密码学教程 课件 -5-公钥密码.pptx

第五章公钥密码;;公钥密码与对称密码的比较：;对称密码：

有效的大量数据加密和一些数据完整性应用。

因速度快（多次迭代轮函数，产生“随机性”）。;?;陷门(trapdoor)单向函数：

有陷门（私钥）可以求f的逆。;公钥密码对明文的处理方式：

不是像分组密码那样依靠轮函数的多次迭代；

公钥密码是依靠计算困难问题（构成的单向函数）。;一个155位十进制长（约500比特）的整数：;128个字节。而AES的一个分组只16个字节;2002年图灵奖;?;2.加密过程;?;例题-1：;二、模幂和模逆算法;147＝128＋16＋3

;x=xy;;上面的平方乘算法是“从右到左”，还有“从左到右”：;?;;模逆算法：;?;?;i;三、RSA的安全性;强素数是p-1、p+1都有大素因子p1、p2，并且p1?1，

p2?1还有大素因子。;?;?;一、离散对数问题;是域，3和5是它的本原元。;?;例题-4：;明文空间为，密文空间为;?3.解密过程;（1）选取素数p＝19，生成元g=2；;?;三、ElGamal密码体制的安全性;?;数论算法举例：

1、Miller-Rabin素性检测算法

2、Pollard整数分解算法

3、二次筛和数域筛分解算法

4、Baby-step-giant-step离散对数算法

5、Pohlig–Hellman离散对数算法

6、椭圆曲线（ECC）的方法

7、类群（classgroup）方法

等等（算法数论）;一、有限域上的椭圆曲线(ellipticcurve);实数域上的椭圆曲线才能画出连续的曲线;有限域（p为大于3的素数）上的椭圆曲线：;设PQ直线的方程为：;?;可以证明：椭圆曲线E关于加法构成一个交换群。;?;例题-6：;;所以E的所有点为：

(2，4),(2，7),(3，5),(3，6),(5,2),

(5,9),(7,2),(7,9),(8,3),(8,8),

(10,2),(10,9),

再加上无穷远点O，共13个点。;设，计算：;同样可计算：;椭圆曲线上的离散对数问题：

设p3是一个素数，E是有限域上的椭圆曲线，

设G是E的一个循环子群，;?;?;?;?;三、椭圆曲线上公钥密码的特点;5.5数字签名概述;假定A发送一个对消息M的数字签名给B，

A的数字签名应该满足下述三个条件：;利用对称钥加密可以???现签名，但需要一个可信第三方

（TTP－TrustedThirdParty）;附加功能的签名：

盲签名、群签名、代理签名、指定验证者签名等等。;签名的实现过程：;?;实用中，如果A要求向B传送加密的消息-签名对，

则A必须发送;（1）若你截获由A发给B的密文C=86，试求明文M；

（2）若A对消息M进行签名S，并发给B，试求签名S；

（3）若B收到了加密的签名，求原来的明文和

签名是什么？如何判断它的正确性？;（2）;（3）;?;?;i;i;?;（2）如果消息的签名分别是，则任何知道

的人都可以伪造对于消息的签名;1.密钥生成;?;?;例题-9：ElGamal签名;（3）验证过程;三、Schnorr签名方案（使用Hash）;?;?;;5.6、SM2;?;?;我国商用密码标准SM9（2016/3）：

基于身份的密码（标识密码）；

利用椭圆曲线上双线性对实现，也分数字签名、

密钥协商和公钥加密三个算法。;5.7*后量子密码PQC

postquantumcryptography;对当前密码（经典密码）的影响：

分组密码和hash函数：不仅是增加密钥长度的问题；

公钥密码：设计后量子加密和签名算法。;2016年NIST-PQC算法筛选：;公钥加密和密钥建立算法;公钥加密和密钥建立算法;后量子算法举例：

;LWE（Learningwit