网络加密认证算法.docVIP

数据加密 一．Elgamal加密算法（了解） 公钥与密钥的产生 选择一个素数P（很大),两个随机数g和x,其中需要g和x均小于P. 计算：y=gx mod P 则y为公钥（加密密钥），x为私钥（解密密钥）。 公开： P, g，y 加密： 设明文M，（M看成一个整数且MP),发送方选择一个随机数k（k与P-1互素）， 计算： a=gk mod P b=yk * M mod P 则（a , b)为密文（注：密文长度正好是明文的两倍）。 解密： M=b/ax mod P(即 ax*M=b mod P ax*M与b除P的余数相同） 例： Alice Bob Pka (Alice的公钥） Pkb Ska (Alice的私钥） Skb A用Pkb加密——B用Skb解密。 A用Ska签名——B用Pka验证。 （加密要用对方的公钥，签名要用自己的私钥） 数字签名 基本原理： Alice  三．RSA数字签名 设：签名者分别有一个公钥e和私钥d，n = p*q（其中p和q为两个很大的素数），H为哈希函数，m为代签的报文。 产生签名 签名者计算 M = H（m），S = Md mod n，则（M，S）为m的签名。 将（m，S , M)发送给验证者（接收方) 验证签名 M = Se mod n M = H(m) 若M = M，则签名有效，否则无效。 分析：①Trudy若伪造签名：A：则必须知道d B：将m-m,则H(m) = H(m)，但H发生冲突的概率很小。 ② 哈希函数H的引入，减少了运算量。（但同时安全性相应降低）。 四．Elgamal 数字签名 设签名者的私钥为x，相应的公钥为y = gx mod p 产生签名 签名者选择一随机数k（kp且k与p-1互素） 计算： r = gk mod p 解同余方程：gm≡ yr rs mod p (1) gm ≡gxr gks mod p (2) m≡ xr + ks mod (p-1) (3) 得到 S 将（m , r , s )发送给验证者。 验证签名 验证者验证方程：gm ≡ yr rs mod p 若上式成立，则签名有效，否则无效。 3）安全性分析 Trudy 试图恢复签名者的私钥x 方式1：Trudy截取L个签名报文（mi，ri，si）i = 1.2.......L。由此根据(3)式，将得到由L个方程组成的方程组： M1 ≡ xr1 + k1s1 mod (p-1) M2 ≡ xr2 + k2s2 mod (p-1) 。。。。。。。。。。。。。。。。。。。。。。。。。。 ML ≡ xrL + kLsL mod (p-1) 上式方程组中只有（x , k1 , k2 , ....kL)为未知数，由于每次签名都选择不同的ki，所以上述方程组中有L个方程组成，却包含L+1个未知数，无论如何都解不出x的值，故此攻击方式无效。 （故Elgamal尽量选择不同的随机数k，避免短时间内使用重复的k值。 方式二：Trudy试图根据y=gx mod P求解x。会遇到离散对数求解的困难。 Trudy试图假冒签名 方式三：给定m，Trudy试图找到r和s，使其满足签名验证方程 gm ≡ yr rs mod p 如果随即选择k，计算出r = gk mod p，再由(1)式计算S,但这等价于离散对数求解问题。 gm≡yr rs mod p A≡B rs mod p AB-1≡ rs mod p 如果先固定S，再计算下式求r A≡ rsyr mod p 但 其难度不低于离散对数求解，若同时求r和s, 但依照目前的研究成果，尚无有效方法。 五 身份认证 含义：⑴ 仅证实通信连接双方的真实身份，而不与其后要传输的数据联系，其安全性有限；⑵ 不仅证实通信双方的真实身份，并为后继传输数据建立了安全通道，具有更高安全性。 简单的身份认证协议： 设Alice和Bob共享一个密钥KAB 1. 2. 3. 反射攻击：利用截取对方的有用信息来攻击对方 基于公钥的认证：PKI通过颁发离线公钥证书（即数字证书