数论及其应用序列密码与安全性证明.pptx

密码与安全证明陈克非

CIS/SJTU22025/2/25密码的特色、理论根基、安全性密码应用的几个例子密码技术的特点密码技术的不可代替性密码学的理论根基Shannon理论什么是计算，可计算性计算复杂度，NP完全问题从计算困难问题?构造密码算法密码的安全性可证明安全

CIS/SJTU32025/2/25举例：保险柜例：保护珍贵的物品或机要的信息通常可以借助一个保险库，例如银行的金库。保险库中的每一件东西是以物理的方式进行保护的，只有授权者用钥匙或输入相应的组合密码才能打开库房的门。安全要求较高的地方，保险库的需要多把门锁并按“分权原则”进行管理，即由多人分别掌管不同的钥匙，当至少两个以上的授权人同时在场，才能打开保险库。

CIS/SJTU42025/2/25举例：纸币例：纸币的安全问题，则完全属于不同的类型。此时，钞票安全的关键是真实性的鉴别，而不在于是否必威体育官网网址，因为钞票决不允许被任何形式的伪造和更改。防伪：精制的版刻画面、水印、特制的金属丝线、隐藏在画面内的微写以及各种其它标记…验证：通过观察和触摸。安全性好的货币，其防伪检验措施应简洁而有效，用户能较容易掌握。

CIS/SJTU52025/2/25安全机制的特点传统的安全机制有两个特点：安全性基于不可更改的物理标记-不论是保险库的钥匙还是纸币上的水印，它们基本上是保持不变的。正是标记的不可更改，才使检验系统真实性成为可能。安全性有时依赖于众所周知的特征-为了保险库的安全，对钥匙和组合密码要求必威体育官网网址；但纸币上标识其真伪的各种记号应做到尽人皆知，这样才便于人们检验钞票的真伪。事实上，有些纸币除了传统的物理防伪技术外，也加入了一些编码技术。如德国马克对“编号”加了置换码，瑞士法郎微写了一个伪随机序列，中国新版火车票用了二维条码，…

CIS/SJTU62025/2/25安全机制的特点问题：系统的安全取决于物理标记的不可复制（难于伪造）及人们对系统的熟悉程度（便有验证）和经验。随着新技术的发展，专家所掌握的绝技很快成为大众技术，“不可复制”的东西会一再地被复制出来。如果一个系统的安全基本上依赖于经验这类人为的因素，这样的安全是靠不住的，也是很危险的。而密码学所追求的安全，是一种客观的、可以被证明的安全。也就是：安全性不能仅仅建立在静止不变的物理特征上；安全判别不能只凭经验，还要能逻辑地证明“无限制”的安全强度。

CIS/SJTU72025/2/25密码技术的特点密码学的目标正是要设计这样的安全体系，它将提供可证明的各种强度的安全等级。数学相对于其它科学的优势在于它的逻辑体系，它的每一个推断和结论都来自严格的证明。例如，密码学除了提供在原理上可证明(数学上可分析)的安全性，还有“安全强度可加”等优点。假设某人能成功地伪造两种货币，那即使这两家货币发行银行联手，其技术措施对提高防伪也作用有限。利用密码技术却不是这样，如果我们设计的协议能使伪造者成功的机会2-64,那我们很容易再设计一个协议，使伪造者成功的机会减半而只有2-65例如，只要密钥长度增加一位重要的是，确保没有并行攻击算法这意味着，在应用密码体制时，设计的安全强度在原理上可以提高到任意的程度。

CIS/SJTU82025/2/25例.ATM-访问控制考查自动取款机ATM。使用ATM之前，首先要作的是检验用户的身份，即用户向ATM输入个人密码PIN，ATM经过与系统的联机查询来判断用户是否合法。这种安全体系实际是通过静态的PIN来身份认证三要素：特征、信物、知识鉴别身份，它的弱点是一但攻击者从线路上截获到PIN，就可以假冒用户的身份进行欺骗为了避免静态密码潜在的不安全因素，考虑一种改良的身份认证协议，它的基本特点是认证过程不传递任何秘密，而是代以交换具有随机特征的数据来实现问答，使攻击者无从下手。这就是所谓的问答式协议CR（ChallengeandResponse

CIS/SJTU92025/2/25例.ATM–认证协议优点：通过简单的协议和密码函数，可将系统的安全性提高一大步：即仅有卡而不知PIN仍无法通过检查。缺点：系统同时也掌握用户的密钥k。鉴于这一点，可采用公钥算法或无任何信息泄漏的零知识证明（Zero-Knowledge）算法。这里涉及到“密码协议”，其安全更难于密码算法

CIS/SJTU102025/2/25例．单向函数单向函数的基本特点是，计算f(x)容易；反过来给定y求满足y=f(x)的x很难(计算上是无法实现的)。从单向函数不但能构造公钥算法，还可直接用于认证、产生数字签名所需的摘要信息等。在现实生活中，具有单向特性的例子很多，譬如一个按姓氏排序的电话号码簿，已知姓名查电话号码容易，而由电话号码找出对应的人名确很难。那么在数学上是否存在着可用于密码学目的的单向函数？