒng)密碼學(xué),3定長(zhǎng)置換法 在給定正整數(shù)d的情況下，正整數(shù)集合Zd =(1,2,3,d)，假設(shè)f(i) 是Zd上

7、的一個(gè)置換函數(shù)。 對(duì)于明文為P = P1P2PdP2d 密文為 C = E(P)= P(f(1)P(f(2)P(f(d)P(f(d)+1)P(f(d)+2) 舉例如下： 設(shè) d = 3，Zd =（1，2，3） f(i) = 2，3，1 若明文P = What do you do？ 由于d = 3，所以 P = wha tdo you do？ 于是可得密文 C = E(p) = haw dot ouy o?d,7.2 傳統(tǒng)密碼學(xué),7.2.2替代法 替代法是利用替換字符或字符塊來進(jìn)行加密的算法。由于它是許多密碼體制的基礎(chǔ)。 l凱撒（Caesar）代替 凱撒密碼是每一字母向前推移K位。例如，K =

8、5便有如下的明文與密文的對(duì)應(yīng)關(guān)系。 明文：a b c d e 密文：F G H I J 若令26個(gè)字母分別對(duì)應(yīng)于025，如下： a b c x y z 0 1 2 23 24 25 則凱撒密碼加密交換為 C = m + k mod 26 其中m是明文，C為對(duì)應(yīng)的密文序列。k為加密用的移位數(shù)，也稱為密鑰。mod為模。,7.2 傳統(tǒng)密碼學(xué),另外，還有一種仿射變換。其形式如下。若選取 k1、k2兩個(gè)參數(shù)，其中 k1、k2與 26互素，令 C = k1*m+k2 mod 26 當(dāng)k1 = 1時(shí)便是凱撒變換。 2維吉尼亞（Vigenere）密碼 Vigenere是法國的密碼專家，是多表密碼的典型代表。

9、設(shè)密鑰K = k1k2kn， 明文M = mlm2mn Ek (M) = C1C2Cn 其中Ci = (mi+ki) mod 26,7.2 傳統(tǒng)密碼學(xué),這種加密方法以明文字母在Vigenere方陣中的列與相應(yīng)的密鑰字母在Vigenere方陣中的行的交點(diǎn)處的字母替換該明文字母。如果明文比密鑰字長(zhǎng)，那么可以將明文分成與密鑰字等長(zhǎng)的段（最后一段的長(zhǎng)若小于密鑰字，則用補(bǔ)白的方法添加指定字母補(bǔ)齊），然后重復(fù)使用密鑰。 明文；how are you 密鑰：ENDLANDEN 密文：LBCLRRBSH 下面是實(shí)現(xiàn)Vigenere加密算法的程序 如P206,7.3 DES加密算法,現(xiàn)代數(shù)據(jù)通信中的密碼體制，通

10、常以明顯的方式公開加密算法，而只對(duì)加、解密密鑰進(jìn)行嚴(yán)格的保密。 7.3.1 DES加密標(biāo)準(zhǔn)的提出 美國商務(wù)部標(biāo)準(zhǔn)局為了能在政府部門進(jìn)行信息處理的同時(shí)保護(hù)電子計(jì)算機(jī)信息的安全，自1971年開始研究密碼的標(biāo)準(zhǔn)化，并于1973年開始征集滿足下列條件的密碼。 即首先密碼的規(guī)定嚴(yán)謹(jǐn)明確， 其次，能夠通過破譯密鑰所需的時(shí)間與計(jì)算量等表示它的安全性。 其三，安全性不依賴于算法的保密性，而只依賴于密鑰的保密性。,7.3 DES加密算法,IBM公司研制并提出的方案。1977年作為數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）公開發(fā)表。成為美國的標(biāo)準(zhǔn)加密方式。 7.3.2 DES算法原理 DES算法組成：密鑰生成、初始變換、16次循環(huán)選

11、代和逆初始變換。算法的輸入和輸出為64bit碼塊，密鑰為64 bit（其中有8bit奇偶校驗(yàn)，56bit密鑰）。 l加密處理 (1) 初始置換IP (2) 初始逆置換IP -1，即最后換位。,7.3 DES加密算法,經(jīng)過第 n層加密處理后的左右32比特分別為L(zhǎng)n和Rn，則每次迭代算法為： Ln = R(n-1) Rn = L(n+1) f(R(n-1),Kn) 上式中的表示模2加，即邏輯異或運(yùn)算。Kn為該層輸入的密鑰，L(n-1)和R(n-l)分別為第n-1層的輸出，f(R(n-1)，Kn)為以R(n-1)和Kn為變量的函數(shù)。 (3) f(R(n-1)，Kn)情況 其DES算法中，其它部分都是

12、線性的，只有這個(gè)f(R,K)變換是非線性的。所以可以產(chǎn)生強(qiáng)度很高的密碼。,7.3 DES加密算法,(4)選擇函數(shù) ( S盒) 每個(gè)S盒的輸入是6比特，輸出是4比特。S盒圖中備有四種代替表，其行編號(hào)為0，1，2，3，根據(jù)輸人的6比特中的首尾兩個(gè)比特來選擇，然后按照所選定的代替表將輸入的6比特中的中間4比特進(jìn)行代替。 舉例說明，當(dāng)向S1輸入一個(gè)二進(jìn)制信息001011時(shí)，因開頭和末尾合起來為01，即十進(jìn)制的1，所以選中行編號(hào)為l的代替表，又中間4位為0101，即十進(jìn)制數(shù)的5，它表示選擇第5列。即輸出狀態(tài)為2，即0010，這4比特即為經(jīng)過代替之后的輸出。,7.3 DES加密算法,2子密鑰生成 子密鑰生

13、成是DES算法的一個(gè)重要組成部分，前面在加密處理部分的16層加密處理每一層都需要一個(gè)子密鑰Ki，每個(gè)子密鑰為48比特，所以16層運(yùn)算共需要1648768比特的密鑰。子密鑰生成如圖7-9 3、解密處理 從圖7-7中我們可以清楚地看到Ri和Li是如何在密鑰K的作用下進(jìn)行交換的。在加密處理中下列關(guān)系是成立的： 加密： Lj=Rj-1 ; Rj=Lj-1f(Rj-1,Kj) 由此可推出解密： Rj-1=Lj ; Lj-1=Rjf(Rj-1,Kj) 進(jìn)一步可推出 Lj-1=Rjf(Lj,Kj) 注意：，在加密和解密過程中第16層處理結(jié)束時(shí)L和R要進(jìn)行交換。,7.3 DES加密算法,7.3.4 DES算法

14、作用分析 DES算法自1975年3月公開發(fā)表，至1977年才被正式定為加密標(biāo)準(zhǔn)。這一期間，設(shè)計(jì)者曾要求全世界向它攻擊，圍繞著DES算法在美國也有過一番的討論。 斯坦福大學(xué)的研究小組認(rèn)為盡管DES算法的S盒的設(shè)計(jì)不是線性的，然而也不是隨機(jī)的，可能還存在某些弱點(diǎn)。但盡管如此，目前還沒有找到一種有效的攻擊方法。 赫爾曼和迪菲提出了對(duì)密鑰進(jìn)行窮舉搜索，設(shè)計(jì)一種專用機(jī)的設(shè)想。建議增長(zhǎng)密鑰的長(zhǎng)度。 DES標(biāo)準(zhǔn)加密算法得到了廣泛的認(rèn)可和應(yīng)用 。 國際標(biāo)準(zhǔn)化組織(ISO)已放棄將DES算法作為國際標(biāo)準(zhǔn)，并宣布今后不再將任何密碼算法做為標(biāo)準(zhǔn)。,7.4 公開密鑰系統(tǒng),傳統(tǒng)密鑰密碼體制是對(duì)稱密碼體制。 公開密鑰密碼

15、體制是非對(duì)稱密碼體制。 對(duì)于非對(duì)稱密碼體制，設(shè)明文為X，公開的加密密鑰為Ke，秘密的解密密鑰為Kd，加密算法為E(Ke,X)，解密算法為D(Kd,Y)其中Y為明文用密鑰Ke加密后所得的密文。則公開密鑰密碼體制的算法應(yīng)滿足條件： 1.給出Ke時(shí)，E(Ke,X)的計(jì)算簡(jiǎn)單；同樣，給出Kd時(shí)D(Kd,Y)的計(jì)算也應(yīng)簡(jiǎn)單。 2.在Kd未知時(shí)，即使知道Ke算法E和D以及密文Y的情況下，若要確定明文X，其計(jì)算也是不可行的。 3.對(duì)于X，E(Ke,X)，有D(Kd,E(Ke,X) = X； 4.對(duì)于X，D(Kd,X)，有E(Ke,D(Kd,X)= X,7.4 公開密鑰系統(tǒng),單向陷門函數(shù)來實(shí)現(xiàn)非對(duì)稱密碼體制算

16、法。 單向陷門函數(shù)就是在單向函數(shù)中設(shè)置一個(gè)陷門。掌握了它，便可實(shí)現(xiàn)其逆函數(shù)，否則極其困難。 單向陷門函數(shù)表示：給出f的定義域中的任意元素x，則f(x)容易計(jì)算。當(dāng)給出f的值域中的任意元素y = f(x)，若要求出x = f -1(y)時(shí)，只有知道設(shè)計(jì)f時(shí)的某種信息，計(jì)算容易，否則難以計(jì)算。,7.4 公開密鑰系統(tǒng),7.4.1公開密鑰體制的基本原理 公開密鑰密碼體制核心問題是Kd。Ke和Kd存在一定的關(guān)系。解密密鑰只能由接收方一人知曉。 舉例說明，某用戶Ul可以自己選擇一對(duì)密鑰Ke，Kd，并將Ke公布給其他用戶，而只對(duì)Kd保密，其他用戶，如U2，當(dāng)需要向U1發(fā)送信息時(shí)，可以利用U1公布的加密密鑰，

17、利用眾所周知的加密算法和加密后發(fā)送，該密文只有合法接收者U2才能解密。 公開密鑰密碼體制的優(yōu)點(diǎn)： 1.不需要在數(shù)據(jù)的接收方和發(fā)送方之間建立運(yùn)送保密密鑰的保護(hù)通道； 2.簡(jiǎn)化了密鑰的管理。,7.4 公開密鑰系統(tǒng),7.4.2公開密鑰密碼體制的 協(xié)議 公開密鑰系統(tǒng)從發(fā)信者A向收信者B進(jìn)行保密通信和數(shù)字簽名的協(xié)議。 設(shè)設(shè)A的公開鑰為aKe，秘密鑰為aKd；B的公開鑰為bKe，秘密鑰為bKd。 1.保密通信 由A向B發(fā)送明文M時(shí)，要執(zhí)行下述過程： A用B的公開鑰bKe將明文M加密，把密文C送往B C=E (bKe,M) B用自己的秘密鑰bKd將C解密，以恢復(fù)明文 M=D(bKd,C),7.4 公開密鑰系

18、統(tǒng),2.數(shù)字簽名 由A向B發(fā)信，數(shù)字簽名過程： A用自己的秘密鑰aKd將M簽名，把簽名文S送往B S=D (aKd,M) B用A的公開鑰aKe將S還原，得到明文M，若M的意思是明白的，則可確認(rèn)是A 發(fā)來的信息 M=E(aKe,S) 3.帶簽名的數(shù)字通信 由A向B發(fā)信，帶簽名的數(shù)字通信過程： A用自己的秘密鑰aKd將M簽名，得到簽名文S S=D (aKd,M),7.4 公開密鑰系統(tǒng), A用B的公開鑰bKe將S加密 C=E(bKe,S) B用自己的秘密鑰bKd將C解密，恢復(fù)簽名文 S=D(bKd,C) B用A的公開鑰aKe將S還原，得到明文M，若M的意思是明白的，則可確認(rèn)是A 發(fā)來的信息 M=E(

19、aKe,S) 另外,帶簽名的數(shù)字通信的個(gè)步驟內(nèi)的順序可以調(diào)換. 即: 和 的 C=E(bKe, D (aKd,M) 和 的 M=E(aKe, D(bKd,C) 可以調(diào)換為: C=D(aKd, E (bKe,M) M=D(bKd, E(aKe,C),7.4 公開密鑰系統(tǒng),7.4.3 RSA公開密鑰碼體制 RSA公開密鑰密碼體制是美國馬薩諸塞理工學(xué)院的里夫斯特(R.L.Rivest)、沙米爾(Shamir)、艾德勒曼(L.Adleman)于1977年4月發(fā)表的論文數(shù)字簽名和公開密鑰碼體制中提出的，其算法取三人的名字的字頭命名為RSA算法。這種密碼體制利用了分解大整數(shù)因子的困難度來提高保密性。并得到

20、了較廣泛的應(yīng)用。,7.4 公開密鑰系統(tǒng),7.4.4 DES算法和RSA算法的對(duì)比 評(píng)價(jià)一種密碼體制的優(yōu)劣的標(biāo)準(zhǔn)應(yīng)當(dāng)是: a密碼的安全性和保密性； b用戶使用的方便性； c加密、解密算法的效率； d密鑰的生成與管理的簡(jiǎn)便性。,7.4 公開密鑰系統(tǒng),DES算法和RSA算法的對(duì)比 DES算法 RSA算法 密碼體制 常規(guī)密碼體制 公開密鑰密碼體制 加密算法的基礎(chǔ) 代替、換位混合方式 素因數(shù)分解 加、解密過程 相同 相同 密鑰的分配方法 秘密 公開 密鑰長(zhǎng)度 56比特 不定，約為數(shù)百比特 明文分組長(zhǎng)度 64比特 不定，同密鑰長(zhǎng)度 密文長(zhǎng)度 同明文 同明文 數(shù)字簽名 困難 簡(jiǎn)單 實(shí)現(xiàn)的簡(jiǎn)易性 可由硬件或軟件簡(jiǎn)單實(shí)現(xiàn) 可由硬件研制，并需軟件支援 加解密處理速度 硬件2bit/8軟件90