算法13_密码算法分析.ppt

问题： 如何从公开密钥e求得e关于模Φ(n)的逆元——私人密钥d？ 用扩展Euclid算法。 如：求17关于模24的逆元 24* 1 +17* 0 =24 24* 0 +17* 1 =17 取余 24* 1 +17*(-1)= 7 24*(-2)+17* 3 = 3 24* 5 +17*(-7)= 1 mod 24 因此-7是17关于模24的逆元，将其正化操作得 -7+ Φ(n)=-7+24=17 是17关于模24的逆元。 例13-6 用RSA机制进行保密通信 （1）王先生产生密钥、分发公开密钥； （2）李先生使用王先生公布的公开密钥加密消息，并发送给王先生； （3）王先生接收李先生发送的密文，使用自己的私人密钥进行解密，恢复明文。 具体过程如下： （1）王先生选择p=101，q=113，计算n=pq=11413，Φ(n)=(p-1)(q-1)=100*112=11200； 选择加密密钥e，使得gcd(e,11200)=1。因为11200=26*52*7，选择e=3533。 计算解密密钥d=e-1 (mod 11200) =6597。 王先生在网络上公布公开密钥(e, n)=(3533,11413) 请给出扩展Euclid算法求d值的过程！ （2）李先生使用王先生的公开密钥e和n对消息M=9726加密，得到C(mod 11413)=5761，并在公开信道发送密文5761。 每次乘后取模，因此中间计算结果并不大。 具体过程如下： （1）王先生选择p=101，q=113，计算n=pq=11413，Φ(n)=(p-1)(q-1)=100*112=11200； 选择加密密钥e，使得gcd(e,11200)=1。因为11200=26*52*7，选择e=3533。 计算解密密钥d=e-1 (mod 11200) =6597。 王先生在网络上公布公开密钥(e, n)=(3533,11413) （2）李先生使用王先生的公开密钥e和n对消息M=9726加密，得到C(mod 11413)=5761，并在公开信道发送密文5761。 具体过程如下： （1）王先生选择p=101，q=113，计算n=pq=11413，Φ(n)=(p-1)(q-1)=100*112=11200； 选择加密密钥e，使得gcd(e,11200)=1。因为11200=26*52*7，选择e=3533。 计算解密密钥d=e-1 (mod 11200) =6597。 王先生在网络上公布公开密钥(e, n)=(3533,11413) （3）王先生使用自己的私人密钥d=6597，对李先生发来的密文C进行解密，恢复明文M(mod 11413)=9726。 RSA的安全性 RSA的安全性依赖于大整数分解的难度： 公开n=pq和e，但对p和q进行保密。 要从公开密钥n和e得到私人密钥d，只能通过分解n，先求得Φ(n)=(p-1)(q-1)的值，然后才能得到e关于Φ(n)的逆元d=e-1 mod Φ(n)。 但通过分解大整数n得到p和q是一个困难问题。 针对RSA可能存在的攻击方式 大整数分解:129位十进制数已经通过分布式计算解开了。所以n应该不止129位。 时间攻击: 如果对硬件有充分的了解，就有可能根据加密的运行时间反推出私钥的内容。 针对密钥分配的攻击:对RSA来说，分配公钥的过程非常重要，必须能够抵挡中间人（从中取代的）攻击。 假设娥妹交给巴哥一个公钥，并使其相信这是阿黄的公钥，并且她可以截下阿黄和巴哥间的所有信息传递。那么她可以将自己的公钥给巴哥，巴哥以为这是阿黄的公钥。娥妹拦截所有巴哥传递给阿黄的消息，将该消息用自己的密钥解密，读取消息内容后，再将该消息用阿黄的公钥加密后传给阿黄。理论上说，阿黄和巴哥都不会发现娥妹在偷听他们的消息。 今天人们一般用数字认证来防止这样的攻击。 * * ch13.* 算法设计与分析 张怡婷 Email:zyt@njupt.edu.cn 第13章 密码算法 学习要点： 了解信息安全的基本知识和现代密码体制 掌握同余、按模计算、欧拉定理、求逆等数论基础知识 了解背包密码算法 掌握RSA算法的加密/解密原理和过程 章节内容: 13.1 信息安全和密码学 13.2 数论初步 13.4 RSA算法 13.1 信息安全和密码学 信息安全的目标： 保护信息的机密性、完整性，并具有抗否认性和可用性。 信息安全的目标： 保护信息的机密性、完整性，并具有抗否认性和可用性。 机密性（confidentiality）是指非授权用户不能知晓信息内容。 一方面，可以进行访问控制（access control），阻止非授权用户获得机