第09_12讲公钥密码体制.pptVIP

第4章　非对称密码体制;§4-1　概　述;;公钥密码体制;对公钥密码体制的要求;注：1*. 仅满足(1)、(2)两条的称为单向函数；第(3)条称为陷门性，δ 称为陷门信息。 2*. 当用陷门函数f作为加密函数时，可将f公开，这相当于公开加密密钥。此时加密密钥便称为公开密钥，记为Pk。 f函数的设计者将δ 必威体育官网网址，用作解密密钥，此时δ 称为秘密密钥，记为Sk。由于加密函数是公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者（当然可以通过不安全信道传送）；由于设计者拥有Sk，他自然可以解出x=f-1(y)。 3*.单向陷门函数的第(2)条性质表明窃听者由截获的密文y=f(x)推测x是不可行的。;公钥密码系统的应用类型;简单数字签名;安全数字签名;认证+加密;会话密钥交换（加密）;; 密钥穷举攻击 如果密钥太短，公钥密码体制也易受到穷有哪些信誉好的足球投注网站攻击。因此密钥必须足够长才能抗击穷有哪些信誉好的足球投注网站攻击。 由于公钥密码体制所使用的可逆函数的计算复杂性与密钥长度常常不是呈线性关系，而是增大得更快。密钥长度太大又会使得加解密运算太慢而不实用 公钥密码体制目前主要用于密钥管理和数字签字 寻找从公开钥计算秘密钥的方法 目前为止，对常用公钥算法还都未能够证明这种攻击是不可行的 ;对公钥密码体制的攻击;一个素数p和一个整数a（均公开），a是p的一个原根 用户A选择一个随机数XAp，并计算 类似地，用户B选择一个随机数XBp,并计算 每一方都对X的值必威体育官网网址存放而使得Y的值对于另一方可以公开得到 用户A计算密钥： 用户B计算密钥： 双方以K作为加、解密密钥，以对称密钥算法进行必威体育官网网址通信;;DH例子;§4-3　RSA;明文空间P＝密文空间C=Zn 密钥的生成 选择互异素数p,q，计算n=p×q, ? (n)=(p-1)(q-1), 选择整数e使(? (n),e)=1,1e? (n),计算d,使d=e-1mod ? (n) 公钥PK={e,n} 私钥SK={d,n} 加密 (用e,n) 明文：Mn 密文：C=Me(mod n) 解密 (用d,n) 密文：C 明文：M=Cd（mod n); 由加密过程知c≡me mod n，所以 cd mod n≡med mod n≡m1 mod φ(n) mod n≡mkφ(n)+1 mod n 下面分两种情况： ① m与n互素，则由Euler定理得 mφ(n)≡1 mod n,mkφ(n)≡1 mod n,mkφ(n)+1≡m mod n 即cd mod n≡m。 ② gcd(m,n)≠1，先看gcd(m,n)=1的含义，由于n=pq，所以gcd(m,n)=1意味着m不是p的倍数也不是q的倍数。因此gcd(m,n)≠1意味着m是p的倍数或q的倍数，不妨设m=cp，其中c为一正整数。此时必有gcd(m,q)=1，否则m也是q的倍数，从而是pq的倍数，与mn=pq矛盾。 由gcd(m,q)=1及Euler定理得mφ(q)≡1 mod q，所以 mkφ(q)≡1 mod q,［mkφ(q)］φ(p)≡1 mod q, mkφ(n)≡1 mod q 因此存在一整数r，使得mkφ(n)=1+rq，两边同乘以m=cp得 mkφ(n)+1=m+rcpq=m+rcn 即mkφ(n)+1≡m mod n，所以cd mod n≡m。 ;若Bob选择了p=7和q＝17 则n=119, ? (n)=6×16＝96＝25×3，一个正整数e能用作加密指数，当且仅当e不能被2，3所整除 假设Bob选择e=5，那么用辗转相除法将求得： d=e -1 ? 77(mod 96) Bob的解密密钥d={77,119}，公开｛5,119｝ 现假设Alice想发送明文19给Bob ;步骤：Bob为实现者 Bob寻找出两个大素数p和q Bob计算出n=pq和? (n)=(p-1)(q-1). Bob选择一个随机数e(0e ? (n))，满足（e， ? (n)）＝1 Bob使用辗转相除法计算d=e-1(mod ? (n)) Bob在目录中公开n和e作为她的公开钥 　　密码分析者攻击RSA体制的关键点在于如何分解n。若分解成功使n=pq，则可以算出φ(n)＝(p-1)(q-1)，然后由公开的e，解出秘密的d。;若使RSA安全，p与q必为足够大的素数，使分析者没有办法在有效时间内将n分解出来。建议选择p和q大约是100位的十进制素数。模n的长度要求至少是512比特。 为了抵抗现有的整数分解算法，对RSA模n的素因子p和q还有如下要求： (1)|p-q|很大，通常 p和q的长度相同； (2)p-1 和q