通信网络安全与加密.ppt

Rabin与McEliece 2011-03-31 公钥密码Rabin（基于二次剩余） Rabin密码系统，是由M. Rabin设计的，是RSA密码系统的一种改进。 RSA是基于指数同余的；Rabin是基于二次同余。 Rabin密码系统可以认为是e和d为定值的RSA密码系统：e = 2 ，d = 1/2。 即，加密是 c = m^2 mod n，解密是 m = c^(1/2) mod n。 Rabin的密钥生成 选择两个大的素数p和q，要求p和q都是4的倍数加3。 计算n=pq。 Bob的公钥是n，对外公布。 Bob的私钥是（p，q），自己私藏。 Rabin的加密过程 Alice欲发送明文m给Bob，其中0mn 。 Alice用Bob的公钥n，计算：c=m2(modn)。 c为密文。 Rabin的解密过程 Bob 收到密文c后，用自己的私钥（p，q）计算： 计算：m1， m2， m3， m4， 满足：0m1n；0m3n；0m2n； 0m4n； m1(modp)=mp； m1(modq)=mq； m2(modp)=mp； m2(modq)=q-mq；m3(modp)=p-mp； m3(modq)=mq；m4(modp)=p-mp； m4(modq)=q-mq 。（4个数的计算使用孙子定理（中国剩余定理）。） 于是，真正的明文m一定就是4个数 m1， m2， m3， m4 之中的一个。 观察4个数，排除那些没有意义的“乱码课文”。哪个是有意义的课文，哪个就是真正的明文m。 解密完毕。 Rabin的解密正确性 因为n=pq是两个不同的素数的乘积，所以，关于未知数x的二次方程 x2= c (modn) 恰好有4个不同的根x，分别有以下形状： 一个根的(modp)、(modq)值是mp、mq； 一个根的(modp)、(modq)值是mp、q-mq； 一个根的(modp)、(modq)值是p-mp、mq； 一个根的(modp)、(modq)值是p-mp、q-mq 。 4个根中有一个是明文m。 如果把(modp)、(modq)值为mp、mq的根叫做m’，则(modp)、(modq)值为p-mp、q-mq的根就是n-m’。 另外两个根的和也等于n。即如果把一个叫做m’’，则另一个就是n-m’’。 那么， 4个不同的根怎样计算呢？如果仅仅知道n，而不知道分解式n=pq，则无法计算mp和mq，因而无法计算这4个不同的根。 如果知道了n的分解式n=pq，则能够计算mp和mq。再由mp和mq计算4个根，使用的是著名的孙子定理（中国剩余定理）。 最后，要判断哪一个根是真正的明文。一般，真正的明文都具有语言含义，而其它的根则是没有语言含义的“乱码课文”。当然也有例外，比如当明文是一副图象的编码时，明文也是没有语言含义的“乱码课文”。 Rabin的安全性原理 攻击者Eve截获了密文c。 Eve还知道Bob的公钥n，也知道明文m满足方程 c=m2(modn)。 但是他不知道n的分解式n=pq，无法计算mp和mq，进一步无法计算4个根。 求n的分解式n=pq是大数分解问题。 RSA与Rabin比较 McEliece公钥密码（基于纠错码） 1978年McEliece提出利用纠错码构造公钥密码体制。 由于纠错码依赖多余度而造成数据扩展，而密码中则不希望这样做，又由于其密钥量太大，致使这类体制未能得到广泛研究。 当有扰信道的安全受到威胁时，保密和纠错的组合可能会得到重视。 McEliece公钥密码 设G 是二元(n, k, d) Goppa码的生成矩阵；其中n=2m， k=n－tm=2m－tm， d=2t+1 G是k×n阶矩阵 随机选取GF(2)上的k阶可逆方阵S和n阶置换矩阵P 令G’ = SGP 则私钥为：S、G、P；公钥为：G’。 McEliece公钥密码 加密：c = mG’+e，其中e是重量为t的向量。 McEliece的实现 建议码长为1024，S为500*500方阵，P是1024*1024的置换方阵。 尽管McEliece是最早的公钥算法之一，该方案比RSA快三个数量级，至今未有攻击成功的结果。 然而，因其公钥过于庞大，为10^19比特长，且密文扩展过大，而不被接受。 它的贡献：开拓了基于纠错码的密码。 离散对数问题与 ElGamal算法 离散对数问题 离散对数问题是指：给定一个素数p，z*p上的一个生成元g，及一个元素y，寻找整数x（0=x=p-2），使得gx = ymod p。 离散对数问题—续 给定一个素数p， z*p上的一个生成元g， 及一个元素y， 寻找整数x（0=x=p-2）， 使得gx =