第三章-公开密钥密码学.pptVIP

随后，Darth对Alice与Bob的通信过程攻击如下 Alice发送加密报文EK2[M]； Darth截获加密报文，并对其进行解密以恢复M； Darth向Bob发送报文EK1[M]或EK1[M′]，其中M′为任意报文 第一种情况中，Darth仅监听通信过程； 第二种情况中，Darth可以篡改发送给Bob的报文。 可以通过数字签名与公钥证书阻止中间人攻击。 §3.4.3 中间人攻击 练习 用户A和B使用Diffie-Hellman密钥交换算法交换密钥，设素数q = 71，元根? = 7，用户A的私钥XA = 5，用户B的私钥XB = 12，求用户A的公钥YA、用户B的公钥YB和共享的秘密密钥K。 ElGamal算法是与Diffie-Hellman算法相关的一种基于离散对数的公钥密码体制。 GlGamal算法既能用于加密，也能用于数字签名，其安全性依赖于计算有限域上离散对数的困难性。 ElGamal算法 密钥生成 选择大的素数q与q的元根? 其中gcd(q, ?) = 1, 1?q 随机选择整数XA，其中1XAq-1，计算 其中，(q, ?, YA)为公钥， XA为私钥。 §3.5 ElGamal公钥密码体制 加密 对于任意明文M，0≤M≤q-1，秘密地随机选择一整数k， 1≤k≤q-1，计算密钥 则密文C = (C1, C2)。 其中：C1 = ?k (mod q)，C2 = KM (mod q) 解密 对于密文C = (C1, C2)，计算密钥 明文为M = C2K-1 (mod q) §3.5 ElGamal公钥密码体制 证明 C2 = KM mod q (C2K-1) mod q = KMK-1 mod q = M mod q = M §3.5 ElGamal公钥密码体制 解决方法 不变的幂运算时间 保证所有幂运算在返回结果前执行的时间都相同。 但会导致算法性能的下降。 随机延时 通过在求幂运算中加入随机延时来迷惑计时攻击者可提高性能。 隐蔽 在执行幂运算之前先将密文乘以一个随机数，从而使得攻击者不知道计算机正在处理的是密文的哪些位，防止攻击者一位一位地进行分析，而该分析正是计时攻击的本质所在。 §3.2.4 对RSA的攻击方法 练习 对于RSA算法，取p = 3，q = 11，e = 7。令明文M = 3，求相应的公钥、私钥以及密文。 公开密钥的管理包括公开密钥的分配和使用公开密钥加密方法分配秘密密钥两个方面。 §3.3.1 公开密钥的分配 §3.3.2 使用公开密钥加密方法分配秘密密钥 §3.3 公开密钥管理 分配公开密钥的技术方案有多种，可以归为以下几类 公开宣布 公开可以得到的目录 公开密钥管理机构 公开密钥证书 §3.3.1 公开密钥的分配 公开密钥的公开宣布 一一发送 广播发送 利用公开论坛发布（USENET新闻组和Internet邮件组） 不受控制的公开密钥分配示意图 公开宣布的缺点：任何人都可以伪造公开告示。 A … B … KUa KUb §3.3.1 公开密钥的分配 公开可以得到的目录 由一个受信任的系统或组织维护一个公开可以访问的公开密钥动态目录，能够取得更大程度的安全性。 该方案包括以下组成部分 管理机构为每个参与者维护一个目录项{名字，公开密钥}。 每个参与者在目录管理机构登记一个公开密钥。 参与者可以随时用新的密钥更换原来的密钥。 管理机构定期发表该目录或者对目录进行的更新。 参与者能够以电子方式访问目录。 §3.3.1 公开密钥的分配 公开可以得到的目录示意图 公开 密钥 目录 A B KUb KUa §3.3.1 公开密钥的分配 该方案明显比各个参与者单独进行公开告示更加安全 但是它仍然有弱点 如果一个敌手成功地得到或者计算出了目录管理机构的私有密钥，敌手就可以散发伪造的公开密钥，并随之假装成任何一个参与者并窃听发送给该参与者的报文。 敌手可以篡改管理机构维护的记录。 §3.3.1 公开密钥的分配 公开密钥管理机构 假定： 中心管理机构维护一个所有参与者的公开密钥动态目录； 每个参与者都可靠地知道管理机构的一个公开密钥，且只有管理机构才知道对应的私有密钥。 §3.3.1 公开密钥的分配 公开密钥管理机构分配公钥的示意图 公开密钥 管理机构 发起者 响应者 (1)请求||时间戳1 (2)EKRauth[KUb||请求||时间戳1] (3)EKUb[IDA||N1] (5)EKRauth[KUa||请求||时间戳2] (4)请求||时间戳2 (6)EKUa[N1||N2] (7)EKUb[N2] §3.3.1 公开密钥的分配 公开密钥管理机构方案的缺点： 公开密钥管理机构可能是系统中的瓶颈，因为一个用户对于他所希望联系的其他用户都必须借助于管理机构才