网络安全02-密码学v3精编.ppt

基于密码算法的随机数产生器 为了产生密码中可用的随机数，可使用加密算法 1. 循环加密 类似于CTR模式 通过循环加密由主密钥产生会话密钥的示意图，其中周期为N的计数器用来为加密算法产生输入 例如要想产生56比特的DES密钥，可使用周期为256的计数器，每产生一个密钥后，计数器加1 因此本方案产生的伪随机数以整周期循环，输出数列X0，X1，…，XN-1中的每个值都是由计数器中的不同值得到，因此X0≠X1≠…≠XN-1 又因为主密钥是受到保护的，所以知道前面的密钥值想得到后面的密钥在计算上是不可行的 为进一步增加算法的强度，可用整周期的伪随机数产生器代替计数器作为方案中加密算法的输入 * * 2. DES的输出反馈(OFB)模式 DES的OFB模式能用来产生密钥并能用于流加密 加密算法的每一步输出都为64比特，其中最左边的j个比特被反馈回加密算法 因此加密算法的一个个64比特输出就构成了一个具有很好统计特性的伪随机数序列 同样，如此产生的会话密钥可通过对主密钥的保护而得以保护 3.ANSI X9.17的伪随机数产生器 ANSI X9.17的伪随机数产生器是密码强度最高的伪随机数产生器之一，已在包括PGP等许多应用过程中被采纳。 ANSI X9.17的伪随机数产生器如框图，产生器有3个组成部分： */80 ① 输入 输入为两个64比特的伪随机数，其中DTi表示当前的日期和时间，每产生一个数Ri后，DTi都更新一次；Vi是产生第i个随机数时的种子，其初值可任意设定，以后每次自动更新。 ②密钥 产生器用了3次三重DES加密，3次加密使用相同的两个56比特的密钥K1和K2，这两个密钥必须保密且不能用作它用。 ③输出 输出为一个64比特的伪随机数Ri和一个64比特的新种子Vi＋1，其中 Ri＝EDEK1,K2[Vi?EDEK1,K2[DTi]] ， Vi＋1＝EDEK1,K2[Ri?EDEK1,K2[DTi]]， EDE表示两个密钥的三重DES。 * 本方案具有非常高的密码强度， 这是因为采用了112比特长的密钥和9个DES加密 同时还由于算法由两个伪随机数输入驱动， 一个是当前的日期和时间 另一个是算法上次产生的新种子 前向保密和后向保密性 即使某次产生的随机数Ri泄漏了，但由于Ri又经一次EDE加密才产生新种子Vi＋1，所以别人即使得到Ri也得不到Vi＋1，从而得不到新随机数Ri＋1。 随机比特产生器 在某些情况下，需要的是随机比特序列，而不是随机数序列，如流密码的密钥流。下面介绍几个常用的随机比特产生器 1. BBS(blum-blum-shub)产生器 BBS(blum-blum-shub)产生器是已经过证明的密码强度最强的伪随机数产生器，它的整个过程如下： 首先，选择两个大素数p，q，满足p≡q≡3 mod 4，令n＝p×q。再选一随机数s，使得s与n互素。然后按以下算法产生比特序列{Bi}： X0＝s2 mod n for i=1 to ? do { Xi=X2i－1 mod n Bi＝Xi mod 2 } 即在每次循环中取Xi的最低有效位。 * */80 例如：n＝192649＝383×503，种子s＝101355，结果由表5-1给出。 BBS的安全性基于大整数分解的困难性，它是密码上安全的伪随机数比特产生器。 如果伪随机比特产生器能通过下一比特检验，则称之为密码上安全的伪随机比特产生器 具体定义为：以伪随机比特产生器的输出序列的前k个比特作为输入，如果不存在多项式时间算法，能以大于1/2的概率预测第k+1个比特。换句话说，已知一个序列的前k个比特，不存在实际可行的算法能以大于1/2的概率预测下一比特是0还是1。 i Xi Bi i Xi Bi 0 20749 1 143135 1 2 177671 1 3 97048 0 4 89992 0 5 174051 1 6 80649 1 7 45663 1 8 69442 0 9 186894 0 10 177046 0 11 137992 0 12 123175 1 1