安全与保密第八讲.pptVIP

8 密码技术 8.1 密钥长度 8.2 密钥管理 8.3 算法类型与模式 8.1 密钥长度 对称密码体制的密钥长度 穷举攻击：如果密钥长n位，则有2n种可能的密钥 穷举攻击的时间和金钱代价 P206表8.1 悲观地看，至少应使用112位密钥。 除了专门制造攻击硬件之外的其他方法： 使用网络的空闲时间 使用攻击病毒 病毒在被感染计算机空闲时，进行破解工作 公开密钥密码体制的密钥长度 对依赖于因数分解安全性的公开密码体制来说，密钥长度的确定取决于因数分解的时间。 使用两种不同因数分解方法需要的时间对比 P208 表8.2 公开密钥密码体制密钥长度的建议 P208 表8.3 两种密码体制密钥长度的对比 在同类攻击下，对称密码和公钥密码对应的密钥长度的关系 P209 表8.4 关于密钥长度的讨论 所保存信息的价值 不同价值的信息所使用的密钥长度不同。 信息保密的时间 保密时间的长短也决定了所需的密钥长度 信息的攻击者及其使用的设备和资源情况 保密信息的可能攻击者的实力。 学术成果--〉从事该专业的研究人员 公司的商业机密-〉竞争对手 军事机密--〉敌人 不同信息系统的保密时间和应选的密钥长度 P209 表8.5 8.2 密钥管理 密钥生成 密钥空间 密钥选择方式 密钥的随机性 通行短语 X9.18密钥生成协议 密钥传送 两类密钥： 密钥加密密钥：KEK 数据加密密钥：DK 把密钥分成几个不同的部分，通过不同的信道（方式）发送密钥的各部分 密钥验证 验证密钥本身的特征：数字签名，KDC，电话验证 其他： 密钥传输期间错误的检测 解密期间密钥错误的检测 密钥使用 会期密钥： 控制向量CV 密钥更新： 从旧密钥生成一个新密钥 使用一个单向哈希函数 密钥存储：记忆、磁卡、ROM密钥、智能卡 密钥备份 使用秘密共享协议 使用智能卡暂存密钥 密钥的生存期 会期密钥：每天更换一次 KEK：数月或一年 存储文件的加密密钥：不常更换 至少每两年更换一次 密钥的废止 纸上：烧掉或撕碎 EPROM或PROM：芯片粉碎到最碎的程度扔掉 硬盘：将存储密钥的实际位多次重写，或将磁盘粉碎 公开密钥密码系统的密钥管理 公钥证书 分布式密钥管理 8.3 算法类型与模式 密码模式：将基本密码、某些反馈和某些简单的操作组合起来的密码。 电子代码簿模式（ECB） 密文分组链接模式（CBC） 密文反馈模式（CFB） 输出反馈模式（OFB） 计数器模式 密码模式的选择 交叉存取技术 8.3.1电子代码簿模式（ECB） 每组明文独立地进行加密。 设明文M=(M1, M2,… Mn,)，相应密文为C= (C1, C2,… Cn,)，其中： Ci =E（ Mi, K），i=1,2,…,n 问题： 如果一个攻击者有几组信息的明文和密文，就能编出相应的代码簿而无需知道密钥； 用同一密码加密太多的信息会使安全性降低； 大多数信息不可能被完整地分成几组，最后一部分通常不够一组，可用填充的方式来解决。 8.3.2密文分组链接模式（CBC） 对分组密码加入反馈机制：前面一组的加密结果反馈到当前组的加密之中。 明密文链接方式 C1= Ek (M1?Z) Ci = Ek(Mi? Mi-1 ? Ci-1)，i=2,…,n M1 = Z ? Dk(C1) Mi = Ci-1 ? Mi-1 ? Dk(Ci) ，i=2,…,n 加密、解密错误传播无界 Z为初始化变量 要求数据的长度是密码分组长度的整数倍，否则最后一个短块要特殊处理。 密文链接方式 C1= Ek (M1?Z) Ci = Ek(Mi?Ci-1)，i=2,…,n M1 = Z ? Dk(C1) Mi = Ci-1 ? Dk(Ci) ，i=2,…,n 加密错误传播无界、解密错误传播有界 Z为初始化变量 要求数据的长度是密码分组长度的整数倍，否则最后一个短块要特殊处理。 8.3.3扩展密文分组链接模式（XCBC） 主要解决最后一块可能出现短块的问题。因而可以处理任意长度的数据。 使用三个密钥K1,K2,K3。 前面n-1块采用密钥K1,加解密方式和前面CBC中的密文链接方式一样。 Cn= EK1(Mn?Cn-1 ?K2),当Mn为整块时 Cn= EK1(PAD(Mn ) ?Cn-1 ?K3),当Mn不为整块时 PAD(Mn )= Mn 10..0 8.3.4密文反馈模式（CFB） Ci = Mi? Ek(Ci-1)，i=1,2,…,n; C0 =初始向量I Mi = Ci? Ek(Ci-1) 初始向量I：惟一，不必保密； 错误传播 8.3.5输出反馈模式（OFB） Ci = Mi? Si,i=1,2,…,n Mi = Ci? Si Si = Ek(Si-1)， Si 相当于序列产生器 初始向量S0：惟一，