《信息安全概论第2章 信息保密技术课件.ppt》由会员分享,可在线阅读,更多相关《信息安全概论第2章 信息保密技术课件.ppt(69页珍藏版)》请在三一办公上搜索。
1、第二章 信息保密技术,第二章 信息保密技术,2.1 概述2.2 古典密码2.3 分组加密技术2.4 公钥加密技术,密码技术的发展历史密码技术几乎与文字的历史一样长。古典密码:远古1949年近代密码:19491976年现代密码:1976至今,2.1 概述,密码学的基本概念,密码学(cryptology)作为数学的一个分支,是密码编码学和密码分析学的统称。使消息保密的技术和科学叫做密码编码学(cryptography)。破译密文的科学和技术就是密码分析学(cryptanalysis)。,密码学的基本目的是面对攻击者Oscar,在被称为Alice和Bob的通信双方之间应用不安全的信道进行通信时,保证
2、通信安全。,明文,密文,明文,Alice,Bob,Oscar,密码学的基本概念,密码体制的定义密码体制:密码体制的构成包括以下要素:M:明文消息空间,表示所有可能的明文组成的有限集。C:密文消息空间,表示所有可能的密文组成的有限集。K:密钥空间,表示所有可能的密钥组成的有限集。E:加密算法集合。D:解密算法集合。,密码学的基本概念,保密通信的一般机制,密码学的基本概念,密码体制的分类,对称密匙密码系统Symmetric Key Cryptosystem,加密密钥=解密密钥,非对称密匙密码系统Asymmetric Key Cryptosystem,加密密钥解密密钥,钥匙是保密的,加密密钥为公钥(
3、Public Key) 解密密钥为私钥(Private Key),密码学的基本概念,密码学的基本概念,密码学的基本概念,2.2 古典密码,移位密码代换密码置换密码,移位密码的加密对象为英文字母,移位密码采用对明文消息的每一个英文字母向前推移固定位的方式实现加密。换句话说,移位密码实现了26个英文字母的循环移位。移位密码中,当取密钥k=3时,得到的移位密码称为凯撒密码,因为该密码体制首先被Julius Caesar所使用。,移位密码,假设明文为:,18 04 02 20 17 08 19 24,25 11 09 01 24 15 02 05,18 04 02 20 17 08 19 24,加密,
4、解密,z l j b y p c f,代换密码,假设明文为:,s,e,c,u,r,i,t,y,k,t,e,x,l,o,z,n,s,e,c,u,r,i,t,y,加密:,解密:,置换密码:保持明文字符未改变,通过重排而更改位置,又称换位密码(Transposition Cipher)。,置换密码,置换密码举例,例:栅栏式密码美国南北战争时期(1861-1865年),军队中曾经使用过的“栅栏”式密码(rail fence cipher)。(1)原理明文:send help加密过程: s n h l e d e p密文:s n h l e d e p(2)算法描述将明文写成双轨的形式,然后按行的顺序书
5、写得到密文。,置换密码举例,例:矩阵置换:以矩阵形式排列明文,逐行写入,逐列读出。密钥指出各列读出的顺序如:明文abcdefghijklmnopqrstuvwxyzab密钥为:4312567 dkry cjqx ahov bipw elsz fmta gnub,2.2 分组加密技术,2.2.1 基本概念2.2.2 DES算法2.2.3 分组密码的分析方法,基本概念,分组密码是指将处理的明文按照固定长度进行分组,加解密的处理在固定长度密钥的控制下,以一个分组为单位独立进行,得出一个固定长度的对应于明文分组的结果 。属于对称密码体制的范畴 。1) 明文分组(固定长度)。2)密钥分组(固定长度)。3
6、)以组为单位独立进行运算,得到密文(长度固定)。,在分组密码中用代替、置换实现扩散和混淆功能 。混淆:指加密算法的密文与明文及密钥关系十分复杂,无法从数学上描述,或从统计上去分析。 扩散:明文(密钥)中的任一位,对全体密文位有影响。经此扩散作用,可以隐藏明文的统计特性,增加密码的安全。,基本概念,DES算法,DES算法的产生发明人:美国IBM公司W. Tuchman 和 C. Meyer 1971-1972年研制成功。基础:1967年美国Horst Feistel提出的理论。产生:美国国家标准局(NBS)1973年5月到1974年8月发布通告,公开征求用于电子计算机的加密算法。经评选从一大批算
7、法中采纳了IBM的LUCIFER方案。标准化:DES算法1975年3月公开发表,1977年1月15日由美国国家标准局颁布为数据加密标准(Data Encryption Standard),于1977年7月15日生效。,DES算法的产生1979年,美国银行协会批准使用DES。1980年,DES成为美国标准化协会(ANSI)正式发布的标准。1984年2月,ISO成立的数据加密技术委员会(SC20)在DES基础上制定数据加密的国际标准工作。,DES算法,DES算法的描述为二进制编码数据设计的,可以对计算机数据进行密码保护的数学运算。DES使用56位密钥对64位的数据块进行加密,并对64位的数据块进行
8、16轮编码。在每轮编码时,一个48位的“每轮”密钥值由56位的“种子”密钥得出来。 DES算法的参数有三个:Key、Data和Mode。Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。64位明文变换到64位密文;64位密钥,实际可用长度56位。,DES算法,DES算法,初始换位的功能:64位数据块按位重新组合,把输出分为L0、R0两部分,每部分各长32位。其置换规则见下表:58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 462 54 46 38 30
9、22 14 6 64 56 48 40 32 24 16 857 49 41 33 25 17 9 1 59 51 43 35 27 19 11 361 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7逆置换正好是初始置的逆运算。,DES算法,DES一次迭代加密过程,DES算法,DES一次迭代加密过程,DES算法,扩展置换为: 32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 2
10、9 30 31 32 1P-盒置换为: 16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25,DES算法,S-盒: S1,S2.S8的选择函数,是DES算法的核心。其功能是把6bit数据变为4bit数据。 S1: 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 15 12 8 2 4 9 1 7 5
11、 11 3 14 10 0 6 13 在S1中,有4行数据,命名为0,1、2、3行;每行有16列,命名为0、1、2、3,.,14、15列。设输入为: DD1D2D3D4D5D6 令:列D2D3D4D5 行D1D6在S1表中查得对应的数,以4位二进制表示,即为选择函数S1的输出。,DES算法,DES算法,DES解密DES算法经过精心选择各种操作而获得了一个非常好的性质:加密和解密可使用相同的算法,即解密过程是将密文作为输入序列进行相应的DES加密,与加密过程惟一不同之处是解密过程使用的轮密钥与加密过程使用的次序相反。解密过程产生各轮子密钥的算法与加密过程生成轮密钥的算法相同,与加密过程不同的是解
12、密过程产生子密钥时,初始密钥进行循环右移操作,每产生一个子密钥对应的初始密钥移动位数分别为0,1,2,2,2,2,2,2,1,2,2,2,2,2,2,1。这样就可以根据初始密钥生成加密和解密过程所需的各轮子密钥。,DES算法,DES的两个主要弱点:密钥容量:56位不太可能提供足够的安全性。S盒:可能隐含有陷井(Hidden trapdoors)。DES的半公开性:S盒的设计原理至今未公布。,DES算法,DES的破译DES的实际密钥长度为56-bit,就目前计算机的计算能力而言,DES不能抵抗对密钥的穷举搜索攻击。1997年1月28日,RSA数据安全公司在RSA安全年会上悬赏10000美金破解D
13、ES,克罗拉多州的程序员Verser在Inrernet上数万名志愿者的协作下用96天的时间找到了密钥长度为40-bit和48-bit的DES密钥。1998年7月电子边境基金会(EFF)使用一台价值25万美元的计算机在56小时之内破译了56-bit的DES。1999年1月电子边境基金会(EFF)通过互联网上的10万台计算机合作,仅用22小时15分就破解了56-bit的ES。不过这些破译的前提是,破译者能识别出破译的结果确实是明文,也即破译的结果必须容易辩认。如果明文加密之前经过压缩等处理,辩认工作就比较困难。,DES算法,分组密码的分析方法,解密与密码分析解密是加密的逆过程,是指掌握密钥和密码算
14、法的合法人员从密文恢复出明文的过程。密码分析则是指非法人员对密码的破译,而且破译以后不会告诉对方。共同点:“解密(脱密)”和“密码分析(密码破译)”都是设法将密文还原成明文。不同点:二者的前提不同: “解密(脱密)”掌握了密钥和密码体制密码分析(破译)则没有掌握密钥和密码体制,假设破译者是在已知密码体制的前提下来破译使用的密钥。这个假设称为Kerckhoff原则。 根据攻击者掌握的信息,可将分组密码的攻击分为以下几类:唯密文攻击:攻击者除所截获的密文外,没有其他可利用的信息。已知明文攻击:攻击者仅知道当前密钥下的一些明密文对。选择明文攻击:攻击者能获得当前密钥下的一些特定的明文所对应的密文。选
15、择密文攻击:攻击者能获得当前密钥下的一些特定的密文所对应的明文。,分组密码的分析方法,一种攻击的复杂度可以分为两部分:数据复杂度和处理复杂度。数据复杂度是实施该攻击所需输入的数据量。处理复杂度是处理这些数据所需的计算量。 对某一攻击通常是以这两个方面的某一方面为主要因素,来刻画攻击复杂度。例如:穷举攻击的复杂度实际就是考虑处理复杂度;差分密码分析其复杂度主要是由该攻击所需的明密文对的数量来确定。,分组密码的分析方法,1.强力攻击强力攻击可用于任何分组密码攻击的复杂度只依赖于分组长度和密钥长度。严格地讲攻击所需的时间复杂度依赖于分组密码的工作效率(包括加解密速度、密钥扩散速度以及存储空间等)。强
16、力攻击常见的有:穷举密钥搜索攻击、字典攻击、查表攻击和时间-存储权衡攻击等。,分组密码的分析方法,2. 差分密码分析 通过分析明文对的差值对密文对的差值的影响来恢复某些密钥比特。 基本步骤:随机选择具有固定差分的一对明文,只要求它们符合特定差分条件。使用输出密文中的差分,按照不同的概率分配给不同的密钥。随着分析的密文对越来越多,其中最可能的一个密钥就显现出来了。这就是正确的密钥。,分组密码的分析方法,3.线性密码分析本质: 一种已知明文攻击方法。基本思想 :通过寻找一个给定密码算法的有效的线性近似表达式来破译密码系统。对已知明文密文和特定密钥,寻求线性表示式 对所有可能密钥,此表达式以概率 成
17、立。对给定的密码算法,使 极大化。,是攻击参数。,分组密码的分析方法,2.3 公钥加密技术,密码学中常见的有两种体制:对称密码体制(单钥密码体制)如果一个加密系统的加密密钥和解密密钥相同,或者虽然不相同,但是由其中的任意一个可以很容易地推导出另一个,即密钥是双方共享的,则该系统所采用的就是对称密码体制。非对称密码体制(公钥密码体制),基本概念,1976年,W.Diffie和M.E.Hellman提出了公钥密码学(Public-key cryptography)的思想,在公钥密码体制中加密密钥和解密密钥是不同的,加密密钥可以公开传播而不会危及密码体制的安全性。 通信的一方利用某种数学方法可以产生
18、一个密钥对, 一个称为公钥(Public-key)。 一个称为私钥(Private-key)。该密钥对中的公钥与私钥是不同的,但又是相互对应的,由公钥不能推导出对应的私钥。选择某种算法(可以公开)能做到:用公钥加密的数据只有使用与该公钥配对的私钥才能解密。,公钥加密算法的核心单向陷门函数,即从一个方向求值是容易的。但其逆向计算却很困难,从而在实际上成为不可行。,基本概念,RSA公钥密码算法,RSA是Rivet,Shamir和Adleman于1978年在美国麻省理工学院研制出来的,它是一种比较典型的公开密钥加密算法。算法的数学基础:大数分解和素性检测将两个大素数相乘在计算上很容易实现,但将该乘积
19、分解为两个大素数因子的计算量是相当巨大的,以至于在实际计算中是不能实现的。,RSA公钥算法特点: 思想最简单; 分析最透彻; 应用最广泛; 易于理解和实现; 经受住了密码分析,具有一定的可信度。,RSA公钥密码算法,为了获得最大程度的安全性,选取的p和q的长度应差不多,都应位长度在100位以上的十进制数字。,RSA算法的描述,独立选取两个大素数 p 和q ;计算:随机选取一个满足 且 的整数e,则 e在模 下的逆元为: n 和e为公钥,d为私钥。,注:p和q不再需要时,可以销毁,但一定不能泄露。,加密变换:将信息划分成数值小于n 的一系列数据分组。对每个明文分组m 进行如下的加密变换得到密文c
20、:解密变换:,RSA算法的描述,例,选取p=5,q=11,则有:n=55且 明文分组应取1到54的整数。 选取加密指数e=7,则e满足 且与 互素,故解密指数为d=23。 假如有一个消息m=53197,分组可得: , , 。,分组加密得到:,密文的解密为:,最后恢复出明文,RSA算法的安全性,缺点:密钥产生和加/解密过程都很复杂,系统运行速度比较慢。,攻击方法,具体实现:,算法安全的现状,RSA算法安全性,更危险的安全威胁来自于大数分解算法的改进和新算法的不断提出。破解RSA-129采用的是二次筛法;破解RSA-130使用的算法称为推广的数域筛法;尽管如此,密码专家们认为一定时期内1024到2
21、048比特模数的RSA还是相对安全的。,该算法使破解RSA-130的计算量仅比破解RSA-129多100%。,除了对RSA算法本身的攻击外,RSA算法还面临着攻击者对密码协议的攻击。,利用RSA算法的某些特性和实现过程对其进行攻击。,RSA算法安全性,共用模数攻击,前提: RSA的实现中,多个用户选用相同的模数 n,但有不同的加解密指数 e和 d。共用模数优点:算法运行简单。缺点:算法不安全。,低加密指数攻击,较小加密指数 e: 可以加快消息加密的速度。 太小会影响RSA系统的安全性。原理: 在多个用户采用相同的加密密钥 e和不同的模数 n 的情况下,如果将同一个消息(或者一组线性相关的消息)
22、分别用这些用户的公钥加密,那么利用中国剩余定理可以恢复出明文。,假设取e=3,三个用户不同模数分别是n1,n2,和n3,将消息x用这三组密钥分别加密为:根据中国剩余定理,由y1,y2和y3求出:,低加密指数攻击,由于: 因此: 于是:,低加密指数攻击,如何抵抗攻击? 加密指数e必须足够大; 对较短的消息进行独立的随机数填充;,破坏明文消息的相关性,以防止低加密指数攻击。,低加密指数攻击,中间相遇攻击,指数运算具有可乘性,这种可乘性有可能招致其他方式的攻击。 如果明文m可被分解成两项之积 那么: 这意味着明文的分解可导致密文的分解,明文分解容易使得密文 分解也容易。密文分解容易将导致中间相遇攻击
23、。,由RSA的可乘性得:,前提:,中间相遇攻击,1)攻击者先创建一个有序的序列: 2)搜索这个有序序列,尝试从中找到两项 和 满足: 3)攻击者能在 步操作之内找到 和 ,由此获得明文 。,中间相遇攻击,中间相遇攻击,密码技术已经从早期实现信息的保密性发展到可以提供信息的完整性、真实性、不可否认性等属性功能,成为信息安全的核心技术,其在信息认证、信息隐藏、访问控制和网络安全技术中有着广泛的应用。本章首先简要回顾了密码技术的发展历史,介绍了密码技术涉及的数学基础知识,密码学中的基本概念和模型,给出了古典密码技术的典型算法代换密码和置换密码体制,这两种密码体制中包含了设计实现现代密码算法的两个基本操作置乱和替换操作,在此基础上,重点介绍了现代密码技术中被广泛应用的分组密码算法DES算法的基本框架和加密流程,同时介绍了一种典型的公钥密码算法RSA算法的基本原理,并对其相关性能进行了简单的分析。本章仅仅介绍了密码技术中最基本的理论和方法,密码技术一直在发展变化,近几年,密码技术在安全性、实用性等方面的研究均取得了很大进展,为信息安全的实现提供了很好的技术支撑。,本章小结,本章小结,
