《网络信息安全》.ppt

* 线性密码分析 如果我们获得一个有效的线性表达式，则可以通过下列的基于最大似然方法的算法推测出一个密钥比特 ： 设N表示明文数，T是使方程左边为0的明文数。如果TN/2，则令 如果T?N/2，则令 从而可得关于密钥比特的一个线性方程。对不同的明文密文对重复以上过程，可得关于密钥的一组线性方程，从而确定出密钥比特。 * 线性密码分析 研究表明，当|p-1/2|充分小时，攻击成功的概率是 这一概率只依赖于sqrt(N)|p-1/2|，并随着N或|p-1/2|的增加而增加 公式（*）成立的概率可以用堆积引理来计算： 设Xi(1?i?n)是相互独立的随机变量，且P(Xi=0)=pi， P(Xi=1)=1-pi，则 * RSA密码分析 RSA体制的安全性完全依赖于大整数分解问题只是一个推测，目前，还未能从数学上证明c和e计算出m一定需要分解n。但是，如果存在新的方法能使密码分析者推算出d，它则成为大数分解的新方法 通过猜测ф(n) =(p-1)(q-1)的值，可以攻击RSA体制，但这种方法并不比分解n容易 分解n是最显而易见的攻击方法，目前，155位的整数已被分解 密码分析者完全可能去尝试每一个可能的d，但这种强力攻击还不如分解n有效 * RSA密码分析 n的选择 要选择足够大的n，就要选择足够大的p和q。在选择p和q时，首先它们应该是随机素数并且不包含在素数表中。另外，两个素数不应该太接近，当p和q接近时n很容易就分解。因为n=pq=(p+q)2/4-(p-q)2/4，当(p-q)/2很小时，t=(p+q)/2只比根号n稍大一点，此时逐个检验大于根号n的整数x，直到找到一个，使得x2-n是一个平方数，记为y2，则p=x+y，q=x-y。例如，若n=311?313，则根号n=311.998，而3122-n=1，因此直接得到p=313，q=311 * RSA密码分析 p和q的选择也必须考虑到可能的基于重复加密的攻击。这个方法是从密文c开始反复计算它的e次幂，可得 一旦出现 ，就有 ，即在出现c之前的计算结果就是明文m。当t不是很大的时候，这种攻击是可行的。 就是 。若m模n的阶为k，则 。t可取的最小值就是e模k的阶，必须使这个阶尽可能大。e模k的阶是ф(k)的因子，所以最好ф(k)中有大的素因子。又由于k是m模n的阶，因而k是ф(n) =(p-1)(q-1)的因子，所以，最好选择p和q使得p-1和q-1分别有大素因子p’和q’并且p’-1和q’-1也有大素因子 * RSA密码分析 对RSA体制的选择密文攻击 方法1 E窃听A的通讯过程，并设法收集到一个用她公钥加密的密文c，为了恢复c的明文m，E首先选取一个小于n的随机数r并用A的公钥加密计算得 如果 ，则 。然后E让A用它的密钥对y签名。A将 发送给E。现在E计算 于是E就获得了m * RSA密码分析 方法2 E想让A对m3签名，她产生两份电文m1、m2，使得 m3=m1m2(mod n) 如果E能让A对m1、m2签名，则能计算m3的签名 m3d(mod n)=(m1dmod n)(m2dmod n) 因此：绝对不要对一个陌生人提交给你的随机文件签名，而应该总是首先使用一个单向Hash函数 * RSA密码分析 RSA的共模攻击若系统中共有一个模数，只是不同的人拥有不同的e和d，系统将是危险的。最普遍的情况是同一信息用不同的公钥加密，这些公钥共模而且互素(一般情况下都成立)，那末该信息无需私钥就可得到恢复。设P为信息明文，两个加密密钥为e1和e2，公共模数是n，则： C1 = Pe1 mod n C2 = Pe2 mod n 密码分析者知道n、e1、e2、C1和C2，就能得到P。因为e1和e2互质，故用Euclidean算法能找到r和s，满足： r * e1 + s * e2 = 1 假设r为负数，需再用Euclidean算法计算C1-1，则 ( C1-1) -r * C2s = P mod n * RSA密码分析 RSA的低指数攻击 如果公钥e取较低的值，会使RSA体制的加密及签名验证加快，但也会导致不安全。Hastad给出了对小加密密钥的RSA体制的成功攻击方法，证明了如果用具有相同一个值e的不同的公钥来加