第4章 非对称密码体制.pptVIP

第4章 非对称密码体制 4.1 概述 4.2 国际标准RSA算法(基于大数分解) 4.4 ElGamal算法(基于离散对数) 4.5 椭圆曲线密码(ECC)算法 4.8 其它公钥密码算法 4.1 公钥密码算法概述 公钥密码算法(非对称算法)用公开密钥(简称公钥)加密，用私人密钥(简称私钥)解密。当消息用私人密钥加密(签名)而用公开密钥解密(验证)时，称为数字签名。 在公钥密码与数字签名算法领域，DSA(数字签名算法)是NIST专门制定的数字签名标准(DSS)算法，只能用于签名验证，不能用于保密或密钥分配，安全强度较低，速度很慢。RSA算法即可用于保密，又可用于签名验证，安全性比DSA算法高，速度也比DSA算法快多了，是第一个较完善的、最容易理解和实现的公钥算法，被很多国家和组织作为标准，包括国际数字签名标准ISO 9796。不过，RSA算法速度也较慢。我国密码学家陶仁骥等在20世纪80年代就提出了一种基于有限自动机的公钥算法(FAPKC)，性能不错，既可用于签名验证，又可用于保密或密钥交换。虽然有些科研人员指出该算法存在缺陷，但只要其思想可取，就是有价值的。密码算法本来就是随着时间和实践逐步完善的。陶仁骥等已提出了新的改进算法。FAPKC算法可能是我国20世纪所公布的唯一有完全自主知识产权的密码算法。 4.1 公钥密码算法概述（续） 现在，有一种称为ECC(椭圆曲线密码)的公钥算法，性能优越，安全性比RSA算法高多了，速度也比RSA算法快多了，带宽要求低，曲线资源丰富，易于软硬件和智能卡实现，已成为新的公钥密码和数字签名国际标准，并被我国采纳。加拿大和日本向NESSIE提交的几个公钥密码和数字签名算法就是基于ECC的。我国科研人员陈建华教授在ECC领域做出了较大贡献。 非对称算法(公钥密码算法)的基本设计思想是计算复杂性和陷门单向函数。 4.1 公钥密码算法概述——与对称算法结合 在实际应用中，公钥密码算法不会取代对称算法。公钥密码算法一般不用来加密消息，而用作身份认证和加密会话密钥。因为： 1. 对称算法一般比公钥算法快一千倍。 2. 公钥密码系统对选择明文攻击是脆弱的。如果C=E(P)，当P是N个可能明文集中的一个明文，那么密码分析者只需要加密所有N个可能的明文，并能与C比较结果(加密密钥是公开的)。用这种方法，他不可能恢复解密密钥，但他能够确定P。 在大多数实际应用中，公钥密码用作身份认证和加密会话密钥。这些会话密钥用在对称算法中，对通信消息进行保密。有时称这种系统为混合密码系统。 把公钥密码用于密钥分配解决了很重要的密钥管理问题。 4.1 公钥密码算法概述——与Hash函数结合 在实际的实现过程中，采用公钥密码算法对长文件签名效率太低。为了节约时间，数字签名协议经常和单向Hash函数一起使用。并不对整个文件签名，只对文件的Hash值签名。 由于公钥密码算法用于保密和用于签名的原理是一样的，此处只介绍数字签名算法。 4.2 RSA算法(基于大数分解) RSA是第一个既能用于数据加密也能用于数字签名的算法。算法的名字以发明者的名字命名：Ron Rivest, Adi Shamir 和Leonard Adleman。RSA的安全性一直未能得到理论上的证明。它经历了各种攻击，至今未被完全攻破。 RSA算法过程： 首先, 选取三个数, p, q, e, 其中 p, q是两个相异的大质数, e是与(p-1)(q-1)互质的数，计算 n = p*q，e, n便是公钥；接著, 用欧几里德扩展法计算d, 使得de≡1 mod (p-1)(q-1)，p, q, d便是私钥。假设被签消息为M，则 签名过程为S == M d mod n 验证过程为M == S e mod n 4.2 RSA算法 ——性能 由于进行的都是大数计算，使得RSA最快的情况也比DES慢上100倍，无论是软件还是硬件实现。速度一直是RSA的缺陷。一般来说只用于少量数据加密和签名。 总之，RSA是被研究最广泛的公钥算法，从提出到现在已经二十年，经历了各种攻击的考验，普遍认为是当时最优秀的公钥方案之一。RSA的安全性依赖于大数的因子分解，但并没有从理论上证明破译RSA的难度与大数分解难度等价，即RSA的重大缺陷是无法从理论上把握它的保密性能如何。RSA的缺点主要有：A)产生密钥很麻烦，受到素数产生技术的限制，因而难以做到一次一密。B)分组长度太大，为保证安全性，n至少也要600 b以上，使运算代价很高，尤其是速度较慢，较对称密码算法慢几个数量级；且随着大数分解技术的发展，这个长度还在增加，不利于数据格式的标准化。目前，SET(安全电子商务)协议中要求CA采用2048 b长的密钥，其他实体使用1024 b的密钥。IEEE已批准RSA成为802.11标准的补充