密码学学习课件.ppt

4 现代密码学的基本概念和技术 4.1 单向函数和陷门单向函数 单向函数 定义 1 一个定义域为X值域为Y的函数y=f(x)称之为单向函数：如果对于所有x ?X计算f(x)都是“容易的”，而对于“基本上所有y?Y”发现任意一个x?X满足f(x)=y都是“计算不可能的”。 * x f(x) Hard Easy 实例： 大整数分解问题 离散对数问题 背包问题 * 陷门单向函数 定义 2 一个陷门单向函数是单向函y=f(x)再附加一个特性，即如果给定一些附加信息称之为陷门信息K，那么，就对任意y?Y求解x?X满足fK(x)=y都变得“容易了”。 * 4.2 加密 4.2.1 加密基本术语 明文消息空间M: 某个字母表集 密文消息空间C: 可能的密文消息集 加/解密密钥空间K: 可能的加/解密密钥集 加/解密函数Ee?K (m?M) / Dd?K (c?C) : 一个从M到C/C到M的有效变换 * 加密方案是由一个加密函数集{Ee: e?K}和解密函数集{Dd: d?K}构成，并且满足任意一个加密密钥e?K存在唯一一个解密密钥d?K使 Dd=Ee-1，也就是对于所有明文消息m?M ，存在Dd(Ee(m)) = m，(e, d)称为密钥对。设计加密方案就是确定M、 C、 K、{Ee: e?K}、{Dd:d?K}的过程。 定义3 一个加密方案可以被破译是指，第三方在没有事先得到密钥对(e, d)的情况下，可以在适当的时间里系统的从密文恢复出相对应的明文。 # 适当的时间是由被保护数据生命周期来确定。 4.2.2 加密方案 * 定义4 一个由加密函数集{Ee: e?K}和解密函数集{Dd: d?K}组成加密方案，每一个相关联的密钥对(e, d) ，如果知道了e在计算上很容易确定d，知道了d在计算上很容易确定e，那么，就是私钥加密方案。 # 私钥加密需要一条安全信道来建立密钥对。 4.2.3 私钥加密 * 主要技术：分组密码与流密码 定义 5(分组密码) 将明文消息在编码集按照固定长度t进行分组，再一组一组的加\解密明\密文消息。 #著名的DES、AES都是这类密码。 定义6 K 是加密变换集的密钥空间，序列 e1e2… ei?K称为密钥流。 定义7(流密码) 消息m以串的形式(m1m2…mi)给出，密钥e1e2…ei是K上的密钥流。流密码通过ci=Eei(mi)给出密文消息(c1c2…ci)；如果di为ei的逆，解密则通过mi=Ddi(ci)完成。 * 定义 8 一个由加密函数集{Ee: e?K}和解密函数集{Dd: d?K}组成加密方案，每一个相关关联的加/解密密钥对(e, d)，加密密钥e公开，称为公开密钥，而解密密钥d必威体育官网网址，称为秘密密钥。 # 显然安全公钥密码系统要求从e计算d为不可能。 4.2.4 公钥加密 * 公钥加密实例 Ee(m1)=c1 A1 Ee(m2)=c2 A2 Ee(m3)=c3 A3 Dd(c1)=m1 Dd(c2)=m2 Dd(c3)=m3 Bob e c1 e e c2 c3 # 因为存在替代攻击问题，公钥系统中公开密钥e 必须认证，一般是建立PKI。 * 4.2.5 对加密方案的攻击方法 唯密文攻击 已知明文攻击 选择明文攻击 适应性选择明文攻击 选择密文攻击 适应性选择密文攻击 * 4.3 数字签名技术 4.3.1 签名的基本术语 明文消息空间M:某个字母表中串的集合 签名空间S:可能的签名集合 签名密钥空间K:用于生成签名的可能密钥集，具体取值k需要必威体育官网网址 验证密钥空间K’:用于验证签名的可能密钥集，具体取值k’需要公开 签名函数SK(m?M):从M到S的有效变换 验证函数VK’(m?M, s):一个从M?S到输出{True, False}的有效变换 * 签名过程(签名者完成) (1) 对一条需要签名的消息m?M计算签名s=Sk(m)。 (2) 将对消息m 的签名(m, s)发送出去。 验证过程(验证者完成) (1) 得到对应签名者的验证算法Vk’ ，计算u=Vk’ (m, s)。 (2) 如果u=True，接受签名；如果u=False，拒绝签名。 4.3.2 签名过程 * (1) 当且仅当Vk’ (m, s)=True时，s是消息m的合法签名。 (2) 对于任何签名者以外的实体得到任意的一组mf和sf满足Vk’ (mf , sf)=True是计算不可能的。 4.3.3 签名和认证函数必须满足的性质 4.3.4 数字签名的争议解决（不可否认） 如果签名者和验证者对签名发生争议，可由验证者带签名(m, s)提交给可信任