第11讲--公钥密码课题.ppt

一批松散组成的因子分解迷，大约有六百多人，分布在二十几个国家。他们最后于1994年4月为RSA-129找到了64位数和65位数两个素数因子。 11438 16257 57888 86766 92357 79976 14661 20102 18296 72124 23625 62561 84293 57069 35245 73389 78305 97123 56395 87050 58989 07514 75992 90026 87954 3541 = 34905 29510 84765 09491 47849 61990 38981 33417 76463 84933 87843 99082 0577 * 32769 13299 32667 09549 96198 81908 34461 41317 76429 67992 94253 97982 88533 “The magic words are squeamish ossifrage” 来自两个方面的威胁 人类计算能力的不断提高 分解算法的进一步改进。分解算法过去都采用二次筛法，如对RSA-129的分解。而对RSA-130的分解则采用了一个新算法，称为推广的数域筛法，该算法在分解RSA130时所做的计算仅比分解RSA-129多10%。将来也可能还有更好的分解算法，因此在使用RSA算法时对其密钥的选取要特别注意其大小。估计在未来一段比较长的时期，密钥长度介于1024比特至2048比特之间的RSA是安全的。 几个建议 为了防止可以很容易地分解n，RSA算法的发明者建议p和q还应满足下列限制条件： P和q的长度应仅相差几位。对于1024位的密钥而言，p和q都应在1075到10100之间。 (p-1)和(q-1)都应有一个大的素因子。 Gcd(p-1,q-1)应该较小。 其它公钥密码算法 ElGamal密码 ElGamal密码是由ElGamal于1985年提出。该密码系统可应用于加/解密、数字签名等，其安全性是建立于离散对数(discrete logarithm)问题之上的，即给定g，p与y=gx mod p，求x在计算上不可行。 椭圆曲线密码体制(ECC) 椭圆曲线在密码学中的使用是在1985年由Neal Koblitz和Victor Miller分别独立提出的。其依据就是定义在椭圆曲线点群上的离散对数问题的难解性。椭圆曲线在代数学和几何学上已经广泛研究了150多年之久，有丰富而深厚的理论积累。 * * 第5章  公钥密码 主要内容 公钥密码体制的产生 公钥密码体制的基本原理 RSA公钥密码体制 其它公钥密码算法 安全服务 保密性 验证（鉴别） 完整性 不可抵赖性（不可否认性） 访问控制 可用性 传统密码体制在应用中的缺陷 密钥管理的麻烦 在拥有大量用户的通信网络，若想让两两用户都能进行保密通信，即要求 (1)任意一对用户共享一个会话密钥，需要通过保密信道进行密钥交换。 (2)不同的用户对共享的会话密钥不相同 　 对于分配中心，N个用户则需要分配N2/2个会话密钥，大量的数据存储和分配是一件很麻烦的事，在计算机网络环境下显的尤为突出。 传统密码体制在应用中的缺陷 密钥难以传输 不能提供法律证据 缺乏自动检测密钥泄密的能力 公钥密码体制(Public key system) 公钥密码学与其他密码学完全不同： 公钥算法基于数学函数而不是基于替换和置换 使用两个独立的密钥 公钥密码学的提出是为了解决两个问题： 密钥的分配 数字签名 1976年Diffie和Hellman首次公开提出了公钥密码学的概念，被认为是一个惊人的成就。 公钥密码体制的原理 公钥体制(Public key system) (Diffie和Hellman,1976) 每个用户都有一对选定的密钥(公钥k1；私钥k2)，公开的密钥k1可以像电话号码一样进行注册公布。 主要特点： 加密和解密能力分开 多个用户加密的消息只能由一个用户解读，（用于公共网络中实现保密通信） 只能由一个用户加密消息而使多个用户可以解读（可用于认证系统中对消息进行数字签字）。 无需事先分配密钥。 密钥持有量大大减少 提供了对称密码技术无法或很难提供的服务：如与哈希函数联合运用可生成数字签名，可证明的安全伪随机数发生器的构造，零知识证明等 公钥密码体制有4个组成部分 明文：算法的输入，它们是可读信息或数据，用M表示； 密文：算法的输出。依赖于明文和密钥，对给定的消息，不同的密钥产生密文不同。用E表示； 公钥和私钥：算法的输入。这对密钥中一个可以公开，一个保密。加密算法执行的变换依赖于密钥； 加密、解密算法 公钥密码体制下的秘密通信 保证机密性 M E Kbe E(