1、密碼學(xué)概述,本章主要內(nèi)容,1、密碼學(xué)的基本概念 2、密碼體制 3、密碼分析 4、密碼體制的安全性,密碼學(xué)的發(fā)展歷程,著名的密碼學(xué)者Ron Rivest解釋道：“密碼學(xué)是關(guān)于如何在敵人存在的環(huán)境中通訊” 四個(gè)發(fā)展階段 古典密碼（古代1949年） 早期對(duì)稱密碼學(xué)（1949年1976年） 現(xiàn)代密碼學(xué)（1976年1984年） 可證明安全（1984年現(xiàn)在）,密碼編碼學(xué)（Cryptography）研究密碼編制的科學(xué) 密碼分析學(xué)（Cryptanalysis）研究密碼破譯的科學(xué) 密碼學(xué)（cryptology ）是一門研究密碼保護(hù)通信手段的科學(xué)，由密碼編碼學(xué)和密碼分析學(xué)組成,1.1密碼學(xué)基本概念,明文 ：偽裝前

2、的原始數(shù)據(jù) 密文 ：偽裝后的數(shù)據(jù) 密鑰 ：參與密碼變換的參數(shù) 加密 ：偽裝的過程 加密算法：用于對(duì)數(shù)據(jù)加密的一組數(shù)學(xué)變換 解密 ：將密文恢復(fù)為明文 解密算法：用于解密的一組數(shù)學(xué)變換,1.1密碼學(xué)基本概念,圖1.1 加密和解密,通常明文用P表示，密文用C表示。加密函數(shù)E作用于P得到密文C，可以表示為： E ( P )C。 相反地，解密函數(shù)D作用于C產(chǎn)生P： D ( C )P。 先加密后再解密消息，原始的明文將恢復(fù)出來，故有： D ( E ( P ) )P。,加密時(shí)可以使用一個(gè)參數(shù)K，稱此參數(shù)K為加密密鑰。K可以是很多數(shù)值里的任意值。密鑰K的可能值的范圍叫做密鑰空間。加密和解密運(yùn)算都使用這個(gè)密鑰，

3、即運(yùn)算都依賴于密鑰，并用K作為下標(biāo)表示，加解密函數(shù)表達(dá)為： EK（P）=C DK（C）=P 這些函數(shù)具有下面的特性：DK（EK（P）=P 如圖1.2： 圖1.2 使用一個(gè)密鑰的加/解密,有些算法使用不同的加密密鑰和解密密鑰，也就是說加密密鑰K1與相應(yīng)的解密密鑰K2不同，在這種情況下，加密和解密的函數(shù)表達(dá)式為： EK1（P）=C DK2（C）=M 函數(shù)必須具有的特性是，DK2（EK1（P）=P，如圖1.3所示 圖1.3使用兩個(gè)密鑰的加/解密,1.2 密碼體制,一個(gè)密碼系統(tǒng)，通常簡(jiǎn)稱為密碼體制（Cryptosystem），由五部分組成（如圖1.4所示）： （1）明文空間M，它是全體明文的集合； （

4、2）密文空間C，它是全體密文的集合； （3）密鑰空間K，它是全體密鑰的集合。其中每 一個(gè)密鑰K均由加密密鑰Ke和解密密鑰Kd組成，即K Ke, Kd ； （4）加密算法E，它是一組由M到C的加密變換； （5）解密算法D，它是一組由C到M的解密變換。,圖1.4 密碼體制,如果一個(gè)密碼體制的KdKe，或由其中一個(gè)很容易推出另一個(gè)，則稱為單密鑰密碼體制或?qū)ΨQ密碼體制或傳統(tǒng)密碼體制 如果在計(jì)算上Kd不能由Ke推出，這樣將Ke公開也不會(huì)損害Kd的安全，于是便可將Ke公開，這種密碼體制稱為公開密鑰密碼體制。 根據(jù)對(duì)明文和密文的處理方式和密鑰的使用不同，可將密碼體制分為分組密碼體制和序列密碼體制,密碼體制的

5、分類,1.3 密碼分析,主動(dòng)攻擊與被動(dòng)攻擊：對(duì)一個(gè)保密系統(tǒng)采取截獲密文進(jìn)行分析的這類攻擊方法稱為被動(dòng)攻擊(passive attack)。非法入侵者主動(dòng)干擾系統(tǒng)，采用刪除、更改、增添、重放等方法向系統(tǒng)加入假消息 ，則這種攻擊為主動(dòng)攻擊(active attack)。 密碼分析：密碼分析(cryptanalysis)是被動(dòng)攻擊。在信息的傳輸和處理過程中，除了意定的接收者外，還有非授權(quán)接收者，他們通過各種辦法（如搭線竊聽、電磁竊聽、聲音竊聽等）來竊取信息。他們雖然不知道系統(tǒng)所用的密鑰，但通過分析，可能從截獲的密文中推斷出原來的明文，這一過程稱為密碼分析 。,1.3.1 攻擊密碼系統(tǒng)的方法,密碼分析

6、者攻擊密碼系統(tǒng)的方法主要有以下三種： （1）窮舉攻擊 所謂窮舉攻擊是指密碼分析者采用依次試遍所有可能的密鑰對(duì)所獲密文進(jìn)行解密，直至得到正確的明文. （2）統(tǒng)計(jì)分析攻擊 所謂統(tǒng)計(jì)分析攻擊就是指密碼分析者通過分析密文和明文的統(tǒng)計(jì)規(guī)律來破譯密碼。 （3）數(shù)學(xué)分析攻擊 所謂數(shù)學(xué)分析攻擊是指密碼分析者針對(duì)加解密算法的數(shù)學(xué)基礎(chǔ)和某些密碼學(xué)特性，通過數(shù)學(xué)求解的方法來破譯密碼。,1.3.2 破譯密碼的類型,根據(jù)密碼分析者可利用的數(shù)據(jù)資源來分類，可將破譯密碼的類型分為以下四種： （1）唯密文攻擊（Ciphertext-only attack） 已知： C1EK ( P1 )，C2EK ( P2 )，CiEK (

7、 Pi ) 推導(dǎo)出： P1，P2，Pi，K或者找出一個(gè)算法從Ci1 EK (Pi1 )推出Pi1,（2）已知明文攻擊（Know-plaintext attack） 已知： P1 ， C1EK ( P1 ) ， P2 ， C2EK ( P2 ) ， Pi ， CiEK ( Pi ) ， 推導(dǎo)出： 密鑰k，或從Ci1 EK (Pi1 )推出Pi1 （3）選擇明文攻擊（Chosen-plaintext attack） 已知： P1 ， C1EK ( P1 ) ， P2 ， C2EK ( P2 ) ， Pi ， CiEK ( Pi ) ，其中P1 ， P2 ， Pi是由密碼分析者選擇的。 推導(dǎo)出： 密

8、鑰k，或從Ci1 EK (Pi1 )推出Pi1,其他： （4）自適應(yīng)選擇明文攻擊（Adaptive-chosen-plaintext attack） （5）選擇密文攻擊（Chosen-ciphertext attack） （6）選擇密鑰攻擊（Chosen-key attack） （7）軟磨硬泡攻擊,1.4 密碼體制的安全性,一個(gè)安全的密碼體制應(yīng)該具有如下幾條性質(zhì)： （1）從密文恢復(fù)明文應(yīng)該是難的，即使分析者知道明文空間（如明文是英語）。 （2）從密文計(jì)算出明文部分信息應(yīng)該是難的。 （3）從密文探測(cè)出簡(jiǎn)單卻有用的事實(shí)應(yīng)該是難的，,從攻擊效果看，敵手可能達(dá)到以下結(jié)果： （1）完全攻破。敵手找到了相

9、應(yīng)的密鑰，從而可以恢復(fù)任意的密文。 （2）部分攻破。敵手沒有找到相應(yīng)的密鑰，但對(duì)于給定的密文，敵手能夠獲得明文的特定信息。 （3）密文識(shí)別。如對(duì)于兩個(gè)給定的不同明文及其中一個(gè)明文的密文，敵手能夠識(shí)別出該密文對(duì)應(yīng)于哪個(gè)明文，或者能夠識(shí)別出給定明文的密文和隨機(jī)字符串。,評(píng)價(jià)密碼體制安全性有不同的途徑，包括： 無條件安全性 如果密碼分析者具有無限的計(jì)算能力，密碼體制也不能被攻破，那么這個(gè)密碼體制就是無條件安全的。 計(jì)算安全性 如果攻破一個(gè)密碼體制的最好的算法用現(xiàn)在或?qū)砜傻玫降馁Y源都不能在足夠長(zhǎng)的時(shí)間內(nèi)破譯，這個(gè)密碼體制被認(rèn)為在計(jì)算上是安全的。 232 可證明安全性 可證明安全性只是說明密碼體制的安全與一個(gè)問題是相關(guān)的，并沒有證明密碼體制是安全的，可證明安全性也有時(shí)候被稱為歸約安