电子商务安全第3章 密码学基础ppt课件.pptx

电子商务安全第二版,第三章 密码学基础,1,本章内容,2,2018/7/15,学习目标,了解密码体制的基本概念；掌握常用的分组密码算法（如DES、AES）的原理与应用；掌握常用的公钥密码算法（如RSA）的原理与应用；掌握数字签名的基本概念和关键技术；了解公钥基础设施PKI的体系结构。,3,2018/7/15,本章内容,4,2018/7/15,密码理论与技术概述,基本理论与概念在历史上，军事人员、外交人员、日记作者和情侣有意或者无意的用到了密码学，并且为之做出了贡献。在这4类人中，军事人员扮演了重要的角色。而且几个世纪以来他们不断完善着这个领域。在军事联盟内部，需要加密的消息通常被交给下级译码军士来加密和传输，由于消息的数量不大，所以这项工作不必依赖密码专家来完成。密码学加密（encryption）算法和解密（decryption）算法待加密的消息称为明文（plaintext），它经过一个以密钥（key）为参数的函数变换这个过程称为加密，输出的结果称为密文（ciphertext），然后密文被传送出去，往往由通信员或者无线电方式来传送。一般情况下，加密即同时指称加密（encrypt或encipher）与解密（decrypt或decipher）的技术。,2018/7/15,5,密码理论与技术概述,基本理论与概念将明文、密文和密钥的关系体现。通常使用C=EK(P)来表示用密钥K加密明文P得到密文C。类似地，P=DK(C)代表了解密C得到明文P的过程。由此可以得到：DK(EK(P)=P密码学基本规则：必须假定密码分析者知道加密和解密所使用的方法，密钥的引入正好解决了这个问题。Kerckhoff原则：所有的算法必须是公开的，只有密钥是保密的。,2018/7/15,6,图2.1 对称密码模型,密码理论与技术概述,基本理论与概念密码分析问题：四个主要的类型“唯密文（ciphertext-only）”问题：密码分析者得到了一定量 的密文，但是没有对应的明文。“已知明文（known plaintext）”问题：密码分析者有了一些相匹配的密文和明文。“选择明文（chosen plaintext）”问题：密码分析者能够加密某一些他自己选择的明文。“选择密文（chosen ciphertext）”问题：当密码分析者能够解密某一些他自己选择的密文。,2018/7/15,7,密码理论与技术概述,密码学的发展历程古典密码：在公元前，秘密书信已用于战争之中。凯撒密码（Caesar Cipher）是最经典的代换法，据传由古罗马帝国的皇帝凯撒所发明，用在与远方将领的通讯上。秘密书信：西洋“史学之父”希罗多德（Herodotus）的历史（The Histories）希腊城邦与波斯古中国周朝兵书六韬龙韬：征战时与主将通讯的方式：八等长度阴符、三份阴书。物理加密装置：古希腊斯巴达的密码棒（scytale）。问题：由经典加密法产生的密码文很容易泄漏关于明文的统计信息，以现代观点其实很容易被破解。,2018/7/15,8,密码理论与技术概述,密码学的发展历程中世纪至第二次世界大战：本质上所有的密码仍然受到频率分析的破解方法的危害直到阿伯提（Leon Battista Alberti）约在1467年发明了多字母表代换加密法（Polyalphabetic cipher）多字母表代换加密法最典型的例子是维吉尼亚加密法（Vigenre cipher）：加密重复使用到一个关键字，用哪个字母进行代换操作视循环到关键字的哪个字母而定物理辅助工具：阿伯提发明的密码盘（cipher disk）、特里特米乌斯发明的表格法（tabula recta）、以及美国总统汤玛士杰佛逊（Thomas Jefferson）发明的多圆柱,2018/7/15,9,密码理论与技术概述,密码学的发展历程现代密码：第二次世界大战后计算机与电子学的发展促成了更复杂的密码，而且计算机可以加密任何二进制形式的资料，不再限于书写的文字 1970年代中期，美国国家标准局（现称国家标准技术研究所，National Institute of Standards and Technology,NIST）制定数字加密标准（DES）Diffie和Hellman提出的开创性论文，以及公开释出RSA（Rivest,Shamir and Adleman）许多密码技术可被证明为只要特定的计算问题无法被有效的解出，那就安全。除了一个著名的例外：一次一密（one-time pad），这类证明是偶然的而非决定性的，但是是目前可用的最好的方式。现代密码学：信息论、计算复杂性理论、统计学、组合学、抽象代数以及数论，工程学,2018/7/15,10,密码理论与技术概述,密码学的发展历程代换密码（substitution cipher）：每个字母或者每一组字母被另一个字母或另一组字母来取代，从而将原来的字母掩盖起来。明文：abcdefghijklmnopqrstuvwxyz密文：QWERTYUIOPASDFGHJKLZXCVBNM这种“符号对符号”进行代换的通用系统被称为单字母表代换（monoalphabetic substitution），其密钥是对应于整个字母表的26字母串。对于上面的密钥，明文attack被变换为密文QZZQEA。初看起来，这似乎是一个非常安全的系统。然而，只要给出相对少量的密文，就可以很容易地破解该密码。基本的攻击手段利用了自然语言的统计特性。,2018/7/15,11,密码理论与技术概述,经典密码学 置换密码（Transposition cipher）：重新对字母进行排序，但是并不伪装明文。,2018/7/15,12,密码理论与技术概述,经典密码学 一次一密：选择一个随机位串作为密钥，然后将明文转变成一个位串。示例：消息1“I love you.”被转换成7位ASCII码。然后选择一个一次性密钥Pad1，并且与消息l进行异或得到密文。一次性密钥Pad2可以被用来做试验，结果得到明文2“Elvis lives”。,2018/7/15,13,密码理论与技术概述,量子密码系统针对如何在网络上传输一次性密钥的问题，可能通过量子密码方案予以解决，尽管这个领域现在仍然在探索的，但是截至到目前的试验非常成功。如果能够更加完美一些，而且效率又很好的话，那么，几乎所有的密码系统都可以利用一次一密方法来完成，因为一次一密方法可以被证明是绝对安全的。以BB84协议为代表的量子密码系统（quantum cryptography）的物理基础是，光是一种极小的光包（photon，也被称为光子）的形式被传递的，并且光子具有某种特殊的属性。而且，光在通过一个偏振滤光器的时候，可以被调整到一个方向上。可以假定 Alice和Bob在一根光纤的两端，通过这根光纤他们可以发送光脉冲。为了产生一个一次性密钥，Alice需要两组偏振滤光器，第1组滤光器是由一个垂直滤光器和一个水平滤光器组成的，这种选择被称为直线基（rectilinear basis）。,2018/7/15,14,密码理论与技术概述,量子密码系统,2018/7/15,15,本章内容,16,2018/7/15,对称密码体制,对称密码体制概述密码体制：（M，C，K，K，）M表示明文消息空间，由某个字母表上的字符串构成；C表示密文消息空间，所有可能的密文消息集合；K为加密密钥空间，K为解密密钥空间；有效的密钥生成算法；有效的加密算法；有效的解密算法。,2018/7/15,17,对称密码体制,对称密码体制概述在密码体制的定义中，如果，即加密密钥与解密密钥相同，称为对称密码体制（Symmetric Cryptosystem）或单钥密码体制（One-key Cryptosystem）。的密码体制称为非对称密码体制（Asymmetric Cryptosystem）或公钥密码体制（Public Key Cryptosystem），亦称双钥密码体制（Two Key Cryptosystem）。按照对明文消息进行加密的方式，单钥密码体制可分为两类，即流密码和分组密码。流密码（Stream Cipher）是明文消息按字符进行逐位加密，分组密码（Block Cipher）是将明文消息分组（如128位一组），分组进行加密。在无线网络安全技术中，流密码（如RC4）和分组密码（如DES和AES）都是重要的加密技术。在这里，重点介绍几种常用的分组密码算法。,2018/7/15,18,对称密码体制,对称密码体制概述分组密码的基本原理分组密码是将明文消息编码表示后的数字序列 划分成长为n的组，各组长为n的矢量分别在密钥 的控制下变换成长度为m的输出数字序列，如图所示。,2018/7/15,19,图2.5 分组密码示意,对称密码体制,分组密码的安全性目前对分组密码算法安全性的讨论包括差分分析、线性分析、穷举搜索等几个方面。常见的对分组密码的技术攻击方法有：强力攻击：在唯密文攻击中，密码分析者依次使用密钥空间中的所有密钥来解释一个或多个截获的密文，直至得到一个或多个有意义的明文块。线性攻击（也称线性分析）：线性分析是一种已知明文攻击方法，最早由Matsui在1993年提出，该攻击主要利用了明文、密文和密钥的若干位之间的线性关系。差分攻击（也称差分分析）：差分攻击是一种选择明文攻击方法，最早由Biham和Shamir在1990年引入，该算法主要是利用了明文对的特殊差分对相应的密文对差分的影响，通过分析某个（些）最大概率差分来确定可能密钥的概率并找出最可能的密钥。以及相关密钥攻击（也称相关密钥密码分析）、中间相遇攻击（Meet-in-the-middle attack）,2018/7/15,20,对称密码体制,数据加密标准-DES（Data Encryption Standard）DES算法：1977年1月，美国政府颁布：将IBM公司设计的方案作为非机密数据的正式数据加密标准（DES-Data Encryption Standard）初始置换IP和逆初始置换IP-1；f函数；子密钥生成函数,2018/7/15,21,对称密码体制,高级加密标准-AES(Advanced Encryption Standard)1997年6月18日，美国科罗拉多州以Rocke Verser为首的一个工作组宣称破译了DES加密算法。搜索到正确的密钥，前后历时四个多月。破译成功无疑宣布了DES(数据加密标准)的不安全性，使美国政府重新审视其现行的加密标准。状态、密钥种子、轮数、轮函数。,2018/7/15,22,对称密码体制,高级加密标准-AES(Advanced Encryption Standard)AES算法是由比利时人Joan Daemen和Vincent Rijmen提交的、由Joan Daemen设计的名为Rijndael的密码算法。1）Rijndael(State，CipherKey)：该算法完成Rijndael加密。其中的两个参数的意义分别是：State:表示明文以“状态”的形式输入，CipherKey表示种子密钥。2）KeyExpansion(CipherKey，ExpandedKey)：该函数主要完成密钥扩展的功能，将种子密钥（16字节，4字）扩展成11组加密密钥，每组密钥的长度等于明文状态的长度。（16字节，4字）该函数的两个参数的意义分别是：CipherKey：种子密钥，ExpandedKey：加密密钥。3）AddRoundKey(State，ExpandedKey)：该函数主要完成初始加密钥即对明文在进行轮变换之前，进行一次简单的密钥加变换。4）Round(State，ExpandedKey+Nb*j)：该函数主要完成轮变换，是Rijndael加密的核心部分，输入的参数分别是算法中间的结果和对应该轮的加密密钥。5）FinalRound(State，ExpandedKey+Nb*Nr)：该函数完成最后一轮变换，它与前面由密钥长度决定轮数的循环中的轮变换的唯一不同是少了列混合（MixColumn）。,2018/7/15,23,对称密码体制,对称密码算法的运行模式常用的运行模式：分组密码是将消息作为数据分组来加密或解密的，而实际应用中大多数消息的长度是不定的，数据格式也不同，因此，在分组密码的实际应用中，需要灵活运用分组密码。电码本（ECB）模式：这种方式直接利用分组密码算法对消息的各个分组逐个进行加密或解密。密码分组链接（CBC）模式：密码分组链接(CBC)运行模式是用于一般数据加密的一种模式。输出反馈（OFB）模式：若加密消息必须按字符或按比特处理时，可采用密码反馈(CFB)运行模式。密码反馈（CFB）模式：输出反馈(OFB)运行模式的特点是将基本分组密码的连续输出分组回送回去。计数器（CTR）模式：计数器(CTR)模式的特征是将计数器从初始值开始计数所得到的值馈送给基础分组密码算法。,2018/7/15,24,本章内容,25,2018/7/15,公钥密码体制,公钥密码体制概述基于大整数分解问题(IFP)的公钥密码体制，如RSA体制和Rabin体制；基于有限域上离散对数问题(DLP)的公钥密码体制，其中主要包括ElGamal类加密体制和签名方案，Diffie-Hellman密钥交换方案，Schnorr签名方案和Nyberg-Ruppel签名方案等；基于椭圆曲线离散对数问题(ECDLP)的公钥密码体制，其中主要包括椭圆曲线型的Diffie-Hellman密钥交换方案，椭圆曲线型的MQV密钥交换方案和椭圆曲线型的数字签名算法。公钥密码体制可以提供以下功能：机密性：通过数据加密来保证非授权人员不能获取机密信息。认证：通过数字签名来来验证对方的真实身份。数据完整性：通过数字签名来保证信息内容不被篡改或替换。不可抵赖性：通过数字签名来实现，使发送者不能事后否认他发送过消息，消息的接受者可以向第三方证实发送者确实发出了消息。,2018/7/15,26,公钥密码体制,RSA算法1977年，Ron Rivest，Adi Shamir和Leonard Adleman提出了公钥密码算法RSA选取两个不同的大素数p和qn=pq，随机选取一个整数e，1e(n)，(n),e)=1。因为(n),e)=1，所以在模(n)下，e有逆元 d=e-1mod(n)。加密：y=xemod n解密：x=ydmod n证明性分析：ydmod n=(xe)dmod n=xedmod n=xk(n)+1mod n=x,2018/7/15,27,(n)=(p1)(q1),公钥密码体制,Diffie-Hellman算法Diffie和Hellman在一篇具有独创性的论文中首次提出了公钥算法，该算法也称为Diffie-Hellman密钥交换。Diffie-Hellman算法的有效性是建立在计算离散对数计量很困难的这一基础之上。首先定义素数p的本原根。素数p的本原根是一个整数，且其幂可以产生1到p-1之间的所有整数。a mod p,a2 mod p,ap-1 mod p对任意整数b和素数p的本原根a，可以找到惟一的指数，使得：b ai(mod p)，0 i(p-1)指数i称为b的以a为底的模p离散对数，记为dloga,p(b)。,2018/7/15,28,公钥密码体制,Diffie-Hellman算法Diffie-Hellman密钥交换的安全性建立在求关于素数的模幂运算相对容易，而计算离散对数却非常困难的实施基础之上，对于大素数，求离散对数被认为是不可行的。,2018/7/15,29,图2.17 Diffie-Hellman密钥交换,公钥密码体制,ECC算法ECC是基于椭圆曲线离散对数问题的各种公钥密码体制，最早是在1985年分别由V.S.Miller和Neal Koblitz独立提出的。与RSA和DSA等体制相比，ECC具有如下优势：安全性更高、计算量小，处理速度快、需要的存储空间少、带宽要求低。,2018/7/15,30,表2-8 ECC与RSA/DSA抗攻击性能比较,本章内容,31,2018/7/15,数字签名技术,DSA算法数字签名(Digital Signature)主要用于对数字消息进行签名，以防消息的冒名伪造或篡改，亦可以用于通信双方的身份鉴别。数字签名标准DSS（digital signature standard）是由美国NIST公布的联邦信息处理标准FIPS 186，它是在ElGamal和Schnorr数字签名的基础上设计的。1.密钥生成密钥生成算法如下：1）选取一个素数p，其中，2511+64jp2512+64j(j0,1,8)；2）选取p-1的一个160比特的素数因子q(2150q2160)；3）计算g=h(p-1)/qmod p，其中1hp-1；4）生成一个随机数x(0 xq)；5）计算y=gxmod p。公钥为(p,q,g,y)，私钥为x。,2018/7/15,32,数字签名技术,2018/7/15,33,数字签名技术,ECDSA算法ECDSA是基于椭圆曲线的数字签名算法，目前已经被标准化，并在IEEE P1363和ANSI X9.62中被采纳，未来几年很可能取代DSA而成为新的数字加密标准。ECDSA是一种不带消息恢复功能的签名方案，其安全性基于计算椭圆曲线离散对数问题的困难性。椭圆曲线的参数为(E(GF(q),a,b,G,n,h)。其中G为选择的基点，n为G的阶，h=E(GF(q)/n。1.密钥生成ECDSA的密钥对生成很简单。首先选取一个随机数d1,n-1作为私钥，然后，计算Q=dG，作为公钥。2.签名生成对明文m的签名算法如下：1）选取一个随机数k，1kn-1；2）计算kG=(x1,y1)，rx1modn。若r=0，则转1；,2018/7/15,34,数字签名技术,2018/7/15,35,本章内容,36,2018/7/15,公钥基础设施PKI,数字证书数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构的数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书内容遵循X.509标准。PKI的基本组成与功能:公钥基础设施（Public Key Infrastructure,PKI）是网络安全的基础。其原理是利用公钥技术所构建的，用来解决网络安全问题的一种普遍适用的基础设施。也有学者把提供全面安全服务的基础设施，包括软件、硬件、人员和策略的集合称为PKI。,2018/7/15,37,图2.20 X.509数字证书字段名及说明,公钥基础设施PKI,PKI的基本组成与功能 公钥基础设施（Public Key Infrastructure,PKI）是网络安全的基础。其原理是利用公钥技术所构建的，用来解决网络安全问题的一种普遍适用的基础设施。作为网络环境的一种基础设施，PKI必须具有良好的性能。通常对PKI的性能要求如下：1）透明性和易用性：这是最基本的要求，PKI必须尽可能地向上层应用屏蔽密码服务的实现细节，向用户屏蔽复杂的安全解决方案，使密码服务对用户而言简单易用，同时便于单位、企业完全控制其信息资源。2）可扩展性：证书库和CRL必须具有良好的可扩展性。3）互操作性：不同企业、单位的PKI实现方法可能是不同的，这就提出了互操作性要求。要保证PKI的互操作性，必须将PKI建立在标准之上，这些标准包括加密标准、数字签名标准、Hash标准、密钥管理标准、证书格式、目录标准、文件信封格式、安全会话格式、安全应用程序接口规范等。4）支持多应用：PKI应该面向广泛的网络应用，提供文件传送安全、文件存储安全、电子邮件安全、电子表单安全、WEB应用安全等保护。5）支持多平台：PKI应该支持目前广泛使用的操作系统平台，包括Window、UNIX、MAC等。,2018/7/15,38,公钥基础设施PKI,PKI的基本组成与功能,2018/7/15,39,图2.21 PKI各构成部件之间的交互作用,公钥基础设施PKI,常用信任模型及信任路径常用的信任模型有四种：（1）认证机构的严格层次结构模型（Strict Hierarchy of Certification Authorities Model）:认证机构的严格层次结构模型是最早的PKI信任模型，可以用一棵倒转的树来描述。（2）分布式信任结构模型（Distributed Trust Architecture Model）:与PKI系统中所有实体都信任唯一一个CA的严格层次结构相反，分布式信任结构把信任分散在两个或多个CA上。（3）Web模型（Web Model）:Web模型是在万维网上诞生的，而且依赖于流行的浏览器，如Netscape公司的Navigator和Microsoft公司的Internet Explorer。（4）以用户为中心的信任模型（User Centric Trust Model）:在以用户为中心的信任模型中，每个用户自己决定信任哪些证书。,2018/7/15,40,本章内容,41,2018/7/15,国产密码算法,常用信任模型及信任路径2010年年底，我国国家密码管理局在官方网站上公布了基于椭圆曲线的SM2公开密钥国密算法和SM3杂凑算法，加上原先的SM1商密对称算法，标志着国产密码算法开始成熟，并且算法的公开也使得安全性得到肯定。在此之前，国家密码管理局曾经推出过SSF33算法，不过因为算法的细节一直没有公开，虽然在2005版的PBOC 2.0规范中加入的该算法，但在银行卡领域一直没有真正意义上的实际应用，同时该算法在社保规范中也没有得到真正的实施。加上当年国内芯片自主设计的能力还不足，所以从本质上说SSF33算法基本上被束之高阁。我国国家密码管理局公开SM2和SM3算法，标志着在今后的商用密码领域，国产密码算法将本着开发和包容的原则，逐步完善信息安全的策略，在国际密码学界将获得越来越多的话语权。,2018/7/15,42,本章内容,43,2018/7/15,小结,密码学是电子商务安全的基础本章主要介绍了密码理论与技术的基本研究领域范畴以及使用的主要密码技术。首先，介绍了密码学的的基本概念和发展进程然后，介绍了分组密码算法DES和AES、公钥密码算法RSA，DH和ECC。接下来，在公钥密码体制的基础上引入了数字签名技术最后在公钥基础设施PKI方面，对公钥证书，PKI的基本组成与功能，常用信任模型及信任路径进行了讲解。另外，简述了国产密码算法的现状。,2018/7/15,44,思考题,1.密码体制是如何划分的？比较对称加密与非对称加密体制。2.单字母表代换密码和多字母表代换密码的区别是什么？3.攻击密码的一般采用哪两种方法？4.简述DES算法的加密和解密过程。5.比较对称密码的运行模式，总结各自的优缺点。6.在RSA密码体制中，若两个素数分别为p=7，q=11，若私钥d=13，计算公钥e=？。若明文M=15，求用公钥加密后的密文C=？7.比较RSA与ECC的加密与解密过程，并分析各自效率。8.X.509v3的数字证书包含那些项目？9.PKI由那几部分组成，各部分的功能是什么？10.查询资料，了解我国当前PKI建设情况，并分析存在的问题。,2018/7/15,45,谢谢！,46,