现代密码学(清华大学出版社)课堂课件.ppt

现代密码学 总 目 录 第1章 引言 第2章 流密码 第3章 分组密码体制 第4章 公钥密码 第5章 密钥分配与密钥管理 第6章 消息认证和杂凑算法 第7章 数字签字和密码协议 第8章 网络加密与认证 第1章 引言 1.1 信息安全面临的威胁 1.2 信息安全的模型 1.3 密码学基本概念 1.1 信息的安全威胁  因特网的开放性和共享性，给人们提供了方便也带来了危险。 安全业务 安全业务指安全防护措施，有以下5种。 1. 必威体育官网网址业务 2. 认证业务 3. 完整性业务 4. 不可否认业务 5. 访问控制 1.3 密码学基本概念 密码学：研究信息系统安全必威体育官网网址的科学。 密码编码学 密码分析学 加密 解密 密钥 明文 密文 密码算法 单钥体制 双钥体制 图1.5 必威体育官网网址通信系统模型 1.3.3 密码攻击概述 攻击方法 （1）穷举攻击： （2）统计分析攻击 （3）解密变换攻击 密码可能经受的攻击 对敌手攻击能力的假设 Kerckhoff 假设----假设敌手知道除使用的具体密钥之外的一切信息,目的是恢复明文! 即一切秘密蕴于密钥之中! 假设敌手知道: (1) 所使用的密码体制 ; (2) 知道明文的概率分布规律 ; (3) 知道密钥的概率分布规律 ; (4) 知道所有的破译方法 ! 无条件安全 如果算法产生的密文不能给出唯一决定相应明文的足够信息，无论截获多少密文，花费多少时间都不能解密密文。 Shannon指出，仅当密钥至少和明文一样长时达到无条件安全（即一次一密） 计算安全 破译密文的代价超过被加密信息的价值 破译密文所花时间超过信息的有效期 1.4 几种古典密码 1 仿射变换 图2.7 常见的两种密钥流产生器 2.2 线性反馈移位寄存器LFSR 2.3 线性移位寄存器的一元多项式表示 LFSR的输出序列 m序列。 序列有最大周期 ? ? 特征多项式是本原多项式 2.4 m序列的伪随机性 Golomb对伪随机周期序列提出了应满足的如下3个随机性公设： ① 在序列的一个周期内，0与1的个数相差至多为1。 ② 在序列的一个周期内，长为i的游程占游程总数的1/2i (i=1,2,…)，且在等长的游程中0的游程个数和1的游程个数相等。 ③ 异相自相关函数是一个常数。 大周期 易于计算 不可预测 2.5 m序列密码的破译 2.6 非线性序列 密钥流生成器可分解为驱动子系统和非线性组合子系统。 驱动子系统常用一个或多个线性反馈移位寄存器来实现， 非线性组合子系统用非线性组合函数F来实现。 第3章 分组密码体制 3.1 分组密码概述 3.2 数据加密标准 3.3 差分密码分析与线性密码分析 3.4 分组密码的运行模式 3.5 IDEA 3.6 AES算法——Rijndael 习题 应用中对于分组码的要求 安全性 运行速度 存储量(程序的长度、数据分组长度、高速缓存大小) 实现平台(硬、软件、芯片) 运行模式 称明文分组到密文分组的可逆变换为代换 设计的算法应满足下述要求： 分组长度n要足够大，使分组代换字母表中的元素个数2n足够大，防止明文穷举攻击法奏效。 密钥量要足够大（即置换子集中的元素足够多），尽可能消除弱密钥并使所有密钥同等地好，以防止密钥穷举攻击奏效。 由密钥确定置换的算法要足够复杂： 充分实现明文与密钥的扩散和混淆，没有简单的关系可循，要能抗击各种已知的攻击。 加密和解密运算简单： 易于软件和硬件高速实现。 数据扩展： 一般无数据扩展。 差错传播尽可能地小。 扩散和混淆是由Shannon提出的设计密码系统的两个基本方法，目的是抗击敌手对密码系统的统计分析。 所谓扩散，就是将明文的统计特性散布到密文中去 混淆是使密文和密钥之间的统计关系变得尽可能复杂，以使敌手无法得到密钥。 Feistel加密结构 DES IDEA CAST 图3.3 Feistel网络示意图 3.2 数据加密标准 （data encryption standard, DES） 分组长度为64 bits (8 bytes) 密文分组长度也是64 bits。 密钥长度为64 bits，有8 bits奇偶校验，有效密钥长度为56 bits。 16轮 三重DES 3.3 差分密码分析与线性密码分析 差分密码分析基本思想是：通过分析明文对的差值对密文对的差值的