密钥管理及其他公钥体制.pptVIP

2012年3月18日 计算机安全技术与实践 密钥管理和其他公钥密码体制 10.1 Diffie-Hellman密钥交换 离散对数问题 y＝gx mod p，其中g是生成元 求x的困难性 目前没有有效的方法 实际使用时常用Zp*和ECC上的点加法群 Pohlig-Hellman algorithm 如果p-1是小素数的乘积，则易求 因此，p-1应含有大素因子 Diffie-Hellman密钥交换协议 DH76，Diffie-Hellman 步骤 选取大素数q和它的一个生成元g，这些参数公开 A选择随机数Xa，B选择随机数Xb A计算Ya＝g^Xa mod q，B计算Yb＝g^Xb mod q 交换Ya，Yb A计算K＝Yb^Xa mod q，B计算K＝Ya^Xb mod q 事实上，K＝K 证明、分析和例子 证明K＝K’ K＝Yb^Xa mod q K’＝Ya^Xb mod q ＝(g^Xb)^Xa mod q ＝(g^Xa)^Xb mod q ＝ g^(XbXa) mod q ＝g^(XaXb) mod q 举例 q＝97，g＝5 A选Xa＝36，B选Xb＝58，则 Ya＝5^36％97＝50，Yb＝5^58％97＝44 交换50，44 A算K＝44^36％97＝75，B算K’＝50^58％97＝75 分析（别人怎么计算K?） 别人看到了Ya和Yb，但需要计算Xa或Xb，即要算离散对数 Ya＝g^Xa mod q，或Yb＝g^Xb mod q 中间人攻击 交换Y的过程中，Y有可能被替换假冒，而且不能发现 形式上，可以理解为一个中间人在跟双方同时通信，当然通信内容在中间人那里是可见的 * 一个现实的例子就是：可以同时开两盘QQx棋，一个后手，一个先手，… Man-in-the-middle A E B Xa Xb’ Xa’ Xb Ya Yb’ Ya’ Yb K=Yb’^Xa K’=Y’a^Xb 相关结论 maurer94towards Towards the Equivalence of Breaking the Diffie-Hellman Protocol and Computing Discrete Logarithms /maurer94towards.html 结论 破译D-H密钥协商协议等价于计算离散对数 RSA算法的安全性是否等价于大数的因子分解？ 10.1a PKCS#3 PKCS#3 Diffie-Hellman Key-Agreement Standard 进一步参阅 pkcs#3 PV public value p prime PV others public value x private value SK secret key x others private value g base y integer public value k length of prime in octets y others integer public value l length of private value in bits z integer secret key mod n modulo n 10.2 ElGamal密码体制 准备 素数p，Zp*中本原元g，公开参数 私钥a，公钥b=ga mod p 加密 对明文1=m=p-1，选随机数k 密文(c1, c2) c1=gk mod p, c2=mbk mod p 解密 m＝c2 (c1a)-1＝mbk ((gk)a)-1 ＝m(ga)k (g-ka) ＝m mod p ElGamal etc 基于离散对数难题 缺点 需要随机数 密文长度加倍 ElGamal可以迁移到ECDLP上 ElGamal签名和DSS 10.3 椭圆曲线 背景 RSA中用到了因子分解的困难性，而为了增加困难得加大数的位数，从而导致计算速度变慢。 ECC可以用较小的密钥长度达到较高的计算难度 Elliptic Curve y2＋axy＋by＝x3＋cx2＋dx＋e 其中a、b、c、d、e是满足某个简单条件的实数 另有O点被定义为无穷点/零点 点加法P＋Q＝R定义为 过P、Q和椭圆曲线相交的第三点的X轴对称点R EC：P＋Q＝R 素域上的EC 在有限域Zp上的简化EC y2≡x3＋ax＋b mod p 其中4a3＋27b2 mod p ≠ 0 （这是一个离散点的集合） 举例 y2≡x3＋18x＋15 mod 23 y2≡x3＋17x＋15 mod 23 EC (1) EC (2)